Instalação e Administração do
              Windows Server 2008




Guilherme Lima
 MCITP Enterprise Administrator / MCITP...
Agenda
Definição de problemas do ambiente de TI          30


Fundamentos                                       30


Apres...
Problema, solução e problema?

 Problema: Instalar 50 máquinas recém compradas na empresa de forma rápida, segura
        ...
Ambiente de TI
Na visão sobre o problema devemos sempre levar em consideração
algumas variáveis:
                         ...
Visão da TI
Atrasos em projetos de TI impactam
lucratividade das empresas

Segundo a pesquisa da The Economist e da HP,
em...
Projetos de TI mal planejados e divulgados




                                             7
Conhecimento ambiente/depto/profissional
Ambiente: Toda a estrutura necessária para se fornecer acesso a
informações corpo...
Fundamentos

Perguntas fundamentais                                      SIM   NÃO
A palavra TI te assusta?
Existe um depa...
Agenda
Definição de problemas do ambiente de TI          30


Fundamentos                                       30


Apres...
Fundamentos
¬ Por que existem servidores?
 - Para gerenciar a comunicação entre diversos computadores e serviços disponíve...
Fundamentos
¬ O que é um domínio?
 - Um domínio é uma denominação onde se aplica um nome para uma família de recursos
 - Q...
Fundamentos
  O primeiro servidor do                                 Uma árvore de domínio é
domínio se chama Domain      ...
Agenda
Definição de problemas do ambiente de TI          30


Fundamentos                                       30


Apres...
Ambiente
Você foi convidado a trabalhar em uma empresa de 15 funcionários do
ramo contábil. Nessa empresa existe a seguint...
Ambiente
Na sua análise do ambiente foi encontrado o seguinte:
                                                1- As máqui...
Ambiente – Problemas Diretos
Nossos problemas diretos nos são apresentados pelos sócios da
empresa, portanto uma visão do ...
Ambiente – Problemas Indiretos
Sua visão analítica indica problemas indiretos e que podem acontecer a qualquer momento.
Qu...
Ambiente
Para resolver os nossos problemas precisamos conhecer as
possibilidades, vamos dividir o problema?

1- Desenhar u...
Ambiente – Novo desenho
1- Desenhar um novo ambiente
                               1- Adicionado um servidor
            ...
Ambiente – Novo desenho
1- Qual versão do Windows vamos usar?
          1- A versão do Windows que devemos utilizar precis...
Edições do Windows Server 2008
Existem 9 versões do Windows Server 2008, elas variam de acordo
com a finalidade, preço e s...
Edições do Windows Server 2008
  Edição           Resumo
                   O Windows Server 2008 Datacenter oferece uma
 ...
Edições do Windows Server 2008
  Edição           Resumo
                   O Windows Server 2008 for Itanium-based System...
Edições do Windows Server 2008
  Edição           Resumo
                   O Windows Server 2008 Enterprise é uma platafo...
Edições do Windows Server 2008
  Edição           Resumo
                   Edição voltada para redes com até 15 usuários,...
Ambiente – Servidor instalado
Quando precisamos controlar um novo ambiente, é recomendado que
seja feita a instalação de n...
Regras disponíveis
ADUC – Active Directory Users and Computers
Regra de controle de criação / modificação / remoção de usu...
Regras disponíveis
ADCS – Active Directory Certificate Services
Serviço de gerência de certificados de segurança aplicados...
Regras disponíveis
DHCP – Dynamic Hosts Control Protocol
Serviço de publicação de IPs disponíveis no domínio para
equipame...
Regras disponíveis
RDP – Remote Desktop Protocol (antigo TSWeb)
Serviço de acesso remoto para publicação de desktops

WSUS...
Ambiente – Definição
Ambiente: Baseado nos seus conhecimentos a versão selecionada foi o Windows Server
2008 Standard pois...
Ambiente – Prática 1

Na primeira prática podemos escolher:


       - Instalar um novo servidor (30 Minutos)



       - ...
Ambiente – Novo servidor




                           35
Ambiente – Aperfeiçoamentos
É possível liberar o mesmo tamanho da memória de um servidor
Windows Server 2008 com uma simpl...
Ambiente – Prática 2
Faremos a instalação da regra de Active Directory e seus recursos,
assim como a promoção do primeiro ...
Ambiente – Solução
O que já foi desenvolvido na solução dos nossos problemas?

       1- Desenhar um novo ambiente
       ...
Ambiente – Prática 2
Faremos a instalação das regras de:

- Active Directory (ADDS, Group Policies)
- DNS
- DHCP

Com isso...
Fundamentos
O Active Directory surgiu da necessidade de se ter um único diretório, ou seja, ao invés do usuário ter
uma se...
Fundamentos
O AD é organizado de uma forma hierárquica, com o uso de domínios. Caso uma rede utilize o AD,
poderá conter v...
Fundamentos
Nos domínios baseados no AD, podemos ter dois tipos de servidores:

Controlador de Domínio (DC – Domain Contro...
Fundamentos
Com a utilização de domínios, podemos fazer com que nossa rede reflita a estrutura de uma empresa.
Quando util...
Ambiente – Instalar Active Directory




                                       44
Fundamentos
DNS é a abreviatura de Domain Name System. O DNS é um serviço de resolução de nomes. Toda comunicação entre os...
Fundamentos
Ao tentar acessar um determinado recurso, usando o nome de um servidor, é como se o programa que você está
uti...
Ambiente – Promover o servidor / DNS




                                       47
Fundamentos
O DHCP é composto de diversos elementos. O servidor DHCP e os clientes DHCP. No servidor DHCP são criados esco...
Fundamentos
Superescopo: Um superescopo é um agrupamento administrativo de escopos que pode ser usado para oferecer
suport...
Fundamentos
Concessão: Uma concessão é um período de tempo especificado por um servidor DHCP durante o qual um
computador ...
Ambiente – Promover o servidor / DNS




                                       51
Ambiente – Instalar DHCP




                           52
Ambiente – Solução
O que já foi desenvolvido na solução dos nossos problemas?

       1- Desenhar um novo ambiente
       ...
Agenda
Definição de problemas do ambiente de TI          30


Fundamentos                                       30


Apres...
Active Directory - Segmentação
Para organização do ambiente é preciso criar novas pastas de gerência
e aplicação de regras...
Ambiente – Criar Organizational Units




                                        56
Ambiente – Criação de usuários e grupos
Para começar a gerenciar a nossa rede, faremos a criação de usuários
e grupos do n...
Ambiente – Criar usuários e grupos




                                     58
Ambiente – Prática 3
Inserir computador no domínio:
Para inserir um computador no domínio, faça logon no cliente (XP)
com ...
Ambiente – Inserir clientes no domínio




                                         60
Ambiente – Inserir clientes no domínio




                                         61
Ambiente – Aperfeiçoamentos
Por padrão um domínio Windows 2000/2003/2008 colocam todos os usuários criados e computadores
...
Ambiente – Aperfeiçoamentos




                              63
Ambiente – Definição
O que já foi desenvolvido na solução dos nossos problemas?

       1- Desenhar um novo ambiente
     ...
Agenda
Definição de problemas do ambiente de TI          30


Fundamentos                                       30


Apres...
Prática 4 – Instalação File Server




                                     66
Agenda
Definição de problemas do ambiente de TI          30


Fundamentos                                       30


Apres...
File Services
Os servidores de arquivos baseiam-se em duas gerências:

Gerência de compartilhamento
Quando compartilhamos ...
File Services – Compartilhamento

                                                             IMPORTANTE: As permissões d...
File Services – Compartilhamento
Existem três níveis de permissões de compartilhamento, conforme descrito a seguir:
Leitur...
File Services – Compartilhamento
                             Grupo:      Permissão
                             Socios:  ...
File Services – Compartilhamento
                    Grupo:      Permissão
                    Socios:     Alteração
     ...
File Services – Segurança
Um sistema de arquivos determina a maneira como o Windows 2008 Server organiza e recupera as
inf...
File Services – Segurança
O sistema de arquivos NTFS foi utilizado no Windows NT Server 4.0 e foi mantido no Windows 2000
...
File Services – Segurança

   Permissão       Nível de Acesso
                   Permite ao usuário listar as pastas e arq...
File Services – Segurança

