MICROSOFT
LEARNING
PRODUCTS
10140A
Configurao, gerenciamento e manuteno dos servidores do Windows Server 2008
Volume 1
Lembre-se de acessar o contedo de aprendizado ampliado no CD Complementar do Curso includo na contracapa do livro.
ii
As informaes includas neste documento, inclusive URLs e referncias a outros sites da Internet, esto sujeitas a alteraes sem aviso prvio. Salvo indicao em contrrio, os nomes de empresas, organizaes, produtos, nomes de domnios, endereos de email, logotipos, pessoas, lugares e acontecimentos aqui mencionados so fictcios e de nenhuma forma pretendem representar empresas, organizaes, produtos, nomes de domnios, endereos de email, logotipos, pessoas, lugares ou acontecimentos. O cumprimento de leis de direitos autorais de exclusiva responsabilidade do usurio. Sem limitar os direitos autorais, nenhuma parte deste documento pode ser reproduzida, armazenada ou introduzida em um sistema de recuperao, ou transmitida de qualquer forma ou por qualquer meio (eletrnico, mecnico, fotocpia, gravao ou qualquer outro), ou para qualquer propsito, sem a permisso expressa, por escrito, da Microsoft Corporation. A Microsoft pode ter patentes ou requisies para obteno de patente, marcas comerciais, direitos autorais ou outros direitos de propriedade intelectual que abrangem o contedo deste documento. Exceto se expressamente fornecido em qualquer acordo de licena por escrito da Microsoft, o fornecimento deste documento no lhe concede licena para essas patentes, marcas registradas, direitos autorais ou outra propriedade intelectual. Os nomes de fabricantes, produtos ou URLs so fornecidos apenas com propsito informativo e a Microsoft no oferece qualquer representao ou garantia, explcita, implcita ou estatutria, em relao a esses fabricantes ou ao uso dos produtos com qualquer tecnologia Microsoft. A incluso de um fabricante ou produto no implica endosso da Microsoft do fabricante ou produto. Podem ser fornecidos links para sites de terceiros. Esses sites no so controlados pela Microsoft e a Microsoft no se responsabiliza pelo contedo de qualquer site vinculado ou qualquer link existente em um site vinculado, ou qualquer mudana ou atualizao em tais sites. A Microsoft no responsvel por transmisses via Web ou qualquer outra forma de transmisso recebida de qualquer site vinculado. A Microsoft fornece esses links para sua convenincia, e a incluso de qualquer link no implica endosso da Microsoft em relao ao site nem a produtos nele contidos. 2009 Microsoft Corporation. Todos os direitos reservados. Microsoft, Microsoft Press, Active Directory, ActiveX, BitLocker, Excel, Hyper-V, Internet Explorer, MS, MSDN, PowerPoint, SharePoint, SQL Server, Visual Basic, Visual Studio, Win32, Windows, Windows Media, Windows NT, Windows PowerShell, Windows Server e Windows Vista so marcas comerciais ou marcas registradas da Microsoft Corporation nos Estados Unidos e/ou outros pases. Todas as outras marcas comerciais so de propriedade dos respectivos proprietrios.
Lanamento: 02/2009
TERMOS DE LICENA DA MICROSOFT OFFICIAL MICROSOFT LEARNING PRODUCTS EDIO DO INSTRUTOR Verses de Pr-lanamento e final
Estes termos de licena so um acordo entre a Microsoft Corporation e voc. Por favor, leia-os. Eles se aplicam ao Contedo Licenciado supracitado, que inclui a mdia na qual ele est contido, caso haja uma. Os termos tambm se aplicam aos seguintes itens da Microsoft: atualizaes, suplementos, servios via Internet e servios de suporte
referentes a este Contedo Licenciado, a menos que outros termos acompanhem esses itens. Nesse caso, tais termos se aplicam. Ao usar o Contedo Licenciado, voc estar aceitando estes termos. Se voc no os aceitar, no use o Contedo Licenciado. Se cumprir estes termos de licena, voc ter os direitos a seguir.
1. DEFINIES. a. Materiais Acadmicos significa a documentao impressa ou eletrnica, como manuais, livros
didticos, white papers, press-releases, folhas de dados e perguntas freqentes, que esteja includa no Contedo Licenciado. for Learning Solutions, um local do IT Academy ou outra entidade semelhante designada ocasionalmente pela Microsoft.
autorizadas pela Microsoft e conduzidas por um Instrutor em Centros de Aprendizagem Autorizados ou por meio deles, fornecendo treinamento a Alunos somente em Produtos Microsoft Official Learning (anteriormente conhecidos como MOC [Microsoft Official Curriculum]) e Produtos Microsoft Dynamics Learning (anteriormente conhecidos como cursos do Microsoft Business Solutions). Cada Sesso de Treinamento Autorizada fornecer treinamento sobre a matria de um (1) Curso.
d. Curso significa um dos cursos que utilizam Contedo Licenciado oferecidos por um Centro de
Aprendizagem Autorizado durante uma Sesso de Treinamento Autorizada, cada um dos quais fornecendo treinamento sobre uma matria tecnolgica especfica da Microsoft. outro dispositivo analgico ou eletrnico digital.
f.
Contedo Licenciado significa o material que acompanha estes termos de licena. O Contedo Licenciado pode incluir os seguintes elementos, sem se limitar a eles: (i) Contedo do Instrutor, (ii) Contedo do Aluno, (iii) guia de configurao da sala de aula e (iv) Software. H componentes diferentes e separados do Contedo Licenciado para cada Curso. Software significa as Mquinas Virtuais e os Discos Rgidos Virtuais ou outros aplicativos de software que estejam includos no Contedo Licenciado. em seu local.
g.
j.
k. Contedo do Instrutor significa o material que acompanha estes termos de licena e que se
l.
Discos Rgidos Virtuais significa o Software Microsoft composto por discos rgidos virtualizados (como um disco rgido virtual bsico ou discos associados) para uma Mquina Virtual que pode ser carregado em um nico computador ou outro dispositivo para permitir que os usurios finais executem vrios sistemas operacionais simultaneamente. Para os fins destes termos de licena, Discos Rgidos Virtuais sero considerados parte do Contedo do Instrutor. o uso de software Microsoft Virtual PC ou Microsoft Virtual Server, que consiste em um ambiente de hardware virtualizado, um ou mais Discos Rgidos Virtuais e um arquivo de configurao que define os parmetros do ambiente de hardware virtualizado (p. ex., RAM). Para os fins destes termos de licena, Discos Rgidos Virtuais sero considerados parte do Contedo do Instrutor. concordou com estes termos de licena.
m. Mquina Virtual significa uma experincia de computao virtualizada, criada e acessada com
n. voc significa o Centro de Aprendizagem Autorizado ou o Instrutor, conforme aplicvel, que 2. VISO GERAL.
Contedo Licenciado. O Contedo Licenciado inclui Software, Materiais Acadmicos (online e eletrnicos), Contedo do Instrutor, Contedo do Aluno, guia de configurao da sala de aula e qualquer mdia associada. Modelo de Licena. O Contedo Licenciado licenciado por cpia por local de Centro de Aprendizagem Autorizado ou por Instrutor.
3. DIREITOS DE INSTALAO E USO. a. Centros de Aprendizagem Autorizados e Instrutores: para cada Sesso de Treinamento
Autorizada, voc pode: i. instalar cpias individuais do Contedo Licenciado relevante em Dispositivos de sala de aula somente para uso pelos Alunos inscritos e pelo Instrutor que ministrar a Sesso de Treinamento Autorizada, desde que o nmero de cpias em uso no exceda o nmero de Alunos inscritos, mais o Instrutor que ministrar a Sesso de Treinamento Autorizada, OU
ii. instalar uma cpia do Contedo Licenciado relevante em um servidor de rede somente para acesso por Dispositivos de sala de aula e somente para uso pelos Alunos inscritos e pelo Instrutor que ministrar a Sesso de Treinamento Autorizada, desde que o nmero de Dispositivos que acessem o Contedo Licenciado no dito servidor no exceda o nmero de Alunos inscritos, mais o Instrutor que ministrar a Sesso de Treinamento Autorizada; iii. e permitir que os Alunos inscritos e o Instrutor que ministrar a Sesso de Treinamento Autorizada utilizem o Contedo Licenciado instalado por voc de acordo com (i) ou (ii) acima durante a dita Sesso de Treinamento Autorizada de acordo com estes termos de licena. iv. Separao de Componentes. Os componentes do Contedo Licenciado so licenciados como uma nica unidade. Voc no poder separar os componentes e instal-los em Dispositivos diferentes. v. Programas de Terceiros. O Contedo Licenciado poder conter programas de terceiros. Estes termos de licena se aplicaro ao uso desses programas de terceiros, a menos que outros termos acompanhem esses programas.
b. Instrutores:
i. Os Instrutores podem usar o Contedo Licenciado instalado por voc ou por um Centro de Aprendizagem Autorizado em um Dispositivo de sala de aula para ministrar uma Sesso de Treinamento Autorizada.
ii. Os Instrutores tambm podem usar uma cpia do Contedo Licenciado conforme se segue:
Contedo Licenciado. Voc pode instalar e usar uma cpia do Contedo Licenciado no Dispositivo licenciado somente para seu uso em treinamento pessoal e para a preparao de uma Sesso de Treinamento Autorizada.
B. Dispositivo Porttil. Voc pode instalar outra cpia em um dispositivo porttil somente
para seu uso em treinamento pessoal e para a preparao de uma Sesso de Treinamento Autorizada.
lanamento. Ele no pode conter as mesmas informaes e/ou funcionar da mesma maneira que uma verso definitiva do Contedo Licenciado. Poderemos alter-lo na verso comercial definitiva. Alm disso, no podemos lanar uma verso comercial. Voc dever informar o disposto acima de maneira clara e visvel a todos os Alunos participantes de cada Sesso de Treinamento Autorizado.
Alm disso, informe que voc ou a Microsoft no tem qualquer obrigao de fornecer nenhum outro contedo, incluindo, mas sem limitao, a verso lanada em carter definitivo do Contedo Licenciado do Curso.
Licenciado, estar dando Microsoft, a ttulo gratuito, o direito de usar, compartilhar e comercializar seus comentrios de qualquer maneira e para qualquer finalidade. Alm disso, voc concede a terceiros, sem custos, todos os direitos de patente necessrios para que seus produtos, suas tecnologias e seus servios usem, ou estabeleam conexo com, qualquer parte especfica de um software, Contedo Licenciado ou servio da Microsoft que inclua os comentrios. Voc no dever enviar comentrios sujeitos a uma licena que exija da Microsoft o licenciamento do seu software ou da sua documentao a terceiros em virtude da incluso dos seus comentrios nesses elementos. Esses direitos permanecero em vigor aps o trmino deste contrato. de usurio, recursos e documentao que porventura estejam presentes no Contedo Licenciado, confidencial e de propriedade da Microsoft e de seus fornecedores. i. Uso. Durante cinco anos aps a instalao do Contedo Licenciado ou do seu lanamento comercial, o que ocorrer primeiro, voc no poder divulgar informaes confidenciais a terceiros. Voc poder divulgar informaes confidenciais apenas aos seus funcionrios e consultores que tenham a necessidade de conhecer essas informaes. Voc dever firmar contratos por escrito com eles para proteger essas informaes confidenciais, pelo menos, de maneira idntica a este contrato. Continuidade da obrigao. Seu dever de proteger as informaes confidenciais permanecer aps o trmino deste contrato.
ii.
iii. Excluses. Voc poder divulgar informaes confidenciais para atender ordens judiciais ou do Poder Pblico. Voc dever enviar Microsoft uma notificao prvia por escrito permitindo que ela busque uma medida cautelar ou de outra forma proteja as informaes. Entre as informaes confidenciais no esto informaes que d. passem a ser de conhecimento pblico atravs de atos lcitos; voc tenha recebido de terceiros que no violaram obrigaes de sigilo para com a Microsoft ou seus fornecedores; ou voc tenha desenvolvido de forma independente.
Prazo. O prazo deste contrato de verses de pr-lanamento (i) a data que a Microsoft informar a voc como data final de uso da verso beta, ou (ii) o lanamento comercial da verso definitiva do Contedo Licenciado, o que for anterior (prazo do beta). Uso. Voc dever deixar de usar todas as cpias da verso beta na resciso ou trmino dessa verso, bem como destruir todas as cpias dela em seu poder ou sob seu controle e/ou em poder ou sob controle de qualquer Instrutor que tenha recebido cpias da verso pr-lanada. Cpias. A Microsoft informar os Centros de Treinamento Autorizados se eles podem produzir cpias da verso beta (seja na verso impressa e/ou em CD) e distribuir essas cpias aos Alunos e/ou Instrutores. Caso a Microsoft permita essa distribuio, voc dever cumprir todos os outros termos que a Microsoft apresentar em relao a essas cpias e distribuio.
e.
f.
o o
Voc dever garantir que as Mquinas Virtuais e os Discos Rgidos Virtuais no sejam copiados ou baixados dos Dispositivos em que foram instalados por voc. Voc dever cumprir rigorosamente todas as instrues da Microsoft referentes instalao, ao uso, ativao e desativao e segurana das Mquinas Virtuais e dos Discos Rgidos Virtuais. Voc no poder modificar as Mquinas Virtuais e os Discos Rgidos Virtuais ou qualquer contedo dos mesmos. Voc no poder reproduzir ou redistribuir as Mquinas Virtuais ou os Discos Rgidos Virtuais.
o o
ii. Guia de Configurao da Sala de Aula. Voc dever garantir que qualquer Contedo Licenciado instalado para uso durante uma Sesso de Treinamento Autorizada seja realizado de acordo com o guia de configurao da sala de aula correspondente ao Curso. iii. Elementos de Mdia e Modelos. Voc poder permitir que os Instrutores e Alunos utilizem imagens, clip-arts, animaes, sons, msicas, formas, videoclipes e modelos fornecidos com o Contedo Licenciado somente em uma Sesso de Treinamento Autorizada. Caso os Instrutores tenham uma cpia prpria do Contedo Licenciado, eles podero usar Elementos de Mdia para seu uso em treinamento pessoal. iv Software de Avaliao. Qualquer Software includo no Contedo do Aluno designado como Software de Avaliao poder ser usado por Alunos somente para seu treinamento pessoal fora da Sesso de Treinamento Autorizada.
ii. Uso de Componentes Didticos no Contedo do Instrutor. Para cada Sesso de Treinamento Autorizada, os Instrutores podero personalizar e reproduzir, de acordo com o Contrato do MCT, as partes do Contedo Licenciado que estejam logicamente associadas instruo da Sesso de Treinamento Autorizada. Caso opte por exercer os direitos mencionados acima, voc estar concordando ou assegurando que o Instrutor concorde: (a) que qualquer uma dessas personalizaes ou reprodues ser usada somente para ministrar uma Sesso de Treinamento Autorizada; e (b) em cumprir todos os outros termos e condies deste contrato.
iii. Materiais Acadmicos. Caso o Contedo Licenciado inclua Materiais Acadmicos, voc poder copiar e usar esses Materiais. No permitido fazer modificaes nos Materiais Acadmicos nem imprimir livros (eletrnicos ou em verso impressa) integralmente. No caso da reproduo de Materiais Acadmicos, voc concorda que:
o uso dos Materiais Acadmicos ser exclusivamente para sua referncia ou treinamento pessoal; voc no republicar nem postar os Materiais Acadmicos em nenhum computador de rede, nem os transmitir em nenhuma mdia; voc incluir o aviso de direitos autorais original dos Materiais Acadmicos, ou um aviso de direitos autorais em benefcio da Microsoft no formato indicado abaixo: Formato do Aviso: 200X [Note to MS Learning: Insert correct date] Reimpresso para uso como referncia pessoal apenas com a permisso da Microsoft Corporation. Todos os direitos reservados. Microsoft, Windows e Windows Server so marcas registradas ou comerciais da Microsoft Corporation nos Estados Unidos e/ou em outros pases. Outros nomes de empresas e produtos aqui mencionados so marcas comerciais de seus respectivos proprietrios.
6. SERVIOS VIA INTERNET. A Microsoft poder fornecer servios via Internet com o Contedo
Licenciado. Ela poder alter-los ou cancel-los a qualquer momento. Voc no poder usar esses servios de maneira que possa danific-los ou prejudicar seu uso por outros. Em nenhuma hiptese voc poder usar os servios para tentar obter acesso no autorizado a qualquer servio, dado, conta ou rede. outorga a voc alguns direitos de uso do Contedo Licenciado. A Microsoft se reserva todos os outros direitos. Salvo quando a legislao aplicvel lhe conceder mais direitos do que esta limitao, voc s poder usar o Contedo Licenciado conforme expressamente permitido neste contrato. Ao fazer isso, voc dever cumprir quaisquer limitaes tcnicas no Contedo Licenciado que permitam o seu uso apenas de determinadas maneiras. vedado(a): a instalao de mais cpias do Contedo Licenciado em Dispositivos de sala de aula do que o nmero de Alunos mais o Instrutor na Sesso de Treinamento Autorizada; a concesso de permisso de acesso ao servidor para mais Dispositivos de sala de aula do que o nmero de Alunos inscritos mais o Instrutor que ministrar a Sesso de Treinamento Autorizada, caso o Contedo Licenciado esteja instalado em um servidor de rede; a cpia ou reproduo do Contedo Licenciado em qualquer servidor ou local para posterior reproduo ou distribuio; a divulgao dos resultados de qualquer teste de desempenho do Contedo Licenciado a terceiros sem o prvio consentimento, por escrito, da Microsoft; a resoluo de limitaes tcnicas no Contedo Licenciado;
a realizao de engenharia reversa, descompilao ou desmontagem do Contedo Licenciado, exceto e somente na medida em que esta atividade seja expressamente permitida pela legislao aplicvel, no obstante esta limitao; a produo de mais cpias do Contedo Licenciado do que aquelas especificadas neste contrato ou permitidas pela legislao aplicvel, no obstante esta limitao; a publicao do Contedo Licenciado para a cpia por outras pessoas; a transferncia do Contedo Licenciado, no todo ou em parte, para um terceiro; o acesso a ou uso de qualquer Contedo Licenciado para o qual voc (i) no esteja ministrando um Curso e/ou (ii) no tenha sido autorizado pela Microsoft a acessar e usar; o aluguel, arrendamento ou emprstimo do Contedo Licenciado; ou o uso do Contedo Licenciado para servios de hospedagem comercial ou fins comerciais gerais. Os direitos de acesso ao software para servidor que possa estar includo com o Contedo Licenciado, inclusive os Discos Rgidos Virtuais, no concedem a voc nenhum direito para implementar patentes da Microsoft ou outras propriedades intelectuais da Microsoft em softwares ou dispositivos que acessem o servidor.
Resale). vedada a venda de software ou Contedo Licenciado identificado como NFR ou Not for Resale (No Comercializvel). Licenciado identificado como Academic Edition ou AE. Caso voc no saiba se ou no um Usurio Educacional Qualificado, visite a pgina www.microsoft.com/education ou contate a afiliada da Microsoft em seu pas. voc no cumpra os termos e condies destes termos de licena. No caso de seu status como Centro de Aprendizagem Autorizado ou Instrutor a) expirar, b) ser rescindido voluntariamente por voc e/ou c) ser rescindido pela Microsoft, este contrato ser rescindido automaticamente. Em caso de resciso deste contrato, voc dever destruir todas as cpias do Contedo Licenciado e de todos os seus componentes. servios via Internet e dos servios de suporte usados por voc, constituem o contrato integral para o Contedo Licenciado e os servios de suporte.
10. EDIO ACADMICA. Voc dever ser um Usurio Educacional Qualificado para usar Contedo
11. RESCISO. Sem prejuzo de quaisquer outros direitos, a Microsoft poder rescindir este contrato caso
12. CONTRATO INTEGRAL. Este contrato, e os termos dos suplementos, das atualizaes, dos
13. LEGISLAO APLICVEL. a. Nos Estados Unidos. Se voc tiver adquirido o Contedo Licenciado nos Estados Unidos, as leis
do Estado de Washington regero a interpretao deste contrato e sero aplicveis s reclamaes de violao do mesmo, independentemente dos princpios de conflito de leis. As leis do Estado onde voc vive regero todas as outras reclamaes, incluindo leis de defesa do consumidor, concorrncia desleal e obrigaes extracontratuais.
b. Fora dos Estados Unidos. Se voc tiver adquirido o Contedo Licenciado em qualquer outro
pas, as leis desse pas sero aplicveis.
14. EFEITO LEGAL. Este contrato descreve alguns direitos legais. Voc poder ter outros direitos de
acordo com as leis do seu pas. Voc tambm poder ter direitos em relao ao terceiro de quem o Contedo Licenciado foi adquirido. Este contrato no alterar os seus direitos de acordo com as leis do seu pas, caso as leis do seu pas no o permitam. se encontra. O risco de us-lo responsabilidade sua. A Microsoft no oferece garantias ou condies expressas. Voc poder ter direitos de consumidor adicionais de acordo com suas leis locais, os quais este contrato no poder alterar. Na extenso permitida pelas leis locais, a Microsoft exclui as garantias implcitas de comercializao, adequao a uma finalidade especfica e no-violao. MICROSOFT E DE SEUS FORNECEDORES APENAS DANOS DIRETOS LIMITADOS A US$ 5,00 (CINCO DLARES AMERICANOS). NO POSSVEL RECUPERAR OUTROS DANOS, INCLUINDO CONSEQENCIAIS, LUCROS CESSANTES, ESPECIAIS, INDIRETOS OU INCIDENTAIS. Esta limitao aplica-se a: qualquer assunto relacionado ao Contedo Licenciado, ao software, aos servios, ao contedo (incluindo cdigo) em sites de Internet de terceiros ou a programas de terceiros; e reclamaes por violao contratual, quebra de garantia ou condio, responsabilidade objetiva, negligncia ou outra responsabilidade extracontratual, na extenso permitida pela legislao aplicvel.
Tambm ser aplicada ainda que a Microsoft saiba ou tivesse que saber sobre a possibilidade dos danos. A limitao ou excluso acima poder no se aplicar a voc pelo fato de o seu pas no permitir a excluso ou limitao de danos incidentais, conseqenciais ou outros.
xiii
Reconhecimento
O Microsoft Learning gostaria de prestar reconhecimento e agradecer contribuio dos seguintes profissionais para a elaborao deste curso. O esforo deles nas diversas etapas do desenvolvimento garantiu aos alunos uma boa experincia em sala de aula.
xiv
xv
Contedo
Mdulo 1: Introduo ao gerenciamento do ambiente Microsoft Windows Server 2008
Lio 1: Funes de servidor Lio 2: Viso geral do Active Directory Lio 3: Uso das Ferramentas Administrativas do Windows Server 2008 Lio 4: Uso da rea de Trabalho Remota para Administrao Laboratrio: Administrao do Windows Server 2008 1-3 1-15 1-27 1-35 1-43
Mdulo 2: Criao de objetos de computador e de usurio dos Servios de Domnio Active Directory
Lio 1: Gerenciamento de contas de usurio Lio 2: Criao de contas de computador Lio 3: Automatizao do gerenciamento de objetos do AD DS Lio 4: Uso de consultas para localizar objetos no AD DS Laboratrio: Criao de objetos de computador e de usurio dos Servios de Domnio Active Directory 2-3 2-17 2-24 2-33 2-39
xvi
xvii
xviii
xix
Lio 6: Viso geral das tarefas de gerenciamento do Windows Server 2008 Lio 7: Automao da manuteno do Windows Server 2008 Laboratrio B: Configurao do monitoramento do Windows Server 2008
Respostas do laboratrio
xxi
Descrio do curso
Este curso de cinco dias, ministrado por um instrutor, fornece aos alunos o conhecimento e as habilidades necessrios para a configurao e o gerenciamento de servidores Microsoft Windows Server 2008. O curso enfoca basicamente a criao de objetos dos Servios de Domnio Active Directory e o gerenciamento de Diretiva de Grupo. Ele aborda tambm a configurao da segurana, do armazenamento, da proteo de acesso rede, da soluo de problemas e da proteo de dados do servidor.
Pblico-alvo
O pblico principal deste curso so os profissionais de TI que desejam aprimorar suas tcnicas de implantao e gerenciamento nos servidores Windows Server 2008 de uma organizao. Esse pblico ser responsvel pelo gerenciamento dirio dos servios de diretrio, arquivo e SO do servidor; distribuio de software, patches e atualizaes; criao de perfis e monitoramento, e soluo de problemas de Camada 2 de um subconjunto dos servidores das organizaes. O pblico secundrio so os especialistas em infra-estrutura de rede.
Pr-requisitos do aluno
Para participar deste curso, voc precisa estar em conformidade com os seguintes pr-requisitos: Pelo menos um ano de experincia nas operaes dirias do Windows Server na rea de gerenciamento de conta e de manuteno, monitoramento ou segurana de servidor A+, Server+, parte de hardware de Net+ e familiaridade com o Microsoft Windows (lado do cliente) Conhecimento funcional das tecnologias de rede Conhecimento intermedirio dos sistemas operacionais de rede Experincia prtica em Windows Server 2003 e Windows Server 2008
xxii
Conhecimento bsico do Active Directory Conhecimento bsico dos conceitos e das metodologias de segurana (por exemplo, polticas corporativas) Conhecimento bsico de TCP/IP Conhecimento bsico das ferramentas de script, como Windows Powershell e WMI
Objetivos do curso
Depois de conclurem este curso, os alunos sero capazes de: Descrever as diferentes ferramentas e tarefas administrativas do Windows Server 2008 Configurar contas de usurio e de computador do AD DS Criar grupos e unidades organizacionais Gerenciar o acesso a recursos compartilhados em um ambiente do AD DS Configurar objetos e relaes de confiana do Active Directory Criar e configurar os objetos de Diretiva de Grupo Configurar ambientes de usurio e de computador usando Diretiva de Grupo Implementar a segurana usando a Diretiva de Grupo Configurar e analisar a conformidade da segurana do servidor e da atualizao da segurana Configurar e gerenciar as tecnologias de armazenamento includas no Windows Server 2008 Configurar e gerenciar o Sistema de Arquivos Distribudo Configurar a proteo de acesso rede Configurar a disponibilidade dos recursos da rede Planejar e manter o monitoramento do Windows Server 2008 Gerenciar o backup e a restaurao do Windows Server 2008
xxiii
Estrutura do curso
Esta seo fornece um resumo do curso: Mdulo 1: Introduo ao gerenciamento do ambiente Microsoft Windows Server 2008 - descreve as noes bsicas de um ambiente de rede corporativo, que consiste em servios de infra-estrutura do Windows, servios de plataforma de aplicativos do Windows e Active Directory. Este mdulo tambm explica como administrar um servidor Windows 2008. Mdulo 2: Criao de objetos de computador e de usurio dos Servios de Domnio Active Directory - descreve como configurar contas de usurio e de computador do AD DS. Mdulo 3: Criao de grupos e unidades organizacionais - descreve como configurar unidades organizacionais e contas de grupo do AD DS. Mdulo 4: Gerenciamento do acesso a recursos nos Servios de Domnio Active Directory - descreve como gerenciar o acesso a recursos compartilhados em um ambiente do AD DS. Mdulo 5: Configurao de relaes de confiana e objetos do Active Directory descreve como implementar e configurar objetos e relaes de confiana do AD DS. Mdulo 6: Criao e configurao de Diretiva de Grupo - descreve como funcionam os GPOs (Objetos de Diretiva de Grupo) e como criar e aplicar GPOs. Mdulo 7: Configurao de ambientes de computador e de usurio usando Diretiva de Grupo - descreve como definir as configuraes de rea de trabalho do usurio por meio da Diretiva de Grupo e como solucionar problemas relacionados Diretiva de Grupo. Mdulo 8: Implementao de segurana usando Diretiva de Grupo - descreve como definir as configuraes de segurana e aplic-las usando os GPOs. Mdulo 9: Configurao da conformidade de segurana do servidor - descreve como configurar e analisar a conformidade da segurana do servidor e da atualizao da segurana. Descreve tambm algumas tarefas de gerenciamento que devem ser executadas com enfoque no gerenciamento da atualizao de segurana, alm de abordar ferramentas de manuteno automatizadas como o Windows Server Update Services.
xxiv
Mdulo 10: Configurao e gerenciamento de tecnologias de armazenamento descreve como configurar as tecnologias de armazenamento do sistema de arquivos includas no Windows Server 2008 e como solucionar os problemas relacionados a elas. Mdulo 11: Configurao e gerenciamento de sistema de arquivos distribudo descreve como configurar e gerenciar o sistema de arquivos distribudo. Mdulo 12: Configurao da Proteo de Acesso Rede - descreve como configurar e gerenciar NAP para DHCP, VPN e 802.1X. Mdulo 13: Configurao da disponibilidade de recursos e contedo de rede descreve como configurar a disponibilidade dos recursos e contedo de rede. Este mdulo explica como habilitar um volume de cpia de sombra, que fornece acesso s verses anteriores de arquivo e pasta em uma rede. Por ltimo este mdulo explica como usar o cluster de failover e o balanceamento de carga de rede NLB para possibilitar melhores disponibilidade de dados e escalabilidade da carga de trabalho. Mdulo 14: Monitoramento e manuteno de servidores do Windows Server 2008 - aborda o planejamento das tarefas de monitoramento para determinar as linhas de base de servidor apropriadas, avaliando as principais mtricas de desempenho, coletando dados por meio dos conjuntos de coletores de dados e identificando mtodos de notificao adequados quando algum alerta for emitido. Mdulo 15: Gerenciamento de backup e restaurao do Windows Server 2008 descreve as alteraes efetuadas no processo de backup do Windows Server 2008 e ajuda a planejar os requisitos e a diretiva de backup de modo a atender s exigncias da sua organizao. Este mdulo tambm descreve como voc deve planejar a recuperao do sistema de arquivos criptografados, a restaurao dos dados de estado do sistema e a criao de uma diretiva de restaurao de servidor para verificar as operaes do servidor.
xxv
Materiais do curso
Os seguintes materiais foram includos no seu kit: Manual do curso. Um guia de aprendizagem sucinto que fornece todas as informaes tcnicas essenciais em um formato bem definido, que tem como foco uma experincia eficaz de aprendizagem em sala de aula. Lies: conduzem voc pelos objetivos da aprendizagem e apresentam os pontos-chave essenciais para o sucesso da aprendizagem em sala de aula. Laboratrios: fornecem uma plataforma prtica baseada no mundo real na qual voc poder aplicar as tcnicas e os conhecimentos aprendidos no mdulo. Revises do Mdulo e Informaes: fornecem materiais de referncia aprimorados que facilitam a reteno dos conhecimentos e das tcnicas. Respostas do laboratrio: fornecem orientao passo a passo para as solues de laboratrio ao alcance dos seus dedos, sempre que necessrio.
CD complementar do curso. Contedo digital pesquisvel e de fcil navegao com recursos premium online integrados, projetados para complementar o Manual do curso. Lies: incluem informaes detalhadas sobre cada tpico, ampliando o contedo fornecido no Manual do curso. Laboratrios: incluem exerccios de laboratrio completos e respostas no formato digital para uso durante o tempo do laboratrio. Recursos: incluem recursos adicionais categorizados que fornecem acesso imediato ao contedo premium mais atualizado do TechNet, MSDN e Microsoft Press.
xxvi
Arquivos do curso para o aluno: incluem o Allfiles.exe, um arquivo executvel auto-extravel que contm todos os arquivos necessrios aos laboratrios e s demonstraes.
Observao: para acessar o contedo completo do curso, coloque o CD complementar do curso na unidade de CD-ROM e, no diretrio raiz do CD, clique duas vezes em StartCD.exe.
Avaliao do curso. Ao final do curso, voc ter a oportunidade de fazer uma avaliao online para fornecer comentrios sobre o curso, sobre as instalaes em que foi oferecido o treinamento e sobre o instrutor.
Para fornecer comentrios adicionais sobre o curso, envie um email para support@mscourseware.com. Em caso de dvidas sobre o programa MCP (Microsoft Certification Program), envie um email para mcphelp@microsoft.com.
xxvii
Importante: ao final de cada laboratrio, voc deve fechar a mquina virtual e no salvar nenhuma alterao. Para fechar uma mquina virtual sem salvar as alteraes, execute estas etapas: 1. Na mquina virtual, no menu Ao, clique em Fechar. 2. Na caixa de dilogo Fechar, na lista O que voc deseja que a mquina virtual faa? clique em Desligar e excluir alteraes e, em seguida, clique em OK.
A tabela a seguir mostra a funo de cada mquina virtual usada neste curso:
Mquina virtual 10140A-LON-DC1 10140A-NYC-CL1 10140A-NYC-CL2 10140A-NYC-DC1 10140A-NYC-DC2 10140A-NYC-INF 10140A-NYC-SVR1 10140A-NYC-SVR2 10140A-VAN-DC1 Funo Controlador de domnio de EMEA.WoodgroveBank.com Computador cliente de WoodgroveBank.com Computador cliente do domnio Woodgrovebank.com Controlador de domnio de WoodgroveBank.com Controlador de domnio de WoodgroveBank.com Servidor membro de WoodgroveBank.com Servidor autnomo Servidor autnomo Controlador de domnio de Fabrikam.com
xxviii
Configurao de software
Os softwares a seguir esto instalados em cada mquina virtual: Windows Server 2008 Enterprise Edition O Windows Server 2003 Enterprise Edition est instalado em 10140A-VANDC1
Arquivos do curso
H arquivos associados aos laboratrios neste curso. Os arquivos de laboratrio so armazenados na pasta E:\ModXX\Labfiles das mquinas virtuais.
1-1
Mdulo 1
Introduo ao gerenciamento do ambiente Microsoft Windows Server 2008
Sumrio:
Lio 1: Funes de servidor Lio 2: Viso geral do Active Directory Lio 3: Uso das Ferramentas Administrativas do Windows Server 2008 Lio 4: Uso da rea de Trabalho Remota para Administrao Laboratrio: Administrao do Windows Server 2008 1-3 1-15 1-27 1-35 1-43
1-2
Existem vrias ferramentas que facilitam o gerenciamento de computadores com o Microsoft Windows Server 2008 e de domnios do Active Directory. No Windows Server 2008, muitas delas foram consolidadas na ferramenta Gerenciador de Servidores. Essa alterao proporciona um ponto nico para administrao de servidores. Ao compreender as ferramentas disponveis para gerenciar o Windows Server 2008 e o Active Directory, voc ser capaz de implementar solicitaes de alterao com mais rapidez e eficincia.
1-3
Lio 1
Funes de servidor
O Windows Server 2008 configurado por meio de adio e remoo de recursos e funes de servidor. Trata-se de um novo mtodo de organizar a adio e a remoo de servios. A compreenso de recursos e funes de servidor permite que voc instale e d suporte apenas aos componentes do Windows Server 2008 de que necessita em seu ambiente.
1-4
Pontos principais
O Windows Server 2008 est disponvel em vrias edies para atender s necessidades de diversas organizaes. As edies disponibilizadas so para processadores x86, x64 e Itanium. A finalidade do Windows HPC Server 2008 agrupar centenas de computadores para trabalharem juntos em uma nica tarefa de processamento. O Hyper-V uma funo fornecida para instalaes de 64 bits do Windows Server 2008. possvel solicitar edies Standard, Enterprise e Datacenter que no tenham o Hyper-V includo. Pergunta: Descreva os critrios que voc usar para decidir qual edio do Windows Server implantar.
1-5
Pontos principais
Funes de servidor so uma forma de configurar um computador com o Windows Server 2008 para executar uma funo especfica. Em uma organizao de grande porte, os computadores podem ser configurados para executar uma nica funo, a fim de garantir maior escalabilidade. Em uma pequena empresa, muitas funes podem ser combinadas em um nico computador. Ao implantar vrias funes de servidor em um nico computador, considere o seguinte: A capacidade do computador deve ser suficiente para todas as funes instaladas. Verifique se os requisitos de segurana para as funes que voc planeja instalar podem coexistir em um nico computador.
1-6
Defina as configuraes de segurana de forma apropriada para todas as funes instaladas. Preveja quais sero os possveis caminhos de migrao caso o computador fique sobrecarregado.
Pergunta: Em seu ambiente de trabalho, quais so as vantagens de servidores consolidados, servidores dedicados ou ambos?
1-7
Pontos principais
As funes de servios de infra-estrutura do Microsoft Windows servem para formar a estrutura subjacente do software e dos servios usados por outros aplicativos dentro da organizao. A tabela a seguir descreve essas funes:
Funo Servios de Certificados do Active Directory Active Directory Rights Management Services Servidor DHCP Descrio Cria e gerencia autoridades de certificao, que so usadas para gerar certificados digitais para identificao e criptografia. Ajuda a proteger as informaes contra uso no autorizado e gera licenas que especificam quais aes podem ser tomadas com contedo protegido e por quem. Aloca automaticamente endereos IP e fornece informaes de configurao IP aos clientes.
1-8
(continuao)
Funo Servidor DNS Servidor de Fax Descrio Fornece resoluo de nomes para redes TCP/IP. Envia e recebe fax eletronicamente em vez de solicitar cpias de documentos em papel. Fornece tecnologias para gerenciamento de armazenamento, replicao de arquivos e pesquisa de arquivos. Fornece suporte para imposio da diretiva de acesso rede e roteamento de redes locais (LAN) ou de longa distncia (WAN), alm de conexes VPN e dial-up. Fornece a funcionalidade de virtualizao de servidor. Habilita e gerencia a impresso via rede. Permite que os usurios executem programas em um servidor remoto, mas exibam os resultados em uma janela da rea de Trabalho Remota. Implanta sistemas operacionais Windows em computadores pela rede.
Servios de Arquivo
Pergunta: Liste as funes de servios de infra-estrutura do Windows usadas em seu ambiente de trabalho.
1-9
Pontos principais
As funes de servios de plataforma de aplicativos do Windows servem como plataforma para o desenvolvimento de aplicativos. A tabela a seguir descreve essas funes:
Funo Servidor de Aplicativos Descrio Fornece uma soluo completa para hospedar e gerenciar aplicativos de negcios distribudos. Inclui servios como .NET Framework, servidor Web e servio de enfileiramento de mensagens. Compartilha informaes sobre servios Web dentro de uma organizao ou entre parceiros comerciais. Habilita o Windows Server 2008 como um servidor Web.
Servios UDDI
1-10
Pergunta: Liste as funes de servios de plataforma de aplicativos do Windows usadas em seu ambiente de trabalho.
1-11
Pontos principais
As funes do Active Directory permitem implementar e controlar o Active Directory da sua organizao. Pergunta: Faa uma breve descrio de um ou dois cenrios nos quais voc implementaria cada funo de servidor.
1-12
Pontos principais
Muitas das outras funes de servidor do Windows Server 2008 se integram ao AD DS. Estas dependem do AD DS: Servios de Federao do Active Directory (AD FS) Active Directory Rights Management Services (AD RMS) Servios de Certificados do Active Directory (AD CS)
Pergunta: Cite outros aplicativos do seu conhecimento que podem aproveitar o AD DS.
1-13
Pontos principais
Os recursos de servidor do suporte s funes de servidor ou aprimoram a funcionalidade de um servidor. Pergunta: Quais destes recursos voc usa em seu ambiente de trabalho?
1-14
Pontos principais
Server Core uma nova opo de instalao do Windows Server 2008. Ela fornece um ambiente mnimo para a execuo de determinadas funes de servidor. No h interface grfica na instalao Server Core. Pergunta: Descreva dois cenrios nos quais a Server Core seria a escolha mais vantajosa de plataforma de servidor.
1-15
Lio 2
O Active Directory um repositrio central de informaes da rede. Compreender como ele est organizado essencial para entender gerenciamento e segurana de rede. Nesta lio, voc aprender sobre domnios, florestas e controladores de domnio do Active Directory.
1-16
Pontos principais
O Active Directory um repositrio central de informaes da rede usado para segurana de logon e configurao de aplicativos. Esto armazenadas no Active Directory as seguintes informaes: Contas de usurio Contas de computador Informaes de configurao de aplicativo Endereos de sub-rede Contas de grupo Objetos de impressora Objetos de pasta publicados
1-17
O Active Directory no um grande banco de dados nico. Ele composto de vrias parties. A partio de domnio armazena informaes especficas de um determinado domnio. A partio de configurao contm informaes do Active Directory e de aplicativos. A partio de esquema a lista de atributos e objetos permitidos no Active Directory. Pergunta: Por que importante que o esquema seja replicado em todos os controladores de domnio na floresta inteira?
1-18
Pontos principais
O Active Directory fornece um repositrio nico de informaes que usado para gerenciamento de rede. Um grupo de trabalho uma rede ponto a ponto sem um banco de dados de segurana centralizado. Computadores do Windows que no tenham ingressado em um domnio so considerados membros de um grupo de trabalho. Cada membro tem seu prprio banco de dados de segurana e repositrio de diretivas de grupo. Pergunta: H alguma situao em que um grupo de trabalho seria prefervel?
1-19
O que um domnio?
Pontos principais
Um domnio um agrupamento lgico de objetos como: Contas de usurio. Necessrias para os usurios fazerem logon e acessarem os recursos de rede. Informaes como endereos de email e endereos para correspondncia podem ser armazenadas como parte de uma conta de usurio. Contas de computador. Necessrias para um computador participar do domnio e fazer parte da infra-estrutura de segurana. Para fazer logon com uma conta de usurio de domnio, voc deve usar um computador que tenha uma conta de computador no domnio. Grupos. Utilizados para organizar usurios e computadores em conjuntos com a finalidade de atribuir permisses a recursos. O uso de grupos facilita o gerenciamento do acesso a recursos como arquivos.
Pergunta: Como a sua organizao usou domnios para criar limites de segurana? Caso ela no use domnios, como eles poderiam ser usados em sua organizao?
1-20
Pontos principais
Uma unidade organizacional (UO) um agrupamento de objetos dentro de um domnio. As UOs podem conter: Usurios Grupos Computadores Outras UOs
1-21
As UOs so usadas para: Aplicar configuraes de Diretiva de Grupo: as configuraes de Diretiva de Grupo podem ser associadas a uma UO. Nesse caso, a diretiva se aplicar a todas as contas de usurio e de computador dentro da UO. Delegar gerenciamento: podem ser atribudas permisses para gerenciar objetos do Active Directory a uma UO. As permisses concedidas a uma UO so herdadas para objetos dentro dela.
Pergunta: Descreva um cenrio no qual voc usaria um domnio para organizar uma rede e outro em que voc usaria uma UO para organiz-la.
1-22
Pontos principais
Uma floresta uma coleo de domnios que: Compartilham um esquema comum Compartilham um Catlogo Global comum Esto conectados por relaes de confiana transitiva bidirecional
Quando os domnios tm uma relao de confiana, as contas no domnio confivel podem receber acesso a recursos no domnio confiante. As rvores de domnio em uma floresta no precisam ter as mesmas estruturas de nomeao. Pergunta: Uma relao de confiana permite automaticamente que os usurios em um domnio acessem recursos em outro domnio?
1-23
Pontos principais
Estas so as caractersticas de um controlador de domnio: um computador que armazena uma cpia das informaes do Active Directory. Atualiza essa cpia atravs de replicao de vrios mestres com outros controladores de domnio na floresta e no domnio. No mnimo, armazena uma cpia das parties de domnio local, de configurao e de esquema.
Observao: um servidor de catlogo global um controlador de domnio que armazena um subconjunto das informaes do domnio para todos os domnios na floresta inteira.
1-24
Pontos principais
Um RODC um novo tipo de controlador de domnio que tem suporte no Windows Server 2008. Ele hospeda parties somente leitura do banco de dados do AD DS. Isso significa que nenhuma alterao poder ser feita na cpia do banco de dados armazenada pelo RODC e que todas as replicaes do AD DS usam uma conexo unidirecional de um controlador de domnio que possui a cpia do banco de dados capaz de gravar no RODC. Pergunta: Em seu ambiente de trabalho, voc tem cenrios nos quais um RODC seria vantajoso?
1-25
Pontos principais
Os RODCs oferecem vrios recursos projetados para funcionar em conjunto a fim de aumentar a segurana. Esses recursos minimizam os riscos de implantar um controlador de domnio em um local com pouca segurana fsica ou alta exposio a ataques. Pergunta: Caso planeje usar um ou mais RODCs em seu ambiente de trabalho, quais recursos de RODC voc pretende usar?
1-26
Pontos principais
Ingressar NYC-CL1 no domnio WoodgroveBank.com. Exibir os resultados do ingresso no domnio.
1-27
Lio 3
As ferramentas administrativas includas no Windows Server 2008 so usadas para gerenciar diferentes componentes do sistema. So elas: Console de Gerenciamento Microsoft Relatrios de Problemas e Solues Gerenciador de Servidores Gerenciamento do Computador Gerenciador de Dispositivos
Ao compreender as ferramentas administrativas disponveis no Windows Server 2008, voc pode escolher qual a melhor para a tarefa administrativa imediata.
1-28
Pontos principais
Um snap-in um programa que permite executar determinadas tarefas administrativas. Novos snap-ins so acrescentados quando voc instala componentes de software adicionais. Por exemplo, os snap-ins para gerenciar o Microsoft Exchange Server 2007 so adicionados quando voc instala o Exchange Server 2007. possvel administrar remotamente um servidor colocando o foco novamente no snap-in do MMC no servidor remoto. Consoles personalizados permitem criar um console formado apenas pelos recursos de que voc necessita como parte do seu cargo de trabalho.
Pergunta: Voc criar consoles personalizados para a maioria das suas tarefas de gerenciamento?
1-29
Gerenciador de Servidores
Pontos principais
A combinao dos snap-ins mais usados em um nico console simplifica a administrao do servidor. Pergunta: Por que vantajoso combinar os snap-ins mais usados em um nico console?
1-30
Gerenciamento do Computador
Pontos principais
Esta ferramenta administrativa fornecida com os sistemas operacionais Microsoft Windows 2000 Server e Windows Server 2003. Muitos dos snap-ins do Gerenciador de Servidores tambm so encontrados no Gerenciamento do Computador. Pergunta: Voc usar o Gerenciamento do Computador ou o Gerenciador de Servidores para administrar seus servidores?
1-31
Gerenciador de Dispositivos
Pontos principais
Um dos usos mais comuns do Gerenciador de Dispositivos atualizar drivers de dispositivo, que so usados pelo sistema operacional para se comunicar com dispositivos como adaptadores de rede ou de vdeo. Se for utilizado um driver incorreto, provavelmente o dispositivo ter funcionalidade limitada ou nula. O Gerenciador de Dispositivos indica se um dispositivo est desabilitado ou no est funcionando corretamente. Isso facilita a identificao de componentes com defeito.
Pergunta: Por que voc atualizaria o driver de um dispositivo que parece estar funcionando corretamente?
1-32
Pontos principais
Relatrios de Problemas e Solues um utilitrio para monitoramento e soluo de problemas do sistema. Ele registra os detalhes de um problema no sistema e entra em contato com a Microsoft para obter uma soluo. Pergunta: Em que o utilitrio Relatrios de Problemas e Solues melhor que o utilitrio Dr. Watson encontrado nas verses anteriores do sistema operacional Microsoft Windows?
1-33
Pontos principais
Usar o utilitrio Relatrios de Problemas e Solues. Usar o Gerenciador de Servidores. Usar o Gerenciamento do Computador. Usar o Gerenciador de Dispositivos.
Pergunta: Quais das ferramentas administrativas demonstradas voc usar com mais freqncia?
1-34
Pontos principais
As tarefas administrativas podem ser agrupadas pela tarefa na qual cada ferramenta ser comumente usada. s vezes, vrias ferramentas podem ser utilizadas para realizar uma nica tarefa. Pergunta: Descreva uma ou mais tarefas administrativas comuns que voc realiza em seu ambiente de trabalho e uma ferramenta que seria usada para isso.
1-35
Lio 4
A rea de Trabalho Remota para Administrao amplamente usada pela maioria das organizaes para acessar servidores remotamente e executar manuteno do sistema. H muitas opes de configurao que voc pode usar para controlar a segurana das conexes e outras caractersticas de conexo. A rea de Trabalho Remota para Administrao pode ajudar voc a reduzir o tempo e o esforo envolvidos nas tarefas de administrao de servidor.
1-36
Pontos principais
O servio rea de Trabalho Remota para Administrao permite que os administradores acessem remotamente a rea de trabalho de um computador que executa o Windows Server 2008. Pode ser usado para acessar um servidor a partir de uma rea de trabalho corporativa ou de um local remoto. Observe as principais diferenas entre a rea de Trabalho Remota para Administrao e a funo Servios de Terminal do Windows Server 2008: A rea de Trabalho Remota para Administrao est limitada a duas conexes remotas simultneas. A rea de Trabalho Remota para Administrao no requer licenciamento extra. A rea de Trabalho Remota para Administrao instalada mas no habilitada por padro.
1-37
Observao: a rea de Trabalho Remota para Administrao gera uma quantidade de dados de rede muito menor que os utilitrios de gerenciamento do servidor pela rede a partir de uma estao de trabalho.
Pergunta: Que riscos h em permitir que um administrador do servidor use de casa a rea de Trabalho Remota para Administrao?
1-38
Pontos principais
A rea de Trabalho Remota para Administrao uma ferramenta til com diversas vantagens.
Observao: embora a Server Core no inclua uma rea de trabalho grfica, possvel habilitar a rea de Trabalho Remota para Administrao. Depois de conect-la, voc ver um prompt de comando em vez de uma rea de trabalho do Windows.
Pergunta: A rea de Trabalho Remota para Administrao pode reduzir os custos de uma organizao?
1-39
Pontos principais
Exibir as opes de rea de Trabalho Remota em NYC-CL1. Descrever as opes nas seguintes guias: Guia Geral Guia Exibio Guia Recursos Locais Guia Programas Guia Experincia Guia Avanado
Pergunta: Por que voc desabilitaria recursos de cliente como impressoras e unidades locais?
1-40
Pontos principais
O primeiro nvel de proteo da rea de Trabalho Remota para Administrao controlar quem poder us-la. A rea de Trabalho Remota para Administrao est desabilitada por padro. Em instalaes de alta segurana, recomendvel no alterar essa configurao. Com a rea de Trabalho Remota para Administrao habilitada, possvel controlar o acesso dos usurios tornando-os membros do grupo Usurios da rea de Trabalho Remota. Os membros do grupo Administradores Locais tm autorizao para conexo por padro. A camada de segurana determina o tipo de criptografia executada entre o cliente e o servidor.
1-41
O nvel de criptografia controla quais dados sero criptografados e com que intensidade. A configurao Exigir Autenticao em Nvel de Rede requer que os usurios digitem um nome e uma senha antes de se conectarem ao servidor.
1-42
Pontos principais
Em NYC-DC1, habilitar a rea de Trabalho Remota para Administrao. Definir as configuraes de segurana em NYC-DC1. Conectar-se ao console com a opo /console.
Pergunta: Quando vale a pena se conectar ao console do servidor em vez de a uma sesso remota?
1-43
1-44
2. 3. 4. 5. 6. 7. 8.
1-45
Tarefa 2: Conceder a Jordo Moreno o acesso rea de Trabalho Remota para Administrao em NYC-SVR1
Em NYC-SVR1, em Configuraes Remotas, adicione Jordo Moreno como usurio autorizado a se conectar remotamente.
1-46
Tarefa 4: Dar direitos a Jordo Moreno para executar o Monitor de Confiabilidade e Desempenho
Em NYC-SVR1, utilize Usurios e Grupos Locais para adicionar Jordo Moreno como membro de Usurios do Log de Desempenho.
Na janela Conexo de rea de Trabalho Remota, abra o Monitor de Confiabilidade e Desempenho. Observe que os dados associados Viso Geral do Recurso no esto disponveis para Jordo Moreno porque ele no um administrador local. Verifique se Jordo Moreno consegue exibir informaes no Monitor de Desempenho.
Resultados: depois de concluir este exerccio, voc ter usado a conta de Jordo Moreno para acessar NYC-SVR1 remotamente e executar o Monitor de Confiabilidade e Desempenho.
4.
1-47
Encerramento do laboratrio
Depois de concluir o laboratrio, voc deve desligar as mquinas virtuais 10140A-NYC-DC1, 10140A-NYC-CL1 e 10140A-NYC-SVR1 e descartar as alteraes.
1-48
Perguntas de reviso
1. 2. 3. 4. Que funo de servidor deve ser instalada para configurar o Windows Server 2008 como um controlador de domnio? Qual a relao entre domnios e florestas do Active Directory? Qual ferramenta administrativa rastreia falhas de sistema e tenta resolv-las? Durante o monitoramento de desempenho, que ferramentas podem ser usadas para controlar a utilizao da CPU ao longo do tempo?
1-49
2.
3.
1-50
Ferramentas
Ferramenta Usurios e Computadores do Active Directory Domnios e Relaes de Confiana do Active Directory Servios e Sites do Active Directory ADSI Edit Use para Criar contas de usurio Onde encontr-la Ferramentas Administrativas Ferramentas Administrativas Ferramentas Administrativas Ferramentas Administrativas Prompt de comando
Exibir e gerenciar relaes de confiana Exibir e gerenciar sites do Active Directory Executar edies manuais de objetos do Active Directory
Criar consoles
personalizados Relatrios de Problemas e Solues Gerenciador de Servidores
Adicionar ou remover
recursos e funes de servidor
Gerenciar armazenamento
do servidor Gerenciamento do Computador
Ferramentas Administrativas
Gerenciar armazenamento
do servidor
1-51
(continuao)
Ferramenta Gerenciador de Dispositivos Use para Onde encontr-la Ferramentas Administrativas, Gerenciamento do Computador, Gerenciamento do Servidor Ctrl+Alt+Del, clique com o boto direito na barra de tarefas, Ctrl+Shift+Esc Ferramentas Administrativas
Gerenciador de Tarefas
Exibir aplicativos e
processos
Viso Geral do Recurso Monitor de Desempenho Monitor de Confiabilidade Conjuntos de Coletores de Dados
Visualizar Eventos
Consultar eventos
rea de Trabalho Remota para Administrao
Configurar a rea de
Trabalho Remota para Administrao
1-52
(continuao)
Ferramenta Usurios e Computadores do Active Directory Executar como Administrador Use para Onde encontr-la Ferramentas Administrativas Menu de contexto ao clicar com o boto direito do mouse em um atalho de aplicativo Prompt de comando
Elevar privilgios de um
programa
runas
Elevar privilgios de um
programa
2-1
Mdulo 2
Criao de objetos de computador e de usurio dos Servios de Domnio Active Directory
Sumrio:
Lio 1: Gerenciamento de contas de usurio Lio 2: Criao de contas de computador Lio 3: Automatizao do gerenciamento de objetos do AD DS Lio 4: Uso de consultas para localizar objetos no AD DS 2-3 2-17 2-24 2-33
Laboratrio: Criao de objetos de computador e de usurio dos Servios de Domnio Active Directory 2-39
2-2
Uma das suas funes como administrador dos Servios de Domnio Active Directory (AD DS) gerenciar contas de usurio e de computador. Essas contas so objetos do AD DS usados para fazer logon na rede e acessar recursos. Neste mdulo, voc aprender a modificar contas de usurio e de computador em computadores que executam o sistema operacional Microsoft Windows Server 2008 em um ambiente em rede.
