Neste tutorial veremos os conceitos de armazenamento bsico e armazenamento dinmico,
bem como a diferena entre ambos. Depois aprenderemos as tarefas mais comuns no que diz respeito a gerenciamento de discos, tais como adicionar um novo disco, criar parties ou volumes e format-las para que estas possam ser utilizadas. Armazenamento bsico x Armazenamento dinmico Nota: Neste tutorial utilizarei a palavra disco como sendo sinnimo de um disco rgido. Ento sempre que voc encontrar uma referncia a disco, entenda como sendo um disco rgido e no um disquete ou outro tipo de mdia. Antes que seja possvel utilizar um novo disco no Windows 2000 Server, temos que realizar algumas operaes. Um dos aspectos que temos que definir o tipo de armazenamento que iremos utilizar neste disco. No Windows 2000 Server podemos optar entre dois tipos de armazenamento: Armazenamento bsico ou o Armazenamento dinmico. Abaixo temos maiores detalhes sobre cada um dos tipos de armazenamento. Armazenamento bsico o tipo de armazenamento que vem sendo utilizado desde a poca do bom e velho (talvez no to bom) MS-DOS. utilizado por sistemas como o Windows 95, Windows 98, Windows NT Server 4.0 e Windows NT Workstation 4.0. o tipo de armazenamento padro no Windows 2000 Server, isto , todos os novos discos so criados com Armazenamento bsico. Caso seja necessrio o administrador pode transform-los para armazenamento dinmico sem perda de dados. Um disco com armazenamento bsico chamado de "Disco bsico". Importante: importante salientar que um disco somente pode ser configurado para um tipo de armazenamento. No podemos, por exemplo, ter uma porcentagem do disco como armazenamento bsico e o restante como armazenamento dinmico. No armazenamento bsico, o disco dividido em parties. Uma partio uma parte do disco que se comporta como se fosse uma unidade de armazenamento separada. Por exemplo, em um disco de 4GB, posso criar duas parties de 2GB, que na prtica se comportam como se fossem dois discos de 2GB independentes. Em um disco com armazenamento bsico, nos podemos ter Parties primrias, parties estendidas e Drivers lgicos. Vamos ver maiores detalhes sobre estes elementos, bem como exemplos de utilizao de cada um deles. Partio primria: O Windows 2000 Server pode utilizar uma partio primria, para inicializar o computador, sendo que somente parties primrias podem ser marcadas como ativas. Uma partio ativa onde o computador procura pelos arquivos de inicializao para efetuar o processo de boot do Sistema Operacional. Um determinado disco somente pode possuir uma partio marcada como ativa. Um disco bsico pode conter no mximo quatro parties primrias. Considere o exemplo da Figura 1, onde um disco de 7 GB foi dividido em quatro parties primrias. Trs de 2 GB e uma de 1GB. Observe que para cada partio primria atribuda uma letra de unidade: C:, D: e assim por diante. Figura 1 No mximo podemos ter quatro parties primrias em um disco dinmico. Partio estendida: Podemos ter uma nica partio estendida em um disco. Parties estendidas so criadas a partir do espao livre em um determinado disco. Espao livre o espao que no est sendo ocupado por nenhuma partio. Por isso aconselhvel, quando da criao de uma partio estendida, que todo o espao livre seja ocupado. Nos dividimos a partio estendida em segmentos, sendo que cada segmento representar um drive lgico. Devemos atribuir uma letra para cada drive lgico e format-los com um sistema de arquivos - FAT, FAT32, NTFS ou NTFS 5 (nova verso do NTFS disponvel no Windows 2000). Com o uso de uma partio estendida e drivers lgicos, podemos superar o limite de quatro unidades por disco, que imposto quando utilizamos apenas parties primrias. Considere o exemplo da Figura 2, onde temos um disco com trs parties primrias (C:, D: e E:), e um volume estendido, no qual foram criados dois drivers lgicos (F: e G:). Figura 2 Utilizando parties estendidas. Para o Windows 2000 Server existem duas parties que so muito importantes. A Partio do Sistema - System Partition a partio ativa, a qual contm os arquivos necessrios para o processo de boot do Windows 2000 Server. Normalmente a primeira partio ativa do primeiro disco. A Partio de boot - Boot partition, uma partio primria, ou um drive lgico onde os arquivos do Windows 2000 Server esto instalados, normalmente em uma pasta chamada WINNT. Muitas vezes estes conceitos causam uma certa confuso, porque podemos dizer que a "Partio do Sistema contm os arquivos de boot e a Partio de boot contm os arquivos do Sistema Operacional". Normalmente a Partio do Sistema e a Partio de boot, esto na mesma partio, tipicamente no drive C: Dependendo da maneira com que as parties so criadas ou