   Permissão       Nível de Acesso
                   Permite ao usuário ler o arquivo, permite...
File Services – Segurança
Todo arquivo ou pasta em uma unidade formatada com NTFS, possui uma "Lista de controle de acesso...
Prática 5 – Compartilhar pastas




                                  78
Agenda
Definição de problemas do ambiente de TI          30


Fundamentos                                       30


Apres...
Aplicação de Quotas
Para gerenciar o crescimento vegetativo de um servidor de arquivos é
preciso controlar o quanto pode-s...
Prática – Aplicação de Quotas




                                81
Agenda
Definição de problemas do ambiente de TI          30


Fundamentos                                       30


Apres...
Fundamentos
Temos um componente muito importante no Windows 2008 quando falamos em segurança.
São as diretivas de seguranç...
Fundamentos
As GPO’s possuem configurações que podem ser aplicadas tanto em
nível de usuário como em nível de computador:
...
Group Policies
Cada uma das políticas é subdividida na inicialização da seguinte
forma:



    Diretivas de computadores: ...
Prática 5 – Aplicação de GPO




                               86
Ambiente – Entrega
O que já foi desenvolvido na solução dos nossos problemas?

       1- Desenhar um novo ambiente
       ...
Agenda
Definição de problemas do ambiente de TI          30


Fundamentos                                       30


Apres...
Ambiente – Entrega
O que já foi desenvolvido na solução dos nossos problemas?

       1- Desenhar um novo ambiente
       ...
Ambiente - Entrega


Agora devemos publicar as novidades para a empresa a fim de mostrar
as qualidades de projetos desenvo...
Obrigado!




                                           Guilherme Lima
            MCITP Enterprise Administrator / MCITP...
Upcoming SlideShare
Loading in...5
×

Instalação do Windows Server 2008

45,057

Published on

Apresentação do Material sobre a instalação do Windows Server 2008 e alguns fundamentos de redes corporativas.
Apresentado por Guilherme Lima

Published in: Technology
12 Comments
21 Likes
Statistics
Notes
No Downloads
Views
Total Views
45,057
On Slideshare
0
From Embeds
0
Number of Embeds
8
Actions
Shares
0
Downloads
2,740
Comments
12
Likes
21
Embeds 0
No embeds

