SlideShare ist ein Scribd-Unternehmen logo
1 von 103
Downloaden Sie, um offline zu lesen
1




  SISTEMA
OPERACIONAL

 DE REDES I


WINDOWS 2000


            Eduardo da Silva
            Marcos Laureano
2

                                                         SUMÁRIO
1.  Visão Geral do Windows 2000 ...................................................................................... 7
  1.1. Histórico do Sistema Operacional Windows ....................................................... 7
  1.2. Características Gerais do Windows 2000............................................................ 7
  1.3. Diferentes Edições do Windows 2000.................................................................. 8
    1.3.1. Windows 2000 Professional........................................................................... 8
    1.3.2. Windows 2000 Standard Server.................................................................... 8
    1.3.3. Windows 2000 Advanced Server .................................................................. 9
    1.3.4. Windows 2000 Datacenter Server ................................................................ 9
2. Conceitos Fundamentais .............................................................................................. 11
  2.1. Domínio ................................................................................................................... 11
    2.1.1. Grupos de Trabalho Windows 2000 ........................................................... 11
    2.1.2. Domínios Windows 2000 .............................................................................. 12
  2.2. Serviço de Diretório ............................................................................................... 13
3. Active Directory .............................................................................................................. 14
  3.1. Características do Active Directory..................................................................... 14
    3.1.1. Escalabilidade ................................................................................................ 14
    3.1.2. Suporte a Padrões Abertos.......................................................................... 14
    3.1.3. DNS.................................................................................................................. 15
  3.2. Estrutura do Active Directory ............................................................................... 15
    3.2.1. Estrutura Lógica ............................................................................................. 15
    3.2.2. Objetos e Atributos ........................................................................................ 15
4. Instalando o Active Directory ....................................................................................... 18
5. Administrando Contas de Usuários ............................................................................ 26
  5.1. Planejando Novas Contas de Usuários ............................................................. 26
    5.1.1. Convenções para Nomes de Contas de Usuário ..................................... 26
    5.1.2. Diretrizes para as Senhas ............................................................................ 27
    5.1.3. Opções de Conta ........................................................................................... 27
  5.2. Contas de Usuário Local ...................................................................................... 29
  5.3. Contas de Usuário do Domínio ........................................................................... 30
    5.3.1. Propriedades para Contas de Usuários do Domínio ............................... 34
    5.3.2. Cópia de Contas de Usuário do Domínio .................................................. 35
6. Gerenciamento de Grupos ........................................................................................... 37
  6.1. Grupos em um Domínio........................................................................................ 37
    6.1.1. Tipos de Grupos............................................................................................. 37
    6.1.2. Escopos de Grupos ....................................................................................... 37
    6.1.3. Estratégias de Grupos .................................................................................. 38
    6.1.4. Criação de Grupos de Domínio ................................................................... 38
7. Segurança do Sistema de Arquivos ........................................................................... 41
  7.1. Pastas Compartilhadas......................................................................................... 41
    7.1.1. Permissões de Pastas Compartilhadas ..................................................... 41
    7.1.2. Conexão de Usuários Remotos a Pastas Compartilhadas..................... 44
8. Conexão de Clientes ao Windows 2000 .................................................................... 46
  8.1. Configurando Clientes Windows 9x .................................................................... 46
  8.2. Configurando Clientes Windows 2000 Professional ........................................ 48
9. Visão Geral sobre TCP/IP no Windows 2000 ........................................................... 51
  9.1. Endereço IP Dinâmico: DHCP............................................................................. 52
  9.2. Endereço IP Estático............................................................................................. 53
    9.2.1. Configuração de Endereços IP Estáticos .................................................. 53
  9.3. Verificação da Configuração TCP/IP.................................................................. 54
    9.3.1. Depurando Problemas com o Protocolo TCP/IP ...................................... 55
3
10.   DHCP Service ............................................................................................................ 56
  10.1.    Instalação e Configuração do DHCP Service ............................................... 56
    10.1.1. Instalação do DHCP Service ....................................................................... 56
    10.1.2. Configuração do Servidor DHCP ................................................................ 57
    10.1.3. Autorização do Servidor DHCP ................................................................... 59
11.   WINS............................................................................................................................ 60
  11.1.    Implementação de WINS.................................................................................. 61
    11.1.1. Considerações sobre Servidores WINS..................................................... 61
    11.1.2. Instalação do WINS....................................................................................... 62
    11.1.3. Configuração do Servidor WINS ................................................................. 63
    11.1.4. Configuração de Replicação WINS ............................................................ 65
    11.1.5. Backup do Banco de Dados WINS ............................................................. 66
12.   Segurança NTFS ....................................................................................................... 67
  12.1.    Permissões NTFS de Pasta............................................................................. 67
  12.2.    Permissões NTFS de Arquivo ......................................................................... 67
  12.3.    Múltiplas Permissões NTFS............................................................................. 68
  12.4.    Concessão de Permissões NTFS ................................................................... 68
  12.5.    Herança de Permissões ................................................................................... 69
  12.6.    Mover e Copiar Pastas e Arquivos ................................................................. 70
    12.6.1. Copiar Pastas e Arquivos ............................................................................. 70
    12.6.2. Mover Pastas e Arquivos.............................................................................. 70
  12.7.    Recomendações para Concessão de Permissões NTFS........................... 71
13.   Gerenciamento de Impressão ................................................................................. 72
  13.1.    Requisitos para Impressão em Rede ............................................................. 72
  13.2.    Diretrizes para um Ambiente de Impressão em Rede................................. 73
  13.3.    Instalação de uma Impressora ........................................................................ 73
  13.4.    Configuração de Computadores Clientes ...................................................... 74
    13.4.1. Clientes Windows 9x ou Windows NT 4.0 ................................................. 74
  13.5.    Compartilhamento de uma Impressora.......................................................... 74
  13.6.    Prioridades de Impressoras ............................................................................. 75
  13.7.    Permissões para as Impressoras.................................................................... 76
14.   Gerenciamento de Discos ........................................................................................ 77
  14.1.    Discos Básicos ................................................................................................... 77
  14.2.    Discos Dinâmicos .............................................................................................. 77
  14.3.    Criando Partições em Discos Básicos ........................................................... 78
  14.4.    Atualizando um Disco Básico para Disco Dinâmico .................................... 80
    14.4.1. Reverter para um Disco Básico................................................................... 81
    14.4.2. Criando Volumes Simples ............................................................................ 81
    14.4.3. Estendendo Volumes Simples..................................................................... 81
  14.5.    Tarefas Comuns do Disk Management.......................................................... 82
    14.5.1. Status do Disco .............................................................................................. 82
    14.5.2. Reparando Partições e Volumes................................................................. 82
    14.5.3. Excluindo Partições e Volumes ................................................................... 82
  14.6.    Adicionando Discos ........................................................................................... 82
    14.6.1. Adicionando Discos de Outros Computadores ......................................... 83
    14.6.2. Importando Volumes Completos ................................................................. 83
  14.7.    Desfragmentando Partições............................................................................. 83
  14.8.    Práticas Recomendadas................................................................................... 84
15.   Proteção contra Perda de Dados ............................................................................ 85
  15.1.    Tolerância a Falhas e Recuperação de Desastres ...................................... 85
  15.2.    Sistema de Alimentação Ininterrupta.............................................................. 85
    15.2.1. Configurações do Serviço UPS ................................................................... 85
4
  15.3.    Tipos de Implementações de RAID ................................................................ 87
    15.3.1. Implementação de RAID de Software ........................................................ 87
    15.3.2. Implementação de RAID de Hardware....................................................... 88
    15.3.3. Implementação de RAID 1 no Windows 2000: Volumes Espelhados... 88
16.   Ferramentas para Recuperação de Desastres..................................................... 92
  16.1.    Opções Avançadas de Inicialização ............................................................... 92
  16.2.    Recuperando um Computador com o Recovery Console... Erro! Indicador
  não definido.
    16.2.1. Instalando o Recovery Console................................................................... 93
    16.2.2. Comandos do Recovery Console ............................................................... 93
  16.3.    Recuperando um Computador com o Processo de Reparação de
  Emergência......................................................................................................................... 94
    16.3.1. Usando o Processo de Reparação de Emergência ................................. 94
5

                                                    LISTA DE FIGURAS

Figura 1 – Grupo de trabalho Windows 2000 ................................................................... 12
Figura 2 – Domínio Windows 2000..................................................................................... 12
Figura 3 – Estrutura de diretórios em uma partição de disco rígido.............................. 13
Figura 4 – Árvore de Domínios Windows 2000 ................................................................ 16
Figura 5 – Execução do Dcpromo....................................................................................... 18
Figura 6 – Assistente para instalação do Active Directory.............................................. 18
Figura 7 – Criação de um controlador de domínio para um novo domínio .................. 19
Figura 8 – Criação de uma nova árvore............................................................................. 19
Figura 9 – Criação de uma nova floresta........................................................................... 20
Figura 10 – Definição do nome do domínio....................................................................... 20
Figura 11 – Nome NetBIOS do novo domínio................................................................... 21
Figura 12 – Localização do banco de dados e do log de transações ........................... 21
Figura 13 – Localização física da pasta Netlogon............................................................ 22
Figura 14 – Mensagem de não localização de um servidor DNS com atualização
    automática....................................................................................................................... 22
Figura 15 – Opção para instalação e configuração de um servidor DNS .................... 22
Figura 16 – Escolha de permissões compatíveis com servidores anteriores ao W2K
     .......................................................................................................................................... 23
Figura 17 – Definição da senha para o reparo do serviço de diretório ......................... 23
Figura 18 – Resumo das informações para criação do Active Directory...................... 24
Figura 19 – Tela de início do processo de configuração do Active Directory.............. 24
Figura 20 – Conclusão da instalação do Active Directory............................................... 25
Figura 21 – Reinicialização do computador ...................................................................... 25
Figura 22 – Definição dos horários nos quais o usuário pode logar-se........................ 28
Figura 23 – Definição de Computadores para Logon...................................................... 28
Figura 24 – Data para expiração da conta ........................................................................ 29
Figura 25 – Propriedades do usuário local........................................................................ 29
Figura 26 – Novo usuário local............................................................................................ 30
Figura 27 – Snap-in Local Users and Groups não disponível em um controlador de
    domínio ............................................................................................................................ 30
Figura 28 – Wizard para instalação das Ferramentas Administrativas......................... 31
Figura 29 – Opções de instalação das Ferramentas Administrativas........................... 31
Figura 30 – Instalação dos componentes.......................................................................... 31
Figura 31 – Finalização da instalação................................................................................ 32
Figura 32 – Snap-in Active Directory Users and Computers.......................................... 32
Figura 33 – Caixa para criação de uma nova conta de usuário do domínio............... 33
Figura 34 – Informações complementares para uma nova conta ................................. 33
Figura 35 – Finalização da criação de uma nova conta.................................................. 34
Figura 36 – Caixa de propriedades da conta de usuário ................................................ 35
Figura 37 – Criação de um novo grupo.............................................................................. 39
Figura 38 – Inclusão de participantes em um grupo global ............................................ 39
Figura 39 – Seleção de objetos para o grupo global ....................................................... 40
Figura 40 – Propriedades do usuário ................................................................................. 40
Figura 41 – Pasta compartilhada ........................................................................................ 41
Figura 42 – Propriedades do compartilhamento de pasta .............................................. 43
Figura 43 – Permissões padrão para pasta compartilhada ............................................ 43
Figura 44 – My Network Places........................................................................................... 44
Figura 45 – Mapeamento de unidade de rede.................................................................. 44
Figura 46 – Comando Run ................................................................................................... 45
6
Figura 47 – Propriedades de rede do Windows 9x .......................................................... 46
Figura 48 – Seleção do tipo de componente de rede...................................................... 46
Figura 49 – Seleção do cliente de rede da Microsoft....................................................... 47
Figura 50 – Definição da validação de logon no domínio ............................................... 47
Figura 51 – Definição do grupo de trabalho ...................................................................... 48
Figura 52 – Definição do controle de acesso.................................................................... 48
Figura 53 – Propriedades de Meu Computador do Windows 2000............................... 49
Figura 54 – Identificação de rede das Propriedades do Meu Computador.................. 49
Figura 55 – Alteração da Identificação na Rede (Clientes Windows 2000) ................. 49
Figura 56 – Ícone My Network Places................................................................................ 51
Figura 57 – Janela Network and Dial-up Connections .................................................... 51
Figura 58 – Caixa de diálogo das propriedades da conexão local................................ 51
Figura 59 – Caixa de diálogo para escolha do tipo de componente de rede .............. 52
Figura 60 – Propriedades do protocolo TCP/IP................................................................ 52
Figura 61 – Caixa de diálogo para configuração de endereço IP estático................... 54
Figura 62 – Caixa de diálogo Windows Components Wizard ........................................ 57
Figura 63 – Caixa de diálogo Networking Services ......................................................... 57
Figura 64 – Snap-in DHCP................................................................................................... 57
Figura 65 – Auxiliar para criação de escopo ..................................................................... 58
Figura 66 – Caixa de diálogo Windows Components Wizard ........................................ 63
Figura 67 – Caixa de diálogo Networking Services ......................................................... 63
Figura 68 – Criação de um mapeamento estático ........................................................... 64
Figura 69 – Caixa de diálogo New Static Mapping .......................................................... 64
Figura 70 – Rede WAN......................................................................................................... 65
Figura 71 - Configuração de novos parceiros de replicação WINS............................... 66
Figura 72 – Propriedades de segurança de uma pasta .................................................. 68
Figura 73 – Propriedades de segurança de uma pasta .................................................. 69
Figura 74 – Caixa de diálogo para cópia ou exclusão de permissões da pasta pai... 70
Figura 75 – Drivers adicionais ............................................................................................. 74
Figura 76 – Compartilhamento de uma impressora......................................................... 75
Figura 77 – Propriedades avançadas da impressora ...................................................... 75
Figura 78 – Permissões da impressora ............................................................................. 76
Figura 79 – Início da configuração do UPS....................................................................... 86
Figura 80 – Seleção do Fabricante..................................................................................... 86
Figura 81 – Configuração do UPS ...................................................................................... 86
7

1. Visão Geral do Windows 2000
1.1. Histórico do Sistema Operacional Windows
        A história do Windows inicia em 1985 com o lançamento do Windows 1.0. Tratava-se de uma
extensão gráfica do MS-DOS e que permitia aos usuários visualizar múltiplas aplicações ao mesmo
tempo. Além disso, as aplicações podiam utilizar-se de uma área de armazenamento em comum para
compartilhar dados.
        Windows 2.0 foi anunciado em 1987 e oferecia suporte para os novos processadores Intel
80286 e para hardware com memória expandida.
        Windows 3.0 foi disponibilizado em 1990, suportando processadores Intel 80386 e provendo
uma interface gráfica mais fácil de utilizar.
        Windows 3.1, disponibilizado em 1992, incluiu muitas melhorias em relação à versão 3.0.
        Windows for Workgroups 3.11 levou o Windows para o ambiente de redes com a inclusão de
protocolos e drivers de placas de rede. Ele também permitia a configuração de redes ponto-a-ponto,
sem a utilização de servidor.
        Em agosto de 1995 a Microsoft disponibilizou o Windows 95 que substituía a estrutura de
ambiente 16-bits do Windows 3.x por um ambiente 32-bits. O Windows 95 incluía uma nova interface
gráfica, suporte a Plug-and-Play e muitos recursos para conectividade com redes. Em 1998 foi
lançado o Windows 98 e no ano 2000 o Windows Millenium.
        Enquanto estes sistemas operacionais foram planejados principalmente para usuários
domésticos, o Windows NT foi planejado para atender necessidades das empresas, como
confiabilidade e segurança.
        No início, havia o LAN Manager, que fornecia uma alternativa amigável ao usuário para UNIX
e para Novell Netware que atendia a redes de pequeno a médio tamanho. Entretanto, o LAN Manager
e seu sucessor, o Windows NT 3.1, não dominaram rapidamente o mercado.
        Os Windows NT Server 3.5 e 3.51 continuaram a evolução e se tornaram bastantes comuns
em redes de todos os tamanhos. Próximo do fim do ciclo de vida do produto, a Microsoft lançou um
suplemento gratuito chamado Internet Information Server 1.0. Esse software introduziu o Windows NT
no território do UNIX: a Internet.
        O Windows NT Server 4.0 era um sistema operacional aprimorado, especialmente em suas
capacidades de Internet. No lançamento do produto foi disponibilizado o Internet Information Server
2.0. A aplicação do Service Pack 3 atualizava o IIS para a versão 3.0 e finalmente a instalação do
pacote Option Pack produzia o upgrade do IIS para a versão 4.0.
        O próximo passo nesta evolução é o objeto de nosso estudo: o Windows 2000.

1.2. Características Gerais do Windows 2000
        Windows 2000 é um sistema operacional multi-propósito com suporte integrado para redes
cliente/servidor e ponto-a-ponto. A família de produtos Windows 2000 foi planejada para aumentar a
segurança, possibilitar altos níveis de disponibilidade do sistema, e provido para escalabilidade desde
pequenas redes até grandes redes corporativas. O Windows 2000 incorpora tecnologias que reduzem
o TCO permitindo às organizações incrementar o valor dos seus investimentos existentes enquanto
diminuem os custos gerais com computação. Em adição, W2K incorpora suporte à Internet e
8
aplicações, baseado no sucesso do Windows NT 4.0 como um sistema operacional servidor para
aplicações e para a Internet.
         A família Windows 2000 consiste de quatro versões ou edições de sistemas operacionais:
             Windows 2000 Professional.
             Windows 2000 Standard Server.
             Windows 2000 Advanced Server.
             Windows 2000 Datacenter Server.

1.3. Diferentes Edições do Windows 2000
1.3.1.   Windows 2000 Professional
         O sistema operacional confiável para desktops e notebooks corporativos. Projetado para
usuários da Internet e usuários móveis, o Windows 2000 Professional ajuda a manter os usuários de
empresas em constante atividade.
         Windows 2000 Professional é o principal sistema operacional desktop para empresas de
todos os tamanhos. Ele tem uma alta performance, é um sistema operacional desktop corporativo que
atua como cliente de redes. Além disso, une as melhores características comerciais do Windows 98 e
a estabilidade do Windows NT Workstation.
         Windows 2000 Professional inclui uma interface de usuário simplificada, capacidades plug
and play, gerenciamento de força aprimorado e suporte para uma grande quantidade de dispositivos
de hardware. Em adição, Windows 2000 Professional estende significativamente a gerenciabilidade,
confiança e segurança do Windows NT em função do seu novo sistema de criptografia de arquivo e
ferramentas de gerenciamento de aplicações.
         Para utilizar o Microsoft Windows 2000 Professional, é necessário:
             133 MHz ou superior compatível com processador Pentium. O Windows 2000
             Professional suporta até 2 processadores simétricos.
             64 megabytes (MB) de RAM recomendado (32MB RAM mínimo suportado; 4GB RAM
             máximo).
             2 GB Hard Disk com o mínimo de 650 MB disponível.
             Unidade de CD-ROM ou DVD.
             Placa de vídeo VGA ou superior.
             Teclado.
             Microsoft Mouse ou compatível (opcional).