combinadas, podemos ter diversos tipos de parties, conforme descrito a seguir: Partio do Sistema: Contm os arquivos necessrios para o boot do Windows 2000 Server. Partio de boot: Contm os arquivos do Windows 2000 Server, tipicamente em uma pasta WINNT. olume set: Combinamos o espao de duas ou mais parties, no mesmo disco ou em discos diferentes, de tal forma que apaream para o Windows 2000 Server como uma nica unidade. Por exemplo posso combinar uma partio de 1 GB com outra de 4 GB, para formar uma unidade de 5 GB. Posso aumentar o tamanho de um Volume set (operao chamada de estender o Volume set), porm no posso reduzir o tamanho sem que haja perdidos dados. Posso usar at 32 parties para um Volume set.O Windows 2000 Server preenche todo o espao da primeira partio, depois o da segunda e assim por diante. Se uma das parties apresentar problemas, todo o Volume set ser perdido. Posso juntar parties de tamanhos diferentes. Um Volume set no pode conter a Partio do sistema, nem a Partio de boot. Stripe set: Combinamos espaos iguais de dois ou mais discos, no podemos utilizar duas parties do mesmo disco. Posse utilizar at 32 parties. Os dados so gravados em todas as parties de uma maneira uniforme, isto , o espao de cada partio vai sendo preenchido a medida que os dados so gravados. No apresenta tolerncia a falhas, pois se uma das parties apresentar problemas, todo o Stripe Set ser perdido. Uma das vantagens do Stripe set que o desempenho melhora devido as gravaes simultneas em mais de um disco. No pode conter a Partio do sistema, nem a Partio de boot. !irror set " #aid $: Permite a duplicao da partio. Com isso a medida que os dados vo sendo gravados, o Windows 2000 Server, automaticamente vai duplicando os dados na partio espelhada. Pode conter a Partio do sistema e tambm a Partio de boot% O maior inconveniente que existe um comprometimento de 50% do espao em disco. Por exemplo, para fazer o espelhamento de uma partio de 2 GB, estaremos ocupando 4 GB em disco. Apresenta tolerncia a falhas, pois se uma das parties espelhadas falhar, a outra continua funcionando. Podemos substituir o disco defeituoso e restabelecer o espelhamento. Stripe set com paridade " #aid &: Um Stripe set com paridade um Stripe set com tolerncia a falhas. Junto com os dados, o Windows 2000 Server grava informaes de paridade (obtidas a partir de clculos matemticos) nos vrios discos que formam o Stripe set com paridade. Com isso, no evento de falha de um dos discos, toda a informao do disco com problemas, pode ser reconstituda a partir das informaes de paridade dos outros discos. O disco defeituoso pode ser substitudo e a informao nele contida pode ser recriada a partir da informao de paridade nos demais discos do RAID-5. Para que possamos construir um RAID-5, mnimo de trs discos necessrio. Porm se dois discos falharem, ao mesmo tempo, no ser possvel recuperar a informao. Tambm existem implementaes de RAID-5 em hardware, que so mais rpidas, porm mais caras. Armazenamento dinmico No armazenamento dinmico, o qual somente suportado pelo Windows 2000, criada uma nica partio com todo o espao do disco. Um disco configurado com armazenamento dinmico chamado de "Disco dinmico". Um disco dinmico pode ser dividido em volumes. Um volume pode conter uma ou mais partes de um ou mais discos. Tambm possvel transformar um disco bsico em um disco dinmico. Podemos ter diferentes tipos de volumes. O tipo de volume a ser utilizado, determinado por fatores tais como espao disponvel, performance e tolerncia a falhas. A tolerncia a falhas, diz respeito a possibilidade do Windows 2000 Server manter as informaes, mesmo no evento de comprometimento de um disco ou volume. Temos os seguintes tipos de volumes: olume simples: formado por espao de um nico disco e alm disso no fornece nenhum mecanismo de tolerncia a falhas, isto , se houver algum problema com o disco onde est o volume, toda a informao ser perdida. olume e'pandido: Pode incluir espao de at 32 discos. O Windows 2000 Server comea a preencher o espao do primeiro disco, aps este estar esgotado, passa para o espao disponvel no segundo disco e assim por diante. No fornece nenhum mecanismo de tolerncia a falhas. Se um dos discos que formam o volume apresentar problemas, todo o volume estar comprometido. Tambm no oferece melhoria no desempenho, uma vez que a informao somente gravada ou lida em um disco ao mesmo tempo. olume espel(ado )!irrored volume*: formado por duas cpias idnticas do mesmo volume, sendo que as cpias so mantidas em discos separados. Volumes espelhados oferecem proteo contra falha, uma vez que se um dos discos falhar, a informao do outro disco pode ser utilizada. O espelhamento