No notes for slide

Instalação do Windows Server 2008

  1. 1. Instalação e Administração do Windows Server 2008 Guilherme Lima MCITP Enterprise Administrator / MCITP Server Administrator 5x MCTS / MCSA / MCDST / MCP / TCF / Auditor ISO 20000
  2. 2. Agenda Definição de problemas do ambiente de TI 30 Fundamentos 30 Apresentação do ambiente de soluções 45 Administração do domínio – Active Directory 90 Administração do domínio – Aplicação de Regras 90 Gerenciamento de Recursos – Servidor de Arquivo 90 Gerenciamento de Recursos – Regras de Quotas 90 Gerenciamento de Recursos – Group Policies 90 Entrega do ambiente 30 3
  3. 3. Problema, solução e problema? Problema: Instalar 50 máquinas recém compradas na empresa de forma rápida, segura e 100% automatizada Solução: Instalar sistema gerenciador que instala e configura o ambiente baseado em serviços de imagens únicas Problema: Qual ferramenta utilizar? 4
  4. 4. Ambiente de TI Na visão sobre o problema devemos sempre levar em consideração algumas variáveis: O que será utilizado? Ferramenta, Servidor, meio físico e lógico? - Tecnologia implementada Meu ambiente suporta a solução? É preparado para isso? Não irá - Ambiente disponível impactar em outro processo/serviço? - Profissional graduado Meu profissional está pronto para utilizar essa ferramenta? Ele conhece o ambiente? - Tempo Quanto tempo ele levará para entregar a solução? - Comunicação Mostrar para a empresa o que está sendo feito, agregar valor ao trabalho da TI 5
  5. 5. Visão da TI Atrasos em projetos de TI impactam lucratividade das empresas Segundo a pesquisa da The Economist e da HP, em cerca de metade das empresas pesquisadas, 25% ou mais dos projetos de TI são concluídos com atraso; já, em 57% das empresas, em cada duas iniciativas de TI, somente uma gera resultados de negócios positivos. Liberty Seguros automatiza processo e gera economia Com mais de um milhão de clientes, a Liberty Seguros registra Fonte: http://www.itweb.com.br/noticias/index.asp?cod=21481 algo em torno de sete milhões de operações apenas de envio de cobrança para instituições financeiras a cada 12 meses. Durante cinco anos, a seguradora teve um parceiro para o serviço de movimentação eletrônica de documentos (EDI, na sigla em inglês) que fazia a interface para troca de arquivos entre a empresa e cerca de 15 bancos. No entanto, o provedor começava a apresentar pontos de falha. "Colocávamos alguns arquivos aqui e eles não chegavam à outra ponta. Assim, a cobrança não entrava e era preciso cancelar a apólice", lista Carlos Magnarelli, diretor-financeiro da Liberty Seguros, sobre as dores de cabeça que as falhas nos trâmites acarretavam. Fonte: http://www.itweb.com.br/noticias/index.asp?cod=70943 6
  6. 6. Projetos de TI mal planejados e divulgados 7
  7. 7. Conhecimento ambiente/depto/profissional Ambiente: Toda a estrutura necessária para se fornecer acesso a informações corporativas utilizando-se segurança, disponibilidade, integridade e confidencialidade para o usuário final. Departamento de TI: Conjunto de profissionais que gerencia a informação que é criada/trafegada pela empresa assim como o suporte a ela. Profissional: O RESPONSÁVEL por arquitetar, estudar, escutar, descrever, criar, implementar, testar, desenvolver e oferecer suporte a toda tecnologia criada ou oferecida. 8
  8. 8. Fundamentos Perguntas fundamentais SIM NÃO A palavra TI te assusta? Existe um departamento de TI na sua empresa? Sua empresa reconhece o departamento? Existem profissionais qualificados/certificados? Eles conhecem as formas de tecnologia disponíveis? Você conhece formas de melhorar o seu ambiente? Existem automatização de algumas tarefas? As atividades estão descritas em documentos de qualidade? O ambiente está organizado? 9
  9. 9. Agenda Definição de problemas do ambiente de TI 30 Fundamentos 30 Apresentação do ambiente de soluções 45 Administração do domínio – Active Directory 90 Administração do domínio – Aplicação de Regras 90 Gerenciamento de Recursos – Servidor de Arquivo 90 Gerenciamento de Recursos – Regras de Quotas 90 Gerenciamento de Recursos – Group Policies 90 Entrega do ambiente 30 10
  10. 10. Fundamentos ¬ Por que existem servidores? - Para gerenciar a comunicação entre diversos computadores e serviços disponíveis - Para disponibilizar recursos e serviços para pequenos computadores. ¬ Para que eles servem? - Para gerenciar serviços e aplicativos onde vários usuários/serviços precisam ter acesso a partir de um ponto único. - Para publicar alguns serviços como páginas web, serviços de correio, banco de dados e gerenciamento ERP ¬ Qual a diferença entre sistemas autônomos e sistemas de rede? - Sistemas autônomos são isolados, por exemplo, softwares de gerência de serviços que não fazem troca de acesso ou trafegam informações para outros. - Sistemas de rede são agregados, unidos e fazem a troca de informações para gerenciar serviços mais complexos e disponibilizam tais dados para clientes ou outros servidores. 11
  11. 11. Fundamentos ¬ O que é um domínio? - Um domínio é uma denominação onde se aplica um nome para uma família de recursos - Quando um novo equipamento é adicionado a um domínio ele recebe um nome FQDN que significa NOME DA MÁQUINA + NOME DO DOMÍNIO ¬ O que é Active Directory? - É o serviço que controla a criação / modificação / remoção de usuários, grupos, computadores, servidores, contatos e entre outros recursos do domínio. ¬ O que é DNS? - É um serviço que descobre e traduz um IP em um nome de máquina, ele é necessário pra cada árvore de domínio ¬ O que é DHCP? - É um serviço que disponibiliza um IP único por placa de rede de equipamento, e com isso o equipamento consegue se comunicar na rede interna. 12
  12. 12. Fundamentos O primeiro servidor do Uma árvore de domínio é domínio se chama Domain quando se tem mais de um Controller servidor por domínio Os servidores que entram Quando se adiciona mais de logo após no domínio são um domínio interligado servidores Membros temos uma nova floresta CONTOSO.CORP SP.CONTOSO.CORP RJ.CONTOSO.CORP 13
  13. 13. Agenda Definição de problemas do ambiente de TI 30 Fundamentos 30 Apresentação do ambiente de soluções 45 Administração do domínio – Active Directory 90 Administração do domínio – Aplicação de Regras 90 Gerenciamento de Recursos – Servidor de Arquivo 90 Gerenciamento de Recursos – Regras de Quotas 90 Gerenciamento de Recursos – Group Policies 90 Entrega do ambiente 30 14
  14. 14. Ambiente Você foi convidado a trabalhar em uma empresa de 15 funcionários do ramo contábil. Nessa empresa existe a seguinte estrutura: 15
  15. 15. Ambiente Na sua análise do ambiente foi encontrado o seguinte: 1- As máquinas comunicam 3- Durante uma crise da umas com as outras e transferem muitos empresa vários documentos importantes, funcionários sabiam da decisãomúsicas e de ativos além de de corte apresentações sem conteúdo antes mesmo dos sócios corporativo. divulgarem os resultados. 2- As pastas de documentos 4- Não existem modelos de importantes do financeiro são acessíveis por máquinas, diretivas nas qualquer funcionário assim como todos fazem o que sua cópia e modificação dos querem, e instalam várias mesmos ferramentas sem permissão para tal. 16
  16. 16. Ambiente – Problemas Diretos Nossos problemas diretos nos são apresentados pelos sócios da empresa, portanto uma visão do problemas diretos. Vamos rever os problemas? 1- As máquinas comunicam umas com as outras e transferem muitos documentos importantes, além de músicas e apresentações sem conteúdo corporativo. 2- As pastas de documentos importantes do financeiro são acessíveis por qualquer funcionário assim como sua cópia e modificação dos mesmos 3- Durante uma crise da empresa vários funcionários sabiam da decisão de corte de ativos antes mesmo dos sócios divulgarem os resultados. 4- Não existem modelos de diretivas nas máquinas, todos fazem o que querem, e instalam várias ferramentas sem permissão para tal. 17
  17. 17. Ambiente – Problemas Indiretos Sua visão analítica indica problemas indiretos e que podem acontecer a qualquer momento. Quais são eles? 1- As máquinas comunicam umas com as outras e transferem muitos documentos importantes, além de músicas e apresentações sem conteúdo corporativo. Existe a possibilidade de transferência de vírus? Acessos indevidos a arquivos, apagamento ou modificação intencional ou não? 2- As pastas de documentos importantes do financeiro são acessíveis por qualquer funcionário assim como sua cópia e modificação dos mesmos. Quem deve acessar os arquivos? existe hierarquia da empresa e no departamento? 3- Durante uma crise da empresa vários funcionários sabiam da decisão de corte de ativos antes mesmo dos sócios divulgarem os resultados. Existe possibilidade de vazamento de informação? É possível que alguém tenha modificado os arquivos para benefício próprio? Existe acesso às informações dos clientes? 4- Não existem modelos de diretivas nas máquinas, todos fazem o que querem, e instalam várias ferramentas sem permissão para tal. É possível bloquear essa ação? Controlar quem pode fazer o que? 18