1.3.2.   Windows 2000 Standard Server
         Sistema operacional de rede multi-propósito, ideal para ambientes de grupos de trabalho e
pequenas empresas, o Windows 2000 Server permite que as organizações lancem seus negócios na
Internet com segurança e de maneira rentável.
         O Windows 2000 Standard Server é um servidor de arquivos, impressão e aplicação, como
também um servidor de plataforma Web. Contém todas as características do Windows 2000
Professional e mais as funções específicas de servidor. O centro do Windows 2000 é um conjunto
completo de serviços de infra-estrutura baseados nos serviços do Active Directory.
         Os serviços do AD centralizam o gerenciamento de usuário, grupos, serviços de segurança e
recursos de rede. Windows 2000 Server suporta desde sistemas com um único processador até
9
sistemas de multiprocessamento simétrico (SMP) com quatro processadores com até 4 GB de
memória física. Ele inclui as capacidades multifuncionais requeridas para atuar como servidor de
arquivos, de impressão, de aplicações, de comunicação ou Web, tanto para pequenas redes como
para grandes corporações com unidades ligadas remotamente. Windows 2000 Server é o ideal para
aplicações em corporações pequenas a médias.
         Para utilizar o Windows 2000 Server, você precisa:
            133 MHz ou superior compatível com processador Pentium. O Windows 2000 Standard
            Server suporta até 4 processadores simétricos.
            256 megabytes (MB) de RAM recomendado (128MB RAM mínimo suportado; 4GB RAM
            máximo).
            1GB disponível no Hard Disk.
            Unidade de CD-ROM ou DVD.
            Placa de vídeo VGA ou superior.
            Teclado.
            Microsoft Mouse ou compatível (opcional).

1.3.3.   Windows 2000 Advanced Server
         A edição separada do Windows 2000 Advanced Server foi projetada para aplicativos de e-
commerce e linha de negócios. Inclui tudo o que está no Windows 2000 Standard Server, mais os
recursos de disponibilidade e escalabilidade que suportam volumes maiores de usuários e aplicativos
mais complexos.
         O Windows 2000 Advanced Server é o mais poderoso sistema operacional servidor para
aplicações ou redes departamentais. Ele inclui o conjunto completo de características do Windows
2000 Standard Server e adiciona a alta disponibilidade e escalabilidade requeridas para soluções
corporativas. Windows 2000 Advanced Server suporta oito processadores (SMP) e integra a alta
disponibilidade provida por clusters, e é o ideal para trabalhos intensivos em bancos de dados. O
hardware que é projetado para suportar Intel Physical Address Extensions (PAEs) permite ao
Windows 2000 Advanced Server tomar proveito de mais memória física.
         Para utilizar o Windows 2000 Advanced Server, é necessário:
            133 MHz ou superior compatível com processador Pentium. O Windows 2000 Advanced
            Server suporta até 8 processadores simétricos.
            256 megabytes (MB) de RAM recomendado (128MB RAM mínimo suportado; 8GB RAM
            máximo).
            1GB disponível no Hard Disk.
            Unidade CD-ROM ou DVD.
            Placa de vídeo VGA ou superior.
            Teclado.
            Microsoft Mouse ou compatível (opcional).

1.3.4.   Windows 2000 Datacenter Server
         Além de todos os recursos do Advanced Server, o Datacenter Server incluirá maior
capacidade de processamento e de memória para atender às necessidades de processamento
intensivo de transações on-line (OLTP), aos grandes armazenamentos de dados e aos grandes
provedores de serviços de Internet e aplicativos (ISPs e ASPs).
10
       O Windows 2000 Datacenter Server é a versão mais avançada da família Windows 2000,
projetado para soluções corporativas de larga escala. O Windows 2000 Datacenter Server é
otimizado para grandes datawarehouses, simulações de grande escala em ciência ou engenharia,
processamento de transações on-line (OLTP) e consolidação de projetos. Ele é também ideal para
Provedores de Serviços Internet (ISP) e hospedeiros de Web sites. O Windows 2000 Datacenter inclui
todas as características do Windows 2000 Advanced Server, e provê ainda serviços de
balanceamento de carga e melhorias nos serviços de clustering através do suporte de 4 clusters. Ele
suporta até 16 processadores (SMP) na caixa e até 32 processadores (SMP) através de versões
OEM.
       Para utilizar o Windows 2000 Datacenter Server, é necessário:
           Pentium III Xeon ou superior. O Windows 2000 Datacenter Server suporta até 32
           processadores simétricos.
           256 megabytes (MB) de RAM.
           1GB disponível no Hard Disk.
           Unidade CD-ROM ou DVD.
           Placa de vídeo VGA ou superior.
           Teclado.
           Microsoft Mouse ou compatível (opcional).
11

2. Conceitos Fundamentais
           Existem alguns conceitos bastante referenciados em qualquer abordagem do Windows 2000,
até porque são peças fundamentais para a construção de ambientes baseados neste sistema
operacional. Vamos conhecer agora dois destes conceitos: Domínio e Serviço de Diretório.

2.1. Domínio
           Em uma rede baseada na arquitetura ponto-a-ponto (ou peer-to-peer) já sabemos que não
existe um banco de dados central com as informações de todos os usuários da rede. Por esse motivo
neste tipo de arquitetura não existe um único computador responsável por administrar os recursos da
rede e efetuar a autenticação de usuários. Cada computador gerencia seus próprios recursos e
autentica seus usuários localmente.
           Já em uma rede cliente/servidor uma lista de informações relacionadas com os usuários (os
nomes, senhas e outras informações a respeito de pessoas autorizadas a utilizar o sistema) é
mantida de forma centralizada.
           A Microsoft adota uma terminologia própria para referenciar-se a redes Windows 2000
baseadas nestas duas arquiteturas: grupos de trabalho e domínios.

2.1.1.     Grupos de Trabalho Windows 2000
           Um grupo de trabalho (ou workgroup) é um agrupamento lógico de computadores em rede
que compartilham recursos, como arquivos e impressoras, sem existir um servidor dedicado,
responsável pelo gerenciamento e funcionamento da rede. Cada computador Windows 2000 Server1
ou Professional participantes de um grupo de trabalho mantém um banco de dados de segurança
local, o qual contém uma lista de contas de usuários e informações de segurança de recurso para
aquele computador.
           Pelo fato de cada computador em um grupo de trabalho manter um banco de dados de
segurança local, a administração de contas de usuários e recursos é descentralizada. Um usuário
precisar ter uma conta em cada computador que necessitar ter acesso. Qualquer mudança na conta
do usuário (como a troca de senha, por exemplo) precisa ser executada em cada um dos
computadores do grupo de trabalho que ele utilizar.
           Os grupos de trabalho baseados em Windows 2000 têm as seguintes vantagens:
                Não requer um computador rodando Windows 2000 Server para manter as informações
                de segurança centralmente.
                É simples para planejar e implementar; ele não requer o extensivo planejamento e
                administração que um domínio exige.
                É conveniente para um limitado número de computadores localizados proximamente,
                portanto um grupo de trabalho torna-se impraticável em ambiente com mais de 10
                computadores.
                É apropriado para um pequeno grupo de usuários com boa desenvoltura técnica para
                dispensar o trabalho de um administrador para a rede.




1
    Em um grupo de trabalho, um computador executando Windows 2000 Server é chamado de stand-alone Server.
12

                                                                      Windows 2000
                                           BD de                         Server
                                         segurança
                                            local                                            Windows 2000
         Windows 2000                                                                         Professional
          Professional

                                                     Grupo de Trabalho
                                                       Windows 2000                       BD de
        BD de                                                                           segurança
      segurança                                                                            local
         local


                                                                       Windows 2000
                                                                          Server
                                          BD de
                                        segurança
                                           local


                                      Figura 1 – Grupo de trabalho Windows 2000
2.1.2.      Domínios Windows 2000
            Um domínio Windows 2000 é um agrupamento lógico de computadores em rede que
compartilham um banco de dados de segurança centralizado, responsável dentre outras coisas por
armazenar as informações dos usuários da rede e informações de segurança para o domínio. Este
banco de dados é conhecido como diretório e é parte do Active Directory, que é o serviço de diretório
do Windows 2000.
            Em um domínio, o diretório reside em computadores configurados como controladores de
domínio2 (domains controllers). Um controlador de domínio (domain controller) é um servidor que
gerencia todas as informações de segurança relacionadas a usuários, interação entre domínios e
administração centralizada.
                                                      Replicação

    Controlador de                                                                           Controlador de
      Domínio                                                                                  Domínio
                                                     Serviços do
                                                       Active
                                                      Directory




                                                        Domínio
                                                        Windows
                                                         2000
                         Computador                                                Computador
                           Cliente                                                   Cliente




                                          Figura 2 – Domínio Windows 2000
            Um domínio não refere-se a uma única localização ou a um tipo específico de configuração
de rede. Os computadores em um domínio podem estar fisicamente próximos em uma pequena rede
local (LAN) ou podem estar localizados em diferentes cantos do Mundo, comunicando-se sobre vários
tipos de conexões (WAN). Os domínios Windows 2000 provêm as seguintes vantagens:

2
 No Windows NT, controladores de domínio eram configurados como controladores de reserva (Backup Domain Controller,
BDC) ou como controladores primários (Primary Domain Controller, PDC). No Windows 2000, existe apenas um tipo de
controlador de domínio e todos os controladores são pares, ou seja, exercem esta função de forma igualitária.
13
            Provê administração centralizada porque todas as informações de usuários estão
            armazenadas centralmente.
            Provê um processo único de logon para usuário obterem acesso aos recursos da rede,
            como arquivos, impressoras ou aplicações para as quais ele tenha permissão. Um
            usuário pode autenticar-se em um computador (controlador de domínio) e acessar
            recursos em qualquer outro computador do domínio, desde que tenha as permissões
            apropriadas para tal.
            Provê escalabilidade para atender desde pequenas redes locais até redes de extensão
            mundial.

2.2. Serviço de Diretório
        Uma definição sobre diretórios que remonta aos primórdios dos PCs é de que são uma
estrutura organizacional (geralmente hierárquica) para armazenamento de informações.




                   Figura 3 – Estrutura de diretórios em uma partição de disco rígido
        Um conceito mais abrangente sobre diretórios define que é um banco de dados hierárquico
de informações de recursos e serviços. Estes recursos e serviços são organizados sob a forma de
objetos com propriedades e valores. Os diretórios sempre foram usados para organizar as
informações a fim de facilitar sua localização quando necessário. No universo das redes esta
finalidade também é a principal.
        Monitorar tudo em uma rede é uma tarefa demorada. Mesmo em redes pequenas, os
usuários tendem a ter dificuldades em localizar compartilhamentos de arquivo e impressoras de rede.
Sem algum tipo de diretório de rede, é impossível gerenciar redes grandes e médias e os usuários
freqüentemente terão dificuldades em localizar recursos na rede.
        Vamos tentar imaginar a dificuldade de administração que existiria em uma rede sem serviço
de diretório em uma empresa média que utilize recursos como: um gerenciador de correio eletrônico,
uma aplicação cliente/servidor que acesse um gerenciador de banco de dados, um servidor proxy
com autenticação para acesso à Internet. Um usuário deveria possuir uma conta para cada um destes
recursos além da própria conta para acesso à rede.
        A admissão ou demissão de um funcionário exigiria do administrador da rede a repetição da
ação de inclusão ou exclusão de usuário em cada uma das aplicações além do próprio sistema
operacional de rede. A simples alteração de senha de um usuário geraria um trabalho significativo.
        Em uma rede com um serviço de diretório cada conta de usuário seria criada uma única vez.
Os dados de cada usuário ficariam armazenados em um banco dados do serviço de diretório e seriam
utilizados pelo gerenciador de correio eletrônico, pelo gerenciador de banco de dados, pelo servidor
proxy, etc. O usuário seria autenticado pelo sistema operacional da rede uma única vez e seria
identificado automaticamente por todas estas aplicações.
14

3. Active Directory
         Uma das novidades mais comentadas do Windows 2000 foi o Active Directory, o serviço de
diretório da Microsoft. Na verdade, o AD é oriundo de um acréscimo de uma série de melhorias e
modificações no serviço de diretório já existente no Windows NT 4.0 (NT Directory Service, NTDS).
         O conceito de domínio, por exemplo, já existia no Windows NT. Mas os domínios do Windows
NT trabalhavam melhor em ambientes de tamanho pequeno e médio. Os administradores de
ambientes grandes eram forçados a particionar sua rede em múltiplos domínios interconectados
através de um recurso chamado relação de confiança. O Active Directory continuará a fazer o
trabalho dos domínios do Windows NT, porém de uma maneira muito mais eficiente.
         Os serviços do Active Diretory provêm um ponto único para gerenciamento da rede,
permitindo aos administradores adicionar, remover e realocar usuários e recursos facilmente.
         O AD é a parte mais importante do Windows 2000 e, infelizmente, também a mais complexa.
Uma de suas complexidades é sua alta difusão, já que virtualmente qualquer recurso importante do
Windows 2000 requer o AD.

3.1. Características do Active Directory
         Os serviços do AD organizam recursos hierarquicamente em domínios. Como já visto
anteriormente, um domínio é um agrupamento lógico de servidores e outros recursos da rede sob um
nome de domínio simples. O domínio é a unidade básica de replicação e segurança em uma rede
Windows 2000.
         Cada domínio inclui um ou mais controladores de domínio. Um controlador de domínio é um
computador com Windows 2000 Server que armazena uma réplica completa do diretório do domínio.
Para simplificar a administração, todos os controladores de domínio no AD são pares, então é
possível efetuar mudanças em qualquer controlador de domínio e as atualizações serão replicadas
para todos os outros controladores no domínio.

3.1.1.   Escalabilidade
         No AD, o diretório armazena informações utilizando partições, as quais são divisões lógicas
que organizam o diretório em seções e permitem armazenar um grande número de objetos. Portanto,
o diretório pode expandir-se para acompanhar o crescimento de uma organização, possibilitando a
existência desde de uma instalação pequena com pouco mais de uma centena de objetos a grandes
instalações com milhões de objetos.

3.1.2.   Suporte a Padrões Abertos
         Os serviços do AD integram o conceito Internet de espaço de nomes com os serviços de
diretório do Windows NT. Esta integração permite unificar e gerenciar os múltiplos espaços de nome
que existem hoje em ambientes heterogêneos de software e hardware de redes corporativas. O AD
usa Domain Name System (DNS) para seu sistema de nomes e pode trocar informações com
qualquer aplicação ou diretório que usa Lightweight Directory Access Protocol (LDAP). Os serviços do
AD também compartilham informações com outros serviços de diretório que suportam LDAP versões
2 e 3, como o Novell Directory Services (NDS).
15
3.1.3.   DNS
         Em função do AD usar DNS como sua forma de denominação de domínios e localização de
serviços, os nomes de domínio do Windows 2000 são também nomes DNS. Windows 2000 Server
utiliza DNS dinâmico, o qual habilita computadores clientes com associação de endereços
dinamicamente registrados no servidor DNS e com atualização da tabela também de forma dinâmica.
O DNS dinâmico pode eliminar a necessidade de outros serviços de nome Internet, como o Windows
Internet Naming Service (WINS).

3.2. Estrutura do Active Directory
         O Active Directory provê um método para planejamento de uma estrutura de diretório que
atenda às necessidades das empresas. Portanto, é preciso examinar a estrutura de negócios e de
operação da organização antes de instalar os serviços do AD.
         O Active Directory separa a rede em duas estruturas: lógica e física.

3.2.1.   Estrutura Lógica
         Nos serviços do AD você organiza recursos em uma estrutura lógica. O agrupamento lógico
de recursos possibilita localizar um recurso pelo seu nome ao invés de sua localização física.

3.2.2.   Objetos e Atributos
         Tudo o que o AD rastreia é considerado como um objeto. Um objeto é qualquer usuário,
sistema, recurso ou serviço rastreado dentro do AD. O termo genérico objeto é utilizado porque o AD
é capaz de monitorar uma variedade de itens e muitos objetos podem compartilhar atributos comuns.
         Os atributos descrevem objetos no Active Directory. Por exemplo, todos os objetos User
compartilham atributos para armazenar o nome de um usuário na rede, seu nome completo e uma
descrição. Os computadores também são objetos, mas têm um conjunto separado de atributos que
inclui um nome de host, um endereço IP e uma localização.
         Um contêiner é um tipo de objeto especial utilizado para organizar o AD. Ele não representa
nada físico, como um usuário. Em vez disso, é utilizado para agrupar outros objetos. Os objetos
contêineres podem ser aninhados dentro de outros contêineres.
         Nos serviços do AD é possível ainda organizar objetos em classes, os quais são
agrupamentos de objetos. Exemplos de classes de objetos são usuários, grupos, computadores,
domínios ou unidades organizacionais.

         a. Unidades Organizacionais
         Uma unidade organizacional é um objeto contêiner usado para organizar objetos como contas
de usuários, grupos, computadores, impressoras, aplicações, compartilhamento de arquivos e outros.

         b. Domínios
         A principal unidade da estrutura lógica nos serviços do AD é o domínio. Grupamentos de
objetos em um ou mais domínios permite refletir a organização da empresa no ambiente de rede.
         Todos objetos da rede existem dentro de um domínio, e cada domínio armazena informações
somente dos objetos que ele contém. Teoricamente, um domínio pode conter até 10 milhões de
objetos, mas 1 milhão de objetos por domínio é o limite testado.
         O acesso aos objetos do domínio é controlado pelas listas de controle de acesso (ACLs,
Access Control Lists), as quais são formadas com entradas de controle de acesso (ACEs, Access
16
Control Entries). Todas as políticas de segurança e configurações, como os direitos administrativos,
políticas de segurança e as ACLs não atravessam de um domínio para outro. O administrador do
domínio tem poderes absolutos para definir políticas somente dentro do seu domínio.
        Um domínio geralmente possui os seguintes tipos de computadores:
            Controladores de domínio rodando Windows 2000 Server: cada controlador de
            domínio armazena e mantém uma cópia do diretório.
            Servidores membros rodando Windows 2000 Server: um servidor membro não
            armazena informações do diretório e não pode autenticar usuários. Servidores membros
            são geralmente usados para prover recursos compartilhados, como arquivos,
            impressoras e aplicativos.
        Computadores clientes rodando Windows 2000 Professional: computadores clientes usados
para fornecer ao usuário o acesso aos recursos no domínio.

        c. Árvores, Esquema e Catálogo Global
        Uma árvore é um agrupamento ou arranjo hierárquico de um ou mais domínios Windows
2000 que permite o compartilhamento global de recursos. Uma árvore pode também consistir de um
único domínio Windows 2000. Contudo é possível criar grandes estruturas através da união de
múltiplos domínios em uma estrutura hierárquica.
        A figura abaixo apresenta uma árvore formada por um domínio pai (Silva Corporation) e dois
domínios filhos (Silva do Brasil e Silva das Ilhas Virgens).