2-3
Lio 1
No AD DS para Windows Server 2008, todos os usurios que precisem de acesso a recursos de rede devem ser configurados com uma conta de usurio. Com ela, eles podero ser autenticados no domnio do AD DS e receber acesso aos recursos de rede. Como administrador do AD DS, voc precisa saber como criar e configurar contas de usurio.
2-4
Pontos principais
Uma conta de usurio um objeto que contm todas as informaes que definem um usurio no Windows Server 2008. Pode ser uma conta local ou de domnio. Uma conta de usurio inclui o nome de usurio e a senha, bem como associaes de grupo. Tambm contm muitas outras configuraes que podem ser definidas com base nos seus requisitos organizacionais.
2-5
Uso
Com uma conta de usurio, possvel: Permitir ou negar aos usurios o logon em um computador baseado na identidade da conta de usurio. Conceder aos usurios o acesso a processos e servios referentes a um determinado contexto de segurana. Gerenciar o acesso dos usurios a recursos como objetos do AD DS e seus arquivos, diretrios, propriedades, pastas compartilhadas e filas de impressora.
Pergunta: Cite pelo menos uma vantagem de criar contas locais e outra de criar contas de domnio.
2-6
Pontos principais
Ao criar uma conta de usurio, um administrador fornece um nome de logon de usurio, que precisa ser exclusivo no domnio/floresta em que a conta de usurio foi criada.
Pergunta: Cite pelo menos um exemplo de um nome de usurio de domnio exclusivo, escalonvel e vlido.
2-7
Pontos principais
Como administrador do sistema, voc pode gerenciar opes de senha de conta de usurio. Essas opes podem ser definidas durante a criao da conta de usurio ou na caixa de dilogo Propriedades de uma conta de usurio. Os administradores do sistema tambm podem alterar as configuraes padro de complexidade de senha de domnio acessando o Editor de Gerenciamento de Diretiva de Grupo. Para configur-las, basta navegar para: Configurao do Computador\Diretivas\Configuraes do Windows\Configuraes de Segurana\Diretivas de Conta\Diretiva de Senha. Pergunta: Cite pelo menos um exemplo de senha forte.
2-8
Pontos principais
Algumas tarefas de usurio padro comuns so: redefinio de senhas, configurao do gerenciamento de grupos, atribuio de perfis de usurio, criao de diretrios base e definio da validade de usurios. A funo Redefinio de Senha acessada pelo console de gerenciamento de Usurios e Computadores do Active Directory. Os administradores podem acessar qualquer registro de usurio com facilidade e redefinir a senha atravs de um menu de contexto. A funcionalidade Gerenciamento de Grupos tambm acessada pelo console de gerenciamento de Usurios e Computadores do Active Directory. Os administradores podem criar grupos e depois atribu-los aos usurios selecionando o usurio e adicionando-o a um grupo. Os administradores podem definir uma data de validade para usurios no console de gerenciamento de Usurios e Computadores do Active Directory durante a criao de novos usurios.
2-9
No console de gerenciamento de Usurios e Computadores do Active Directory, os administradores podem definir horrios de logon, estabelecendo perodos especficos para um usurio acessar um computador. Os administradores podem atribuir um diretrio base aos usurios no console de gerenciamento de Usurios e Computadores do Active Directory acessando um usurio e especificando seu respectivo diretrio base na seo Pasta Base. Os administradores podem atribuir perfis personalizados aos usurios no console de gerenciamento de Usurios e Computadores do Active Directory. Isso lhes permite conceder aos usurios o acesso a recursos.
Pergunta: Por padro, quantas vezes os usurios podem tentar fazer logon antes de serem bloqueados?
2-10
Csvde
A ferramenta de linha de comando Csvde usa um arquivo de texto delimitado por vrgula, tambm chamado de formato CSV (valores separados por vrgula), como entrada para criar vrias contas no AD DS.
2-11
Ldifde
A ferramenta de linha de comando Ldifde usa um formato de valor separado por linha para criar, modificar e excluir objetos do Active Directory.
Windows PowerShell
Use o Windows PowerShell quando quiser alterar os valores de atributo para vrios objetos do Active Directory ou quando os critrios de seleo desses objetos forem complexos. Pergunta: Liste pelo menos dois critrios necessrios ao selecionar os mtodos disponveis para automatizar a criao de usurios.
2-12
Pontos-chave: Em Usurios e Computadores do Active Directory, adicionar um usurio. Adicionar um usurio atravs do comando Dsadd. Examinar conta de usurio e propriedades. Renomear conta em Usurios e Computadores do Active Directory. Renomear conta usando o comando Dsmod. Examinar configuraes de complexidade de senha.
2-13
Pergunta: Como voc criaria vrios objetos de usurio com as mesmas configuraes para atributos, como departamento e endereo comercial? Pergunta: Em que circunstncias voc desabilitaria uma conta de usurio em vez de exclu-la? Pergunta: Por que o sistema solicita que voc altere os nomes adicionais quando o nome de usurio sofre alguma modificao? Pergunta: Por que voc renomearia um nome de usurio no AD DS alterado por um usurio em vez de excluir a conta e criar uma nova conta com o novo nome?
2-14
Pontos principais
O modelo de conta de usurio uma conta com propriedades e configuraes comumente usadas j definidas. Ele serve para simplificar o processo de criao de contas de usurio de domnio. Para executar este procedimento, voc deve ter recebido a autoridade apropriada ou ser membro dos grupos Opers. de Contas, Admins. do Domnio ou Administrao de Empresa no Active Directory. Para abrir Usurios e Computadores do Active Directory, clique em Iniciar e em Painel de Controle. Em seguida, clique duas vezes em Ferramentas Administrativas e em Usurios e Computadores do Active Directory. Por motivos de segurana, para impedir que um determinado usurio faa logon, voc pode desabilitar contas de usurio em vez de exclu-las. Se voc criar contas de usurio desabilitadas com associaes de grupo comuns, poder utiliz-las como modelos de conta para simplificar a criao de contas de usurio.
2-15
Informaes como horrios de logon e grupos so retidas quando um novo usurio criado a partir de um modelo, mas os atributos Descrio e Escritrio no so replicados. possvel exibir e modificar outros atributos no snap-in do MMC Esquema do Active Directory.
Pergunta: Cite pelo menos um exemplo de como a sua empresa usa modelos de conta.
2-16
Pontos principais
Utilizar Usurios e Computadores do Active Directory para adicionar um novo usurio ao continer Users. Copiar a conta de modelo e renomear seus atributos de identidade.
Pergunta: Por que alguns campos no so populados quando um novo usurio criado a partir de um modelo? Pergunta: Como voc poderia facilitar a localizao de uma conta de modelo no AD DS?
2-17
Lio 2
No AD DS, os computadores so entidades de segurana, exatamente como os usurios. Isso significa que precisam ter contas e senhas. Para ser totalmente autenticado pelo AD DS, um usurio deve ter uma conta de usurio vlida e fazer logon no domnio a partir de um computador que tenha uma conta de computador vlida. Todos os computadores que executem o Microsoft Windows NT ou sistemas operacionais posteriores devem ter contas de computador no AD DS.
2-18
Pontos principais
Os computadores acessam recursos de rede para executar tarefas-chave como autenticar logon de usurio, obter um endereo IP e receber diretivas de segurana. Para obter acesso total a esses recursos, os computadores precisam ter contas vlidas no AD DS. As duas principais funes de uma conta de computador so as atividades de gerenciamento e segurana. Pergunta: Cite pelo menos uma maneira pela qual a sua empresa gerencia as contas de computador.
2-19
Pontos principais
possvel criar contas de computador no AD DS ingressando o computador no domnio ou pr-testando contas de computador antes de ingressar o computador no domnio. Isso pode ser feito tanto por administradores como por usurios. O pr-teste da conta consiste em criar a conta de computador no AD antes de ingressar o computador no domnio. Se voc precisar proteger a conta de pr-teste, poder fornecer um GUID de pr-teste que depois ser usado apenas pelo computador ao qual ele corresponda.
2-20
2-21
Pontos principais
As propriedades usadas com mais freqncia para contas de computador no AD DS so Local e Gerenciado por. Para fazer a manuteno de computadores, preciso saber onde eles esto localizados fisicamente. A propriedade Local pode ser usada para documentar o local fsico do computador na rede. A propriedade Gerenciado por lista o responsvel pelo computador. Essas informaes podem ser teis quando se tem um data center com servidores para departamentos diferentes e preciso fazer manuteno no servidor. Elas permitem que voc ligue ou envie um email para a pessoa responsvel pelo servidor antes de fazer a manuteno nele.
Pergunta: Como as propriedades Local e Gerenciado por podem ser usadas para automatizar o gerenciamento de contas de computador?
2-22
Pontos principais
Criar uma conta de usurio normal em Usurios e Computadores do Active Directory. Definir as configuraes da conta de computador. Desabilitar e redefinir uma conta.
2-23
Pergunta: Uma usuria tirou uma licena de dois meses no trabalho. Durante esse perodo, o computador dela ficar sem uso e voc quer garantir que ningum possa fazer logon nele enquanto ela estiver fora. Entretanto, voc deseja minimizar o esforo necessrio para a usuria comear a usar o computador quando retornar. Como configurar a conta de computador? Pergunta: Voc est pr-testando 100 contas de computador para estaes de trabalho que sero adicionadas ao domnio durante as prximas semanas. Voc deseja garantir que somente membros da equipe de suporte de desktop possam adicionar os computadores ao domnio. O que fazer?
2-24
Lio 3:
Na maioria dos casos, provvel que voc crie e configure objetos do AD DS individualmente. Entretanto, em algumas situaes, talvez seja necessrio criar ou modificar a configurao para muitos objetos simultaneamente. Por exemplo, se a sua organizao contratar um grande nmero de empregados novos, convm automatizar o processo de configurao de novas contas. Caso ela seja movida para um novo local, talvez seja melhor automatizar a tarefa de atribuio de novos endereos e nmeros de telefone para todos os usurios. Esta lio descreve como gerenciar vrios objetos do AD DS.
2-25
Pontos principais
O Windows Server 2008 fornece diversas ferramentas que podem ser usadas para criar ou modificar vrias contas de usurio automaticamente no AD DS. Algumas dessas ferramentas exigem o uso de um arquivo de texto que contenha informaes sobre as contas de usurio a serem criadas. Tambm possvel criar scripts do Windows PowerShell para adicionar objetos ou fazer alteraes em objetos do Active Directory. Os administradores podem ainda usar o Microsoft Visual Basic Scripting Edition (VBScript) para gerenciar objetos do Active Directory. Se os alunos j tiverem scripts em VB desenvolvidos, provavelmente podero reutiliz-los com poucas modificaes. Pergunta: Cite pelo menos uma maneira pela qual a sua organizao empregou essas ferramentas para automatizar objetos do AD DS.
2-26
Pontos principais
Use estas ferramentas de linha de comando para configurar objetos do AD DS. Exemplos: Dsadd - dsadd user "cn=Paulo Neves,cn=users,dc=contoso,dc=com" samid Paulo fn Paulo ln Neves display "Paulo Neves" pwd Pa$$w0rd Dsmod - dsmod computer "cn=sales2,ou=sales,dc=contoso,dc=com" -loc Downtown desc Workstation Dsrm - dsrm -subtree -c "cn=sales2,ou=sales,dc=contoso,dc=com" Dsget - dsget user "cn=Paulo Neves,cn=users,dc=contoso,dc=com" -memberof net user - net user Manuel Oliveira Pa$$w0rd /ad
2-27
Net group - Net group SalesGroup Manuel Oliveira Net computer - Net computer //Sales2 /Del
Pergunta: Cite pelo menos um exemplo do motivo pelo qual um administrador desejaria usar ferramentas de linha de comando.
2-28
Pontos principais
A ferramenta de linha de comando Ldifde serve para criar e fazer alteraes em vrias contas. Quando decidir us-la, voc precisar de um arquivo de texto separado por linha para fornecer as informaes de entrada do comando. Pergunta: Cite pelo menos uma maneira pela qual LDIFDE torna o gerenciamento de usurios mais confivel e escalonvel.
2-29
Pontos principais
Voc pode usar a ferramenta de linha de comando Csvde para criar vrias contas no AD DS, mas no para alter-las. Pergunta: Cite pelo menos uma vantagem de usar CSVDE e no LDIFDE ao gerenciar objetos de usurio.
2-30
Pontos principais
O Windows PowerShell uma tecnologia extensvel de script e linha de comando que pode ser usada por desenvolvedores e administradores para automatizar tarefas em um ambiente Windows. Ele utiliza um conjunto de pequenos cmdlets que executam individualmente uma determinada tarefa, mas tambm podem ser combinados em vrios cmdlets para executar tarefas administrativas complexas. O Windows PowerShell pode ser acessado diretamente pelo novo shell de comando, chamado PowerShell.exe. Executando o Windows PowerShell a partir desse shell de comando, voc pode realizar uma boa parte das tarefas que faria com o shell de comando tradicional (cmd.exe) e muito mais. Pergunta: Qual a diferena entre o prompt de comando e o Windows PowerShell?
2-31
Pontos principais
fcil aprender a lidar com o Windows PowerShell devido aos cmdlets. O pipelining consistente em todos os cmdlets. Pergunta: Cite pelo menos um cmdlet de gerenciamento importante.
2-32
Pontos principais
Examinar comandos cmdlet internos. Criar comandos complexos usando pipelines e Preenchimento Automtico. Examinar e executar um script pr-existente.
Pergunta: Quais so as vantagens e desvantagens de modificar objetos do Active Directory usando scripts do Windows PowerShell? Como lidar com as desvantagens?
2-33
Lio 4
Algumas organizaes de grande porte tm milhares de contas de usurio em um domnio do AD DS. Mesmo que essas contas estejam agrupadas em diferentes UOs, pode ser demorado encontrar um determinado usurio no domnio. O Windows Server 2008 fornece vrios recursos em Usurios e Computadores do Active Directory que facilitam a localizao desses usurios.
2-34
Pontos principais
Existem vrias opes disponveis nas ferramentas de administrao do Windows Server 2008 que podem tornar mais eficiente a procura por contas de usurio em domnios com muitos usurios. Para classificar a ordem de objetos em Usurios e Computadores do Active Directory: 1. 2. Exiba as contas de usurio em seu respectivo continer em Usurios e Computadores do Active Directory. Clique em qualquer cabealho de coluna para classificar a ordem dos objetos (crescente ou decrescente).
Tambm possvel adicionar mais colunas exibio e depois classific-la com base na coluna adicional.
2-35
2-36
Demonstrao: Pesquisa no AD DS
Pontos principais
Criar uma consulta salva. Exportar uma consulta para um arquivo .xml.
Pergunta: Voc precisa atualizar o nmero de telefone de um usurio, mas s tem o nome e o sobrenome dele e no sabe em qual UO o objeto est contido. Qual a maneira mais rpida de localizar a conta de usurio? Pergunta: Voc precisa criar uma nova conta de usurio e deseja verificar se um determinado nome de usurio j est em uso no domnio. Como voc poderia fazer isso?
2-37
Pontos principais
A ferramenta de gerenciamento Usurios e Computadores do Active Directory tem uma pasta chamada Consultas Salvas na qual possvel criar, editar, salvar e organizar consultas salvas. Essas consultas usam cadeias LDAP pr-definidas para pesquisar somente a partio de domnio especificada, permitindo que voc concentre as pesquisas em um nico objeto de continer. Voc tambm pode criar uma consulta salva personalizada que contenha um filtro de pesquisa LDAP. As consultas so especficas ao controlador de domnio no qual foram criadas. Depois de criar um conjunto personalizado de consultas, copie o arquivo .msc para outros controladores de domnio do Windows Server 2008 que estejam no mesmo domnio e reutilize o conjunto de consultas salvas. As consultas tambm podem ser compartilhadas em todo o domnio por meio de sua exportao para arquivos XML e posterior importao desses arquivos para outros controladores de domnio. Pergunta: Cite pelo menos uma maneira pela qual as consultas salvas facilitam a manuteno a longo prazo da sua organizao.
2-38
Pontos principais
Criar uma consulta salva. Exportar uma consulta para um arquivo .xml.
Pergunta: Voc precisa localizar todas as contas de usurio em seu domnio do AD DS que no esto mais ativas. Como voc faria isso?
2-39
Cenrio
O Woodgrove Bank uma empresa com escritrios em vrias cidades do mundo. Ele implantou o AD DS para o Windows Server 2008. Como um dos administradores da rede, uma de suas tarefas principais ser criar e gerenciar contas de usurio e de computador.
2-40
2-41
Em NYC-CL1, verifique se consegue fazer logon como Rui, com a senha Pa$$w0rd. Quando solicitado, altere a senha para Pa$$w0rd1. Faa logoff de NYC-CL1.
2-42
Tarefa 4: Criar um modelo para o departamento Servio de Atendimento ao Consumidor de Nova York
Na UO CustomerService, crie e defina uma conta de usurio com as configuraes de propriedades da seguinte tabela:
Propriedade Nome Sobrenome Nome completo Nome de logon do usurio Senha Descrio Escritrio Membro de Departamento Horrios de logon Desabilitar a conta Valor CustomerService Template CustomerService Template _ CustomerServiceTemplate Pa$$w0rd Representante do servio de atendimento ao consumidor Sede em Nova York NYC_CustomerServiceGG Servio de atendimento ao consumidor 6h s 18h de segunda a sexta-feira
Tarefa 5: Criar uma nova conta de usurio com base no modelo do servio de atendimento ao consumidor
1. Copie CustomerService Template e crie um novo usurio com os seguintes parmetros: 2. Nome: Jos Sobrenome: Saraiva Nome de logon do usurio: Jos Senha: Pa$$w0rd
Habilite a conta.
2-43
Tarefa 6: Modificar as propriedades da conta de usurio para todos os representantes do servio de atendimento ao consumidor em Nova York
1. Na UO CustomerService, atualize as propriedades de todos os usurios para refletir as seguintes informaes: 2. Descrio: Representante do servio de atendimento ao consumidor Escritrio: Sede em Nova York Departamento: Servio de atendimento ao consumidor
Exiba as propriedades de uma das contas de usurio na UO para confirmar se os atributos Descrio, Escritrio e Departamento foram atualizados.
Tarefa 8: Criar uma consulta salva para localizar todos os usurios de Investimentos
1. Em Usurios e Computadores do Active Directory, crie uma nova consulta salva chamada Find_Investment_Users, que ir procurar todos os usurios com o atributo Departamento que comece com Investments. Verifique se a consulta exibe todos os usurios no departamento Investimentos em cada cidade.
Resultado: depois de concluir este exerccio, voc ter criado e configurado contas de usurio. Tambm ter criado um modelo e uma conta de usurio com base nele. Por fim, voc ter criado uma consulta salva e verificado sua capacidade de retornar os resultados de pesquisa esperados.
2.
2-44
Tarefa 1: Criar uma conta de computador usando Usurios e Computadores do Active Directory
1. 2. Em NYC-DC1, em Usurios e Computadores do Active Directory, crie uma nova conta de computador chamada Vista1 no continer Computers. Defina as configuraes da conta de computador para que Luciana Ramos possa ingressar o computador no domnio.
Observao: o sistema solicitar sua autenticao. Autentique como Administrador com a senha Pa$$w0rd.
2-45
4. 5. 6. 7. 8. 9.
Reinicie o computador. Depois que o computador reiniciar, faa logon como Administrator com a senha Pa$$w0rd. Acesse o painel de controle Sistema e clique em Alterar configuraes. Configure o computador para ser membro do domnio WoodgroveBank.com. Use as credenciais de administrador para ingressar o computador no domnio. Reinicie o computador.
10. Em NYC-DC1, em Usurios e Computadores do Active Directory, verifique se a conta NYC-CL3 foi adicionada ao domnio. 11. Em NYC-CL3, verifique se consegue fazer logon como WoodgroveBank\Jordo, com a senha Pa$$w0rd.
Resultado: depois de concluir este exerccio, voc ter criado e configurado contas de computador, excludo uma conta de computador e ingressado um computador em um domnio do AD DS.
2-46
Tarefa 1: Modificar e usar o arquivo Importusers.csv para importar um grupo de usurios para o AD DS
1. Em NYC-DC1, v para E:\Mod02\Labfiles e abra ImportUsers.csv com o Bloco de Notas. Examine as informaes do cabealho necessrias para criar UOs e contas de usurio. Copie e cole o contedo do arquivo ImportUsers.txt no arquivo ImportUsers.csv, comeando pela segunda linha. Salve o arquivo como C:\import.csv. No prompt de comando, digite CSVDE I F C:\import.csv e pressione ENTER. Em Usurios e Computadores do Active Directory, verifique se a UO Houston e cinco UOs filho foram criadas e se vrias contas de usurio foram criadas em cada UO.
2.
3. 4.
2-47
Tarefa 2: Modificar e executar o script ActivateUser.vbs para habilitar as contas de usurio importadas e atribuir uma senha a cada conta
1. 2. 3. Em NYC-DC1, em E:\ Mod02\Labfiles, edite Activateusers.vbs. Altere o valor do continer na segunda linha para: OU=BranchManagers,OU=Houston,DC=WoodgroveBank,DC=com. Modifique os valores do continer nas linhas adicionais no final do script para incluir as UOs a seguir e depois salve o arquivo: 4. 5. OU=CustomerService,OU=Houston,DC=WoodgroveBank,DC=com OU=Executives,OU=Houston,DC=WoodgroveBank,DC=com OU=Investments,OU=Houston,DC=WoodgroveBank,DC=com OU=ITAdmins,OU=Houston,DC=WoodgroveBank,DC=com
Salve o arquivo como c:\Activateusers.vbs e execute usando Cscript c:\Activateusers.vbs. Em Usurios e Computadores do Active Directory, v para a UO Houston e confirme se as contas de usurio em todas as UOs filho esto ativadas.
Tarefa 3: Modificar e usar o arquivo Modifyusers.ldf para se preparar para alterar as propriedades de um grupo de usurios no AD DS
1. Em NYC-DC1, exporte todas as contas de usurio nas UOs filho de Houston usando o seguinte comando: LDIFDE f c:\Modifyusers.ldf d "OU=Houston,DC=WoodgroveBank,DC=com" r "objectClass=user" l physicalDeliveryOfficeName. 2. 3. 4. Edite o arquivo C:\Modifyusers.ldf. No menu Editar, use a opo Substituir para substituir todas as instncias de changetype: add por changetype: modify. Depois de cada linha changetype, adicione as seguintes linhas: replace: physicalDeliveryOfficeName physicalDeliveryOfficeName: Houston 5. No final da entrada de cada usurio, adicione um travesso () em sua prpria linha seguido de uma linha em branco.
2-48
6. 7. 8.
Salve o arquivo como C:\Modifyusers. No prompt de comando, digite ldifde I f c:\Modifyusers.ldf e pressione ENTER. Em Usurios e Computadores do Active Directory, verifique se o atributo Escritrio para as contas de usurio em Houston foi atualizado com o local Houston.
Observao: o sistema solicitar sua autenticao. Autentique como Administrator com a senha Pa$$w0rd. Em Usurios e Computadores do Active Directory, na UO ITAdmins, verifique se o usurio Edmund foi criado.
2-49
Perguntas de reviso
1. Voc responsvel pelo gerenciamento de contas e do acesso a recursos para membros do seu grupo. Um usurio do seu grupo saiu da empresa e um substituto dever chegar daqui a alguns dias. O que voc deve fazer com a conta do usurio anterior? Um usurio do seu grupo precisa criar um laboratrio de teste com 24 computadores que faro parte do domnio, mas a conta deve ser criada em uma UO separada. Qual a melhor forma de fazer isso? Voc responsvel pela manuteno dos servidores na sua organizao. Voc deseja permitir que outros administradores na organizao determinem o local fsico de cada servidor sem que seja necessrio adicionar outras tarefas administrativas ou criar documentos extras. Como possvel fazer isso?
2.
3.
2-50
4.
Para acelerar o processo de criao de novas contas quando novos funcionrios entrarem no grupo, voc criou uma srie de modelos de conta que serviro para criar novos grupos e contas de usurio. Voc avisado de que um usurio com uma conta criada com o uso de um dos modelos de conta que no de gerente est tentando acessar arquivos restritos ao grupo Gerentes. O que fazer? Voc responsvel pelo gerenciamento de contas de computador no seu grupo. Um usurio reporta que no consegue fazer logon no domnio a partir de uma determinado computador, mas consegue de outros computadores. O que fazer? Voc determinou as melhores maneiras de procurar objetos do Active Directory e documentou os critrios de pesquisa recomendados. Entretanto, os administradores lhe dizem que criar e executar a pesquisa est demorando muito. Aps uma nova pesquisa, voc determina que a maioria dos administradores do sistema est procurando as mesmas informaes. O que voc pode fazer para acelerar o processo?
5.
6.
3-1
Mdulo 3
Criao de grupos e unidades organizacionais
Sumrio:
Lio 1: Introduo a grupos do AD DS Lio 2: Gerenciamento de grupos Lio 3: Criao de unidades organizacionais Laboratrio: Criao de uma infra-estrutura de UOs 3-3 3-17 3-22 3-29
3-2
Uma das funes primordiais de um servio de diretrio, como os Servios de Domnio Active Directory (AD DS), fornecer autorizao para o acesso a recursos de rede. Embora esse acesso esteja baseado em contas de usurio individuais, no convm administr-lo usando tais contas na maior parte dos casos. Em uma empresa de grande porte, isso resultaria em um esforo administrativo considervel. Como difcil gerenciar o acesso a recursos de rede usando contas de usurio individuais, voc deve aprender a criar objetos de grupo para gerenciar grandes colees de usurios ao mesmo tempo. Em um domnio do Active Directory, possvel organizar usurios e computadores em unidades organizacionais (UOs). Uma UO pode ser usada para agrupar e organizar objetos para fins administrativos, como delegar direitos administrativos e atribuir configuraes de Diretiva de Grupo a uma coleo de objetos como uma nica unidade.
3-3
Lio 1
Introduo a grupos
Um grupo uma coleo de contas de usurio ou de computador. Os grupos so usados para gerenciar de modo eficaz o acesso a recursos do domnio, ajudando a simplificar a administrao e o gerenciamento da rede. Voc pode us-los separadamente ou incluir um grupo em outro para simplificar ainda mais a administrao. Esta lio descreve como usar e configurar grupos.
3-4
O que so grupos?
Pontos principais
Grupos so uma coleo lgica de objetos do AD DS, como usurios, computadores ou outros grupos. Eles podem ser formados de acordo com seus departamentos, locais ou recursos. Os grupos so uma ferramenta administrativa importante para simplificar a administrao e permitem atribuir permisses para recursos a vrios usurios ou computadores ao mesmo tempo, em vez de individualmente.
Observao: os grupos podero ser convertidos de distribuio a segurana (ou viceversa) se o nvel funcional de domnio for Microsoft Windows 2000 nativo ou verses posteriores.
3-5
Os administradores podem atribuir determinados direitos a contas de grupo ou a contas de usurio individuais. Esses direitos autorizam os usurios a executar aes especficas, como fazer logon em um sistema interativamente ou fazer backup de arquivos e diretrios. Os direitos de usurio so diferentes das permisses porque se aplicam a contas de usurio, enquanto as permisses esto associadas a objetos.
Escopos de grupo
Existem trs escopos de grupo disponveis: Domnio Local Global Universal
Pergunta: Descreva uma situao em que voc usaria um grupo de distribuio em vez de um grupo de segurana.
3-6
Pontos principais
Os nveis funcionais determinam os recursos de floresta ou de domnio do AD DS. Tambm so eles que definem quais sistemas operacionais Windows Server podem ser executados em controladores de domnio na floresta ou no domnio. Entretanto, os nveis funcionais no interferem em quais sistemas operacionais podero ser executados em estaes de trabalho e quais servidores membro ingressaro na floresta ou no domnio. Ao implantar o AD DS, defina os nveis funcionais de domnio e de floresta como o maior valor aceito pelo seu ambiente. Dessa forma, voc poder usar todos os recursos do AD DS possveis. Por exemplo, se voc tiver certeza de que nunca adicionar controladores de domnio que executam o Microsoft Windows Server 2003 floresta ou ao domnio, selecione o nvel funcional do Microsoft Windows Server 2008 durante o processo de implantao. No entanto, caso haja a possibilidade de voc vir a reter ou adicionar controladores de domnio que executam o Windows Server 2003, selecione o nvel funcional do Windows Server 2003.
3-7
Depois de elevar o nvel funcional de floresta ou de domnio, voc no pode voltar a um nvel mais baixo. Pergunta: Qual o nvel funcional de domnio atual em sua organizao? Caso no saiba, que nvel funcional voc acha que deve ter?
3-8
Pontos principais
Um grupo global um grupo de segurana ou de distribuio que pode conter usurios, grupos e computadores que pertencem ao mesmo domnio do grupo global. Voc pode usar os grupos de segurana globais para atribuir direitos de usurio, delegar autoridade a objetos do AD DS ou atribuir permisses a recursos em qualquer domnio da floresta ou em qualquer outro domnio confiante de outra floresta. Use grupos com escopo global para gerenciar objetos de diretrio que requeiram manuteno diria, como contas de usurio e de computador. Como os grupos com esse escopo no so replicados fora de seu prprio domnio, muitas vezes possvel alterar contas em um grupo que tenha escopo global sem gerar trfego de replicao para o catlogo global. Para criar grupos globais, necessrio que o nvel funcional de domnio seja Microsoft Windows 2000 nativo, Windows Server 2003 ou Windows Server 2008. Pergunta: De que maneiras voc poderia usar grupos globais em sua organizao?
3-9
Pontos principais
Um grupo universal um grupo de segurana ou de distribuio que pode conter usurios, grupos e computadores de qualquer domnio em sua floresta. Voc pode usar grupos de segurana universais para atribuir permisses e direitos de usurio a recursos em qualquer domnio da floresta. As alteraes feitas nos grupos universais so registradas no Catlogo Global. Por isso, no recomendvel alterar a associao de um grupo com escopo universal com freqncia. Qualquer alterao na associao desse tipo de grupo faz com que a associao inteira do grupo seja replicada em cada catlogo global na floresta. Quando o nvel funcional de domnio est definido como Windows 2000 misto, no possvel criar grupos de segurana com escopo universal, embora grupos de distribuio com esse escopo ainda sejam permitidos. No nvel funcional de domnio do Windows 2000 nativo e superior, os grupos universais esto disponveis tanto para os grupos de distribuio quanto para os grupos de segurana. Pergunta: De que maneiras voc poderia usar grupos universais em sua organizao?
3-10
Pontos principais
Um grupo de domnio local um grupo de segurana ou de distribuio que pode conter contas de usurio do domnio local, de qualquer domnio na floresta ou de qualquer domnio confivel. Tambm pode conter grupos globais ou universais de qualquer domnio na floresta ou de qualquer domnio confivel, bem como grupos de domnio local do domnio local. Para criar grupos de domnio local, necessrio que o nvel funcional de domnio seja Windows 200 nativo ou superior. Use um grupo de domnio local para atribuir permisses a recursos localizados no mesmo domnio desse grupo. Voc pode incluir no grupo de domnio local apropriado todos os grupos globais que devam compartilhar os mesmos recursos.
Pergunta: Como voc distribuiria o acesso a impressoras em vrios domnios gerenciados por grupos de domnio local a membros de um departamento de vendas que viajam com freqncia entre os domnios de uma empresa com filiais em vrias cidades?
3-11
Pontos principais
Um grupo local uma coleo de contas de usurio ou grupos de domnio que so criados em um servidor membro de um domnio do AD DS ou em um servidor autnomo, assim como uma estao de trabalho. Os grupos locais podem ser criados para conceder permisses a recursos residentes no computador local e podem conter contas de usurio local ou de domnio, computadores, grupos globais e grupos universais. No possvel criar grupos locais em controladores de domnio do AD DS porque eles no tm usurios e grupos locais, j que o nico banco de dados de segurana localizado em um controlador de domnio o do AD DS.
3-12
Observao: como os grupos que tm escopo de domnio local tambm so conhecidos como grupos locais, importante fazer a distino entre um grupo local e um grupo com escopo de domnio local. Os grupos locais tambm so conhecidos como grupos de computador local para diferenciar dos grupos de domnio local.
Pergunta: Descreva uma situao em que voc usaria um grupo local em vez de um dos grupos de domnio.
3-13
Pontos principais
Discutir estes cenrios com a turma, com a mediao do instrutor.
3-14
Pontos principais
O aninhamento permite adicionar um grupo como membro de outro grupo. Ele pode ser usado para combinar gerenciamento de grupos. O aninhamento aumenta as contas de membros que so afetadas por uma nica ao e reduz o trfego causado pela replicao de alteraes na associao de grupo. O aninhamento de grupos fica disponvel quando o nvel funcional de domnio Windows 2000 nativo, Windows Server 2003 ou Windows Server 2008.
Observao: convm evitar o aninhamento de vrios nveis de grupos. O controle de permisses mais complexo com vrios nveis.
3-15
Coloque as contas em Grupos Globais. O grupo global colocado (aninhado) dentro do grupo de Domnio Local. A permisso atribuda ao grupo de Domnio Local.
Pergunta: Descreva um cenrio em que voc poderia usar o aninhamento na sua organizao para simplificar o gerenciamento.
3-16
Pontos principais
Discutir estes cenrios com a turma, com a mediao do instrutor.
3-17
Lio 2
Gerenciamento de grupos
Como administrador do AD DS, boa parte do seu tempo ser empregada na criao e administrao de grupos. As tarefas de administrao podem incluir a seleo de nomes de grupos, a criao de grupos e a adio de membros a grupos. Esta lio descreve como executar essas tarefas.
3-18
Pontos principais
Uma organizao de grande porte pode ter muitos grupos de segurana e de distribuio. Uma conveno de nomeao padronizada pode ajud-lo a localizar e identificar os grupos mais facilmente. Essa identificao tambm ser facilitada se voc mantiver os nomes concisos e usar nomes departamentais, geogrficos ou de projetos. Pergunta: Voc deseja criar um grupo de segurana para o departamento financeiro da Contoso Corporation. A Contoso tem filiais no mundo inteiro, mas o departamento financeiro fica no escritrio de Nova York. Nele, h departamentos separados para contas a receber e contas a pagar. Quantos grupos de segurana voc criaria? Que nomes voc atribuiria a eles?
3-19
Pontos principais
Criar um grupo de segurana. Criar um grupo de distribuio.
Pergunta: Sua organizao requer um grupo que possa ser usado para enviar email a usurios em vrios domnios. O grupo no ser usado para atribuir permisses. Que tipo de grupo voc deve criar? Pergunta: A qual escopo de grupo podem ser atribudas permisses em qualquer domnio ou floresta?
3-20
Pontos principais
Utilize Usurios e Computadores do Active Directory para determinar o status da associao de usurios e grupos. Todas as contas de usurio possuem um atributo Membro de que lista todos os grupos dos quais o usurio membro. Todos os grupos possuem os atributos Membros e Membro de. O atributo Membros lista todas as contas de usurio ou outras contas de grupo que so membros do grupo, enquanto a guia Membro de indica a quais grupos o grupo foi adicionado ou em quais ele foi aninhado. A guia Gerenciado por nas propriedades de um grupo lista os usurios ou grupos que gerenciam o grupo. Nela, possvel delegar facilmente a administrao do grupo. Pergunta: De que maneiras as guias Membro e Membros de podem simplificar o gerenciamento de grupos?
3-21
Pontos principais
Em Usurios e Computadores do Active Directory, abrir um grupo e alterar seu tipo. Retornar o Tipo de Grupo configurao original. Alterar o escopo do Grupo para um escopo diferente.
Pergunta: Descreva uma situao em que pode ser necessrio alterar um tipo de grupo. Pergunta: Cite alguns problemas que podem surgir com a alterao de um tipo de grupo de segurana para distribuio.
3-22
Lio 3
Outra opo para coletar vrias contas de usurio e de computador para fins administrativos criar unidades organizacionais (UOs). Nesta lio, voc aprender a cri-las. Tambm aprender sobre as opes disponveis para a criao de hierarquias de UOs e como mover objetos entre UOs.
3-23
Pontos principais
Uma UO um objeto do AD DS contido em um domnio. As UOs podem ser usadas para organizar centenas de milhares de objetos de diretrio em unidades gerenciveis. Alm disso, elas so teis no agrupamento e na organizao de objetos para fins administrativos, como delegar direitos administrativos e atribuir diretivas a uma coleo de objetos como uma nica unidade. Pergunta: D um exemplo de como possvel criar uma UO para isolar contas de servidor de arquivos e de impresso e permitir que somente um determinado administrador acesse essas contas.
3-24
Pontos principais
As UOs do AD DS so usadas para criar uma estrutura hierrquica dentro de um domnio. A criao de uma estrutura de UOs permite agrupar objetos que podem ser administrados como uma unidade. Uma hierarquia organizacional deve representar logicamente uma estrutura organizacional. Essa organizao pode se basear em classificaes de usurio, de recursos, geogrficas ou funcionais. Seja qual for a ordem, a hierarquia deve tornar a administrao de recursos do AD DS o mais flexvel e eficaz possvel. Se todos os computadores usados pelos administradores de TI precisarem ser configurados de uma determinada forma, por exemplo, voc poder agrup-los em uma UO e atribuir uma diretiva para gerenci-los nela. Pergunta: Cite uma vantagem de a estrutura de UOs ser invisvel para os usurios finais.
3-25
Pontos principais
As organizaes podem implantar hierarquias de UOs usando vrios modelos diferentes.
UOs geogrficas
Se a organizao tem vrias filiais e o gerenciamento da rede distribudo geograficamente, voc deve usar uma hierarquia baseada em local. Por exemplo, voc pode decidir criar UOs para Nova York, Toronto e Miami em um nico domnio.
UO departamental
Uma UO departamental se baseia apenas nas funes comerciais da organizao, sem considerar barreiras geogrficas de local ou diviso. Esta abordagem funciona muito bem para organizaes de pequeno porte sediadas em um nico local.
3-26
UOs de recursos
As UOs de recursos so projetadas para gerenciar objetos de recursos (ou seja, no-usurios como computadores cliente, servidores ou impressoras). Este design til principalmente quando todos os recursos de um determinado tipo so gerenciados da mesma maneira. As UOs de recursos podem simplificar instalaes de software ou selees de impressora baseadas em Diretivas de Grupo.
3-27
Pontos principais
Criar uma nova UO chamada Vancouver. Criar sub-UOs dentro da UO recm-criada. Incluir duas contas de usurio em Marketing: Diogo Andrade e Victor Freitas. Criar vrios outros objetos dentro das UOs.
Pergunta: Quando voc move um usurio, o que pode acontecer a ele em termos de Diretiva de Grupo e autoridade delegada? Pergunta: Por que voc alocaria contas de usurio e contas de computador em UOs separadas?
3-28
Pontos principais
A principal diferena entre UOs e grupos que os grupos de segurana podem ser usados como entidades de segurana, enquanto as UOs no podem ser usadas para aplicar permisses. Se a sua organizao costuma criar muitos grupos de usurio ou UOs ao mesmo tempo, explore o uso de scripts do LDIFDE, do CSVDE ou do Windows PowerShell para automatizar a criao de contas. Essas ferramentas podero economizar um tempo considervel quando voc estiver adicionando ou modificando vrios objetos do AD DS. Pergunta: Voc tem um conjunto de usurios aos quais deseja dar permisses para acessar determinados servidores de arquivos. Voc criaria uma UO ou um grupo para esses usurios? Explique o motivo da sua escolha.
3-29
Cenrio
O Woodgrove Bank uma empresa com escritrios em vrias cidades do mundo. Ele est abrindo uma nova subsidiria em Vancouver, para a qual precisa de um design de UO. O Woodgrove Bank implantou o AD DS em servidores que executam o Windows Server 2008. Uma de suas tarefas principais ser criar um novo design de UO e mover usurios das posies atuais para a nova subsidiria.
3-30
3-31
Repita a etapa 2 para criar mais dois grupos com escopo e tipo iguais. Os nomes dos grupos devem ser: VAN_CustomerServiceGG VAN_InvestmentsGG
2. 3.
Pressione ENTER. Use o comando Localizar para encontrar o novo grupo na UO do WoodgroveBank.com.
3-32
2.
2.
3-33
Cenrio
Uma nova subsidiria do Woodgrove Bank est localizada em Vancouver, Canad. Ela ter os seguintes departamentos: Gerenciamento Servio de Atendimento ao Consumidor Marketing Investimentos
A hierarquia de UOs precisa oferecer suporte delegao de tarefas administrativas para usurios dentro dessa unidade organizacional.
Perguntas da discusso
1. Que abordagem para estender a hierarquia organizacional de WoodgroveBank.com mais provvel de ser aplicada na criao dos recursos da nova subsidiria: geogrfica, organizacional ou funcional? Por qu? Qual seria a maneira mais lgica de subdividir ainda mais a unidade organizacional da subsidiria (geogrfica, organizacional ou funcional)? O que o padro de nomenclatura de UOs de segundo nvel em outros centros sugere para a nova UO Vancouver? Qual seria uma forma simples, mas eficaz, de delegar tarefas administrativas (por exemplo, adicionar usurios e computadores ao domnio e alterar propriedades do usurio, como redefinies de senha e detalhes de contato de funcionrios) a determinados usurios dentro de um departamento?
Resultado: depois de concluir este exerccio, voc ter discutido e determinado como planejar uma hierarquia de UOs.
2. 3. 4.
3-34
Estas so as tarefas principais: 1. 2. 3. 4. 5. 6. 7. 8. Criar UOs usando Usurios e Computadores do Active Directory. Criar uma UO usando Dsadd. Aninhar uma UO dentro de outra UO. Mover os grupos criados no Exerccio 1 para as UOs apropriadas. Localizar e mover usurios para UOs de Vancouver. Delegar o controle sobre uma UO. Testar os direitos de usurio delegados. Fechar todas as mquinas virtuais e descartar discos de recuperao.
3-35
3. 4.
Pressione ENTER. Em Usurios e Computadores do Active Directory, atualize o objeto do domnio WoodgroveBank.com e observe a presena da nova UO.
Observao: h um risco potencial associado movimentao de grupos de segurana de uma UO para outra. As Diretivas de Grupo que esto em vigor em uma UO podem no ser mais aplicadas no novo local. Por padro, o AD DS notifica os administradores sobre o risco inerente movimentao de um grupo entre UOs.
3-36
2.
Observao: h vrias maneiras de mover objetos entre UOs em Usurios e Computadores do Active Directory. possvel utilizar o comando Mover, arrastar o objeto para uma nova UO ou usar os comandos Cortar e Colar.
Do grupo VAN_MarketingGG para a UO Vancouver\Marketing Do grupo VAN_BranchManagersGG para a UO Vancouver\BranchManagers Do grupo VAN_InvestmentsGG para a UO Vancouver\Investments Do grupo VAN_CustomerServiceGG para a UO Vancouver\CustomerService
3-37
4. 5. 6.
Quando solicitado, reinicie o computador e faa logon como Leonor. Inicie o Gerenciador de Servidores como Administrador e deixe a instalao ser concluda. Inicie Usurios e Computadores do Active Directory. Redefina a senha de Isabel Martins usando a senha Pa$$w0rd novamente. Voc dever ver a seguinte mensagem: A senha para Isabel Martins foi alterada. Experimente mover um usurio da UO BranchManagers de Miami para a UO BranchManagers de Vancouver. Voc dever ver a seguinte mensagem: O Windows no pode mover o objeto [nome_do_usurio] porque: Acesso negado.
7.
3-38
3-39
Perguntas de reviso
1. Voc responsvel pelo gerenciamento de contas e do acesso a recursos para membros do seu grupo. Um usurio no grupo se transfere para outro departamento dentro da empresa. O que voc deve fazer com a conta do usurio? Uma gerente de projeto no seu departamento est iniciando um projeto de grupo que continuar no ano que vem. Vrios usurios do seu e de outros departamentos se dedicaro ao projeto durante esse perodo. A equipe do projeto deve ter acesso aos mesmos recursos compartilhados. A gerente de projeto deve poder gerenciar as contas de usurio e de grupo no AD DS. Entretanto, voc no deseja dar permisso a ela para gerenciar qualquer outro item no AD DS. Qual a melhor forma de fazer isso?
2.
3-40
3.
Voc responsvel pela manuteno do acesso a recursos locais (como impressoras) na sua organizao. Sua inteno criar uma maneira eficiente de manter permisses de impresso para membros em cada grupo de trabalho, ainda que a rotatividade desses membros seja grande. Voc tambm deseja simplificar a substituio de impressoras quando alguma delas precisar ser retirada para reparo ou substituda por uma nova. Como fazer isso com o mnimo de interrupo e esforo? Voc decidiu criar uma conveno de nomeao para todos os grupos e unidades organizacionais. Que consideraes devem ser levadas em conta ao definir um padro para nomear novos objetos? Voc assumiu a administrao da unidade organizacional do AD DS do seu departamento. Quando voc abre Usurios e Computadores do Active Directory e exibe a UO, percebe que todos os grupos e usurios esto no mesmo nvel. Grupos com nomes como Ajax_account, SW_Colorado, Nancy e New_Canon_printer esto lado a lado com contas de computador chamadas New_IBM_1, 2, 3 etc. e um objeto FileShare chamado DO_NOT_OPEN. O que fazer? Um funcionrio da sua empresa foi transferido para outro departamento. A conta de usurio foi removida de todos os grupos associados ao antigo departamento e adicionada a grupos associados ao novo. A conta de usurio tambm foi movida para a UO do novo departamento. Depois de concluda a transferncia do usurio, ele informa que no consegue acessar os arquivos armazenados em um servidor de arquivos. O que fazer?
4.
5.
6.
4-1
Mdulo 4
Gerenciamento do acesso a recursos nos Servios de Domnio Active Directory
Sumrio:
Lio 1: Viso geral do gerenciamento de acesso Lio 2: Gerenciamento de permisses de arquivos e pastas NTFS Lio 3: Atribuio de permisses a recursos compartilhados Lio 4: Determinao de permisso efetiva Laboratrio: Gerenciamento de acesso a recursos 4-3 4-11 4-20 4-33 4-44
4-2
Uma das razes primordiais para implantar os Servios de Domnio Active Directory (AD DS) permitir que os usurios acessem recursos compartilhados na rede. Os mdulos anteriores apresentaram usurios e grupos como a principal maneira de habilitar o acesso a esses recursos. Este mdulo descreve outra forma de fazer isso: configurando pastas compartilhadas. Especificamente, este mdulo fornece o conhecimento e a tcnica necessrios para: Compreender como as permisses habilitam o acesso a recursos. Gerenciar o acesso a arquivos e pastas usando permisses de pasta compartilhada, especiais ou do sistema de arquivos NTFS. Gerenciar herana de permisses.
4-3
Lio 1
A fim de gerenciar o acesso a recursos, voc deve compreender como os sistemas operacionais Microsoft Windows usam entidades de segurana e tokens de segurana para permitir o acesso aos recursos. Em seguida, precisa entender de que forma as permisses so aplicadas a recursos como pastas compartilhadas. Esta lio fornece as informaes necessrias para gerenciar o acesso a recursos.
4-4
Pontos principais
Uma entidade de segurana uma entidade do AD DS que pode ser autenticada por um sistema operacional Windows. Estas so as entidades de segurana: Contas de usurio e de computador Um thread ou um processo que seja executado no contexto de segurana de uma conta de usurio ou de computador Grupos das contas anteriores
4-5
Cada entidade de segurana recebe automaticamente um identificador de segurana (SID) quando criada. Um SID possui dois componentes: Identificador de domnio. igual para todas as entidades de segurana criadas no domnio. Identificador relativo. exclusivo para cada entidade de segurana criada no domnio.
Pergunta: Quando um usurio for excludo e em seguida recriado, ser emitido um novo SID para ele. Quais so as implicaes disso?
4-6
Pontos principais
Um token de acesso um objeto protegido que contm informaes sobre a identidade e os direitos associados a uma conta de usurio.
4-7
4-8
O que so permisses?
Pontos principais
As permisses definem o tipo de acesso concedido a uma entidade de segurana para um objeto. Ao atribuir permisses, possvel: Aplicar permisses explicitamente. Quando aplica permisses explicitamente, voc acessa o objeto do recurso compartilhado diretamente e configura permisses nesse objeto. Isso pode ser feito em pastas ou arquivos. Configurar herana de permisso. Quando voc configura permisses em uma pasta, elas so herdadas por padro em todos os arquivos e subpastas dessa pasta. possvel aceitar a herana de permisso padro ou modificar o comportamento padro bloqueando a herana de permisso ou atribuindo permisses explcitas a arquivos ou pastas de nvel inferior.
4-9
Aceitar permisses aplicadas implicitamente. Se nenhuma permisso for atribuda explicitamente a um objeto para uma determinada conta de usurio e nenhuma permisso herdada for aplicada conta de usurio, este ter seu acesso ao objeto negado.
Pergunta: Liste pelo menos uma forma de os administradores poderem manter permisses facilmente em um objeto.
4-10
Pontos principais
O processo de acessar um recurso do AD DS chamado de controle de acesso e se baseia na verificao de entidades de segurana. Todos os objetos no AD DS e todos os objetos passveis de proteo em um computador local ou na rede tm descritores de segurana atribudos a eles para ajudar a controlar o acesso aos objetos. Os descritores de segurana incluem informaes sobre quem o proprietrio de um objeto, quem pode acess-lo e de que forma, e que tipos de acesso so auditados. Pergunta: Qual recurso de controle de acesso - DACL ou SACL - desempenha papel mais importante na segurana?
4-11
Lio 2
Alm de configurar o acesso a pastas compartilhadas usando permisses de pasta compartilhada, voc tambm pode atribuir permisses usando permisses NTFS. As informaes desta lio fornecem o conhecimento e a tcnica necessrios para gerenciar o acesso a arquivos e pastas com o uso de permisses NTFS.
4-12
Pontos principais
As permisses NTFS especificam quais usurios, grupos e computadores podem acessar arquivos e pastas. Tambm determinam o que eles podem fazer com o contedo dos arquivos ou pastas. Estas so as permisses de arquivo NTFS: Ler. Leia o arquivo, os atributos e as permisses e exiba o proprietrio. Gravar. Grave no arquivo, altere atributos e exiba permisses e o proprietrio. Ler e Executar. Execute aplicativos, mais todas as permisses Ler. Modificar. Todas as permisses anteriores, mais a capacidade de excluir arquivos. Controle Total. Todas as permisses anteriores, mais a capacidade de alterar permisses e apropriar-se do arquivo.
4-13
Existem seis permisses de pasta NTFS bsicas: Ler. Leia arquivos, pastas, subpastas e permisses e exiba o proprietrio. Gravar. Crie novos arquivos e pastas, exiba permisses e o proprietrio e altere atributos de pasta. Listar Contedo da Pasta. Exiba arquivos e subpastas. Ler e Executar. Execute aplicativos, mais todas as permisses de Ler e Listar Contedo da Pasta. Modificar. Todas as permisses anteriores, mais a capacidade de excluir pastas. Controle Total. Todas as permisses anteriores, mais a capacidade de alterar permisses na pasta e apropriar-se.
Pergunta: Se um administrador quisesse impedir um usurio de exibir as permisses ou o proprietrio de uma pasta, qual permisso de pasta deveria ser aplicada?
4-14
Pontos principais
As permisses NTFS esto includas em duas categorias: padro e especial. As permisses atribudas com mais freqncia so as padro, como, por exemplo, as descritas no tpico anterior. As permisses especiais oferecem um grau mais preciso de controle sobre a atribuio de acesso a objetos. Pergunta: Pense em uma situao em que talvez seja necessria a atribuio de permisses especiais pelos administradores.
4-15
Pontos principais
Por padro, as permisses que voc concede a uma pasta pai so herdadas por subpastas e arquivos nela contidos. Uma entidade de segurana que herde permisses poder ter outras permisses NTFS atribudas, mas as permisses herdadas no podero ser removidas at que a herana seja bloqueada.
4-16
Os administradores tambm podem usar o utilitrio Icalcs.exe para redefinir permisses de pasta em um diretrio ou uma pasta especficos. icacls.exe c:\folder_name /setowner "domain\user" Pergunta: Liste uma ou duas maneiras pelas quais a herana de permisso pode reduzir o tempo de administrao.
4-17
Pontos principais
Procurar um diretrio, exibir as permisses padro. Exibir as permisses NTFS avanadas. Exibir herana de permisses.
Pergunta: Se voc negar a permisso NTFS a um grupo para um determinado recurso e permiti-la para outro grupo desse recurso, o que acontecer com as permisses de um indivduo que seja membro de ambos os grupos? Pergunta: Se um grupo adicionado a uma pasta compartilhada recebeu uma permisso NTFS Permitir Gravar em uma pasta compartilhada e permisso Negar para Gravar em uma pasta aninhada, quais seriam suas permisses efetivas nas duas pastas?
4-18
Pontos principais
Quando voc copia ou move arquivos ou pastas, possvel que as permisses sejam alteradas, dependendo do local para onde eles so movidos. Voc deve entender as alteraes sofridas pelas permisses quando so copiadas ou movidas.
Cpia de um arquivo
Quando voc copia arquivos ou pastas de uma pasta para outra ou de uma partio para outra, possvel que as permisses deles sejam alteradas. Ao copiar um arquivo ou uma pasta: Dentro de uma nica partio NTFS, a cpia do arquivo ou da pasta herda as permisses da pasta de destino. Para uma partio NTFS diferente, a cpia do arquivo ou da pasta herda as permisses da pasta de destino.
4-19
Para uma partio no-NTFS, como uma partio FAT (tabela de alocao de arquivos), a cpia do arquivo ou da pasta perde suas permisses NTFS porque no h suporte para essas permisses em parties no-NTFS.
Movimentao de um arquivo
Quando voc move arquivos ou pastas, possvel que as permisses sejam alteradas, dependendo das permisses da pasta de destino. Ao mover um arquivo ou uma pasta: Na mesma partio NTFS, o arquivo ou a pasta mantm suas permisses originais. Se as permisses da nova pasta pai forem alteradas mais tarde, o arquivo ou a pasta herdar as novas permisses. As permisses aplicadas explicitamente pasta sero mantidas. As permisses herdadas anteriormente sero perdidas. Para uma partio NTFS diferente, o arquivo ou a pasta herda as permisses da pasta de destino. Quando voc move arquivos ou pastas entre parties, o Windows Server 2008 os copia para o novo local e os exclui do local anterior. Para uma partio no-NTFS, o arquivo ou a pasta perde suas permisses NTFS porque no h suporte para essas permisses em parties no-NTFS.
Pergunta: Cite um ou dois exemplos em que a movimentao de arquivos e pastas dentro da mesma partio reduz o tempo de administrao.