  18. 18. Ambiente Para resolver os nossos problemas precisamos conhecer as possibilidades, vamos dividir o problema? 1- Desenhar um novo ambiente 2- Instalar um ou dois servidores 3- Denominar usuários de acesso para cada um 4- Criar grupos de controle de acesso 5- Criar um servidor de arquivos para controle de acesso 6- Aplicar regras de controle de acesso 7- Bloquear a ação de funcionários mal intencionados 19
  19. 19. Ambiente – Novo desenho 1- Desenhar um novo ambiente 1- Adicionado um servidor de autenticação de domínio 2- Adicionado um servidor de arquivos 20
  20. 20. Ambiente – Novo desenho 1- Qual versão do Windows vamos usar? 1- A versão do Windows que devemos utilizar precisa contemplar um serviço estável, que possa gerenciar mais de 15 funcionários, suportar acessos simultâneos, disponibilidade, confidencialidade, integridade e crescimento esperado para os próximos anos. 2- Deve suportar a adição de novas máquinas, usuários e suporte a ferramentas de gerenciamento de políticas de máquinas, gerenciamento de usuários e gerenciamento de arquivos Você conhece as versões do Windows Server? 21
  21. 21. Edições do Windows Server 2008 Existem 9 versões do Windows Server 2008, elas variam de acordo com a finalidade, preço e suporte proporcionado. Edição Resumo Recomendado para pequenas e médias empresas para suportar os principais serviços de regras disponíveis. Estabilidade dos sistemas porém com limitação de recursos. O Windows Server 2008 Enterprise oferece uma plataforma de nível corporativo para a implantação de aplicações críticas, além de proporcionar maior disponibilidade com os recursos de cluster e “hot-add” de processador. A edição oferece maior segurança e recursos consolidados de gerenciamento de identidades e reduz os custos de infraestrutura por meio da consolidação das aplicações com direitos de licença para virtualização. O Windows Server 2008 Enterprise fornece as bases para uma infraestrutura de TI altamente dinâmica e escalonável. 22
  22. 22. Edições do Windows Server 2008 Edição Resumo O Windows Server 2008 Datacenter oferece uma plataforma de nível corporativo para implantação de aplicações críticas e virtualização em larga escala de pequenos e grandes servidores, além de proporcionar maior disponibilidade com os recursos de cluster e particionamento dinâmico de hardware. A edição reduz os custos de infra-estrutura por meio da consolidação das aplicações com direitos ilimitados de licença para virtualização e permite o escalonamento de 2 a 64 processadores. O Windows Server 2008 Datacenter fornece as bases para a construção de soluções de escalabilidade vertical e virtualização de nível corporativo. Projetado com a finalidade única de ser um servidor Web, o Windows Web Server 2008 apresenta uma base sólida de recursos de infra-estrutura Web. A integração com os componentes re-projetados IIS 7.0, ASP.NET e Microsoft .NET Framework, permite a qualquer organização implantar rapidamente páginas, sites, aplicações e serviços Web. 23
  23. 23. Edições do Windows Server 2008 Edição Resumo O Windows Server 2008 for Itanium-based Systems (para sistemas baseados em Itanium) foi otimizado para aplicativos de bancos de dados de grande porte e de gestão de negócios (LOB), bem como para aplicativos clientes, fornecendo alta disponibilidade e escalabilidade para suportar até 64 processadores, a fim de atender às necessidades de soluções exigentes e de missão crítica. O Windows Server 2008 é mais sólido sistema operacional Windows Server já lançado. Ele foi projetado para aumentar a confiabilidade e a flexibilidade da infra- estrutura de seus servidores à medida que ajuda a reduzir custos e a ganhar tempo. Poderosas ferramentas proporcionam maior controle sobre os servidores, bem como tarefas de gerenciamento e configuração simplificadas. Somado a isso, os recursos de segurança aprimorados agem na proteção do sistema operacional para proteger a rede e os dados, fornecendo uma base sólida e altamente confiável. Este produto não contém o Windows Server Hyper-V. 24
  24. 24. Edições do Windows Server 2008 Edição Resumo O Windows Server 2008 Enterprise é uma plataforma de nível corporativo para a implantação de aplicações críticas, além de proporcionar maior disponibilidade com os recursos de cluster e “hot-add” de processador. A edição oferece maior segurança e recursos consolidados de gerenciamento de identidade e reduz os custos de infra-estrutura por meio da consolidação de aplicações com direitos de licença para virtualização. O Windows Server 2008 Enterprise fornece as bases para uma infra-estrutura de TI altamente dinâmica e escalonável. Este produto não inclui o Windows Server Hyper-V. O Windows Server 2008 Datacenter oferece uma plataforma de nível corporativo para implantação de aplicações críticas e virtualização em larga escala de pequenos e grandes servidores, além de proporcionar maior disponibilidade com os recursos de cluster e particionamento dinâmico de hardware. A edição reduz os custos de infra-estrutura por meio da consolidação dos aplicativos com direitos ilimitados de licença para virtualização e permite o escalonamento de 2 a 64 processadores. O Windows Server 2008 Datacenter fornece as bases para a construção de soluções de escalabilidade vertical e virtualização de nível corporativo. Este produto não inclui o Windows Server Hyper-V. 25
  25. 25. Edições do Windows Server 2008 Edição Resumo Edição voltada para redes com até 15 usuários, o Windows Server 2008 Foundation é uma plataforma para capacidades básicas de TI a preço acessível, que inclui o compartilhamento de arquivos e impressoras, Active Directory, acesso remoto e segurança. Com a experiência simples e familiar do Windows, as organizações podem manter suas operações com mais facilidade. 26
  26. 26. Ambiente – Servidor instalado Quando precisamos controlar um novo ambiente, é recomendado que seja feita a instalação de novas ações de controle. No Windows Server 2008, as ações são divididas em duas partes: REGRAS: As regras (Roles) são as modificações mais pesadas do servidor, por causa dela o servidor pode ser muito bem diferenciado dos demais suportando aplicações específicas como website, correio, banco de dados ou ERP’s. RECURSOS: Os recursos (Features) são as menores modificações do ambiente que servem para habilitar ou desabilitar opções específicas das regras disponíveis. 28
  27. 27. Regras disponíveis ADUC – Active Directory Users and Computers Regra de controle de criação / modificação / remoção de usuários, grupos, computadores, servidores, contatos e entre outros recursos do domínio. ADSS – Active Directory Sites and Services Regra de comunicação entre servidores de domínio e entre árvores de domínio. ADRMS – Active Directory Right Management Services Regra de segurança de ações definidas internamente, serve para controle das informações geradas. 29
  28. 28. Regras disponíveis ADCS – Active Directory Certificate Services Serviço de gerência de certificados de segurança aplicados internamente no domínio ADFS – Active Directory Federation Services Serviço de controle de usuários que não precisam ser autenticados na rede interna. DCRO – Domain Controller Read Only Controlador de domínio que não faz a modificação de recursos internos, é responsável apenas para autenticação dos mesmos. DNS – Domain Name Services Serviço de tradução de nomes de computador em IP e vice-vesa. 30
  29. 29. Regras disponíveis DHCP – Dynamic Hosts Control Protocol Serviço de publicação de IPs disponíveis no domínio para equipamentos IIS – Internet Information Services Serviço de publicação de páginas Web para publicação interna ou externa WDS – Windows Deployment Services Serviço de publicação de Sistemas operacionais disponibilizados automaticamente pelo domínio DFSR – Domain File Services Replication Serviço de controle de serviços de servidores de arquivos 31
  30. 30. Regras disponíveis RDP – Remote Desktop Protocol (antigo TSWeb) Serviço de acesso remoto para publicação de desktops WSUS – Windows Server Update Services Serviço de atualizações de segurança para o domínio 32
  31. 31. Ambiente – Definição Ambiente: Baseado nos seus conhecimentos a versão selecionada foi o Windows Server 2008 Standard pois é recomendado para pequenas e médias empresas para suportar os principais serviços de regras disponíveis. Ela oferece a estabilidade dos sistemas que você precisa mas com limitação de alguns recursos. Regras: As regras implementadas serão Active Directory para controle dos usuários, DNS para resolver nomes de máquinas, DHCP para distribuir IPs e File server para gerenciar os recursos de arquivos. 33
  32. 32. Ambiente – Prática 1 Na primeira prática podemos escolher: - Instalar um novo servidor (30 Minutos) - Utilizar um servidor já instalado ( 15 Minuto) 34
  33. 33. Ambiente – Novo servidor 35
  34. 34. Ambiente – Aperfeiçoamentos É possível liberar o mesmo tamanho da memória de um servidor Windows Server 2008 com uma simples linha de comando, já que servidores não precisam ter a hibernação ativada (e a mesma é ativada por padrão) o comando é o seguinte: powercfg -h off Reinicie o servidor e o espaço estará disponível. 36