                                              Silva Corporation




                     Silva do Brasil                                   Silva das Ilhas
                                                                           Virgens


                              Figura 4 – Árvore de Domínios Windows 2000
        Todos os domínios em uma árvore compartilham informações e recursos para funcionarem
como uma única unidade. Existe somente um diretório em uma árvore, mas cada domínio mantém
uma parcela do diretório que contém as informações de contas dos seus usuários. Em uma árvore,
um usuário que autentica-se em um domínio pode usar recursos em outro domínio desde que tenha
permissões apropriadas para tal.
        O Windows 2000 combina as informações de diretório de todos os domínios em um único
diretório, o qual torna as informações de cada domínio globalmente acessíveis. Em adição, cada
domínio automaticamente provê um subconjunto de suas informações nos serviços do AD como um
índice, que reside nos controladores de domínio. Usuários utilizam este índice para localizar outros
usuários, computadores, recursos e aplicações através da árvore do domínio.
        Todos os domínios dentro de uma árvore compartilham um esquema, que é uma definição
formal de todos os tipos de objetos que podem ser armazenados em uma implementação do AD.
17
Além disso, todos os domínios dentro de uma árvore simples compartilham um catálogo global, que é
um repositório de informações sobre objetos na árvore ou floresta.
        Todos os domínios em uma árvore simples também compartilham um espaço de nomes
comum e uma estrutura de nomes hierárquica. Um espaço de nomes é um conjunto de regras de
nomes que provê a estrutura hierárquica, ou caminho, da árvore. Seguindo os padrões DNS, o nome
de domínio do domínio filho (em uma árvore) é o nome relativo deste domínio anexado ao nome do
domínio pai.

        d. Florestas
        Uma floresta é um agrupamento de uma ou mais árvores. Florestas permitem que
organizações agrupem divisões (ou que duas organizações combinem suas redes) que não usam o
mesmo esquema de nomes, operem independentemente, mas precisem comunicar com a
organização inteira.
18

4. Instalando o Active Directory
        Uma das características interessantes no Windows 2000 é o fato da Microsoft ter separado o
seu processo de instalação do processo de criação de um controlador de domínio. Desta forma é
possível efetuar a instalação completa do Windows 2000 Server em um computador e posteriormente
transformá-lo em um controlador de domínio.
        Para converter um servidor do Windows 2000 Server em um controlador de domínio, executa-
se o programa Dcpromo a partir do comando Run no menu Start.




                                  Figura 5 – Execução do Dcpromo
        Um assistente será iniciado que guiará todo processo de instalação do Active Directory. Esse
assistente poderá ser usado também para rebaixar um controlador de domínio para um servidor
membro. O assistente fará uma série de perguntas e então, baseado nas respostas, criará uma nova
árvore, floresta ou domínio ou criará uma réplica de controlador de domínio em um domínio já
existente.




                       Figura 6 – Assistente para instalação do Active Directory
        A forma para criar um novo domínio é simples: basta definir uma máquina como o primeiro
controlador de domínio. A construção do primeiro controlador de domínio de um domínio e a criação
de um novo domínio são exatamente a mesma coisa.
19




                Figura 7 – Criação de um controlador de domínio para um novo domínio
       Seguindo a opção mostrada na figura anterior, este será o primeiro domínio em uma árvore
nova, por isso esta deverá ser a opção na próxima caixa de diálogo.




                                Figura 8 – Criação de uma nova árvore
       Como o Windows 2000 permite a construção de domínios organizados em árvores e árvores
organizadas em florestas, de forma que, logicamente, o assistente precisará saber onde colocar a
nova árvore – em uma floresta inteira nova ou em uma floresta já existente.
20




                               Figura 9 – Criação de uma nova floresta
       Na tela seguinte será preciso definir o nome do novo domínio.




                              Figura 10 – Definição do nome do domínio
       A menos que a rede seja 100% baseada no Windows 2000, tanto nos servidores como nas
estações de trabalho, então a rede contém máquinas rodando softwares de rede escritos para as
versões anteriores (Windows NT) quando os nomes de domínios não podiam ter mais de 15
caracteres e não podiam ter qualquer tipo de hierarquia. Por este motivo na caixa de diálogo seguinte
será definido o nome Net BIOS para este novo domínio, de forma a ser compatível com estes outros
sistemas operacionais.
21




                               Figura 11 – Nome NetBIOS do novo domínio
        O Windows 2000 armazena o banco de dados do Active Directory em duas partes, como
geralmente ocorre com bancos de dados – o banco de dados propriamente dito e um registro de
transações. Dois detalhes importantes com relação a esta informação são o fato de que o arquivo de
banco de dados real do Active Directory deve estar em um volume NTFS para melhor desempenho e
que é uma boa idéia colocar o registro de transações em um disco rígido diferente do que contém o
banco de dados do Active Directory.
        A localização dos arquivos que contém o banco de dados do Active Directory e do registro de
transações é definido na tela mostrada a seguir.




                   Figura 12 – Localização do banco de dados e do log de transações
        Assim como no Windows NT 4.0, o Windows 2000 também terá uma pasta compartilhada
com o nome de Netlogon, onde serão armazenadas informações como os arquivos de política do
sistema, perfis padrão e scripts de login.
        A localização física desta pasta é definida na tela mostrada a seguir.
22




                             Figura 13 – Localização física da pasta Netlogon
          No próximo passo, o programa Dcpromo tentará localizar e contatar um servidor DNS para o
nome de domínio escolhido (como support.com.br, por exemplo) e determinará ainda se um servidor
DNS encontrado suporta atualização dinâmica, característica presente no DNS do Windows 2000
Server.
          O Dcpromo pode não encontrar um servidor DNS para o domínio escolhido ou ainda pode
encontrar um servidor DNS que não suporta atualização dinâmica. Em qualquer um dos dois casos a
seguinte mensagem será exibida.




          Figura 14 – Mensagem de não localização de um servidor DNS com atualização automática
          O programa oferece a oportunidade de instalar e configurar um servidor DNS.




                   Figura 15 – Opção para instalação e configuração de um servidor DNS
23
       Alguns programas, como o Windows NT Remote Access Service (para acesso remoto de
usuários a servidores Windows NT) precisam acessar e obter informações do controlador de domínio.
Se algum programa com esta característica será utilizado na rede deve-se optar pelas Permissões
compatíveis com servidores pré-Windows 2000. Caso contrário, é importante selecionar a outra
opção que aumentará o nível de segurança da rede.




          Figura 16 – Escolha de permissões compatíveis com servidores anteriores ao W2K
       Uma das opções que aparecem no momento da inicialização do Windows 2000 é a
reconstrução de um banco de dados do Active Directory danificado para restaurá-lo para uma versão
anterior consistente internamente, mas que provavelmente não contém as alterações mais recentes.
Para esta restauração é exigida uma senha, que é definida na seguinte tela.




                 Figura 17 – Definição da senha para o reparo do serviço de diretório
       A tela seguinte é uma confirmação das informações escolhidas ao longo de todo o processo e
é uma oportunidade de revisar todas as decisões tomadas para evitar qualquer tipo de engano.
24




                Figura 18 – Resumo das informações para criação do Active Directory
       Uma vez conferidas todas as informações e tendo-se avançado na tela anterior, a seguinte
tela será exibida por um longo período, que poderá ser de mais de 20 minutos dependendo da
capacidade do computador.
       Se neste momento for constatado que algum erro tenha sido cometido será necessário:
           Aguardar o término deste processo;
           Reinicializar o computador;
           Executar novamente o Dcpromo para remover o Active Directory;
           Reinicializar o computador;
           Iniciar novamente o Dcpromo para efetuar uma nova instalação.




              Figura 19 – Tela de início do processo de configuração do Active Directory
       Quando o diretório estiver pronto será exibida uma tela avisando sobre o término do processo
de criação e, em seguida, o computador deverá ser reiniciado.
25




                Figura 20 – Conclusão da instalação do Active Directory




                      Figura 21 – Reinicialização do computador
Após a reinicialização, o servidor já será um controlador de domínio.
26

5. Administrando Contas de Usuários
         Contas de usuários precisam ser criadas para dar a estes a capacidade de logar-se em um
domínio para acessar recursos da rede ou logar-se em um computador para acessar recursos locais.
Uma conta de usuário contém as credenciais exclusivas e é um registro que define este usuário para
o Windows 2000. Deve incluir o nome e a senha (se requerida), os grupos do qual o usuário é
membro e os direitos e permissões que o usuário possui para uso do computador e da rede e para
acesso à recursos. Cada pessoa que utiliza regularmente a rede deve ter uma conta de usuário.
         O Windows 2000 suporta dois tipos de contas de usuários: do domínio e local. Com uma
conta de usuário do domínio, um usuário pode logar-se em um domínio para ganhar acesso à
recursos da rede. Com uma conta de usuário local, um usuário pode logar-se em um computador
específico para ganhar acesso aos recursos daquele computador.
         Além destes dois tipos, o Windows 2000 também provê contas de usuário internas (buit-in
user accounts), que são usadas para desempenhar tarefas administrativas ou ganhar acesso à
recursos da rede. As contas de usuário internas são criadas automaticamente durante a instalação do
Windows 2000 e a instalação do Active Directory.

5.1. Planejando Novas Contas de Usuários
         Para tornar mais eficiente o processo de gerenciamento das contas de usuários é importante
adotar e seguir determinadas convenções e diretrizes através do planejamento das seguintes áreas:
            Convenções de nomes para as contas de usuário;
            Diretrizes para as senhas;
            Opções de conta.

5.1.1.   Convenções para Nomes de Contas de Usuário
         A convenção de nomes estabelece como as contas de usuário são identificadas no domínio
(ou no computador local). Uma convenção de nomes consistente facilita lembrar nomes de logon de
usuários e localizá-los em listas. Os seguintes aspectos devem ser considerados na determinação de
uma convenção de nomes para uma organização:
            Os nomes de logon para contas de usuário devem ser exclusivos no Active Directory. Os
            nomes completos de contas de usuário de domínio devem ser exclusivos na OU onde a
            conta de usuário foi criada. Os nomes de contas de usuário local devem ser exclusivos no
            computador em que foram criadas.
            Os nomes de logon de usuário podem conter até 20 caracteres maiúsculos ou minúsculos
            (não existe diferenciação, mas o Windows 2000 preservará a forma como for digitado).
            Apesar do campo aceitar mais de vinte caracteres, o Windows 2000 só reconhecerá os
            primeiros vinte. Os caracteres não permitidos são: “ /  [ ] : ; | = , + * ? < >
            Se existir um grande número de usuários, a convenção de nomes deve considerar os
            funcionários com nome igual, utilizando tratamentos como:
                Usar concatenações de nome e sobrenome de forma diferenciada. Por exemplo, se
                existirem dois Pedro Silva, utilizar PedroSil e PedroSilva.
                Usar números após o nome, como por exemplo Pedro1 e Pedro2.
27
            Em algumas organizações pode ser útil identificar determinados tipos de usuários pela
            sua conta. Para usuários temporários, por exemplo, pode-se acrescentar a letra T e um
            hífen no início do nome da conta de usuário: T-Pedro.

5.1.2.   Diretrizes para as Senhas
         Para proteger o acesso ao domínio ou a um computador, todas as contas de usuário devem
ter uma senha associada. Estas são as recomendações para o uso de senhas:
            Atribuir sempre uma senha para a conta Administrator para impedir o acesso não
            autorizado à conta. Na verdade, é recomendável a alteração do nome da conta
            Administrator. Uma vez que para obter acesso ao domínio é necessário um nome de
            conta e uma senha, um invasor já terá metade do que precisa se a conta Administrator
            permanecer com seu nome padrão.
            Determinar se o administrador da rede ou os usuários controlarão as senhas. É possível
            atribuir senhas exclusivas para as contas de usuário e impedir que os usuários as
            alterem, ou então pode-se permitir que os próprios usuários definam suas senhas no
            primeiro logon.
            Orientar os usuários para o uso de senhas complexas bem como manter o sigilo sobre
            sua senha. Algumas recomendações:
                Evitar senhas com associação óbvia, como o próprio nome, sobrenome ou nome de
                alguém da família.
                Usar senhas longas. As senhas no Windows 2000 podem ter até 128 caracteres, mas
                recomenda-se o tamanho mínimo de 8 caracteres.
                Usar combinações de letras maiúsculas e minúsculas e caracteres não-alfanuméricos
                permitidos. Os mesmos caracteres não permitidos para nomes de conta também não
                são permitidos nas senhas.

5.1.3.   Opções de Conta
         As opções de conta de usuário controlam a maneira como um usuário acessa o domínio ou
um computador. É possível, por exemplo, limitar as horas durante as quais um usuário pode efetuar
logon no domínio e os computadores nos quais ele pode efetuar logon. Também pode-se especificar
a data de expiração de uma conta de usuário.

         e. Horas de Logon
         É possível definir as horas de logon para os usuários que só precisam de acesso em horários
específicos. Esta configuração está disponível nas propriedades de cada usuário, através do botão
‘Logon Hours’ na guia ‘Account’.
28




                     Figura 22 – Definição dos horários nos quais o usuário pode logar-se
         f. Computadores Permitidos para Logon3
         Por padrão, os usuários podem efetuar logon em qualquer computador do domínio, mas é
possível especificar os computadores nos quais os usuários podem efetuar logon. Isso ajuda a
restringir o acesso a informações armazenadas localmente nos computadores do domínio. Esta
configuração também está disponível nas propriedades de cada usuário, através do botão ‘Log On
To’ na guia ‘Accounts’.




                               Figura 23 – Definição de Computadores para Logon
         g. Expiração de Conta
         A definição de uma data para expiração de uma conta é um recurso bastante útil,
principalmente para utilização em contas de usuários temporários. Com esta configuração, uma data
de expiração para a conta é definida e, a partir desta data, o usuário não obtém mais acesso à rede.
         Este recurso está acessível na guia ‘Account’ das propriedades de cada usuário.




3
 Para o funcionamento deste recurso é necessário que o NetBIOS over TCP/IP esteja disponível, caso contrário o Windows
2000 não conseguirá determinar de qual computador o usuário está tentando efetuar logon.
29




                                 Figura 24 – Data para expiração da conta

5.2. Contas de Usuário Local
           Uma conta de usuário local é uma conta que só existe em um determinado computador
(Windows 2000 Professional ou Windows 2000 Server Stand Alone ou Member). Este tipo de conta
só deve ser usada em ambientes de redes menores, como grupos de trabalho ou em computadores
autônomos que não estão conectados em uma rede. Não é recomendável a criação de contas locais
em computadores que façam parte de um domínio, pois o domínio não as reconhece e, como
resultado, elas só conseguiriam obter acesso aos recursos do computador no qual foram criadas.
           As contas de usuário local residem no banco de dados SAM, que é o banco de contas de
segurança local. Elas não são armazenadas no Active Directory do domínio. Além disso, as contas de
usuário local possuem um menor número de propriedades que as contas de domínio.




                                 Figura 25 – Propriedades do usuário local
           Para criação de contas locais deve ser utilizado no ‘Computer Management’, o snap-in ‘Local
Users and Groups’. Com o botão direito na pasta Users, clica-se em New User e a seguinte tela será
exibida.
30




                                   Figura 26 – Novo usuário local
        Importante destacar que em um servidor Windows 2000 que seja controlador de domínio,
este snap-in não estará disponível. Neste caso, devem ser criadas contas do domínio usando a
ferramenta Active Directory Users and Computers, conforme será descrito posteriormente.




       Figura 27 – Snap-in Local Users and Groups não disponível em um controlador de domínio

5.3. Contas de Usuário do Domínio
        Para criar contas de usuários do domínio é preciso utilizar o snap-in Active Directory Users
and Computers. Este snap-in sempre estará disponível em um controlador de domínio. Já um servidor
membro não terá este snap-in, a menos que sejam instaladas as Ferramentas Administrativas do
Windows 2000.
        Para instalar estas ferramentas, basta executar o pacote de instalação Adminpak.msi
encontrado na pasta I386 do CD de instalação do Windows 2000 Server. Ao executar este pacote, a
seguinte tela é exibida:
31




                 Figura 28 – Wizard para instalação das Ferramentas Administrativas
       Prosseguindo com a instalação, pode-se optar pela instalação ou desinstalação das
Ferramentas Administrativas.




                 Figura 29 – Opções de instalação das Ferramentas Administrativas
       O programa passa então a instalar os componentes das Ferramentas Administrativas.




                               Figura 30 – Instalação dos componentes
32
         Uma vez concluída a instalação estarão disponíveis em um servidor membro (não controlador
de domínio) as Ferramentas Administrativas do Windows 2000 e um usuário com uma conta que faça
parte do grupo Domain Administrators poderá executar atividades administrativas (como a criação de
usuários do domínio) neste servidor membro.




                                       Figura 31 – Finalização da instalação
         O snap-in Active Directory Users and Computers permite a criação de contas de usuários do
domínio4.




                          Figura 32 – Snap-in Active Directory Users and Computers
         Basta selecionar a Unidade Organizacional na qual deseja-se criar um novo usuário ou
mesmo usar a Unidade Organizacional padrão Users, e no menu Action selecionar New e escolher
User. A seguinte caixa de diálogo será exibida:




4
 Em uma rede com vários controladores de domínio, quando uma conta de usuário do domínio é criada, ela sempre será
criada no primeiro controlador disponível contatado para depois ser replicada para todos os demais controladores.
33




                  Figura 33 – Caixa para criação de uma nova conta de usuário do domínio
           A tabela a seguir descreve as informações que deverão ser preenchidas nesta caixa de
diálogo.
Opção              Descrição
First name         O primeiro nome do usuário. Este ou o último nome são requeridos
Last name          O último nome do usuário. Este ou o primeiro nome são requeridos
                   O nome completo do usuário e é preenchido automaticamente de
Full name
                   acordo com as informações digitadas nas caixas anteriores
                   O nome exclusivo de logon do usuário, baseado na convenção de
User logon name    nomes adotada. Esta informação é requerida e precisa ser única no
                   domínio
                   O nome exclusivo de logon do usuário para clientes com sistemas
User logon name
                   operacionais anteriores ao Windows 2000, como Windows NT 4.0 ou
(pre-Windows 2000)
                   3.51. Esta informação é requerida e precisa ser única no domínio

           Na tela seguinte deverá ser informada uma senha e deverão ser feitas algumas opções.