4-20
Lio 3
As pastas compartilhadas permitem o acesso de usurios a arquivos e pastas na rede. Os usurios podem se conectar pasta compartilhada pela rede para acessar os arquivos e as pastas que ela contm. As pastas compartilhadas podem conter aplicativos, dados pblicos ou dados pessoais do usurio. O uso de pastas de dados compartilhadas fornece um local central para os usurios acessarem arquivos comuns e facilita o backup dos dados neles contidos.
4-21
Pontos principais
Quando voc compartilha uma pasta, ela disponibilizada a vrios usurios simultaneamente pela rede. Os usurios podem acessar todos os arquivos e subpastas da pasta compartilhada assim que recebem a permisso. A maioria das organizaes implanta servidores de arquivos dedicados para hospedar pastas compartilhadas. Os arquivos podem ser armazenados em pastas compartilhadas de acordo com categorias ou funes. Por exemplo, possvel incluir arquivos compartilhados do departamento de Vendas em uma pasta compartilhada e arquivos compartilhados de executivos em outra. Quando voc cria uma pasta compartilhada usando o Assistente para Proviso de uma Pasta Compartilhada no console Gerenciamento de Compartilhamento e Armazenamento ou usando o Assistente para Compartilhamento de Arquivos, pode configurar as permisses atribudas a cada compartilhamento ao cri-lo. Pergunta: Liste pelo menos uma vantagem de compartilhar pastas pela rede.
4-22
Pontos principais
O Windows Server 2008 cria automaticamente pastas compartilhadas em computadores com o Windows que permitem executar tarefas administrativas. Esses compartilhamentos administrativos padro tm um cifro ($) no final do nome. O acrscimo desse sinal oculta a pasta compartilhada dos usurios que navegam pela rede. Os administradores podem administrar arquivos e pastas em servidores remotos com rapidez usando essas pastas compartilhadas ocultas. Pergunta: Liste pelo menos uma vantagem de ter e criar seus prprios compartilhamentos ocultos.
4-23
Pontos principais
As permisses de pasta compartilhada aplicam-se somente aos usurios que se conectam pasta pela rede. Elas no restringem o acesso dos usurios que acessam a pasta no computador no qual ela est armazenada. possvel conceder permisses de pasta compartilhada a contas de usurio, grupos e contas de computador. Por padro, o nvel de acesso dos usurios s subpastas de uma pasta compartilhada ser igual ao que eles possuem na pasta pai. Pergunta: Liste pelo menos um exemplo de quando um administrador poderia conceder Controle Total a uma pasta.
4-24
Pontos principais
Criar dois diretrios de teste, popular cada um deles com um arquivo de texto e alguns dados. Usar o Windows Explorer para criar um compartilhamento. Usar o snap-in do MMC (Console de Gerenciamento Microsoft) chamado Gerenciamento de Compartilhamento e Armazenamento para criar um compartilhamento oculto. Usar o snap-in Gerenciamento de Compartilhamento e Armazenamento para modificar as permisses de compartilhamento. Testar o acesso ao compartilhamento.
No Windows Server 2008, os nicos grupos que podem criar pastas compartilhadas so Administradores, Operadores de Servidor e Usurios Avanados. Esses grupos internos so colocados na pasta Groups, em Gerenciamento do Computador, ou no continer Built-In, em Usurios e Computadores do Active Directory.
4-25
Pergunta: Como aplicar permisses de compartilhamento a uma pasta? Pergunta: Como voc comearia a criar uma pasta compartilhada usando o MMC Gerenciamento de Compartilhamento e Armazenamento? Pergunta: Qual ferramenta voc usaria para criar uma pasta compartilhada?
4-26
Pontos principais
Depois de criada, uma pasta compartilhada pode ser acessada pelos usurios via rede por meio de vrios mtodos. possvel acess-la em outro computador usando: A janela Rede (no Microsoft Windows Server 2008 ou no Microsoft Windows Vista) Meus Locais de Rede (no Microsoft Windows Server 2003 ou no Microsoft Windows XP) O recurso Mapear Unidade de Rede Pesquisa no AD DS O comando Executar no menu Iniciar
4-27
Os administradores tambm podem publicar Pastas Compartilhadas no Active Directory usando a interface de Usurios e Computadores do Active Directory. Dentro da Unidade Organizacional, eles podem adicionar uma nova Pasta Compartilhada tornando-a pesquisvel atravs do Active Directory. Os usurios tambm podem procurar Pastas Compartilhadas do Active Directory acessando Meus Locais de Rede no Windows XP e a janela Rede no Windows Vista.
O Windows Server 2008 ativa a Enumerao Baseada em Acesso por padro em novos compartilhamentos. Ela impede a exibio de pastas ou outros recursos compartilhados aos quais o usurio no tenha direito de acesso.
Observao: o servio Pesquisador de Computadores est desabilitado por padro no Windows Server 2008.
Pergunta: Liste pelo menos uma vantagem de acessar recursos atravs de unidades mapeadas.
4-28
Pontos principais
Criar dois diretrios de teste. Usar o Windows Explorer para criar um compartilhamento. Usando o snap-in do MMC Gerenciamento de Compartilhamento e Armazenamento, criar um compartilhamento oculto. Modificar as permisses de compartilhamento.
Pergunta: O que aconteceria se o usurio editasse o arquivo mas no salvasse as alteraes e depois um administrador usasse o recurso Fechar Arquivo?
4-29
Pontos principais
Durante o gerenciamento do acesso a pastas compartilhadas, considere as seguintes prticas recomendadas ao conceder permisses: Use as permisses mais restritivas possveis. No conceda mais permisses para uma pasta compartilhada do que os usurios legitimamente requeiram. Por exemplo, se um usurio precisa apenas ler os arquivos de uma pasta, conceda a ele ou ao grupo ao qual pertence somente a permisso Ler para a pasta. Evite atribuir permisses a usurios individuais. Use grupos sempre que possvel. Como no nada eficaz manter contas de usurio diretamente, evite conceder permisses a usurios individuais.
4-30
Lembre-se de que a permisso Controle Total habilita os usurios a modificarem permisses. Seja cauteloso ao atribuir permisses Controle Total, pois qualquer alterao nas permisses existentes pode afetar a segurana. Use os grupos Usurios Autenticados ou Usurios do Domnio em vez do grupo Todos (se houver) na lista de permisses da pasta compartilhada. Como os membros do grupo Todos incluem Convidados, o uso dos grupos Usurios Autenticados ou Usurios do Domnio limita o acesso a pastas compartilhadas apenas aos usurios autenticados e impede que usurios ou vrus excluam acidentalmente ou danifiquem dados e arquivos do aplicativo.
Pergunta: Liste uma ou duas razes para os administradores no deixarem o grupo Todos nas permisses de um compartilhamento.
4-31
Pontos principais
Os arquivos offline esto disponveis no Windows XP, Vista, Server 2003 e Server 2008: Selecione uma pasta em um local de rede, sincronize e, em seguida, desconecte o computador. Os usurios podem configurar uma pasta que ser colocada offline selecionando-a e sincronizando-a com os arquivos da rede. Faa edies em documentos em um computador desconectado. Depois que a pasta colocada offline, o usurio pode fazer edies em qualquer documento nela contido. As alteraes so feitas localmente e s podero ser vistas pela pessoa que as esteja fazendo at que os arquivos sejam sincronizados novamente.
4-32
Reconecte o computador rede novamente para atualizar as alteraes. Os usurios devem reconectar o computador rede para atualizar qualquer alterao feita localmente. Os arquivos so sincronizados automaticamente. Uma vez conectada a pasta rede, o Windows sincronizar a pasta e seu contedo com a verso do servidor, garantindo que ela permanea atualizada.
4-33
Lio 4
Voc pode atribuir o acesso de usurio a uma pasta compartilhada usando permisses NTFS ou de pasta compartilhada. Tambm pode atribuir permisses a contas de grupo ou contas de usurio individuais. Para determinar o nvel de acesso que o usurio tem realmente na rede, voc deve compreender como as permisses efetivas esto determinadas e como podem ser exibidas.
4-34
Pontos principais
O Windows Server 2008 fornece uma ferramenta que mostra as permisses efetivas, ou seja, permisses cumulativas baseadas em associao de grupo. Os seguintes princpios determinam as permisses efetivas: As permisses cumulativas so a combinao das permisses NTFS mximas concedidas ao usurio e a todos os grupos dos quais ele membro. Por exemplo, se um usurio for membro de um grupo que tenha a permisso Ler e de outro que tenha a permisso Modificar, ele ter a permisso Modificar. As permisses Negar explcitas substituem as permisses Permitir equivalentes. Entretanto, uma permisso Permitir explcita pode substituir uma permisso Negar herdada. Por exemplo, se um usurio tiver o acesso de gravao negado explicitamente para uma pasta, mas tiver esse acesso autorizado explicitamente para uma subpasta ou um arquivo especfico, a permisso Permitir explcita substituir a permisso Negar herdada.
4-35
As permisses podem ser aplicadas a um usurio ou grupo. A atribuio de permisses a grupos prefervel por ser mais eficiente do que gerenciar as permisses de muitos indivduos. As permisses de arquivo NTFS tm prioridade sobre as permisses de pasta. Por exemplo, se um usurio tiver a permisso Modificar para uma pasta, mas somente a permisso Ler para determinados arquivos dessa pasta, a permisso efetiva para esses arquivos ser Ler. Todo objeto pertence a um volume NTFS ou ao Active Directory. O proprietrio controla como as permisses so definidas no objeto e a quem elas so concedidas. Por exemplo, um usurio pode criar um arquivo em uma pasta na qual ele normalmente tem a permisso Modificar. Porm, como criou o arquivo, ele pode alterar as permisses. O usurio poder ento conceder a si mesmo Controle Total sobre o arquivo.
Pergunta: Cite pelo menos um exemplo de como as permisses cumulativas beneficiam os administradores.
4-36
Esta discusso apresenta um cenrio no qual voc ser solicitado a aplicar permisses NTFS. Voc e seus colegas de turma discutiro as possveis solues para o cenrio.
Cenrio
Usurio1 participante dos grupos Usurios e Vendas. O grfico no slide mostra pastas e arquivos na partio NTFS. Pergunta: O grupo Usurios tem a permisso Gravar e o grupo Vendas tem a permisso Ler para Pasta1. Que permisses Usurio1 tem para Pasta1?
4-37
Pergunta: O grupo Usurios tem a permisso Ler para Pasta1. O grupo Vendas tem a permisso Gravar para Pasta2. Que permisses Usurio1 tem para Arquivo2? Pergunta: O grupo Usurios tem a permisso Modificar para Pasta1. Arquivo2 s deve estar acessvel ao grupo Vendas, o qual deve ser capaz apenas de ler esse arquivo. O que voc deve fazer para garantir que o grupo Vendas tenha somente a permisso Ler para Arquivo2?
4-38
Pontos principais
Abrir um diretrio e atribuir permisses a um usurio. Usar a ferramenta Permisses Efetivas. Negar permisso de usurio.
4-39
Pontos principais
Ao permitir o acesso a recursos da rede em um volume NTFS, recomendvel que voc use as permisses NTFS mais restritivas para controlar o acesso a pastas e arquivos, combinadas com as permisses de pasta compartilhada mais restritivas que controlam o acesso rede. Pergunta: Fornea pelo menos uma considerao que um administrador deve levar em conta antes de combinar Permisses NTFS e Pastas Compartilhadas.
4-40
Cenrio
A figura mostra duas pastas compartilhadas que contm arquivos ou pastas com permisses NTFS. Examine cada exemplo e determine as permisses efetivas de um usurio. No primeiro exemplo, a pasta Usurios foi compartilhada, e o grupo Usurios possui a permisso de pasta compartilhada Controle Total. Usurio1, Usurio2 e Usurio3 receberam a permisso NTFS Controle Total somente para suas respectivas pastas. Todos esses usurios so membros do grupo Usurios.
4-41
Pergunta: Discuta quais so as permisses efetivas para Usurio1, Usurio2 e Usurio3. O Usurio1 pode assumir controle total sobre o diretrio do Usurio2? Por qu? Como o uso da permisso de compartilhamento em vez da permisso NTFS impede que os usurios acessem outros diretrios do Usurio? Pergunta: Voc compartilhou a pasta Dados com o grupo Vendas. Dentro do diretrio Dados, voc concedeu Controle Total ao grupo Vendas sobre esse grupo. Quando os usurios no grupo tentam salvar um arquivo no diretrio \Dados\Vendas, recebem um erro de acesso negado. Por qu? Que permisso precisa ser alterada e por qu?
4-42
Pontos principais
Estas so algumas consideraes para tornar a administrao de permisses mais gerencivel: 1. Conceda permisses a grupos, e no a usurios. Os grupos sempre podem ter indivduos adicionados ou excludos, mas controlar permisses caso a caso uma tarefa difcil. Use permisses Negar somente quando necessrio. Como as permisses Negar so herdadas da mesma forma que as permisses Permitir, a atribuio das primeiras a uma pasta pode fazer com que os usurios no consigam acessar arquivos situados mais abaixo na estrutura de pastas. As permisses Negar devem ser atribudas nas seguintes situaes: Para excluir um subconjunto de um grupo que tenha permisses Permitir. Para excluir uma permisso quando voc j tiver concedido permisses Controle Total a um usurio ou grupo.
2.
4-43
3.
Nunca negue ao grupo Todos o acesso a um objeto. Caso contrrio, voc negar o acesso dos administradores tambm. Em vez disso, remova o grupo Todos e conceda permisses a outros usurios, grupos ou computadores para o objeto. Conceda permisses a um objeto localizado na parte superior da pasta, de modo que as configuraes de segurana se propaguem por toda a rvore. Por exemplo, em vez de reunir em uma pasta Ler os grupos que representam todos os departamentos da empresa, atribua Usurios do Domnio (que um grupo padro para todas as contas de usurio no domnio) ao compartilhamento. Dessa forma, voc elimina a necessidade de atualizar grupos de departamentos antes que os novos usurios recebam a pasta compartilhada. Use permisses NTFS em vez das compartilhadas para acesso refinado. Pode ser difcil configurar permisses NTFS e de pasta compartilhada. Atribua as permisses mais restritivas para um grupo que contenha muitos usurios no nvel de pasta compartilhada e depois, usando permisses NTFS, atribua permisses mais especficas.
4.
5.
Pergunta: Liste um ou dois exemplos de prticas recomendadas que voc implementou ao atribuir permisso NTFS ou de Pasta Compartilhada em sua organizao.
4-44
Cenrio
O Woodgrove Bank uma empresa com escritrios em vrias cidades do mundo. Ele implantou o AD DS no Windows Server 2008 e, recentemente, abriu uma nova subsidiria em Toronto, Canad. Como administrador de rede designado para a nova subsidiria, uma de suas tarefas principais ser criar e gerenciar o acesso a recursos, incluindo a implementao de pasta compartilhada. Por exemplo, os grupos que espelham a organizao departamental do banco precisam de reas compartilhadas para armazenamento de arquivos. Alm disso, para que os arquivos sejam compartilhados durante projetos especiais entre departamentos, preciso que voc tenha compartilhado pastas.
4-45
Perguntas da discusso:
1. A subsidiria de Toronto do Woodgrove Bank tem uma hierarquia organizacional, conforme delineado por suas unidades organizacionais (UOs), que apiam as atividades de seus quatro departamentos: Marketing, Investimentos, Gerenciamento e Servio de Atendimento ao Consumidor. Cada departamento possui grupos populados com os funcionrios desse departamento. Como voc daria espaos separados de compartilhamento de arquivos a cada departamento? Todos os membros da subsidiria de Toronto devem poder ler documentos postados pela gerncia sobre tpicos como recrutamento, metas, projees e notcias sobre a empresa. Para criar uma srie de pastas que disponibilize essas informaes a todos os funcionrios da subsidiria e a gerentes de outras filiais do Woodgrove Bank, que tipos de grupos seriam necessrios? Que tipos de permisses cada uma iria requerer? Que tipos de estruturas de pastas poderiam ser necessrias? Uma fora-tarefa para a reduo da emisso de dixido de carbono pela subsidiria (ou seja, seu impacto negativo no meio ambiente) est coletando dados em vrios departamentos. A idia manter as informaes em sigilo at que possam ser publicadas em um relatrio. Como indivduos de vrios departamentos podem colaborar, enquanto o acesso a quem est fora do projeto restrito?
Resultado: depois de concluir este exerccio, voc ter discutido e determinado solues para uma implementao de pasta compartilhada.
2.
3.
4-46
5.
4-47
Tarefa 4: Criar outra pasta compartilhada usando o MMC Gerenciamento de Compartilhamento e Armazenamento
1. 2. 3. 4. 5. No menu Iniciar, em Ferramentas Administrativas, clique em Gerenciamento de Compartilhamento e Armazenamento. Inicie o Assistente de Compartilhamento de Proviso. Clique no boto Procurar. Na janela Procurar Pasta, crie uma nova pasta chamada CompanyNews na unidade C. No altere nenhuma outra configurao, mas clique em Avanar em todas as opes oferecidas at o boto Criar. Clique em Criar e depois em Fechar. Na lista Compartilhamentos do MMC Gerenciamento de Compartilhamento e Armazenamento, clique com o boto direito do mouse em CompanyNews e, em seguida, clique em Propriedades. Na guia Permisses, clique em Permisses de Compartilhamento. Adicione o grupo Usurios do Domnio e observe se a permisso dele est definida como Ler. Adicione o grupo TOR _BranchManagersGG e conceda a ele a permisso Controle Total. Conclua as configuraes das permisses e saia do MMC Gerenciamento de Compartilhamento e Armazenamento.
6.
7. 8.
4-48
Tarefa 5: Criar um novo grupo e uma nova pasta compartilhada para um projeto interdepartamental
1. 2. 3. Abra o MMC Usurios e Computadores do Active Directory. Clique na UO Toronto e adicione um novo grupo de segurana global chamado TOR_SpecialProjectGG. Expanda as seguintes UOs de Toronto e use o comando Adicionar ao grupo para acrescentar os usurios listados na seguinte tabela:
UOs de Toronto Investment Marketing Branch Managers Customer Service Nomes Carlos Grilo Manuel Machado Rui Raposo Susana Oliveira
4. 5. 6. 7.
Feche Usurios e Computadores do Active Directory. Crie uma nova pasta na unidade C e d a ela o nome de SpecialProjects. Compartilhe a pasta, adicionando o grupo TOR_SpecialProjectGG, que tem os nveis de permisso Colaborar. Clique em Compartilhar.
4-49
4-50
4-51
Perguntas de reviso
1. 2. 3. Qual o papel das ACLs na concesso de acesso a recursos em uma rede do AD DS? Em que as DACLs diferem das SACLs? O que acontece com a configurao de pasta compartilhada quando voc copia ou move uma pasta compartilhada de um disco rgido para outro no mesmo servidor? E quando voc a copia ou move para outro servidor? Voc deve atribuir permisses a uma pasta compartilhada para que todos os usurios na sua organizao possam ler o contedo dela. Qual destas abordagens seria a melhor forma de fazer isso: aceitar as permisses padro, atribuir permisses de leitura pasta para o grupo Usurios do Domnio ou adicionar grupos representando departamentos inteiros? De que forma essa configurao seria alterada se a sua organizao tivesse vrios domnios?
4.
4-52
5. 6.
Ao mover uma pasta em uma partio NTFS, quais permisses necessrio ter sobre a pasta ou o arquivo de origem e sobre a pasta de destino? Qual a melhor maneira de criar uma pasta compartilhada que precise ser acessada por usurios situados em dois domnios?
5-1
Mdulo 5
Configurao de relaes de confiana e objetos do Active Directory
Sumrio:
Lio 1: Delegao de acesso administrativo a objetos do Active Directory Laboratrio A: Configurao da delegao do Active Directory Lio 2: Configurao de relaes de confiana do Active Directory 5-3 5-12 5-16
5-2
Aps a implantao inicial do AD DS (Servios de Domnio Active Directory), as tarefas mais comuns de um administrador do AD DS so a configurao e o gerenciamento de objetos do AD DS. Na maioria das organizaes, cada funcionrio recebe uma conta de usurio, que adicionada a um ou mais grupos no AD DS. As contas de usurio e de grupo permitem o acesso a recursos de rede baseados no Windows Server, como sites, caixas de correio e pastas compartilhadas. Este mdulo descreve como executar vrias dessas tarefas administrativas, alm de apresentar as opes disponveis para delegar ou automatizar essas tarefas. Este mdulo tambm descreve como configurar e gerenciar as relaes de confiana do Active Directory.
5-3
Lio 1:
Uma das opes disponveis para a administrao eficaz do AD DS do Microsoft Windows Server 2008 a delegao de algumas das tarefas administrativas a outros administradores ou usurios. Quando delega o controle, voc pode permitir que esses usurios executem tarefas de gerenciamento especficas do Active Directory, sem lhes conceder mais permisses do que precisam.
5-4
Pontos principais
As permisses de objeto do Active Directory protegem os recursos permitindo que voc controle os administradores ou usurios que podero acessar objetos individuais ou atributos de objeto, alm de controlar o tipo de acesso permitido. Use as permisses para atribuir privilgios a administradores a fim de que eles possam gerenciar uma unidade organizacional ou hierarquia de unidades organizacionais e os objetos do Active Directory contidos nessas unidades. As permisses negadas tm precedncia sobre todas as permisses concedidas a contas de usurio e a grupos. S use explicitamente as permisses Negar quando precisar remover uma permisso que um usurio tenha recebido por ser membro de um grupo especfico. Quando a permisso para executar uma operao no concedida, ela implicitamente negada.
5-5
As permisses especiais lhe possibilitam definir permisses em uma classe especfica de objeto ou em atributos individuais de uma classe de objeto. Por exemplo, voc pode conceder a um usurio Controle Total sobre a classe de objeto de grupo em um continer, permitir que o usurio modifique as associaes de grupo em um continer ou conceder ao usurio as permisses necessrias para alterar um nico atributo, como o nmero de telefone, em todas as contas de usurio. As permisses herdadas so aquelas propagadas para um objeto de um objeto pai. Por exemplo, se voc atribuir permisses em um nvel de UO, por padro, todas essas permisses sero herdadas pelos objetos da UO. As permisses explcitas tm precedncia sobre as permisses herdadas, at mesmo sobre as permisses Negar herdadas.
Pergunta: Quais so os riscos do uso de permisses especiais para atribuir permisses do AD DS? Pergunta: Quais permisses um usurio teria sobre um objeto se voc concedesse a ele permisso de controle total e lhe negasse o acesso de gravao?
5-6
Pontos principais
Habilitar o modo de exibio Avanado em Usurios e Computadores do Active Directory. Desabilitar a herana de permisso por itens filho. Exibir as permisses efetivas do objeto.
Pergunta: O que aconteceria com as permisses de um objeto se voc o movesse de uma UO para outra e essas UOs tivessem permisses aplicadas diferentes? Pergunta: O que aconteceria se voc removesse todas as permisses de uma UO ao bloquear a herana e no atribusse nenhuma permisso nova?
5-7
Pontos principais
Acessada nas configuraes de propriedades avanadas de um objeto, a ferramenta Permisses Efetivas ajuda voc a determinar as permisses de um objeto do Active Directory. Essa ferramenta calcula as permisses concedidas ao usurio ou grupo especificado e considera as permisses em vigor nas associaes de grupo e as permisses herdadas dos objetos pai. Pergunta: Para fazer uma recuperao precisa das permisses efetivas, necessrio ter permisso para ler as informaes da associao. Se o usurio ou grupo especificado for um objeto de domnio, que tipo de permisses um Administrador de Domnio precisar para ler as informaes de grupo do objeto no domnio? E os Administradores locais e Usurios do domnio autenticado?
5-8
Pontos principais
A delegao de controle a capacidade de atribuir a responsabilidade de gerenciamento dos objetos do Active Directory a outro usurio ou grupo. A administrao delegada diminui a carga administrativa do gerenciamento da rede com a distribuio das tarefas administrativas de rotina a vrios usurios. Com a administrao delegada, voc pode atribuir tarefas administrativas bsicas a usurios ou grupos comuns. Por exemplo, voc pode conceder aos administradores da UO o direito de adicionar ou remover objetos de usurio ou de computador, ou conceder a um assistente administrativo o direito de redefinir senhas. Ao delegar a administrao, voc concede a grupos da organizao mais controle sobre seus recursos de rede locais. Voc tambm ajuda a proteger a rede contra danos acidentais ou mal-intencionados, limitando a associao dos grupos de administradores.
5-9
Voc pode definir a delegao do controle administrativo destas quatro maneiras: Conceda permisses para criar ou modificar todos os objetos em uma unidade organizacional especfica ou no domnio. Conceda permisses para criar ou modificar alguns tipos de objetos em uma determinada unidade organizacional ou no nvel do domnio. Conceda permisses para criar ou modificar um objeto especfico em uma determinada unidade organizacional ou no nvel do domnio. Conceda permisses para modificar atributos especficos de um objeto em uma unidade organizacional ou no nvel do domnio (como a permisso para redefinir senhas em uma conta de usurio).
5-10
Perguntas da discusso
Quais so os benefcios da delegao de permisses administrativas? Como voc usaria a delegao de controle na sua organizao?
5-11
Pontos principais
Usar o Assistente para Delegao de Controle a fim de delegar permisses para o gerenciamento das contas de usurio e de computador. Usar o Assistente para Delegao de Controle a fim de delegar a administrao de atributos individuais. Usar um script do Microsoft Windows PowerShell para delegar a tarefa de redefinio de senha.
5-12
Cenrio
Para otimizar o uso do tempo gasto pelo administrador do AD DS, o Woodgrove Bank pretende delegar algumas tarefas administrativas a estagirios e administradores juniores. Esses administradores recebero acesso para gerenciar contas de usurio e de grupo em diferentes UOs. As contas de usurio tambm devem ser definidas com uma configurao padro. Alm disso, a organizao precisa de grupos do AD DS, que sero usados para atribuir permisses a vrios recursos de rede. Ela pretende automatizar as tarefas de gerenciamento de usurio e de grupo, e delegar algumas tarefas administrativas a administradores principiantes.
5-13
2. 3. 4.
5-14
Tarefa 3: Atribuir direitos para redefinir senhas e configurar informaes particulares de usurio na UO Toronto
1. 2. 3. 4. Em NYC-DC1, execute o Assistente para Delegao de Controle na UO Toronto. Atribua o direito Redefinir para redefinir as senhas do usurio e impor a alterao da senha no prximo logon no grupo Tor_CustomerServiceGG. Execute o Assistente para Delegao de Controle novamente. Escolha a opo que permitir criar uma tarefa personalizada. Atribua a permisso do grupo Tor_CustomerServiceGG para alterar as informaes pessoais somente das contas de usurio.
4.
5.
5-15
5-16
Lio 2:
Muitas organizaes que implantam o AD DS implantaro somente um domnio. No entanto, as organizaes maiores ou as que precisam permitir o acesso a recursos em outras organizaes ou unidades de negcios, podem implantar vrios domnios na mesma floresta do Active Directory ou em uma floresta separada. Para que os usurios acessem recursos entre as florestas, voc deve configur-las com relaes de confiana. Esta lio descreve como configurar e gerenciar relaes de confiana em um ambiente do Active Directory.
5-17
Pontos principais
As relaes de confiana permitem que as entidades de segurana transmitam suas credenciais de um domnio para outro. Elas so necessrias para permitir o acesso a recursos entre domnios. Quando voc configura uma relao de confiana entre domnios, um usurio pode ser autenticado no domnio e suas credenciais de segurana podem ser usadas para acessar recursos em um domnio diferente. As relaes de confiana podem ser definidas como transitivas ou no transitivas. As contas de usurio esto localizadas no domnio confivel, enquanto os recursos esto localizados no domnio de confiana. As duas opes de protocolo para configurar relaes de confiana so o protocolo Kerberos verso 5 e o NTLM (Microsoft Windows NT Local Area Network (LAN) Manager).
5-18
Pontos principais
Todas as relaes de confiana nas florestas do Microsoft Windows 2000 Server, do Microsoft Windows Server 2003 e do Microsoft Windows Server 2008 so transitivas bidirecionais. Portanto, os dois domnios de uma relao de confiana so confiveis, mas as relaes de confiana unidirecionais podem ser configuradas. Este diagrama ilustra uma relao de confiana bidirecional entre as Florestas 1 e 2, e uma relao de confiana unidirecional entre os domnios E e A e os domnios B e Q. Pergunta: Se voc fosse configurar uma relao de confiana entre um domnio do Windows Server 2008 e um domnio do Windows NT 4.0, que tipo de relao de confiana precisaria configurar? Pergunta: Se voc precisar compartilhar recursos entre domnios, mas no quiser configurar uma relao de confiana, como poder fornecer acesso aos recursos compartilhados?
5-19
Pontos principais
Quando voc configura relaes de confiana entre domnios da mesma floresta, entre florestas ou com um territrio externo, as informaes sobre essas relaes de confiana so armazenadas no AD DS para que voc possa recuper-las quando necessrio. Um TDO (objeto de domnio confivel) armazena essas informaes. O TDO armazena informaes sobre a relao de confiana; por exemplo, transitividade e tipo. Sempre que voc criar uma relao de confiana, um novo TDO ser criado e armazenado no continer do sistema do domnio da relao de confiana. Pergunta: Neste slide, o Domnio B e o Domnio C tm que tipo de relao de confiana nesta floresta? Quais so as limitaes?
5-20
Pontos principais
O Windows Server 2008 oferece suporte a relaes de confiana entre florestas, o que permite aos usurios de uma floresta acessar os recursos de outra floresta. Quando um usurio tenta acessar um recurso em uma floresta confivel, o AD DS precisa primeiro localizar o recurso. Aps a localizao do recurso, o usurio poder ser autenticado e ter permisso para acessar o recurso. Pergunta: Por que os clientes no seriam capazes de acessar os recursos em um domnio fora da floresta?
5-21
Pontos principais
Examinar o MMC de domnios e relaes de confiana do Active Directory.
Pergunta: Quando voc configurar uma relao de confiana de floresta, quais informaes precisaro estar disponveis no DNS para que a relao de confiana da floresta funcione?
5-22
O que so UPNs?
Pontos principais
Um UPN um nome de logon usado somente para fazer logon em uma rede do Windows Server 2008. Um UPN divide-se em duas partes, que so separadas pelo smbolo @; por exemplo, susana@WoodgroveBank.com. O prefixo do UPN, que, neste exemplo, susana. O sufixo do UPN, que, neste exemplo, WoodgroveBank.com.
Por padro, o sufixo o nome do domnio em que a conta de usurio foi criada. Voc pode usar os outros domnios da rede ou outros sufixos que tenha criado a fim de configurar outros sufixos para os usurios. Por exemplo, talvez seja necessrio configurar um sufixo para criar nomes de logon de usurio que correspondam aos endereos de email dos usurios. Pergunta: Fornea alguns cenrios em que os UPNs seriam teis.
5-23
Pontos principais
Outra opo para restringir a autenticao entre as relaes de confiana em uma floresta do Windows Server 2008 a autenticao seletiva. Com a autenticao seletiva, voc pode restringir os computadores da floresta que podero ser acessados pelos usurios da outra floresta. Pergunta: Indique um cenrio em que seria apropriado habilitar a autenticao seletiva.
5-24
Cenrio
O Woodgrove Bank tambm estabeleceu uma relao de parceria com outra organizao. Alguns usurios de cada organizao precisam acessar recursos da outra organizao. No entanto, o acesso entre as organizaes deve se limitar ao mnimo de usurios e servidores possveis.
5-25
5-26
Tarefa 2: Definir as configuraes de rede e de DNS para habilitar a relao de confiana de floresta
1. Em VAN-DC1, modifique as propriedades de Rede Local a fim de alterar o endereo IP para 10.10.0.110, o gateway padro para 10.10.0.1 e o servidor DNS preferencial para 10.10.0.110. Em seguida, clique em OK. Sincronize a hora de VAN-DC1 com NYC-DC1. No Gerenciador DNS, adicione um encaminhador condicional para encaminhar todas as consultas de Woodgrovebank.com para 10.10.0.10. Em Domnios e Relaes de Confiana do Active Directory, eleve o nvel funcional do domnio e da floresta para Windows Server 2003. Em NYC-DC1, no console do Gerenciador DNS, adicione um encaminhador condicional para encaminhar todas as consultas de Fabrikam.com para 10.10.0.110. Feche o console do Gerenciador DNS.
2. 3. 4. 5.
6.
5-27
Tarefa 4: Configurar a autenticao seletiva da relao de confiana de floresta para permitir o acesso somente a NYC-DC2
1. 2. Em Domnios e Relaes de Confiana do Active Directory, modifique a relao de confiana de entrada em Fabrikam.com para usar a autenticao seletiva. Em Usurios e Computadores do Active Directory, acesse as propriedades de NYC-DC2. Na guia Segurana, conceda ao grupo MarketingGG de Fabrikam.com permisso para se autenticar nesse servidor. Acesse as propriedades de NYC-CL1. Na guia Segurana, conceda ao grupo MarketingGG de Fabrikam.com permisso para se autenticar nessa estao de trabalho.
3.
Observao: Fernando membro do grupo MarketingGG na Fabrikam. Ele pode fazer logon em um computador no domnio WoodgroveBank.com devido relao de confiana entre as duas florestas e por ter recebido permisso para se autenticar em NYC-CL1.
2. 3.
Tente acessar a pasta \\NYC-DC2\Netlogon. Fernando pode acessar a pasta. Tente acessar a pasta \NYC-DC1\Netlogon. Fernando no pode acessar a pasta porque o servidor no est configurado para autenticao seletiva.
5-28
Perguntas de reviso
1. Se houver uma relao de confiana em uma floresta e o recurso no estiver no domnio do usurio, como o controlador de domnio usar a relao de confiana para acessar o recurso? O grupo BranchOffice_Admins recebeu controle total sobre todas as contas de usurios em BranchOffice_OU. Quais permisses BranchOffice_Admins teria em uma conta de usurio movida de BranchOffice_OU para HeadOffice_OU? Sua organizao tem um ambiente de floresta do Windows Server 2008, mas acabou de adquirir outra organizao com um ambiente de floresta do Windows 2000 que contm um nico domnio. Os usurios das duas organizaes precisam acessar os recursos da floresta um do outro. Que tipo de relao de confiana voc deve criar entre os domnios raiz de cada floresta?
2.
3.
5-29
5-30
Ferramentas
Use as ferramentas a seguir ao configurar os objetos e as relaes de confiana do AD DS:
Ferramenta Gerenciador de Servidores Use para Onde encontr-la Clique em Iniciar, aponte para Ferramentas Administrativas e, em seguida, clique em Gerenciador de Servidores. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Usurios e Computadores do Active Directory.
Acessar as ferramentas de
gerenciamento do AD DS em um nico console.
6-1
Mdulo 6
Criao e configurao de Diretiva de Grupo
Sumrio:
Lio 1: Viso geral de Diretiva de Grupo Lio 2: Configurao do escopo de Objetos de Diretiva de Grupo Lio 3: Avaliao da aplicao de Objetos de Diretiva de Grupo Lio 4: Gerenciamento de Objetos de Diretiva de Grupo Lio 5: Delegao do controle administrativo de Diretiva de Grupo Laboratrio A: Criao e configurao de GPOs Laboratrio B: Verificao e gerenciamento de GPOs 6-3 6-18 6-31 6-37 6-47 6-51 6-57
6-2
Os administradores esto enfrentando desafios cada vez mais complexos ao gerenciar a infra-estrutura de TI (Tecnologia da Informao). Eles devem fornecer e manter configuraes de rea de trabalho personalizadas para uma gama maior de funcionrios, como usurios mveis, operadores de informaes ou outras pessoas atribudas a tarefas estritamente definidas, como a entrada de dados. A Diretiva de Grupo e a infra-estrutura do AD DS (Servios de Domnio Active Directory) no Microsoft Windows Server 2008 permitem que os administradores de TI automatizem o gerenciamento de usurio e de computador, simplificando as tarefas administrativas e reduzindo os custos de TI. Com a Diretiva de Grupo e o AD DS, os administradores podem implementar com eficincia as configuraes de segurana, impor diretivas de TI e distribuir uniformemente os softwares em um determinado site, domnio ou intervalo de UOs (unidades organizacionais).
6-3
Lio 1
Esta lio descreve como usar a Diretiva de Grupo para simplificar o gerenciamento de computadores e usurios em um ambiente do Active Directory. Voc saber como os GPOs (Objetos de Diretiva de Grupo) so estruturados e aplicados, e conhecer algumas excees das aplicaes desses GPOs. Alm disso, essa lio aborda os recursos de Diretiva de Grupo includos no Windows Server 2008, que tambm ajudar a simplificar o gerenciamento de computadores e usurios.
6-4
Pontos principais
A Diretiva de Grupo uma tecnologia Microsoft que oferece suporte ao gerenciamento um-para-muitos de computadores e usurios em um ambiente do Active Directory. Editando as configuraes de Diretiva de Grupo e tendo como alvo um GPO (Objeto de Diretiva de Grupo) nos usurios ou computadores desejados, voc pode gerenciar de modo centralizado parmetros de configurao especficos. Desse modo, possvel gerenciar milhares de computadores ou usurios alterando um nico GPO. Um objeto de Diretiva de Grupo o conjunto de configuraes aplicadas a usurios e computadores selecionados. A Diretiva de Grupo pode controlar vrios aspectos do ambiente de um objeto de destino, incluindo o Registro, a segurana do sistema de arquivos NTFS, a diretiva de auditoria e segurana, a instalao e a restrio de software, o ambiente de desktop, os scripts de logon/logoff etc.
6-5
Um GPO pode ser associado a vrios contineres do AD DS por meio da vinculao. Por outro lado, vrios GPOs podem se vincular a um nico continer. Cada computador com o sistema operacional Microsoft Windows tem um objeto de Diretiva de Grupo local. Nesses objetos, as configuraes de Diretiva de Grupo so armazenadas em computadores individuais, quer elas faam parte ou no de um ambiente do Active Directory ou de um ambiente de rede. Os objetos de Diretiva de Grupo local contm menos configuraes do que os objetos de Diretiva de Grupo no-local, particularmente nas Configuraes de Segurana. Os objetos de Diretiva de Grupo local no oferecem suporte ao Redirecionamento de Pasta ou Diretiva de Grupo de Instalao de Software. Pergunta: Quando a Diretiva de Grupo local seria til em um ambiente de domnio?
6-6
Pontos principais
A Diretiva de Grupo tem milhares de configuraes que podem ser definidas (aproximadamente 2.400). Essas configuraes podem afetar quase todas as reas do ambiente de computao. Voc no pode aplicar todas as configuraes a todas as verses dos sistemas operacionais Microsoft Windows. Por exemplo, muitas das novas configuraes fornecidas com o sistema operacional Microsoft Windows XP Professional, SP2 (Service Pack 2), como diretivas de restrio de software, se aplicavam somente a esse sistema operacional. Da mesma forma, vrias das novas configuraes se aplicam somente ao sistema operacional Microsoft WindowsVista e Windows Server 2008. Se um computador tiver uma configurao aplicada que no pode ser processada, ele simplesmente a ignorar.
6-7
Configuraes do Windows
Modelos administrativos
6-8
6-9
Pergunta: Quais dos novos recursos sero mais teis para voc no seu ambiente?
6-10
Pontos principais
Os clientes iniciam a aplicao da Diretiva de Grupo solicitando GPOs no AD DS. Quando a Diretiva de Grupo aplicada a um usurio ou computador, o componente cliente interpreta a diretiva e faz as alteraes apropriadas no ambiente. Esses componentes so conhecidos como extenses de cliente da Diretiva de Grupo. Quando os GPOs so processados, o servio gpsvc passa a lista de GPOs que devem ser processados para cada extenso de cliente de Diretiva de Grupo. Em seguida, a extenso usa a lista para processar a diretiva apropriada, quando aplicvel. Pergunta: Quais seriam as vantagens e desvantagens da diminuio do intervalo de atualizao?
6-11
Pontos principais
Diferentes fatores podem alterar o comportamento de processamento normal da Diretiva de Grupo, como o logon com uma conexo lenta. Alm disso, tipos distintos de conexes ou sistemas operacionais tratam o processamento da Diretiva de Grupo de forma diferente. Pergunta: Como o NLA (Reconhecimento de Locais de Rede) pode ser melhor do que o Protocolo ICMP na aplicao apropriada da Diretiva de Grupo?
6-12
Pontos principais
Voc pode usar os modelos da Diretiva de Grupo para criar e definir as configuraes da Diretiva de Grupo, que so armazenadas pelos GPOs. Os GPOs, por sua vez, so armazenados no continer SYSVOL (System Volume) do AD DS. O continer SYSVOL atua como um repositrio central dos GPOs. Desse modo, uma diretiva pode ser associada a vrios contineres do Active Directory atravs da vinculao. Por outro lado, vrias diretivas podem se vincular a um nico continer. A Diretiva de Grupo tem trs componentes principais: Modelos de Diretiva de Grupo Continer de Diretiva de Grupo Objetos de Diretiva de Grupo
Pergunta: Cite pelo menos um exemplo de como sua organizao pode se beneficiar com o uso dos componentes da Diretiva de Grupo.
6-13
Arquivos ADMX
O Windows Vista e o Windows Server 2008 apresentam um novo formato para a exibio das configuraes de diretiva baseadas no Registro. Essas configuraes so definidas com um formato de arquivo XML baseado em padres conhecido como arquivos ADMX. Esses novos arquivos substituem os arquivos ADM. As ferramentas de Diretiva de Grupo do Windows Vista e do Server 2008 continuaro reconhecendo os arquivos ADM personalizados do ambiente existente, mas ignoraro qualquer arquivo ADM que os arquivos ADMX tenham substitudo.
6-14
Pergunta: Como afirmar se um GPO foi criado ou editado por meio de arquivos ADM ou ADMX? Pergunta: Cite um benefcio do formato ADMX nos objetos de Diretiva de Grupo.
6-15
Pontos principais
Nas empresas baseadas em domnios, os administradores podem criar um local de armazenamento central dos arquivos ADMX que pode ser acessado por qualquer pessoa que tenha permisso para criar ou editar GPOs. O Editor de GPO no Microsoft Windows Vista e no Windows Server 2008 l e exibe automaticamente as configuraes de diretiva do Modelo Administrativo a partir dos arquivos ADMX mantidos em cache pelo armazenamento central e ignora as configuraes armazenadas localmente. Se o controlador de domnio no estiver disponvel, o armazenamento local ser usado. Voc deve criar o armazenamento central e atualiz-lo manualmente em um controlador de domnio. O uso de arquivos ADMX depende do sistema operacional de computador em que voc est criando ou editando o GPO. Portanto, o controlador de domnio pode ser um servidor com o Microsoft Windows 2000, Microsoft Windows Server2003 ou Windows Server 2008. O FRS (Servio de Replicao de Arquivos) replicar o controlador de domnio para os outros controladores desse domnio.
6-16
Para criar um armazenamento central para os arquivos .admx e .adml, crie uma pasta chamada PolicyDefinitions no seguinte local: \\FQDN\SYSVOL\FQDN\policies
Observao: o FQDN um nome de domnio totalmente qualificado.
Por exemplo, para criar um armazenamento central para o domnio Test.Microsoft.com, crie uma pasta PolicyDefinitions no seguinte local: \\Test.Microsoft.Com\SYSVOL\Test.Microsoft.Com\Policies Copie todos os arquivos da pasta PolicyDefinitions de um computador cliente com Windows Vista para a pasta PolicyDefinitions do controlador de domnio. A pasta PolicyDefinitions de um computador com Windows Vista reside na mesma pasta do Windows Vista. A pasta PolicyDefinitions do computador com Windows Vista armazena todos os arquivos .admx e .adml de todos os idiomas habilitados no computador cliente. Pergunta: Qual a vantagem da criao do armazenamento central em seu ambiente?
6-17
Pontos principais
Abra o GPMC (Console de Gerenciamento de Diretiva de Grupo) Crie uma nova Diretiva de Grupo chamada rea de Trabalho no continer de Diretiva de Grupo. Na configurao do computador, impea que o ltimo nome de logon seja exibido e que o Windows Installer seja executado. Na configurao do usurio, remova o menu Pesquisar do menu Iniciar e oculte a guia Proteo de Tela.
Pergunta: Ao abrir o GPMC no computador do Windows XP, voc no ver as novas configuraes do Windows Vista no Editor de Objeto de Diretiva de Grupo. Por que no?
6-18
Lio 2:
H vrias tcnicas na Diretiva de Grupo que permitem aos administradores manipular o modo como ela ser aplicada. Voc pode controlar a ordem padro do processamento da diretiva por meio da imposio, do bloqueio de herana, da filtragem de segurana, dos filtros WMI (Instrumentao de Gerenciamento do Windows) ou do recurso de processamento de loopback. Nesta lio, voc conhecer essas tcnicas.
6-19
Pontos principais
Os GPOs aplicveis a um usurio ou computador no tm a mesma precedncia. Os GPOs so aplicados em uma ordem especfica. Essa ordem significa que as configuraes processadas primeiro podem ser substitudas pelas configuraes processadas posteriormente. Por exemplo, uma diretiva que restringe o acesso ao Painel de Controle aplicado no nvel do domnio pode ser revertido por uma diretiva aplicada no nvel dessa UO. Se voc vincular vrios GPOs a uma unidade organizacional, o processamento ocorrer na ordem especificada pelo administrador na guia Objetos de Diretiva de Grupo Vinculados da unidade organizacional no GPMC (Console de Gerenciamento de Diretiva de Grupo). Pergunta: Sua organizao tem vrios domnios distribudos por vrios sites. Voc deseja aplicar uma Diretiva de Grupo a todos os usurios em dois domnios diferentes. Qual a melhor forma de atingir esse objetivo?
6-20
Pontos principais
Nos sistemas operacionais da Microsoft anteriores ao Windows Vista, havia apenas uma configurao de usurio disponvel na Diretiva de Grupo local. Essa configurao se aplicava a todos os usurios conectados do computador local. Isso ainda funciona, mas o Windows Vista e o Windows Server 2008 tm um recurso adicional. Agora, no Windows Vista e no Windows Server 2008, possvel ter configuraes de usurio diferentes para usurios locais diferentes, embora esses sistemas operacionais ainda permaneam com uma nica configurao de computador que afeta todos os usurios. Os administradores de domnio podem desabilitar os objetos de Diretiva de Grupo local que esto sendo processados nos clientes com Windows Vista ou Windows Server 2008, habilitando a configurao de diretiva Desativar o processamento dos objetos de Diretiva de Grupo local em um GPO de domnio. Pergunta: Quando vrios objetos de Diretiva de Grupo local seriam teis em um ambiente de domnio?
6-21
Pontos principais
Pode ser que, em alguns momentos, o comportamento normal da Diretiva de Grupo no seja desejvel. Por exemplo, determinados usurios ou grupos talvez precisem estar isentos das configuraes de Diretiva de Grupo restritivas. Do contrrio, um GPO dever ser aplicado somente a computadores com determinadas caractersticas de hardware ou software. Por padro, todas as configuraes de Diretiva de Grupo se aplicam ao grupo Usurios Autenticados de um continer especfico. No entanto, voc pode modificar esse comportamento por meio de vrios mtodos. Com o bloqueio de herana, o nvel filho fica impedido de herdar automaticamente os GPOs vinculados a sites, domnios ou unidades organizacionais superiores. Os links de GPO impostos no podem ser bloqueados no continer pai.
6-22
Ao negar ou conceder a permisso Aplicar Diretiva de Grupo, voc poder controlar quais usurios, grupos ou computadores realmente recebero as configuraes de GPO. A filtragem de grupo de segurana substituir a imposio. O WMI permite o acesso s propriedades de quase todos os objetos de hardware e software no ambiente de computao. Com os scripts WMI, essas propriedades podem ser avaliadas e as decises sobre o aplicativo da Diretiva de Grupo so tomadas com base nos resultados. Voc pode bloquear completamente a aplicao de um GPO de um determinado site, domnio ou unidade organizacional desabilitando o link de GPO desse continer. Voc pode usar o recurso de loopback de Diretiva de Grupo para aplicar GPOs que dependam unicamente do computador em que o usurio faz logon.
Pergunta: Voc criou uma diretiva de rea de trabalho restritiva e a vinculou UO Finance. A UO Finance tem vrias UOs filho com GPOs separados que revertem algumas restries de rea de trabalho. Como garantir que todos os usurios do departamento financeiro recebam sua diretiva de rea de trabalho?
6-23
Pontos principais
Vincule a diretiva que voc criou na demonstrao anterior UO Toronto. Faa logon como um dos usurios de Toronto para testar os resultados. Desabilite o lado do computador ou do usurio da diretiva. Isso oferece alguma vantagem no desempenho, por no processar partes da diretiva que esto vazias. Desabilite a diretiva inteira. Talvez seja necessrio fazer isso algumas vezes para solucionar problemas de diretivas.
Pergunta: Verdadeiro ou falso se um GPO estiver vinculado a vrios contineres, a alterao das configuraes de um desses links afetar somente esse continer.
6-24
Pontos principais
Crie uma nova UO e um novo usurio na UO. Na diretiva de Domnio Padro, habilite a configurao que remover o menu Ajuda do menu Iniciar. Teste as configuraes. Bloqueie a herana da nova UO. Teste as configuraes. Imponha a diretiva de Domnio Padro. Teste as configuraes. Desative a imposio e o bloqueio de herana.
Pergunta: Seu domnio tem duas diretivas em nvel de domnio: GPO1 e GPO2. necessrio garantir que todas as UOs recebam o GPO1, mas o GPO2 no deve afetar duas das UOs. Como voc conseguiria isso?
6-25
Pontos principais
Crie um novo usurio na UO criada na ltima demonstrao. Crie um link entre a UO e o GPO que remova o link Pesquisar do menu Iniciar. Use a filtragem de segurana para isentar o novo usurio da configurao de GPO. Faa logon como primeiro e confirme que no h nenhum link do menu Ajuda. Faa logon como novo usurio e verifique se o link do menu Ajuda aparece porque a filtragem de segurana foi aplicada.
Pergunta: Voc deseja garantir que uma diretiva vinculada a uma UO afete somente os membros do grupo global Gerentes. Como voc conseguiria isso?
6-26
Pontos principais
Use o GPMC para criar um novo filtro WMI que tenha como alvo apenas os clientes XP Professional: Root\CimV2; Select * from Win32_OperatingSystem where Caption = "Microsoft Windows XP Professional" Use o GPMC para criar um novo GPO chamado software. Atribua o WMI ao software GPO.
Pergunta: Voc precisa implantar um aplicativo de software que exija mais de 1 GB de RAM nos computadores. Qual a melhor forma de atingir esse objetivo?
6-27
Pontos principais
Geralmente, as configuraes de diretiva do usurio so derivadas dos GPOs associados conta de usurio, com base no local do AD DS. No entanto, o processamento de loopback direciona o sistema para aplicar um conjunto alternativo de configuraes de usurio a qualquer usurio que faz logon em um computador afetado por essa diretiva. O processamento de loopback destina-se a computadores de uso especial nos quais voc deve modificar a diretiva de usurio com base no computador que est sendo usado; por exemplo, computadores em reas pblicas ou salas de aula. Quando voc aplicar o loopback, ele afetar todos os usurios, exceto os locais. Os objetos de usurio e os objetos de computador podem ter diferentes configuraes de diretiva de grupo aplicadas (isso depender do local em que cada objeto reside no AD). O processamento de loopback garante que a diretiva dos objetos de computador tenha precedncia sobre as configuraes de diretiva de grupo dos objetos de usurio.
6-28
O loopback opera usando os dois modos a seguir: Modo de mesclagem Modo de substituio
6-29
Cenrio
Use as informaes do cenrio a seguir na discusso.
Estrutura fsica
O Woodgrove Bank tem um nico domnio que abrange dois locais: a sede e Toronto. Toronto est conectado sede por meio de uma conexo de alta velocidade. A Sede possui uma filial em Winnipeg. Esse escritrio est conectado sede por meio de uma conexo lenta. H cinco usurios no escritrio de Winnipeg. No h nenhum controlador de domnio nesse escritrio, mas h um SQL Server. Essa organizao implantou computadores com o Windows XP Professional e o Windows Vista.
6-30
Requisitos
Um pequeno aplicativo de software ser distribudo para todos os computadores do domnio que possuem o Windows XP Professional por meio da Diretiva de Grupo. Os usurios do domnio no devem ter acesso s propriedades de exibio da rea de trabalho. O grupo Administradores estar isento dessa restrio. Sero aplicadas outras restries de rea de trabalho para os usurios da filial Winnipeg e de Toronto. As duas filiais tero um computador de quiosque disponvel no lobby para acesso pblico Internet. necessrio bloquear esse computador para que os usurios no possam alterar nenhuma configurao. As contas de computador esto localizadas na UO de suas respectivas filiais. As contas de computador de todos os servidores que no sejam controladores de domnio ficaro na UO do servidor ou em uma UO aninhada na UO Servers. Todos os servidores devem ter configuraes de segurana de linha de base aplicadas. necessrio aplicar configuraes de segurana adicionais nos servidores SQL. Atividade multimdia A atividade "Implementao de diretiva de grupo" inclui vrios exerccios de mltipla escolha e de arrastar-e-soltar para voc testar seus conhecimentos. Para acessar a atividade, abra a pgina da Web no CD do Material do aluno, clique em Multimdia e em Implementao de Diretiva de Grupo. Leia as instrues e clique na guia Efeitos das Configuraes de Diretiva de Grupo para comear a atividade. Pergunta: Como construir um esquema de Diretiva de Grupo para atender aos requisitos?
6-31
Lio 3:
Os administradores de sistema precisam saber como as configuraes de Diretiva de Grupo afetaro os computadores e usurios em um ambiente gerenciado. Essas informaes so essenciais ao planejar a Diretiva de Grupo para uma rede e ao depurar os GPOs existentes. A obteno das informaes pode ser uma tarefa complexa quando voc considera as vrias combinaes de sites, domnios e unidades organizacionais possveis e os vrios tipos de configuraes de Diretiva de Grupo que podem existir. O que complica mais ainda a tarefa a filtragem de grupo de segurana, e a herana, o bloqueio e a imposio do GPO. A ferramenta de linha de comando dos Resultados da Diretiva de Grupo (GPResult.exe) e o GPMC fornecem recursos de relatrio para simplificar essas tarefas.
6-32
Pontos principais
O Relatrio de Diretiva de Grupo um recurso de Diretiva de Grupo que facilita a implementao e a soluo de problemas. As duas ferramentas de relatrio principais so a ferramenta de linha de comando GPResult.exe e o Assistente de Resultados de Diretiva de Grupo do GPMC. O recurso Resultados da Diretiva de Grupo permite que os administradores determinem o conjunto de diretivas resultante aplicado a um determinado computador e/ou usurio conectado a esse computador. Embora essas ferramentas sejam semelhantes, cada uma delas fornece informaes diferentes. O firewall interno do Windows deve ser configurado para permitir o trfego de entrada desejado por meio de um GPO (Objeto de Diretiva de Grupo). Ironicamente, essa diretiva o nico elemento que definitivamente no podemos impor aos computadores remotos habilitados para firewall.