  35. 35. Ambiente – Prática 2 Faremos a instalação da regra de Active Directory e seus recursos, assim como a promoção do primeiro servidor de domínio, chamado Domain Controller Cada servidor deve ser denominado assim: Nome do servidor: DCBRBH01 Nome do domínio: MINHAEMPRESA.corp Usuário: Administrator Senha: Az12345 Caracteres inválidos: Acentuação: á é í ó ú ã õ â ê ô û à Caracteres: ,: / ? ~ [ { ( = + ! @ # $ % ¨ & * Espaço: “ ” 37
  36. 36. Ambiente – Solução O que já foi desenvolvido na solução dos nossos problemas? 1- Desenhar um novo ambiente 2- Instalar um ou dois servidores 3- Denominar usuários de acesso para cada um 4- Criar grupos de controle de acesso 5- Criar um servidor de arquivos para controle de acesso 6- Aplicar regras de controle de acesso 7- Bloquear a ação de funcionários mal intencionados 38
  37. 37. Ambiente – Prática 2 Faremos a instalação das regras de: - Active Directory (ADDS, Group Policies) - DNS - DHCP Com isso poderemos começar a comunicar no novo domínio e controlar o acesso dos usuários e máquinas. 39
  38. 38. Fundamentos O Active Directory surgiu da necessidade de se ter um único diretório, ou seja, ao invés do usuário ter uma senha para acessar o sistema principal da empresa, uma senha para ler seus e-mails, uma senha para se logar no computador, e várias outras senhas, com a utilização do AD, os usuários poderão ter apenas uma senha para acessar todos os recursos disponíveis na rede. Podemos definir um diretório como sendo um banco de dados que armazena as informações dos usuários. O AD surgiu juntamente com o Windows 2000 Server. Objetos como usuários, grupos, membros dos grupos, senhas, contas de computadores, relações de confiança, informações sobre o domínio, unidades organizacionais, entre outros, ficam armazenados no banco de dados do AD. Além de armazenar vários objetos em seu banco de dados, o AD disponibiliza vários serviços, como: autenticação dos usuários, replicação do seu banco de dados, pesquisa dos objetos disponíveis na rede, administração centralizada da segurança utilizando GPO, entre outros serviços. Esses recursos tornam a administração do AD bem mais fácil, sendo possível administrar todos os recursos disponíveis na rede centralizadamente. Para que os usuários possam acessar os recursos disponíveis na rede, estes deverão efetuar o logon. Quando o usuário efetua logon, o AD verifica se as informações fornecidas pelos usuários são válidas e faz a autenticação, caso essas informações sejam válidas. 40
  39. 39. Fundamentos O AD é organizado de uma forma hierárquica, com o uso de domínios. Caso uma rede utilize o AD, poderá conter vários domínios. Um domínio é nada mais do que um limite administrativo e de segurança, ou seja, o administrador do domínio possui permissões somente no domínio, e não em outros domínios. As políticas de segurança também se aplicam somente ao domínio, e não a outros domínios. Resumindo: diferentes domínios podem ter diferentes administradores e diferentes políticas de segurança. Ao utilizar os domínios baseados no AD, temos os seguintes recursos: Logon único : com esse recurso, o usuário necessita fazer apenas um logon para acessar os recursos em diversos servidores da rede, inclusive e-mail e banco de dados. Conta de usuário única : os usuários possuem apenas um nome de usuário para acessar os recursos da rede. As contas de usuários ficam armazenadas no banco de dados do AD. Gerenciamento centralizado : com os domínios baseados no AD, temos uma administração centralizada. Todas as informações sobre contas de usuários, grupos e recursos da rede, podem ser administradas a partir de um único local no domínio. Escalonabilidade : os domínios podem crescer a qualquer momento, sem limite de tamanho. A forma de administração é a mesma para uma rede pequena ou grande. 41
  40. 40. Fundamentos Nos domínios baseados no AD, podemos ter dois tipos de servidores: Controlador de Domínio (DC – Domain Controller) : é o computador que possui o AD instalado, ou seja, é um servidor que possui uma cópia da base de dados do AD. Em um mesmo domínio podemos ter mais de um Controlador de Domínio. As alterações efetuadas em um DC são replicadas para todos os outros DC’s. São os DC’s quem fazem a autenticação dos usuários de um domínio. Servidor Membro (Member Server) : é um servidor que não possui uma cópia do AD, porém tem acesso aos objetos do AD. Não fazem a autenticação dos usuários. Os domínios do Windows 2000 podem estar nos seguintes modos: Native (Nativo) : utilizado em domínios que possuem somente Controladores de Domínio (DC) Windows 2000. Mixed (Misto) : utilizado em domínios que possuem Controladores de Domínio (DC) Windows 2000 e Windows NT. Para a instalação do AD é necessário que o serviço DNS esteja disponível, ou seja, é um pré-requisito para a instalação do AD. O AD utiliza o DNS para a nomeação de servidores e recursos, e também para resolução de nomes. Caso o serviço DNS não esteja disponível na rede durante a instalação do AD, poderemos instalá-lo durante a instalação do AD. 42
  41. 41. Fundamentos Com a utilização de domínios, podemos fazer com que nossa rede reflita a estrutura de uma empresa. Quando utilizamos vários domínios temos o conceito de relação de confiança. A relação de confiança permite que os usuários de ambos os domínios acessem os recursos localizados nesses domínios. No Windows 2008, as relações de confianças são bidirecionais e transitivas, ou seja, se o domínio X confia no domínio Y, e Y confia no domínio W, o domínio X também confia no domínio W. Algumas características próprias de cada domínio: Um domínio armazena informações somente dos objetos do próprio domínio. Um domínio possui suas próprias diretivas de segurança. 43
  42. 42. Ambiente – Instalar Active Directory 44
  43. 43. Fundamentos DNS é a abreviatura de Domain Name System. O DNS é um serviço de resolução de nomes. Toda comunicação entre os computadores e demais equipamentos de uma rede baseada no protocolo TCP/IP (e qual rede não é baseada no protocolo TCP/IP?) é feita através do número IP. Número IP do computador de origem e número IP do computador de destino. Porém não seria nada produtivo se os usuários tivessem que decorar, ou mais realisticamente, consultar uma tabela de números IP toda vez que tivessem que acessar um recurso da rede. Por exemplo, você digita http://www.microsoft.com/brasil, para acessar o site da Microsoft no Brasil, sem ter que se preocupar e nem saber qual o número IP do servidor onde está hospedado o site da Microsoft Brasil. Mas alguém tem que fazer este serviço, pois quando você digita http://www.microsoft.com/brasil, o protocolo TCP/IP precisa “descobrir” (o termo técnico é resolver o nome) qual o número IP está associado com o endereço digitado. Se não for possível “descobrir” o número IP associado ao nome, não será possível acessar o recurso desejado. O papel do DNS é exatamente este, “descobrir”, ou usando o termo técnico, “resolver” um determinado nome, como por exemplo http://www.microsoft.com Resolver um nome significa, descobrir e retornar o número IP associado com o nome. Em palavras mais simples, o DNS é um serviço de resolução de nomes, ou seja, quando o usuário tenta acessar um determinado recurso da rede usando o nome de um determinado servidor, é o DNS o responsável por localizar e retornar o número IP associado com o nome utilizado. O DNS é, na verdade, um grande banco de dados distribuído em milhares de servidores DNS no mundo inteiro. O DNS passou a ser o serviço de resolução de nomes padrão a partir do Windows 2000 Server. Anteriormente, com o NT Server 4.0 e versões anteriores do Windows, o serviço padrão para resolução de nomes era o WINS – Windows Internet Name Service . Versões mais antigas dos clientes Windows, tais como Windows 95, Windows 98 e Windows Me ainda são dependentes do WINS, para a realização de determinadas tarefas. O fato de existir dois serviços de resolução de nomes, pode deixar o administrador da rede e os usuários confusos. 45
  44. 44. Fundamentos Ao tentar acessar um determinado recurso, usando o nome de um servidor, é como se o programa que você está utilizando perguntasse ao DNS: “DNS, você sabe qual o endereço IP associado com o nome tal?” O DNS pesquisa na sua base de dados ou envia a pesquisa para outros servidores DNS (dependendo de como foram feitas as configurações do servidor DNS, conforme descreverei mais adiante). Uma vez encontrado o número IP, o DNS retorna o número IP para o cliente: “Este é o número IP associado com o nome tal.” 46
  45. 45. Ambiente – Promover o servidor / DNS 47