                       Figura 34 – Informações complementares para uma nova conta


Opção                    Descrição
Password                 A senha que será usada pelo usuário
                         Confirmação da senha definida na caixa anterior, para assegurar que
Confirm password
                         não ocorreram erros de digitação
User must change         Selecionar esta caixa obrigará ao usuário efetuar a troca da senha
34
password at next       definida na caixa Password na primeira vez que efetuar logon. Esta
logon                  opção assegura a privacidade da senha do usuário, de tal forma que
                       nem o administrator a conhecerá
                       Selecionar esta senha impedirá que o usuário proceda a troca de sua
User cannot change
                       senha. Esta opção é útil quando mais de uma pessoa estiver usando a
password
                       mesma conta
                       Selecionar esta caixa fará com que a senha do usuário nunca expire,
Password never         mesmo que estejam definidas diretivas que definam expirações de
expires                senhas em determinados períodos. Esta opção é útil em contas de
                       determinados programas ou serviços
                       Selecionar esta opção fará com que a conta não esteja disponível para
Account is disabled    uso. Esta opção é útil quando um usuário irá afastar-se por um período
                       ou quando um novo funcionário ainda não iniciou suas atividades




                         Figura 35 – Finalização da criação de uma nova conta



5.3.1.   Propriedades para Contas de Usuários do Domínio
         Um conjunto de propriedades padrão está associado a cada conta de usuário criada no
domínio. Estas propriedades podem ser usadas para localizar usuários no Active Directory e, por esta
razão, estas informações devem ser preenchidas para cada conta de usuário.
         As propriedades da conta de usuário são acessadas no snap-in Active Directory Users and
Computers, clicando com o botão direito no usuário desejado e escolhendo o comando Properties.
35




                            Figura 36 – Caixa de propriedades da conta de usuário
          A tabela a seguir descreve as guias da caixa de diálogo Properties referente ao usuário.
Guia                      Finalidade
                          Documenta o nome, a descrição, o local do escritório, o número de
General                   telefone, o alias de e-mail e as informações sobre a página inicial
                          referentes ao usuário
                          Documenta o endereço do usuário, caixa postal, cidade, estado ou
Address
                          município, CEP e país
                          Atribui o nome de logon do usuário, define opções de conta e especifica
Account
                          a expiração de contas
Profile                   Atribui o caminho do perfil e a pasta base do usuário
                          Documenta o endereço, pager, celular, fax e números de telefone IP e
Telephones                permite digitar observações que contêm informações descritivas sobre o
                          usuário
                          Documenta o cargo, o departamento, o gerente da empresa e os
Organization
                          relatórios diretos do usuário
Member of                 Especifica os grupos aos quais o usuário pertence
                          Define as permissões de acesso, as opções de retorno de chamada e
Dial-in
                          as rotas e endereços IP estáticos
                          Especifica um ou mais aplicativos a serem iniciados e os dispositivos
Environment
                          aos quais conectar durante o logon do usuário
Sessions                  Especifica configurações do Terminal Services
Remote control            Especifica configurações de controle remoto do Terminal Services
Terminal Services
                          Define o perfil do usuário no Terminal Services
Profile


5.3.2.    Cópia de Contas de Usuário do Domínio5
          Para simplificar o processo de criação de novas contas de usuário de domínio é possível
efetuar uma cópia de uma conta já existente. Com a cópia, uma série de propriedades da conta são
copiadas para o novo usuário, evitando a necessidade de digitação de dados repetidos.
          As propriedades de usuário copiadas da conta de usuário de domínio existente para a nova
conta são descritas a seguir:




5
 Não é possível copiar contas de usuário em um computador com Windows 2000 Professional ou em um servidor membro do
Windows 2000. A cópia só é possível em controladores de domínio.
36
Guia                    Propriedades copiadas
General                 Nenhuma
Address                 Nenhuma
Account                 Todas, exceto Logon Name
                        Todas, exceto as entradas Profile Path e Home Folder, que são
Profile
                        alteradas para refletir o nome de logon do novo usuário
Telephones              Nenhuma
Organization            Todas, exceto Title
Member of               Todas
Dial-in                 Nenhuma, as configurações padrão aplicam-se à nova conta
Environment             Nenhuma, as configurações padrão aplicam-se à nova conta
Sessions                Nenhuma, as configurações padrão aplicam-se à nova conta
Remote control          Nenhuma, as configurações padrão aplicam-se à nova conta
Terminal Services
                        Nenhuma, as configurações padrão aplicam-se à nova conta
Profile

          O recurso de cópia de contas permite o uso de modelo de conta de usuário, que nada mais é
do que uma conta de usuário padrão criada para conter as propriedades que aplicam-se aos usuários
com necessidades em comum.
          Algumas recomendações importantes para o uso de modelos de conta são:
             Criar um modelo para cada categoria de funcionário ou para cada setor da empresa;
             Utilizar nomes nos modelos de conta que iniciem com caractere não-alfabético, como o
             caractere de sublinhado ( _ ), já que desta forma os modelos sempre aparecerão juntos
             na parte superior da lista do painel de detalhes da janela do Active Directory Users and
             Computers;
             Marcar nos modelos de conta a caixa de seleção Account is disabled na guia Account
             para evitar que os modelos sejam utilizados para obter acesso à rede da empresa,
             lembrando sempre de desmarcar esta opção nas cópias geradas.
37

6. Gerenciamento de Grupos
         Um grupo é uma coleção de contas de usuários usada para gerenciar o acesso de usuários a
recursos como pastas, arquivos e impressoras compartilhados na rede. Grupos simplificam a
administração permitindo associar permissões e direitos a grupos de usuários em vez de associar a
cada usuário individualmente. Usuários podem ainda participar de vários grupos simultaneamente.

6.1. Grupos em um Domínio
         As características dos grupos em um domínio são:
              São criados somente em controladores de domínio;
              Residem no serviço de diretório do Active Directory;
              São usados para conceder permissões a recursos e direitos para tarefas do sistema em
              qualquer computador do domínio;
              Os grupos em um domínio podem diferir quanto ao tipo a ao escopo.
         Esta última característica merece um melhor detalhamento, uma vez que é importante
conhecer as diferenças entre os tipos de grupos e os escopos de grupos.

6.1.1.   Tipos de Grupos
         Há dois tipos de grupo no Active Directory:
              Grupos de segurança: usados para fins relacionados à segurança, como a concessão
              de permissões para acesso a recursos.
              Grupos de distribuição6: usados pro aplicativos como listas para funções não
              relacionadas à segurança, como o envio de mensagens de e-mail para grupos de
              usuários. Não é possível conceder permissões a grupos de distribuição.

6.1.2.   Escopos de Grupos
         O escopo de um grupo determina onde usar esse grupo no domínio, ou seja, qual a sua
abrangência. São três os escopos de grupos do Windows 2000: Globais, Locais e Universais.

         h. Grupos Globais
         Usados para organizar os usuários que compartilham requisitos semelhantes de acesso à
rede. É possível utilizar um grupo global para conceder permissões de acesso a recursos localizados
em qualquer domínio.
              Têm participação limitada. Pode-se adicionar contas de usuário e grupos globais somente
              provenientes do domínio em que o grupo global foi criado.
              Podem ser aninhados em outros grupos. Essa função permite adicionar um grupo global
              a outro no mesmo domínio ou a grupos de domínio local e universal de outros domínios.

         i. Grupos Locais
         Usados para conceder permissões a recursos de domínio localizados no mesmo domínio em
que o grupo de domínio local foi criado. Os recursos não precisam residir em um controlador de
domínio.
              Têm participação aberta. Pode-se adicionar contas de usuário, grupos universais e
              globais de qualquer domínio.

6
 Somente programas que foram desenvolvidos para trabalhar com os serviços do Active Directory podem usar grupos de
distribuição.
38
              Não podem ser aninhados em outros grupos, significando que não é possível adicionar
              um grupo de domínio local a nenhum grupo, nem aos localizados no mesmo domínio.

         j. Grupos Universais7
         Concedem permissões a recursos relacionados em vários domínios. Devem ser usados para
conceder permissões de acesso a recursos localizados em qualquer domínio.
              Têm participação aberta. Todas as contas de usuário e grupos de domínio podem ser
              participantes.
              Podem ser aninhados em outros grupos de domínio. Essa capacidade permite adicionar
              um grupo universal a grupos de domínio local ou universal em qualquer domínio.

6.1.3.   Estratégias de Grupos
         Uma estratégia bastante recomendada pela Microsoft para uso de grupos em um domínio
único é conhecida como A G L P. Consiste em colocar as contas de usuário (A, de Account) em
grupos globais (G), colocar os grupos globais em grupos de domínio local (L) e conceder permissões
(P) ao grupo de domínio local. Um exemplo desta estratégia seria o seguinte:
              Em uma empresa seria recomendável identificar os usuários com responsabilidades
              comuns e adicionar suas contas de usuário a um grupo global. Por exemplo, poderiam
              ser criados grupos globais para um departamento de vendas (Grupo Vendas), para os
              diretores (Grupo Diretoria) e para o departamento de marketing (Grupo Marketing).
              Nesta mesma empresa existirá uma impressora laser colorida que poderá ser usada
              pelos diretores e pelos funcionários do marketing. Poderia então ser criado um grupo de
              domínio local chamado Usuarios Laser Colorida.
              Os grupos globais Diretoria e Marketing seriam então incluídos no grupo de domínio local
              Usuarios Laser Colorida.
              Por fim a impressora seria compartilhada e seriam concedidas as permissões adequadas
              para o grupo de domínio local Usuarios Laser Colorida.
         Antes da criação de um novo grupo de domínio local é recomendável verificar se já não existe
um grupo de domínio local interno que atenda as necessidades. Por exemplo, se o administrador
precisa de um grupo para incluir as contas de usuários que executarão o backup diário, não será
necessário criar um novo grupo. Basta utilizar o grupo de domínio local interno Backup Operators.

6.1.4.   Criação de Grupos de Domínio
         Para criar-se grupos em um domínio utiliza-se o snap-in Active Directory Users And
Computers. Os grupos podem ser criados na Unidade Organizacional Users ou em alguma outra
Unidade Organizacional criada pelo administrador. Com o botão direito do mouse sobre a Unidade
Organizacional desejada escolhe-se a opção New e o comando Group, surgindo então a seguinte
caixa de diálogo.




7
 Só estarão disponíveis quando o domínio estiver no modo nativo. O modo nativo será ativado quando todos os controladores
de domínio estiverem executando o Windows 2000.
39




                                Figura 37 – Criação de um novo grupo
Opção                 Descrição
                      Nome do novo grupo, que deve ser exclusivo no domínio em que o
Group name
                      grupo for criado
Group name            Nome usado para dar suporte a clientes e servidores de versões
(pre-Windows 2000)    anteriores do Windows
                      Escopo do grupo. Lembrando que a opção Universal só estará
Group scope           disponível em redes formadas por mais de um domínio e que estejam
                      funcionando em modo nativo
Group type            Tipo de grupo


        k. Inclusão de Participantes
        Para incluir participantes em um grupo também utiliza-se o snap-in Active Directory Users and
Computers clicando nas propriedades do grupo desejado (botão direito do mouse).




                       Figura 38 – Inclusão de participantes em um grupo global
        Nesta caixa de diálogo, obtém-se acesso à lista de objetos que podem ser incluídos no grupo
(neste exemplo um grupo global) clicando-se em Add.
40




                        Figura 39 – Seleção de objetos para o grupo global
       Também é possível definir-se os grupos dos quais um usuário fará parte nas propriedades da
conta de usuário.




                               Figura 40 – Propriedades do usuário
41
7. Segurança do Sistema de Arquivos
         O compartilhamento de pastas é a única forma de tornar pastas e seus conteúdos disponíveis
através da rede. As pastas compartilhadas provêm um caminho seguro para recursos de arquivos e
podem ser usadas em partições FAT16 ou FAT32, como também em partições NTFS (os volumes
NTFS oferecem ainda uma segurança adicional que será apresentada mais adiante).

7.1. Pastas Compartilhadas
         Quando uma pasta é compartilhada, usuários podem conectar-se a ela através da rede e
obter acesso aos arquivos que ela contém. Contudo, para obter acesso aos arquivos os usuários
devem ter as permissões apropriadas sobre o compartilhamento.
         As pastas compartilhadas podem conter aplicativos, dados ou os dados pessoais de um
usuário. O uso de pastas de aplicativo compartilhadas centraliza a administração, permitindo instalar
e manter os aplicativos em um servidor, em vez de em computadores cliente. O uso de pastas de
dados compartilhadas fornece um local central para que os usuários obtenham acesso a arquivos em
comum e facilita o backup dos dados contidos nesses arquivos.

7.1.1.   Permissões de Pastas Compartilhadas
         Conforme já comentado, uma pasta compartilhada pode conter aplicativos, dados ou dados
pessoais de usuários (pastas base ou home folders). Cada tipo de dado pode exigir diferentes
permissões de compartilhamento. As permissões de pastas compartilhadas apresentam as seguintes
características em comum:
            As permissões são aplicadas à pastas, não a arquivos individuais. Uma vez que uma
            pasta tenha sido compartilhada todos os usuários com permissão para tal terão acesso a
            todo o conteúdo da pasta. Uma segurança adicional poderá ser obtida através das
            permissões NTFS apresentadas mais adiante.
            As permissões de pastas compartilhadas não restringem o acesso de usuários que estão
            utilizando localmente o computador onde as pastas estão armazenadas. As permissões
            aplicam-se somente a usuários que conectam-se à pasta através da rede.
            Permissões de compartilhamento de pastas são o único caminho para obter segurança
            em volumes FAT.
            A permissão padrão em pastas compartilhadas é Full Control para o grupo Everyone. Se
            algum nível de segurança é desejado esta permissão deve ser excluída e as permissões
            apropriadas devem ser atribuídas.
         Uma pasta compartilhada é exibida com uma mão sob seu ícone, conforme mostrado abaixo:




                                   Figura 41 – Pasta compartilhada
         A tabela a seguir descreve as permissões e o que cada usuário pode fazer uma vez que
tenha recebido a permissão:
Permissão              Permite que o usuário
Read                   Exiba nomes de pastas, nomes de arquivos, dados de arquivos e
42
                         atributos, execute arquivos de aplicativo e altere as pastas contidas na
                         pasta compartilhada
Change                   Crie pastas; adicione arquivos a pastas; altere dados em arquivos;
                         acrescente dados a arquivos; altere atributos de arquivo; exclua pastas
                         e arquivos e execute as ações autorizadas pela permissão Read
Full Control             Altere permissões de arquivo, aproprie-se de arquivos e execute todas
                         as tarefas permitidas pelas permissões Change e Read



         l. Múltiplas Permissões
         Um usuário pode ser membro de vários grupos, cada um com diferentes permissões em uma
determinada pasta compartilhada. As permissões efetivas de um usuário para um recurso são a
combinação das permissões concedidas ao próprio usuário e a todos os grupos dos quais ele faça
parte. Por exemplo, se um usuário tiver a permissão Read para uma pasta compartilhada e for
participante de um grupo que tenha a permissão Change para a mesma pasta, a permissão efetiva do
usuário será Change, a qual já inclui as propriedades da permissão Read.
         A exceção para esta regra é a permissão Deny. Esta permissão substitui qualquer permissão
definida para contas de usuário e grupos.

         m. Requisitos para Compartilhamento de Pastas
         No Windows 2000, os únicos grupos que podem compartilhar pastas são Administratos,
Server Operators e Power Users. Esses grupos são contas padrão instaladas na pasta Users do
Computer Management ou na pasta Builtin do Active Directory Users and Groups. Os requisitos para
compartilhamento de pastas são:
               Em um domínio Windows 2000 podem compartilhar pastas membros dos grupos
               Administrators e Server Operators.
               Em servidores membro ou estações com Windows 2000 Professional que façam ou não
               parte de um domínio, os membros dos grupos Administrators e Power Users podem
               compartilhar pastas residentes no próprio computador.
               Em um grupo de trabalho do Windows 2000 membros dos grupos Administrators e Power
               Users podem compartilhar pastas nos próprios computadores.

         n. Criação de Compartilhamento de Pastas
         Para criar uma pasta compartilhada basta clicar com o botão direito do mouse na pasta
desejada (no Windows Explorer) e, em seguida, clicar em Sharing.
43




                    Figura 42 – Propriedades do compartilhamento de pasta
Opção               Descrição
Share this folder   Clicar para compartilhar a pasta
Share name          Nome que os usuários remotos usam para estabelecer uma conexão
                    com a pasta compartilhada
Comment             Descrição opcional para o nome da pasta compartilhada
User limit          Número de usuários que podem conectar-se simultaneamente à pasta
                    compartilhada. Se for escolhido Maximum Allowed, o Windows 2000
                    Professional dará suporte a até dez conexões, enquanto que o Windows
                    2000 Server poderá dar suporte a tantas conexões quanto o número de
                    licenças adquiridas
Permissions         Define as permissões de pasta compartilhada. Por padrão, a permissão
                    Full Control é concedida ao grupo Everyone para todas as novas pastas
                    compartilhadas




                    Figura 43 – Permissões padrão para pasta compartilhada
44
         Esta caixa de diálogo, acessível a partir do botão Permissions, permite definir outras
permissões para a pasta compartilhada bem como excluir a permissão padrão.

7.1.2.   Conexão de Usuários Remotos a Pastas Compartilhadas
         Uma vez compartilhada uma pasta, os usuários que receberam as permissões para tal
poderão conectar-se ao compartilhamento e utilizar os arquivos lá armazenados. São quatro as
formas dos usuários obterem acesso a uma pasta compartilhada em outro computador:

         o. My Network Places
         Usando o My Network Places basta navegar pela rede até o computador que contém a pasta
desejada e, por fim, acessar a pasta.




                                    Figura 44 – My Network Places

         Nota: Quando uma pasta compartilhada na rede é aberta o Windows 2000 a adiciona
         automaticamente a My Network Places.
         p. Map Network Drive
         Mapeando uma unidade de rede uma letra de unidade e um ícone serão associados a uma
pasta compartilhada específica. Isto facilita a referência ao local de um arquivo em uma pasta
compartilhada. Por exemplo, em vez de apontar para ServidorCompartilhamentoArquivo, pode-se
apontar para Unidade:Arquivo. As letras de unidades fornecem um acesso mais rápido e fácil do que
os caminhos do tipo convenção universal de nomenclatura (UNC).
         Para mapear uma unidade de rede, basta seguir as seguintes etapas:
            Com o botão direito do mouse em My Network Places escolher a opção Map Network
            Drive.
            Na caixa Map Network Wizard seleciona-se a letra de unidade a ser usada.
            Digita-se o nome da pasta compartilhada ou utiliza-se o botão Browser para localizá-la.
            Se desejar-se utilizar esta conexão de forma recorrente mantém-se a opção Reconnect at
            logon selecionada.