6-33
A configurao de diretiva que precisa ser habilitada para todos os mtodos mencionados a seguinte: Configuraes do Computador | Modelos Administrativos | Rede | Conexes de Rede | Firewall do Windows | Perfil do Domnio | "Windows Firewall: Autorizar exceo de administrao remota". Pergunta: Voc deseja saber qual controlador de domnio forneceu a Diretiva de Grupo a um cliente. Que utilitrio usaria para descobrir isso?
6-34
Pontos principais
Outro mtodo que pode ser usado para testar a Diretiva de Grupo o Assistente para Modelagem da Diretiva de Grupo do GPMC, que modela as alteraes de ambiente antes que elas realmente sejam efetuadas. O Assistente para Modelagem da Diretiva de Grupo calcula o efeito de rede simulado dos GPOs. A Modelagem da Diretiva de Grupo tambm simula situaes como a associao de grupo de segurana, a avaliao do filtro WMI e os efeitos da movimentao dos objetos de usurio ou computador para outra UO ou site. Voc tambm pode especificar a deteco de conexo lenta, o processamento de loopback ou ambos ao usar o Assistente para Modelagem da Diretiva de Grupo. O processo de Modelagem da Diretiva de Grupo, na verdade, executado em um controlador no domnio do Active Directory. Como o assistente nunca consulta o computador cliente, ele no pode considerar as diretivas locais.
6-35
Pergunta: Quais simulaes podem ser executadas com o Assistente para Modelagem da Diretiva de Grupo? Escolha todas as opes aplicveis. a. b. c. Processamento de loopback Movimentao de um usurio para outro domnio da mesma floresta Filtragem de grupo de segurana
6-36
Pontos principais
Fazer logon usando a conta WOODGROVEBANK\Administrator. Execute o GPResult. Use o GPMC para executar o Assistente de Relatrio de Diretiva de Grupo para um usurio. Examine o resultado e salve o relatrio como um arquivo HTML. Use o GPMC para executar o Assistente para Modelagem de Diretiva de Grupo para simular o que aconteceria se o usurio tivesse sido movido para uma UO diferente e compare as diferenas.
Pergunta: Um usurio reporta que no consegue acessar o Painel de Controle. Outros usurios do departamento conseguem acess-lo. Quais ferramentas podem ser usadas para solucionar o problema?
6-37
Lio 4:
O GPMC fornece mecanismos para backup, restaurao, migrao e cpia dos GPOs existentes. Isso muito importante para manter as implantaes da Diretiva de Grupo caso ocorra algum erro ou desastre, alm de evitar a necessidade de recriar manualmente GPOs perdidos ou danificados e de percorrer novamente as fases de planejamento, teste e implantao. Parte do plano de operaes da Diretiva de Grupo deve incluir backups regulares de todos os GPOs. O GPMC tambm permite a cpia e a importao de GPOs, no mesmo domnio e entre domnios.
6-38
Pontos principais
Assim como acontece com os dados crticos e os recursos relacionados ao Active Directory, voc deve fazer backup dos GPOs para proteger a integridade do AD DS e dos GPOs. O GPMC no somente fornece opes bsicas de backup e restaurao, mas tambm controle adicional sobre os GPOs para fins administrativos. Com o GPMC, voc pode fazer backup dos GPOs individualmente ou como um todo. A interface de restaurao permite que voc exiba as configuraes armazenadas na verso que passou por backup antes da restaurao. Com a importao de um GPO, voc pode transferir as configuraes de um GPO submetido a backup para um GPO existente. Esse procedimento no modifica a segurana ou os links existentes no GPO de destino. Voc pode copiar os GPOs usando o GPMC, no mesmo domnio e entre domnios.
6-39
Observao: no possvel mesclar as configuraes importadas com as configuraes atuais do GPO de destino. As configuraes importadas substituiro todas as configuraes existentes. Observao: no possvel copiar as configuraes de vrios GPOs para um nico GPO.
Pergunta: Voc faz backups dos GPOs regularmente. Um administrador alterou acidentalmente vrias configuraes no GPO errado. Qual a maneira mais rpida de resolver o problema?
6-40
Pontos principais
Os GPOs Iniciais armazenam um conjunto de configuraes de diretiva de Modelo Administrativo em um nico objeto. Os GPOs Iniciais contm somente Modelos Administrativos. Voc pode importar e exportar GPOs Iniciais a fim de distribu-los para outras reas da sua empresa. Quando um novo GPO for criado a partir de um GPO Inicial, o novo GPO ter todas as configuraes de Modelo Administrativo que o GPO Inicial definiu. Desse modo, os GPOs Iniciais atuaro como modelos para a criao de GPOs, o que ajudar a manter a consistncia em ambientes distribudos. Os GPOs Iniciais individuais podem ser exportados para arquivos .Cab a fim de facilitar a distribuio. Em seguida, voc pode importar novamente esses arquivos para o GPMC, que, por sua vez, armazenar os GPOs Iniciais em uma pasta chamada StarterGPOs, localizada em SYSVOL. Pergunta: Cite um dos benefcios do uso dos GPOs Iniciais.
6-41
Pontos principais
Abrir o console de Gerenciamento de Diretiva de Grupo. Na rvore de console do GPMC, clicar nos GPOs Iniciais. No painel de resultados, clicar na guia Contedo e, em seguida, clicar em Carregar Gabinete. Na caixa de dilogo Carregar GPO Inicial, clicar em Procurar CAB. Clicar no nome do arquivo de gabinete de GPO Inicial a ser instalado e, em seguida, clicar em Abrir. Na caixa de dilogo Carregar GPO Inicial, confirmar se o arquivo de gabinete de GPO Inicial correto foi especificado e clicar em OK. Na guia Contedo, confirmar se o nome do GPO Inicial instalado aparece na lista de GPOs Iniciais. O GPO Inicial ser criado na pasta SYSVOL compartilhada encontrada nos controladores de domnio, nos idiomas em que o Windows Vista e o Windows XP SP2 so disponibilizados.
6-42
Pontos principais
Usar o GPMC para copiar a diretiva de rea de trabalho criada na demonstrao anterior. Renomear o GPO resultante com o nome de sua escolha.
Pergunta: Qual a vantagem de copiar um GPO e vincul-lo a uma UO, em vez de vincular o GPO original a vrias UOs?
6-43
Pontos principais
Criar uma pasta chamada GPO_Back para armazenar os GPOs submetidos a backup. Fazer backup de um GPO. Fazer backup de todos os GPOs. Excluir um dos GPOs da pasta de Diretiva de Grupo. Restaurar o GPO a partir da verso de backup.
6-44
Pontos principais
Criar um novo GPO chamado Redirect. Configurar a diretiva Redirect para redirecionar a pasta Meus Documentos para o caminho UNC \\server\share. Fazer backup da diretiva Redirect. Criar um novo GPO chamado Imported. Importar as configuraes da diretiva Redirect para a diretiva Imported.
6-45
Quando o processo de verificao descobrir quais configuraes possivelmente precisaro ser modificadas, criar uma nova tabela de migrao que altere o caminho UNC de \\server\share para \\Srv1\docs. Concluir as etapas do Assistente para Importao e mostrar que o caminho UNC de Meus Documentos foi alterado de \\server\share para \\Srv1\docs.
6-46
Pontos principais
O ADMX Migrator permite que voc converta modelos ADM personalizados em modelos ADMX. O arquivo ADML associado tambm criado. Os arquivos convertidos so salvos na pasta de documentos do usurio, por padro. Depois que voc criar os novos arquivos, copie o arquivo ADMX para a pasta PolicyDefinitions ou para o armazenamento central, e copie o arquivo ADML para a subpasta apropriada. Em seguida, os novos Modelos Administrativos sero disponibilizados no GPMC. Pergunta: Cite pelo menos um benefcio do uso do utilitrio ADMX Migrator.
6-47
Lio 5:
Em um ambiente distribudo, comum ter diferentes grupos delegados para executar tarefas administrativas distintas. O gerenciamento da Diretiva de Grupo uma das tarefas administrativas que voc pode delegar.
6-48
Pontos principais
A delegao permite que a carga de trabalho administrativa seja distribuda em toda a empresa. Um grupo poderia ficar com a incumbncia de criar e editar os GPOs, enquanto outro ficaria com a responsabilidade de gerar os relatrios e fazer as anlises. Um terceiro grupo poderia se encarregar dos filtros WMI. As tarefas de Diretiva de Grupo a seguir podem ser delegadas de forma independente: Criar GPOs Editar GPOs Gerenciar links de Diretiva de Grupo para um site, um domnio ou uma UO Executar anlises de Modelagem da Diretiva de Grupo em um determinado domnio ou UO Ler os Resultados da Diretiva de Grupo dos objetos de um determinado domnio ou UO Criar filtros WMI em um domnio
6-49
O grupo Proprietrios Criadores de Diretiva de Grupo permite que seus membros criem novos GPOs e editem ou excluam os GPOs criados. Pergunta: Cite um dos benefcios da delegao de direitos de criao de novas Diretivas de Grupo por parte do administrador.
6-50
Pontos principais
Usar o Assistente para Delegao de Controle a fim de delegar o direito de vinculao de um GPO existente a um usurio e usar as ferramentas de gerao de relatrio da Diretiva de Grupo. Usar o GPMC para delegar a um usurio diferente o direito de criar Diretivas de Grupo. Usar o GPMC para delegar ao usurio o direito de editar a diretiva de rea de trabalho.
Pergunta: Um usurio localizado em outro domnio da sua floresta precisa de permisso para criar GPOs no seu domnio. Qual a melhor forma de atingir esse objetivo?
6-51
Cenrio
O Woodgrove Bank decidiu implementar a Diretiva de Grupo para gerenciar as reas de trabalho dos usurios e configurar a segurana do computador. A organizao j implementou uma configurao de UO que inclui UOs de nvel superior por local, com UOs adicionais em cada UO de local para diferentes departamentos. As contas de usurio esto no mesmo continer das contas de computador de estao de trabalho. As contas de computador servidor so distribudas pelas vrias UOs.
Observao: algumas tarefas deste laboratrio foram projetadas para ilustrar as tcnicas e configuraes do gerenciamento de GPOs, e possivelmente nem sempre seguiro as prticas recomendadas.
6-52
6-53
2. 3. 4.
2.
3.
6-54
4.
Edite o GPO Kiosk Computer Security (Computer Configuration\Policies \Administrative Templates\System\Group Policy\User Group Policy loopback processing mode) para usar o processamento de loopback, e ocultar e desabilitar todos os itens da rea de trabalho do usurio conectado. Edite o GPO Restrict Control Panel (User Configuration\Policies \Administrative Templates\Control Panel\Prohibit access to the Control Panel) para impedir o acesso do usurio ao Painel de Controle. Edite o GPO Restrict Run Command (User Configuration\Policies \Administrative Templates\Start Menu and Taskbar\Remove Run Menu from the Start Menu) para impedir o acesso ao menu Executar. Edite o GPO Vista and XP Security (Computer Configuration\Policies \Administrative Templates\System\Logon\Always wait for the network at computer startup and logon) para garantir que os computadores aguardem a inicializao da rede.
5.
6.
7.
Resultado: Depois de concluir este exerccio, voc ter criado e configurado os GPOs.
6-55
6-56
Tarefa 4: Criar e aplicar um filtro WMI para o GPO Vista and XP Security
1. 2. 3. Crie uma nova consulta WMI para recuperar os usurios dos sistemas operacionais Windows XP e Windows Vista. Abra o GPMC e crie um novo filtro WMI. Grave uma consulta para recuperar os usurios do Windows XP e Windows Vista na caixa Consulta WMI.
Resultado: Depois de concluir este exerccio, voc ter definido o escopo das configuraes de GPO.
6-57
Cenrio
O administrador da empresa criou um plano de implantao de GPO. Voc foi solicitado a criar GPOs para que determinadas diretivas possam ser aplicadas a todos os objetos de domnio. Algumas diretivas so consideradas obrigatrias. Tambm necessrio criar configuraes de diretiva que se apliquem somente a subconjuntos dos objetos do domnio e ter diretivas separadas para configuraes de computador e de usurio. Voc deve delegar a administrao de GPOs aos administradores de cada empresa.
Observao: algumas tarefas deste laboratrio foram projetadas para ilustrar as tcnicas e configuraes do gerenciamento de GPOs, e possivelmente nem sempre seguiro as prticas recomendadas.
6-58
6-59
6-60
5.
Faa logoff.
Tarefa 7: Usar a modelagem da Diretiva de Grupo para testar as configuraes do computador de quiosque
1. 2. Faa logon em NYC-DC1 como Administrator com a senha Pa$$w0rd. Inicie o GPMC, clique com o boto direito do mouse na pasta Modelagem da Diretiva de Grupo, clique em Assistente para Modelagem de Diretiva de Grupo e, em seguida, clique em Avanar duas vezes. Na tela Seleo de Usurio e Computador, clique em Computador, digite Woodgrovebank\NYC-CL1 e clique em Avanar trs vezes. Na tela Grupos de Segurana do Computador, clique em Adicionar. Na caixa de dilogo Selecionar Grupos, digite Computadores de Quiosque e clique em Avanar. Na tela Filtros WMI para Computadores, clique em Avanar duas vezes, clique em Concluir e exiba o relatrio.
3. 4. 5. 6.
Resultado: Depois de concluir este exerccio, voc ter testado e verificado uma aplicao de GPO.
6-61
6-62
2. 3. 4.
Resultado: Depois de concluir este exerccio, voc ter feito backup, restaurado e importado os GPOs.
6-63
6-64
Tarefa 4: Habilitar Usurios do Domnio para fazer logon nos controladores de domnio
Observao: esta etapa includa no laboratrio para permitir o teste das permisses delegadas. recomendvel instalar as ferramentas de administrao em uma estao de trabalho Windows em vez de habilitar Usurios do Domnio para fazer logon nos controladores de domnio.
1. 2. 3. 4. 5.
Em NYC-DC1, inicie o Gerenciamento de Diretiva de Grupo e edite a Diretiva de Controladores de Domnio Padro. Na janela Editor de Gerenciamento da Diretiva de Grupo, acesse a pasta Atribuio de Direitos de Usurio. Clique duas vezes em Permitir logon local. Na caixa de dilogo Propriedades de Permitir logon local, clique em Adicionar Usurio ou Grupo. Conceda ao grupo Usurios do Domnio o direito de fazer logon localmente. Abra um prompt de comando, digite GPUpdate /force e pressione ENTER.
6-65
5. 6. 7. 8.
Clique com o boto direito do mouse em GPO de Importao e, em seguida, clique em Editar. Essa operao ser bem-sucedida. Clique com o boto direito do mouse em UO Executives e vincule o GPO de Teste a essa UO. Essa operao ser bem-sucedida. Clique com o boto direito do mouse na diretiva Admin Favorites e tente edit-la. Essa operao no ser possvel. Feche o GPMC.
Resultado: Depois de concluir este exerccio, voc ter feito backup, restaurado e importado os GPOs.
6-66
Consideraes
Considere o seguinte ao criar e configurar Diretiva de Grupo: Crie vrios objetos de Diretiva de Grupo local quando necessrio Atualize e substitua arquivos ADM ou use arquivos ADMX e ADML para obter melhor extensibilidade Use diferentes mtodos para controlar a Diretiva de Grupo, a herana, a filtragem e a imposio Use as ferramentas de Diretiva de Grupo e os recursos de relatrios corretos para melhorar a manuteno da Diretiva de Grupo
6-67
Perguntas de reviso
1. 2. Voc quer impor a aplicao de determinadas configuraes de Diretiva de Grupo em uma conexo lenta. O que voc pode fazer? necessrio garantir que uma diretiva em nvel de domnio seja imposta, mas o grupo global Gerentes precisa estar isento da diretiva. Como voc conseguiria isso? Todos os GPOs que contm configuraes de usurio devem ter determinados Modelos Administrativos habilitados. Voc precisar enviar essas configuraes de diretiva para outros administradores da empresa. Qual a melhor abordagem? Voc deseja controlar o acesso aos dispositivos de armazenamento removveis em todas as estaes de trabalho cliente atravs da Diretiva de Grupo. possvel usar a Diretiva de Grupo para fazer isso?
3.
4.
7-1
Mdulo 7
Configurao de ambientes de usurio e de computador usando Diretiva de Grupo
Sumrio:
Lio 1: Definio de configuraes de Diretiva de Grupo Lio 2: Configurao de Scripts e Redirecionamento de Pastas usando Diretiva de Grupo Laboratrio A: Configurao de scripts de logon e Redirecionamento de Pastas usando Diretiva de Grupo Lio 3: Configurao de modelos administrativos Laboratrio B: Configurao de modelos administrativos Lio 4: Implantao de software usando Diretiva de Grupo Laboratrio C: Implantao de software com Diretiva de Grupo Lio 5: Configurao de preferncias de Diretiva de Grupo Laboratrio D: Configurao de preferncias de Diretiva de Grupo Lio 6: Introduo soluo de problemas de Diretiva de Grupo Lio 7: Soluo de problemas do aplicativo de Diretiva de Grupo Lio 8: Soluo de problemas de configuraes de Diretiva de Grupo Laboratrio E: Soluo de problemas de Diretiva de Grupo 7-3 7-7 7-14 7-18 7-24 7-29 7-37 7-40 7-45 7-49 7-56 7-68 7-72
7-2
Esse mdulo apresenta a funo de configurao do ambiente do usurio usando Diretivas de Grupo. Especificamente, esse mdulo oferece as habilidades e o conhecimento necessrios para se usar a Diretiva de Grupo para configurar o Redirecionamento de Pasta e descreve como usar os scripts. Voc tambm aprender como os Modelos Administrativos afetam o Microsoft Windows Vista e o Windows Server 2008, e como implantar softwares usando Diretivas de Grupo. Esse mdulo tambm descreve os procedimentos de soluo de problemas de clientes e computadores que processam Diretivas de Grupo. Esses procedimentos de soluo de problemas podem incluir configuraes de diretiva incompletas ou incorretas, ou a ausncia de aplicao da diretiva para o computador ou usurio. Voc aprender o conhecimento e as habilidades necessrias para solucionar esses problemas.
7-3
Lio 1
A Diretiva de Grupo pode fornecer muitos tipos diferentes de configurao. Algumas configuraes requerem simplesmente a ativao, enquanto outras requerem definies mais complexas. Alm disso, a Diretiva de Grupo pode ser usada para implantar softwares para alguns ou todos os usurios da organizao. O uso da Diretiva de Grupo para implantar softwares pode reduzir o esforo para manter os computadores atualizados com os softwares necessrios. Esta lio descrever como definir as vrias configuraes da Diretiva de Grupo.
7-4
Pontos principais
Para que as Diretivas de Grupo funcionem, necessrio configur-las. A maioria das configuraes de Diretiva de Grupo possui trs estados. So eles: Habilitado: por exemplo, para impedir o acesso ao Painel de Controle, habilite a configurao de diretiva Proibir acesso ao Painel de Controle. Desabilitado: por exemplo, se voc desabilitar Proibir acesso ao Painel de Controle no nvel do continer filho, voc permite especificamente o acesso ao Painel de Controle. No Configurado: uma configurao de Diretiva de Grupo definida como No Configurado significa que o comportamento padro normal ser imposto, e essa Diretiva de Grupo em particular no surtir efeito nessa configurao.
7-5
Voc tambm deve definir valores para algumas configuraes de Diretiva de Grupo. Por exemplo, para configurar associao de grupo restrito, voc dever fornecer valores para os grupos e usurios. Pergunta: Uma diretiva no nvel do domnio restringe o acesso ao Painel de Controle. Voc deseja que os usurios da UO (unidade organizacional) Admin tenham acesso ao Painel de Controle, mas no quer bloquear herana. Como voc conseguiria isso?
7-6
Pontos principais
Criar e vincular um GPO para definir as configuraes do Windows Update. Fazer logon no computador cliente e testar os resultados.
Pergunta: Como impedir que uma diretiva de nvel inferior reverta a configurao de uma diretiva de nvel superior?
7-7
Lio 2
O Windows Server 2008 permite que voc use a Diretiva de Grupo para implantar scripts para usurios e computadores. Tambm possvel redirecionar pastas que o perfil do usurio incluir, dos discos rgidos locais do usurio para um servidor central.
7-8
Pontos principais
Voc pode usar os scripts de Diretiva de Grupo para executar qualquer quantidade de tarefas. Talvez voc precise realizar determinadas tarefas sempre que iniciar ou encerrar um computador, ou quando os usurios fizerem logoff ou logon. Por exemplo, voc pode usar scripts para: Limpar as reas de trabalho quando os usurios fizerem logoff e desligarem os computadores. Excluir o contedo de diretrios temporrios. Mapear unidades ou impressoras. Configurar variveis de ambiente.
7-9
Em muitas dessas configuraes, o uso de preferncias de Diretiva de Grupo a melhor alternativa para configur-las em imagens do Microsoft Windows ou usar scripts de logon. As preferncias de Diretiva de Grupo sero abordadas com mais detalhes posteriormente neste mdulo. Pergunta: Voc mantm scripts de logon em uma pasta compartilhada na rede. Como garantir que os scripts estejam sempre disponveis para usurios de todos os locais?
7-10
Pontos principais
Criar um script de logon que use o comando net use t: \\nyc-dc1\data. Criar e vincular um GPO para configurar um script de logon usando o script que voc acabou de criar. Fazer logon no computador cliente e testar os resultados.
Pergunta: Qual outro mtodo poderia ser usado para atribuir scripts de logon aos usurios?
7-11
Pontos principais
O Redirecionamento de Pasta facilita o gerenciamento e o backup de dados. Ao redirecionar pastas, voc pode garantir o acesso do usurio aos dados, independentemente dos computadores em que ele faz logon. Ao redirecionar pastas, voc altera o local de armazenamento delas no disco rgido local do computador do usurio para uma pasta compartilhada em um servidor de arquivos de rede. Aps redirecionar uma pasta para um servidor de arquivos, ela ainda aparecer para o usurio como se estivesse armazenada no disco rgido local.
7-12
Pontos principais
H trs configuraes disponveis para o Redirecionamento de Pasta: nenhum, bsico e avanado. O redirecionamento de pasta bsico destina-se a usurios que devem redirecionar suas pastas para uma rea comum ou que precisam de privacidade de dados. O redirecionamento avanado permite que voc especifique locais de rede distintos para diferentes grupos de segurana do Active Directory.
Pergunta: Os usurios de um mesmo departamento normalmente fazem logon em computadores diferentes. Eles precisam acessar a pasta Meus documentos. Eles tambm precisam de privacidade de dados. Qual configurao do redirecionamento de pasta voc escolheria?
7-13
Pontos principais
Enquanto voc precisa criar manualmente uma pasta de rede compartilhada para armazenar as pastas redirecionadas, o Redirecionamento de Pasta pode criar as pastas redirecionadas do usurio para voc. Quando voc usa essa opo, as permisses corretas so definidas automaticamente. Se cria pastas manualmente, voc precisa conhecer as permisses corretas.
Pergunta: Quais medidas voc poderia adotar para proteger dados em trnsito entre o cliente e o servidor?
7-14
7-15
Estas so as principais tarefas deste exerccio: 1. 2. 3. 4. 5. 6. 7. Iniciar a mquina virtual 10140A-NYC-DC1 e fazer logon. Examinar o script de logon para mapear uma unidade de rede. Configurar e vincular o GPO Logon Script. Compartilhar e proteger uma pasta do grupo Executives. Redirecionar a pasta Documentos para o grupo Executives. Iniciar a mquina virtual 10140A-NYC-CL1 e fazer logon como WOODGROVEBANK\Carlos. Observar as configuraes aplicadas quando conectado como usurio na UO Executives.
7-16
7-17
7-18
Lio 3
Os arquivos de Modelos Administrativos fornecem a maioria das configuraes de diretiva disponveis, que so criadas para modificar chaves do Registro especficas. Isso conhecido como diretiva baseada no Registro. Em muitos aplicativos, a utilizao de diretivas baseadas no Registro fornecidas pelos arquivos dos Modelos Administrativos a maneira melhor e mais simples de oferecer suporte ao gerenciamento centralizado de configuraes de diretiva. Nesta lio, voc aprender a configurar os Modelos Administrativos.
7-19
Pontos principais
Os Modelos Administrativos permitem que voc controle o ambiente do sistema operacional e a experincia do usurio. Existem dois conjuntos de Modelos Administrativos: um para usurios e outro para computadores. Os Modelos Administrativos so o mtodo principal de definio das configuraes de Registro do computador cliente por meio da Diretiva de Grupo. Os Modelos Administrativos so repositrios de mudanas baseadas em Registros. Usando as sees de modelos administrativos do GPO, possvel implantar centenas de modificaes nas partes do computador (hive HKEY_LOCAL_MACHINE no Registro) e do usurio (hive HKEY_CURRENT_USER no Registro) do Registro.
Pergunta: Quais sees dos Modelos Administrativos so mais teis no seu ambiente?
7-20
Pontos principais
Em NYC-DC1, editar o GPO de Demonstrao. No Internet Explorer, em Configurao do computador, desabilite a capacidade de excluir o histrico de navegao. Em Configurao do usurio, oculte a guia Proteo de tela. Em NYC-CL1, faa logon como WOODGROVEBANK\Administrator e examine as configuraes.
Pergunta: necessrio garantir que o Windows Messenger nunca tenha permisso para ser executado em um determinado computador. Como voc poderia usar os Modelos Administrativos para implementar isso?
7-21
Pontos principais
Como os arquivos ADMX so baseados em XML, possvel usar qualquer editor de texto para editar ou criar novos arquivos ADMX. Existem programas com reconhecimento de XML (como o Microsoft Visual Studio) que os administradores ou desenvolvedores podem usar para criar ou modificar arquivos ADMX. Quando voc tiver um arquivo ADMX vlido, bastar coloc-lo na pasta Definies de Diretiva ou no Armazenamento Central, se existir um.
Dica: no altere os arquivos ADMX padro e crie suas prprias verses para personalizar as configuraes.
7-22
Pontos principais
Adicionar um arquivo ADM personalizado. Copiar arquivos de exemplo ADMX para o armazenamento central. Examinar arquivos ADMX personalizados.
Pergunta: Ainda possvel usar arquivos ADM personalizados para definir as configuraes de Diretiva de Grupo no Windows Server 2008? Pergunta: Quais so as duas diferenas entre os arquivos ADM e ADMX?
7-23
Pontos principais
Considere criar uma configurao de diretiva para os seguintes fins: Ajudar os administradores a gerenciar e aumentar a segurana dos computadores de mesa. Ocultar ou desabilitar interfaces de usurio que possam levar os usurios a situaes em que tenham que chamar a assistncia tcnica para obter suporte. Ocultar ou desabilitar um novo comportamento que possa confundir os usurios. Uma configurao de diretiva criada com esse objetivo permite que os administradores continuem gerenciando a introduo de recursos novos depois do treinamento do usurio. Ocultar as configuraes e opes que possam exigir tempo demais do usurio.
7-24
7-25
3. 4. 5.
Criar e atribuir um GPO para criptografar arquivos offline para computadores executivos. Criar e atribuir um GPO no nvel do domnio para todos os usurios do domnio. Criar e atribuir uma diretiva para limitar o tamanho de perfil e desativar a Barra Lateral do Windows para os usurios da filial.
Tarefa 1: Modificar a Diretiva de Domnio Padro para permitir a administrao remota por meio de firewall em todos os computadores do domnio
Em NYC-DC1, no painel do console de Gerenciamento de Diretiva de Grupo, configure o GPO Default Domain Policy com as seguintes configuraes: Em Configurao do Computador, Diretivas, Modelos Administrativos, Rede, Conexes de Rede, Firewall do Windows, Perfil do Domnio, habilite Firewall do Windows: Autorizar exceo de administrao remota de entrada. Em Sistema, Diretiva de Grupo, habilite Deteco de conexo lenta de Diretiva de Grupo e, em Velocidade de conexo, atribua o valor de 800 Kbps.
Resultado: depois de concluir essa tarefa, voc ter habilitado a administrao remota por meio de firewall. Isso permite que o Assistente de resultados de diretiva de grupo consulte os computadores de destino.
7-26
Tarefa 3: Criar e atribuir um GPO para criptografar arquivos offline para computadores executivos
1. 2. Na janela Gerenciamento de Diretiva de Grupo, crie um novo GPO chamado Encrypt Offline Files, vinculado UO Executives. Configure o GPO Encrypt Offline Files com as seguintes configuraes: Em Configurao do Computador, Diretivas, Modelos Administrativos, Rede, Arquivos Offline, habilite Criptografar o cache de Arquivos Offline.
Tarefa 4: Criar e atribuir um GPO no nvel do domnio para todos os usurios do domnio
1. 2. Na janela Gerenciamento de Diretiva de Grupo, crie um novo GPO chamado All Users Policy, vinculado ao domnio WoodgroveBank.com. Configure o GPO All Users Policy com as seguintes configuraes: Em Configurao do Usurio, Diretivas, Modelos Administrativos, Sistema, habilite Impedir acesso a ferramentas de edio do Registro. No Menu Iniciar e Barra de Tarefas, habiliteRemover Relgio da rea de notificao do sistema.
Tarefa 5: Criar e atribuir uma diretiva para limitar o tamanho de perfil e desativar a Barra Lateral do Windows para usurios da filial
1. 2. Na janela Gerenciamento de Diretiva de Grupo, crie um novo GPO chamado Branch Users Policy, vinculado s UOs Miami, NYC e Toronto. Configure o GPO Branch Users Policy com as seguintes configuraes: Em Configurao do Usurio, Diretivas, Modelos Administrativos, Sistema, Perfis de Usurio, habilite Limitar tamanho do perfil e atribua um Tamanho Mximo de Perfil de 1000000 KB. Em Componentes do Windows, Barra Lateral do Windows, habilite Desativar a Barra Lateral do Windows.
7-27
Observao: algumas configuraes do usurio somente podem ser aplicadas durante o logon ou podero no se aplicar devido a credenciais em cache. Isso inclui as configuraes de caminho de perfil de usurio mvel, caminho de Redirecionamento de Pasta e Instalao de Software. Se o usurio j estiver conectado quando essas configuraes forem detectadas, elas s sero aplicadas na prxima vez que ele se conectar.
2. 3. 4. 5. 6.
Verifique se a Barra Lateral do Windows no foi exibida. Na rea de notificao, verifique se o relgio no foi exibido. Em Propriedades da Barra de Tarefas, na guia rea de Notificao, verifique se no existe a opo para exibir o relgio. Verifique se voc no tem acesso s ferramentas de edio do Registro. Faa logoff de NYC-CL1.
Tarefa 2: Fazer logon como usurio em uma Filial e observar as configuraes aplicadas
1. 2. 3. 4. Em NYC-CL1, faa logon como WOODGROVEBANK\Leonilde. Verifique se a Barra Lateral do Windows no foi exibida. Na rea de notificao, verifique se o relgio no foi exibido. Na rea de notificao, clique duas vezes no cone Espao de perfil disponvel e examine as informaes.
7-28
5. 6. 7. 8.
Em Propriedades de Documentos, verifique se o local C:\Users\Leonilde. Verifique se voc no tem acesso s ferramentas de edio do Registro. Verifique se a unidade J: est mapeada para o compartilhamento Dados em NYC-DC1. Faa logoff de NYC-CL1
Tarefa 3: Usar o Assistente para Resultados da Diretiva de Grupo para examinar a aplicao da Diretiva de Grupo para um usurio e computador de destino
1. Em NYC-DC1, na janela Gerenciamento de Diretiva de Grupo, execute o Assistente de Resultados de Diretiva de Grupo em NYC-CL1 para o usurio Carlos. Examine a lista de GPOs de computadores e usurios aplicados. Pergunta: Quais GPOs foram aplicados ao computador? Pergunta: Quais GPOs foram aplicados ao usurio? 3. Na guia Configuraes, em Configurao do Computador, clique em Modelos Administrativos e expanda todas as configuraes. Pergunta: Quais configuraes foram aplicadas ao computador? 4. Em Configurao do Usurio, expanda todas as configuraes. Pergunta: Quais configuraes foram aplicadas ao usurio?
2.
Resultado: depois de concluir este exerccio, voc ter definido vrias configuraes da diretiva de Modelos administrativos para vrias UOs da organizao e ter verificado com xito a aplicao do GPO.
7-29
Lio 4
O Windows Server 2008 inclui um recurso chamado Instalao e Manuteno de Software que o AD DS, a Diretiva de Grupo e o servio Microsoft Windows Installer usam para instalar, fazer manuteno e remover softwares nos computadores da sua organizao.
7-30
Pontos principais
O ciclo de vida do software consiste em quatro fases: preparao, implantao, manuteno e remoo. Voc pode aplicar as configuraes da Diretiva de Grupo a usurios ou computadores de um local, domnio ou unidade organizacional, a fim de instalar, atualizar ou remover automaticamente o software. A aplicao das configuraes da Diretiva de Grupo ao software permite gerenciar as diversas fases da sua implantao sem implant-lo em cada computador separadamente.
Pergunta: Que tipos de aplicativos voc implantaria por meio de Diretiva de Grupo no seu ambiente?
7-31
Pontos principais
Para que a Diretiva de Grupo possa implantar e gerenciar o software, o Windows Server 2008 usa o servio Windows Installer. Esse componente automatiza a instalao e a remoo de aplicativos aplicando um conjunto de regras de configurao definidas centralmente durante o processo de instalao. Pergunta: Quais so algumas desvantagens da implantao de softwares por meio de Diretivas de Grupo?
7-32
Pontos principais
Existem dois tipos de implantao disponveis para entregar softwares aos clientes. Os administradores podem instalar o software para os usurios ou computadores antecipadamente ou lhes dar a opo de instalar o software quando for necessrio. Os usurios no compartilham os aplicativos implantados. Isso significa que um aplicativo instalado para um usurio por meio da Diretiva de Grupo no estar disponvel para outros usurios do computador. Todos os usurios precisam de uma instncia prpria do aplicativo. Quando voc atribui o software a um usurio, ele anunciado no menu Iniciar do usurio quando ele faz logon. A instalao s iniciar depois que o usurio clicar duas vezes no cone do aplicativo ou em um arquivo associado a ele. Quando voc atribui um aplicativo a um computador, ele instalado na prxima vez que o computador for iniciado. O aplicativo estar disponvel para todos os usurios do computador.
7-33
O miniaplicativo Programas do Painel de Controle anuncia a publicao de um programa ao usurio, que poder instalar o aplicativo usando o miniaplicativo Programas, ou voc poder configur-lo para que o aplicativo seja instalado por ativao de documento. Os aplicativos que os usurios no tm permisso para instalar no so anunciados para eles. Os aplicativos no podem ser publicados para computadores.
7-34
Pontos principais
A Instalao de software em Diretiva de Grupo inclui opes para configurar o software implantado. As categorias de software so usadas para organizar o software publicado em grupos lgicos, de modo que os usurios possam localizar facilmente os aplicativos no miniaplicativo Programas e Recursos do Painel de Controle. No h categorias de software predefinidas. Voc pode criar categorias de software para organizar aplicativos diferentes sob ttulos especficos. Para determinar qual software os usurios instalam quando clicam duas vezes em um arquivo, voc pode escolher uma extenso de nome de arquivo e configurar uma prioridade para a instalao dos aplicativos associados a essa extenso. Voc pode usar modificaes de software ou arquivos .MST (tambm denominados arquivos de transformao) para implantar vrias configuraes de um aplicativo.
7-35
Pontos principais
Ocasionalmente, um pacote de software precisar ser atualizado para uma verso mais nova. A guia Atualizaes permite que voc atualize um pacote usando o GPO. Voc poder reimplantar um pacote se o arquivo original do Windows Installer tiver sido modificado. possvel remover pacotes de software se eles tiverem sido entregues originalmente usando Diretiva de Grupo. A remoo pode ser obrigatria ou opcional.
Pergunta: A sua organizao est fazendo uma atualizao para uma verso mais nova de um pacote de software. Alguns usurios da organizao precisam da verso antiga. Como voc implementaria a atualizao?
7-36
7-37
7-38
2.
3.
Abra as propriedades do pacote Visualizador do Microsoft Office PowerPoint 2003 e examine as opes das seguintes guias: Geral Implantao Atualizaes Categorias Modificaes Segurana
7-39
Resultado: depois de concluir esse exerccio, voc ter implantado com xito um pacote de software atribudo usando a Diretiva de Grupo.
7-40
Lio 5
Muitas configuraes comuns que afetam o ambiente do usurio e do computador no puderam ser entregues por meio de Diretiva de Grupo, por exemplo, unidades mapeadas. Essas configuraes eram normalmente fornecidas por meio de scripts de logon ou solues de gerao de imagens. O Windows Server 2008 inclui as novas preferncias de Diretiva de Grupo internas no Console de Gerenciamento de Diretiva de Grupo (GPMC). Alm disso, os administradores podem configurar preferncias instalando as Ferramentas de Administrao de Servidor Remoto (RSAT) em computadores que estejam executando o Windows Vista Service Pack 1 (SP1). Isso permite que muitas configuraes comuns sejam entregues por meio de Diretiva de Grupo.
7-41
Pontos principais
As extenses de preferncia de Diretiva de Grupo so mais de vinte extenses de Diretiva de Grupo que expandem a faixa de configuraes definveis dentro de um GPO. A diferena principal entre as configuraes de diretiva e as configuraes de preferncia que as configuraes de preferncia no so impostas. O usurio final pode alterar qualquer configurao de preferncia aplicada por meio de Diretiva de Grupo, mas as configuraes de diretiva no permitem alteraes feitas pelos usurios.
7-42
Pontos principais
A diferena principal entre preferncias e configuraes de Diretiva de Grupo a imposio. Em alguns casos, a mesma configurao pode ser definida por meio de uma configurao de diretiva, assim como por meio de um item de preferncia. Se as duas configuraes forem definidas e aplicadas ao mesmo objeto, o valor da configurao de diretiva se aplicar. As configuraes de diretiva tm prioridade mais alta do que as configuraes de preferncia.
7-43
Pontos principais
A maioria das extenses de preferncias de Diretiva de Grupo oferece suporte para as seguintes aes de cada item de preferncia: Criar: cria um item novo no computador de destino. Excluir: remove um item existente do computador de destino. Substituir: exclui e cria novamente um item no computador de destino. O resultado das preferncias de Diretiva de Grupo substitui todas as configuraes e arquivos associados ao item de preferncia. Atualizar: modifica um item existente do computador de destino.
7-44
Pontos principais
As preferncias de Diretiva de Grupo no exigem que voc instale nenhum servio nos servidores. Por padro, o Windows Server 2008 inclui preferncias de Diretiva de Grupo como parte do Console de Gerenciamento de Diretiva de Grupo (GPMC). Os administradores podem configurar e implantar preferncias de Diretiva de Grupo em ambientes do Windows Server 2003 por meio da instalao de RSAT em um computador que esteja executando o Windows Vista com SP1. Em computadores cliente com Windows XP e Windows Vista, as extenses do lado do cliente da Diretiva de Grupo devem ser baixadas e instaladas. As extenses do lado do cliente esto disponveis por meio do Windows Update.
7-45
7-46
2.
Deixe a janela Editor de Gerenciamento de Diretiva de Grupo aberta para a prxima tarefa.
Tarefa 2: Criar uma nova pasta chamada Reports na unidade C: dos computadores que estejam executando o Windows Server 2008
1. Na janela Editor de Gerenciamento de Diretiva de Grupo, em Configuraes do Windows, clique com o boto direito em Pastas, aponte para Novo e clique em Pasta. Na caixa de dilogo Propriedades da Nova Pasta, crie a pasta C:\Reports. Na guia Comum, configure o destino do nvel do item para o sistema operacional Windows Server 2008. Deixe a janela Editor de Gerenciamento de Diretiva de Grupo aberta para a prxima tarefa.
2. 3. 4.
7-47
2.
Observao: voc no est excluindo o GPO, mas apenas o vnculo para ele no domnio.
7-48
Observao: poder levar alguns minutos para essa pasta aparecer. Observao: para aplicar as preferncias de Diretiva de Grupo a computadores com o Windows Vista, baixe e instale Group Policy Preference Client Side Extensions for Windows Vista (KB943729).
Resultado: depois de concluir este exerccio, voc ter configurado e testado preferncias de Diretiva de Grupo e verificado as suas aplicaes.
7-49
Lio 6
A Diretiva de Grupo pode ser complexa de implantar e gerenciar, e s vezes uma configurao pode causar conseqncias indesejadas para os usurios ou computadores. Essa lio oferece detalhes sobre o processamento de Diretiva de Grupo e as reas problemticas comuns, assim como descreve algumas ferramentas disponveis para a soluo de problemas.
7-50
Pontos principais
O processamento da Diretiva de Grupo possui duas fases distintas: Processamento da Diretiva de Grupo principal. Quando um cliente comea a processar uma Diretiva de Grupo, ele deve determinar se ela poder alcanar um controlador de domnio, se algum Objeto de Diretiva de Grupo (GPO) foi alterado e se as configuraes da diretiva (com base na extenso do lado do cliente) devero ser processadas. O mecanismo da Diretiva de Grupo principal executa o processamento desses itens na fase inicial. Processamento da extenso do lado do cliente (CSE). As configuraes da diretiva so agrupadas em categorias diferentes, como Modelos Administrativos, Configuraes de Segurana, Redirecionamento de Pasta, Cota de Disco e Instalao do Software. As configuraes de cada categoria exigem uma CSE especfica para process-las e cada CSE tem as suas prprias regras para processar as configuraes. O mecanismo de Diretiva de Grupo principal chama as CSEs necessrias para processar as configuraes que se aplicam ao cliente.
7-51
Pontos principais
Os problemas de Diretiva de Grupo podem ser um sintoma de problemas no relacionados, como conectividade de rede, problemas de autenticao, disponibilidade do controlador de domnio ou erros de configurao de Servio de Nomes de Domnio (DNS). Inicie o processo de soluo de problemas determinando o escopo do problema. Por exemplo, o problemas geral ou afeta somente um cliente? Se o problema afetar somente um cliente, verifique problemas fsicos, como configuraes incorretas ou falhas de hardware ou no sistema operacional. Esses problemas geralmente so fceis de diagnosticar.
7-52
Aps voc ter eliminado essas causas, a sua primeira etapa real de soluo do problema verificar as entradas do Visualizar Eventos e os logs do Windows, de aplicativo e de servio, que podem fornecer informaes valiosas sobre a causa principal dos problemas. As entradas de log normalmente direcionam voc para a rea onde dever comear a investigao. Depois de restringir a rea do problema, voc poder usar as ferramentas de diagnstico para abordar o problema. Pergunta: Qual ferramenta de diagnstico poderia ser usada para determinar a expirao da concesso de um endereo de protocolo DHCP emitido para um computador cliente?
7-53
Pontos principais
Existem vrias ferramentas de diagnstico e logs que voc pode usar para verificar se possvel rastrear um problema at a Diretiva de Grupo principal: Relatrios de Diretiva de Grupo RSoP: usados para ver como os objetos de Diretiva de Grupo afetam vrias combinaes de usurios e computadores, ou para prever o efeito das configuraes de Diretiva de Grupo na rede. GPResult: usado para exibir as informaes do RSoP (Conjunto de Diretivas Resultante) para um usurio e computador remoto. Gpotool: usado para percorrer todos os seus controladores de domnio e verificar consistncias entre o continer de Diretiva de Grupo (isto , as informaes contidas no servio de diretrio) e o modelo de Diretiva de Grupo (isto , as informaes contidas no compartilhamento SYSVOL do controlador de domnio). Gpupdate: usado para atualizar as configuraes de Diretiva de Grupo locais e baseadas no Active Directory, incluindo as configuraes de segurana.
7-54
Dcgpofix: usado para recriar os dois GPOs padro do Windows Server e criar configuraes de segurana baseadas nas operaes executadas durante o Dcpromo. GPOLogView: usado para exportar dados de eventos da Diretiva de Grupo do log do sistema e operacional para um arquivo de texto, HTML ou XML. Arquivos de log da Diretiva de Grupo: usados para obter informaes sobre os eventos da Diretiva de Grupo. Scripts de Gerenciamento de Diretiva de Grupo: usados para demonstrar o recurso de scripts do Console de Gerenciamento de Diretiva de Grupo.
7-55
Pontos principais
Executar GPResult no modo detalhado e regular. Examinar o GPOTool que acompanha o Windows Server 2008 Resource Kit. Executar o GPUpdate e examinar os parmetros da linha de comando. Examinar a ferramenta GPLogView que pode ser baixada gratuitamente do site da Microsoft. Executar o GPLogView no modo monitor.
Pergunta: Quais etapas voc dever executar antes de executar os relatrios RSoP da Diretiva de Grupo em um computador remoto?
7-56
Lio 7
Para solucionar problemas de Diretiva de Grupo, necessrio compreender com clareza as interaes entre Diretiva de Grupo e suas tecnologias de suporte, assim como os modos de gerenciamento, implantao e aplicao dos objetos de Diretiva de Grupo.
7-57
Pontos principais
As CSEs so bibliotecas de vnculo dinmico (DLLs) que executam o processamento real das configuraes da Diretiva de Grupo. As configuraes da diretiva so agrupadas em categorias diferentes, como Modelos Administrativos, Configuraes de Segurana, Redirecionamento de Pasta, Cota de Disco e Instalao do Software. As configuraes de cada categoria exigem uma CSE especfica para processlas e cada CSE tem as suas prprias regras para processar configuraes. O processo da Diretiva de Grupo principal chama as CSEs apropriadas para processar essas configuraes. Algumas CSEs se comportam de forma diferente em circunstncias diferentes. Por exemplo, muitas CSEs no sero processadas se uma conexo lenta for detectada.
7-58
As configuraes de segurana e os Modelos Administrativos so sempre aplicados e no possvel desativ-los. possvel controlar o comportamento de outras CSEs em conexes lentas. Conforme a Diretiva de Grupo processada, o processo Winlogon passa a lista dos GPOs que precisam ser processados para cada extenso do lado do cliente de Diretiva de Grupo.
Pergunta: Os usurios de uma filial fazem logon usando uma conexo com modem lenta. Voc deseja que o redirecionamento de pasta seja aplicado a eles mesmo por meio de conexo lenta. Como voc conseguiria isso?
7-59
Pontos principais
As quatro configuraes seguintes podem ser usadas para alterar a herana padro do processamento de GPO: Bloquear herana de diretiva Impor GPOs Filtrar GPO da lista de controle de acesso (ACL) Filtros de Instrumentao de Gerenciamento do Windows (WMI)
Se nenhum usurio ou computador em uma UO ou toda subrvore de UOs estiver recebendo diretivas vinculadas a nveis mais altos, possvel que isso esteja ocorrendo devido a um bloqueio de herana. A interface do GPMC apresenta um indicador visual na forma de ponto de exclamao azul quando a herana est bloqueada. Os relatrios de resultados de Diretiva de Grupo (RSoP) listam os GPOs que esto sendo aplicados e os GPOs que esto sendo bloqueados.
7-60
possvel executar o comando Gpresult no computador de destino para saber se algumas dessas configuraes esto proibindo a aplicao das diretivas. Se a herana estiver bloqueada incorretamente, a remoo da configurao retornar o processamento da Diretiva de Grupo para o estado normal. Pergunta: H algum cenrio na sua organizao que se beneficiaria com o bloqueio de heranas?
7-61
Pontos principais
A filtragem da Diretiva de Grupo determina quais usurios e computadores recebero as configuraes do GPO. A filtragem do Objeto de Diretiva de Grupo (GPO) se baseia em dois fatores: A filtragem de segurana no GPO. Qualquer filtro de Instrumentao de Gerenciamento do Windows (WMI) no GPO. A filtragem de Diretiva de Grupo pode parecer uma aplicao inconsistente de diretivas em uma UO. Se algum usurio, grupo ou computador tiver filtragem aplicada, eles no recebero as diretivas que os outros usurios da mesma UO recebem. Para verificar a filtragem em um GPO, em GPMC, abra o n Objetos de Diretiva de Grupo, selecione o GPO para o qual est solucionando o problema e selecione a guia Escopo no painel direito. Os painis de Filtragem de segurana e de Filtragem WMI exibem a configurao de filtragem atual.
7-62
Para ver o conjunto exato de permisses dos usurios, grupos e computadores, selecione a guia Delegao e clique em Avanado. Selecione o computador, usurio ou grupo de segurana que deseja examinar. Se o objeto de diretiva tiver que ser aplicado ao computador, usurio ou grupo de segurana, as permisses mnimas devero ser configuradas para permitir Leitura e Aplicao de Diretiva de Grupo. Se um filtro WMI for excludo, os vnculos para o filtro WMI no sero excludos automaticamente. Se houver um vnculo para um filtro WMI no existente, o GPO com esse vnculo no ser processado at que o vnculo seja removido ou o filtro seja restaurado.
Pergunta: Voc aplicou a filtragem de segurana para limitar o GPO para se aplicar somente ao grupo Gerentes. Voc fez isso configurando as seguintes permisses de GPO: Os usurios autenticados no tm permisso para aplicar diretiva de grupo. O grupo Gerentes recebeu a permisso de leitura e aplicao de Diretiva de Grupo.
7-63
Pontos principais
Nos domnios que contm mais de um controlador de domnio, as informaes de Diretiva de Grupo levam tempo para se propagar ou replicar de um controlador de domnio para outro. Os problemas de replicao ocorrem mais nos sites remotos com conexes lentas, onde h uma longa latncia de replicao. O GPOTool capaz de verificar consistncias das diretivas em todos os controladores de domnio. Outra ferramenta o Readmin, que fornece informaes sobre o status de sincronizao da Diretiva de Grupo, assim como informaes gerais de replicao. Depois que concluir que o problema est na replicao, voc dever determinar se o problema est na replicao FRS ou AD DS. Um teste simples de replicao SYSVOL seria colocar um arquivo de teste pequeno no diretrio SYSVOL e observar se ele se replica nos outros controladores de domnio.
7-64
Da mesma forma, um teste simples de replicao do AD DS seria criar um objeto de teste, como uma UO, e observar se ele se replica nos outros controladores de domnio. Em muitos casos, basta esperar a concluso do ciclo de replicao para resolver o problema.
Pergunta: Qual ferramenta pode ser usada para impor a replicao em todos os controladores de domnio do domnio?
7-65
Pontos principais
A atualizao de Diretiva de Grupo se refere a uma recuperao de GPOs peridica feita pelo cliente. Durante a atualizao de Diretiva de Grupo, o cliente contata um controlador de domnio disponvel. Se algum GPO tiver sido alterado, o controlador de domnio fornecer uma lista de todos os GPOs apropriados. Por padro, os GPOs sero processados no computador somente se o nmero da verso de pelo menos um GPO tiver sido alterado no controlador de domnio que o computador estiver acessando. Os relatrios de Diretiva de Grupo fornecem informaes, na pgina de resumo, sobre a ltima atualizao de Diretiva de Grupo ocorrida. O relatrio tambm informa se a configurao de loopback est habilitada.
7-66
Pergunta: Voc implementou o redirecionamento de pasta em uma determinada UO. Alguns usurios informaram que suas pastas no esto sendo redirecionadas para o compartilhamento de rede. Qual a primeira etapa que voc deve seguir para resolver o problema?
7-67
Pergunta: Um usurio est recebendo configuraes aplicadas que ningum mais est recebendo. Qual o provvel problema e como voc comearia a solucion-lo?
7-68
Lio 8:
Os problemas nas configuraes de Diretiva de Grupo se devem geralmente deteco de conexo lenta ou configurao incorreta. A compreenso de como os processos de extenso do lado do cliente funcionam e como as conexes lentas so detectadas ajuda na soluo desses problemas.
7-69
Pontos principais
Os Modelos Administrativos podem no ser aplicados devido ao sistema operacional no ser capaz de interpretar a configurao da diretiva. Muitas das mais novas configuraes de diretiva se aplicam somente a determinados sistemas operacionais. Se o GPO que fornecer diretivas verdadeiras estiver desvinculado, as diretivas verdadeiras sero removidas. No entanto, o administrador dever desfazer a preferncia especificando explicitamente um valor em um GPO. Pergunta: A sua rede tem tanto computadores com Windows XP quanto com Windows Vista. Voc configurou o Modelo Administrativo para remover os vnculos de jogos do menu Iniciar, mas somente os computadores com Windows Vista esto impondo essa configurao. Qual o problema?
7-70
Pontos principais
A CSE de scripts atualiza o Registro com o local dos arquivos de script para que o processo UserInit possa localizar esses valores durante o processamento normal. Quando uma CSE informa xito, isso pode significar que somente o local do script foi colocado no Registro. Mesmo que a configurao esteja no Registro, podero ocorrer problemas que a impeam de ser aplicada ao cliente. Por exemplo, se um script especificado em uma configurao de script tiver um erro que o impea de concluir, a CSE no detectar o erro.
7-71
A Diretiva de Grupo processa os GPOs e armazena as informaes de script nos seguintes locais do Registro: HKCU\Software\Policies\Microsoft\Windows\System\Scripts (Scripts do usurio) HKLM\Software\Policies\Microsoft\Windows\System\Scripts (Scripts da mquina)
Pergunta: Um script de logon atribudo a uma UO. O script executado adequadamente para todos os usurios, mas alguns usurios informam que esto obtendo uma mensagem de acesso negado quando tentam acessar a unidade mapeada. Qual o problema?
7-72
7-73
Estas so as principais tarefas deste exerccio: 1. 2. 3. 4. 5. 6. 7. 8. Iniciar a mquina virtual 10140A-NYC-DC1 e fazer logon como WOODGROVEBANK\Administrator. Criar e vincular uma diretiva de rea de Trabalho do domnio. Restaurar o GPO Lab7A. Vincular o GPO Lab7A ao domnio. Iniciar NYC-CL1 e fazer logon como WOODGROVEBANK\Administrator. Testar o GPO. Solucionar problemas do GPO. Resolver o problema e testar a resoluo.
7-74
7-75
2. 3.
4. 5. 6.
Observao: se houver tempo, ser possvel exibir o log operacional da Diretiva de Grupo como Administrador em NYC-CL1. Se voc filtrar a exibio para mostrar os eventos criados por Leonilde, voc ver que o log no detecta erros ou avisos para esse usurio. Isso acontece porque o GPO s configura valores de Registro que definem o local da pasta de scripts. A Diretiva de Grupo no sabe se o usurio tem acesso ao local. A gravao no Registro foi concluda com xito. Portanto, o log da Diretiva de Grupo no detecta erros. Voc ter que auditar o Acesso a Objetos da pasta de scripts para determinar os problemas de acesso.
7-76
Observao: outra maneira de resolver o problema seria mover o script para o compartilhamento Netlogon ou eliminar totalmente a necessidade de um script de logon, e voc poderia configurar uma unidade mapeada em Preferncias de Diretiva de Grupo.
Resultado: depois de concluir esse exerccio, voc ter resolvido um problema de scripts de Diretiva de Grupo.