  46. 46. Fundamentos O DHCP é composto de diversos elementos. O servidor DHCP e os clientes DHCP. No servidor DHCP são criados escopos e definidas as configurações que os clientes DHCP irão receber. A seguir apresento uma série de termos relacionados ao DHCP. Estes termos serão explicados em detalhes até o final desta lição. Servidor DHCP: É um servidor com o Windows 2000 Server ou com o Windows Server 2003, onde foi instalado e configurado o serviço DHCP. Após a instalação de um servidor DHCP ele tem que ser autorizado no Active Directory, antes que ele possa, efetivamente, atender a requisições de clientes. O procedimento de autorização no Active Directory é uma medida de segurança, para evitar que servidores DHCP sejam introduzidos na rede sem o conhecimento do administrador. O servidor DHCP não pode ser instalado em um computador com o Windows 2000 Professional, Windows XP Professional ou Windows Vista. Cliente DHCP: É qualquer dispositivo de rede capaz de obter as configurações do TCP/IP a partir de um servidor DHCP. Por exemplo, uma estação de trabalho com o Windows 95/98/Me, Windows NT Workstation 4.0, Windows 2000 Professional, Windows XP, Windows Vista, uma impressora com placa de rede habilitada ao DHCP e assim por diante. Escopo: Um escopo é o intervalo consecutivo completo des endereços IP possíveis para uma rede (por exemplo, a faixa de 10.10.10.100 a 10.10.10.150, na rede 10.10.10.0/255.255.255.0). Em geral, os escopos definem uma única sub-rede física, na rede na qual serão oferecidos serviços DHCP. Os escopos também fornecem o método principal para que o servidor gerencie a distribuição e atribuição de endereços IP e outros parâmetros de configuração para clientes na rede, tais como o Default Gateway, Servidor DNS e assim por diante. 48
  47. 47. Fundamentos Superescopo: Um superescopo é um agrupamento administrativo de escopos que pode ser usado para oferecer suporte a várias subredes IP lógicas na mesma subrede física. Os superescopos contêm somente uma lista de escopos associados ou escopos filho que podem ser ativados em conjunto. Os superescopos não são usados para configurar outros detalhes sobre o uso de escopo. Para configurar a maioria das propriedades usadas em um superescopo, você precisa configurar propriedades de cada escopo associado, individualmente. Por exemplo, se todos os computadores devem receber o mesmo número IP de Default Gateway, este número tem que ser configurado em cada escopo, individualmente. Não tem como fazer esta configuração no Superescopo e todos os escopos (que compõem o Superescopo), herdarem estas configurações. Intervalo de exclusão: Um intervalo de exclusão é uma sequência limitada de endereços IP dentro de um escopo, excluído dos endereços que são fornecidos pelo DHCP. Os intervalos de exclusão asseguram que quaisquer endereços nesses intervalos não são oferecidos pelo servidor para clientes DHCP na sua rede. Por exemplo, dentro da faixa 10.10.10.100 a 10.10.10.150, na rede 10.10.10.0/255.255.255.0 de um determinado escopo, você pode criar uma faixa de exclusão de 10.10.10.120 a 10.10.10.130. Os endereços da faixa de exclusão não serão utilizados pelo servidor DHCP para configurar os clientes DHCP. Pool de endereços: Após definir um escopo DHCP e aplicar intervalos de exclusão, os endereços remanescentes formam o pool de endereços disponíveis dentro do escopo. Endereços em pool são qualificados para atribuição dinâmica pelo servidor para clientes DHCP na sua rede. No nosso exemplo, onde temos o escopo com a faixa 10.10.10.100 a 10.10.10.150, com uma faixa de exclusão de 10.10.10.120 a 10.10.10.130, o nosso pool de endereços é formado pelos endereços de 10.10.10.100 a 10.10.10.119, mais os endereços de 10.10.10.131 a 10.10.10.150. 49
  48. 48. Fundamentos Concessão: Uma concessão é um período de tempo especificado por um servidor DHCP durante o qual um computador cliente pode usar um endereço IP que ele recebeu do servidor DHCP (diz-se atribuído pelo servidor DHCP). Uma concessão está ativa quando ela está sendo utilizada pelo cliente. Geralmente, o cliente precisa renovar sua atribuição de concessão de endereço com o servidor antes que ela expire. Uma concessão torna-se inativa quando ela expira ou é excluída no servidor. A duração de uma concessão determina quando ela irá expirar e com que frequência o cliente precisa renová-la no servidor. Reserva: Você usa uma reserva para criar uma concessão de endereço permanente pelo servidor DHCP. As reservas asseguram que um dispositivo de hardware especificado na subrede sempre pode usar o mesmo endereço IP. A reserva é criada associada ao endereço de Hardware da placa de rede, conhecido como MAC Address. No servidor DHCP você cria uma reserva, associando um endereço IP com um endereço MAC. Quando o computador (com o endereço MAC para o qual existe uma reserva) é inicializado, ele entre em contato com o servidor DHCP. O servidor DHCP verifica que existe uma reserva para aquele MAC Address e configura o computador com o endereço IP associado ao MAC Address. Caso haja algum problema na placa de rede do computador e a placa tenha que ser substituída, mudará o MAC Address e a reserva anterior terá que ser excluída e uma nova reserva terá que ser criada, utilizando, agora, o novo Mac-Address. Tipos de opção: Tipos de opção são outros parâmetros de configuração do cliente que um servidor DHCP pode atribuir aos clientes. Por exemplo, algumas opções usadas com frequência incluem endereços IP para gateways padrão (roteadores), servidores WINS (Windows Internet Name System) e servidores DNS (Domain Name System). Geralmente, esses tipos de opção são ativados e configurados para cada escopo. O console de Administração do serviço DHCP também permite a você configurar tipos de opção padrão que são usados por todos os escopos adicionados e configurados no servidor. A maioria das opção é predefinida através da RFC 2132, mas você pode usar o console DHCP para definir e adicionar tipos de opção personalizados, se necessário. 50
  49. 49. Ambiente – Promover o servidor / DNS 51
  50. 50. Ambiente – Instalar DHCP 52
  51. 51. Ambiente – Solução O que já foi desenvolvido na solução dos nossos problemas? 1- Desenhar um novo ambiente 2- Instalar um ou dois servidores 3- Denominar usuários de acesso para cada um 4- Criar grupos de controle de acesso 5- Criar um servidor de arquivos para controle de acesso 6- Aplicar regras de controle de acesso 7- Bloquear a ação de funcionários mal intencionados 53
  52. 52. Agenda Definição de problemas do ambiente de TI 30 Fundamentos 30 Apresentação do ambiente de soluções 45 Administração do domínio – Active Directory 90 Administração do domínio – Aplicação de Regras 90 Gerenciamento de Recursos – Servidor de Arquivo 90 Gerenciamento de Recursos – Regras de Quotas 90 Gerenciamento de Recursos – Group Policies 90 Entrega do ambiente 30 54
  53. 53. Active Directory - Segmentação Para organização do ambiente é preciso criar novas pastas de gerência e aplicação de regras, para isso, as Organizational Units (OU) ou unidades organizacionais são criadas. Para o nosso ambiente faremos a seguinte criação de estrutura organizacional: Quando iniciarmos a criação de políticas de controle das máquinas, temos que ter OU’s separadas e organizadas. 55
  54. 54. Ambiente – Criar Organizational Units 56
  55. 55. Ambiente – Criação de usuários e grupos Para começar a gerenciar a nossa rede, faremos a criação de usuários e grupos do nosso domínio, para isso, crie as seguinte entidades: Nome do usuário Senha Nome do grupo Membros SOCIO1 Nice123 S-SOCIOS-RW SOCIO1, SOCIO2 SOCIO2 Nice123 S-SOCIOS-RO SOCIO3 SOCIO3 Nice123 S-FINAN-RW FINAN1, FINAN2 FINAN1 Nice123 S-FINAN-RO FINAN3 FINAN2 Nice123 S-USERS-RW USER1, USER2 FINAN3 Nice123 S-USERS-RO USER3 USER1 Nice123 S-TODOS-RW Seu usuário USER2 Nice123 USER3 Nice123 Seu nome Nice123 57
  56. 56. Ambiente – Criar usuários e grupos 58
  57. 57. Ambiente – Prática 3 Inserir computador no domínio: Para inserir um computador no domínio, faça logon no cliente (XP) com a conta administrativa abaixo e siga as instruções para inseri-lo. Usuário: administrador Senha: Az12345 Nome: PC01 Domínio: MINHAEMPRESA.CORP Caracteres inválidos: Acentuação: á é í ó ú ã õ â ê ô û à Caracteres: ,: / ? ~ [ { ( = + ! @ # $ % ¨ & * Espaço: “ ” 59
  58. 58. Ambiente – Inserir clientes no domínio 60
  59. 59. Ambiente – Inserir clientes no domínio 61
  60. 60. Ambiente – Aperfeiçoamentos Por padrão um domínio Windows 2000/2003/2008 colocam todos os usuários criados e computadores que se juntam ao domínio nos containers Users e Computers, respectivamente. Se você quiser implantar políticas de grupo, isto é um problema, já que Conteiners não suportam a aplicação de políticas de grupo. Políticas de grupo só podem ser aplicadas à Unidades Organizacionais. Como vimos no artigo sobre políticas de grupo, não é saudável aplicar politicas de grupo para o domínio inteiro. Sendo assim, ou você move, manualmente ou via script, os usuário e computadores para a OU em que a política está aplicada ou usa os comandos: * redircmp para mudar o conteiner padrão onde novos computadores são criados. Sintaxe: redircmp ou=nome_da_ou,dc=dominio,dc=meu * redirusr para mudar o conteirner padrão onde novos usuários são criados. Sintaxe: redirusr ou=nome_da_ou,dc=dominio,dc=meu Observações: * Este comando só para a partir do Windows Server 2003. * O Active Directory deve estar com o Domain Functional Level como Windows Server 2003 62
  61. 61. Ambiente – Aperfeiçoamentos 63
  62. 62. Ambiente – Definição O que já foi desenvolvido na solução dos nossos problemas? 1- Desenhar um novo ambiente 2- Instalar um ou dois servidores 3- Denominar usuários de acesso para cada um 4- Criar grupos de controle de acesso 5- Criar um servidor de arquivos para controle de acesso 6- Aplicar regras de controle de acesso 7- Bloquear a ação de funcionários mal intencionados 64