                             Figura 45 – Mapeamento de unidade de rede
45
       q. Comando Run
       A partir do comando Run pode-se conectar a um recurso de rede, bastando para tal digitar o
caminho UNC na caixa Open, conforme mostrado abaixo:




                                     Figura 46 – Comando Run
       r. Comando Net Use
       Uma outra forma de executar um mapeamento de unidade de rede é o comando Net use que
possui a seguinte sintaxe básica:
            Net use letra_da_unidade: servidorcompartilhamento
       Para conhecer a sintaxe completa deste comando basta digitar Net use /? a partir do prompt
de comando.
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I
Sistema Operacional de Redes I

Weitere ähnliche Inhalte

Was ist angesagt? (15)

Hardware CDTC
Hardware CDTCHardware CDTC
Hardware CDTC
 
Programando ooo b
Programando ooo bProgramando ooo b
Programando ooo b
 
Apostila ata informatica_julio_alves
Apostila ata informatica_julio_alvesApostila ata informatica_julio_alves
Apostila ata informatica_julio_alves
 
Manualipdoc4 pt
Manualipdoc4 ptManualipdoc4 pt
Manualipdoc4 pt
 
Informatica basica
Informatica basicaInformatica basica
Informatica basica
 
Foca linux 1
Foca linux 1Foca linux 1
Foca linux 1
 
Material LINUX
Material LINUXMaterial LINUX
Material LINUX
 
Apostila informatica basica pronatec
Apostila informatica basica   pronatecApostila informatica basica   pronatec
Apostila informatica basica pronatec
 
Manual do usuário
Manual do usuárioManual do usuário
Manual do usuário
 
Manual X-Maker
Manual X-MakerManual X-Maker
Manual X-Maker
 
249371958 guia-seguranca-debian
249371958 guia-seguranca-debian249371958 guia-seguranca-debian
249371958 guia-seguranca-debian
 
K19 k32-desenvolvimento-web-com-aspnet-mvc
K19 k32-desenvolvimento-web-com-aspnet-mvcK19 k32-desenvolvimento-web-com-aspnet-mvc
K19 k32-desenvolvimento-web-com-aspnet-mvc
 
Manual epson
Manual epsonManual epson
Manual epson
 
Apostila Tutorial CakePHP
Apostila Tutorial CakePHPApostila Tutorial CakePHP
Apostila Tutorial CakePHP
 
Curso De Acess
Curso De AcessCurso De Acess
Curso De Acess
 

Ähnlich wie Sistema Operacional de Redes I

Ähnlich wie Sistema Operacional de Redes I (20)

teamviewer_manual_pt
teamviewer_manual_ptteamviewer_manual_pt
teamviewer_manual_pt
 
Mnl gp015
Mnl gp015Mnl gp015
Mnl gp015
 
MIDI E MICROMASTER.en.pt.pdf
MIDI E MICROMASTER.en.pt.pdfMIDI E MICROMASTER.en.pt.pdf
MIDI E MICROMASTER.en.pt.pdf
 
Apostila introducao informatica
Apostila introducao informaticaApostila introducao informatica
Apostila introducao informatica
 
Apostila introducao informatica_mar2007
Apostila introducao informatica_mar2007Apostila introducao informatica_mar2007
Apostila introducao informatica_mar2007
 
Slackbookptbr 1.0.2
Slackbookptbr 1.0.2Slackbookptbr 1.0.2
Slackbookptbr 1.0.2
 
Linux iniciantes
Linux iniciantesLinux iniciantes
Linux iniciantes
 
Linux > GUIA FOCA-Linux. 1 of 3.
Linux > GUIA FOCA-Linux. 1 of 3.Linux > GUIA FOCA-Linux. 1 of 3.
Linux > GUIA FOCA-Linux. 1 of 3.
 
Index
IndexIndex
Index
 
Manual Placa Base ICIP 30 Intelbras - LojaTotalseg.com.br
Manual Placa Base ICIP 30 Intelbras - LojaTotalseg.com.brManual Placa Base ICIP 30 Intelbras - LojaTotalseg.com.br
Manual Placa Base ICIP 30 Intelbras - LojaTotalseg.com.br
 
Windows Server 2008pdf
Windows Server 2008pdfWindows Server 2008pdf
Windows Server 2008pdf
 
Manual call report_v2.0
Manual call report_v2.0Manual call report_v2.0
Manual call report_v2.0
 
Manual call report_v2.0
Manual call report_v2.0Manual call report_v2.0
Manual call report_v2.0
 
Installdebian
InstalldebianInstalldebian
Installdebian
 
Manual dreamweaver cs4
Manual dreamweaver cs4Manual dreamweaver cs4
Manual dreamweaver cs4
 
Nota Fiscal de Serviços Eletrônica – NFS-e
Nota Fiscal de  Serviços  Eletrônica – NFS-eNota Fiscal de  Serviços  Eletrônica – NFS-e
Nota Fiscal de Serviços Eletrônica – NFS-e
 
Bd apost
Bd apostBd apost
Bd apost
 
Guia Foca - Linux - Iniciante + Avançado
Guia Foca - Linux - Iniciante + AvançadoGuia Foca - Linux - Iniciante + Avançado
Guia Foca - Linux - Iniciante + Avançado
 
Redes e Manutenção de Computadores
Redes e Manutenção de ComputadoresRedes e Manutenção de Computadores
Redes e Manutenção de Computadores
 
Livro redes e_manutencao
Livro redes e_manutencaoLivro redes e_manutencao
Livro redes e_manutencao
 