7-77
Esse tquete foi passado para a equipe de servidor solucionar o problema. Estas so as principais tarefas deste exerccio: 1. 2. 3. 4. 5. Restaurar o GPO Lab7B. Vincular o GPO Lab7B UO Miami. Testar o GPO. Solucionar problemas do GPO. Resolver o problema e testar a resoluo.
7-78
2. 3. 4. 5.
Verifique se voc v o menu Iniciar clssico. No Internet Explorer, verifique se a home page abre em http://WoodgroveBank.com. Verifique se a unidade J: est mapeada para o compartilhamento Dados em NYC-DC1. Observe que o Painel de Controle no exibido na rea de trabalho nem no menu Iniciar. Essa uma configurao do GPO Lab 7B que foi aplicada UO Miami. Faa logoff de NYC-CLI e faa logon de novo como WOODGROVEBANK\Leonilde. Observe que, apesar de o GPO impedir isso, o Painel de Controle ainda est presente na rea de trabalho e no menu Iniciar. Faa logoff de NYC-CL1.
6. 7. 8.
2. 3.
4. 5. 6.
7-79
3. 4. 5. 6.
7-80
Estas so as principais tarefas deste exerccio: 1. 2. 3. 4. 5. Restaurar o GPO Lab7C. Vincular o GPO Lab7C UO Miami. Testar o GPO. Solucionar problemas do GPO. Resolver o problema e testar a resoluo.
7-81
3. 4. 5. 6.
Resultado: depois de concluir esse exerccio, voc ter resolvido um problema de objetos de Diretiva de Grupo.
7-82
Estas so as principais tarefas deste exerccio: 1. 2. 3. 4. 5. 6. 7. Criar uma nova UO chamada Loopback. Restaurar o GPO Lab7D. Vincular o GPO Lab7D UO Loopback. Mover NYC-CL1 para a UO Loopback. Testar o GPO. Solucionar problemas do GPO. Resolver o problema e testar a resoluo.
7-83
Observao: a Diretiva de Grupo se aplica ao usurio ou computador de uma maneira que depende de onde os objetos do usurio e do computador esto localizados no Active Directory. No entanto, em alguns casos, os usurios podem precisar que a diretiva seja aplicada a eles com base no local do objeto do computador isolado. possvel usar o recurso de loopback da Diretiva de Grupo para aplicar GPOs que dependem somente do computador em que o usurio faz logon.
7-84
Observao: outra alternativa seria desabilitar o processamento de loopback no prprio GPO, especificamente quando h outras configuraes no GPO que voc desejava ter aplicado.
2. 3. 4. 5. 6.
Reinicie NYC-CL1. Quando o computador reiniciar, faa logon como WOODGROVEBANK\Leonilde. Clique em Iniciar e observe que o comando Executar no est mais presente. Observe que o Painel de Controle est ausente de novo da rea de trabalho e no menu Iniciar. Abra o Internet Explorer e observe que ele abre de novo adequadamente.
Resultado: depois de concluir esse exerccio, voc ter resolvido um problema de objetos de Diretiva de Grupo.
7-85
Perguntas de reviso
1. Voc atribuiu um script de logon a uma UO por meio de Diretiva de Grupo. O script est localizado em uma pasta de rede compartilhada chamada Scripts. Alguns usurios da UO recebem o script, enquanto outros, no. O que poderia estar causando isso? Qual log fornecer detalhes de redirecionamento de pasta? Qual indicador visual do GPMC designa que a herana foi bloqueada? Quais configuraes do GPO so aplicadas por meio de conexes lentas por padro? Entre as alternativas de se ter uma pequena quantidade de GPOs com muitas configuraes e uma grande quantidade de GPOs com menos configuraes, qual prefervel? possvel fornecer atualizaes de segurana do Windows por meio da Diretiva de Grupo?
2. 3. 4. 5.
6.
7-86
Consideraes
Ao configurar os ambientes do usurio usando a Diretiva de Grupo, considere o seguinte: As configuraes de diretiva que esto Habilitadas impem uma configurao. As configuraes de diretiva que esto Desabilitadas revertem uma configurao. As configuraes de diretiva que No Esto Configuradas no so afetadas pela Diretiva de Grupo. Os scripts podem ser aplicados ao usurio ou ao computador por meio de Diretiva de Grupo. Os scripts podem ser escritos em vrios idiomas. O armazenamento de scripts no compartilhamento NetLogon os torna altamente disponveis. Algumas pastas podem ser redirecionadas do perfil de usurios para uma pasta compartilhada na rede. Grupos de segurana diferentes podem ser redirecionados para locais de rede diferentes. Os Modelos Administrativos aplicam configuraes modificando o Registro para o usurio e o computador. Os arquivos ADMX podem ser personalizados. possvel distribuir softwares usando Diretiva de Grupo por meio de arquivos .MSI. Os softwares podem ser publicados para usurios ou atribudos a usurios ou computadores. Os softwares atribudos para usurios so especficos desses usurios. Os softwares atribudos a computadores ficam disponveis para todos os usurios desses computadores. possvel modificar e fazer manuteno de softwares por meio de Diretiva de Grupo. possvel remover softwares por meio de Diretiva de Grupo.
7-87
Considere o seguinte ao implementar um plano de monitoramento do AD DS: As extenses do lado do cliente processam a aplicao de Diretiva de Grupo em intervalos regulares e configurveis. Os nmeros da verso do GPO determinam se uma Diretiva de Grupo foi alterada. Nem todas as CSEs so processadas por meio de uma conexo lenta. As atualizaes de segurana so atualizadas a cada 16 horas. O Windows XP e as verses anteriores se conectam ao log Userenv para a maior parte dos problemas de Diretiva de Grupo. possvel modificar o Registro para habilitar outros logs de CSE. O Windows Vista se conecta aos logs operacionais em Visualizar Eventos. O bloqueio de herana bloquear a aplicao de todas as diretivas de nvel superior, exceto se essas diretivas forem impostas. possvel filtrar a Diretiva de Grupo para aplicar somente alguns princpios de segurana usando as configuraes de segurana ou scripts WMI. A Diretiva de Grupo formada por duas partes: Modelos de Diretiva de Grupo e contineres de Diretiva de Grupo. A Diretiva de Grupo replica esses objetos em agendas separadas usando mecanismos diferentes. O Windows XP e verses posteriores fazem logon em usurios com credenciais em cache por padro. Por esse motivo, sero necessrios dois logons para muitas configuraes de usurios. O Windows XP e verses anteriores usam o ICMP para determinar a velocidade da conexo. O Windows XP e verses posteriores usam o reconhecimento de rede para determinar a velocidade da conexo. Os princpios de segurana precisam de permisso para acessar os locais de script, para que possam executar os scripts. Os scripts de inicializao do computador so executados de forma sncrona por padro. Os scripts de logon do usurio so executados de forma assncrona por padro.
7-88
Ferramentas
Use as seguintes ferramentas para solucionar problemas de Diretiva de Grupo:
Ferramenta Ping NSLookup DCdiag Set Kerbtray Relatrios de diretiva de grupo RSoP GPResult Uso Testar a conectividade de rede. Testar as pesquisas de DNS. Testar os controladores de domnio. Exibir, configurar ou remover variveis de ambiente. Exibir informaes de tquete Kerberos. Relatar informaes sobre as diretivas atuais que esto sendo fornecidas aos clientes. Utilitrio de linha de comando que exibe as informaes de RSoP. Verificar estabilidade do objeto de Diretiva de Grupo e monitorar replicao de diretiva. Atualizar as configuraes de Diretiva de Grupo locais e baseadas no AD DS. Restaurar os objetos de Diretiva de Grupo ao estado original em que estavam logo depois da instalao inicial. Exportar eventos relacionados Diretiva de Grupo dos logs de sistema e operacionais para arquivos de texto, HTML ou XML. Para uso com o Windows Vista e outras verses posteriores. Scripts de exemplo que executam vrias tarefas de manuteno e de soluo de problemas.
GPOTool
GPResult
Dcgpofix
GPOLogView
8-1
Mdulo 8
Implementao de segurana usando Diretiva de Grupo
Sumrio:
Lio 1: Configurao de diretivas de segurana Lio 2: Implementao de diretivas de senha refinadas Laboratrio A: Implementao de segurana usando a Diretiva de Grupo Lio 3: Restrio de associao de grupo e do acesso a software Lio 4: Gerenciamento de segurana usando modelos de segurana Laboratrio B: Configurao e verificao de diretivas de segurana 8-3 8-15 8-20 8-27 8-35 8-44
8-2
A falta de diretivas de segurana adequadas pode gerar muitos riscos para uma organizao. Uma diretiva de segurana bem planejada ajuda a proteger o investimento de uma organizao em informaes comerciais e recursos internos, como hardware e software. Entretanto, somente ter uma diretiva de segurana no suficiente. Voc dever implementar a diretiva para que ela seja eficiente. possvel otimizar uma Diretiva de Grupo para padronizar a segurana a fim de controlar o ambiente.
8-3
Lio 1
A Diretiva de Grupo fornece configuraes que podem ser usadas para implementar e gerenciar a segurana na sua organizao. Por exemplo, possvel usar as configuraes da Diretiva de Grupo para proteger senhas, inicializaes e permisses de servios do sistema. Nesta lio, voc adquirir o conhecimento e as habilidades necessrios para configurar diretivas de segurana.
8-4
Pontos principais
As diretivas de segurana so regras que protegem recursos de computadores e redes. A Diretiva de Grupo permite que voc configure muitas dessas regras como configuraes de Diretiva de Grupo. Por exemplo, possvel configurar diretivas de senha como parte da Diretiva de Grupo. A Diretiva de Grupo possui uma grande seo de segurana tanto para usurios, quanto para computadores. Dessa forma, possvel aplicar segurana de modo consistente em todas as UOs (unidades organizacionais) dos AD DS (Servios de Domnio Active Directory) definindo configuraes de segurana em um objeto de Diretiva de Grupo que esteja associado a um site, um domnio ou uma UO.
8-5
Pontos principais
As diretivas de conta protegem as contas e os dados da organizao mitigando o risco de fora bruta que tenta adivinhar senhas da conta. Nos sistemas operacionais Microsoft Windows e em muitos outros o mtodo mais comum de autenticao da identidade de um usurio o uso de senha secreta. A proteo do seu ambiente de rede requer que todos os usurios utilizem senhas fortes. As configuraes de diretiva de senha controlam a complexidade e o tempo de vida das senhas. possvel definir as configuraes de diretiva de senha por meio da Diretiva de Grupo. As configuraes de diretiva das Diretivas de conta devero ser sempre definidas no nvel do domnio. A definio dessas configuraes de diretiva em qualquer outro nvel do Active Directory somente afetar as contas locais dos computadores que fizerem parte desses nveis. Pergunta: Voc deve garantir que todos os usurios alterem suas senhas exatamente a cada 30 dias. Como voc configuraria as diretivas de conta para conseguir isso?
8-6
Pontos principais
Todo computador com Windows2000 Server ou posterior tem exatamente um LGPO (Objeto de Diretiva de Grupo Local). Nesse objeto, as configuraes de Diretiva de Grupo so armazenadas em computadores individuais, independentemente de fazerem parte ou no de um ambiente do Active Directory. O LGPO armazenado em uma pasta oculta chamada %windir%\system32\Group Policy. Essa pasta somente existir quando voc configurar um LGPO. Pergunta: Voc tem um cliente com Microsoft Windows Vista que no ingressou no domnio. Voc deseja forar os Administradores a alterar as senhas a cada sete dias e os usurios padro, a cada 21 dias. Como voc configuraria a diretiva local para conseguir isso?
8-7
Pontos principais
Automatizar as configuraes do computador cliente uma etapa essencial para reduzir o custo da implantao de segurana de redes e minimizar os problemas de suporte decorrentes de configuraes incorretas. Comeando com o Windows Server 2003, voc pde automatizar a configurao do cliente sem fio usando as Diretivas de Rede Sem Fio da Diretiva de Grupo. O Microsoft Windows Server 2008 e o Windows Vista incluem novos recursos para as diretivas de rede e suporte de Diretiva de Grupo para configuraes de autenticao 802.1X em conexes com e sem fio. Pergunta: Como a sua organizao implementa a diretiva de grupo para restringir o acesso s redes sem fio?
8-8
Pontos principais
O Windows Vista e o Windows Server 2008 incluem uma nova verso aprimorada do Firewall do Windows. O novo Firewall do Windows um firewall com base em host com monitoramento de estado que permite ou bloqueia o trfego de rede de acordo com sua configurao. O Firewall do Windows com Segurana Avanada permite que voc crie as seguintes regras: Regra de programa: esse tipo de regra permite o trfego de um determinado programa. possvel identificar o programa pelo caminho do programa ou pelo nome do executvel. Regra de porta: esse tipo de regra permite o trfego em um determinado nmero de porta ou intervalo de nmero de portas TCP ou Protocolo UDP.
8-9
Regra predefinida: o Windows inclui vrias funes que podem ser habilitadas por voc, como o Compartilhamento de Arquivos e Impressoras, a Assistncia Remota e a Colaborao do Windows. Ao criar uma regra predefinida, voc na realidade cria um grupo de regras que permitem que determinada funcionalidade do Windows tenha acesso rede. Regra personalizada: uma regra personalizada permite que voc crie uma regra que talvez no possa criar usando outros tipos de regras.
O comportamento padro do novo Firewall do Windows : Bloquear todo trfego de entrada, exceto quando solicitado ou quando corresponder a uma regra configurada. Permitir todo trfego de sada, exceto quando corresponder a uma regra configurada.
Pergunta: Voc deseja garantir que os usurios no tenham permisso para usar o servio Telnet para se conectarem a outros computadores. Como voc conseguiria isso?
8-10
Pontos principais
Criar uma diretiva de rede com fio e observar as opes disponveis. Criar uma diretiva de rede sem fio para o Windows Vista e observar as opes disponveis. Demonstrar como possvel controlar os servios. Demonstrar como possvel controlar as permisses de Registro e de sistema de arquivos. Demonstrar o Firewall do Windows com opes de segurana avanada. Criar alguns tipos diferentes de regras como exemplos. Explorar algumas regras predefinidas.
Pergunta: Voc precisa garantir que um determinado servio no possa ser executado em nenhum servidor da rede. Como voc conseguiria isso?
8-11
Pontos principais
A Diretiva de Controladores de Domnio Padro est vinculada UO de Controladores de Domnio. Essa diretiva geralmente afeta somente os controladores de domnio, j que, por padro, as contas do computador dos controladores de domnio so mantidas na UO dos Controladores de Domnio. Pergunta: Fornea pelo menos um exemplo de diretiva de controlador padro que a sua empresa tenha personalizado. Pergunta: Voc precisa conceder a um usurio comum o direito de fazer logon localmente nos controladores de domnio. Em qual das diretivas padro voc deveria definir essa configurao?
8-12
Pontos principais
A diretiva de domnio padro vinculada ao domnio e, portanto, afeta todos os objetos do domnio, exceto se um GPO que voc tenha aplicado em um nvel inferior bloquear ou sobrescrever essas configuraes. Essa diretiva possui muito poucas configuraes definidas por padro. Observao: apesar de normalmente voc configurar a Diretiva de Domnio Padro para fornecer Diretivas de Conta, toda diretiva de nvel de domnio capaz de fornecer Diretivas de Conta para o domnio. Se voc configurar vrias diretivas no nvel do domnio para fornecer Diretivas de Conta, a diretiva com prioridade mais elevada ser aplicada. Pergunta: Se vrias diretivas forem configuradas no nvel do domnio, o que determinar a prioridade de processamento?
8-13
Pontos principais
Abrir a diretiva do controlador de domnio padro. Explorar a diretiva de auditoria padro. Explorar a configurao de direitos do usurio. Explorar as opes de segurana. Discutir as diferenas da diretiva de domnio padro.
Pergunta: Qual o intervalo de atualizao da Diretiva de Grupo padro para os controladores de domnio?
8-14
Pontos principais
As diretivas de segurana protegem a integridade do ambiente de computao controlando muitos de seus aspectos, como diretivas de senha, opes de segurana, grupos restritos, diretivas de rede, servios, diretivas de chave pblica etc.
Pergunta: Voc configurou uma diretiva de senha em um GPO e a vinculou UO Research. A diretiva no est afetando os usurios do domnio da UO. Qual o problema?
8-15
Lio 2
No Windows Server 2008, usando diretivas de senha refinadas, possvel permitir exigncias de senha diferentes e diretivas de bloqueio de conta para usurios ou grupos diferentes do Active Directory. Nesta lio, voc adquirir o conhecimento e as habilidades para implementar diretivas de senha refinadas.
8-16
Pontos principais
Nas verses anteriores do AD DS, era possvel aplicar somente uma diretiva de bloqueio de senha e conta para todos os usurios do domnio. As diretivas de senha refinadas permitem que voc tenha exigncias de senha diferentes e diretivas de bloqueio de conta para usurios ou grupos diferentes do Active Directory. Isso desejvel quando voc quer que conjuntos diferentes de usurios tenham exigncias diferentes de senha, mas no deseja ter domnios separados. Por exemplo, o grupo Admins. do Domnio pode precisar de exigncias rigorosas de senha que voc no queira aplicar aos usurios comuns. Se voc no implementar senhas refinadas, as diretivas de conta de domnio padro comuns se aplicaro a todos os usurios. Pergunta: Como voc usaria as senhas refinadas no seu ambiente?
8-17
Pontos principais
Para armazenar as diretivas de senha refinadas, o Windows Server 2008 inclui duas classes de objeto novas no esquema do Active Directory. So elas: PSC (Continer de Configurao de Senha) PSO (Objeto Configurao de Senha)
A classe de objeto PSC criada por padro no continer Sistema do domnio, que armazena os PSOs do domnio. No possvel renomear, mover ou excluir esse continer. Pergunta: Como voc exibiria o Continer de Configurao de Senha nos Usurios e Computadores do Active Directory?
8-18
Pontos principais
Existem trs etapas principais na implementao de senhas refinadas: Criar os grupos necessrios e adicionar os usurios apropriados. Criar PSOs para todas as diretivas de senha definidas. Aplicar PSOs para os usurios apropriados ou grupos de segurana global.
Pergunta: Na sua organizao, vrios usurios lidam com arquivos confidenciais regularmente. necessrio garantir que todos esses usurios tenham diretivas de conta rigorosamente impostas. As contas do usurio esto espalhadas em vrias UOs. Como voc conseguiria isso com o mnimo esforo administrativo?
8-19
Pontos principais
Seguir as etapas do guia passo a passo para criar um PSO chamado 7Days que force o administrador a alterar as senhas a cada sete dias. Usar os valores fornecidos no guia passo a passo para preencher o assistente de edio de ADSI.
Pergunta: Quais utilitrios podem ser usados para gerenciar PSOs? Escolha todas as opes aplicveis. a. b. c. e. f. ADSI Edit GPMC CSVDE NTDSUtil Usurios e Computadores do Active Directory
d. LDIFDE
8-20
Cenrio
O Woodgrove Bank decidiu implementar Diretivas de Grupo para configurar a segurana dos usurios e computadores da organizao. A empresa atualizou recentemente todas as estaes de trabalho com o Windows Vista e todos os servidores com o Windows Server 2008. A organizao quer utilizar a Diretiva de Grupo para implementar configuraes de segurana para as estaes de trabalho, servidores e usurios.
Observao: algumas das tarefas desse laboratrio foram criadas para ilustrar as tcnicas e configuraes do GPO e nem sempre podem representar as prticas recomendadas.
8-21
Voc tambm ter que configurar uma diretiva local no cliente Windows Vista que habilite a conta do Administrador local e proba o acesso ao menu Executar para quem no for Administrador. Em seguida, voc dever criar uma diretiva de rede sem fio para o Windows Vista que crie um perfil para a rede sem fio Corp. Esse perfil definir 802.1x como o mtodo de autenticao. Essa diretriz tambm negar o acesso a uma rede sem fio chamada Pesquisa. Finalmente, voc configurar uma diretiva para impedir que o servio Windows Installer seja executado em qualquer controlador de domnio. Estas so as principais tarefas deste exerccio: 1. 2. 3. 4. 5. Iniciar a mquina virtual e fazer logon como Administrador. Criar uma diretiva de conta para o domnio. Definir configuraes de diretiva local para um cliente Windows Vista. Criar um GPO de rede sem fio para clientes Windows Vista. Configurar um GPO que proba um servio em todos os controladores de domnio.
8-22
2. 3. 4.
3. 4.
5.
Diretiva de bloqueio da conta: Limite de bloqueio da conta: 5 tentativas de logon invlidas Durao do bloqueio da conta: 30 minutos Contador de bloqueios: redefinido aps 30 minutos
8-23
4. 5. 6.
7.
Tarefa 4: Criar um GPO de rede sem fio para clientes Windows Vista
1. 2. Em NYC-DC1, no GPMC, crie um novo GPO chamado Vista Wireless. Para editar o GPO, clique com o boto direito em Configuraes do Windows\Configuraes de Segurana\Diretivas de Rede Sem Fio (IEEE 802.11) e, em seguida, clique em Criar uma Nova Diretiva do Windows Vista. Na caixa de dilogo Nova Diretiva de Rede Sem Fio do Vista clique em Adicionar e em Infra-estrutura. Crie um novo perfil chamado Corporate e, no campo Nome da Rede (SSID), digite Corp. Clique na guia Segurana, altere o Mtodo de autenticao para Aberto com 802.1X e clique em OK.
3. 4. 5.
8-24
6. 7. 8.
Clique na guia Permisses de Rede e em Adicionar. Digite Pesquisar no campo Nome da Rede (SSID): defina Permisso como Negar e clique duas vezes em OK. Feche o Editor de Gerenciamento de Diretiva de Grupo e deixe o GPMC aberto.
Tarefa 5: Configurar uma diretiva que proba um servio em todos os controladores de domnio
1. Edite as seguintes opes para desabilitar o servio Windows Installer: Diretiva de Controladores de Domnio Padro, Configurao do Computador, Diretivas, Configuraes do Windows, Configuraes de Segurana e Servios do Sistema. Feche o Editor de Gerenciamento de Diretiva de Grupo e deixe o GPMC aberto.
Resultado: depois de concluir esse exerccio, voc ter definido configuraes de diretiva de conta e segurana.
2.
8-25
Crie uma diretiva de senha refinada para impor essas diretivas no grupo global Admins. de TI. Estas so as tarefas principais: 1. 2. Criar um PSO usando o ADSI Edit. Atribuir o PSO ITAdmin ao grupo global Admins. de TI.
4. 5. 6. 7. 8.
8-26
9.
10. No valor msDS-MinimumPasswordLength digite 10. 11. No valor msDS-MinimumPasswordAge, digite -5184000000000.
Observao: os valores dos PSOs so valores baseados em tempo inseridos no formato integer8. Integer8 um nmero de 64 bits que representa o total de tempo, em intervalos de 100 nanossegundos, decorrido a partir do meio-dia de 1 de janeiro de 1601.
12. No valor msDS-MaximumPasswordAge, digite -6040000000000. 13. No valor msDS-LockoutThreshold, digite 3. 14. No valor msDS-LockoutObservationWindow, digite -18000000000. 15. No valor msDS-LockoutDuration, digite -18000000000 e clique em Concluir. 16. Feche o MMC do ADSI Edit sem salvar as alteraes.
8-27
Lio 3
Em um grande ambiente de rede, um dos desafios da segurana de rede controlar a associao de grupos internos no diretrio e em estaes de trabalho. Uma outra preocupao consiste em evitar o acesso a softwares no autorizados em estaes de trabalho.
8-28
Pontos principais
Em alguns casos, talvez voc queira controlar a associao de determinados grupos de um domnio para impedir a adio de outras contas de usurio a esses grupos, como o grupo de administradores locais. Voc pode usar a diretiva de Grupos Restritos para controlar associaes de grupo. Use a diretiva para especificar quais membros sero inseridos em um grupo. Se voc definir uma diretiva de Grupos Restritos e atualizar a Diretiva de Grupo, qualquer membro atual no existente na lista de membros da diretiva de Grupos Restritos ser removido, o que pode incluir membros padro, como administradores do domnio. Embora seja possvel controlar os grupos de domnio por meio da atribuio de diretivas de Grupos Restritos a controladores de domnio, essa configurao deve ser usada principalmente para configurar associaes de grupos crticos, como os grupos Administrao de Empresa e Administrao de Esquema. Tambm possvel usar essa configurao para controlar as associaes de grupos locais internos em estaes de trabalho e servidores membro. Por exemplo, voc pode colocar o grupo Assistncia Tcnica no grupo local de administradores em todas as estaes de trabalho.
8-29
No possvel especificar usurios locais em um GPO de domnio. Qualquer usurio local que no momento esteja no grupo local controlado pela diretiva ser removido. A nica exceo que a conta local de administradores estar sempre no grupo local de administradores. Pergunta: A sua empresa tem cinco servidores Web localizados fisicamente na Amrica do Norte. As contas de computador dos servidores Web esto todas localizadas em uma nica UO. Voc quer conceder a todos os usurios do grupo global chamado Web_Backup o direito de fazer backup e restaurar os servidores Web. Como voc poderia usar a Diretiva de Grupo para realizar isso?
8-30
Pontos principais
Criar e vincular uma nova Diretiva de Grupo para a UO ITAdmins. Adicionar o grupo de administradores lista de grupos restritos do GPO. Configurar a associao do grupo Administradores para incluir Admins. do Domnio e o grupo global ITAdmins_WoodgroveGG. Mover o cliente Windows Vista para a UO ITAdmins e impor a atualizao da Diretiva de Grupo ao cliente.
Pergunta: Voc criou uma Diretiva de Grupo que adiciona o grupo Assistncia Tcnica ao grupo Administradores e vinculou a diretiva a uma UO. Agora os Administradores do Domnio no tm mais autoridade administrativa nos computadores dessa UO. Qual o problema mais provvel e como voc o solucionaria?
8-31
Pontos principais
Talvez voc queira restringir o acesso a softwares para impedir que usurios executem determinados aplicativos ou tipos de aplicativos, como VBscripts. As diretivas de restrio de software fornecem aos administradores um mecanismo orientado por diretiva para identificar os softwares e controlar sua capacidade de ser executado em um computador cliente. Pergunta: Voc tem vrios computadores em um grupo de trabalho. Voc precisa restringir o acesso a determinados aplicativos para que somente membros do grupo de Administradores tenham permisso para inici-los. Como voc conseguiria isso?
8-32
Pontos principais
As diretivas de Restrio de Software usam regras para identificar se um aplicativo tem permisso para ser executado. Ao criar uma regra, identifique primeiro o aplicativo. Em seguida, identifique esse aplicativo como uma exceo configurao padro Irrestrito ou No permitido. O mecanismo de imposio consulta as regras da diretiva de restrio de software antes de permitir a execuo de um programa. O nvel de segurana irrestrito permite que todos os softwares sejam executados de acordo com as permisses normais dos usurios, exceto os identificados especificamente como uma exceo regra. O nvel de segurana Bsico permite que os programas sejam executados por usurios que no possuem direitos de acesso de Administrador, mas que podem acessar os recursos disponveis para os usurios normais.
8-33
O nvel de segurana No permitido no permite a execuo de qualquer software no computador cliente, exceto os softwares especificamente identificados como excees regra.
Observao: aplique o nvel de segurana No permitido somente em ambientes bloqueados ou de segurana muito elevada. O seu gerenciamento poder ser difcil, pois cada aplicativo permitido deve ser identificado individualmente e porque a diretiva talvez precise ser atualizada sempre que um service pack for aplicado a um pacote de software.
Pergunta: Voc precisa restringir o acesso a determinados aplicativos, independentemente do local de diretrio onde eles estejam instalados. Qual tipo de regra voc deve usar?
8-34
Pontos principais
Criar uma regra de hash para proibir o Microsoft Internet Explorer. Fazer logoff e logon para testar a regra.
Observao: as regras da zona da Internet somente se aplicam aos softwares que usam o Windows Installer.
Pergunta: Voc quer garantir que somente os scripts do Visual Basic assinados digitalmente sejam executados. Qual tipo de regra voc deve usar?
8-35
Lio 4
As diretivas de segurana so grupos de configuraes de segurana que afetam a segurana dos computadores. Voc pode usar uma diretiva de segurana para estabelecer diretivas de conta e locais no computador local e no Active Directory. Voc pode criar modelos de segurana para auxiliar na criao de diretivas de segurana, a fim de atender s necessidades de segurana da empresa. possvel usar esses modelos para definir as configuraes de segurana atribudas aos computadores manualmente ou por meio da Diretiva de Grupo.
8-36
Pontos principais
Os modelos de segurana so um conjunto de configuraes de segurana definidas. possvel usar os modelos de segurana predefinidos como base para criar diretivas de segurana que voc personaliza para atender s suas necessidades ou criar novos modelos. Use o snap-in Modelos de Segurana para criar ou personalizar modelos. Aps criar um modelo novo ou personalizar um modelo de segurana predefinido, possvel us-lo para configurar a segurana em um computador isolado ou em milhares de computadores. Os modelos de segurana contm configuraes de segurana para todas as reas de segurana. Aplique modelos de segurana usando o snap-in Configurao e Anlise de Segurana, a ferramenta de linha de comando secedit ou importando o modelo para a Diretiva de Segurana Local. Pergunta: Como os Modelos de Segurana podem ajudar a organizar os seus atributos de segurana j existentes?
8-37
Pontos principais
Criar uma nova UO chamada Servers. Criar um novo GPO chamado Security Baseline e atribu-lo UO de servidores. Criar um MMC com o snap-in Modelos de segurana. Criar um novo modelo de segurana chamado Linha de Base do Servidor. Definir algumas configuraes de segurana. Por exemplo, renomear a conta do administrador, configurar um grupo restrito etc. Importar um modelo de linha de base de servidor para o GPO de linha de base de segurana.
Pergunta: Voc tem vrios servidores de banco de dados localizados em UOs diferentes. Qual o modo mais fcil de se aplicar configuraes de segurana consistentes a todos os servidores de banco de dados?
8-38
Pontos principais
O Assistente de Configurao de Segurana (ACS) uma ferramenta de reduo da superfcie de ataque que foi introduzida com o Microsoft Windows Server 2003 com Service Pack 1 (SP1). O ACS ajuda os administradores na criao de diretivas de segurana, determina a funcionalidade mnima necessria para uma ou mais funes do servidor e desabilita a funcionalidade desnecessria. Ele o orientar durante o processo de criao, edio, aplicao ou reverso de uma diretiva de segurana com base nas funes selecionadas do servidor. As diretivas de segurana criadas com o ACS so arquivos XML que, quando aplicados, configuram servios, segurana de rede, valores especficos do Registro, diretiva de auditoria e, se aplicvel, o IIS (Servios de Informaes da Internet). Pergunta: Quais tipos de funes do servidor existem na sua organizao?
8-39
Pontos principais
Abrir o Assistente de Configurao de Segurana e criar uma nova diretiva. Explorar o banco de dados da configurao de segurana. Percorrer o assistente e observar as vrias opes. Salvar o arquivo de diretiva como C:\baseline.xml. Concluir o assistente, mas escolher aplicar a diretiva mais tarde.
8-40
Pontos principais
As diretivas de segurana que voc cria com o ACS tambm podem incluir modelos de segurana personalizados. Algumas das configuraes que voc pode definir usando o ACS sobrepem parcialmente as configuraes que voc pode definir usando s os modelos de segurana. Nenhum conjunto de alteraes de configurao inclui o outro completamente. Por exemplo, o ACS inclui configuraes de IIS que no esto includas em nenhum modelo de segurana. Por outro lado, os modelos de segurana podem incluir itens, como as diretivas de Restrio de Software, que voc no pode configurar por meio do ACS. O ACS salva as suas diretivas de segurana como arquivos XML. O utilitrio de linha de comando scwcmd.exe permite que voc os converta e salve como GPOs usando o comando de transformao scwcmd.exe. O prprio ACS no oferece suporte aos GPOs. Pergunta: Qual a principal vantagem do ACS?
8-41
Pontos principais
Iniciar o prompt de comando. Usar o scwcmd.exe para transformar o arquivo de diretiva Baseline.XML que voc criou na demonstrao anterior em um GPO chamado ServerBaseline: Scwcmd transform /p:C:\Baseline.xml /g:Serverbaseline Abrir o GPMC e ver se o GPO chamado Serverbaseline existe.
Pergunta: Voc precisa abrir uma porta nos computadores do cliente Windows Vista para um aplicativo personalizado. Voc dever usar o ACS ou criar um modelo de segurana e usar um GPO?
8-42
Pontos principais
Voc pode usar a ferramenta de configurao e anlise de segurana para analisar e configurar a segurana do sistema local. A anlise regular permite que voc controle e garanta nveis de segurana adequados em cada computador como parte de um programa de gerenciamento de risco empresarial. possvel ajustar os nveis de segurana e detectar qualquer falha de segurana que possa ocorrer no sistema com o tempo. Voc tambm pode usar a ferramenta de configurao e anlise de segurana para configurar a segurana do sistema local.
8-43
Pontos principais
Criar um modelo de segurana personalizado. Importar o modelo personalizado para a ferramenta de configurao e anlise de segurana. Executar uma anlise para comparar as configuraes atuais ao modelo de segurana personalizado.
Pergunta: Como a sua organizao pode se beneficiar da utilizao da ferramenta de configurao e anlise de segurana? Fornea pelo menos um exemplo.
8-44
Cenrio
O administrador empresarial criou um design que inclui as modificaes feitas na diretiva de segurana de domnio padro e outros GPOs para configurao de segurana. A empresa quer ter flexibilidade para atribuir diretivas de senha diferentes para usurios especficos. A empresa tambm deseja automatizar a definio das configuraes de segurana o mximo possvel.
8-45
3. 4.
8-46
Tarefa 2: Proibir que o Internet Explorer e os scripts VBS sejam executados nos controladores de domnio
1. 2. Edite a Diretiva de Controladores de Domnio Padro. Navegue at Configuraes do Windows, expanda Configuraes de Segurana, clique com o boto direito do mouse em Diretivas de Restrio de Software e clique em Nova Diretiva de Restrio de Software. Clique com o boto direito do mouse em Regras Adicionais e clique em Nova Regra de Hash. Navegue at C:\Arquivos de programas\Internet Explorer\iexplore.exe, e clique em Abrir. Verifique se o nvel de segurana No permitido. Clique com o boto direito do mouse em Regras adicionais e, em seguida, clique em Nova regra de caminho. No campo Caminho, digite *.vbs e clique em OK. Feche o Editor de Gerenciamento de Diretiva de Grupo.
Resultado: depois de concluir este exerccio, voc ter configurado grupos restritos e diretivas de restrio de software.
3. 4. 5. 6. 7.
8-47
3. 4. 5. 6. 7.
8-48
Observao: essa etapa executada para simplificar o laboratrio e no uma prtica recomendada.
10. Na tela Selecionar Recursos de Cliente, clique em Avanar. 11. Na tela Selecionar Administrao e Outras Opes, clique em Avanar. 12. Na tela Selecionar Servios Adicionais, clique em Avanar. 13. Na tela Tratando Servios No Especificados continue clicando em Avanar at chegar na tela Nome do Arquivo da Diretiva de Segurana. 14. Na tela Nome do Arquivo da Diretiva de Segurana, digite FPPolicy no fim do caminho C:\Windows\security\msscw\policies\.
8-49
15. Clique em Incluir Modelos de Segurana e em Adicionar. 16. Adicione a diretiva Documentos\Segurana\Modelos\FPSecurity. 17. Na tela Aplicar Diretiva de Segurana, clique em Aplicar Agora e em Avanar. 18. Na tela Aplicar Diretiva de Segurana, clique em Avanar e em Concluir.
2. 3.
8-50
Tarefa 1: Fazer logon como administrador local no computador Windows Vista e verificar a associao do grupo de administradores locais
1. 2. 3. 4. Faa logon em NYC-CLI como NYC-CL1\administrador com a senha Pa$$w0rd. Inicie um prompt de comando e execute o comando GPupdate /force. Verifique se o menu Executar exibido na pasta Acessrios do menu Iniciar. Abra o Painel de Controle, clique em Contas do Usurio, Contas do Usurio, Gerenciar Contas do Usurio, na guia Avanado, clique em Avanado, Grupos, abra o grupo Administradores e verifique se os grupos globais Admins. do Domnio e ITAdmins esto presentes. Reinicie NYC-CL1.
5.
Tarefa 2: Fazer logon no computador com o Windows Vista como um usurio comum e testar a diretiva
1. 2. Faa logon em NYC-CL1 como Woodgrovebank\Leonilde com a senha Pa$$w0rd. Verifique se o menu Executar no aparece na pasta Acessrios do menu Iniciar.
8-51
3. 4. 5.
Pressione a tecla ALT direita + DELETE e clique em Alterar uma senha. No campo Senha Antiga, digite Pa$$w0rd. Nos campos Nova Senha e Confirmar senha, digite w0rdPa$$. Voc no conseguir atualizar a senha porque o tempo de vida mnimo da senha ainda no expirou. Pressione a tecla ALT direita + DELETE e clique em Alterar uma senha. Nos campos Nova Senha e Confirmar senha, digite pa. Voc no conseguir atualizar a senha porque a durao mnima da senha ainda no expirou. Faa logoff de NYC-CL1.
6. 7. 8.
Tarefa 3: Fazer logon no controlador de domnio como administrador de domnio e testar os servios e as restries de software
1. 2. 3. 4. 5. Faa logon em NYC-DC1 como Administrator com a senha Pa$$w0rd. Inicie um prompt de comando e execute o comando GPupdate /force. Tente iniciar o Internet Explorer, leia a mensagem de erro e clique em OK. Navegue at E:\mod08\labfiles, clique duas vezes em Hello.vbs, leia a mensagem de erro e clique em OK. Abra o MMC dos Servios em Ferramentas Administrativas. Role para baixo at o servio Windows Installer e verifique se ele est definido como Desabilitado.
Tarefa 4: Usar a modelagem da Diretiva de Grupo para testar as configuraes no servidor de arquivos e de impresso
1. 2. 3. 4. Abra o GPMC e inicie o Assistente para Modelagem da Diretiva de Grupo. Aceite todas as opes padro exceto as da janela Seleo de Usurio e Computador. Clique em Computador e digite Woodgrovebank\NYC-SVR1. Aps concluir o assistente, observe as configuraes da diretiva.
8-52
8-53
8-54
As diretivas de segurana de rede podem controlar a configurao com fio do Windows Vista e de verses posteriores. O Firewall do Windows oferece suporte s regras de sada. O reconhecimento de rede pode determinar automaticamente o seu perfil de firewall. As configuraes de Firewall e de IPsec agora so integradas. As senhas refinadas permitem que diferentes usurios ou grupos globais tenham diretivas de conta diferentes. As diretivas de senhas refinadas no so fornecidas por meio de Diretivas de Grupo. As diretivas de senhas refinadas devem ser criadas usando ADSIedit ou LDIFDE. As associaes de grupo local e de domnio podem ser controladas por meio de Diretivas de Grupo. O acesso a softwares pode ser controlado por meio de Diretivas de Grupo. Os administradores locais podem ficar isentos de restries a softwares. Existem quatro tipos de regras para controlar o acesso a softwares. Os modelos de segurana podem ser usados para fornecer um conjunto consistente de configuraes de segurana. O Assistente de Configurao de Segurana pode ser usado para auxiliar na criao de diretivas de segurana.
Perguntas de reviso
1. Voc quer colocar uma diretiva de restrio de software em um novo tipo de arquivo executvel. O que voc dever fazer para criar uma regra para esse cdigo executvel? Qual configurao deve ser definida para garantir que os usurios s tenham permisso para fazer trs tentativas de logon invlidas? Voc quer fornecer configuraes de segurana consistentes para todos os computadores cliente da organizao. As contas do computador esto espalhadas em vrias UOs. Qual a melhor maneira de fazer isso? Um administrador da sua organizao modificou acidentalmente a Diretiva de Controladores de Domnio Padro. Voc precisa restaurar as configuraes padro originais da diretiva. Como voc conseguiria isso?
2. 3.
4.
9-1
Mdulo 9
Configurao da conformidade de segurana do servidor
Sumrio:
Lio 1: Proteo de uma infra-estrutura do Windows Lio 2: Viso geral do EFS Lio 3: Configurao de uma diretiva de auditoria Lio 4: Viso geral do Windows Server Update Services (WSUS) Lio 5: Gerenciamento do WSUS Laboratrio: Gerenciamento de segurana de servidor 9-3 9-9 9-13 9-20 9-32 9-40
9-2
Este mdulo explica como proteger servidores e os seus dados e como manter a conformidade das atualizaes. Ele tambm detalha como configurar uma diretiva de auditoria e gerenciar atualizaes com o WSUS (Windows Server Update Services). Manter servidores e estaes de trabalho atualizados com as atualizaes de software mais recentes ajuda a aumentar a segurana, por isso, importante automatizar esse processo. O WSUS ajuda os administradores a utilizarem a automao para implantar atualizaes de software com menos esforo e maior controle.
9-3
Lio 1
Esta lio explica como proteger a funo de servidor na infra-estrutura do Microsoft Windows. medida que as organizaes aumentam a disponibilidade de dados, aplicativos e sistemas de rede, torna-se mais difcil garantir a segurana da infra-estrutura de rede. As tecnologias de segurana do sistema operacional Microsoft Windows Server 2008 permitem que as organizaes ofeream maior proteo aos recursos de rede e ativos organizacionais em ambientes e cenrios comerciais cada vez mais complexos.
9-4
Pontos principais
Discutir os desafios proteo da infra-estrutura do Windows.
9-5
Pontos principais
As camadas de proteo fornecem uma viso geral do ambiente, rea por rea, que deve ser levada em conta na criao de uma estratgia de segurana da rede. possvel modificar as definies detalhadas de cada camada conforme as prioridades e os requisitos de segurana da organizao. A lista a seguir mostra um exemplo do que pode ser abordado em cada nvel de proteo: Dados. As principais preocupaes das organizaes nesta camada so os problemas legais e comerciais que podem surgir em decorrncia de perda ou roubo de dados e os problemas operacionais que podem ser causados por vulnerabilidades nas camadas de host ou aplicativo. Aplicativo. As principais preocupaes das organizaes nesta camada so o acesso aos arquivos binrios que compem os aplicativos, o acesso ao host atravs de vulnerabilidades nos servios de escuta do aplicativo ou a coleta inadequada de dados de sistema especficos que sero transmitidos para algum e utilizados em proveito prprio.
9-6
Host. As principais preocupaes das organizaes nesta camada so impedir o acesso aos arquivos binrios que compem o sistema operacional e o acesso ao host atravs de vulnerabilidades nos servios de escuta do sistema operacional. Rede interna. Os riscos aos quais a rede interna de uma organizao est exposta esto relacionados, em grande parte, aos dados confidenciais transmitidos atravs das redes. Os requisitos de conectividade das estaes de trabalho clientes nessas redes internas tambm oferecem inmeros riscos. Rede de permetro. Os principais riscos nesta camada concentram-se nas portas dos protocolos TCP e UDP usadas pela rede. Segurana fsica. A principal preocupao das organizaes nesta camada, quando so usados sistemas antivrus, impedir que arquivos infectados burlem a proteo das redes interna e de permetro. Diretivas, procedimentos e conhecimento. importante que voc promova o conhecimento na organizao para todas as partes interessadas. Em muitos casos, o desconhecimento de um risco pode levar a uma violao de segurana. Por isso, o treinamento tambm deve ser parte integrante de qualquer modelo de segurana.
9-7
Pontos principais
No h segurana quando no existe segurana fsica. As principais prticas de segurana de servidores so relativamente fceis de adotar e devem ser integradas configurao de segurana padro de todos os servidores. Algumas dessas prticas devem ser: Aplicar os service packs mais recentes e todas as atualizaes crticas e de segurana disponveis. Usar o Assistente de Configurao de Segurana para verificar e implementar a segurana dos servidores com base nas funes de servidor. Usar a Diretiva de Grupo e os modelos de segurana para fortalecer os servidores e reduzir os vestgios de ataque. Restringir o escopo de acesso s contas de servio, o que reduz os danos no caso de comprometimento da conta.
9-8
Usar opes de segurana para restringir quem pode fazer logon localmente nos consoles dos servidores. Restringir o acesso fsico e da rede aos servidores.
Pergunta: A sua empresa possui uma "ficha de compilaes" detalhada de todas as novas instalaes feitas em componentes de hardware novos? O que voc pode fazer para diminuir os vestgios de ataque na infra-estrutura?
9-9
Lio 2
A criptografia de dados no sistema de arquivos uma parte importante da proteo de dados do servidor. O EFS (Encrypting File System) integra-se ao NTFS criptografar os dados dos arquivos. fcil criptografar um arquivo com o EFS: os usurios marcam uma caixa de seleo e o arquivo criptografado. A Criptografia de Unidade de Disco BitLocker pode ser usada para proteger arquivos do sistema operacional que foram comprometidos fisicamente.
9-10
Pontos principais
O EFS (Encrypting Files System) um sistema que criptografa arquivos de dados e fornecido com o Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008. O EFS gera uma chave de criptografia simtrica exclusiva para criptografar cada arquivo. A chave simtrica armazenada no cabealho do arquivo. O processo de criptografia ou descriptografia de um arquivo ou uma pasta ocorre quando o usurio abre as propriedades avanadas e marca ou desmarca a caixa de seleo Criptografar o contedo para proteger os dados. Pergunta: Por que usar o EFS, alm das permisses do NTFS, para criptografar dados?
9-11
Pontos principais
A Criptografia de Unidade de Disco BitLocker um sistema que criptografa o volume inteiro do sistema operacional. A criptografia de volumes de dados adicionais tambm uma opo. As chaves de criptografia so processadas automaticamente em segundo plano, o que gera pouca sobrecarga. Pergunta: Em qual cenrio a BitLocker seria til em um servidor?
9-12
Pontos principais
Ao se deparar com problemas no EFS, a primeira coisa a fazer determinar as circunstncias em que o erro acontece: O erro afeta muitos usurios ou apenas um? O erro acontece em um arquivo local ou remoto? O erro ocorre durante a criptografia ou a descriptografia?
Com base nas informaes coletadas sobre o problema, voc pode se concentrar nas provveis causas. Pergunta: Voc j enfrentou algum cenrio de soluo de problemas do EFS no seu ambiente de trabalho? Em caso afirmativo, qual foi a abordagem adotada?
9-13
Lio 3
possvel configurar uma diretiva de auditoria que registre a atividade dos usurios ou do sistema em categorias de evento especificadas. Alm disso, voc pode monitorar a atividade relacionada segurana, como quem acessou um objeto, se um usurio fez logon ou logoff em um computador ou se ocorreram mudanas em uma configurao da diretiva de auditoria. Como prtica recomendada, aconselhvel criar um plano de auditoria antes de implementar a diretiva de auditoria.
9-14
O que auditoria?
Pontos principais
Auditoria o processo que rastreia a atividade dos usurios registrando eventos selecionados no log de segurana de um servidor ou de uma estao de trabalho. Os tipos de eventos mais comuns passveis de auditoria so: Acesso a objetos, como arquivos e pastas. Gerenciamento de contas de usurio e de grupo. Logon e logoff de usurios no sistema.
Pergunta: Liste trs motivos pelos quais voc desejaria auditar certas reas de um sistema ou de um recurso compartilhado especfico.
9-15
Pontos principais
Uma diretiva de auditoria determina os eventos de segurana que so relatados ao administrador da rede. Ao implementar uma diretiva de auditoria: Especifique as categorias dos eventos para auditoria. Defina o tamanho e o comportamento do log de segurana. Audite os acessos ao servio de diretrio ou a objetos determinando os objetos cujos acessos sero monitorados e o tipo de acesso que deseja monitorar. Por exemplo, para auditar as tentativas de abertura de determinado arquivo, voc pode definir configuraes de diretiva de auditoria na categoria de evento de acesso a objetos para registrar as tentativas de leitura do arquivo bemsucedidas e malsucedidas.
Pergunta: D um exemplo de por que voc deseja registrar em log eventos bemsucedidos e malsucedidos, em vez de apenas eventos malsucedidos.
9-16
Pontos principais
Antes de implementar uma diretiva de auditoria, necessrio decidir quais categorias de evento sero auditadas. As configuraes de auditoria escolhidas para as categorias de evento definem a diretiva de auditoria. Por padro, as configuraes de auditoria referentes s categorias do evento no so definidas nos servidores membro e nas estaes de trabalho que ingressaram em um domnio. Por padro, os controladores de domnio ativam a auditoria. possvel criar uma diretiva de auditoria que atenda s necessidades de segurana da organizao definindo configuraes de auditoria para categorias de evento especficas. Pergunta: Que categorias de eventos so auditadas na sua empresa hoje? Caso a empresa no faa auditorias, que categorias de eventos voc desejaria que fossem auditadas?
9-17
Pontos principais
Aps a configurao da auditoria, o servio pode no funcionar. Isso pode ocorrer por um dos seguintes motivos: Uma configurao de diretiva de site, domnio ou unidade organizacional substitui a diretiva de auditoria configurada. Para solucionar esse problema, abra a Diretiva de Auditoria e verifique a Configurao de Segurana correspondente. Se a configurao de segurana da diretiva for Sem auditoria, um GPO de nvel superior pode ter substitudo a configurao de diretiva de auditoria que voc definiu. Para confirmar esse comportamento, verifique se h possveis conflitos nos itens do GPO de nvel superior que esto vinculados unidade organizacional ou ao domnio. Um GPO que substitui a configurao da diretiva de auditoria tem prioridade mais alta. Para solucionar esse problema, em Usurios e Computadores do Active Directory, verifique as propriedades do domnio. Em seguida, exiba a lista Vnculos de Objeto de Diretiva de Grupo na guia Diretiva de Grupo. Os itens que ocupam as primeiras posies da lista substituem os demais itens de nvel inferior.
9-18
Se o GPO que contm a configurao da diretiva de auditoria estiver listado abaixo de um item de GPO de prioridade mais alta que desative a auditoria, siga umas destas etapas: Clique no GPO que contm a configurao da diretiva de auditoria que voc deseja usar e clique em Para cima, movendo-o para uma posio superior do item de prioridade mais alta na lista. Edite os itens do GPO listados acima do GPO que contm a configurao da diretiva de auditoria para remover configuraes de diretiva conflitantes.
A configurao de diretiva do site, do domnio ou da unidade organizacional que contm a configurao da diretiva de auditoria no foi replicada para outros computadores. Para resolver esse problema, use o utilitrio de linha de comando Secedit.exe para forar a atualizao da Diretiva de Grupo.
Auditoria de acesso a objetos A herana afeta a auditoria de arquivos e pastas. Depois que a auditoria for configurada em uma pasta pai, os novos arquivos e pastas que sero criados nela herdaro a auditoria. Para que o arquivo ou a pasta no herde a auditoria da pasta pai, possvel editar as configuraes de auditoria do arquivo ou da pasta. Teste uma regra de auditoria de um arquivo ou de uma pasta abrindo e fechando o arquivo ou a pasta. Depois, verifique os eventos correspondentes no log de eventos.
Pergunta: Com que freqncia voc acha que deve consultar o log de segurana para verificar se a auditoria est sendo feita corretamente?
9-19
Pontos principais
Abrir o Gerenciamento de Diretiva de Grupo. Editar a Diretiva Padro de Controladores de Domnio, localizada em WoodgroveBank.com\Objetos de Diretiva de Grupo\Diretiva Padro de Controladores de Domnio. Na rvore de console do Editor de Gerenciamento de Diretiva de Grupo, expanda Configurao do Computador\Diretivas\Configuraes do Windows\Configuraes de Segurana\Diretivas Locais\Diretiva de Auditoria. Habilite uma ou mais diretivas de auditoria. Clique na guia Explicar de uma diretiva de auditoria. Habilite a auditoria em caso de acesso a objetos.
Pergunta: Qual a configurao padro de diretiva de auditoria para controladores de domnio? Qual a vantagem de ter essa configurao como o padro para controladores de domnio?
9-20
Lio 4
Esta lio apresenta o Windows Server Update Services (WSUS), uma ferramenta para gerenciar e distribuir atualizaes de software que resolvem vulnerabilidades de segurana e outros problemas de estabilidade. Com o WSUS, possvel implantar as mais recentes atualizaes de produtos da Microsoft em computadores que executam o sistema operacional Windows.
9-21
Pontos principais
O WSUS permite que voc implante as mais recentes atualizaes de produtos da Microsoft em computadores que executam os sistemas operacionais Windows Server 2003, Windows Server 2008, Windows Vista, Microsoft Windows XP com Service Pack 2 e Windows 2000 com Service Pack 4. O WSUS permite gerenciar a distribuio das atualizaes liberadas pelo Microsoft Update para os computadores da rede. O WSUS 3.0 proporciona melhorias nas seguintes reas: Facilidade de uso Opes de implantao aprimoradas Melhor suporte para hierarquias de servidor complexas
9-22
Melhor desempenho e otimizao da largura de banda A capacidade de estender o WSUS 3.0 usando interfaces de programao de aplicativos (APIs) aprimoradas
Pergunta: No momento voc usa servios do WSUS na sua organizao? Em caso afirmativo, de que maneira os aprimoramentos feitos no WSUS 3.0 afetam o modo como voc o utiliza? Do contrrio, como a implementao do WSUS beneficiaria a sua organizao?
9-23
Obteno de atualizaes
Pontos principais
necessrio que pelo menos um servidor WSUS da sua organizao sincronize atualizaes com os servidores Windows Update na Internet. Outros servidores WSUS podem sincronizar atualizaes com um servidor WSUS pai. Para usar o WSUS em uma rede isolada, copie os arquivos de atualizao de um servidor WSUS conectado Internet. Pergunta: Descreva um cenrio em que uma organizao teria uma rede isolada.
9-24
Pontos principais
recomendvel implementar uma abordagem contnua de quatro fases em relao ao processo de gerenciamento de atualizaes: apurar, identificar, avaliar e planejar, e implantar. fundamental repetir o processo de gerenciamento de atualizaes constantemente, porque so disponibilizadas novas atualizaes que podem melhorar e proteger o ambiente de produo. Cada fase tem diferentes objetivos e mtodos de uso dos recursos do WSUS para garantir o xito no processo de gerenciamento de atualizaes. importante observar que possvel implantar muitos dos recursos em mais de uma fase. Pergunta: necessrio determinar quais tipos de atualizaes do Microsoft Update devem ser sincronizadas e quando sincroniz-las. Em qual fase do processo do WSUS esse planejamento ocorreria?
9-25
Pontos principais
As consideraes sobre implantao incluem o seguinte: Pelo menos um dos servidores WSUS deve ter conectividade com a Internet, embora seja possvel oferecer suporte a segmentos de rede isolados que no dispem de conexo com a Internet. Voc deve determinar o nmero de servidores WSUS necessrios examinando o nmero de computadores cliente que precisam de suporte, o nmero de locais existentes e o tipo escolhido de implantao do WSUS. Uma implantao simples do WSUS consiste em um nico servidor WSUS ou farm, que sincroniza atualizaes do Windows Update e as distribui para computadores da rede. Uma hierarquia de servidor WSUS consiste em um servidor WSUS pai, que sincroniza com o Windows Update, e servidores WSUS de downstream, que sincronizam com o servidor WSUS pai.