pode ser desfeito, o disco defeituoso substitudo, e o espelhamento pode ser refeito. O nico inconveniente que devido a duplicidade das informaes, o espao de armazenamento necessrio exatamente o dobro. Striped olume: Podem ser combinadas reas de espao livre de at 32 discos. No apresenta nenhum mecanismo de tolerncia a falhas, pois se um dos discos do Striped Volume falhar, toda a informao estar comprometida. Uma das vantagens que o desempenho melhora, uma vez que as informaes so gravadas nos diversos discos ao mesmo tempo. olume do tipo #AI+,&: Um volume do tipo RAID-5 um Striped volume, porm com tolerncia a falhas. Junto com os dados, o Windows 2000 Server grava informaes de paridade (obtidas a partir de clculos matemticos) nos vrios discos que formam o RAID-5. Com isso, no evento de falha de um dos discos, toda a informao do disco com problemas, pode ser reconstituda a partir das informaes de paridade dos outros discos. O disco defeituoso pode ser substitudo e a informao nele contida pode ser recriada a partir da informao de paridade nos demais discos do RAID-5. Para que possamos construir um RAID-5, um mnimo de trs discos necessrio. Porm se dois discos falharem ao mesmo tempo, no ser possvel recuperar a informao. Nota: Dispositivos de armazenamento removveis, com um Zip drive, somente suportam armazenamento bsico e somente podem ter parties primrias. Alm disso uma partio primria deste tipo de dispositivo, no pode ser marcada como ativa, para que possamos dar o boot a partir desta partio. -'istem mais al.uns detal(es importantes que devem ser con(ecidos: OBS. : muito importante lembrarmos, que o armazenamento dinmico somente suportado pelo Windows 2000 (Professional e Server e tambm pelo Windows XP), sendo que discos dinmicos no sero reconhecidos por outros sistemas operacionais como o Windows NT Server 4.0, Windows 95, Windows 98 e Windows NT Workstation 4.0. IMPORTANTE = Para acompanhar os exemplos deste tutorial, voc deve dispor de um disco o qual possa ser formatado, criadas parties, etc. Cabe lembrar que todas as informaes do disco sero perdidas. Por isso no utilize um disco que contm informaes importantes e que no possam ser apagadas. Conhecendo estes aspectos bsicos sobre o armazenamento de informaes do Windows 2000 Server, podemos ir para as demais lies deste tutorial, onde aprenderemos a realizar as tarefas de gerenciamento de discos, utilizando o Snap-in especialmente projetado para esse fim. Acessando o console para gerenciamento de discos e criando um console personalizado. Nesta lio aprenderemos a acessar o console padro para gerenciamento de discos, o qual acessado atravs do menu Ferramentas administrativas do console Gerenciamento do computador. Observe que no existe mais uma ferramenta chamada Disk administrator, como existia no Windows NT Server 4.0. Por isso que aprenderemos a criar um console personalizado, onde ser adicionado somente o Snap-in para Gerenciamento de discos. A criao de um console personalizado, possibilita que a administrao de um servidor seja, mais facilmente dividida entre vrias pessoas. Por exemplo, voc pode ter um administrador responsvel por administrar contas de usurios, outro por administrar discos e assim por diante. Com o console personalizado, o administrador recebe apenas o Snap-in que tem a ver com a sua funo. Com uma interface mais simples, o aprendizado mais rpido. Nota: Para uma descrio completa do conceito de Microsoft Management Console - MMC, Snap-in e Consoles Administrativos, consulte a unidade IV do meu livro: "Srie Curso Bsico & Rpido Microsoft Windows 2000 Server", publicado pela Editora Axcel Books (www.axcel.com.br). -'emplo: Para acessar o gerenciamento de discos atravs do console Gerenciamento do computador. 1. D um clique no boto Iniciar, aponte para Programas. Dentro de Programas aponte para Ferramentas administrativas. No menu que surge, d um clique na opo Gerenciamento do computador. 2. Este console nos d acesso a diversas tarefas de administrao do Windows 2000 Server, tais como auditoria, configurao e criao de contas de usurios e grupos locais e assim por diante. 3. D um clique no sinal de + ao lado da opo Armazenamento, caso ela ainda no esteja aberta. 4. Sero exibidas trs opes, conforme indicado na Figura 3. Figura 3 Opes do nap!in de "rmazenamento. 5. Utilizaremos estas opes no decorrer das demais lies deste tutorial 6. Feche o console Gerenciamento do computador. Agora vamos criar um console personalizado, no qual iremos adicionar somente o Snap-in para gerenciamento de discos. Vamos salvar este console com o nome de Gerenciamento de disco. O Windows 2000 Server ir, automaticamente, criar um atalho para esta console, no menu Ferramentas administrativas j citado anteriormente. -'emplo: Para criar um co.sole personalizado e salv-lo com o nome de Gerenciamento de discos, siga os seguintes passos: 1. D um clique no boto Iniciar, clique na opo Executar. 