Sistema Operacional de Redes I

  • 1. 1 SISTEMA OPERACIONAL DE REDES I WINDOWS 2000 Eduardo da Silva Marcos Laureano
  • 2. 2 SUMÁRIO 1. Visão Geral do Windows 2000 ...................................................................................... 7 1.1. Histórico do Sistema Operacional Windows ....................................................... 7 1.2. Características Gerais do Windows 2000............................................................ 7 1.3. Diferentes Edições do Windows 2000.................................................................. 8 1.3.1. Windows 2000 Professional........................................................................... 8 1.3.2. Windows 2000 Standard Server.................................................................... 8 1.3.3. Windows 2000 Advanced Server .................................................................. 9 1.3.4. Windows 2000 Datacenter Server ................................................................ 9 2. Conceitos Fundamentais .............................................................................................. 11 2.1. Domínio ................................................................................................................... 11 2.1.1. Grupos de Trabalho Windows 2000 ........................................................... 11 2.1.2. Domínios Windows 2000 .............................................................................. 12 2.2. Serviço de Diretório ............................................................................................... 13 3. Active Directory .............................................................................................................. 14 3.1. Características do Active Directory..................................................................... 14 3.1.1. Escalabilidade ................................................................................................ 14 3.1.2. Suporte a Padrões Abertos.......................................................................... 14 3.1.3. DNS.................................................................................................................. 15 3.2. Estrutura do Active Directory ............................................................................... 15 3.2.1. Estrutura Lógica ............................................................................................. 15 3.2.2. Objetos e Atributos ........................................................................................ 15 4. Instalando o Active Directory ....................................................................................... 18 5. Administrando Contas de Usuários ............................................................................ 26 5.1. Planejando Novas Contas de Usuários ............................................................. 26 5.1.1. Convenções para Nomes de Contas de Usuário ..................................... 26 5.1.2. Diretrizes para as Senhas ............................................................................ 27 5.1.3. Opções de Conta ........................................................................................... 27 5.2. Contas de Usuário Local ...................................................................................... 29 5.3. Contas de Usuário do Domínio ........................................................................... 30 5.3.1. Propriedades para Contas de Usuários do Domínio ............................... 34 5.3.2. Cópia de Contas de Usuário do Domínio .................................................. 35 6. Gerenciamento de Grupos ........................................................................................... 37 6.1. Grupos em um Domínio........................................................................................ 37 6.1.1. Tipos de Grupos............................................................................................. 37 6.1.2. Escopos de Grupos ....................................................................................... 37 6.1.3. Estratégias de Grupos .................................................................................. 38 6.1.4. Criação de Grupos de Domínio ................................................................... 38 7. Segurança do Sistema de Arquivos ........................................................................... 41 7.1. Pastas Compartilhadas......................................................................................... 41 7.1.1. Permissões de Pastas Compartilhadas ..................................................... 41 7.1.2. Conexão de Usuários Remotos a Pastas Compartilhadas..................... 44 8. Conexão de Clientes ao Windows 2000 .................................................................... 46 8.1. Configurando Clientes Windows 9x .................................................................... 46 8.2. Configurando Clientes Windows 2000 Professional ........................................ 48 9. Visão Geral sobre TCP/IP no Windows 2000 ........................................................... 51 9.1. Endereço IP Dinâmico: DHCP............................................................................. 52 9.2. Endereço IP Estático............................................................................................. 53 9.2.1. Configuração de Endereços IP Estáticos .................................................. 53 9.3. Verificação da Configuração TCP/IP.................................................................. 54 9.3.1. Depurando Problemas com o Protocolo TCP/IP ...................................... 55
  • 3. 3 10. DHCP Service ............................................................................................................ 56 10.1. Instalação e Configuração do DHCP Service ............................................... 56 10.1.1. Instalação do DHCP Service ....................................................................... 56 10.1.2. Configuração do Servidor DHCP ................................................................ 57 10.1.3. Autorização do Servidor DHCP ................................................................... 59 11. WINS............................................................................................................................ 60 11.1. Implementação de WINS.................................................................................. 61 11.1.1. Considerações sobre Servidores WINS..................................................... 61 11.1.2. Instalação do WINS....................................................................................... 62 11.1.3. Configuração do Servidor WINS ................................................................. 63 11.1.4. Configuração de Replicação WINS ............................................................ 65 11.1.5. Backup do Banco de Dados WINS ............................................................. 66 12. Segurança NTFS ....................................................................................................... 67 12.1. Permissões NTFS de Pasta............................................................................. 67 12.2. Permissões NTFS de Arquivo ......................................................................... 67 12.3. Múltiplas Permissões NTFS............................................................................. 68 12.4. Concessão de Permissões NTFS ................................................................... 68 12.5. Herança de Permissões ................................................................................... 69 12.6. Mover e Copiar Pastas e Arquivos ................................................................. 70 12.6.1. Copiar Pastas e Arquivos ............................................................................. 70 12.6.2. Mover Pastas e Arquivos.............................................................................. 70 12.7. Recomendações para Concessão de Permissões NTFS........................... 71 13. Gerenciamento de Impressão ................................................................................. 72 13.1. Requisitos para Impressão em Rede ............................................................. 72 13.2. Diretrizes para um Ambiente de Impressão em Rede................................. 73 13.3. Instalação de uma Impressora ........................................................................ 73 13.4. Configuração de Computadores Clientes ...................................................... 74 13.4.1. Clientes Windows 9x ou Windows NT 4.0 ................................................. 74 13.5. Compartilhamento de uma Impressora.......................................................... 74 13.6. Prioridades de Impressoras ............................................................................. 75 13.7. Permissões para as Impressoras.................................................................... 76 14. Gerenciamento de Discos ........................................................................................ 77 14.1. Discos Básicos ................................................................................................... 77 14.2. Discos Dinâmicos .............................................................................................. 77 14.3. Criando Partições em Discos Básicos ........................................................... 78 14.4. Atualizando um Disco Básico para Disco Dinâmico .................................... 80 14.4.1. Reverter para um Disco Básico................................................................... 81 14.4.2. Criando Volumes Simples ............................................................................ 81 14.4.3. Estendendo Volumes Simples..................................................................... 81 14.5. Tarefas Comuns do Disk Management.......................................................... 82 14.5.1. Status do Disco .............................................................................................. 82 14.5.2. Reparando Partições e Volumes................................................................. 82 14.5.3. Excluindo Partições e Volumes ................................................................... 82 14.6. Adicionando Discos ........................................................................................... 82 14.6.1. Adicionando Discos de Outros Computadores ......................................... 83 14.6.2. Importando Volumes Completos ................................................................. 83 14.7. Desfragmentando Partições............................................................................. 83 14.8. Práticas Recomendadas................................................................................... 84 15. Proteção contra Perda de Dados ............................................................................ 85 15.1. Tolerância a Falhas e Recuperação de Desastres ...................................... 85 15.2. Sistema de Alimentação Ininterrupta.............................................................. 85 15.2.1. Configurações do Serviço UPS ................................................................... 85
  • 4. 4 15.3. Tipos de Implementações de RAID ................................................................ 87 15.3.1. Implementação de RAID de Software ........................................................ 87 15.3.2. Implementação de RAID de Hardware....................................................... 88 15.3.3. Implementação de RAID 1 no Windows 2000: Volumes Espelhados... 88 16. Ferramentas para Recuperação de Desastres..................................................... 92 16.1. Opções Avançadas de Inicialização ............................................................... 92 16.2. Recuperando um Computador com o Recovery Console... Erro! Indicador não definido. 16.2.1. Instalando o Recovery Console................................................................... 93 16.2.2. Comandos do Recovery Console ............................................................... 93 16.3. Recuperando um Computador com o Processo de Reparação de Emergência......................................................................................................................... 94 16.3.1. Usando o Processo de Reparação de Emergência ................................. 94
  • 5. 5 LISTA DE FIGURAS Figura 1 – Grupo de trabalho Windows 2000 ................................................................... 12 Figura 2 – Domínio Windows 2000..................................................................................... 12 Figura 3 – Estrutura de diretórios em uma partição de disco rígido.............................. 13 Figura 4 – Árvore de Domínios Windows 2000 ................................................................ 16 Figura 5 – Execução do Dcpromo....................................................................................... 18 Figura 6 – Assistente para instalação do Active Directory.............................................. 18 Figura 7 – Criação de um controlador de domínio para um novo domínio .................. 19 Figura 8 – Criação de uma nova árvore............................................................................. 19 Figura 9 – Criação de uma nova floresta........................................................................... 20 Figura 10 – Definição do nome do domínio....................................................................... 20 Figura 11 – Nome NetBIOS do novo domínio................................................................... 21 Figura 12 – Localização do banco de dados e do log de transações ........................... 21 Figura 13 – Localização física da pasta Netlogon............................................................ 22 Figura 14 – Mensagem de não localização de um servidor DNS com atualização automática....................................................................................................................... 22 Figura 15 – Opção para instalação e configuração de um servidor DNS .................... 22 Figura 16 – Escolha de permissões compatíveis com servidores anteriores ao W2K .......................................................................................................................................... 23 Figura 17 – Definição da senha para o reparo do serviço de diretório ......................... 23 Figura 18 – Resumo das informações para criação do Active Directory...................... 24 Figura 19 – Tela de início do processo de configuração do Active Directory.............. 24 Figura 20 – Conclusão da instalação do Active Directory............................................... 25 Figura 21 – Reinicialização do computador ...................................................................... 25 Figura 22 – Definição dos horários nos quais o usuário pode logar-se........................ 28 Figura 23 – Definição de Computadores para Logon...................................................... 28 Figura 24 – Data para expiração da conta ........................................................................ 29 Figura 25 – Propriedades do usuário local........................................................................ 29 Figura 26 – Novo usuário local............................................................................................ 30 Figura 27 – Snap-in Local Users and Groups não disponível em um controlador de domínio ............................................................................................................................ 30 Figura 28 – Wizard para instalação das Ferramentas Administrativas......................... 31 Figura 29 – Opções de instalação das Ferramentas Administrativas........................... 31 Figura 30 – Instalação dos componentes.......................................................................... 31 Figura 31 – Finalização da instalação................................................................................ 32 Figura 32 – Snap-in Active Directory Users and Computers.......................................... 32 Figura 33 – Caixa para criação de uma nova conta de usuário do domínio............... 33 Figura 34 – Informações complementares para uma nova conta ................................. 33 Figura 35 – Finalização da criação de uma nova conta.................................................. 34 Figura 36 – Caixa de propriedades da conta de usuário ................................................ 35 Figura 37 – Criação de um novo grupo.............................................................................. 39 Figura 38 – Inclusão de participantes em um grupo global ............................................ 39 Figura 39 – Seleção de objetos para o grupo global ....................................................... 40 Figura 40 – Propriedades do usuário ................................................................................. 40 Figura 41 – Pasta compartilhada ........................................................................................ 41 Figura 42 – Propriedades do compartilhamento de pasta .............................................. 43 Figura 43 – Permissões padrão para pasta compartilhada ............................................ 43 Figura 44 – My Network Places........................................................................................... 44 Figura 45 – Mapeamento de unidade de rede.................................................................. 44 Figura 46 – Comando Run ................................................................................................... 45
  • 6. 6 Figura 47 – Propriedades de rede do Windows 9x .......................................................... 46 Figura 48 – Seleção do tipo de componente de rede...................................................... 46 Figura 49 – Seleção do cliente de rede da Microsoft....................................................... 47 Figura 50 – Definição da validação de logon no domínio ............................................... 47 Figura 51 – Definição do grupo de trabalho ...................................................................... 48 Figura 52 – Definição do controle de acesso.................................................................... 48 Figura 53 – Propriedades de Meu Computador do Windows 2000............................... 49 Figura 54 – Identificação de rede das Propriedades do Meu Computador.................. 49 Figura 55 – Alteração da Identificação na Rede (Clientes Windows 2000) ................. 49 Figura 56 – Ícone My Network Places................................................................................ 51 Figura 57 – Janela Network and Dial-up Connections .................................................... 51 Figura 58 – Caixa de diálogo das propriedades da conexão local................................ 51 Figura 59 – Caixa de diálogo para escolha do tipo de componente de rede .............. 52 Figura 60 – Propriedades do protocolo TCP/IP................................................................ 52 Figura 61 – Caixa de diálogo para configuração de endereço IP estático................... 54 Figura 62 – Caixa de diálogo Windows Components Wizard ........................................ 57 Figura 63 – Caixa de diálogo Networking Services ......................................................... 57 Figura 64 – Snap-in DHCP................................................................................................... 57 Figura 65 – Auxiliar para criação de escopo ..................................................................... 58 Figura 66 – Caixa de diálogo Windows Components Wizard ........................................ 63 Figura 67 – Caixa de diálogo Networking Services ......................................................... 63 Figura 68 – Criação de um mapeamento estático ........................................................... 64 Figura 69 – Caixa de diálogo New Static Mapping .......................................................... 64 Figura 70 – Rede WAN......................................................................................................... 65 Figura 71 - Configuração de novos parceiros de replicação WINS............................... 66 Figura 72 – Propriedades de segurança de uma pasta .................................................. 68 Figura 73 – Propriedades de segurança de uma pasta .................................................. 69 Figura 74 – Caixa de diálogo para cópia ou exclusão de permissões da pasta pai... 70 Figura 75 – Drivers adicionais ............................................................................................. 74 Figura 76 – Compartilhamento de uma impressora......................................................... 75 Figura 77 – Propriedades avançadas da impressora ...................................................... 75 Figura 78 – Permissões da impressora ............................................................................. 76 Figura 79 – Início da configuração do UPS....................................................................... 86 Figura 80 – Seleção do Fabricante..................................................................................... 86 Figura 81 – Configuração do UPS ...................................................................................... 86
  • 7. 7 1. Visão Geral do Windows 2000 1.1. Histórico do Sistema Operacional Windows A história do Windows inicia em 1985 com o lançamento do Windows 1.0. Tratava-se de uma extensão gráfica do MS-DOS e que permitia aos usuários visualizar múltiplas aplicações ao mesmo tempo. Além disso, as aplicações podiam utilizar-se de uma área de armazenamento em comum para compartilhar dados. Windows 2.0 foi anunciado em 1987 e oferecia suporte para os novos processadores Intel 80286 e para hardware com memória expandida. Windows 3.0 foi disponibilizado em 1990, suportando processadores Intel 80386 e provendo uma interface gráfica mais fácil de utilizar. Windows 3.1, disponibilizado em 1992, incluiu muitas melhorias em relação à versão 3.0. Windows for Workgroups 3.11 levou o Windows para o ambiente de redes com a inclusão de protocolos e drivers de placas de rede. Ele também permitia a configuração de redes ponto-a-ponto, sem a utilização de servidor. Em agosto de 1995 a Microsoft disponibilizou o Windows 95 que substituía a estrutura de ambiente 16-bits do Windows 3.x por um ambiente 32-bits. O Windows 95 incluía uma nova interface gráfica, suporte a Plug-and-Play e muitos recursos para conectividade com redes. Em 1998 foi lançado o Windows 98 e no ano 2000 o Windows Millenium. Enquanto estes sistemas operacionais foram planejados principalmente para usuários domésticos, o Windows NT foi planejado para atender necessidades das empresas, como confiabilidade e segurança. No início, havia o LAN Manager, que fornecia uma alternativa amigável ao usuário para UNIX e para Novell Netware que atendia a redes de pequeno a médio tamanho. Entretanto, o LAN Manager e seu sucessor, o Windows NT 3.1, não dominaram rapidamente o mercado. Os Windows NT Server 3.5 e 3.51 continuaram a evolução e se tornaram bastantes comuns em redes de todos os tamanhos. Próximo do fim do ciclo de vida do produto, a Microsoft lançou um suplemento gratuito chamado Internet Information Server 1.0. Esse software introduziu o Windows NT no território do UNIX: a Internet. O Windows NT Server 4.0 era um sistema operacional aprimorado, especialmente em suas capacidades de Internet. No lançamento do produto foi disponibilizado o Internet Information Server 2.0. A aplicação do Service Pack 3 atualizava o IIS para a versão 3.0 e finalmente a instalação do pacote Option Pack produzia o upgrade do IIS para a versão 4.0. O próximo passo nesta evolução é o objeto de nosso estudo: o Windows 2000. 1.2. Características Gerais do Windows 2000 Windows 2000 é um sistema operacional multi-propósito com suporte integrado para redes cliente/servidor e ponto-a-ponto. A família de produtos Windows 2000 foi planejada para aumentar a segurança, possibilitar altos níveis de disponibilidade do sistema, e provido para escalabilidade desde pequenas redes até grandes redes corporativas. O Windows 2000 incorpora tecnologias que reduzem o TCO permitindo às organizações incrementar o valor dos seus investimentos existentes enquanto diminuem os custos gerais com computação. Em adição, W2K incorpora suporte à Internet e
  • 8. 8 aplicações, baseado no sucesso do Windows NT 4.0 como um sistema operacional servidor para aplicações e para a Internet. A família Windows 2000 consiste de quatro versões ou edições de sistemas operacionais: Windows 2000 Professional. Windows 2000 Standard Server. Windows 2000 Advanced Server. Windows 2000 Datacenter Server. 1.3. Diferentes Edições do Windows 2000 1.3.1. Windows 2000 Professional O sistema operacional confiável para desktops e notebooks corporativos. Projetado para usuários da Internet e usuários móveis, o Windows 2000 Professional ajuda a manter os usuários de empresas em constante atividade. Windows 2000 Professional é o principal sistema operacional desktop para empresas de todos os tamanhos. Ele tem uma alta performance, é um sistema operacional desktop corporativo que atua como cliente de redes. Além disso, une as melhores características comerciais do Windows 98 e a estabilidade do Windows NT Workstation. Windows 2000 Professional inclui uma interface de usuário simplificada, capacidades plug and play, gerenciamento de força aprimorado e suporte para uma grande quantidade de dispositivos de hardware. Em adição, Windows 2000 Professional estende significativamente a gerenciabilidade, confiança e segurança do Windows NT em função do seu novo sistema de criptografia de arquivo e ferramentas de gerenciamento de aplicações. Para utilizar o Microsoft Windows 2000 Professional, é necessário: 133 MHz ou superior compatível com processador Pentium. O Windows 2000 Professional suporta até 2 processadores simétricos. 64 megabytes (MB) de RAM recomendado (32MB RAM mínimo suportado; 4GB RAM máximo). 2 GB Hard Disk com o mínimo de 650 MB disponível. Unidade de CD-ROM ou DVD. Placa de vídeo VGA ou superior. Teclado. Microsoft Mouse ou compatível (opcional). 1.3.2. Windows 2000 Standard Server Sistema operacional de rede multi-propósito, ideal para ambientes de grupos de trabalho e pequenas empresas, o Windows 2000 Server permite que as organizações lancem seus negócios na Internet com segurança e de maneira rentável. O Windows 2000 Standard Server é um servidor de arquivos, impressão e aplicação, como também um servidor de plataforma Web. Contém todas as características do Windows 2000 Professional e mais as funções específicas de servidor. O centro do Windows 2000 é um conjunto completo de serviços de infra-estrutura baseados nos serviços do Active Directory. Os serviços do AD centralizam o gerenciamento de usuário, grupos, serviços de segurança e recursos de rede. Windows 2000 Server suporta desde sistemas com um único processador até