9-26
Voc pode usar grupos de computadores para controlar se os computadores devem obter atualizaes diferentes. Tambm possvel usar grupos de computadores para criar um grupo limitado de testes de liberao, a fim de testar as atualizaes antes da implantao completa. Considere onde as atualizaes devem ser armazenadas antes da distribuio. Armazene as atualizaes em servidores Windows Update e utilize o WSUS para controlar quais atualizaes os computadores baixaro ou armazene-as no servidor WSUS. Pergunta: Voc usaria mais de um servidor WSUS na sua organizao? Em caso afirmativo, voc vincularia os servidores WSUS usando o modo autnomo ou o modo de rplica?
9-27
Pontos principais
O nmero de computadores cliente que a sua organizao est atualizando o que determina os requisitos de hardware e software de banco de dados. Um servidor WSUS que usa o hardware recomendado pode acomodar at 20.000 clientes. necessrio formatar a partio do sistema e a partio em que o WSUS foi instalado com o sistema de arquivos NTFS. Pergunta: A sua organizao atende aos requisitos de software do WSUS?
9-28
Instalao do WSUS
Pontos principais
As consideraes sobre a instalao do servidor WSUS incluem o seguinte: possvel armazenar atualizaes localmente ou fazer com que os computadores cliente se conectem ao Microsoft Update para obter atualizaes aprovadas. Por padro, o WSUS sugere a instalao do Banco de Dados Interno do Windows, mas possvel optar por uma instncia de banco de dados existente. Voc pode usar o site padro do IIS na porta 80 ou, caso j exista um site nessa porta, criar um site alternativo na porta 8530 selecionando a segunda opo.
Aps a instalao do servidor WSUS, instale o console de administrao do WSUS para gerenciar o servidor WSUS. Pergunta: Voc instalaria o console de administrao do WSUS no prprio servidor do WSUS na sua organizao?
9-29
Pontos principais
Ao definir as configuraes de Diretiva de Grupo do WSUS, use um GPO vinculado a um continer do Active Directory apropriado para o seu ambiente. A Microsoft no recomenda a edio dos GPOs de Domnio Padro ou do Controlador de Domnio Padro para adicionar configuraes do WSUS. Em um ambiente simples, vincule o GPO com as configuraes do WSUS ao domnio. Em um ambiente mais complexo, possvel haver vrios GPOs vinculados a diversas unidades organizacionais (OUs), permitindo que diferentes configuraes de diretiva do WSUS sejam aplicadas a diferentes tipos de computadores. Para ajudar a proteger os computadores contra ameaas de segurana imediatas, configure um agendamento mais freqente para que os computadores contatem o servidor WSUS, baixem e instalem atualizaes.
Pergunta: Qual o risco de permitir que usurios de computadores desktop adiem a reinicializao exigida pelas atualizaes?
9-30
Pontos principais
possvel usar a Diretiva de Grupo ou o Registro para configurar as Atualizaes Automticas. Para configurar as Atualizaes Automticas, necessrio indicar os computadores cliente ao servidor WSUS, verificar se o software de Atualizaes Automticas utilizado est atualizado e definir todas as configuraes de ambiente adicionais. A melhor forma de configurar as Atualizaes Automticas e as opes de ambiente do WSUS depende do seu ambiente de rede. Em um ambiente do Active Directory, use a Diretiva de Grupo. Em um ambiente que no seja do Active Directory, possvel usar o objeto de Diretiva de Grupo Local (GPO) ou editar o Registro diretamente. Pergunta: Qual mtodo de configurao de cliente voc usaria no seu ambiente?
9-31
Pontos principais
Definir as configuraes de cliente da Atualizao Automtica usando a Diretiva de Grupo. Abrir o Gerenciamento de Diretiva de Grupo. Criar um novo GPO no domnio WoodgroveBank.com. Editar o GPO. Na janela Editor de Gerenciamento de Diretiva de Grupo, em Configurao do Computador, expandir Diretivas, Modelos Administrativos, Componentes do Windows e clicar em Windows Update. Habilitar Configurar Atualizaes Automticas.
Pergunta: Voc habilitaria a diretiva Atrasar Reinicializao de instalaes agendadas na sua organizao? Por qu?
9-32
Lio 5
Gerenciamento do WSUS
Esta lio explica como gerenciar o WSUS executando tarefas administrativas com o console de administrao do WSUS 3.0, gerenciando grupos de computadores a fim de direcionar atualizaes para computadores especficos e aprovando a instalao de atualizaes para todos os computadores da sua rede WSUS ou para diferentes grupos de computadores.
9-33
Administrao do WSUS
Pontos principais
O console de administrao do WSUS 3.0 mudou de um console baseado na Web para um plug-in para o MMC verso 3.0. O console de administrao do WSUS 3.0 tambm permite que voc: Gerencie o WSUS remotamente. Configure tarefas ps-instalao usando um assistente. Gere vrios relatrios com mais preciso. Mantenha a integridade do servidor mais facilmente.
9-34
Tambm possvel gerenciar atualizaes com ferramentas de linha de comando: Wuauclt.exe pode ser usado para controlar alguns aspectos do Windows Update Agent. Wsusutil.exe a ferramenta de linha de comando para gerenciar o WSUS.
Pergunta: Explique por que o console MMC para WSUS facilita a administrao.
9-35
Pontos principais
Os grupos de computadores so uma parte importante das implantaes do WSUS, at mesmo das mais bsicas. Com eles, possvel direcionar as atualizaes para computadores especficos. Existem dois grupos de computadores padro: Todos os Computadores e Computadores No Atribudos. Por padro, quando cada computador cliente contata o servidor WSUS pela primeira vez, o servidor os adiciona a cada um desses grupos. possvel criar grupos de computadores personalizados. Um dos benefcios da criao de grupos de computadores que eles permitem testar as atualizaes antes que sejam implantadas em larga escala. Se o teste for bem-sucedido, voc poder implantar as atualizaes no grupo Todos os Computadores. No h um limite quanto ao nmero de grupos personalizados que podem ser criados. Pergunta: Descreva uma das vantagens de usar grupos de computadores no WSUS para implantar atualizaes.
9-36
Aprovao de atualizaes
Pontos principais
Depois de sincronizadas no servidor WSUS, as atualizaes so verificadas automaticamente quanto relevncia para os computadores cliente do servidor. No entanto, necessrio aprovar as atualizaes manualmente antes de implantlas nos computadores da rede. Ao aprovar uma atualizao, voc especificar o que o WSUS pode fazer com ela (as opes so Instalar ou Recusar uma nova atualizao). possvel aprovar atualizaes para o grupo Todos os Computadores ou para subgrupos. Caso uma atualizao no seja aprovada, o status de aprovao permanecer como No aprovada, e o servidor WSUS permitir que os clientes avaliem se a atualizao necessria.
9-37
possvel configurar o servidor WSUS para aprovao automtica de certas atualizaes. Convm especificar a aprovao automtica de revises de atualizaes existentes medida que elas so disponibilizadas. Esta opo fica selecionada por padro. As regras de atualizao automtica no sero aplicveis a atualizaes que exigem um Contrato de Licena de Usurio Final (EULA) ainda no aceito no servidor. Se a aplicao de uma regra de aprovao automtica no fizer com que todas as atualizaes relevantes sejam aprovadas, ser necessrio aprovar as atualizaes manualmente.
Observao: se o servidor WSUS estiver executando no modo de rplica, no ser possvel aprovar atualizaes nele.
Pergunta: Voc optaria pela aprovao automtica de atualizaes na sua organizao se ela estivesse disponvel? Explique o motivo.
9-38
Pontos principais
Adicionar um computador ao console do WSUS. Aprovar uma atualizao a ser aplicada ao computador.
9-39
Pontos principais
O Server Core do Windows Server 2008 requer menos atualizaes do que uma instalao de servidor completa do Windows Server 2008. No entanto, a linha de comando normalmente usada para administrar uma instalao Server Core localmente. O Windows Update usa regras de aplicabilidade para que somente os computadores com Internet Explorer 7 instalem atualizaes do Internet Explorer 7. Essas configuraes de aplicabilidade tambm se aplicam a instalaes Server Core. Pergunta: Alguma outra tarefa de gerenciamento do Server Core diferente da implementao completa de servidor padro?
9-40
9-41
3. 4. 5. 6. 7.
Usar a ferramenta de administrao do WSUS para exibir as propriedades do WSUS. Criar um grupo de computadores e adicionar NYC-CL2 ao novo grupo. Aprovar uma atualizao para clientes Windows Vista. Instalar uma atualizao no cliente Windows Vista. Exibir relatrios do WSUS.
2. 3. 4. 5. 6.
Tarefa 2: Usar o Console de Gerenciamento de Diretiva de Grupo para criar e vincular um GPO ao domnio, a fim de configurar atualizaes de cliente
1. 2. 3. 4. Em NYC-DC1, abra o Gerenciamento de Diretiva de Grupo. Crie um novo GPO no domnio WoodGroveBank.com chamado WSUS. Abra o Editor de Gerenciamento de Diretiva de Grupo para abrir o GPO do WSUS. Na janela Editor de Gerenciamento de Diretiva de Grupo, em Configurao do Computador, expanda Diretivas, expanda Modelos Administrativos, expanda Componentes do Windows e clique em Windows Update. Habilite Configurar Atualizaes Automticas.
5.
9-42
6.
Habilite Especificar o local do servio de atualizao na intranet da Microsoft. Defina o servio de atualizao na intranet para detectar atualizaes e o servidor de estatsticas da intranet como http://NYC-SVR1.
7. 8. 9.
Habilite Freqncia de deteco de Atualizaes Automticas. Em NYC-CL2, execute o comando GPUpdate /force usando o prompt de comando. Reinicie NYC-CL2 e faa logon como WoodgroveBank\Administrator aps a reinicializao do NYC-CL2.
9-43
4. 5.
6.
Observao: se voc informar a data de ontem, a atualizao ser instalada assim que os computadores cliente contatarem o servidor. Como as VMs usam o ambiente do Iniciador do Laboratrio da Microsoft, suas datas no correspondero data real. Isso ocorre por padro. Anote a data configurada das MVs e informe uma data um dia antes dessa data.
9-44
2.
9-45
3. 4. 5.
Habilite a diretiva Auditoria de Acesso ao Servio de Diretrio para auditar eventos de xito e de Falha. No Prompt de Comando, digite Gpupdate. Quando a atualizao for concluda, execute o comando Auditpol.exe /get /category:* novamente e examine as configuraes de diretiva de auditoria padro.
9-46
9-47
Perguntas de reviso
1. Que desafios de segurana uma empresa de pequeno a mdio porte pode enfrentar, mas que talvez no sejam um problema para uma empresa de grande porte? Se for decidido colocar em prtica uma diretiva de auditoria, como as propriedades de log de segurana devero ser configuradas em Visualizar Eventos? O que o administrador deve fazer antes que uma atualizao seja enviada para clientes e servidores via WSUS? Qual o motivo de definir um prazo para a instalao automtica como uma data j passada?
2.
3. 4.
9-48
Prticas recomendadas
Seja qual for o sistema operacional que voc estiver usando, as etapas bsicas para proteg-lo so as mesmas. Considere as seguintes prticas recomendadas para proteger um sistema operacional: Instale todos os service packs e atualizaes do sistema operacional. Verifique a segurana das contas de usurio. Elimine aplicativos e servios de rede desnecessrios. Configure o log do sistema para registrar eventos importantes. Mantenha os aplicativos e o sistema operacional atualizados.
10-1
Mdulo 10
Configurao e gerenciamento de tecnologias de armazenamento
Sumrio:
Lio 1: Viso geral do gerenciamento de armazenamento do Windows Server 2008 Lio 2: Gerenciamento de armazenamento usando o Gerenciador de Recursos de Servidor de Arquivos Laboratrio A: Instalao do servio de funo do FSRM Lio 3: Configurao do gerenciamento de cotas Laboratrio B: Configurao de cotas de armazenamento Lio 4: Implementao da triagem de arquivo Laboratrio C: Configurao da triagem de arquivo Lio 5: Gerenciamento de relatrios de armazenamento Laboratrio D: Gerao de relatrios de armazenamento Lio 6: Noes bsicas sobre redes de rea de armazenamento 10-3 10-13 10-20 10-22 10-29 10-31 10-38 10-40 10-45 10-47
10-2
O armazenamento de arquivos importante no gerenciamento de ambientes Microsoft Windows Server. Os desafios quando se tenta analisar, planejar e implementar solues de armazenamento so considerveis. O sistema operacional Windows Server 2008 fornecido com diversas ferramentas que ajudam a configurar e gerenciar tecnologias de armazenamento. Este mdulo explicar desafios comuns do gerenciamento de capacidade e armazenamento e descrever as tecnologias de armazenamento que podem ser configuradas e gerenciadas para resolver problemas de armazenamento de arquivos. Este mdulo tambm descreve como analisar tendncias de uso e implementar solues para atender a necessidades dos usurios, e ao mesmo tempo, estar em conformidade com as diretivas da empresa e os padres normativos do setor.
10-3
Lio 1
O gerenciamento de armazenamento do Windows Server 2008 e o Gerenciador de Recursos de Servidor de Arquivos so tecnologias de armazenamento que podem ser configuradas e gerenciadas para superar desafios comuns do gerenciamento de capacidade e armazenamento no ambiente empresarial. Esta lio descrever desafios comuns do gerenciamento de capacidade e armazenamento e ensinar a usar o Gerenciador de Recursos de Servidor de Arquivos e o gerenciamento de armazenamento do sistema operacional Windows Server 2008 para vencer esses desafios.
10-4
Pontos principais
O gerenciamento de capacidade o processo de planejar, analisar, dimensionar e otimizar mtodos para atender crescente demanda de armazenamento de dados de uma organizao. medida que aumenta o volume de dados que voc precisa armazenar e acessar, aumenta tambm a necessidade de gerenciamento de capacidade. Acompanhar a capacidade de armazenamento disponvel, saber quanto espao de armazenamento necessrio para expanso futura e determinar como o armazenamento do ambiente est sendo usado permite atender s necessidades de capacidade de armazenamento da organizao. O gerenciamento de capacidade tambm uma tentativa de controlar o uso inadequado do armazenamento corporativo. Muitos usurios tendem a utilizar o espao de armazenamento do servidor para armazenar grandes arquivos de multimdia para uso pessoal como MP3s ou fotos digitais, alm de outros tipos de dados, como protetores de tela e jogos. Pergunta: Que desafios de gerenciamento de capacidade voc enfrenta no seu ambiente de trabalho?
10-5
Pontos principais
Aps o gerenciamento de capacidade, o prximo desafio gerenciar os tipos de arquivos que so armazenados nos servidores. Muitas organizaes armazenam de 60% a 100% de seus dados de trabalho, o que inclui mensagens de email, documentos de escritrio e bancos de dados de aplicativos de linha de negcios. Algumas informaes so indispensveis para o funcionamento da empresa, enquanto outras so menos crticas. As informaes crticas muitas vezes devem ser mantidas em um estado que possibilite sua disponibilidade permanente. Alguns dados tambm podem ter requisitos de reteno especficos devido a padres normativos e do setor. Arquivos e programas no aprovados tambm levam a problemas de gerenciamento de armazenamento. Muitos usurios tendem a armazenar arquivos e programas que no so de trabalho e que podem consumir espao de armazenamento. O gerenciamento de armazenamento tenta controlar esse uso indevido do espao corporativo. Pergunta: Quais so alguns dos desafios de armazenamento enfrentados pela sua organizao?
10-6
Pontos principais
Saber como a empresa est usando o armazenamento torna o planejamento dos requisitos de armazenamento futuros mais previsveis. Muitas vezes, a ausncia de diretivas e controles pode fazer com que os usurios utilizem o armazenamento para fins no compatveis. Ter diretivas de gerenciamento de recursos em vigor permite uma maior previsibilidade no planejamento da capacidade futura. As diretivas de gerenciamento de recursos podem variar dentro de uma empresa. Por exemplo, alguns departamentos podem precisar de mais armazenamento do que outros, e alguns podem querer armazenar arquivos de formas especficas.
10-7
Ferramentas como o Gerenciador de Recursos de Servidor de Arquivos (FSRM) executam as tarefas necessrias para analisar o uso do armazenamento, planejar e implementar diretivas de armazenamento. A etapa final aps a anlise e a definio de diretivas implementar as diretivas. Ferramentas como o Gerenciador de Recursos de Servidor de Arquivos (FSRM) executam as tarefas necessrias para analisar o uso do armazenamento, planejar e implementar diretivas de armazenamento. Pergunta: No seu ambiente de trabalho, que ferramentas e estratgias esto sendo usadas para superar os desafios de gerenciamento de capacidade e armazenamento?
10-8
Pontos principais
O Windows Server 2008 oferece inmeras ferramentas e tecnologias que auxiliam nas tarefas de gerenciamento de capacidade. Com a incluso de outros aplicativos, como o Microsoft System Center Operations Manager (SCOM) e o File Server Migration Toolkit (FSMT), pode-se ter uma gama completa de solues de gerenciamento de armazenamento. O FSMT ajuda a copiar arquivos e pastas de servidores que executam os sistemas operacionais Microsoft Windows 2003 Server, Microsoft Windows 2000 Server ou Windows NT Server 4.0 para um servidor que executa o Windows Server 2003, Windows Storage Server 2003, Windows Server 2008 ou Microsoft Windows Storage Server 2008. Entre os principais benefcios do FSMT esto os seguintes: Experincia de migrao transparente para os usurios finais. Mantm as configuraes de segurana dos arquivos migrados.
10-9
Consolida pastas compartilhadas com os mesmos nomes de diferentes servidores. Suporta clusters de servidor como servidores de arquivos de origem e de destino. Funcionalidade de reverso para migraes que no foram bem-sucedidas.
O FSMT pode ser baixado do site da Microsoft: http://www.microsoft.com/downloads/details.aspx?FamilyID=d00e3eae-930a42b0-b595-66f462f5d87b&DisplayLang=en Pergunta: Como voc lida hoje com esses desafios de gerenciamento de capacidade no ambiente de trabalho?
10-10
Pontos principais
O Windows Server 2008 tambm oferece vrias ferramentas que auxiliam nas tarefas de gerenciamento de armazenamento. Entre elas esto as seguintes: A Ferramenta de Informaes sobre Fibre Channel ajuda a coletar informaes de configurao de uma SAN Fibre Channel para gerenciamento de Controladoras Fibre Channel e deteco de recursos da SAN. O Servio de Disco Virtual mostra uma viso unificada de todos os discos e volumes, independentemente de estarem conectados por SCSI, Fibre Channel, iSCSI ou RAID PCI. O Gerenciador de Armazenamento para Redes SAN ajuda a criar e gerenciar nmeros de unidade lgica (LUNs) em subsistemas de unidade de disco Fibre Channel e Internet SCSI (iSCSI) que suportam o Servio de Disco Virtual (VDS) na sua rede de rea de armazenamento (SAN).
10-11
O Operations Manager monitora at milhares de servidores, aplicativos e clientes para mostrar uma viso completa da integridade do ambiente de TI de uma organizao.
Pergunta: Como voc lida hoje com esses desafios de gerenciamento de armazenamento no ambiente de trabalho?
10-12
Pontos principais
O Gerenciador de Recursos de Servidor de Arquivos (FSRM) um conjunto completo de ferramentas que permite aos administradores resolver os seguintes principais desafios de gerenciamento de servidores de arquivos: Gerenciamento de capacidade. Monitora padres de uso e nveis de utilizao. Gerenciamento de diretivas. Restringe os arquivos que so armazenados no servidor. Gerenciamento de cota. Limita a quantidade de dados que podem ser armazenados no servidor. Relatrios. Disponibiliza relatrios de uso da capacidade de armazenamento para atender a requisitos normativos e que permitem a administradores, grupos de segurana e equipes de gerenciamento desempenhar funes de superviso e auditoria.
10-13
Lio 2
Use o FSRM para configurar o gerenciamento de cota, implementar a triagem de arquivo e gerar relatrios de armazenamento. Esta lio traz informaes sobre como gerenciar o armazenamento usando o FSRM.
10-14
Funes do FSRM
Pontos principais
O Gerenciador de Recursos do Sistema de Arquivos oferece diversos recursos para executar tarefas de gerenciamento de armazenamento. A tabela a seguir descreve funes do FSRM:
Funo Criar cotas para limitar o espao permitido para um volume ou uma pasta Descrio Permite definir a quantidade mxima de espao alocada para um usurio. Tambm permite que o administrador seja notificado quando a cota for excedida. Permite especificar que as cotas devem ser geradas dinamicamente quando subpastas forem criadas. Assim, possvel gerenciar o volume de armazenamento sem a necessidade de aplicar cotas todas as vezes que uma estrutura de diretrio for modificada.
10-15
(continuao)
Funo Criar triagens de arquivo Descrio Possibilita a filtragem de arquivos de acordo com suas extenses. Categorias de arquivos comuns podem ser agrupadas para criar grupos de arquivos. Permite notificar os administradores quando usurios tentarem salvar um tipo de arquivo no aprovado.
Monitorar tentativas de salvar arquivos no autorizados Definir modelos de cota e de triagem de arquivo Gerar relatrios de armazenamento agendados ou sob demanda
Permite personalizar e implementar uma diretiva de armazenamento detalhada da empresa. Possibilita criar relatrios peridicos para exame ou criar relatrios sob demanda, o que lhe permite gerar um relatrio rapidamente para uso imediato.
Pergunta: Descreva dois cenrios em que um ou mais recursos do FSRM poderiam ser usados no seu ambiente de trabalho.
10-16
Pontos principais
Iniciar a mquina virtual NYC-SVR1. Usar o Gerenciador de Servidores para adicionar o servio de funo do FSRM. Configurar o volume durante a instalao. Abrir o console de gerenciamento do FSRM.
Pergunta: Voc instalar o servio de funo do FSRM em todos os servidores da organizao? Pergunta: Como voc acessaria o console do FSRM em uma estao de trabalho?
10-17
Pontos principais
Com o console do FSRM, voc v todos os recursos de armazenamento locais de um nico console e cria e aplica diretivas que controlam esses recursos. As trs ferramentas que fazem parte do console do FSRM so as seguintes: N Gerenciamento de Cota N Gerenciamento de Triagem de Arquivo N Gerenciamento de Relatrios de Armazenamento
Pergunta: Descreva um cenrio em que voc usaria cada componente do console do FSRM.
10-18
Pontos principais
Quando voc cria cotas e triagens de arquivo, tem a opo de enviar notificaes por email aos usurios quando eles estiverem perto de atingir os limites de cota ou depois que tentarem salvar arquivos que foram bloqueados. Os parmetros padro para relatrios de armazenamento so usados para os relatrios de incidentes que so gerados quando ocorre um evento de cota ou triagem de arquivo. Utilizando o Gerenciador de Recursos de Servidor de Arquivos, voc pode registrar a atividade de triagem de arquivo em um banco de dados de auditoria. Pergunta: Atualmente, no seu ambiente de trabalho, esto em vigor diretivas de armazenamento de servidor? Em caso afirmativo, voc usar as opes de configurao do FSRM para aplicar essas diretivas?
10-19
Pontos principais
Iniciar a mquina virtual NYC-SVR1. Configurar notificaes por email no FSRM. Configurar parmetros de relatrios de armazenamento e os locais padro do repositrio de relatrios.
Pergunta: No seu ambiente de trabalho, como voc pretende integrar as notificaes por email sobre violaes de cota? Pergunta: No seu ambiente de trabalho, que limite de notificao envia para os usurios avisos com antecedncia suficiente quando eles esto perto de atingir um limite de cota?
10-20
Cenrio
Como Especialista em Tecnologia de Servios de Infra-estrutura do Windows, voc tem a tarefa de configurar o armazenamento em um servidor de acordo com os padres da empresa. Voc deve criar o armazenamento com o mnimo de gerenciamento de longo prazo, utilizando triagem de arquivo e gerenciamento de cota.
10-21
2. 3. 4. 5.
2.
10-22
Lio 3
Use o gerenciamento de cota para criar cotas que limitem o espao permitido para um volume ou uma pasta e gerar notificaes quando os limites de cota estiverem perto de ser atingidos ou excedidos. O FSRM oferece modelos de cota que voc pode aplicar facilmente a novos volumes ou pastas e usar em uma organizao inteira. Tambm possvel fazer a aplicao automtica de modelos de cota em todas as pastas de um volume ou de uma pasta e em todas as novas subpastas que forem criadas posteriormente.
10-23
Pontos principais
Uma cota fixa impede os usurios de salvar arquivos depois que o limite de espao atingido e gera notificaes quando o volume de dados atinge o limite configurado. Uma cota flexvel no aplica o limite de cota, mas gera notificaes configuradas. O limite de cota aplica-se subrvore de pastas inteira.
Pergunta: No seu ambiente de trabalho, que mtodo de notificao voc pretende usar?
10-24
Pontos principais
Os sistemas operacionais Windows 2000 Server, Windows Server 2003 e Windows Server 2008 da Microsoft suportam cotas de disco NTFS, que voc pode usar para rastrear e controlar o uso de discos por usurio/por volume. A tabela acima descreve as vantagens de se usar as ferramentas de gerenciamento de cota do FSRM em comparao com as cotas de disco NTFS.
Pergunta: Existe alguma ocasio em que voc usaria cotas de disco NTFS em vez de cotas do FSRM?
10-25
Pontos principais
Os modelos de cota simplificam as tarefas associadas ao gerenciamento de cota. Se voc basear suas cotas em um modelo de cotas e, posteriormente, decidir alterar a configurao de cotas, poder simplesmente atualizar o modelo e optar por atualizar todas as cotas baseadas nele. Por exemplo, voc pode conceder espao adicional para cada usurio no servidor de armazenamento. Quando voc atualiza o modelo de cota, todas as cotas baseadas nele so atualizadas automaticamente. Pergunta: Considerando as caractersticas do seu ambiente de trabalho, que modelos de cota voc pretende criar?
10-26
Pontos principais
Voc pode usar o n Gerenciamento de Cota do FSRM para criar e modificar cotas. Ao criar uma cota para um volume ou uma pasta, voc limita o espao em disco que alocado para o volume ou a pasta. O n Gerenciamento de Cota do FSRM inclui todas as opes necessrias para se trabalhar com cotas. Pergunta: Em que cenrio voc usaria a ferramenta de linha de comando Dirquota?
10-27
Pontos principais
Aps configurar e aplicar cotas aos compartilhamentos ou volumes de arquivos, voc deve aprender a monitorar o uso dos discos para atender com eficincia aos requisitos de armazenamento contnuo da sua organizao.
Observao: as cotas causam uma pequena reduo do desempenho de entrada/sada (I/O) por segundo do subsistema de armazenamento (10% ou menos). Os servidores que aplicam cotas a mais de 10.000 pastas podem experimentar uma sobrecarga de desempenho maior.
Pergunta: No seu ambiente de trabalho, que mtodo de monitoramento do uso de cotas ser mais til?
10-28
Pontos principais
Iniciar a mquina virtual NYC-SVR1. Criar um modelo de cota para restringir arquivos grandes em E:. Usar o modelo de cota para criar uma nova cota. Configurar a cota para registrar um evento no log quando excedida.
Pergunta: Que notificaes de cota voc pretende implementar no seu ambiente de trabalho? Pergunta: Que modelos de cota voc pretende implementar no seu ambiente?
10-29
10-30
2.
Resultados: Aps este exerccio, voc dever ter visto o efeito de um modelo de cota que impe um limite de 100 MB para o armazenamento de usurio na pasta E:\Mod10\Labfiles\Users.
10-31
Lio 4
Sua diretiva de segurana pode proibir que determinados tipos de arquivos sejam colocados nos servidores da empresa, e talvez voc queira ser notificado quando um tipo de arquivo especfico for salvo em um servidor de arquivos. Esta lio explica os conceitos relacionados a triagem de arquivo que voc pode usar para gerenciar os tipos de arquivos que os usurios podem salvar nos servidores de arquivos da empresa.
10-32
Pontos principais
Muitas organizaes enfrentam problemas com usurios de rede que armazenam dados no autorizados ou pessoais nos servidores de arquivos corporativos. Isso no somente gera o uso indevido de um importante espao de armazenamento, como tambm aumenta a durao do processo de backup e pode violar diretivas de privacidade ou de segurana da empresa. Tambm possvel implementar um processo de triagem para que voc seja notificado por email quando um tipo de arquivo no autorizado for armazenado em uma pasta compartilhada. A mensagem de email pode incluir informaes como o nome do usurio que armazenou o arquivo e a localizao exata do arquivo, para que voc possa tomar as medidas preventivas apropriadas. Pergunta: No seu ambiente de trabalho, existem diretivas de uso de servidor que poderiam ser aplicadas pela triagem de arquivo?
10-33
Pontos principais
Antes de comear a trabalhar com triagens de arquivo, voc deve compreender o papel que os grupos de arquivos desempenham no processo de triagem. Um grupo de arquivos usado para definir um namespace para uma triagem de arquivo, uma exceo de triagem de arquivo ou um relatrio de armazenamento. Um grupo de arquivos consiste em um conjunto de padres de nome de arquivo que so divididos em dois grupos: Arquivos a serem includos e Arquivos a serem excludos: Arquivos a serem includos. So os arquivos que devem ser includos no grupo. Arquivos a serem excludos. So os arquivos que no devem ser includos no grupo.
Pergunta: No seu ambiente de trabalho, liste dois ou trs grupos de arquivos que voc pretende criar.
10-34
Pontos principais
Haver situaes em que voc ter de permitir excees triagem de arquivo. Por exemplo, talvez voc queira impedir arquivos de vdeo de um servidor de arquivos, mas precisa permitir que o grupo de treinamento salve os arquivos de vdeo para ministrar o treinamento por computador. Para permitir arquivos que esto sendo bloqueados por outras triagens de arquivo, crie uma exceo de triagem de arquivo. Uma exceo de triagem de arquivo uma configurao que substitui qualquer triagem de arquivo que, de outra forma, seria aplicada a uma pasta e a todas as suas subpastas, em um caminho de exceo designado. Em outras palavras, a exceo de triagem de arquivo cria uma exceo para qualquer regra derivada de uma pasta pai. Pergunta: Descreva duas formas pelas quais voc pretende usar excees de triagem de arquivo no seu ambiente de trabalho.
10-35
Pontos principais
Para simplificar o gerenciamento de triagens de arquivo, baseie as triagens em modelos de triagem de arquivo. Um modelo de triagem de arquivo define o seguinte: Os grupos de arquivos a serem bloqueados. Os tipos de triagens a serem realizadas. As notificaes a serem geradas.
possvel configurar dois tipos de triagem em um modelo de triagem de arquivo: a triagem Ativa no permite que os usurios salvem nenhum arquivo relacionado aos grupos de arquivos selecionados configurados com o modelo. A triagem Passiva permite que os usurios salvem arquivos, mas envia notificaes para fins de monitoramento.
10-36
Criando triagens de arquivo exclusivamente com base em modelos, voc pode gerenciar as triagens centralmente atualizando os modelos em vez de as triagens individuais. Pergunta: Para quais tipos de arquivo voc pretende criar modelos de triagem de arquivo no seu ambiente de trabalho?
10-37
Pontos principais
Iniciar a mquina virtual NYC-SVR1. Criar uma nova triagem de arquivo na unidade E:\ com base no modelo padro Bloquear Arquivos de udio e Vdeo. Criar um novo grupo de arquivos personalizado e uma exceo de triagem de arquivo para permitir arquivos de udio (WMA) do Microsoft Windows Media Player.
Pergunta: Como voc pretende implementar triagens de arquivo no seu ambiente de trabalho? Pergunta: Como voc pretende implementar excees de triagem de arquivo no seu ambiente de trabalho?
10-38
10-39
10-40
Lio 5
Para um melhor planejamento da capacidade, voc deve poder configurar e gerar relatrios detalhados com base na utilizao de armazenamento atual. Esta lio descrever como configurar, agendar e gerar relatrios de armazenamento usando o FSRM.
10-41
Pontos principais
Os relatrios de armazenamento contm informaes sobre uso de arquivos em um servidor de arquivos. O recurso Gerenciamento de Relatrios de Armazenamento do FSRM permite gerar relatrios de armazenamento sob demanda e agendar relatrios de armazenamento peridicos, que ajudam a identificar tendncias de uso dos discos. Voc tambm pode criar relatrios para monitorar tentativas de salvar arquivos no autorizados feitas por todos os usurios ou por um grupo de usurios selecionado.
10-42
Arquivos Duplicados
Arquivos Menos Acessados Recentemente Arquivos Mais Acessados Recentemente Uso de Cota
Auditoria de Lista violaes triagem de arquivo ocorridas no servidor Triagem de Arquivo durante um certo nmero de dias. Use esse relatrio para identificar pessoas ou aplicativos que violaram a diretiva de triagem de arquivo.
Pergunta: No seu ambiente de trabalho, como voc obtm hoje informaes sobre o uso de arquivos nos servidores?
10-43
Pontos principais
O painel de resultados do n Tarefas de Relatrio Agendadas inclui a tarefa de relatrio. As tarefas so identificadas pelos relatrios a serem gerados, pelo namespace em que o relatrio ser criado e pela agenda de relatrios. Tambm possvel saber o status atual do relatrio (se ele est sendo executado), o horrio e o resultado da ltima execuo e o horrio da prxima execuo agendada. Pergunta: No seu ambiente de trabalho, com que freqncia voc agendar relatrios usando tarefas de relatrio?
10-44
Pontos principais
Durante operaes dirias, talvez voc queira gerar relatrios sob demanda para analisar aspectos de uso atual dos discos do servidor. Utilize a ao Gerar relatrios agora para gerar um ou mais relatrios. Os dados atuais so coletados antes da gerao dos relatrios. Pergunta: Em que circunstncias voc pretende usar relatrios sob demanda?
10-45
10-46
Resultados: Aps este exerccio, voc dever ter gerado com xito um relatrio de armazenamento sob demanda.
10-47
Lio 6
Com o rpido crescimento da Internet e a confiana cada vez maior no comrcio eletrnico, a adoo de SANs tem se tornado mais comum devido proliferao de dados. Esta lio mostra uma viso geral dos conceitos e terminologia relacionados a redes de rea de armazenamento.
10-48
Pergunta: De que maneira voc usa o armazenamento em SAN no seu ambiente de trabalho?
10-49
Pontos principais
Tanto o armazenamento diretamente conectado quanto as SANs usam o protocolo SCSI para movimentar dados em blocos em vez de arquivos. Do ponto de vista da maioria dos sistemas operacionais, os armazenamentos DAS e de rede SAN so indistingveis, apesar das diferenas nas topologias de rede.
Observao: os dispositivos NAS so diferentes das SANs no sentido de que eles fornecem arquivos atravs de compartilhamentos de rede, e no simulando discos locais conectados a servidores.
10-50
Pontos principais
O padro Fibre Channel (FC) baseia-se em tecnologias SCSI serial e supera as limitaes de SCSI paralelo, possibilitando uma conectividade de dispositivos basicamente ilimitada em longas distncias. As interconexes FC oferecem I/O em blocos de alto desempenho para os dispositivos de armazenamento de uma SAN. Diferentemente dos dispositivos SCSI paralelo que devem arbitrar (ou disputar) o barramento, os dispositivos de canal FC, que usam tecnologia de switch, podem transmitir informaes entre vrios servidores e dispositivos de armazenamento ao mesmo tempo.
10-51
Pontos principais
Em uma SAN Fibre Channel, cada servidor contm um HBA que se conecta por meio de um switch Fibre Channel a um controlador de disco na matriz de armazenamento. Embora residam no servidor, os HBAs tambm fazem parte da rede de armazenamento. Sua funo primeira fornecer a interface entre o servidor e a rede Fibre Channel conectada e a segunda propiciar o processamento de E/S, diminuindo a maior parte da carga de processamento do servidor necessria para a transferncia de dados. O desempenho resultante muito alto e escalonvel. Pergunta: A configurao de SAN ilustrada acima oferece tolerncia a falhas?
10-52
Pontos principais
A sua organizao implementou um cenrio de SAN bsico, mas voc est preocupado com a disponibilidade dos componentes da SAN. Com base no diagrama apresentado, descreva o que necessrio para garantir a disponibilidade e a redundncia do ambiente SAN. Pergunta: Quais componentes devem ser redundantes para se obter alta disponibilidade? Pergunta: Como voc configuraria as conexes entre um HBA e um switch FC para assegurar a disponibilidade? Pergunta: Como assegurar que o caminho entre o switch e a matriz de discos esteja altamente disponvel?
10-53
Pontos principais
Considere todos os pontos de falha quando for projetar a redundncia na SAN. HBAs, switches FC e controladores de matriz de disco redundantes aumentaro o nvel de redundncia na SAN.
10-54
O que iSCSI?
Pontos principais
Internet SCSI (iSCSI) um padro do setor que possibilita a transmisso de comandos em bloco SCSI atravs de uma rede IP existente com o protocolo TCP/IP. O iSCSI um avano tecnolgico que oferece s organizaes a possibilidade de trfego de mensagens e armazenamento baseado em blocos via redes IP existentes, sem a necessidade de instalar uma rede Fibre Channel parte. Pergunta: O iSCSI est implementado no seu ambiente de trabalho? Em caso afirmativo, como foi feita a implementao?
10-55
Pontos principais
O servio Microsoft iSCSI Software Initiator instalado em um servidor host e permite que o servidor se conecte a volumes iSCSI de destino em uma matriz de armazenamento. O servio Software Initiator possibilita o gerenciamento de armazenamento otimizado para todos os aspectos do servio iSCSI. Pergunta: Descreva pelo menos um cenrio em que voc implementaria o Microsoft iSCSI Software Initiator.
10-56
Pontos principais
Uma soluo para SAN baseada em iSCSI tem dois componentes: iSCSI Software Initiator iSCSI de destino
Pergunta: Pergunta: No cenrio ilustrado acima, qualquer um dos computadores cliente pode acessar o armazenamento iSCSI?
10-57
Pontos principais
O Gerenciador de Armazenamento para SANs um recurso de servidor includo no Windows Server 2008. Ele pode ser usado para auxiliar em tarefas de provisionamento de recursos de armazenamento e de configurao de discos com a implementao de uma soluo para SAN. Tradicionalmente o provisionamento de SAN tem sido considerado a mais complexa das tarefas de armazenamento e costuma incluir comandos e ferramentas proprietrios. O Gerenciador de Armazenamento para SANs ajuda a simplificar as tarefas de provisionamento e foi projetado para ter a aparncia e o comportamento semelhantes aos dos aplicativos padro baseados no Windows com os quais os administradores j esto familiarizados.
10-58
O Gerenciador de Armazenamento para SANs oferece os seguintes benefcios e funcionalidade: Aproveita o Servio de Disco Virtual para gerenciar o armazenamento, com a incluso de provedores de hardware VDS especificados por fornecedores. Detecta matrizes de armazenamento em uma SAN Fibre Channel ou iSCSI, inclusive as propriedades das matrizes, como informaes de firmware. Permite criar, excluir e expandir nmeros de unidade lgica (LUNs) de matrizes de armazenamento. Permite especificar opes de LUN, como os nveis de matriz redundante de discos independentes (RAID). Possibilita a alocao de LUNs para servidores especficos da SAN. Monitora o status e a integridade de LUNs.
Pergunta: Que estratgia a sua organizao est utilizando para gerenciar o armazenamento de redes SAN conectado a Windows Servers?
10-59
Pontos principais
Quando se deparar com problemas de armazenamento de redes SAN, comece a solucion-los coletando informaes sobre a natureza do problema, o hardware envolvido e a configurao de software. Depois de coletar informaes suficientes, voc poder analis-las, recomendar alteraes, implementar uma ou mais mudanas, monitorar o resultado e documentar o processo para consultas futuras. Pergunta: Voc j enfrentou algum cenrio de soluo de problemas de SAN no seu ambiente de trabalho? Em caso afirmativo, qual foi a abordagem adotada?
10-60
Perguntas de reviso
1. 2. 3. Qual a diferena entre cotas fixas e flexveis? Quando preciso bloquear um conjunto comum de tipos de arquivo, o que voc deve criar para bloque-los da maneira mais eficiente possvel? Se voc quiser aplicar uma cota a todas as subpastas de uma pasta, inclusive s pastas que sero criadas posteriormente, que opo dever configurar na diretiva de cotas?
10-61
Ferramentas
A tabela a seguir descreve as ferramentas que voc pode usar para configurar o FSRM:
Ferramenta Dirquota.exe FileScrn.exe Descrio Use para criar e gerenciar cotas e modelos de cota. Use para criar e gerenciar triagens de arquivo, excees de triagem de arquivo e grupos de arquivos. Use para configurar parmetros de relatrio e gerar relatrios de armazenamento sob demanda. Tambm possvel criar tarefas de relatrio e usar Schtasks.exe para agend-las. Use para configurar Cotas do NTFS e criar arquivos para testar o comportamento das cotas.
StorRept.exe
Fsutil
11-1
Mdulo 11
Configurao e gerenciamento de sistema de arquivos distribudo
Sumrio:
Lio 1: Viso geral do Sistema de Arquivos Distribudo (DFS) Lio 2: Configurao de namespaces DFS Laboratrio A: Instalao do servio de funo do Sistema de Arquivos Distribudo e criao de um namespace DFS Lio 3: Configurao da Replicao DFS Laboratrio B: Configurao de destinos de pasta e exibio de relatrios de diagnstico 11-3 11-13 11-22 11-27 11-43
11-2
Atualmente, vrias empresas enfrentam o desafio de manter um grande nmero de servidores e usurios que, em muitos casos, esto distribudos geograficamente em diferentes locais. Nessas situaes, os administradores precisam encontrar formas de os usurios localizarem os arquivos mais recentes o mais rpido possvel. O gerenciamento de vrios locais de dados, muitas vezes, apresenta mais desafios, como limitar o trfego de rede em conexes lentas da rede de longa distncia (WAN), assegurando a disponibilidade de arquivos durante as falhas da WAN ou do servidor e fazendo backup de servidores de arquivos localizados em escritrios remotos menores. Este mdulo apresenta a soluo DFS (Sistema de Arquivos Distribudo), que pode ser usada para vencer esses desafios, oferecendo acesso tolerante a falhas e replicao favorvel WAN de arquivos localizados em toda a empresa.
11-3
Lio 1
Os administradores que gerenciam servidores de arquivos de toda a empresa requerem acesso eficiente aos recursos e a disponibilidade de arquivos. O DFS no sistema operacional Microsoft Windows Server 2008 oferece duas tecnologias para vencer esses desafios: Replicao DFS e Namespaces DFS. Esta lio apresenta as duas tecnologias, os cenrios e os requisitos para a implantao de uma soluo DFS em seu ambiente de rede.
11-4
Pontos principais
Os Namespaces DFS permitem que os administradores agrupem as pastas compartilhadas, localizadas em servidores diferentes, em um ou mais namespaces logicamente estruturados. A Replicao DFS (DFS-R) um mecanismo de replicao de vrios mestres usado para sincronizar arquivos entre servidores, para conexes de rede local e WAN. A RDC (Compactao Diferencial Remota) identifica e sincroniza as alteraes de dados em uma origem remota e usa as tcnicas de compactao para reduzir a quantidade de dados enviados pela rede.
Pergunta: Voc tem experincia em trabalhar com o DFS ou com o antecessor do DFS, o FRS (Servio de Replicao de Arquivos)?
11-5
Pontos principais
Embora os Namespaces DFS e a Replicao DFS sejam tecnologias separadas, elas podem ser usadas juntas para oferecer alta disponibilidade e redundncia de dados. O seguinte processo descreve como os Namespaces DFS e a Replicao DFS funcionam juntos: 1. 2. O usurio acessa a pasta no namespace configurado. O computador cliente acessa o primeiro servidor da referncia. Essa referncia geralmente um servidor no prprio site do cliente, a menos que no haja nenhum servidor localizado no site do cliente. Nesse caso, o administrador pode configurar a prioridade de destino.
Pergunta: Na sua organizao, atualmente voc sincroniza suas pastas compartilhadas? Em caso afirmativo, de que modo voc as mantm sincronizadas?
11-6
Cenrios de DFS
Pontos principais
As grandes organizaes que tm vrias filiais geralmente precisam compartilhar arquivos ou necessitam de colaborao entre esses locais. A DFS-R pode ajudar a replicar arquivos entre filiais ou de uma filial para um site do hub. As tecnologias DFS podem coletar arquivos de um escritrio remoto e repliclos em um site do hub, permitindo que eles sejam usados para diversos fins especficos. possvel usar os Namespaces DFS e a DFS-R para publicar e replicar documentos, software e outros dados da linha de negcios em toda a organizao.
Pergunta: De que maneiras voc pode usar as tecnologias DFS na sua organizao?
11-7
Pontos principais
possvel criar um namespace baseado em domnio ou autnomo. Cada tipo tem caractersticas diferentes. Um namespace baseado em domnio pode ser usado quando: A alta disponibilidade de namespaces necessria. necessrio ocultar dos usurios o nome dos servidores de namespaces.
11-8
Um namespace autnomo usado quando: A organizao no implementou os servios de domnio do Active Directory. A organizao no atende aos requisitos de um modo do Windows Server 2008, namespace baseado em domnio, e h demandas superiores a 5.000 pastas DFS. Os namespaces DFS autnomos suportam at 50.000 pastas com destinos.
Pergunta: Voc implementaria em sua organizao um namespace baseado em domnio ou um namespace autnomo?
11-9
Pontos principais
possvel criar uma ou mais pastas em um namespace DFS. Essas pastas contm um ou mais destinos de pasta. Se um dos destinos de pasta no estiver disponvel, o cliente tentar acessar o destino seguinte na referncia. Isso aumenta a disponibilidade de dados da pasta. Pergunta: Descreva um cenrio de como voc usaria os destinos de pasta em sua organizao.
11-10
Pontos principais
O servidor de namespaces um controlador de domnio ou um servidor membro que hospeda um Namespace DFS. O sistema operacional executado no servidor determina o nmero de namespaces que um servidor pode hospedar. A seguinte tabela lista as diretrizes para os requisitos de servidor de namespaces:
Servidor que hospeda Namespaces autnomos Deve conter um volume de sistema de arquivos NTFS para hospedar o namespace Pode ser um servidor membro ou um controlador de domnio Servidor que hospeda Namespaces Baseados em Domnio Deve conter um volume NTFS para hospedar o namespace
Deve ser um servidor membro ou controlador de domnio no domnio em que o namespace est configurado O namespace no pode ser um recurso com cluster no cluster de servidores
11-11
Pergunta: Como possvel assegurar a disponibilidade de razes baseadas em domnio com namespaces DFS baseados em domnio?
11-12
Pontos principais
Instalar os servios de funo DFS em NYC-DC1 e NYC-DC2. Adicionar a funo Servios de Arquivo no Gerenciador de Servidores. Adicionar o Servio de Funo Sistema de Arquivos Distribudo.
Pergunta: necessrio implantar a tecnologia DFS em seu ambiente. O DFS considerado um servio de funo ou um recurso? Pergunta: possvel instalar a Replicao DFS sem instalar os Namespaces DFS?
11-13
Lio 2
A configurao de Namespaces DFS consiste em vrias tarefas, como a criao da estrutura de namespaces, a criao de pastas no namespace e a adio de destinos de pasta. Voc pode tambm optar por executar tarefas adicionais de gerenciamento, como a configurao da ordem de referncia e a replicao DFS. Esta lio fornece informaes sobre como concluir essas tarefas de configurao e gerenciamento para implantar uma soluo DFS eficaz.
11-14
Pontos principais
A maioria das implementaes de DFS consiste principalmente no contedo publicado no namespace DFS. Use o Assistente de Novo Namespace para criar o namespace a partir do console de Gerenciamento DFS. Depois de criar o namespace, voc pode adicionar uma pasta a esse namespace. possvel adicionar vrios destinos de pasta para aumentar a disponibilidade da pasta no namespace. A referncia uma lista ordenada de destinos que um computador cliente recebe do servidor de namespaces quando o usurio acessa a raiz ou a pasta de um namespace.
Pergunta: Descreva um cenrio em que haver problemas se um cliente continuar acessando o servidor com failover.
11-15
Pontos principais
Para executar as tarefas de gerenciamento de namespace, necessrio que o usurio seja membro de um grupo administrativo ou que lhe seja delegada a permisso especfica para executar a tarefa. Para delegar as permisses necessrias, clique com o boto direito do mouse no namespace e em Delegar Permisses de Gerenciamento.
Observao: tambm necessrio adicionar o usurio ao grupo local Administradores no servidor do namespace.
11-16
Pontos principais
Criar um namespace baseado em domnio. Criar o namespace ProjectDocs. Criar o destino de pasta AccountingSpreadhseets.
Pergunta: Voc deseja habilitar a escalabilidade avanada e a enumerao baseada em acesso. Que opo fornece esses recursos?
11-17
Pontos principais
Para se conectarem a um namespace DFS, os clientes precisam ser capazes de se conectar a um servidor de namespaces. Isso significa que importante assegurar que os servidores de namespaces estejam sempre disponveis. O processo para aumentar a disponibilidade de namespaces varia de acordo com o tipo de namespace: baseado em domnio e autnomo. Os namespaces baseados em domnio podem ser hospedados em vrios servidores. Os namespaces autnomos esto limitados a um nico servidor. Namespaces baseados em domnio: possvel aumentar sua disponibilidade especificando servidores de namespaces adicionais para hosped-los. Namespaces autnomos: possvel aumentar sua disponibilidade criando-os como recursos compartilhados em um cluster de servidores.
11-18
Destinos de pasta: possvel aumentar a disponibilidade de cada pasta do namespace adicionando vrios destinos de pasta.
Pergunta: Descreva como esses mtodos poderiam ser usados para aumentar a disponibilidade na sua organizao.
11-19
Pontos principais
Ao renomear pastas, possvel reorganizar a hierarquia de pastas para atender melhor os usurios da organizao. Ao desabilitar a referncia de um destino de pasta, voc impede que computadores cliente acessem esse destino de pasta no namespace. Isso til na transferncia de dados entre servidores. Os clientes no contatam um servidor de namespaces para obter uma referncia toda vez que acessam as pastas dos namespaces. Por padro, as referncias da raiz de namespace so armazenadas em cache por 300 segundos (5 minutos), e as referncias de pasta so armazenadas por 1.800 segundos (30 minutos).
11-20
Para manter a consistncia do namespace baseado em domnio nos servidores de namespaces, estes precisam consultar o Active Directory periodicamente para obter os dados mais atuais do namespace. Pergunta: Descreva um cenrio em que voc desabilitaria a referncia de um destino de pasta.
11-21
Pontos principais
Configurar um segundo destino de pasta. Examinar as configuraes de otimizao do namespace.
Pergunta: Que tipos de caminho voc pode usar na criao de um novo destino de pasta? Pergunta: Que tipos de permisso so necessrios para adicionar destinos de pasta?
11-22
Laboratrio A: Instalao do servio de funo Sistema de Arquivos Distribudo e criao de um namespace DFS
Objetivos
Instalar o Servio de Funo Sistema de Arquivos Distribudo. Criar um Namespace DFS.
Informaes de Logon
Mquinas virtuais: 6419A-NYC-DC1 e 6419A-NYC-SVR1 Nome de Usurio: WoodgroveBank\Administrator Senha: Pa$$w0rd
11-23
2. 3. 4. 5.
3.
11-24
3.
11-25
No painel esquerdo, clique no sinal de mais ao lado de Namespaces e em \\WoodgroveBank.com\CorpDocs. Verifique se o namespace CorpDocs foi criado em NYC-DC1.
11-26
2.
Observao: verifique no painel Detalhes se agora o namespace CorpDocs est hospedado em NYC-DC1 e em NYC-SVR1.
11-27
Lio 3
Para configurar corretamente a DFS-R, importante conhecer a terminologia e os requisitos associados ao recurso. Esta lio fornece informaes sobre as consideraes especficas dos elementos, requisitos e escalabilidade, j que esto relacionados DFS-R, e fornece tambm um processo de configurao de uma topologia de replicao eficiente.
11-28
Pontos principais
A DFS-R usa um novo algoritmo de compactao conhecido como compactao diferencial remota (RDC). A DFS-R detecta alteraes no volume, monitorando o dirio de nmero de seqncia de atualizao (USN), e replica as alteraes somente depois que o arquivo fechado. Quando um arquivo alterado, somente os blocos alterados so replicados, no o arquivo inteiro.
11-29
A DFS-R auto-recupervel, capaz de recuperar-se automaticamente dos ajustes do dirio de USN, da perda do dirio USN ou da perda do banco de dados de Replicao DFS. A DFS-R usa um provedor de Instrumentao de Gerenciamento do Windows (WMI) que fornece interfaces para obter informaes sobre configurao e monitoramento do servio Replicao DFS.
Pergunta: Cite uma vantagem e uma desvantagem de ter arquivos excludos armazenados nas pastas Conflito e Excludos.
11-30
Pontos principais
O grupo de replicao consiste em um conjunto de servidores membros que participam da replicao de uma ou mais pastas replicadas. Existem dois tipos principais de grupo de replicao: Grupo de replicao multiuso. Grupo de replicao para coleta de dados.
A pasta replicada uma pasta sincronizada entre cada servidor membro. Pergunta: Como a criao de vrias pastas replicadas em um nico grupo de replicao pode simplificar a implantao?
11-31
Requisitos de DFS-R
Pontos principais
Se voc pretende usar a Replicao DFS, o esquema do Active Directory deve ser atualizado, no mnimo, para a verso equivalente ao Windows Server 2003 R2, de forma que ele inclua as classes e os atributos do Active Directory usados pela Replicao DFS. No possvel habilitar a replicao entre servidores de florestas diferentes. Pergunta: A sua organizao atende aos requisitos da DFS-R?
11-32
Pontos principais
Use as consideraes sobre escalabilidade acima na implantao da DFS-R. Lembre-se, so apenas diretrizes e voc pode implantar com xito configuraes que vo alm dessas diretrizes. No entanto, importante testar e verificar se h espao adequado nas pastas de preparao, e se a latncia aceitvel. Pergunta: A DFS-R no tem restries quanto ao tamanho dos arquivos replicados. No entanto, h uma considerao para assegurar que os arquivos sejam replicados. Que considerao essa?
11-33
Pontos principais
Um grupo de replicao multiuso usado para replicar dados entre dois ou mais servidores para o compartilhamento de contedo geral ou para a publicao de dados. Escolha um dos trs seguintes tipos de topologia usados nas conexes entre os membros do grupo de replicao: Hub e spoke: requer trs ou mais membros. Nessa topologia, os membros do spoke so conectados a um ou mais membros do hub. Em seguida, os dados so replicados do membro do hub para os membros do spoke. Malha completa: nessa topologia, cada membro replicado com todos os outros membros do grupo de replicao. Ela funciona bem com dez ou menos membros. Sem topologia: use essa opo para criar uma topologia personalizada aps a concluso do assistente.