  63. 63. Agenda Definição de problemas do ambiente de TI 30 Fundamentos 30 Apresentação do ambiente de soluções 45 Administração do domínio – Active Directory 90 Administração do domínio – Aplicação de Regras 90 Gerenciamento de Recursos – Servidor de Arquivo 90 Gerenciamento de Recursos – Regras de Quotas 90 Gerenciamento de Recursos – Group Policies 90 Entrega do ambiente 30 65
  64. 64. Prática 4 – Instalação File Server 66
  65. 65. Agenda Definição de problemas do ambiente de TI 30 Fundamentos 30 Apresentação do ambiente de soluções 45 Administração do domínio – Active Directory 90 Administração do domínio – Aplicação de Regras 90 Gerenciamento de Recursos – Servidor de Arquivo 90 Gerenciamento de Recursos – Regras de Quotas 90 Gerenciamento de Recursos – Group Policies 90 Entrega do ambiente 30 67
  66. 66. File Services Os servidores de arquivos baseiam-se em duas gerências: Gerência de compartilhamento Quando compartilhamos uma pasta, estamos permitindo que o seu conteúdo seja acessado através da rede. Quando uma pasta é compartilhada, os usuários podem acessá-la através da rede, bem como o todo o conteúdo da pasta que foi compartilhada. Por exemplo, poderíamos criar uma pasta compartilhada onde seriam colocados documentos, orientações e manuais, de tal forma que estes possam ser acessados por qualquer estação conectada a rede. Gerência de segurança Uma das principais vantagens de se utilizar segurança é que ele permite que sejam definidas permissões de acesso para arquivos e pastas, isto é, posse ter arquivos em uma mesma pasta, com permissões diferentes para usuários diferentes. Além disso, as permissões NTFS têm efeito localmente, isto é, mesmo que o usuário faça o logon no computador onde um determinado arquivo existe, se o usuário não tiver as permissões NTFS necessárias, ele não poderá acessar o arquivo. Isso confere um alto grau de segurança, desde que as permissões NTFS sejam configuradas corretamente. 68
  67. 67. File Services – Compartilhamento IMPORTANTE: As permissões definem o que Grupo: Permissão o usuário pode fazer com o conteúdo de Socios: Acesso total uma pasta compartilhada, desde somente Financeiro: Somente Leitura leitura, até um controle total sobre o conteúdo da pasta compartilhada. Acima está uma pasta compartilhada através da figura de uma "mãozinha" , segurando a pasta. Importante: Permissões de compartilhamento, não impedem o acesso ao conteúdo da pasta localmente, isto é, se um usuário fizer o logon no computador onde está a pasta compartilhada, este usuário terá acesso a todo o conteúdo da pasta, a menos que as "Permissões NTFS" estejam configurados de acordo. Permissões NTFS é assunto para daqui a pouco. Vamos falar de um jeito diferente: Permissões de compartilhamento somente tem efeito quando o usuário está acessando a pasta através da rede, para acesso local, no próprio computador onde está a pasta, as permissões de compartilhamento não tem nenhum efeito, é como se não existissem. Ao criarmos um compartilhamento em uma pasta, por padrão o Windows 2008 Server atribui a permissão "Controle total" para o grupo "Todos", que conforme o nome sugere, significa qualquer usuário com acesso ao computador, seja localmente, seja pela rede. Por isso ao criar um compartilhamento, já devemos configurar as permissões necessárias, a menos que estejamos compartilhando uma pasta de domínio público, onde todos os usuários possam ter Controle total sobre os arquivos e subpastas da pasta compartilhada. 69
  68. 68. File Services – Compartilhamento Existem três níveis de permissões de compartilhamento, conforme descrito a seguir: Leitura: Permite ao usuário exibir a listagem de pastas e arquivos, ler o conteúdo de arquivos e executar programas. O usuário também pode verificar os atributos dos arquivos e navegar através das pastas e subpastas. O usuário não pode alterar nem eliminar arquivos ou pastas. Também não é permitido criar novos arquivos ou pastas. OBS.: Pastas e arquivos possuem atributos, que o Windows 2008 Server utiliza para gerenciamento. Por exemplo, existe um atributo "Leitura", que uma vez marcado torna o arquivo somente leitura, isto é, não podem ser feitas alterações no arquivo. Para ver os atributos de um arquivo ou pasta, basta dar um clique com o botão direito do mouse sobre o arquivo ou pasta, e no menu que surge dê um clique na opção "Propriedades", e o Windows 2000 Server exibe uma janela onde é possível verificar e modificar os atributos do arquivo ou pasta, desde que o usuário tenha as devidas permissões. Alteração: Permite ao usuário criar pastas, criar novos arquivos, alterar arquivos, alterar os atributos dos arquivos, eliminar arquivos e pastas, mais todas as ações para a permissão de Leitura. Não permite que sejam alteradas permissões dos arquivos nem alterações no usuário "dono" dos arquivos e pastas. OBS.: No Windows 2000 Server, objetos como pastas e arquivos possuem um "dono", o qual normalmente é o usuário que cria a pasta ou arquivo. Falaremos mais sobre o dono do arquivo mais adiante. Controle total: Permite ao usuário alterar as permissões dos arquivos e tornar-se dono de pastas e arquivos criados por outros usuários, além de todas as ações para a permissão Alteração. 70
  69. 69. File Services – Compartilhamento Grupo: Permissão Socios: Alteração Financeiro: Somente Leitura Qual o direito do usuário Socio1? usuário: Socio1 Grupo: S-Socios-RW Alteração Grupo: S-Socios-RO O que acontece quando um usuário pertence a mais de um grupo?? Quando um usuário pertence, por exemplo, a dois grupos e os dois grupos recebem permissão para acessar um compartilhamento, sendo que os dois grupos possuem permissões diferentes, por exemplo, um tem permissão de Leitura e o outro de Alteração, como é que ficam as permissões do usuário que pertence aos dois grupos? Para responder a esta questão, considere o seguinte: "Quando um usuário pertence a mais de um grupo, cada qual com diferentes níveis de permissões para uma pasta compartilhada, o nível de permissão para o usuário que pertence a mais de um grupo, é a combinação das permissões atribuídas aos diferentes grupos". No nosso exemplo, o usuário pertence a dois grupos, um com permissão de somente leitura e outro com permissão de alterações. A nível de permissão do usuário é de alterações, pois é a soma das permissões dos dois grupos 71
  70. 70. File Services – Compartilhamento Grupo: Permissão Socios: Alteração Financeiro: Somente Leitura Especial: Negar leitura Qual o direito do usuário Socio1? usuário: Socio1 Bloqueio a leitura Grupo: S-Socios-RW Grupo: S-Socios-RO Negar têm precedência sobre quaisquer outras permissões: Vamos considerar o exemplo do usuário que pertence a três grupos. Se em um dos grupos ele tiver permissão de leitura e em outro grupo permissão de alteração. Mas se para o terceiro grupo, for "negado" o acesso à pasta compartilhada, o usuário terá o acesso negado, uma vez que "Negar" tem precedência sobre quaisquer outras permissões, conforme indicado 72
  71. 71. File Services – Segurança Um sistema de arquivos determina a maneira como o Windows 2008 Server organiza e recupera as informações no Disco rígido ou em outros tipos de mídia. O Windows 2008 Server reconhece os seguintes sistemas de arquivos: FAT / FAT32 / NTFS / NTFS 5 O sistema FAT vem desde a época do bom e velho MS-DOS e tem sido mantido por questões de compatibilidade. Além disso se você tiver instalado mais de um Sistema Operacional no seu computador, alguns sistemas mais antigos (DOS, Windows 3.x e as primeiras versões do Windows 95) somente reconhecem o sistema FAT. Com o sistema de arquivos FAT, a única maneira de restringir o acesso ao conteúdo de uma pasta compartilhada, é através das permissões de compartilhamento, as quais, conforme descrito anteriormente, não terão nenhum efeito se o usuário estiver logado localmente, na máquina onde a pasta foi criada. Com a utilização do sistema FAT, alguns recursos avançados, tais como compressão, criptografia, auditoria e definição de cotas não estarão disponíveis. O sistema FAT32 apresenta algumas melhorias em relação ao sistema FAT. Existe um melhor aproveitamento do espaço no disco, com consequentemente menor desperdício. Um grande inconveniente do sistema FAT32 é que ele não é reconhecido pelo Windows NT 4.0 – Server ou Workstation. Com o sistema de arquivos FAT32, a única maneira de restringir o acesso ao conteúdo de uma pasta compartilhada, é através das permissões de compartilhamento, as quais, conforme descrito anteriormente, não terão nenhum efeito se o usuário estiver logado localmente, na máquina onde a pasta foi criada. Com a utilização do sistema FAT32, alguns recursos avançados, tais como compressão, criptografia, auditoria e definição de cotas não estarão disponíveis. 73