  • 9. 9 sistemas de multiprocessamento simétrico (SMP) com quatro processadores com até 4 GB de memória física. Ele inclui as capacidades multifuncionais requeridas para atuar como servidor de arquivos, de impressão, de aplicações, de comunicação ou Web, tanto para pequenas redes como para grandes corporações com unidades ligadas remotamente. Windows 2000 Server é o ideal para aplicações em corporações pequenas a médias. Para utilizar o Windows 2000 Server, você precisa: 133 MHz ou superior compatível com processador Pentium. O Windows 2000 Standard Server suporta até 4 processadores simétricos. 256 megabytes (MB) de RAM recomendado (128MB RAM mínimo suportado; 4GB RAM máximo). 1GB disponível no Hard Disk. Unidade de CD-ROM ou DVD. Placa de vídeo VGA ou superior. Teclado. Microsoft Mouse ou compatível (opcional). 1.3.3. Windows 2000 Advanced Server A edição separada do Windows 2000 Advanced Server foi projetada para aplicativos de e- commerce e linha de negócios. Inclui tudo o que está no Windows 2000 Standard Server, mais os recursos de disponibilidade e escalabilidade que suportam volumes maiores de usuários e aplicativos mais complexos. O Windows 2000 Advanced Server é o mais poderoso sistema operacional servidor para aplicações ou redes departamentais. Ele inclui o conjunto completo de características do Windows 2000 Standard Server e adiciona a alta disponibilidade e escalabilidade requeridas para soluções corporativas. Windows 2000 Advanced Server suporta oito processadores (SMP) e integra a alta disponibilidade provida por clusters, e é o ideal para trabalhos intensivos em bancos de dados. O hardware que é projetado para suportar Intel Physical Address Extensions (PAEs) permite ao Windows 2000 Advanced Server tomar proveito de mais memória física. Para utilizar o Windows 2000 Advanced Server, é necessário: 133 MHz ou superior compatível com processador Pentium. O Windows 2000 Advanced Server suporta até 8 processadores simétricos. 256 megabytes (MB) de RAM recomendado (128MB RAM mínimo suportado; 8GB RAM máximo). 1GB disponível no Hard Disk. Unidade CD-ROM ou DVD. Placa de vídeo VGA ou superior. Teclado. Microsoft Mouse ou compatível (opcional). 1.3.4. Windows 2000 Datacenter Server Além de todos os recursos do Advanced Server, o Datacenter Server incluirá maior capacidade de processamento e de memória para atender às necessidades de processamento intensivo de transações on-line (OLTP), aos grandes armazenamentos de dados e aos grandes provedores de serviços de Internet e aplicativos (ISPs e ASPs).
  • 10. 10 O Windows 2000 Datacenter Server é a versão mais avançada da família Windows 2000, projetado para soluções corporativas de larga escala. O Windows 2000 Datacenter Server é otimizado para grandes datawarehouses, simulações de grande escala em ciência ou engenharia, processamento de transações on-line (OLTP) e consolidação de projetos. Ele é também ideal para Provedores de Serviços Internet (ISP) e hospedeiros de Web sites. O Windows 2000 Datacenter inclui todas as características do Windows 2000 Advanced Server, e provê ainda serviços de balanceamento de carga e melhorias nos serviços de clustering através do suporte de 4 clusters. Ele suporta até 16 processadores (SMP) na caixa e até 32 processadores (SMP) através de versões OEM. Para utilizar o Windows 2000 Datacenter Server, é necessário: Pentium III Xeon ou superior. O Windows 2000 Datacenter Server suporta até 32 processadores simétricos. 256 megabytes (MB) de RAM. 1GB disponível no Hard Disk. Unidade CD-ROM ou DVD. Placa de vídeo VGA ou superior. Teclado. Microsoft Mouse ou compatível (opcional).
  • 11. 11 2. Conceitos Fundamentais Existem alguns conceitos bastante referenciados em qualquer abordagem do Windows 2000, até porque são peças fundamentais para a construção de ambientes baseados neste sistema operacional. Vamos conhecer agora dois destes conceitos: Domínio e Serviço de Diretório. 2.1. Domínio Em uma rede baseada na arquitetura ponto-a-ponto (ou peer-to-peer) já sabemos que não existe um banco de dados central com as informações de todos os usuários da rede. Por esse motivo neste tipo de arquitetura não existe um único computador responsável por administrar os recursos da rede e efetuar a autenticação de usuários. Cada computador gerencia seus próprios recursos e autentica seus usuários localmente. Já em uma rede cliente/servidor uma lista de informações relacionadas com os usuários (os nomes, senhas e outras informações a respeito de pessoas autorizadas a utilizar o sistema) é mantida de forma centralizada. A Microsoft adota uma terminologia própria para referenciar-se a redes Windows 2000 baseadas nestas duas arquiteturas: grupos de trabalho e domínios. 2.1.1. Grupos de Trabalho Windows 2000 Um grupo de trabalho (ou workgroup) é um agrupamento lógico de computadores em rede que compartilham recursos, como arquivos e impressoras, sem existir um servidor dedicado, responsável pelo gerenciamento e funcionamento da rede. Cada computador Windows 2000 Server1 ou Professional participantes de um grupo de trabalho mantém um banco de dados de segurança local, o qual contém uma lista de contas de usuários e informações de segurança de recurso para aquele computador. Pelo fato de cada computador em um grupo de trabalho manter um banco de dados de segurança local, a administração de contas de usuários e recursos é descentralizada. Um usuário precisar ter uma conta em cada computador que necessitar ter acesso. Qualquer mudança na conta do usuário (como a troca de senha, por exemplo) precisa ser executada em cada um dos computadores do grupo de trabalho que ele utilizar. Os grupos de trabalho baseados em Windows 2000 têm as seguintes vantagens: Não requer um computador rodando Windows 2000 Server para manter as informações de segurança centralmente. É simples para planejar e implementar; ele não requer o extensivo planejamento e administração que um domínio exige. É conveniente para um limitado número de computadores localizados proximamente, portanto um grupo de trabalho torna-se impraticável em ambiente com mais de 10 computadores. É apropriado para um pequeno grupo de usuários com boa desenvoltura técnica para dispensar o trabalho de um administrador para a rede. 1 Em um grupo de trabalho, um computador executando Windows 2000 Server é chamado de stand-alone Server.
  • 12. 12 Windows 2000 BD de Server segurança local Windows 2000 Windows 2000 Professional Professional Grupo de Trabalho Windows 2000 BD de BD de segurança segurança local local Windows 2000 Server BD de segurança local Figura 1 – Grupo de trabalho Windows 2000 2.1.2. Domínios Windows 2000 Um domínio Windows 2000 é um agrupamento lógico de computadores em rede que compartilham um banco de dados de segurança centralizado, responsável dentre outras coisas por armazenar as informações dos usuários da rede e informações de segurança para o domínio. Este banco de dados é conhecido como diretório e é parte do Active Directory, que é o serviço de diretório do Windows 2000. Em um domínio, o diretório reside em computadores configurados como controladores de domínio2 (domains controllers). Um controlador de domínio (domain controller) é um servidor que gerencia todas as informações de segurança relacionadas a usuários, interação entre domínios e administração centralizada. Replicação Controlador de Controlador de Domínio Domínio Serviços do Active Directory Domínio Windows 2000 Computador Computador Cliente Cliente Figura 2 – Domínio Windows 2000 Um domínio não refere-se a uma única localização ou a um tipo específico de configuração de rede. Os computadores em um domínio podem estar fisicamente próximos em uma pequena rede local (LAN) ou podem estar localizados em diferentes cantos do Mundo, comunicando-se sobre vários tipos de conexões (WAN). Os domínios Windows 2000 provêm as seguintes vantagens: 2 No Windows NT, controladores de domínio eram configurados como controladores de reserva (Backup Domain Controller, BDC) ou como controladores primários (Primary Domain Controller, PDC). No Windows 2000, existe apenas um tipo de controlador de domínio e todos os controladores são pares, ou seja, exercem esta função de forma igualitária.
  • 13. 13 Provê administração centralizada porque todas as informações de usuários estão armazenadas centralmente. Provê um processo único de logon para usuário obterem acesso aos recursos da rede, como arquivos, impressoras ou aplicações para as quais ele tenha permissão. Um usuário pode autenticar-se em um computador (controlador de domínio) e acessar recursos em qualquer outro computador do domínio, desde que tenha as permissões apropriadas para tal. Provê escalabilidade para atender desde pequenas redes locais até redes de extensão mundial. 2.2. Serviço de Diretório Uma definição sobre diretórios que remonta aos primórdios dos PCs é de que são uma estrutura organizacional (geralmente hierárquica) para armazenamento de informações. Figura 3 – Estrutura de diretórios em uma partição de disco rígido Um conceito mais abrangente sobre diretórios define que é um banco de dados hierárquico de informações de recursos e serviços. Estes recursos e serviços são organizados sob a forma de objetos com propriedades e valores. Os diretórios sempre foram usados para organizar as informações a fim de facilitar sua localização quando necessário. No universo das redes esta finalidade também é a principal. Monitorar tudo em uma rede é uma tarefa demorada. Mesmo em redes pequenas, os usuários tendem a ter dificuldades em localizar compartilhamentos de arquivo e impressoras de rede. Sem algum tipo de diretório de rede, é impossível gerenciar redes grandes e médias e os usuários freqüentemente terão dificuldades em localizar recursos na rede. Vamos tentar imaginar a dificuldade de administração que existiria em uma rede sem serviço de diretório em uma empresa média que utilize recursos como: um gerenciador de correio eletrônico, uma aplicação cliente/servidor que acesse um gerenciador de banco de dados, um servidor proxy com autenticação para acesso à Internet. Um usuário deveria possuir uma conta para cada um destes recursos além da própria conta para acesso à rede. A admissão ou demissão de um funcionário exigiria do administrador da rede a repetição da ação de inclusão ou exclusão de usuário em cada uma das aplicações além do próprio sistema operacional de rede. A simples alteração de senha de um usuário geraria um trabalho significativo. Em uma rede com um serviço de diretório cada conta de usuário seria criada uma única vez. Os dados de cada usuário ficariam armazenados em um banco dados do serviço de diretório e seriam utilizados pelo gerenciador de correio eletrônico, pelo gerenciador de banco de dados, pelo servidor proxy, etc. O usuário seria autenticado pelo sistema operacional da rede uma única vez e seria identificado automaticamente por todas estas aplicações.
  • 14. 14 3. Active Directory Uma das novidades mais comentadas do Windows 2000 foi o Active Directory, o serviço de diretório da Microsoft. Na verdade, o AD é oriundo de um acréscimo de uma série de melhorias e modificações no serviço de diretório já existente no Windows NT 4.0 (NT Directory Service, NTDS). O conceito de domínio, por exemplo, já existia no Windows NT. Mas os domínios do Windows NT trabalhavam melhor em ambientes de tamanho pequeno e médio. Os administradores de ambientes grandes eram forçados a particionar sua rede em múltiplos domínios interconectados através de um recurso chamado relação de confiança. O Active Directory continuará a fazer o trabalho dos domínios do Windows NT, porém de uma maneira muito mais eficiente. Os serviços do Active Diretory provêm um ponto único para gerenciamento da rede, permitindo aos administradores adicionar, remover e realocar usuários e recursos facilmente. O AD é a parte mais importante do Windows 2000 e, infelizmente, também a mais complexa. Uma de suas complexidades é sua alta difusão, já que virtualmente qualquer recurso importante do Windows 2000 requer o AD. 3.1. Características do Active Directory Os serviços do AD organizam recursos hierarquicamente em domínios. Como já visto anteriormente, um domínio é um agrupamento lógico de servidores e outros recursos da rede sob um nome de domínio simples. O domínio é a unidade básica de replicação e segurança em uma rede Windows 2000. Cada domínio inclui um ou mais controladores de domínio. Um controlador de domínio é um computador com Windows 2000 Server que armazena uma réplica completa do diretório do domínio. Para simplificar a administração, todos os controladores de domínio no AD são pares, então é possível efetuar mudanças em qualquer controlador de domínio e as atualizações serão replicadas para todos os outros controladores no domínio. 3.1.1. Escalabilidade No AD, o diretório armazena informações utilizando partições, as quais são divisões lógicas que organizam o diretório em seções e permitem armazenar um grande número de objetos. Portanto, o diretório pode expandir-se para acompanhar o crescimento de uma organização, possibilitando a existência desde de uma instalação pequena com pouco mais de uma centena de objetos a grandes instalações com milhões de objetos. 3.1.2. Suporte a Padrões Abertos Os serviços do AD integram o conceito Internet de espaço de nomes com os serviços de diretório do Windows NT. Esta integração permite unificar e gerenciar os múltiplos espaços de nome que existem hoje em ambientes heterogêneos de software e hardware de redes corporativas. O AD usa Domain Name System (DNS) para seu sistema de nomes e pode trocar informações com qualquer aplicação ou diretório que usa Lightweight Directory Access Protocol (LDAP). Os serviços do AD também compartilham informações com outros serviços de diretório que suportam LDAP versões 2 e 3, como o Novell Directory Services (NDS).
  • 15. 15 3.1.3. DNS Em função do AD usar DNS como sua forma de denominação de domínios e localização de serviços, os nomes de domínio do Windows 2000 são também nomes DNS. Windows 2000 Server utiliza DNS dinâmico, o qual habilita computadores clientes com associação de endereços dinamicamente registrados no servidor DNS e com atualização da tabela também de forma dinâmica. O DNS dinâmico pode eliminar a necessidade de outros serviços de nome Internet, como o Windows Internet Naming Service (WINS). 3.2. Estrutura do Active Directory O Active Directory provê um método para planejamento de uma estrutura de diretório que atenda às necessidades das empresas. Portanto, é preciso examinar a estrutura de negócios e de operação da organização antes de instalar os serviços do AD. O Active Directory separa a rede em duas estruturas: lógica e física. 3.2.1. Estrutura Lógica Nos serviços do AD você organiza recursos em uma estrutura lógica. O agrupamento lógico de recursos possibilita localizar um recurso pelo seu nome ao invés de sua localização física. 3.2.2. Objetos e Atributos Tudo o que o AD rastreia é considerado como um objeto. Um objeto é qualquer usuário, sistema, recurso ou serviço rastreado dentro do AD. O termo genérico objeto é utilizado porque o AD é capaz de monitorar uma variedade de itens e muitos objetos podem compartilhar atributos comuns. Os atributos descrevem objetos no Active Directory. Por exemplo, todos os objetos User compartilham atributos para armazenar o nome de um usuário na rede, seu nome completo e uma descrição. Os computadores também são objetos, mas têm um conjunto separado de atributos que inclui um nome de host, um endereço IP e uma localização. Um contêiner é um tipo de objeto especial utilizado para organizar o AD. Ele não representa nada físico, como um usuário. Em vez disso, é utilizado para agrupar outros objetos. Os objetos contêineres podem ser aninhados dentro de outros contêineres. Nos serviços do AD é possível ainda organizar objetos em classes, os quais são agrupamentos de objetos. Exemplos de classes de objetos são usuários, grupos, computadores, domínios ou unidades organizacionais. a. Unidades Organizacionais Uma unidade organizacional é um objeto contêiner usado para organizar objetos como contas de usuários, grupos, computadores, impressoras, aplicações, compartilhamento de arquivos e outros. b. Domínios A principal unidade da estrutura lógica nos serviços do AD é o domínio. Grupamentos de objetos em um ou mais domínios permite refletir a organização da empresa no ambiente de rede. Todos objetos da rede existem dentro de um domínio, e cada domínio armazena informações somente dos objetos que ele contém. Teoricamente, um domínio pode conter até 10 milhões de objetos, mas 1 milhão de objetos por domínio é o limite testado. O acesso aos objetos do domínio é controlado pelas listas de controle de acesso (ACLs, Access Control Lists), as quais são formadas com entradas de controle de acesso (ACEs, Access
  • 16. 16 Control Entries). Todas as políticas de segurança e configurações, como os direitos administrativos, políticas de segurança e as ACLs não atravessam de um domínio para outro. O administrador do domínio tem poderes absolutos para definir políticas somente dentro do seu domínio. Um domínio geralmente possui os seguintes tipos de computadores: Controladores de domínio rodando Windows 2000 Server: cada controlador de domínio armazena e mantém uma cópia do diretório. Servidores membros rodando Windows 2000 Server: um servidor membro não armazena informações do diretório e não pode autenticar usuários. Servidores membros são geralmente usados para prover recursos compartilhados, como arquivos, impressoras e aplicativos. Computadores clientes rodando Windows 2000 Professional: computadores clientes usados para fornecer ao usuário o acesso aos recursos no domínio. c. Árvores, Esquema e Catálogo Global Uma árvore é um agrupamento ou arranjo hierárquico de um ou mais domínios Windows 2000 que permite o compartilhamento global de recursos. Uma árvore pode também consistir de um único domínio Windows 2000. Contudo é possível criar grandes estruturas através da união de múltiplos domínios em uma estrutura hierárquica. A figura abaixo apresenta uma árvore formada por um domínio pai (Silva Corporation) e dois domínios filhos (Silva do Brasil e Silva das Ilhas Virgens). Silva Corporation Silva do Brasil Silva das Ilhas Virgens Figura 4 – Árvore de Domínios Windows 2000 Todos os domínios em uma árvore compartilham informações e recursos para funcionarem como uma única unidade. Existe somente um diretório em uma árvore, mas cada domínio mantém uma parcela do diretório que contém as informações de contas dos seus usuários. Em uma árvore, um usuário que autentica-se em um domínio pode usar recursos em outro domínio desde que tenha permissões apropriadas para tal. O Windows 2000 combina as informações de diretório de todos os domínios em um único diretório, o qual torna as informações de cada domínio globalmente acessíveis. Em adição, cada domínio automaticamente provê um subconjunto de suas informações nos serviços do AD como um índice, que reside nos controladores de domínio. Usuários utilizam este índice para localizar outros usuários, computadores, recursos e aplicações através da árvore do domínio. Todos os domínios dentro de uma árvore compartilham um esquema, que é uma definição formal de todos os tipos de objetos que podem ser armazenados em uma implementação do AD.
  • 17. 17 Além disso, todos os domínios dentro de uma árvore simples compartilham um catálogo global, que é um repositório de informações sobre objetos na árvore ou floresta. Todos os domínios em uma árvore simples também compartilham um espaço de nomes comum e uma estrutura de nomes hierárquica. Um espaço de nomes é um conjunto de regras de nomes que provê a estrutura hierárquica, ou caminho, da árvore. Seguindo os padrões DNS, o nome de domínio do domínio filho (em uma árvore) é o nome relativo deste domínio anexado ao nome do domínio pai. d. Florestas Uma floresta é um agrupamento de uma ou mais árvores. Florestas permitem que organizações agrupem divisões (ou que duas organizações combinem suas redes) que não usam o mesmo esquema de nomes, operem independentemente, mas precisem comunicar com a organização inteira.
  • 18. 18 4. Instalando o Active Directory Uma das características interessantes no Windows 2000 é o fato da Microsoft ter separado o seu processo de instalação do processo de criação de um controlador de domínio. Desta forma é possível efetuar a instalação completa do Windows 2000 Server em um computador e posteriormente transformá-lo em um controlador de domínio. Para converter um servidor do Windows 2000 Server em um controlador de domínio, executa- se o programa Dcpromo a partir do comando Run no menu Start. Figura 5 – Execução do Dcpromo Um assistente será iniciado que guiará todo processo de instalação do Active Directory. Esse assistente poderá ser usado também para rebaixar um controlador de domínio para um servidor membro. O assistente fará uma série de perguntas e então, baseado nas respostas, criará uma nova árvore, floresta ou domínio ou criará uma réplica de controlador de domínio em um domínio já existente. Figura 6 – Assistente para instalação do Active Directory A forma para criar um novo domínio é simples: basta definir uma máquina como o primeiro controlador de domínio. A construção do primeiro controlador de domínio de um domínio e a criação de um novo domínio são exatamente a mesma coisa.
  • 19. 19 Figura 7 – Criação de um controlador de domínio para um novo domínio Seguindo a opção mostrada na figura anterior, este será o primeiro domínio em uma árvore nova, por isso esta deverá ser a opção na próxima caixa de diálogo. Figura 8 – Criação de uma nova árvore Como o Windows 2000 permite a construção de domínios organizados em árvores e árvores organizadas em florestas, de forma que, logicamente, o assistente precisará saber onde colocar a nova árvore – em uma floresta inteira nova ou em uma floresta já existente.
  • 20. 20 Figura 9 – Criação de uma nova floresta Na tela seguinte será preciso definir o nome do novo domínio. Figura 10 – Definição do nome do domínio A menos que a rede seja 100% baseada no Windows 2000, tanto nos servidores como nas estações de trabalho, então a rede contém máquinas rodando softwares de rede escritos para as versões anteriores (Windows NT) quando os nomes de domínios não podiam ter mais de 15 caracteres e não podiam ter qualquer tipo de hierarquia. Por este motivo na caixa de diálogo seguinte será definido o nome Net BIOS para este novo domínio, de forma a ser compatível com estes outros sistemas operacionais.
  • 21. 21 Figura 11 – Nome NetBIOS do novo domínio O Windows 2000 armazena o banco de dados do Active Directory em duas partes, como geralmente ocorre com bancos de dados – o banco de dados propriamente dito e um registro de transações. Dois detalhes importantes com relação a esta informação são o fato de que o arquivo de banco de dados real do Active Directory deve estar em um volume NTFS para melhor desempenho e que é uma boa idéia colocar o registro de transações em um disco rígido diferente do que contém o banco de dados do Active Directory. A localização dos arquivos que contém o banco de dados do Active Directory e do registro de transações é definido na tela mostrada a seguir. Figura 12 – Localização do banco de dados e do log de transações Assim como no Windows NT 4.0, o Windows 2000 também terá uma pasta compartilhada com o nome de Netlogon, onde serão armazenadas informações como os arquivos de política do sistema, perfis padrão e scripts de login. A localização física desta pasta é definida na tela mostrada a seguir.
  • 22. 22 Figura 13 – Localização física da pasta Netlogon No próximo passo, o programa Dcpromo tentará localizar e contatar um servidor DNS para o nome de domínio escolhido (como support.com.br, por exemplo) e determinará ainda se um servidor DNS encontrado suporta atualização dinâmica, característica presente no DNS do Windows 2000 Server. O Dcpromo pode não encontrar um servidor DNS para o domínio escolhido ou ainda pode encontrar um servidor DNS que não suporta atualização dinâmica. Em qualquer um dos dois casos a seguinte mensagem será exibida. Figura 14 – Mensagem de não localização de um servidor DNS com atualização automática O programa oferece a oportunidade de instalar e configurar um servidor DNS. Figura 15 – Opção para instalação e configuração de um servidor DNS
  • 23. 23 Alguns programas, como o Windows NT Remote Access Service (para acesso remoto de usuários a servidores Windows NT) precisam acessar e obter informações do controlador de domínio. Se algum programa com esta característica será utilizado na rede deve-se optar pelas Permissões compatíveis com servidores pré-Windows 2000. Caso contrário, é importante selecionar a outra opção que aumentará o nível de segurança da rede. Figura 16 – Escolha de permissões compatíveis com servidores anteriores ao W2K Uma das opções que aparecem no momento da inicialização do Windows 2000 é a reconstrução de um banco de dados do Active Directory danificado para restaurá-lo para uma versão anterior consistente internamente, mas que provavelmente não contém as alterações mais recentes. Para esta restauração é exigida uma senha, que é definida na seguinte tela. Figura 17 – Definição da senha para o reparo do serviço de diretório A tela seguinte é uma confirmação das informações escolhidas ao longo de todo o processo e é uma oportunidade de revisar todas as decisões tomadas para evitar qualquer tipo de engano.
  • 24. 24 Figura 18 – Resumo das informações para criação do Active Directory Uma vez conferidas todas as informações e tendo-se avançado na tela anterior, a seguinte tela será exibida por um longo período, que poderá ser de mais de 20 minutos dependendo da capacidade do computador. Se neste momento for constatado que algum erro tenha sido cometido será necessário: Aguardar o término deste processo; Reinicializar o computador; Executar novamente o Dcpromo para remover o Active Directory; Reinicializar o computador; Iniciar novamente o Dcpromo para efetuar uma nova instalação. Figura 19 – Tela de início do processo de configuração do Active Directory Quando o diretório estiver pronto será exibida uma tela avisando sobre o término do processo de criação e, em seguida, o computador deverá ser reiniciado.
  • 25. 25 Figura 20 – Conclusão da instalação do Active Directory Figura 21 – Reinicialização do computador Após a reinicialização, o servidor já será um controlador de domínio.
  • 26. 26 5. Administrando Contas de Usuários Contas de usuários precisam ser criadas para dar a estes a capacidade de logar-se em um domínio para acessar recursos da rede ou logar-se em um computador para acessar recursos locais. Uma conta de usuário contém as credenciais exclusivas e é um registro que define este usuário para o Windows 2000. Deve incluir o nome e a senha (se requerida), os grupos do qual o usuário é membro e os direitos e permissões que o usuário possui para uso do computador e da rede e para acesso à recursos. Cada pessoa que utiliza regularmente a rede deve ter uma conta de usuário. O Windows 2000 suporta dois tipos de contas de usuários: do domínio e local. Com uma conta de usuário do domínio, um usuário pode logar-se em um domínio para ganhar acesso à recursos da rede. Com uma conta de usuário local, um usuário pode logar-se em um computador específico para ganhar acesso aos recursos daquele computador. Além destes dois tipos, o Windows 2000 também provê contas de usuário internas (buit-in user accounts), que são usadas para desempenhar tarefas administrativas ou ganhar acesso à recursos da rede. As contas de usuário internas são criadas automaticamente durante a instalação do Windows 2000 e a instalação do Active Directory. 5.1. Planejando Novas Contas de Usuários Para tornar mais eficiente o processo de gerenciamento das contas de usuários é importante adotar e seguir determinadas convenções e diretrizes através do planejamento das seguintes áreas: Convenções de nomes para as contas de usuário; Diretrizes para as senhas; Opções de conta. 5.1.1. Convenções para Nomes de Contas de Usuário A convenção de nomes estabelece como as contas de usuário são identificadas no domínio (ou no computador local). Uma convenção de nomes consistente facilita lembrar nomes de logon de usuários e localizá-los em listas. Os seguintes aspectos devem ser considerados na determinação de uma convenção de nomes para uma organização: Os nomes de logon para contas de usuário devem ser exclusivos no Active Directory. Os nomes completos de contas de usuário de domínio devem ser exclusivos na OU onde a conta de usuário foi criada. Os nomes de contas de usuário local devem ser exclusivos no computador em que foram criadas. Os nomes de logon de usuário podem conter até 20 caracteres maiúsculos ou minúsculos (não existe diferenciação, mas o Windows 2000 preservará a forma como for digitado). Apesar do campo aceitar mais de vinte caracteres, o Windows 2000 só reconhecerá os primeiros vinte. Os caracteres não permitidos são: “ / [ ] : ; | = , + * ? < > Se existir um grande número de usuários, a convenção de nomes deve considerar os funcionários com nome igual, utilizando tratamentos como: Usar concatenações de nome e sobrenome de forma diferenciada. Por exemplo, se existirem dois Pedro Silva, utilizar PedroSil e PedroSilva. Usar números após o nome, como por exemplo Pedro1 e Pedro2.