11-34
Depois de criar um grupo de replicao inicial, voc pode modificar as pastas replicadas, a conexo ou a topologia. Alm disso, pode delegar permisses a outros administradores para permitir o gerenciamento do grupo de replicao. Pergunta: Que topologia voc usaria em sua organizao? Pergunta: Quando o melhor momento de agendar a replicao?
11-35
Ao configurar a replicao pela primeira vez, voc precisa escolher um membro primrio que tenha os arquivos mais atualizados para serem replicados. Considerase esse servidor autorizado para solucionar qualquer conflito ocorrido quando os membros de recebimento tiverem arquivos mais antigos ou mais novos em comparao aos arquivos no membro primrio. Os seguintes conceitos o ajudaro a compreender melhor o processo de replicao inicial: A replicao inicial no iniciada imediatamente. A replicao inicial sempre ocorre entre o membro primrio e seus parceiros de replicao de recebimento. Ao receberem arquivos do membro primrio durante a replicao inicial, os membros de recebimento contendo arquivos que no esto presentes no membro primrio movero esses arquivos para a respectiva pasta DfsrPrivate\PreExisting.
11-36
Para determinar se os arquivos so idnticos no membro primrio e no membro de recebimento, a replicao DFS compara os arquivos usando um algoritmo de hash. Aps a inicializao da pasta replicada, a indicao de membro primrio removida.
11-37
Pontos principais
Para ajudar a manter e a solucionar problemas de DFS-R, gere relatrios de diagnstico e realize testes de propagao. Voc pode usar o Assistente de Relatrio de Diagnstico para: Criar um relatrio de integridade. Iniciar um teste de propagao. Criar um relatrio de propagao.
Pergunta: Com que freqncia voc executaria o assistente de relatrio de diagnstico para criar um relatrio de integridade em sua organizao?
11-38
Pontos principais
Criar e configurar o grupo de replicao AccountingDataRepl. Criar um relatrio de diagnstico.
Pergunta: Em que local o caminho da pasta de preparao pode ser modificado? Pergunta: Que guia mostra os membros de envio e de recebimento do grupo de replicao?
11-39
Pontos principais
Causas comuns do erro Aguardando o servio Replicao DFS recuperar as configuraes de replicao do Active Directory: Problema: latncia de replicao do Active Directory Solues: Aguardar. Forar a replicao usando repadmin (com /replicate /force) ou replmon (com sincronizao de partio de diretrio). Alterar o agendamento e a topologia de replicao.
Problema: replicao do Active Directory bloqueada em virtude de configuraes incorretas da rede, como resoluo de DNS ou bloqueios de firewall. Soluo: corrigir a configurao da rede.
11-40
Problema: replicao do Active Directory bloqueada em virtude de configuraes incorretas de topologia. Soluo: verificar a topologia do site no Active Directory e os logs de eventos quanto a problemas de topologia. Problema: replicao do AD bloqueada em virtude de objetos remanescentes. Os objetos remanescentes so geralmente objetos existentes na partio GC somente para leitura de um controlador de domnio, mas que no existem mais na partio do domnio de origem de leitura e gravao. Isso pode acontecer quando um administrador retornar um controlador de domnio (DC) online depois de ele ter sido desligado por meses; os objetos de origem que foram excludos e marcados para excluso no ficam mais disponveis. Como o controlador de domnio antigo no pode mas ser instrudo sobre as excluses, continuam existindo verses "reanimadas". Soluo: para solucionar esse problema, use a ferramenta Repadmin para remover os objetos remanescentes de uma partio de diretrio - repadmin /removelingeringobjects. Problema: replicao do Active Directory bloqueada em virtude do tempo de vida Identificao de Event 2042 (Muito tempo decorrido desde que essa mquina foi replicada). Soluo: na maioria das circunstncias, a melhor resposta rebaixar foradamente o controlador de domnio, caso voc tenha outros controladores de domnio que possam controlar a carga provisoriamente. Pergunta: Cite trs locais nos quais possvel procurar informaes sobre soluo de problemas da DFS-R.
11-41
Pontos principais
Entre vrios outros problemas e solues, temos: A DFS-R est lenta Verifique se as atualizaes do sistema operacional e os hotfixes da DFS-R esto instalados. Se o evento indicando que a cota de preparao excedeu o tamanho configurado (identificao de evento 4208 no log de evento de DFS-R) for registrado vrias vezes em uma hora, aumente a cota de preparao em 20 por cento. Se voc observar um volume considervel de entradas de log de evento de DFS-R 4302 e 4304, poder examinar como os arquivos esto sendo usados para compartilhar violaes.
11-42
Os dados no esto sendo replicados A DFS-R no funciona com firewalls na replicao entre filiais sem uma conexo VPN (rede virtual privada), porque ela usa o mapeador do ponto de extremidade dinmico da chamada de procedimento remoto (RPC). Alm disso, a configurao de DFS-R usando o console de Gerenciamento DFS no funciona quando o firewall est habilitado. Para que a DFS-R funcione com um firewall, defina uma porta esttica usando a ferramenta de linha de comando Dfsrdiag.exe. Pode ter a identificao de erro: 6802 em Visualizar Eventos se a topologia no estiver conectada.
Os arquivos .bak no esto sendo replicados Por padro, a DFS-R tem um filtro de arquivos na pasta replicada que exclui os arquivos com nomes que comeam com ~ ou os arquivos com a extenso *.tmp ou *.bak da replicao. Isso pode ser alterado com o Console de Gerenciamento DFS.
Pergunta: Em sua organizao, voc incluiria arquivos .bak na replicao DFS? Pergunta: Qual seria a desvantagem de replicar arquivos .bak?
11-43
11-44
4. 5.
Criar destinos de pasta adicionais para a pasta HRTemplates e configurar a replicao de pasta. Criar destinos de pasta adicionais para a pasta PolicyFiles e configurar a replicao de pasta.
Na rvore de console, clique em \\WoodgroveBank.com\CorpDocs. No painel de detalhes, clique na guia Namespace. Observe que HRTemplates est listado como uma entrada no namespace. Na rvore de console, expanda \\WoodgroveBank.com\CorpDocs e clique em HRTemplates. Observe que um destino de pasta est configurado na guia Destinos de Pasta do painel de detalhes. Clique na guia Replicao e observe que a replicao no est configurada.
7.
11-45
3.
Adicione um novo destino de pasta chamado PolicyFiles usando as seguintes opes: Clique no boto Nova Pasta Compartilhada. Nome do compartilhamento: PolicyFiles Caminho local da pasta compartilhada: C:\Policyfiles Permisses da pasta compartilhada: Administradores tm acesso total; outros usurios tm permisses somente leitura
4.
Na rvore de console, expanda \\WoodgroveBank.com\CorpDocs e clique em PolicyFiles. Observe que um destino de pasta est configurado na guia Destinos de Pasta do painel de detalhes.
3. 4.
Tarefa 4: Criar destinos de pasta adicionais para a pasta HRTemplates e configurar a replicao de pasta
1. No console de Gerenciamento DFS do NYC-DC1, adicione um destino de pasta com as seguintes opes: Caminho para o destino de pasta: \\NYC-SVR1\HRTemplates Criar compartilhamento: Sim Caminho local da pasta compartilhada: C:\HRTemplates Permisses da pasta compartilhada: Administradores tm acesso total; outros usurios tm permisses somente leitura Grupo de replicao: Sim
11-46
2. 3.
Nome do grupo de replicao: woodgrovebank.com\corpdocs\hrtemplates Nome da pasta replicada: HRTemplates Membro primrio: NYC-DC1 Topologia: Malha completa Agendamento da replicao: padro
Na rvore de console, expanda o n Replicao e clique em woodgrovebank.com\corpdocs\hrtemplates. Na guia Associaes do painel de detalhes, verifique se NYC-DC1 e NYCSVR1 esto listadas e habilitadas.
Tarefa 5: Criar destinos de pasta adicionais para a pasta PolicyFiles e configurar a replicao de pasta
1. No console de Gerenciamento DFS do NYC-DC1, adicione um destino de pasta com as seguintes opes: 2. 3. Caminho para o destino de pasta: \\NYC-DC1\PolicyFiles Criar compartilhamento: Sim Caminho local da pasta compartilhada: C:\PolicyFiles Permisses da pasta compartilhada: Administradores tm acesso total; outros usurios tm permisses somente leitura Grupo de replicao: Sim Nome do grupo de replicao: woodgrovebank.com\corpdocs\policyfiles Nome da pasta replicada: PolicyFiles Membro primrio: NYC-SVR1 Topologia: Malha completa Agendamento da replicao: padro
Na rvore de console, expanda o n Replicao e clique em woodgrovebank.com\corpdocs\PolicyFiles. Na guia Associaes do painel de detalhes, verifique se NYC-DC1 e NYCSVR1 esto listadas e habilitadas.
11-47
Leia o relatrio e anote os erros ou os avisos. Ao terminar, feche a janela do Microsoft Internet Explorer. Crie um relatrio de diagnstico para o grupo de replicao arquivos de diretivas. Leia o relatrio e anote os erros ou os avisos. Ao terminar, feche a janela do Internet Explorer. Observe que pode haver erros relatados se a replicao ainda no tiver sido iniciada ou finalizada.
11-48
Perguntas de reviso
1. 2. 3. 4. 5. 6. 7. Como o DFS pode ser usado na sua implantao de Servios de Arquivos? Que tipo de tecnologia de compactao usado pelo DFS do Windows Server 2008? Quais so os trs principais cenrios usados pelo DFS? Qual a diferena entre um namespace DFS baseado em domnio e um namespace DFS autnomo? Qual o mtodo de ordenao padro de referncia do cliente para os destinos de pasta? O que a configurao do Membro Primrio faz quando a replicao definida? Que pasta usada para armazenar arquivos e pastas em cache quando so feitas alteraes conflitantes em dois ou mais membros?
11-49
138
139
Servidor LDAP Mapeador de ponto de extremidade da chamada de procedimento remoto (RPC) Bloco de Mensagens do Servidor (SMB)
389 135
Controladores de domnio; servidores raiz que no so controladores de domnio; servidores que atuam como destinos de pastas; computadores cliente que atuam como destinos de pastas
445
445
11-50
Ferramentas
A tabela a seguir lista as ferramentas que podem ser usadas para configurar e gerenciar o DFS:
Ferramenta Dfsutil Use para Realizar operaes avanadas em namespaces DFS. Onde encontr-la Em um servidor de namespaces, digite Dfsutil em um prompt de comando. Em um servidor de namespaces, digite Dfscmd em um prompt de comando.
Dfscmd.exe
Executar scripts de tarefas bsicas do DFS, como configurar razes e destinos DFS. Realizar tarefas relacionadas aos namespaces e replicao DFS.
Gerenciamento DFS
12-1
Mdulo 12
Configurao da Proteo de Acesso Rede
Sumrio:
Lio 1: Viso geral da Proteo de Acesso Rede Lio 2: Funcionamento da NAP Lio 3: Configurao da NAP Lio 4: Monitoramento e soluo de problemas da NAP Laboratrio: Configurao da NAP para DHCP e VPN 12-3 12-19 12-26 12-34 12-38
12-2
A Proteo de Acesso Rede (NAP) garante a conformidade com as diretivas de integridade especficas dos sistemas que acessam a rede. A NAP auxilia os administradores na execuo e manuteno de uma diretiva de integridade especfica. Este mdulo fornece informaes sobre como a NAP funciona e sobre como configur-la, monitor-la e solucionar problemas relacionadas a ela.
12-3
Lio 1
A NAP uma plataforma de imposio de diretiva de integridade do sistema baseada no Microsoft Windows Server 2008, Windows Vista e Windows XP Service Pack 3. Essa plataforma permite proteger melhor os ativos de rede privada impondo a conformidade com os requisitos de integridade do sistema. A NAP permite criar diretivas de requisito de integridade personalizadas para validar a integridade do computador antes de permitir o acesso ou a comunicao, assim como atualizar automaticamente os computadores em conformidade a fim de garantir a conformidade contnua e limitar o acesso de computadores noconformes a uma rede restrita at que eles se fiquem em conformidade.
12-4
A NAP para Windows Server 2008, Windows Vista e Windows XP Service Pack 3 fornece componentes e uma API (interface de programao de aplicativos) que auxiliam os administradores na imposio da conformidade com as diretivas de requisito de integridade para o acesso ou comunicao. A NAP permite que desenvolvedores e administradores criem solues de validao dos computadores que se conectam s suas redes, forneam as atualizaes necessrias ou o acesso aos recursos de atualizao da integridade necessrios e limitem o acesso ou a comunicao de computadores incompatveis. A NAP apresenta trs aspectos importantes e distintos: Validao do estado de integridade Conformidade com a diretiva de integridade Acesso limitado
12-5
Pergunta: Como voc usaria a imposio de NAP em seu ambiente, levando em considerao usurios domsticos, computadores mveis (laptops) e parceiros de negcios externos?
12-6
Cenrios de NAP
Dependendo das necessidades, os administradores podem configurar uma soluo para atender a alguns ou a todos esses cenrios de redes. Pergunta: Voc j teve algum problema com laptops no seguros e no gerenciados, causando danos rede? Voc acha que a NAP solucionaria esse problema?
12-7
Os componentes da infra-estrutura da NAP, conhecidos como clientes de imposio (ECs) e servidores de imposio (ESs), exigem a validao do estado de integridade e impem o acesso limitado rede aos computadores incompatveis para acesso ou comunicao com a rede especfica. Os administradores podem usar os mtodos de imposio, separadamente ou juntos, para limitar o acesso ou a comunicao de computadores incompatveis. O Servidor de Diretiva de Rede (NPS) no Windows Server 2008, o substituto do Servio de Autenticao da Internet (IAS) no Windows Server 2003, atua como um servidor de diretiva de integridade para todos esses mtodos de imposio de NAP. O Windows Vista e o Windows Server 2008 tambm incluem suporte NAP para conexes de Gateway de Servios de Terminal (Gateway TS).
Pergunta: Que tipo de imposio de NAP mais adequado para a sua empresa? Voc pode considerar o uso de vrios tipos de imposio de NAP em sua organizao? Em caso afirmativo, quais?
12-8
Os componentes de uma infra-estrutura de rede habilitada para NAP consistem em: Clientes NAP so computadores que oferecem suporte plataforma NAP para comunicao ou acesso rede com validao de integridade do sistema. Pontos de imposio de NAP so computadores ou dispositivos de acesso rede que usam a NAP para exigir a avaliao do estado de integridade de um cliente NAP e permitem a comunicao ou o acesso restritos rede. Os pontos de imposio de NAP incluem: HRA, servidor VPM, servidor DHCP e dispositivos de acesso rede. HRA um computador que executa o Windows Server 2008 e o Internet Information Services (IIS) e obtm certificados de integridade de uma autoridade de certificao (CA) dos computadores compatveis.
12-9
Os servidores de diretiva de integridade NAP so computadores que executam o Windows Server 2008 e o servio NPS, armazenam diretivas de requisito de integridade e fornecem a validao do estado de integridade para a NAP. O NPS substitui o Servio de Autenticao da Internet (IAS) e o servidor RADIUS (Remote Authentication Dial-In User Service) e proxy que o Windows Server 2003 fornece. Servidores de atualizaes so computadores que contm recursos de atualizao de integridade que os clientes NAP podem acessar para corrigir seu estado de incompatibilidade. Os exemplos incluem: assinatura de antivrus, servidores de distribuio e servidores de atualizao de software.
Pergunta: Atualmente, o seu ambiente usa a autenticao 802.1x no nvel de opo? Em caso afirmativo, a NAP 802.1x seria vantajosa, considerando que voc pode configurar VLANs de remediao para oferecer acesso limitado?
12-10
As interaes dos computadores e dispositivos de uma infra-estrutura de rede habilitada para NAP dependem dos mtodos de imposio de NAP escolhidos para a conectividade de rede ilimitada. O lado do cliente e o lado do servidor da arquitetura tm processos que permitem a validao de diretiva do cliente, ou o acesso rede de remediao, para ajudar o cliente a se tornar compatvel com os requisitos do acesso irrestrito rede. Pergunta: Cite um exemplo de infra-estrutura de rede habilitada para NAP usada em sua organizao.
12-11
A arquitetura do cliente NAP consiste em: Uma camada de componentes do cliente de imposio (EC) de NAP - cada EC de NAP definido para um tipo diferente de comunicao ou acesso rede. Uma camada de componentes do agente de integridade do sistema (SHA) - um componente do SHA mantm e relata um ou vrios elementos de integridade do sistema. Agente NAP - mantm as informaes sobre o estado de integridade atual do cliente NAP e facilita a comunicao entre as camadas do EC e do SHA de NAP. A plataforma NAP fornece o agente. Interface de programao de aplicativo (API) de SHA - fornece um conjunto de chamadas de funo que permite que os SHAs se registrem no Agente NAP, para indicar o estado de integridade do sistema, responder s consultas do Agente NAP sobre status de integridade do sistema e para que o Agente NAP passe para um SHA as informaes sobre a remediao da integridade do sistema.
12-12
API do EC de NAP - fornece um conjunto de chamadas de funo que permite que os ECs de NAP se registrem no Agente NAP, para solicitar o status de integridade do sistema e passar para o Agente NAP as informaes sobre a remediao da integridade do sistema.
Os clientes de imposio de NAP para a plataforma NAP fornecidos no Windows Vista, Windows Server 2008 e Windows XP com SP2 (com o Cliente NAP para Windows XP) so: Um cliente de imposio de NAP para IPsec, para comunicaes protegidas por IPsec Um cliente de imposio de NAP para EAPHost, para conexes autenticadas por 802.1X Um cliente de imposio de NAP para VPN, para conexes VPN de acesso remoto Um cliente de imposio de NAP para DHCP, para a configurao de endereo IPv4 baseado em DHCP
Pergunta: Como a sua organizao trataria a habilitao do cliente de imposio apropriado em computadores que no so de domnio e esto fora do escopo de gerenciamento?
12-13
Pontos principais
Abrir a ferramenta de Configurao de Cliente NAP. Explorar as opes disponveis.
Pergunta: Cite pelo menos um exemplo de como o cliente NAP poderia beneficiar a sua organizao.
12-14
Um ponto de imposio de NAP baseado em Windows tem uma camada de componentes do Servidor de Imposio (ES) de NAP. Cada ES de NAP definido para um tipo diferente de comunicao ou acesso rede. Por exemplo, h um ES de NAP para conexes VPN de acesso remoto e um ES de NAP para a configurao DHCP. Normalmente o ES de NAP corresponde a um tipo especfico de cliente compatvel com NAP. Por exemplo, o servidor de imposio de NAP para DHCP est projetado para funcionar com um cliente NAP baseado em DHCP. Os fornecedores de software de terceiros ou a Microsoft podem fornecer ESs de NAP adicionais para a plataforma NAP. A configurao mais comum da infra-estrutura do servidor NAP consiste em pontos de imposio de NAP que fornecem comunicao ou acesso rede de um tipo especfico e em servidores de diretiva de integridade NAP separados que fornecem a validao e a remediao da integridade do sistema. possvel instalar o servio NPS como um servidor de diretiva de integridade de NAP em pontos de imposio de NAP individuais baseados em Windows. No entanto, nessa configurao, voc precisa configurar cada ponto de imposio de NAP, separadamente, com diretivas de integridade e de acesso rede. Recomendamos uma configurao em que sejam usados servidores separados de diretiva de integridade de NAP.
12-15
A arquitetura NAP geral consiste nos seguintes conjuntos de componentes: Trs componentes de cliente NAP (uma camada de SHA, o Agente NAP e uma camada de EC de NAP) Quatro componentes de servidor NAP (uma camada de SHV, o Servidor de Administrao de NAP, o servio NPS e uma camada de ES de NAP nos pontos de imposio de NAP baseados em Windows) Servidores de requisitos de integridade Servidores de atualizaes
Pergunta: Cite pelo menos um exemplo de como o servidor de diretiva de integridade de NAP pode monitorar as suas redes.
12-16
Voc ver alguns termos comuns relacionados NAP, como: SHV: Validador da integridade do sistema. Um mdulo que inclui o registro e o cancelamento do registro no sistema NAP. SHA: Agente de integridade do sistema. Um agente de integridade do sistema executa as atualizaes de integridade do sistema e publica seu status na forma de declarao de integridade (SoH) para o Agente NAP. A SoH contm informaes que o servidor de diretiva de integridade da NAP pode usar para verificar se o computador cliente est no estado de integridade exigido. SoH: Declarao de integridade. Para indicar o estado de integridade de um agente de integridade do sistema especfico, um agente de integridade do sistema cria uma SoH e a transmite para o Agente NAP. Uma SoH pode conter um ou vrios elementos de integridade do sistema. SSoH: Declarao de integridade do sistema. Para indicar o estado geral de integridade de um cliente NAP, o Agente NAP usa uma SSoH, que contm informaes sobre a verso do cliente NAP e o conjunto de SoHs dos agentes de integridade do sistema instalados.
12-17
SoHR: Resposta de declarao de integridade. Um agente de integridade do sistema correspondido a um validador da integridade do sistema no lado do servidor da arquitetura da plataforma NAP. O validador da integridade do sistema correspondente retorna uma SoHR para o cliente NAP, que transmitido ao agente de integridade do sistema pelo cliente de imposio de NAP e o Agente NAP, instruindo sobre o que dever ser feito se o agente de integridade do sistema no estiver no estado de integridade exigido. SSoHR: Resposta de declarao de integridade do sistema. Com base nas SoHRs dos validadores da integridade do sistema e nas diretivas de integridade configuradas, o servio NPS cria uma SSoHR, que indica se o cliente NAP compatvel ou no e inclui o conjunto de SoHRs dos validadores da integridade do sistema.
O componente Agente NAP pode comunicar-se com o componente Servidor de Administrao de NAP por meio do seguinte processo: 1. 2. 3. 4. O Agente NAP transmite a SSoH do sistema para o EC de NAP. O EC de NAP transmite a SSoH para o ES de NAP. O ES de NAP transmite a SSoH para o servio NPS. O servio NPS transmite a SSoH para o Servidor de Administrao de NAP.
O Servidor de Administrao de NAP pode comunicar-se com o Agente NAP por meio do seguinte processo: 1. 2. 3. 4. O Servidor de Administrao de NAP transmite a SSoHR para o servio NPS. O servio NPS transmite a SSoHR para o ES de NAP. O ES de NAP transmite a SSoHR para o EC de NAP. O EC de NAP transmite a SSoHR para o Agente NAP.
Um agente de integridade do sistema pode comunicar-se com o validador da integridade do sistema correspondente por meio do seguinte processo: 1. 2. 3. 4. 5. O SHA transmite a SoH para o Agente NAP. O Agente NAP transmite a SoH contida na SSoH para o EC de NAP. O EC de NAP transmite a SoH para o ES de NAP. O ES de NAP transmite a SoH para o Servidor de Administrao de NAP. O Servidor de Administrao de NAP transmite a SoH para o SHV.
12-18
Um validador da integridade do sistema pode comunicar-se com o agente de integridade do sistema correspondente por meio do seguinte processo: 1. 2. 3. 4. 5. 6. O SHV transmite a SoHR para o Servidor de Administrao de NAP. O Servidor de Administrao de NAP transmite a SoHR para o servio NPS. O servio NPS transmite a SoHR contida na SSoHR para o ES de NAP. O ES de NAP transmite a SoHR para o EC de NAP. O EC de NAP transmite a SoHR para o Agente NAP. O Agente NAP transmite a SoHR para o SHA.
Pergunta: Cite um exemplo de como sua organizao pode usar os Componentes da Plataforma NAP para facilitar a comunicao.
12-19
Lio 2
Funcionamento da NAP
O projeto da NAP permite que os administradores a configurem de acordo com suas necessidades de rede. Portanto, a configurao real da NAP variar de acordo com as preferncias e requisitos do administrador. No entanto, a operao subjacente da NAP permanece a mesma. Quando um cliente tenta acessar ou comunicar-se com a rede, ele precisa apresentar sua declarao de integridade (SoH). Se o cliente no estiver em conformidade com os requisitos de integridade do sistema (por exemplo, ter o sistema operacional mais recente e as atualizaes de antivrus instalados), o acesso ou a comunicao com a rede poder ser limitado a uma rede restrita de recursos de servidor, at os problemas de conformidade de integridade serem corrigidos. Depois que as atualizaes forem instaladas, o cliente solicitar acesso rede ou tentar a comunicao novamente. Se houver compatibilidade, o cliente ter acesso ilimitado rede ou a comunicao ser permitida.
12-20
A Proteo de Acesso Rede permite criar diretivas de integridade personalizadas para validar a integridade do computador antes de permitir o acesso ou a comunicao, para atualizar automaticamente os computadores compatveis a fim de garantir a conformidade contnua e, opcionalmente, para limitar os computadores no-conformes a uma rede restrita at que eles se tornem conformes. Pergunta: Cite pelo menos um exemplo de como voc personalizaria uma diretiva de integridade.
12-21
A imposio IPsec limita a comunicao para clientes NAP protegidos por IPsec, ignorando as tentativas de comunicao enviadas por computadores que no podem negociar a proteo IPsec usando certificados de integridade. Ao contrrio da imposio 802.1X e VPN, em que a imposio ocorre no ponto de entrada da rede, cada computador executa a imposio IPsec. A imposio IPsec define as seguintes redes lgicas: Rede segura: o conjunto de computadores que tm certificados de integridade e exigem que as tentativas de comunicao de entrada usem certificados de integridade na autenticao IPsec. Rede de limite: o conjunto de computadores que tm certificados de integridade mas no exigem que as tentativas de comunicao de entrada usem certificados de integridade na autenticao IPsec.
12-22
Rede restrita: o conjunto de computadores que no tm certificados de integridade que incluam computadores cliente NAP incompatveis, convidados na rede ou computadores incompatveis com NAP, por exemplo, computadores que executam verses do Windows que no oferecem suporte NAP ou computadores baseados em Apple Macintosh ou UNIX.
Pergunta: Para quais computadores da rede segura voc permitiria a comunicao no protegida dos computadores da rede restrita para ter xito?
12-23
A imposio IEEE 802.1X instrui um ponto de acesso compatvel com 802.1X a usar um perfil de acesso limitado, um conjunto de filtros de pacote IP ou uma identificao VLAN, para limitar o trfego do computador incompatvel, de forma que ele possa acessar somente os recursos da rede restrita. Para a filtragem de pacote IP, o ponto de acesso compatvel com 802.1X aplica os filtros de pacote IP ao trfego IP trocado com o cliente 802.1X e descarta silenciosamente todos os pacotes que no correspondem a um filtro de pacote configurado. Para as identificaes VLAN, o ponto de acesso compatvel com 802.1X aplica a identificao VLAN a todos os pacotes trocados com o cliente 802.1X, e o trfego no deixa a VLAN correspondente rede restrita. Se o cliente NAP no for compatvel, a conexo 802.1X ter o perfil de acesso limitado aplicado e o cliente NAP poder acessar somente os recursos da rede restrita. Pergunta: Qual deve ser o suporte oferecido pelos dispositivos de rede para implementar a NAP 802.1x?
12-24
A imposio VPN usa um conjunto de filtros de pacote IP de acesso remoto para limitar o trfego de cliente VPN incompatvel, de forma que ele s possa acessar os recursos da rede restrita. O servidor VPN aplica os filtros de pacote IP ao trfego IP que ele recebe do cliente VPN e descarta silenciosamente todos os pacotes que no correspondem a um filtro de pacote configurado. Pergunta: Como o mtodo de imposio de NAP para VPN responde aos computadores incompatveis que fazem tentativas de conexo?
12-25
A configurao de endereo DHCP limita o acesso rede do cliente DHCP por meio de sua tabela de roteamento IPv4. A imposio DHCP define o valor da opo de Roteador DHCP como 0.0.0.0, assim, o computador incompatvel no ter um gateway padro configurado. Alm disso, essa imposio define a mscara de subrede do endereo IPv4 alocado como 255.255.255.255, de forma que no haja nenhuma rota para a sub-rede conectada. Para permitir que o computador incompatvel acesse os servidores de atualizaes da rede restrita, o servidor DHCP atribui a opo de Rotas Estticas sem Classes DHCP. Essa opo contm rotas de host para os computadores da rede restrita, por exemplo, os servidores DNS e de atualizaes. O resultado final do acesso limitado rede por DHCP uma tabela de configurao e roteamento que permite a conectividade somente para endereos de destino especficos correspondentes rede restrita. Portanto, quando um aplicativo tenta enviar para um endereo IPv4 de difuso unicast que no seja nenhum dos fornecidos pela opo de Rotas Estticas sem Classe, o protocolo TCP/IP retorna um erro de roteamento. Pergunta: O tipo de imposio de NAP para DHCP funciona em redes IPv6?
12-26
Lio 3
Configurao da NAP
Esta lio fornece informaes sobre como configurar o cliente para interoperar com a infra-estrutura do lado do servidor de um ambiente com imposio de NAP. Um cliente compatvel com NAP um computador que tem os componentes de NAP instalados e pode verificar seu estado de integridade enviando uma declarao de integridade para o NPS.
12-27
Os SHAs e os SHVs, que so componentes da infra-estrutura da NAP, fornecem o rastreamento e a validao do estado de integridade. O Windows Vista e o Windows XP Service Pack 3 incluem um agente de integridade do sistema do Validador da Integridade da Segurana do Windows, que monitora as configuraes da Central de Segurana do Windows. O Windows Server 2008 inclui um validador da integridade do sistema do Validador da Integridade da Segurana do Windows. A NAP foi projetada para ser flexvel e extensvel e interopera com softwares de qualquer fornecedor que ofeream agentes de integridade do sistema e validadores da integridade do sistema que usam a API da NAP. Um SHV recebe uma declarao de integridade do Servidor de Administrao de NAP e compara as informaes sobre o status da integridade do sistema dessa declarao com o estado de integridade do sistema exigido. Por exemplo, se a SoH for proveniente de um SHA do antivrus e contiver o nmero de verso mais recente do arquivo de assinatura de vrus, o SHV do antivrus correspondente poder verificar o nmero da verso mais recente no servidor de requisitos de integridade do antivrus para validar a declarao de integridade do sistema do cliente NAP.
12-28
O SHV retorna a uma resposta de declarao de integridade do sistema (SoHR) para o Servidor de Administrao de NAP. A SoHR pode conter informaes sobre como o SHA correspondente no cliente NAP pode atender aos requisitos atuais de integridade do sistema. Por exemplo, a SoHR que o SHV do antivrus envia poderia instruir o SHA do antivrus do cliente NAP a solicitar a verso mais recente, por nome ou endereo IP, do arquivo de assinatura de antivrus de um servidor de assinatura de antivrus especfico. Pergunta: A NAP funciona somente com Validadores de Integridade do Sistema fornecidos pela Microsoft?
12-29
Se o estado de configurao do cliente no atender aos requisitos definidos pela diretiva de integridade, o NPS executar uma das seguintes aes, dependendo da configurao da NAP: Rejeitar a solicitao de conexo. Colocar o cliente NAP em uma rede restrita, na qual ele poder receber atualizaes dos servidores de atualizaes para ficar em conformidade com a diretiva de integridade. Depois que o cliente NAP se tornar compatvel, o NPS permitir sua conexo. Permitir que o cliente NAP se conecte rede, apesar de sua no-conformidade com a diretiva de integridade.
12-30
Um servidor de atualizaes hospeda as atualizaes que o agente NAP pode usar para tornar os computadores cliente compatveis com a diretiva de integridade, conforme definido pelo NPS. Por exemplo, um servidor de atualizaes pode hospedar assinaturas de antivrus. Se a diretiva de integridade exigir que os computadores cliente tenham as definies mais recentes de antivrus, os seguintes elementos trabalharo juntos para atualizar os computadores incompatveis: um agente de integridade do sistema de antivrus, um validador da integridade do sistema de antivrus, um servidor de diretivas de antivrus e o servidor de atualizaes. Pergunta: Que servios um servidor de atualizaes pode oferecer para atualizar as assinaturas de antivrus?
12-31
Lembre-se destas diretrizes bsicas ao configurar clientes NAP: Algumas implantaes de NAP que usam o Validador da Integridade da Segurana do Windows exigem a habilitao da Central de Segurana: Habilite a configurao Ativar o Centro de Segurana (PCs em domnios somente) na Diretiva de Grupo, nas sees Configurao do computador, Modelos administrativos, Componentes do Windows e Central de Segurana.
Para usar a configurao, um firewall habilitado para todas as conexes de rede: O software de firewall em execuo no computador cliente dever ser o Firewall do Windows ou outro que seja compatvel com a Central de Segurana do Windows. O software de firewall que no for compatvel com a Central de Segurana do Windows no poder ser gerenciado nem detectado pelo Agente de Integridade da Segurana do Windows (WSHA) no computador cliente.
12-32
O servio de Proteo de Acesso Rede necessrio quando voc implanta a NAP em computadores cliente compatveis com NAP. Abra Servios no menu Ferramentas administrativas. Nas propriedades do agente, altere o tipo de inicializao para Automtico para o servio de Proteo de Acesso Rede.
Alm disso, necessrio configurar os clientes de imposio de NAP nos computadores compatveis com NAP. Siga este procedimento para instalar o Gerenciamento de Diretiva de Grupo e habilitar a Central de Segurana nos clientes compatveis com NAP que usam a Diretiva de Grupo. A Central de Segurana necessria para algumas implantaes de Proteo de Acesso Rede (NAP) que usam o Validador da Integridade da Segurana do Windows (WSHV). Crie um MMC (Console de Gerenciamento Microsoft) personalizado com o snap-in Configurao de Cliente NAP. Expanda a Configurao de Cliente NAP e selecione Clientes de Imposio na rvore de console. No painel de detalhes, clique duas vezes no cliente de imposio que deseja habilitar e selecione Habilitar este cliente de imposio na folha de Propriedades.
Voc pode tambm usar o comando Netsh para habilitar ou desabilitar clientes de imposio. Use o seguinte comando para habilitar o cliente de imposio DHCP no cliente: Netsh nap client set enforcement dhcp = enable
A associao ao Admins. do domnio, ou equivalente, o mnimo necessrio para concluir este procedimento. Pergunta: Que grupos do Windows tm os direitos de habilitar a Central de Segurana na Diretiva de Grupo, de habilitar o servio NAP nos clientes e de habilitar/desabilitar clientes de imposio de NAP?
12-33
Demonstrao: Uso do assistente de configurao de NAP para aplicar diretivas de acesso rede
Pontos principais
Abrir a ferramenta Servidor de Diretiva de Rede para configurar a NAP. Criar uma diretiva para DHCP.
12-34
Lio 4
A soluo de problemas e monitoramento da estrutura da NAP so uma tarefa administrativa importante, em virtude dos diferentes nveis de tecnologia e de especializao tcnica e pr-requisitos variados para cada mtodo de imposio de NAP. Os logs de rastreamento esto disponveis para NAP, mas esto desabilitados, por padro. Esses logs servem para duas finalidades: soluo de problemas e avaliao da integridade e segurana de uma rede.
12-35
Voc pode usar o snap-in Configurao de Cliente NAP para configurar o rastreamento de NAP. O rastreamento registra eventos de NAP em um arquivo de log e til na soluo de problemas e manuteno. Os logs de rastreamento podem tambm ser usados para avaliar a integridade e a segurana da rede. Voc pode configurar trs nveis de rastreamento: Bsico, Avanado e Depurao. necessrio habilitar o rastreamento de NAP quando: Voc est solucionando problemas de NAP. Voc deseja avaliar a integridade e a segurana gerais dos computadores da organizao.
Pergunta: Cite pelo menos um exemplo de como o rastreamento de NAP pode ser usado para determinar um problema na comunicao do cliente.
12-36
H duas ferramentas disponveis para a configurao do rastreamento de NAP. O console de Configurao de Cliente NAP faz parte da interface de usurio do Windows, e netsh uma ferramenta de linha de comando. Para exibir os arquivos de log, v at o diretrio %systemroot%\tracing\nap e abra o log de rastreamento especfico a ser exibido. Pergunta: O que o comando netsh para habilitar nveis de log de depurao da NAP?
12-37
Pontos principais
Configurar o rastreamento na interface grfica do usurio (GUI). Configurar o rastreamento na Linha de Comando.
Pergunta: De qual grupo voc precisa ser membro para habilitar o rastreamento de NAP?
12-38
Objetivos
Configurar clientes NAP para DHCP Configurar clientes NAP para VPN
Cenrio
Como especialista em tecnologia do Woodgrove Bank, voc precisa estabelecer um meio de tornar compatveis os computadores cliente, de forma automtica. Para isso, voc usar o Servidor de Diretiva de Rede, criando diretivas de conformidade do cliente e configurando um servidor NAP para verificar a integridade atual dos computadores.
12-39
Observao: Como a NAP uma tecnologia nova e complexa no Windows Server 2008, foram fornecidas aqui as etapas detalhadas para cada uma das tarefas desse laboratrio. Por esse motivo, no haver nenhuma resposta separada do laboratrio para este mdulo.
12-40
Exerccio 1: Configurao da Proteo de Acesso Rede (NAP) para clientes DHCP (Dynamic Host Configuration Protocol)
Neste exerccio, voc configurar e testar a NAP para clientes DHCP. Estas so as tarefas principais: 1. 2. 3. 4. 5. 6. Iniciar as mquinas virtuais NYC-DC1, NYC-SVR1 e NYC-CL1. Instalar as funes de Servidor de Diretiva de Rede (NPS) e de servidor DHCP (Dynamic Host Configuration Protocol). Configurar NYC-SVR1 como um servidor de diretiva de integridade de NAP. Configurar o servio DHCP para imposio de NAP. Configurar NYC-CL1 como cliente NAP e DHCP. Testar a imposio de NAP.
Tarefa 2: Instalar as funes de Servidor de Diretiva de Rede (NPS) e de servidor DHCP (Dynamic Host Configuration Protocol)
1. 2. 3. Em NYC-SVR1, clique em Iniciar e em Gerenciador de Servidores. No painel do console do Gerenciador de Servidores, clique com o boto direito do mouse em Funes, em seguida, clique em Adicionar Funes. Na pgina Antes de Comear, clique em Avanar.
12-41
4.
Na pgina Selecionar Funes do Servidor, marque as caixas de seleo Servidor DHCP e Servios de Acesso e Diretiva de Rede, em seguida, clique em Avanar duas vezes. Na pgina Selecionar Servios de Funo, marque a caixa de seleo Servidor de Diretiva de Rede e clique em Avanar duas vezes. Na pgina Selecionar Ligaes de Conexo de Rede, verifique se 10.10.0.24 est selecionado e clique em Avanar. Na pgina Especificar Configuraes de Servidor DNS IPv4, para o Domnio Pai, verifique se WoodGroveBank.com est listado. No campo Endereo IPv4 de Servidor DNS Preferencial, digite 10.10.0.10 e clique em Validar. Verifique se o resultado retornado Vlido e clique em Avanar.
5. 6. 7. 8. 9.
10. Na pgina Especificar Configuraes de Servidor IPv4 WINS, verifique se a opo WINS no necessrio aos aplicativos desta rede est selecionada e clique em Avanar. 11. Na pgina Adicionar ou Editar Escopos DHCP, clique em Adicionar. 12. Na caixa de dilogo Adicionar Escopo, no campo Nome do Escopo, digite Escopo de NAP. 13. No campo Endereo IP Inicial, digite 10.10.0.50. 14. No campo Endereo IP Final, digite 10.10.0.99. 15. No campo Mscara de sub-rede, digite 255.255.0.0. 16. Verifique se a caixa de seleo Ativar este escopo est marcada, clique em OK e, em seguida, clique em Avanar. 17. Na pgina Configurar o Modo Sem Monitoramento de Estado do DHCPv6, clique em Desabilitar o modo sem monitoramento de estado de DHCPv6 para este servidor e, em seguida, clique em Avanar. 18. Na pgina Autorizar Servidor DHCP, verifique se a opo Usar credenciais atuais est selecionada e clique em Avanar. 19. Na pgina Confirmar Selees de Instalao, clique em Instalar. 20. Quando a instalao for concluda, clique em Fechar. 21. Feche o Gerenciador de Servidores.
12-42
d. Na caixa de dilogo Validador da Integridade da Segurana do Windows, na guia Windows Vista, desmarque todas as caixas de seleo, exceto Firewall habilitado para todas as conexes de rede. e. 3. Clique em OK duas vezes.
Configure os grupos de servidores de atualizaes: a. No painel do console, em Proteo de Acesso Rede, clique com o boto direito do mouse em Grupos de Servidores de Atualizaes e, em seguida, clique em Novo. Na caixa de dilogo Novo Grupo de Servidores de Atualizaes, no campo Nome do Grupo, digite Rem1. Clique em Adicionar.
b. c.
d. Na caixa de dilogo Adicionar Novo Servidor, no campo Endereo IP ou nome DNS, digite 10.10.0.10, e clique em Resolver. e. 4. Clique em OK duas vezes.
Configure as diretivas de integridade: a. b. c. No painel do console, expanda Diretivas. Clique com o boto direito do mouse em Diretivas de Integridade e depois clique em Novo. Na caixa de dilogo Criar Nova Diretiva de Integridade, no campo Nome da diretiva, digite Compatvel com DHCP.
12-43
d. Na lista Verificaes de SHV de cliente, verifique se a opo Cliente aprovado em todas as verificaes de SHV est selecionada. e. Em SHVs usados nesta diretiva de integridade, marque a caixa de seleo Validador da Integridade da Segurana do Windows e clique em OK. No painel do console, clique com o boto direito do mouse em Diretivas de Integridade e, em seguida, clique em Novo. Na caixa de dilogo Criar Nova Diretiva de Integridade, no campo Nome da diretiva, digite Incompatvel com DHCP. Na lista Verificaes de SHV de cliente, clique em Cliente reprovado em uma ou mais verificaes de SHV. Em SHVs usados nesta diretiva de integridade, marque a caixa de seleo Validador da Integridade da Segurana do Windows e clique em OK.
f. g. h. i.
5.
Configure uma diretiva de rede para computadores compatveis: a. b. No painel do console, em Diretivas, clique em Diretivas de Rede. No painel de detalhes, clique com o boto direito do mouse em Conexes com o servidor de roteamento e acesso remoto da Microsoft e, em seguida, clique em Desabilitar. Clique com o boto direito do mouse em Conexes com outros servidores de acesso e, em seguida, clique em Desabilitar.
c.
d. No painel do console, clique com o boto direito do mouse em Diretivas de Rede e, em seguida, clique em Novo. e. f. g. h. i. Na pgina Especificar Nome de Diretiva de Rede e Tipo de Conexo, no campo Nome da diretiva, digite Compatvel com DHCP-Acesso Total. Na lista Tipo de servidor de acesso rede, clique em Servidor DHCP e, em seguida, clique em Avanar. Na pgina Especificar Condies, clique em Adicionar. Na caixa de dilogo Selecionar condio, clique duas vezes em Diretivas de Integridade. Na caixa de dilogo Diretivas de Integridade, na lista Diretivas de integridade, clique em Compatvel com DHCP e, em seguida, clique em OK.
12-44
j. k. l.
Na pgina Especificar Condies, verifique se a Diretiva de Integridade est especificada em Condies com o valor de Compatvel com DHCP. Na pgina Especificar Condies, clique em Adicionar. Na caixa de dilogo Selecionar condio, clique duas vezes em Classe de Servio MS.
m. Na caixa de dilogo Classe de Servio MS, digite Escopo da NAP e clique em OK. n. Na pgina Especificar Condies, verifique se Classe de Servio MS est especificada em Condies com o valor de Escopo da NAP, em seguida, clique em Avanar. o. Na pgina Especificar Permisso de Acesso, verifique se a opo Acesso concedido est selecionada e clique em Avanar.
p. Na pgina Configurar Mtodos de Autenticao, desmarque todas as caixas de seleo, selecione a opo Executar somente verificao de integridade da mquina e clique em Avanar. q. r. s. t. Na pgina de Configurar Restries, clique em Avanar. Na pgina Definir Configuraes, clique em Imposio de NAP. No painel de detalhes, verifique se a opo Permitir acesso total rede est selecionada e clique em Avanar. Na pgina Concluindo Nova Diretiva de Rede, clique em Concluir para concluir a configurao da diretiva de rede para computadores cliente compatveis.
6.
Configure uma diretiva de rede para computadores incompatveis: a. b. No painel do console, clique com o boto direito do mouse em Diretivas de Rede e, em seguida, clique em Novo. Na pgina Especificar Nome de Diretiva de Rede e Tipo de Conexo, no campo Nome da diretiva, digite Incompatvel com DHCP-Acesso Restrito. Na lista Tipo de servidor de acesso rede, clique em Servidor DHCP e, em seguida, clique em Avanar.
c.
d. Na pgina Especificar Condies, clique em Adicionar. e. Na caixa de dilogo Selecionar condio, clique duas vezes em Diretivas de Integridade.
12-45
f.
Na caixa de dilogo Diretivas de Integridade, na lista Diretivas de integridade, clique em Incompatvel com DHCP e, em seguida, clique em OK. Na pgina Especificar Condies, verifique se a Diretiva de Integridade est especificada em Condies com o valor de Incompatvel com DHCP. Clique em Adicionar. Na caixa de dilogo Selecionar condio, clique duas vezes em Classe de Servio MS. Na caixa de dilogo Classe de Servio MS, digite Escopo da NAP e clique em OK. Na pgina Especificar Condies, verifique se Classe de Servio MS est especificada em Condies com o valor de Escopo da NAP, em seguida, clique em Avanar. Na pgina Especificar Permisso de Acesso, verifique se a opo Acesso concedido est selecionada e clique em Avanar.
g. h. i. j. k.
l.
Observao: A configurao Acesso concedido no significa que os clientes incompatveis tenham acesso total rede. Isso especifica que os clientes que atendem a essas condies tero um nvel de acesso determinado pela diretiva.
m. Na pgina Configurar Mtodos de Autenticao, desmarque todas as caixas de seleo, selecione a opo Executar somente verificao de integridade da mquina e clique em Avanar. n. Na pgina de Configurar Restries, clique em Avanar. o. Na pgina Definir Configuraes, clique em Imposio de NAP.
p. No painel de detalhes, clique em Permitir acesso limitado. q. r. Clique em Configurar. Na caixa de dilogo Grupo de Servidores de Atualizaes e URL para Soluo de Problemas, na lista Grupo de Servidores de Atualizaes, clique em Rem1. No campo URL para Soluo de Problemas, digite http://remediation.restricted.woodgrovebank.com e clique em OK. Verifique se a opo Habilitar correo automtica de computadores cliente est selecionada e clique em Avanar.
s. t.
12-46
Observao: Mesmo que esse servidor de atualizaes no exista por causa das limitaes do ambiente de laboratrio, importante saber como definir as configuraes.
u.
Na pgina Concluindo Nova Diretiva de Rede, clique em Concluir para concluir a configurao da diretiva de rede para computadores cliente incompatveis.
7.
Configure uma diretiva de rede para computadores compatveis com NAP: a. b. c. No painel do console, clique com o boto direito do mouse em Diretivas de Rede e, em seguida, clique em Novo. Na pgina Especificar Nome de Diretiva de Rede e Tipo de Conexo, no campo Nome da diretiva, digite DHCP incompatvel com NAP. Na lista Tipo de servidor de acesso rede, clique em Servidor DHCP e, em seguida, clique em Avanar.
d. Na pgina Especificar Condies, clique em Adicionar. e. f. Na caixa de dilogo Selecionar condio, clique duas vezes em Computadores Compatveis com NAP. Na caixa de dilogo Computadores Compatveis com NAP, clique em Somente computadores incompatveis com NAP e, em seguida, clique em OK. Na pgina Especificar Condies, verifique se a Compatvel com NAP est especificada em Condies com o valor de Computador incompatvel com NAP. Na pgina Especificar Condies, clique em Adicionar. Na caixa de dilogo Selecionar condio, clique duas vezes em Classe de Servio MS. Na caixa de dilogo Classe de Servio MS, digite No-escopo da NAP e clique em OK. Na pgina Especificar Condies, verifique se Classe de Servio MS est especificada em Condies com o valor de No-escopo da NAP, em seguida, clique em Avanar.
g.
h. i. j. k.
12-47
l.
Na pgina Especificar Permisso de Acesso, verifique se a opo Acesso concedido est selecionada e clique em Avanar.
m. Na pgina Configurar Mtodos de Autenticao, desmarque todas as caixas de seleo, selecione a opo Executar somente verificao de integridade da mquina e clique em Avanar. n. Na pgina de Configurar Restries, clique em Avanar. o. Na pgina Definir Configuraes, clique em Imposio de NAP.
p. No painel de detalhes, clique em Permitir acesso limitado. q. r. Clique em Configurar. Na caixa de dilogo Grupo de Servidores de Atualizaes e URL para Soluo de Problemas, na lista Grupo de Servidores de Atualizaes, clique em Rem1. No campo URL para Soluo de Problemas, digite http://remediation.restricted.woodgrovebank.com e clique em OK. Verifique se a opo Habilitar correo automtica de computadores cliente est selecionada e clique em Avanar. Na pgina Concluindo Nova Diretiva de Rede, clique em Concluir para concluir a configurao da diretiva de rede para computadores cliente incompatveis com NAP mais antigos.
s. t. u.
8.
Configure a diretiva de solicitao de conexo: a. b. c. No painel do console, clique com o boto direito do mouse em Diretivas de Solicitao de Conexo e, em seguida, clique em Novo. Na pgina Especificar Nome da Diretiva de Solicitao de Conexo e Tipo de Conexo, no campo Nome da diretiva, digite NAP DCHP. Na lista Tipo de servidor de acesso rede, clique em Servidor DHCP e, em seguida, clique em Avanar.
d. Na pgina Condies, clique em Adicionar. e. f. g. Na caixa de dilogo Selecionar condio, clique duas vezes em Restries de Dia e Horrio. Na caixa de dilogo Restries de dia e horrio, clique em Tudo e, em seguida, clique em Permitido. Clique em OK e em Avanar.
12-48
h.
Na pgina Especificar Encaminhamento de Solicitaes de Conexo, verifique se a opo Autenticar solicitaes neste servidor est selecionada e clique em Avanar. Na pgina Especificar Mtodos de Autenticao, confirme se a opo Substituir configuraes de autenticao da diretiva de rede no est selecionada. Clique em Avanar duas vezes e depois clique em Concluir.
i.
j.
10. Selecione Usar perfil personalizado. 11. No campo Nome do Perfil, digite Escopo da NAP e clique em OK. 12. No painel do console, clique em Opes de escopo.
12-49
13. Clique com o boto direito do mouse em Opes de escopo e clique em Configurar opes. 14. Na caixa de dilogo Opes de escopo, na guia Avanado, lista Classe de usurio, verifique se a opo Classe de Usurio Padro est selecionada. 15. Em Opes disponveis, marque a caixa de seleo 015 Nome do Domnio DNS. 16. No campo Valor da cadeia de caracteres, digite woodgrovebank.com e clique em OK. 17. No painel do console, clique com o boto direito do mouse em Opes de escopo e clique em Configurar opes. 18. Na caixa de dilogo Opes de escopo, na guia Avanado, lista Classe de usurio, clique em Classe de Proteo de Acesso Rede Padro. 19. Em Opes disponveis, marque a caixa de seleo 006 Servidores DNS. 20. No campo Endereo IP, digite 10.10.0.10 e clique em Adicionar.
Observao: Nesse laboratrio, o endereo do servidor DNS o mesmo para as redes restrita e no restrita. Em um ambiente real, voc especificaria aqui um servidor DNS existente na rede restrita.
21. Em Opes disponveis, marque a caixa de seleo 015 Nome do Domnio DNS. 22. No campo Valor da cadeia de caracteres, digite restricted.woodgrovebank.com e clique em OK.
Observao: O domnio restricted.woodgrovebank.com uma rede de acesso restrito atribuda a clientes NAP incompatveis.
12-50
d. Na caixa de dilogo Selecionar Objeto de Diretiva de Grupo, clique em Concluir e depois em OK. e. No painel do console, expanda Diretiva do Computador Local, expanda Configurao do Computador, expanda Modelos Administrativos, expanda Componentes do Windows e clique em Central de Segurana. No painel de detalhes, clique duas vezes em Ativar o Centro de Segurana (PCs em domnios somente). Na caixa de dilogo Propriedades de Ativar o Centro de Segurana (PCs em domnios somente), clique em Habilitado e depois em OK.
f. g. 2.
Habilite o cliente de imposio DHCP: a. b. No menu Arquivo, clique em Adicionar/remover snap-in. Na caixa de dilogo Adicionar/remover snap-in, em Snap-ins disponveis, clique em Configurao de Cliente NAP e depois em Adicionar. Na caixa de dilogo Configurao de Cliente NAP, clique em OK duas vezes.
c.
d. No painel do console, clique em Configurao de Cliente NAP (Computador Local). e. f. No painel de detalhes da Configurao de Cliente NAP, clique em Clientes de Imposio. Clique com o boto direito do mouse em Cliente de Imposio de Quarentena DHCP e clique em Habilitar.
12-51
3.
Habilite e inicie o servio Agente NAP: a. b. c. No menu Arquivo, clique em Adicionar/remover snap-in. Na caixa de dilogo Adicionar/remover snap-in, em Snap-ins disponveis, clique em Servios e depois em Adicionar. Na caixa de dilogo Servios, clique em Concluir e depois em OK.
d. No painel do console, clique em Servios. e. f. No painel de detalhes, clique duas vezes em Agente de Proteo de Acesso Rede. Na caixa de dilogo Propriedades do Agente de Proteo de Acesso Rede (Computador Local), na lista Tipo de Inicializao, clique em Automtico e depois em Iniciar. Espere o servio Agente NAP ser iniciado e clique em OK. Feche o Console1. Quando for solicitado o salvamento das configuraes, clique em No.
g. h. 4.
Configure a NYC-CL1 para atribuio de endereo DHCP: a. b. c. Clique em Iniciar, clique com o boto direito do mouse em Rede e, em seguida, clique em Propriedades. Na janela Central de Rede e Compartilhamento, clique em Exibir status. Na caixa de dilogo Status da Conexo Local, clique em Propriedades.
d. Na caixa de dilogo Propriedades da Conexo Local, desmarque a caixa de seleo Protocolo TCP/IP verso 6 (TCP/IPv6).
Observao: Isso reduz a complexidade do laboratrio, especialmente para aqueles que no estiverem familiarizados com o IPv6.
e. f.
Clique em Protocolo TCP/IP Verso 4 (TCP/IPv4) e depois em Propriedades. Na caixa de dilogo Propriedades do Protocolo TCP/IP Verso 4 (TCP/IPv4), clique em Obter um endereo IP automaticamente e, em seguida, clique em Obter o endereo dos servidores DNS automaticamente. Clique em OK e, em seguida, clique em Fechar duas vezes. Feche a Central de Rede e Compartilhamento.
g. h.