  72. 72. File Services – Segurança O sistema de arquivos NTFS foi utilizado no Windows NT Server 4.0 e foi mantido no Windows 2000 Server por questões de compatibilidade. Desde então os as versões 2003 e 2008 mantêm ac compatibilidade e aumentam o controle. É um sistema bem mais eficiente do que FAT e FAT32, além de permitir uma série de recursos avançados, tais como: • Permissões de acesso para arquivos e pastas • Compressão • Auditoria de acesso • Partições bem maiores do que as permitidas com FAT e FAT32 • Desempenho bem superior do que com FAT e FAT32 Uma das principais vantagens do NTFS é que ele permite que sejam definidas permissões de acesso para arquivos e pastas, isto é, posse ter arquivos em uma mesma pasta, com permissões diferentes para usuários diferentes. Além disso, as permissões NTFS têm efeito localmente, isto é, mesmo que o usuário faça o logon no computador onde um determinado arquivo existe, se o usuário não tiver as permissões NTFS necessárias, ele não poderá acessar o arquivo. Isso confere um alto grau de segurança, desde que as permissões NTFS sejam configuradas corretamente. 74
  73. 73. File Services – Segurança Permissão Nível de Acesso Permite ao usuário listar as pastas e arquivos dentro da pasta, permite que Leitura sejam exibidas as permissões, donos e atributos. Permite ao usuário criar novos arquivos e subpastas dentro da pasta, alterar Gravar os atributos da pasta e visualizar o dono e as permissões da pasta. Listar Conteúdo de pastas Permite ao usuário ver o nome dos arquivos e subpastas Permite ao usuário navegar através das subpastas para chegar a outras pastas e arquivos, mesmo que o usuário não tenha permissão de acesso às pastas Ler e executar pelas quais está navegando, além disso possui os mesmos direitos que as permissões Leitura e Listar Conteúdo de pastas. Permite ao usuário eliminar a pasta, mais todas as ações permitidas pela Modificar permissão Gravar e pela permissão Ler e executar. Permite que sejam alteradas as permissões, permite ao usuário tornar-se Controle total dono da pasta, eliminar subpastas e arquivos, mais todas as ações permitidas por todas as outras permissões NTFS. 75
  74. 74. File Services – Segurança Permissão Nível de Acesso Permite ao usuário ler o arquivo, permite que sejam exibidas as permissões, Leitura dono e atributos. Permite ao usuário gravar um arquivo com o mesmo nome sobre o arquivo, Gravar alterar os atributos da pasta e visualizar o dono e as permissões da pasta. Permite ao usuário executar aplicativos (normalmente programas .exe, .bat ou Ler e executar .com), mais todas os direitos da permissão Leitura. Permite ao usuário modificar e eliminar o arquivo, mais todas as ações Modificar permitidas pela permissão Gravar e pela permissão Ler e executar. Permite que sejam alteradas as permissões, permite ao usuário tornar-se Controle total dono do arquivo, mais todas as ações permitidas por todas as outras permissões NTFS. 76
  75. 75. File Services – Segurança Todo arquivo ou pasta em uma unidade formatada com NTFS, possui uma "Lista de controle de acesso (Access control list) – ACL. Nessa ACL ficam uma lista de todas as contas de usuários e grupos para os quais foi garantido acesso para pasta/arquivo, bem como o nível de acesso de cada um deles. Existem alguns detalhes que devemos observar sobre permissões NTFS: Permissões NTFS são cumulativas, isto é , se um usuário pertence a mais de um grupo, o qual tem diferentes níveis de permissão para um recurso, a permissão efetiva do usuário é a soma das permissões. Permissões NTFS para um arquivo têm prioridade sobre permissões NTFS para pastas: Por exemplo se um usuário têm permissão NTFS de escrita em uma pasta, mas somente permissão NTFS de leitura para um arquivo dentro desta pasta, a sua permissão efetiva será somente a de leitura, pois a permissão para o arquivo tem prioridade sobre a permissão para a pasta. Negar uma permissão NTFS tem prioridade sobre permitir: Por exemplo, se um usuário pertence a dois grupos diferentes. Para um dos grupos foi dado permissão de leitura para um arquivo e para o outro grupo foi Negada a permissão de leitura, o usuário não terá o direito de leitura, pois Negar tem prioridade sobre Permitir. Agora que já vimos a teoria necessária, vamos praticar um pouco. Nos próximos tópicos iremos aprender a compartilhar pastas, atribuir permissões de compartilhamento. Iremos aprender a acessar pastas compartilhadas através da rede. Depois vamos trabalhar um pouco com as permissões NTFS. 77
  76. 76. Prática 5 – Compartilhar pastas 78
  77. 77. Agenda Definição de problemas do ambiente de TI 30 Fundamentos 30 Apresentação do ambiente de soluções 45 Administração do domínio – Active Directory 90 Administração do domínio – Aplicação de Regras 90 Gerenciamento de Recursos – Servidor de Arquivo 90 Gerenciamento de Recursos – Regras de Quotas 90 Gerenciamento de Recursos – Group Policies 90 Entrega do ambiente 30 79
  78. 78. Aplicação de Quotas Para gerenciar o crescimento vegetativo de um servidor de arquivos é preciso controlar o quanto pode-se crescer e quais os tamanhos disponíveis para os departamentos, usuários e serviços. Para isso, é possível criar regras para gerenciar os espaços utilizados por cada entidade. 80
  79. 79. Prática – Aplicação de Quotas 81
  80. 80. Agenda Definição de problemas do ambiente de TI 30 Fundamentos 30 Apresentação do ambiente de soluções 45 Administração do domínio – Active Directory 90 Administração do domínio – Aplicação de Regras 90 Gerenciamento de Recursos – Servidor de Arquivo 90 Gerenciamento de Recursos – Regras de Quotas 90 Gerenciamento de Recursos – Group Policies 90 Entrega do ambiente 30 82
  81. 81. Fundamentos Temos um componente muito importante no Windows 2008 quando falamos em segurança. São as diretivas de segurança, as quais utilizamos para proteger a rede em um ambiente corporativo. Com as diretivas de segurança podemos definir o que um usuário poderá fazer em seu computador e na rede. As diretivas de segurança de domínio são aplicadas a usuários, computadores, Member Servers (Servidores Membros) e Domain Controller (Controladores de Domínio). Um detalhe importante é que a GPO só pode ser aplicada em computadores que utilizam o Windows 2000, Windows XP, Windows 2003, Vista, Windows 2008 ou 7 (Seven). As versões mais antigas do Windows (95, 98, ME e NT) não podem utilizar este recurso. No Windows NT foi introduzido o recurso Police Editor, com o qual era possível definir várias configurações das estações de trabalho centralizadamente. Porém esse recurso era bem limitado. Com a chegada das GPO’s no Windows 2000, a administração do domínio se tornou bem mais fácil. Observe que em um domínio no qual os clientes são Windows 9x e Windows 2000, deveremos utilizar ambos os recursos: Police Editor para configurar os clientes anteriores ao Windows 2000 e a GPO para configurarmos os clientes Windows 2000. 83
  82. 82. Fundamentos As GPO’s possuem configurações que podem ser aplicadas tanto em nível de usuário como em nível de computador: Usuário: as GPO’s aplicadas aos usuários serão carregadas em todos os computadores em que o usuário efetuar logon. Essas políticas são aplicadas no momento em que o usuário efetuar logon. Computador: as GPO’s aplicadas aos computadores serão aplicadas no computador, independente do usuário que efetuar logon. Essas políticas são aplicadas no momento em que o computador for inicializado. 84
  83. 83. Group Policies Cada uma das políticas é subdividida na inicialização da seguinte forma: Diretivas de computadores: é reconhecida durante a inicialização do computador, é aplicada antes do logon do usuário ou após o log off do mesmo. Diretiva de usuários: é reconhecida durante o processo de log on do usuário, após o logon a máquina comunica com o servidor requisitando as alterações necessárias. 85
  84. 84. Prática 5 – Aplicação de GPO 86
  85. 85. Ambiente – Entrega O que já foi desenvolvido na solução dos nossos problemas? 1- Desenhar um novo ambiente 2- Instalar um ou dois servidores 3- Denominar usuários de acesso para cada um 4- Criar grupos de controle de acesso 5- Criar um servidor de arquivos para controle de acesso 6- Aplicar regras de controle de acesso 7- Bloquear a ação de funcionários mal intencionados 87
  86. 86. Agenda Definição de problemas do ambiente de TI 30 Fundamentos 30 Apresentação do ambiente de soluções 45 Administração do domínio – Active Directory 90 Administração do domínio – Aplicação de Regras 90 Gerenciamento de Recursos – Servidor de Arquivo 90 Gerenciamento de Recursos – Regras de Quotas 90 Gerenciamento de Recursos – Group Policies 90 Entrega do ambiente 30 88
  87. 87. Ambiente – Entrega O que já foi desenvolvido na solução dos nossos problemas? 1- Desenhar um novo ambiente 2- Instalar um ou dois servidores 3- Denominar usuários de acesso para cada um 4- Criar grupos de controle de acesso 5- Criar um servidor de arquivos para controle de acesso 6- Aplicar regras de controle de acesso 7- Bloquear a ação de funcionários mal intencionados 89
  88. 88. Ambiente - Entrega Agora devemos publicar as novidades para a empresa a fim de mostrar as qualidades de projetos desenvolvidos com competência, qualidade, escalabilidade e controle. 90
  89. 89. Obrigado! Guilherme Lima MCITP Enterprise Administrator / MCITP Server Administrator 5x MCTS / MCSA / MCDST / MCP / TCF / Auditor ISO 20000 www.solucoesms.com www.twitter.com/guilhermelima 91
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×