  • 27. 27 Em algumas organizações pode ser útil identificar determinados tipos de usuários pela sua conta. Para usuários temporários, por exemplo, pode-se acrescentar a letra T e um hífen no início do nome da conta de usuário: T-Pedro. 5.1.2. Diretrizes para as Senhas Para proteger o acesso ao domínio ou a um computador, todas as contas de usuário devem ter uma senha associada. Estas são as recomendações para o uso de senhas: Atribuir sempre uma senha para a conta Administrator para impedir o acesso não autorizado à conta. Na verdade, é recomendável a alteração do nome da conta Administrator. Uma vez que para obter acesso ao domínio é necessário um nome de conta e uma senha, um invasor já terá metade do que precisa se a conta Administrator permanecer com seu nome padrão. Determinar se o administrador da rede ou os usuários controlarão as senhas. É possível atribuir senhas exclusivas para as contas de usuário e impedir que os usuários as alterem, ou então pode-se permitir que os próprios usuários definam suas senhas no primeiro logon. Orientar os usuários para o uso de senhas complexas bem como manter o sigilo sobre sua senha. Algumas recomendações: Evitar senhas com associação óbvia, como o próprio nome, sobrenome ou nome de alguém da família. Usar senhas longas. As senhas no Windows 2000 podem ter até 128 caracteres, mas recomenda-se o tamanho mínimo de 8 caracteres. Usar combinações de letras maiúsculas e minúsculas e caracteres não-alfanuméricos permitidos. Os mesmos caracteres não permitidos para nomes de conta também não são permitidos nas senhas. 5.1.3. Opções de Conta As opções de conta de usuário controlam a maneira como um usuário acessa o domínio ou um computador. É possível, por exemplo, limitar as horas durante as quais um usuário pode efetuar logon no domínio e os computadores nos quais ele pode efetuar logon. Também pode-se especificar a data de expiração de uma conta de usuário. e. Horas de Logon É possível definir as horas de logon para os usuários que só precisam de acesso em horários específicos. Esta configuração está disponível nas propriedades de cada usuário, através do botão ‘Logon Hours’ na guia ‘Account’.
  • 28. 28 Figura 22 – Definição dos horários nos quais o usuário pode logar-se f. Computadores Permitidos para Logon3 Por padrão, os usuários podem efetuar logon em qualquer computador do domínio, mas é possível especificar os computadores nos quais os usuários podem efetuar logon. Isso ajuda a restringir o acesso a informações armazenadas localmente nos computadores do domínio. Esta configuração também está disponível nas propriedades de cada usuário, através do botão ‘Log On To’ na guia ‘Accounts’. Figura 23 – Definição de Computadores para Logon g. Expiração de Conta A definição de uma data para expiração de uma conta é um recurso bastante útil, principalmente para utilização em contas de usuários temporários. Com esta configuração, uma data de expiração para a conta é definida e, a partir desta data, o usuário não obtém mais acesso à rede. Este recurso está acessível na guia ‘Account’ das propriedades de cada usuário. 3 Para o funcionamento deste recurso é necessário que o NetBIOS over TCP/IP esteja disponível, caso contrário o Windows 2000 não conseguirá determinar de qual computador o usuário está tentando efetuar logon.
  • 29. 29 Figura 24 – Data para expiração da conta 5.2. Contas de Usuário Local Uma conta de usuário local é uma conta que só existe em um determinado computador (Windows 2000 Professional ou Windows 2000 Server Stand Alone ou Member). Este tipo de conta só deve ser usada em ambientes de redes menores, como grupos de trabalho ou em computadores autônomos que não estão conectados em uma rede. Não é recomendável a criação de contas locais em computadores que façam parte de um domínio, pois o domínio não as reconhece e, como resultado, elas só conseguiriam obter acesso aos recursos do computador no qual foram criadas. As contas de usuário local residem no banco de dados SAM, que é o banco de contas de segurança local. Elas não são armazenadas no Active Directory do domínio. Além disso, as contas de usuário local possuem um menor número de propriedades que as contas de domínio. Figura 25 – Propriedades do usuário local Para criação de contas locais deve ser utilizado no ‘Computer Management’, o snap-in ‘Local Users and Groups’. Com o botão direito na pasta Users, clica-se em New User e a seguinte tela será exibida.
  • 30. 30 Figura 26 – Novo usuário local Importante destacar que em um servidor Windows 2000 que seja controlador de domínio, este snap-in não estará disponível. Neste caso, devem ser criadas contas do domínio usando a ferramenta Active Directory Users and Computers, conforme será descrito posteriormente. Figura 27 – Snap-in Local Users and Groups não disponível em um controlador de domínio 5.3. Contas de Usuário do Domínio Para criar contas de usuários do domínio é preciso utilizar o snap-in Active Directory Users and Computers. Este snap-in sempre estará disponível em um controlador de domínio. Já um servidor membro não terá este snap-in, a menos que sejam instaladas as Ferramentas Administrativas do Windows 2000. Para instalar estas ferramentas, basta executar o pacote de instalação Adminpak.msi encontrado na pasta I386 do CD de instalação do Windows 2000 Server. Ao executar este pacote, a seguinte tela é exibida:
  • 31. 31 Figura 28 – Wizard para instalação das Ferramentas Administrativas Prosseguindo com a instalação, pode-se optar pela instalação ou desinstalação das Ferramentas Administrativas. Figura 29 – Opções de instalação das Ferramentas Administrativas O programa passa então a instalar os componentes das Ferramentas Administrativas. Figura 30 – Instalação dos componentes
  • 32. 32 Uma vez concluída a instalação estarão disponíveis em um servidor membro (não controlador de domínio) as Ferramentas Administrativas do Windows 2000 e um usuário com uma conta que faça parte do grupo Domain Administrators poderá executar atividades administrativas (como a criação de usuários do domínio) neste servidor membro. Figura 31 – Finalização da instalação O snap-in Active Directory Users and Computers permite a criação de contas de usuários do domínio4. Figura 32 – Snap-in Active Directory Users and Computers Basta selecionar a Unidade Organizacional na qual deseja-se criar um novo usuário ou mesmo usar a Unidade Organizacional padrão Users, e no menu Action selecionar New e escolher User. A seguinte caixa de diálogo será exibida: 4 Em uma rede com vários controladores de domínio, quando uma conta de usuário do domínio é criada, ela sempre será criada no primeiro controlador disponível contatado para depois ser replicada para todos os demais controladores.
  • 33. 33 Figura 33 – Caixa para criação de uma nova conta de usuário do domínio A tabela a seguir descreve as informações que deverão ser preenchidas nesta caixa de diálogo. Opção Descrição First name O primeiro nome do usuário. Este ou o último nome são requeridos Last name O último nome do usuário. Este ou o primeiro nome são requeridos O nome completo do usuário e é preenchido automaticamente de Full name acordo com as informações digitadas nas caixas anteriores O nome exclusivo de logon do usuário, baseado na convenção de User logon name nomes adotada. Esta informação é requerida e precisa ser única no domínio O nome exclusivo de logon do usuário para clientes com sistemas User logon name operacionais anteriores ao Windows 2000, como Windows NT 4.0 ou (pre-Windows 2000) 3.51. Esta informação é requerida e precisa ser única no domínio Na tela seguinte deverá ser informada uma senha e deverão ser feitas algumas opções. Figura 34 – Informações complementares para uma nova conta Opção Descrição Password A senha que será usada pelo usuário Confirmação da senha definida na caixa anterior, para assegurar que Confirm password não ocorreram erros de digitação User must change Selecionar esta caixa obrigará ao usuário efetuar a troca da senha
  • 34. 34 password at next definida na caixa Password na primeira vez que efetuar logon. Esta logon opção assegura a privacidade da senha do usuário, de tal forma que nem o administrator a conhecerá Selecionar esta senha impedirá que o usuário proceda a troca de sua User cannot change senha. Esta opção é útil quando mais de uma pessoa estiver usando a password mesma conta Selecionar esta caixa fará com que a senha do usuário nunca expire, Password never mesmo que estejam definidas diretivas que definam expirações de expires senhas em determinados períodos. Esta opção é útil em contas de determinados programas ou serviços Selecionar esta opção fará com que a conta não esteja disponível para Account is disabled uso. Esta opção é útil quando um usuário irá afastar-se por um período ou quando um novo funcionário ainda não iniciou suas atividades Figura 35 – Finalização da criação de uma nova conta 5.3.1. Propriedades para Contas de Usuários do Domínio Um conjunto de propriedades padrão está associado a cada conta de usuário criada no domínio. Estas propriedades podem ser usadas para localizar usuários no Active Directory e, por esta razão, estas informações devem ser preenchidas para cada conta de usuário. As propriedades da conta de usuário são acessadas no snap-in Active Directory Users and Computers, clicando com o botão direito no usuário desejado e escolhendo o comando Properties.
  • 35. 35 Figura 36 – Caixa de propriedades da conta de usuário A tabela a seguir descreve as guias da caixa de diálogo Properties referente ao usuário. Guia Finalidade Documenta o nome, a descrição, o local do escritório, o número de General telefone, o alias de e-mail e as informações sobre a página inicial referentes ao usuário Documenta o endereço do usuário, caixa postal, cidade, estado ou Address município, CEP e país Atribui o nome de logon do usuário, define opções de conta e especifica Account a expiração de contas Profile Atribui o caminho do perfil e a pasta base do usuário Documenta o endereço, pager, celular, fax e números de telefone IP e Telephones permite digitar observações que contêm informações descritivas sobre o usuário Documenta o cargo, o departamento, o gerente da empresa e os Organization relatórios diretos do usuário Member of Especifica os grupos aos quais o usuário pertence Define as permissões de acesso, as opções de retorno de chamada e Dial-in as rotas e endereços IP estáticos Especifica um ou mais aplicativos a serem iniciados e os dispositivos Environment aos quais conectar durante o logon do usuário Sessions Especifica configurações do Terminal Services Remote control Especifica configurações de controle remoto do Terminal Services Terminal Services Define o perfil do usuário no Terminal Services Profile 5.3.2. Cópia de Contas de Usuário do Domínio5 Para simplificar o processo de criação de novas contas de usuário de domínio é possível efetuar uma cópia de uma conta já existente. Com a cópia, uma série de propriedades da conta são copiadas para o novo usuário, evitando a necessidade de digitação de dados repetidos. As propriedades de usuário copiadas da conta de usuário de domínio existente para a nova conta são descritas a seguir: 5 Não é possível copiar contas de usuário em um computador com Windows 2000 Professional ou em um servidor membro do Windows 2000. A cópia só é possível em controladores de domínio.
  • 36. 36 Guia Propriedades copiadas General Nenhuma Address Nenhuma Account Todas, exceto Logon Name Todas, exceto as entradas Profile Path e Home Folder, que são Profile alteradas para refletir o nome de logon do novo usuário Telephones Nenhuma Organization Todas, exceto Title Member of Todas Dial-in Nenhuma, as configurações padrão aplicam-se à nova conta Environment Nenhuma, as configurações padrão aplicam-se à nova conta Sessions Nenhuma, as configurações padrão aplicam-se à nova conta Remote control Nenhuma, as configurações padrão aplicam-se à nova conta Terminal Services Nenhuma, as configurações padrão aplicam-se à nova conta Profile O recurso de cópia de contas permite o uso de modelo de conta de usuário, que nada mais é do que uma conta de usuário padrão criada para conter as propriedades que aplicam-se aos usuários com necessidades em comum. Algumas recomendações importantes para o uso de modelos de conta são: Criar um modelo para cada categoria de funcionário ou para cada setor da empresa; Utilizar nomes nos modelos de conta que iniciem com caractere não-alfabético, como o caractere de sublinhado ( _ ), já que desta forma os modelos sempre aparecerão juntos na parte superior da lista do painel de detalhes da janela do Active Directory Users and Computers; Marcar nos modelos de conta a caixa de seleção Account is disabled na guia Account para evitar que os modelos sejam utilizados para obter acesso à rede da empresa, lembrando sempre de desmarcar esta opção nas cópias geradas.
  • 37. 37 6. Gerenciamento de Grupos Um grupo é uma coleção de contas de usuários usada para gerenciar o acesso de usuários a recursos como pastas, arquivos e impressoras compartilhados na rede. Grupos simplificam a administração permitindo associar permissões e direitos a grupos de usuários em vez de associar a cada usuário individualmente. Usuários podem ainda participar de vários grupos simultaneamente. 6.1. Grupos em um Domínio As características dos grupos em um domínio são: São criados somente em controladores de domínio; Residem no serviço de diretório do Active Directory; São usados para conceder permissões a recursos e direitos para tarefas do sistema em qualquer computador do domínio; Os grupos em um domínio podem diferir quanto ao tipo a ao escopo. Esta última característica merece um melhor detalhamento, uma vez que é importante conhecer as diferenças entre os tipos de grupos e os escopos de grupos. 6.1.1. Tipos de Grupos Há dois tipos de grupo no Active Directory: Grupos de segurança: usados para fins relacionados à segurança, como a concessão de permissões para acesso a recursos. Grupos de distribuição6: usados pro aplicativos como listas para funções não relacionadas à segurança, como o envio de mensagens de e-mail para grupos de usuários. Não é possível conceder permissões a grupos de distribuição. 6.1.2. Escopos de Grupos O escopo de um grupo determina onde usar esse grupo no domínio, ou seja, qual a sua abrangência. São três os escopos de grupos do Windows 2000: Globais, Locais e Universais. h. Grupos Globais Usados para organizar os usuários que compartilham requisitos semelhantes de acesso à rede. É possível utilizar um grupo global para conceder permissões de acesso a recursos localizados em qualquer domínio. Têm participação limitada. Pode-se adicionar contas de usuário e grupos globais somente provenientes do domínio em que o grupo global foi criado. Podem ser aninhados em outros grupos. Essa função permite adicionar um grupo global a outro no mesmo domínio ou a grupos de domínio local e universal de outros domínios. i. Grupos Locais Usados para conceder permissões a recursos de domínio localizados no mesmo domínio em que o grupo de domínio local foi criado. Os recursos não precisam residir em um controlador de domínio. Têm participação aberta. Pode-se adicionar contas de usuário, grupos universais e globais de qualquer domínio. 6 Somente programas que foram desenvolvidos para trabalhar com os serviços do Active Directory podem usar grupos de distribuição.
  • 38. 38 Não podem ser aninhados em outros grupos, significando que não é possível adicionar um grupo de domínio local a nenhum grupo, nem aos localizados no mesmo domínio. j. Grupos Universais7 Concedem permissões a recursos relacionados em vários domínios. Devem ser usados para conceder permissões de acesso a recursos localizados em qualquer domínio. Têm participação aberta. Todas as contas de usuário e grupos de domínio podem ser participantes. Podem ser aninhados em outros grupos de domínio. Essa capacidade permite adicionar um grupo universal a grupos de domínio local ou universal em qualquer domínio. 6.1.3. Estratégias de Grupos Uma estratégia bastante recomendada pela Microsoft para uso de grupos em um domínio único é conhecida como A G L P. Consiste em colocar as contas de usuário (A, de Account) em grupos globais (G), colocar os grupos globais em grupos de domínio local (L) e conceder permissões (P) ao grupo de domínio local. Um exemplo desta estratégia seria o seguinte: Em uma empresa seria recomendável identificar os usuários com responsabilidades comuns e adicionar suas contas de usuário a um grupo global. Por exemplo, poderiam ser criados grupos globais para um departamento de vendas (Grupo Vendas), para os diretores (Grupo Diretoria) e para o departamento de marketing (Grupo Marketing). Nesta mesma empresa existirá uma impressora laser colorida que poderá ser usada pelos diretores e pelos funcionários do marketing. Poderia então ser criado um grupo de domínio local chamado Usuarios Laser Colorida. Os grupos globais Diretoria e Marketing seriam então incluídos no grupo de domínio local Usuarios Laser Colorida. Por fim a impressora seria compartilhada e seriam concedidas as permissões adequadas para o grupo de domínio local Usuarios Laser Colorida. Antes da criação de um novo grupo de domínio local é recomendável verificar se já não existe um grupo de domínio local interno que atenda as necessidades. Por exemplo, se o administrador precisa de um grupo para incluir as contas de usuários que executarão o backup diário, não será necessário criar um novo grupo. Basta utilizar o grupo de domínio local interno Backup Operators. 6.1.4. Criação de Grupos de Domínio Para criar-se grupos em um domínio utiliza-se o snap-in Active Directory Users And Computers. Os grupos podem ser criados na Unidade Organizacional Users ou em alguma outra Unidade Organizacional criada pelo administrador. Com o botão direito do mouse sobre a Unidade Organizacional desejada escolhe-se a opção New e o comando Group, surgindo então a seguinte caixa de diálogo. 7 Só estarão disponíveis quando o domínio estiver no modo nativo. O modo nativo será ativado quando todos os controladores de domínio estiverem executando o Windows 2000.
  • 39. 39 Figura 37 – Criação de um novo grupo Opção Descrição Nome do novo grupo, que deve ser exclusivo no domínio em que o Group name grupo for criado Group name Nome usado para dar suporte a clientes e servidores de versões (pre-Windows 2000) anteriores do Windows Escopo do grupo. Lembrando que a opção Universal só estará Group scope disponível em redes formadas por mais de um domínio e que estejam funcionando em modo nativo Group type Tipo de grupo k. Inclusão de Participantes Para incluir participantes em um grupo também utiliza-se o snap-in Active Directory Users and Computers clicando nas propriedades do grupo desejado (botão direito do mouse). Figura 38 – Inclusão de participantes em um grupo global Nesta caixa de diálogo, obtém-se acesso à lista de objetos que podem ser incluídos no grupo (neste exemplo um grupo global) clicando-se em Add.
  • 40. 40 Figura 39 – Seleção de objetos para o grupo global Também é possível definir-se os grupos dos quais um usuário fará parte nas propriedades da conta de usuário. Figura 40 – Propriedades do usuário
  • 41. 41 7. Segurança do Sistema de Arquivos O compartilhamento de pastas é a única forma de tornar pastas e seus conteúdos disponíveis através da rede. As pastas compartilhadas provêm um caminho seguro para recursos de arquivos e podem ser usadas em partições FAT16 ou FAT32, como também em partições NTFS (os volumes NTFS oferecem ainda uma segurança adicional que será apresentada mais adiante). 7.1. Pastas Compartilhadas Quando uma pasta é compartilhada, usuários podem conectar-se a ela através da rede e obter acesso aos arquivos que ela contém. Contudo, para obter acesso aos arquivos os usuários devem ter as permissões apropriadas sobre o compartilhamento. As pastas compartilhadas podem conter aplicativos, dados ou os dados pessoais de um usuário. O uso de pastas de aplicativo compartilhadas centraliza a administração, permitindo instalar e manter os aplicativos em um servidor, em vez de em computadores cliente. O uso de pastas de dados compartilhadas fornece um local central para que os usuários obtenham acesso a arquivos em comum e facilita o backup dos dados contidos nesses arquivos. 7.1.1. Permissões de Pastas Compartilhadas Conforme já comentado, uma pasta compartilhada pode conter aplicativos, dados ou dados pessoais de usuários (pastas base ou home folders). Cada tipo de dado pode exigir diferentes permissões de compartilhamento. As permissões de pastas compartilhadas apresentam as seguintes características em comum: As permissões são aplicadas à pastas, não a arquivos individuais. Uma vez que uma pasta tenha sido compartilhada todos os usuários com permissão para tal terão acesso a todo o conteúdo da pasta. Uma segurança adicional poderá ser obtida através das permissões NTFS apresentadas mais adiante. As permissões de pastas compartilhadas não restringem o acesso de usuários que estão utilizando localmente o computador onde as pastas estão armazenadas. As permissões aplicam-se somente a usuários que conectam-se à pasta através da rede. Permissões de compartilhamento de pastas são o único caminho para obter segurança em volumes FAT. A permissão padrão em pastas compartilhadas é Full Control para o grupo Everyone. Se algum nível de segurança é desejado esta permissão deve ser excluída e as permissões apropriadas devem ser atribuídas. Uma pasta compartilhada é exibida com uma mão sob seu ícone, conforme mostrado abaixo: Figura 41 – Pasta compartilhada A tabela a seguir descreve as permissões e o que cada usuário pode fazer uma vez que tenha recebido a permissão: Permissão Permite que o usuário Read Exiba nomes de pastas, nomes de arquivos, dados de arquivos e
  • 42. 42 atributos, execute arquivos de aplicativo e altere as pastas contidas na pasta compartilhada Change Crie pastas; adicione arquivos a pastas; altere dados em arquivos; acrescente dados a arquivos; altere atributos de arquivo; exclua pastas e arquivos e execute as ações autorizadas pela permissão Read Full Control Altere permissões de arquivo, aproprie-se de arquivos e execute todas as tarefas permitidas pelas permissões Change e Read l. Múltiplas Permissões Um usuário pode ser membro de vários grupos, cada um com diferentes permissões em uma determinada pasta compartilhada. As permissões efetivas de um usuário para um recurso são a combinação das permissões concedidas ao próprio usuário e a todos os grupos dos quais ele faça parte. Por exemplo, se um usuário tiver a permissão Read para uma pasta compartilhada e for participante de um grupo que tenha a permissão Change para a mesma pasta, a permissão efetiva do usuário será Change, a qual já inclui as propriedades da permissão Read. A exceção para esta regra é a permissão Deny. Esta permissão substitui qualquer permissão definida para contas de usuário e grupos. m. Requisitos para Compartilhamento de Pastas No Windows 2000, os únicos grupos que podem compartilhar pastas são Administratos, Server Operators e Power Users. Esses grupos são contas padrão instaladas na pasta Users do Computer Management ou na pasta Builtin do Active Directory Users and Groups. Os requisitos para compartilhamento de pastas são: Em um domínio Windows 2000 podem compartilhar pastas membros dos grupos Administrators e Server Operators. Em servidores membro ou estações com Windows 2000 Professional que façam ou não parte de um domínio, os membros dos grupos Administrators e Power Users podem compartilhar pastas residentes no próprio computador. Em um grupo de trabalho do Windows 2000 membros dos grupos Administrators e Power Users podem compartilhar pastas nos próprios computadores. n. Criação de Compartilhamento de Pastas Para criar uma pasta compartilhada basta clicar com o botão direito do mouse na pasta desejada (no Windows Explorer) e, em seguida, clicar em Sharing.
  • 43. 43 Figura 42 – Propriedades do compartilhamento de pasta Opção Descrição Share this folder Clicar para compartilhar a pasta Share name Nome que os usuários remotos usam para estabelecer uma conexão com a pasta compartilhada Comment Descrição opcional para o nome da pasta compartilhada User limit Número de usuários que podem conectar-se simultaneamente à pasta compartilhada. Se for escolhido Maximum Allowed, o Windows 2000 Professional dará suporte a até dez conexões, enquanto que o Windows 2000 Server poderá dar suporte a tantas conexões quanto o número de licenças adquiridas Permissions Define as permissões de pasta compartilhada. Por padrão, a permissão Full Control é concedida ao grupo Everyone para todas as novas pastas compartilhadas Figura 43 – Permissões padrão para pasta compartilhada
  • 44. 44 Esta caixa de diálogo, acessível a partir do botão Permissions, permite definir outras permissões para a pasta compartilhada bem como excluir a permissão padrão. 7.1.2. Conexão de Usuários Remotos a Pastas Compartilhadas Uma vez compartilhada uma pasta, os usuários que receberam as permissões para tal poderão conectar-se ao compartilhamento e utilizar os arquivos lá armazenados. São quatro as formas dos usuários obterem acesso a uma pasta compartilhada em outro computador: o. My Network Places Usando o My Network Places basta navegar pela rede até o computador que contém a pasta desejada e, por fim, acessar a pasta. Figura 44 – My Network Places Nota: Quando uma pasta compartilhada na rede é aberta o Windows 2000 a adiciona automaticamente a My Network Places. p. Map Network Drive Mapeando uma unidade de rede uma letra de unidade e um ícone serão associados a uma pasta compartilhada específica. Isto facilita a referência ao local de um arquivo em uma pasta compartilhada. Por exemplo, em vez de apontar para ServidorCompartilhamentoArquivo, pode-se apontar para Unidade:Arquivo. As letras de unidades fornecem um acesso mais rápido e fácil do que os caminhos do tipo convenção universal de nomenclatura (UNC). Para mapear uma unidade de rede, basta seguir as seguintes etapas: Com o botão direito do mouse em My Network Places escolher a opção Map Network Drive. Na caixa Map Network Wizard seleciona-se a letra de unidade a ser usada. Digita-se o nome da pasta compartilhada ou utiliza-se o botão Browser para localizá-la. Se desejar-se utilizar esta conexão de forma recorrente mantém-se a opção Reconnect at logon selecionada. Figura 45 – Mapeamento de unidade de rede
  • 45. 45 q. Comando Run A partir do comando Run pode-se conectar a um recurso de rede, bastando para tal digitar o caminho UNC na caixa Open, conforme mostrado abaixo: Figura 46 – Comando Run r. Comando Net Use Uma outra forma de executar um mapeamento de unidade de rede é o comando Net use que possui a seguinte sintaxe básica: Net use letra_da_unidade: servidorcompartilhamento Para conhecer a sintaxe completa deste comando basta digitar Net use /? a partir do prompt de comando.