12-52
Configure a diretiva do Validador da Integridade do Sistema para exigir software antivrus: a. No painel do console do Servidor de Diretiva de Rede de NYC-SVR1, expanda Proteo de Acesso Rede e clique em Validadores da Integridade do Sistema. No painel de detalhes, clique duas vezes em Validador da Integridade da Segurana do Windows. Na caixa de dilogo Propriedades do Validador da Integridade da Segurana do Windows, clique em Configurar.
b. c.
d. Na caixa de dilogo Validador da Integridade da Segurana do Windows, em Proteo contra Vrus, marque a caixa de seleo Aplicativo antivrus ativo e clique em OK duas vezes. 3. Verifique a rede restrita em NYC-CL1: a. b. c. 4. 5. Em NYC-CL1, no prompt de comando, digite ipconfig /release e pressione ENTER. Digite ipconfig /renew e pressione ENTER. Verifique se Sufixo DNS especfico conexo agora restricted.woodgrovebank.com.
Feche o prompt de comando. Na rea de notificao, clique duas vezes no cone Proteo de Acesso Rede.
Observao: Observe que ela informa que o computador no est compatvel com os requisitos da rede. Pode levar alguns minutos para ser exibida.
6.
Clique em Fechar.
12-53
3. 4. 5. 6.
12-54
Tarefa 2: Configurar NYC-SVR1 com o NPS funcionando como um servidor de diretiva de integridade
1. Obtenha o certificado do computador em NYC-SVR1 para a autenticao PEAP do lado do servidor: a. b. c. Em NYC-SVR1, clique em Iniciar, digite mmc e pressione ENTER. Na janela Console1, no menu Arquivo, clique em Adicionar/remover snap-in. Na caixa de dilogo Adicionar/remover snap-in, clique em Certificados e depois em Adicionar.
d. Na caixa de dilogo Snap-in de certificados, clique em Conta de computador, em Avanar e depois em Concluir. e. f. Clique em OK. No painel do console, expanda Certificados (computador local), clique com o boto direito do mouse em Pessoal, aponte para Todas as Tarefas e clique em Solicitar novo certificado. Na caixa de dilogo Registro de certificado, clique em Avanar. Na pgina Solicitar Certificados, marque a caixa de seleo Computador e clique em Registrar. Verifique o status da instalao do certificado como xito e clique em Concluir. Feche o Console1. Quando for solicitado o salvamento das configuraes, clique em No.
g. h. i. j. 2.
Instale o servio de funo Servio de Acesso Remoto: a. b. Clique em Iniciar e, em seguida, clique em Gerenciador de Servidores. No painel do console do Gerenciador de Servidores, expanda Funes, clique com o boto direito do mouse em Servios de Acesso e Diretiva de Rede e, em seguida, clique em Adicionar Servios de Funo. Na pgina Selecionar Servios de Funo, marque a caixa de seleo Servio de Acesso Remoto e clique em Avanar.
c.
d. Na pgina Confirmar Selees de Instalao, clique em Instalar. e. f. Quando a instalao for concluda, clique em Fechar. Feche o Gerenciador de Servidores.
12-55
3.
Configure o NPS como um servidor de diretiva de integridade de NAP: a. b. c. No painel do console do Servidor de Diretiva de Rede, clique em Validadores da Integridade do Sistema. No painel de detalhes, clique duas vezes em Validador da Integridade da Segurana do Windows. Na caixa de dilogo Propriedades do Validador da Integridade da Segurana do Windows, clique em Configurar.
d. Na caixa de dilogo Validador da Integridade da Segurana do Windows, desmarque a caixa de seleo Aplicativo antivrus ativo e clique em OK duas vezes. 4. Configure as diretivas de rede usando o Assistente de diretiva de rede: a. b. c. No painel do console, clique em NPS(local). No painel de detalhes, clique em Configurar NAP. Na pgina Selecionar Mtodo de Conexo de Rede para Uso com NAP, na lista Mtodo de conexo de rede, clique em VPN (Rede Virtual Privada) e depois em Avanar.
d. Na pgina Especificar Servidores de Imposio de NAP Executando Servidor VPN, clique em Avanar. e. f. g. Na pgina de Configurar Grupos de Usurio e Grupos de Computadores, clique em Avanar. Na pgina Configurar Mtodos de Autenticao, examine as configuraes e clique em Avanar. Na pgina Especificar um Grupo de Servidores de Atualizaes de NAP e uma URL, na lista Grupo de Servidores de Atualizaes, clique em Rem1. No campo URL para Soluo de Problemas, digite http://remediation.restricted.woodgrovebank.com e clique em Avanar. Na pgina Definir Diretiva de Integridade da NAP, examine as configuraes e clique em Avanar. Na pgina Concluindo a Configurao da Diretiva de Imposio de NAP e do Cliente RADIUS, examine as diretivas que sero criadas e clique em Concluir.
h.
i. j.
12-56
5.
Configure a diretiva Incompatvel com NAP VPN: a. b. c. No painel do console, clique em Diretivas de Rede. No painel de detalhes, clique com o boto direito do mouse em Incompatvel com NAP VPN e, em seguida, clique em Propriedades. Na guia Configuraes, clique em Filtros IP.
d. Em IPv4, clique em Filtros de Entrada. e. f. g. h. i. j. k. Na caixa de dilogo Filtros de Entrada, clique em Novo. Na caixa de dilogo Adicionar filtro IP, marque a caixa de seleo Rede de destino. No campo Endereo IP, digite 10.10.0.10. No campo Mscara de sub-rede, digite 255.255.255.255. Clique em OK. Na caixa de dilogo Filtros de Entrada, clique em Permitir apenas os pacotes listados abaixo. Clique em OK.
Observao: Isso assegura que o trfego de clientes incompatveis acesse somente a NYC DC1.
l.
m. Na caixa de dilogo Filtros de Sada, clique em Novo. n. Na caixa de dilogo Adicionar filtro IP, marque a caixa de seleo Rede de origem. o. p. q. No campo Endereo IP, digite 10.10.0.10. No campo Mscara de sub-rede, digite 255.255.255.255. Clique em OK.
12-57
r. s.
Na caixa de dilogo Filtros de Sada, clique em Permitir apenas os pacotes listados abaixo. Clique em OK duas vezes.
Observao: Isso assegura que somente o trfego de NYC DC1 seja enviado a clientes incompatveis.
6.
Configure as diretivas de solicitao de conexo: a. b. No painel do console, clique em Diretivas de Solicitao de Conexo. No painel de detalhes, clique com o boto direito do mouse em Usar autenticao do Windows para todos os usurios e clique em Desabilitar. Clique com o boto direito do mouse em NAP VPN e, em seguida, clique em Propriedades.
c.
d. Na caixa de dilogo de Propriedades de NAP VPN, na guia Condies, clique em Adicionar. e. f. Na caixa de dilogo Selecionar condio, clique duas vezes em Tipo de Encapsulamento. Na caixa de dilogo Tipo de Encapsulamento, marque as caixas de seleo Protocolo de encapsulamento de camada 2 (L2TP) e Protocolo de encapsulamento ponto a ponto (PPTP) e clique em OK. Na guia Configuraes, clique em Autenticao e examine as configuraes. Clique em Mtodos de autenticao e examine as configuraes. No painel de detalhes, clique em Adicionar. Na caixa de dilogo Adicionar EAP, clique em Microsoft: Senha segura (EAP-MSCHAP v2) e depois em OK. Clique em Microsoft: EAP protegido (PEAP) e depois em Editar. Na caixa de dilogo Configurar Propriedades de EAP Protegido, verifique se a opo Ativar verificaes de Quarentena est selecionada e clique em OK duas vezes.
g. h. i. j. k. l.
12-58
Tarefa 3: Configurar NYC-SVR1 com o Servio de Roteamento e Acesso Remoto (RRAS) configurado como um servidor VPN
1. 2. Em NYC-SVR1, clique em Iniciar, aponte para Ferramentas administrativas e clique em Roteamento e acesso remoto. Na janela Roteamento e Acesso Remoto, clique com o boto direito do mouse em NYC-SVR1 (local) e clique em Configurar e Habilitar Roteamento e Acesso Remoto. No Assistente para Configurao do Servidor de Roteamento e Acesso Remoto, clique em Avanar. Na pgina Configurao, verifique se Acesso remoto (dial-up ou rede virtual privada) est selecionado e clique em Avanar. Na pgina Acesso Remoto, marque a caixa de seleo VPN e clique em Avanar. Na pgina Conexo VPN, clique em Conexo local 2. Desmarque a caixa de seleo Habilitar a segurana na interface selecionada configurando filtros de pacotes estticos. e clique em Avanar.
3. 4. 5. 6. 7.
Observao: Isso assegura que a NYC SVR1 seja capaz de executar ping em NYC DC1 quando estiver conectada sub-rede da Internet, sem a necessidade de configurar filtros de pacote adicionais para o trfego por ICMP (Internet Control Message Protocol).
8. 9.
Na pgina Atribuio de endereo IP, clique em De um intervalo de endereos especificado e depois em Avanar. Na pgina Atribuio de intervalo de endereos, clique em Novo.
10. Na caixa de dilogo Novo Intervalo de Endereos IPv4, no campo Endereo IP inicial, digite 10.10.0.100. 11. No campo Endereo IP final, digite 10.10.0.110, clique em OK e depois em Novo. 12. Na pgina Gerenciando mltiplos servidores de acesso remoto, verifique se a opo No, usar o 'Roteamento e acesso remoto' para autenticar pedidos de conexo est selecionada e clique em Novo. 13. Clique em Concluir. 14. Na caixa de dilogo Roteamento e acesso remoto, clique em OK duas vezes.
12-59
15. Feche o Roteamento e acesso remoto. 16. No painel do console do Servidor de Diretiva de Rede, clique com o boto direito do mouse em Diretivas de Solicitao de Conexo e, em seguida, clique em Atualizar. 17. No painel de detalhes, clique com o boto direito do mouse em Diretiva do Servio de Roteamento e Acesso Remoto da Microsoft e, em seguida, clique em Desabilitar.
d. Feche a janela Configurao de Cliente NAP. 2. Configure NYC-CL1 para o segmento de rede da Internet: a. b. c. Clique em Iniciar, clique com o boto direito do mouse em Rede e, em seguida, clique em Propriedades. Na janela Central de Rede e Compartilhamento, ao lado de Conexo local, clique em Exibir status. Na caixa de dilogo Conexo Local, clique em Propriedades.
d. Na caixa de dilogo Propriedades de Conexo local, clique em Protocolo TCP/IP Verso 4 (TCP/IPv4) e depois em Propriedades. e. f. g. h. i. j. Na caixa de dilogo de Propriedades do Protocolo TCP/IP Verso 4 (TCP/IPv4), clique em Usar o seguinte endereo IP. No campo Endereo IP, digite 10.10.0.50. No campo Mscara de sub-rede, digite 255.255.0.0. No campo Gateway padro, digite 10.10.0.1. No campo do servidor DNS preferencial, digite 10.10.0.10. Clique em OK duas vezes e, em seguida, clique em Fechar.
12-60
3.
Verifique a conectividade de rede para NYC-CL1: a. b. c. Clique em Iniciar | Todos os programas | Acessrios e depois em Prompt de comando. No prompt de comando, digite ping nyc-dc1 e pressione ENTER. Verifique se foi retornada uma resposta bem-sucedida de 10.10.0.10.
4.
Configure uma conexo VPN: a. b. c. No painel de Tarefas da Central de Rede e Compartilhamento, clique em Configurar uma conexo ou uma rede. Na pgina Escolher uma conexo, clique em Conectar-se a um local de trabalho e depois em Avanar. Na pgina Como deseja se conectar, clique em Usar minha conexo com a Internet (VPN).
d. Na pgina Voc deseja configurar uma conexo de Internet antes de configurar, clique em Configurarei minha conexo com a Internet mais tarde. e. f. g. h. i. j. k. l. Na pgina Digite o endereo da Internet com o qual se conectar, no campo Endereo na Internet, digite 10.10.0.30. No campo Nome do destino, digite Woodgrove VPN. Marque a caixa de seleo Permitir que outras pessoas usem esta conexo e clique em Avanar. Na pgina Digite o seu nome de usurio e a senha, no campo Nome de usurio, digite Administrator. No campo Senha, digite Pa$$w0rd e marque a caixa de seleo Lembrar esta senha. No campo Domnio (opcional), digite WOODGROVEBANK e clique em Criar. Na pgina A conexo est pronta para uso, clique em Fechar. No painel de Tarefas da Central de Rede e Compartilhamento, clique em Gerenciar conexes de rede.
12-61
m. Na janela Conexes de rede, clique com o boto direito do mouse em Woodgrovebank VPN e, em seguida, clique em Propriedades. n. Na caixa de dilogo de Propriedades de Woodgrove VPN, na guia Segurana, clique em Avanada (configuraes personalizadas) e depois em Configuraes. o. Na caixa de dilogo Configuraes de Segurana Avanadas, clique em Usar Protocolo EAP (Extensible Authentication Protocol) e, na lista Usar Protocolo EAP (Extensible Authentication Protocol), clique em EAP protegido (PEAP) (criptografia habilitada).
p. Clique em Propriedades. q. Na caixa de dilogo Propriedades EAP Protegidas, verifique se a caixa de seleo Validar certificado do servidor est marcada e desmarque a caixa de seleo Conectar-se a estes servidores. Na lista Selecionar Mtodo de Autenticao, verifique se a opo Senha segura (EAP-MSCHAP v2) est selecionada. Desmarque a caixa de seleo Ativar Reconexo Rpida e marque a caixa de seleo Ativar verificaes de Quarentena. Clique em OK trs vezes.
r. s. t. 5.
Teste a conexo VPN: a. b. c. Na janela Conexes de Rede, clique com o boto direito do mouse em Woodgrove VPN e, em seguida, clique em Conectar. Na caixa de dilogo Conectar Woodgrove VPN, clique em Conectar. Na caixa de dilogo Digite as Credenciais, clique em OK.
d. Na caixa de dilogo Validar certificado do servidor, clique em Exibir certificado de servidor. e. Na caixa de dilogo Certificado, verifique se as Informaes sobre o Certificado declaram que o certificado foi emitido para nycsvr1Woodgrovebank.com pela WoodgroveBank-NYC-DC1-CA e clique em OK duas vezes. Espere a conexo VPN ser estabelecida. Como a NYC-CL1 compatvel, ela dever ter acesso ilimitado sub-rede da Intranet. No prompt de comando, digite ipconfig /all e pressione ENTER.
f. g.
12-62
h. i.
Examine a configurao de IP e verifique se o Estado de Quarentena do Sistema e Irrestrito. Digite ping nyc-svr1 e pressione ENTER. Isso deve ocorrer com xito.
j. 6.
Na janela Conexes de Rede, clique com o boto direito do mouse em Woodgrove VPN e, em seguida, clique em Desconectar.
Configure o Validador da Integridade da Segurana do Windows para exigir um aplicativo antivrus: a. b. c. No painel do console do Servidor de Diretiva de Rede de NYC-SVR1, clique em Validadores da Integridade do Sistema. No painel de detalhes, clique duas vezes em Validador da Integridade da Segurana do Windows. Na caixa de dilogo Propriedades do Validador da Integridade da Segurana do Windows, clique em Configurar.
d. Na caixa de dilogo Validador da Integridade da Segurana do Windows, marque a caixa de seleo Aplicativo antivrus ativo. e. 7. Clique em OK duas vezes.
Verifique se o cliente foi colocado na rede restrita: a. b. c. Na janela Conexes de Rede de NYC-CL1, clique com o boto direito do mouse em Woodgrove VPN e, em seguida, clique em Conectar. Na caixa de dilogo Conectar Woodgrove VPN, clique em Conectar. Na caixa de dilogo Digite as Credenciais, clique em OK.
d. Espere a conexo VPN ser estabelecida. e. f. Na rea de notificao, clique duas vezes no cone de acesso rede na bandeja do sistema. Na caixa de dilogo Proteo de Acesso Rede, examine as configuraes e clique em Fechar.
Observao: Essa caixa de dilogo indica que o computador no atende aos requisitos de integridade. Essa mensagem exibida porque o software antivrus no foi instalado.
12-63
g. h. 8.
No prompt de comando, digite ipconfig /all e pressione ENTER. Examine a configurao de IP. O Estado de Quarentena do Sistema dever ser Restrito.
12-64
Perguntas de reviso
1. 2. Quais so as trs principais configuraes de cliente que voc precisa definir para a maioria das implantaes de NAP? Voc deseja avaliar a integridade e a segurana gerais dos computadores com imposio de NAP. O que voc precisa fazer para comear a registrar eventos de NAP?
12-65
Prticas recomendadas
Leve em considerao as seguintes prticas recomendadas ao implementar a NAP: Use mtodos de imposio fortes (IPsec, 802.1x e VPN). Os mtodos de imposio fortes fornecem a implantao de NAP mais segura e eficiente. No dependa da NAP para proteger uma rede contra usurios malintencionados. A NAP foi projetada para auxiliar os administradores a manter a integridade dos computadores da rede que, conseqentemente, ajuda a manter a integridade geral da rede. A NAP no impede um usurio autorizado com um computador compatvel de carregar um programa mal-intencionado na rede ou de desabilitar o agente NAP. Use diretivas de NAP condizentes em toda a hierarquia do site para minimizar a confuso. A configurao incorreta de uma diretiva de NAP poder permitir que clientes acessem a rede quando deveriam estar restritos, ou que clientes vlidos sejam erroneamente restringidos. Quanto mais complicado for o design de diretiva de NAP, mais alto ser o risco de configurao incorreta. No conte com a NAP como um mecanismo de imposio instantnea ou em tempo real. Existem atrasos inerentes ao mecanismo de imposio de NAP. Embora a NAP ajude a manter os computadores compatveis a longo prazo, os atrasos de imposio tpicos podem durar vrias horas ou mais devido a vrios fatores, inclusive as configuraes de vrios parmetros de configurao.
12-66
Ferramentas
Ferramenta Use para Servios Habilitar e configurar o servio NAP em computadores cliente. Onde encontr-la Clique em Iniciar, em Painel de controle, em Sistema e Manuteno, em Ferramentas administrativas e, em seguida, clique duas vezes em Servios. Abra uma janela de comando com direitos administrativos e digite netsh nap. Voc pode digitar help para obter uma lista completa de comandos disponveis.
Netsh nap
Com o netsh, voc pode criar scripts para configurar automaticamente um conjunto de configuraes do Firewall do Windows com Segurana Avanada, criar regras, monitorar conexes e visualizar a configurao e o status do Firewall do Windows com Segurana Avanada. Algumas implantaes de NAP que usam o Validador da Integridade da Segurana do Windows exigem a habilitao da Central de Segurana. A Diretiva de Grupo pode tambm ser usada para habilitar e gerenciar o cliente NAP. Usado para criar as diretivas de integridade, diretivas de solicitao de conexo, e Proteo de Acesso Rede (NAP) com Servidor de Diretiva de Rede.
Diretiva de Grupo
Habilite a configurao Ativar o Centro de Segurana (PCs em domnios somente) nas sees Configurao do computador, Modelos administrativos, Componentes do Windows e Central de Segurana da Diretiva de Grupo. Abra o console de NPS (Local). Em Introduo e Configurao Padro, selecione o servidor de diretivas NAP (Servidor de Acesso Rede). O texto e os links abaixo do texto mudam para refletir a sua seleo. Clique em Configurar NAP com um assistente.
13-1
Mdulo 13
Configurao da disponibilidade de recursos e contedo de rede
Sumrio:
Lio 1: Configurao de cpias de sombra Laboratrio A: Configurao de cpias de sombra Lio 2: Oferta de disponibilidade de servio e de servidor Laboratrio B: Configurao do balanceamento de carga de rede 13-3 13-11 13-14 13-26
13-2
Este mdulo explica como configurar a disponibilidade de recursos e de contedo de rede e como habilitar um volume de cpia de sombra, que d acesso a verses anteriores de arquivos e pastas de uma rede. Por ltimo, este mdulo explica como usar o cluster de failover e o balanceamento de carga de rede (NLB) para possibilitar melhores disponibilidade de dados e escalabilidade da carga de trabalho.
13-3
Lio 1
No Microsoft Windows Server 2008, assim como no Microsoft Windows Server 2003, voc pode habilitar cpias de sombra por volume para monitorar alteraes feitas em compartilhamentos da rede, o que d ao usurio a oportunidade de recuperar arquivos e pastas.
13-4
Pontos principais
O recurso Verses Anteriores, disponvel no Windows Server 2008, permite que os usurios acessem verses anteriores de arquivos e pastas da rede. Isso til porque os usurios podem: Recuperar arquivos excludos acidentalmente. Recuperar um arquivo substitudo acidentalmente. Comparar verses de um arquivo enquanto trabalham.
Pergunta: Se voc tivesse que implantar cpias de sombra de pastas compartilhadas do seu ambiente de rede, perceberia uma diminuio das chamadas de usurios que precisam de restaurao de backups?
13-5
Pontos principais
Antes de implantar cpias de sombra, obtenha as seguintes informaes, que auxiliaro no planejamento: Com que freqncia os usurios modificaro o contedo de pastas protegidas por cpia de sombra? Quantas verses anteriores de arquivos voc deseja manter? Qual o espao disponvel para armazenar cpias de sombra?
Pergunta: Aplique essas consideraes de planejamento a um cenrio de cpia de sombra do seu ambiente de trabalho e descreva as opes possveis.
13-6
Pontos principais
Se voc usar os valores padro para habilitar cpias de sombra de pastas compartilhadas de um volume, as tarefas sero agendadas para criar cpias s 7h00 e s 12h00. A rea de armazenamento padro ficar no mesmo volume, e seu tamanho ser limitado a 10% do espao disponvel. Se voc definir que deseja criar cpias de sombra com mais freqncia, verifique se alocou espao de armazenamento suficiente e no faa cpias com muita freqncia para no diminuir o desempenho do servidor. Pergunta: Como voc pretende modificar o agendamento padro do seu ambiente? Voc tem dados em compartilhamentos que podem exigir um agendamento mais agressivo?
13-7
Pontos principais
Abrir o Gerenciamento do Computador. Habilitar Cpias de Sombra em um nico volume do servidor.
Pergunta: Quais so as possveis desvantagens ou os custos de habilitar o recurso Cpias de Sombra? Pergunta: Voc habilitar Cpias de Sombra em todos os volumes dos servidores?
13-8
Pontos principais
Em verses anteriores do sistema operacional Windows, o software cliente Verses Anteriores deve estar instalado para que os usurios possam utilizar cpias de sombra. No sistema operacional Microsoft Windows Vista, o cliente de Verses Anteriores interno, por isso a configurao do cliente no necessria. Pergunta: Que problema pode surgir se um usurio ligar para o suporte tcnico e reclamar que a guia Verses Anteriores no est disponvel nas propriedades do arquivo/da pasta compartilhada?
13-9
Pontos principais
Aps habilitar cpias de sombra de pastas compartilhadas e comear a criar cpias de sombra, voc poder utilizar o recurso Verses Anteriores para recuperar verses anteriores de arquivos e pastas ou recuperar arquivos e pastas que foram renomeados ou excludos. Pergunta: Se um usurio ligar e disser que a guia Verses Anteriores no est visvel, o que voc perguntar para determinar o problema?
13-10
Pontos principais
Usar a guia Verses Anteriores para restaurar uma verso mais antiga de um arquivo.
Pergunta: De que maneira voc treinaria os usurios para que eles mesmos faam restauraes de cpia de sombra? Pergunta: Se um usurio quisesse restaurar parte da verso anterior de um documento, como voc o instruiria a proceder?
13-11
13-12
13-13
13-14
Lio 2
Balanceamento de carga de rede (NLB) uma tecnologia de cluster que usa um algoritmo distribudo para distribuir a carga do trfego de rede entre vrios hosts. Isso melhora a escalabilidade e a disponibilidade de servios crticos baseados em IP, como a Web, redes virtuais privadas (VPN), mdia de streaming, Servios de Terminal, proxy, entre outros. O NLB tambm proporciona alta disponibilidade, porque so detectadas falhas de host e o trfego redistribudo automaticamente para os hosts que esto funcionando.
13-15
Pontos principais
Quando voc instala o NLB como driver de rede em cada um dos hosts ou servidores membro do cluster, o cluster apresenta um endereo IP virtual para solicitaes de cliente. As solicitaes de cliente vo para todos os hosts do cluster, mas apenas o host para o qual uma dada solicitao de cliente mapeada aceita e processa a solicitao. Todos os outros hosts descartam a solicitao. Dependendo da configurao de cada host do cluster, o algoritmo de mapeamento estatstico, presente em todos os hosts do cluster, mapeia as solicitaes de cliente para processamento em hosts especficos. O uso do NLB com servios compatveis oferece os benefcios de maiores disponibilidade, escalabilidade e desempenho de balanceamento de carga, bem como a capacidade de distribuir muitos clientes entre um grupo de servidores. Pergunta: Voc tem servidores que hospedam informaes sem monitoramento de estado que se beneficiariam do NLB no seu ambiente?
13-16
Pontos principais
Instalar o recurso Balanceamento de Carga de Rede.
13-17
Pontos principais
Para configurar o cluster de Balanceamento de Carga de Rede, voc deve configurar trs tipos de parmetros: Parmetros de host, que so especficos de cada host de um cluster NLB. Os parmetros de host incluem: Prioridade, que especifica um ID exclusivo para cada host. O host com a prioridade numrica mais baixa entre os membros atuais do cluster processa todo o trfego de rede do cluster que no coberto por uma regra de porta.
Parmetros de cluster, que se aplicam a um cluster NLB como um todo. Os parmetros de cluster incluem: O Endereo IP e a Mscara de Sub-rede de um cluster NLB.
13-18
Regras de porta, que substituem a configurao Prioridade ou oferecem balanceamento de carga para intervalos de portas especficos. As regras de porta incluem os seguintes atributos: O Intervalo de Portas especifica a(s) porta(s) que ser(o) afetada(s) pela regra. A configurao Protocolos determina o protocolo de rede que ser coberto pela regra.
13-19
Pontos principais
Criar um novo cluster NLB. Definir configuraes para o novo cluster NLB.
13-20
Terminologia de cluster
Pontos principais
H vrios termos importantes que so utilizados quando se fala sobre cluster. Pergunta: Discuta a abordagem do seu ambiente de trabalho sobre perodos de inatividade planejados e no planejados.
13-21
Pontos principais
Um cluster de failover um grupo de computadores independentes que trabalham juntos para aumentar a disponibilidade de aplicativos e servios. Os cabos fsicos e o software se conectam a servidores em cluster, chamados ns. Se um dos ns do cluster falhar, outro n comear a oferecer esse servio (um processo chamado failover). Por isso, os usurios experimentam um mnimo de interrupes de servio.
Observao: o recurso de cluster de failover no est disponvel nas edies Windows Web Server 2008 ou Windows Server 2008 Standard.
Os clusters de failover incluem a seguinte nova funcionalidade: Novo recurso de validao Suporte para discos GPT (tabela de partio GUID) do armazenamento de cluster
13-22
Os aprimoramentos feitos na funcionalidade de cluster de failover j existente incluem: Melhor instalao do cluster Interfaces de gerenciamento simplificadas Aprimoramentos de estabilidade e segurana, o que pode gerar maior disponibilidade Melhorias quanto maneira como um cluster trabalha com armazenamento Aprimoramentos em interfaces para trabalhar com pastas compartilhadas Aprimoramentos em rede e segurana
13-23
Pontos principais
Examine com ateno o hardware em que voc pretende implantar um cluster de failover, para assegurar sua compatibilidade com o Windows Server 2008. Isso necessrio principalmente se voc usa esse hardware para um cluster de servidor que executa o Windows Server 2003. O hardware que suporta um cluster de servidor com o Windows Server 2003 no necessariamente ser compatvel com um cluster de failover que executa o Windows Server 2008.
Observao: no possvel executar uma atualizao sem interrupo de um cluster de servidor que executa o Windows Server 2003 para um cluster de failover com o Windows Server 2008. No entanto, depois de criar um cluster de failover que executa o Windows Server 2008, voc poder utilizar um assistente para migrar certas configuraes de recurso para ele de um cluster de servidor com o Windows Server 2003.
13-24
necessrio o seguinte hardware em um cluster de failover: Servidores Cabo e adaptadores de rede (para comunicao em rede) Controladores de dispositivos ou adaptadores apropriados para armazenamento, se for usado SCSI compartilhado Iniciador iSCSI e um adaptador de rede dedicado, se for usado armazenamento iSCSI Armazenamento compartilhado
Pergunta: Se, no momento, voc tem um cluster de servidor com uma verso de servidor anterior, possvel fazer uma atualizao sem interrupo para o Cluster de Failover do Windows Server 2008?
13-25
Pontos principais
O cluster de failover pode ser til em muitos cenrios diferentes: Compartilhamentos de arquivos podem ganhar alta disponibilidade. Aplicativos como o Microsoft Exchange podem ganhar alta disponibilidade. Bancos de dados no Microsoft SQL Server podem ganhar alta disponibilidade. Mquinas virtuais que executam em hosts Hyper-V podem ganhar alta disponibilidade.
Pergunta: Descreva um cenrio do seu ambiente de trabalho em que voc utiliza ou pretende implementar o cluster de failover.
13-26
13-27
13-28
13-29
Perguntas de reviso
1. 2. Qual o perigo de optar por restaurar uma pasta em Cpias de Sombra? Qual a diferena entre clusters de failover e Balanceamento de Carga de Rede?
Prticas recomendadas
Considere a seguinte prtica recomendada de NLB e Cluster de Failover: Proteja corretamente os hosts NLB e os aplicativos com balanceamento de carga: o Balanceamento de Carga de Rede no proporciona segurana adicional para os hosts com balanceamento de carga e no pode ser usado como firewall. importante proteger devidamente os hosts e aplicativos com balanceamento de carga. Os procedimentos de segurana podem ser encontrados na documentao de cada aplicativo especfico. Por exemplo, se voc est usando o NLB para balancear a carga de um cluster de servidores IIS, siga os procedimentos e diretrizes para proteger o IIS.
13-30
necessrio proteger a sub-rede NLB contra a invaso de computadores e dispositivos no autorizados para evitar a interferncia de pacotes de pulsao no autorizados.
Embora no obrigatrio, use dois ou mais adaptadores de rede em cada host do cluster NLB sempre que possvel: Se o cluster estiver operando no modo unicast padro, o NLB no conseguir diferenciar os adaptadores nicos em cada host. Por isso, toda a comunicao entre os hosts do cluster NLB no ser possvel, a menos que cada host do cluster tenha pelo menos dois adaptadores de rede. Voc pode configurar o Balanceamento de Carga de Rede em mais de um adaptador de rede. Todavia, se voc usar um segundo adaptador de rede para considerar essa prtica recomendvel, instale o Balanceamento de Carga de Rede em apenas um adaptador (chamado de adaptador de cluster.)
Use somente o protocolo de rede TCP/IP no adaptador de cluster: No adicione outros protocolos (por exemplo, IPX) a este adaptador.
Habilite o registro em log do Gerenciador de Balanceamento de Carga de Rede: possvel configurar o Gerenciador de Balanceamento de Carga de Rede (NLBM) para registrar em log todos os eventos do NLBM. Esse log pode ser muito til para corrigir problemas ou erros quando voc usa o NLBM. Para habilitar o registro em log do NLBM, clique em Configuraes de Log no menu Opes do Gerenciador de Balanceamento de Carga de Rede. Marque a caixa de seleo Habilitar registro em log e especifique um nome e um local para o arquivo de log. O arquivo de log do Gerenciador de Balanceamento de Carga de Rede contm informaes potencialmente confidenciais sobre o cluster e os hosts NLB, por isso deve ser devidamente protegido. Por padro, o arquivo de log herda as configuraes de segurana do diretrio em que criado, portanto talvez voc precise alterar as permisses explcitas no arquivo a fim de restringir o acesso de leitura e gravao para as pessoas que no precisam de controle total do arquivo. Verifique se as pessoas que usam o NLBM precisam efetivamente de controle total do arquivo de log.
13-31
Verifique se o aplicativo com balanceamento de carga est iniciado em todos os hosts do cluster em que ele foi instalado: O NLB no inicia nem interrompe aplicativos.
Use o seguinte para ajudar a aumentar a segurana do cluster de failover: No defina a conta de servio Cluster como sendo membro do grupo de Administradores de domnio. Ao conceder o mnimo possvel de direitos de usurio conta de servio Cluster, voc evita problemas de segurana em potencial caso essa conta seja comprometida. Limite e audite o acesso a dados compartilhados (por exemplo, arquivos e pastas em discos do cluster). Limite o acesso de cliente a recursos do cluster. Use contas diferentes para o servio Cluster e os aplicativos do cluster. Use diferentes contas de servio Cluster para vrios clusters.
14-1
Mdulo 14
Monitoramento e manuteno de servidores do Windows Server 2008
Sumrio:
Lio 1: Planejamento de tarefas de monitoramento Lio 2: Clculo de uma linha de base de servidor Lio 3: Medio de objetos de desempenho Laboratrio A: Identificao dos requisitos de monitoramento do Windows Server 2008 Lio 4: Seleo das ferramentas de monitoramento apropriadas Lio 5: Planejamento de mtodos de notificao Lio 6: Viso geral das tarefas de gerenciamento do Windows Server 2008 Lio 7: Automatizao do gerenciamento do Windows Server 2008 Laboratrio B: Configurao do monitoramento do Windows Server 2008 14-3 14-9 14-14 14-24 14-29 14-37 14-41 14-45 14-49
14-2
A maioria das empresas precisam de solues econmicas que agreguem valor ao investimento. Voc deve monitorar os servidores para que eles funcionem com eficincia e utilizem a capacidade de servidor disponvel. Muitos administradores precisam de ferramentas de monitoramento de desempenho para identificar componentes que exigem ajustes adicionais e soluo de problemas. Ao identificar os componentes que exigem ajustes adicionais, voc pode melhorar a eficincia dos servidores.
14-3
Lio 1
O sistema operacional Microsoft Windows Server 2008 pode usar muitas ferramentas de monitoramento. Esta lio discute a variedade de recursos de monitoramento disponveis para o Windows Server 2008 e como voc pode se planejar para medir a eficincia do sistema operacional e dos componentes de hardware atravs do monitoramento.
14-4
Pontos principais
Voc deve monitorar os servidores da sua organizao para solucionar problemas de desempenho inesperados no hardware e no software de maneira rpida e fcil. Utilizando ferramentas de monitoramento de desempenho, voc consegue determinar quando um servidor est de fato mais lento para responder solicitaes de usurios, em vez de contar com a percepo dos usurios quanto a tempos de resposta "lentos" e "rpidos". O monitoramento interativo de sistemas til quando voc quer determinar o efeito de uma dada ao ou para solucionar problemas especficos. Esse tipo de monitoramento tambm ajuda a garantir o cumprimento de SLAs.
14-5
Examinar os dados coletados tambm pode ser til para rastrear tendncias ao longo do tempo, determinar quando necessrio realocar recursos e decidir quando investir em novos componentes de hardware para atender s necessidades dinmicas da sua empresa. Voc deve usar dados de desempenho histricos para ajud-lo no planejamento de requisitos de servidor no futuro. Pergunta: Liste quatro procedimentos de soluo de problemas que seriam beneficiados pelo monitoramento de servidores.
14-6
Mtodos de monitoramento
Pontos principais
Voc deve selecionar a ferramenta mais apropriada para o tipo de monitoramento necessrio. Pergunta: Que ferramentas voc pretende usar para monitorar o Windows Server 2008? Considere metas de planejamento de longo prazo e situaes de soluo de problemas especficas.
14-7
Pontos principais
H vrias consideraes quando se est planejando o monitoramento de eventos. Considere o seguinte: Voc deve assegurar que os sistemas tenham uma boa relao custo/benefcio para a organizao. Sua empresa pode conseguir reduzir o trabalho da equipe para monitorar eventos se implementar um monitoramento de eventos eficiente. possvel evitar interrupes de servio e do sistema assegurando que os recursos mantenham capacidade suficiente para cumprir contratos de nvel de servio (SLAs).
14-8
Pergunta: Qual o custo monetrio da reduo da produtividade dos usurios para a sua organizao? Pergunta: Qual o custo das interrupes do sistema causadas pelo nomonitoramento de sistemas? Pergunta: Qual o custo de uma abordagem reativa para solucionar problemas?
14-9
Lio 2
Esta lio discute alguns dos principais componentes de servidor a serem avaliados. Voc aprender a usar tcnicas de anlise e planejamento com mtricas de desempenho coletadas para melhorar a infra-estrutura de servidor.
14-10
Pontos principais
Os quatro principais componentes de hardware a serem monitorados so: processador, disco, memria e rede. Voc deve avaliar todos os principais componentes do sistema. Leve em considerao a funo de servidor e a carga de trabalho para determinar os componentes de hardware que podem restringir o desempenho. possvel aumentar o desempenho do servidor adicionando capacidade ou reduzindo o nmero de usurios que tm acesso a ele.
Pergunta: Que componentes de hardware so mais propensos a restringir o desempenho de um servidor de arquivos?
14-11
Pontos principais
Voc deve se familiarizar com objetos e contadores bsicos de medio de desempenho para monitorar os principais componentes de hardware. Pergunta: Que problemas de desempenho podem ser identificados atravs do monitoramento do cache?
14-12
Pontos principais
importante alinhar o planejamento na organizao. Atravs da anlise de tendncias de desempenho, voc pode tomar decises para o futuro. D especial ateno importncia dos dados de desempenho para assegurar que eles reflitam o ambiente de servidor real. Considere a anlise de desempenho junto com os planos de negcios. Talvez seja possvel reduzir o nmero de servidores em operao depois aps a medio de desempenho.
Pergunta: Que suporte de servidor adicional seus planos de negcios atuais exigem?
14-13
Pontos principais
Voc quer garantir que poder acomodar o crescimento da sua organizao no futuro. O planejamento da capacidade futura permitir que a sua organizao cresa sem comprometer a produtividade. O planejamento da capacidade se concentra: Na carga de trabalho do servidor. No nmero de usurios que um servidor pode suportar. Em como dimensionar os sistemas para acomodar uma carga de trabalho e usurios adicionais no futuro.
Pergunta: Como dimensionar a carga de trabalho do servidor existente para suportar mais usurios?
14-14
Lio 3
Ajuste de desempenho o processo contnuo de monitorar um servidor para determinar se ele pode fornecer a carga de trabalho solicitada. Ajuste os servidores para ajustar a carga de trabalho atual de modo a suportar mais usurios ou aplicativos. No Windows Server 2008, voc pode criar funes de servidor para atender s necessidades da sua empresa. Ajuste essas funes para que elas apresentem um desempenho eficiente e, assim, tenham seu uso maximizado. Nesta lio, voc conhecer alguns dos contadores de desempenho bsicos que avaliam diferentes funes de servidor.
14-15
Pontos principais
O Windows Server 2008 utiliza funes de servidor para melhorar a eficincia e a segurana dos servidores. Ao identificar a funo desempenhada por um servidor, voc conseguir medir os contadores necessrios para monitorar o desempenho. Com o uso de funes de servidor, voc assegura que instalar e ativar apenas os componentes necessrios nos seus servidores. S ficam disponveis para monitoramento os objetos e contadores de desempenho relevantes para a funo de servidor instalada.
Pergunta: Que funes de servidor voc usar na sua organizao? Que objetos e contadores estaro disponveis para voc monitorar?
14-16
Pontos principais
Existem muitos contadores que voc deve pesquisar e considerar o monitoramento para atender a necessidades especficas. O Windows Server 2008 permite monitorar o desempenho do sistema operacional atravs de objetos e contadores de desempenho no objeto. O Windows Server 2008 coleta dados de contadores de vrias formas, tais como: Valor de instantneos em tempo real Total desde a ltima reinicializao do servidor Mdia em um intervalo de tempo especfico Mdia dos ltimos x valores
14-17
Pergunta: Por que os contadores de mdia so mais teis do que os contadores que mostram o valor atual?
14-18
Pontos principais
Os contadores de CPU so um recurso da CPU do computador que armazenam a contagem de eventos relacionados a hardware. Processador\% Tempo de Processador: mostra a porcentagem do tempo decorrido durante o qual este thread usou o processador para executar instrues. Uma instruo a unidade bsica de execuo em um processador, e um thread o objeto que executa instrues. O cdigo executado para processar algumas interrupes de hardware e detectar condies includo nessa contagem. Processador\Interrupes/s: mostra a taxa, em incidentes por segundo, em que o processador recebeu e atendeu a interrupes de hardware.
14-19
Processador\Comprimento da Fila de Processador do Sistema: o contador Sistema\Comprimento da Fila de Processador um indicador aproximado do nmero de threads que cada processador est atendendo. O comprimento da fila de processador, tambm chamado de profundidade da fila de processador, informado por esse contador um valor instantneo que representa somente um instantneo atual do processador; portanto necessrio observ-lo por mais tempo. Alm disso, o contador Sistema\Comprimento da Fila de Processador informa o comprimento total da fila de todos os processadores, e no de cada processador individualmente.
Pergunta: Se % tempo de processador 80%, deve ser tomada alguma medida corretiva?
14-20
Pontos principais
O objeto de desempenho Memria consiste em contadores que descrevem o comportamento das memrias fsica e virtual do computador. A memria fsica a quantidade de RAM do computador. A memria virtual abrange o espao na memria fsica e em disco. Muitos contadores de memria monitoram a paginao, que a movimentao de pginas de cdigo e dados entre o disco e a memria fsica. Pergunta: Se os bytes de pool no-paginvel tiverem um pequeno aumento, o que pode estar acontecendo?
14-21
Pontos principais
O objeto de desempenho LogicalDisk consiste em contadores que monitoram parties lgicas de unidades de disco rgido ou fixo. O Monitor de Sistema identifica discos lgicos pela letra da unidade, como "C." O objeto de desempenho PhysicalDisk consiste em contadores que monitoram unidades de disco rgido ou fixo. Os discos so usados para armazenar dados de arquivos, de programas e de paginao. Eles so lidos para recuperar esses itens e gravados para registrar alteraes feitas neles. Os valores dos contadores de disco fsico so somas dos valores dos discos lgicos (ou parties) em que so divididos. Pergunta: Por que voc deseja que o valor de % tempo de disco seja o menor possvel?
14-22
Pontos principais
A maioria das cargas de trabalho exigem acesso a redes de produo para assegurar a comunicao com outros aplicativos e servios e com usurios. Os requisitos de rede incluem elementos como throughput, ou seja, o total de trfego que passa por um dado ponto de uma conexo de rede por unidade de tempo. Outros requisitos de rede incluem a presena de vrias conexes de rede. As cargas de trabalho podem exigir acesso a diversas redes que devem permanecer seguras. Os exemplos incluem conexes para: Acesso a rede pblica. Redes para executar backups e outras tarefas de manuteno. Conexes de gerenciamento remoto dedicadas. Agrupamento de adaptadores de rede para desempenho e failover. Conexes com o servidor host fsico. Conexes com matrizes de armazenamento baseadas em rede.
14-23
Monitorando os contadores de desempenho de rede, voc pode avaliar o desempenho da rede. Pergunta: Se o comprimento da fila de sada for 5, que problemas voc poder ter na rede?
14-24
14-25
2. 3. 4. 5.
Aparentemente qual o problema desse servidor? Escreva um pequeno relatrio descrevendo suas concluses e sugerindo possveis solues para o problema.
14-26
Aparentemente qual o problema desse servidor? Escreva um pequeno relatrio descrevendo suas concluses e sugerindo possveis solues para o problema.
14-27
Aparentemente qual o problema desse servidor? Escreva um pequeno relatrio descrevendo suas concluses e sugerindo possveis solues para o problema.
Resultados: Aps este exerccio, voc dever ter identificado problemas de desempenho em servidores e sugerido medidas para resolv-los.
14-28
14-29
Lio 4
O Windows Server 2008 vem com diversas ferramentas que monitoram o sistema operacional e aplicativos, e voc pode us-las para ajustar o sistema e, assim, obter o mximo em eficincia. Voc deve usar essas ferramentas e complement-las quando necessrio com as suas prprias ferramentas.
14-30
Pontos principais
O Windows Server 2008 tem uma variedade de ferramentas internas que auxiliam voc no monitoramento dos sistemas. O recurso Visualizar Eventos do Windows Server 2008 coleta informaes relacionadas a operaes do servidor. O Gerenciador de Tarefas permite ver processos em tempo real para determinar o uso exato de recursos em um determinado momento. Todos os contadores de desempenho esto disponveis por programao atravs da Instrumentao de Gerenciamento do Microsoft Windows (WMI). Ao disponibilizar contadores de desempenho atravs do WMI, voc consegue monitorar os servidores usando scripts.
14-31
possvel usar o Monitor de Confiabilidade e Desempenho do Microsoft Windows para examinar como os programas que voc executa afetam o desempenho do computador, tanto em tempo real quanto coletando dados de log para anlise posterior. Pergunta: Que ferramentas voc utiliza no momento para monitorar servidores? Como voc pode fazer uso das ferramentas de monitoramento aprimoradas do Windows Server 2008?
14-32
Pontos principais
O Monitor de Desempenho mostra uma representao visual dos objetos e contadores de desempenho do Windows, seja em tempo real ou como um exame de dados histricos. O Monitor de Desempenho tem diversos modos de exibio de grficos que voc pode usar para examinar dados de log de desempenho. No Monitor de Desempenho, possvel criar exibies personalizadas e export-las como conjuntos de coletores de dados para uso com recursos de desempenho e registro em log. Pergunta: Qual um dos benefcios dos Conjuntos de Coletores de Dados?
14-33
Monitor de Confiabilidade
Pontos principais
O Monitor de Confiabilidade mostra uma viso geral da estabilidade do sistema e faz uma anlise de tendncias com informaes detalhadas sobre eventos individuais que podem afetar a estabilidade do sistema como um todo. Pergunta: Como voc pode usar o Monitor de Confiabilidade na sua organizao?
14-34
Pontos principais
Modo de exibio de recursos do Monitor de Confiabilidade e Desempenho. Viso geral do Monitor de Desempenho. Viso geral do Monitor de Confiabilidade. Viso geral dos relatrios.
Pergunta: Onde possvel encontrar informaes em tempo real sobre a atividade da rede? Pergunta: Que relatrios do Monitor de Confiabilidade voc implementar no seu ambiente de trabalho?
14-35
Pontos principais
Ferramentas de terceiros podem ajudar voc a monitorar o ambiente de servidores. As ferramentas de fornecedores de hardware so teis para detectar problemas de desempenho que ocorrem devido a um defeito no hardware. Muitas ferramentas de terceiros integram-se ao System Center Operations Manager (Operations Manager) 2007 para disponibilizar um console de monitoramento centralizado para a sua organizao. Pergunta: Que ferramentas de monitoramento de terceiros voc utiliza, se aplicvel? Como elas podem ajud-lo a monitorar o desempenho dos servidores no futuro?
14-36
O que so inscries?
Pontos principais
Em Visualizar Eventos, voc v eventos de um nico computador remoto. No entanto, para solucionar um problema, talvez voc tenha de examinar um conjunto de eventos armazenados em vrios logs de vrios computadores. O Visualizar Eventos permite coletar cpias de eventos de diversos computadores remotos e armazen-los localmente. Para especificar os eventos que devem ser coletados, crie uma inscrio de evento. Depois que uma inscrio est ativa e que eventos so coletados, voc pode exibir e manipular esses eventos encaminhados da mesma forma que faria com qualquer outro evento armazenado localmente. Pergunta: Onde as inscries seriam mais teis na sua organizao?
14-37
Lio 5
Seus negcios exigiro que voc responda a diversos eventos para assegurar a manuteno de SLAs. Para cumprir SLAs, voc deve notificar a equipe usando uma infinidade de mtodos a fim de tomar as medidas apropriadas para resolver problemas. Pode ser necessrio que a equipe solicite suporte adicional para ajudar a resolver alguns eventos.
14-38
Pontos principais
O ajuste de desempenho um exerccio contnuo em que nunca se atinge a perfeio. Voc deve assegurar que as operaes do servidor sejam executadas com eficincia e atendam a todos os SLAs comerciais. Procure sempre encontrar a soluo mais econmica para um gargalo de desempenho. Pergunta: Quais so os seus tempos de respostas de negcios e como a sua empresa disponibiliza a equipe para dar suporte?
14-39
Pontos principais
Voc deve reagir a um evento de maneira cautelosa e apropriada. Alguns eventos exigiro uma resposta imediata da equipe para assegurar a manuteno da disponibilidade do sistema. Outros podero exigir que a equipe faa um trabalho investigativo, na forma de verificaes adicionais do sistema, para determinar a causa de um problema e, assim, apresentar uma soluo para melhorar o desempenho do sistema. Essas verificaes do sistema normalmente no exigem uma resposta imediata por email. As notificaes sobre eventos de servidor devem levar em considerao a gravidade do problema.
Pergunta: Como voc notifica a equipe sobre uma falha de servio ou problemas de manuteno? De que maneira possvel melhorar esse processo?
14-40
Pontos principais
Para cumprir SLAs, voc deve ter uma trilha de auditoria clara e segui-la quando for dar encaminhamento a problemas de desempenho. Os SLAs devem informar o perodo de tempo durante o qual os problemas permanecem nos vrios estgios da resoluo. Isso ajuda a apresentar um nvel de servios aceitvel e mutuamente acordado para a sua organizao. Quando no possvel resolver um problema internamente, voc deve notificar as pessoas relevantes porque existe a probabilidade de atrasos futuros.
Pergunta: Que melhorias voc pode fazer nas vias de encaminhamento de problemas da sua empresa?
14-41
Lio 6
Para assegurar o funcionamento ideal do servidor, importante entender que tarefas de gerenciamento voc deve executar nos servidores. Voc deve decidir a freqncia de execuo de cada tarefa de gerenciamento e assegurar que essa freqncia reflita os requisitos de manuteno e de negcios.
14-42
Pontos principais
A execuo de tarefas de manuteno peridica ajudar a facilitar a disponibilidade ideal do servidor. As tarefas de manuteno peridica incluem assegurar que o computador tenha as atualizaes mais recentes do sistema operacional, inclusive as de segurana. Tambm necessrio assegurar que as atualizaes de segurana mais recentes de todos os aplicativos esto instaladas. O monitoramento constante do desempenho, da integridade e do diagnstico garantir que possveis problemas sejam detectados no incio. Ferramentas para solucionar problemas, como Visualizar Eventos, acompanham o Windows Server 2008. Alm disso, os administradores podem pesquisar no site Microsoft TechNet, no site da Microsoft e em mecanismos de pesquisa, grupos de notcias e blogs.
Pergunta: Liste as tarefas de monitoramento que voc executa com mais freqncia no trabalho.
14-43
Pontos principais
As diferentes funes de servidor necessitaro de diferentes tarefas. Entretanto, voc executar algumas tarefas para todos os tipos de servidores, como examinar logs de eventos do sistema e de aplicativos. Pergunta: Que logs de eventos dos seus servidores voc examina regularmente no trabalho?
14-44
Pontos principais
Para maximizar o tempo do administrador e tambm permitir o devido monitoramento dos servidores, siga as diretrizes sobre a freqncia das tarefas de gerenciamento. Pergunta: Com que freqncia voc examina os logs de eventos do servidor? Pergunta: Algum dos seus servidores tem requisitos que tornam o agendamento de tarefas de gerenciamento mais difcil (como operaes 24x7)?
14-45
Lio 7
H muitas vantagens na automao de aspectos da sua estratgia de gerenciamento do Windows Server 2008. A automao das tarefas de gerenciamento muitas vezes poupa tempo e pode ter um impacto significativo sobre os custos. Todavia, existem muitos aspectos a serem considerados que esto relacionados aos mtodos, habilidades, software e planejamento que voc deve executar para poder implantar opes de automao.
14-46
Requisitos de automao
Pontos principais
Quando examinar solues de automao para gerenciar sua infra-estrutura de servidores, voc deve considerar vrios aspectos que podem resultar em benefcios e, ao mesmo tempo, ter restries e custos ocultos. Pergunta: Voc tem alguma habilidade com scripts ou com o Windows PowerShell na sua organizao?
14-47
Pontos principais
A Microsoft oferece muitas ferramentas que podem simplificar tarefas complexas ou repetitivas no Windows Server 2008. Embora algumas dessas ferramentas possam exigir habilidades extras, vrias delas so fceis de implementar e oferecem benefcios imediatos. Alm disso, voc tem a opo de usar diversas ferramentas de terceiros que podem executar tarefas de monitoramento e alerta, implantar alteraes de configurao ou realizar auditorias para gerenciar os computadores da sua rede com mais facilidade. Pergunta: Atualmente voc usa ferramentas de automao no trabalho? Pergunta: De que maneira o uso de ferramentas de automao pode ser benfico para a sua organizao?
14-48
Pontos principais
Ao escolher ferramentas que ajudem a gerenciar a sua infra-estrutura, voc deve considerar vrios aspectos para fazer a escolha certa. Talvez voc tenha de selecionar vrias ferramentas para garantir a cobertura completa de todos os requisitos de gerenciamento. Pergunta: Se hoje voc usa alguma(s) dessas ferramentas, qual foi o motivo da escolha?
14-49
14-50
14-51
14-52
Tarefa 1: Encaminhar mensagens de erro de replicao do Servio de Diretrio para um local central
Faa logon em 10140A-NYC-DC1 usando estas informaes: Nome de usurio: woodgrovebank\administrator Senha: Pa$$w0rd
Adicione o computador NYC-SVR1 ao grupo Administradores do domnio WoodgroveBank.com. Faa logon em 10140A-NYC-SVR1 usando estas informaes: Nome de usurio: woodgrovebank\administrator Senha: Pa$$w0rd
Abra Visualizar Eventos. Crie uma inscrio para encaminhar eventos de NYC-DC1 para NYC-SVR1 inserindo a consulta manualmente no seguinte exemplo de cdigo:
<QueryList> <Query Id="0" Path="Directory Service"> <Select Path="Directory Service">*[System[(Level=2 or Level=3) and (EventID=1308 or EventID=1864)]]</Select> </Query> </QueryList>
14-53
Salve como C:\Users\Administrator.Woodgrovebank\Documents \DriveReport.ps1. Inicie o Windows PowerShell. Ative a execuo de scripts do Windows PowerShell digitando o seguinte: set-executionpolicy unrestricted. Execute o script DriveReport.ps1 que voc criou e examine os resultados.
Resultados: Aps este exerccio, voc dever ter configurado o encaminhamento do Log de Eventos para erros de replicao do servio de diretrio do Active Directory e executado um script para examinar o espao em disco.
14-54
Perguntas de reviso
1. 2. 3. 4. 5. Quais so os benefcios de se monitorar o desempenho do servidor? Quais so algumas das tarefas que voc deve executar ao criar uma linha de base de desempenho para um servidor? Quais so as vantagens de usar uma variedade de ferramentas de monitoramento? Quais so as vantagens da medio de contadores de desempenho especficos? Quais so as vantagens de usar alertas para identificar problemas de desempenho?
14-55
Notas
Notas
Notas
Notas
Notas
Notas
Notas
Notas