2. Na janela que surge, no campo Abrir digite mmc e d um clique em OK. 3. Ser aberta uma janela que mostra o MMC sem nenhum Snap-In Carregado. 4. Com o MMC carregado, d um clique no menu Console e escolha a opo Adicionar / remover snap-in ... Ser exibida a janela indicada na Figura 4. Figura # " $anela mostra que nen%um snap!in est carregado. 5. Na janela indicada na Figura 4, d um clique no boto Adicionar. 6. Ser exibida a janela Adicionar snap-in autnomo. Nesta janela exibida uma listagem com todos os snap-ins disponveis. 7. Localize na listagem o seguinte snap-in: /erenciamento de disco, conforme indicado na Figura 5 e d um clique sobre ele para selecion-lo. Figura & "dicionando o snap!in 'erenciamento de disco. 8. D um clique no boto Adicionar. 9. Surge a janela Escolher mquina de destino. Essa janela permite que voc defina de qual computador voc quer gerenciar os discos. Neste momento voc pode gerenciar discos de um computador remoto, desde que voc tenha permisso para isso. Essa uma das novidades no Windows 2000 Server, j que em verses anteriores, somente era possvel gerenciar discos estando localmente logado no servidor. 10. D um clique no boto Concluir. 11. Voc estar de volta a janela Adicionar snap-in autnomo, indicada na Figura 5. 12. Como no queremos adicionar mais nenhum snap-in, d um clique no boto Fechar. 13. Voc estar de volta janela Adicionar/remover snap-in. Observe que o snap-in Gerenciamento de disco (local) j aparece na listagem. 14. D um clique em OK para fechar a janela Adicionar/remover snap-in. 15. Voc estar de volta ao MMC, agora com o snap-in Gerenciamento de disco j carregado, conforme indicado pela Figura 6. 16. D um clique no menu Console e escolha a opo Salvar. 17. Na janela Salvar como, digite Gerenciamento de disco, no campo Nome do arquivo. 18. D um clique no boto Salvar. 19. Feche o MMC. 20. D um clique no boto Iniciar, aponte para Programas e dentro de Programas para Ferramentas administrativas 21. No menu de opes que surge verifique se foi adicionada uma opo chamada Gerenciamento de disco.msc. 22. Essa opo um atalho para o console recm criado, o qual possui apenas o snap-in Gerenciamento de disco, carregado. 23. Se voc clicar nesta opo, ser aberto o console anteriormente criado. Figura ( )onsole com o nap!in 'erenciamento de disco $ armazenado. Agora temos um console com somente com o Snap-in para Gerenciamento de disco carregado. Este console pode ser utilizado por um administrador com funes especficas de gerenciar discos. um console que possui apenas as opes necessrias para a tarefa em questo - Gerenciar discos. Nas demais lies deste tutorial, utilizaremos o console Gerenciamento de disco, para os exemplos prticos que sero apresentados. Para acompanhar os exemplos deste tutorial, voc precisa estar logado como Administrador, ou a sua conta de usurio deve pertencer ao grupo Administradores. Boot no Windows 2000/! e o ar"ui#o Boot.ini $ntrodu%&o Neste tutorial trataremos de assuntos relacionados com a inicializao do Windows 2000/XP. (processo de boot). Em um dos prximos tutoriais abordaremos tcnicas para recuperao do Windows 2000/XP quando por algum motivo (configuraes incorretas, erros de operao, etc) o sistema no consegue inicializar normalmente ou inicializa com problemas que impedem o seu funcionamento correto. Trataremos dos seguintes assuntos: O Processo de boot do Windows XP O arquivo Boot.ini ARC Paths (Caminhos ARC) utilizados no Boot.ini Chaves utilizadas no arquivo Boot.ini Voc encontra diversos detalhes sobre a inicializao e a recuperao desastres, no Windows XP, no Captulo 18 do meu ltimo livro: "Windows XP Home & Professional Para Usurios e Administradores". Maiores detalhes sobre o livro no site: www.juliobattisti.com.br. Vamos iniciar o tutorial falando sobre o processo de boot do Windows 2000/XP. Veremos que, em grande parte, este processo praticamente igual, tanto para o Windows 2000 quanto para o Windows XP. Ser apresentada a seqncia de passos do processo de boot, bem como detalhes sobre os problemas que podem ocorrer em cada etapa. importante que o leitor entenda como feita a inicializao (boot) do Windows 2000/XP, pois em determinadas situaes muito mais simples corrigir um problema que ocorre na inicializao do que ter que reinstalar o Windows novamente. Para o usurio residencial, que tem um nico computador, reinstalar o Windows pode no ser problema em termos do tempo necessrio para esta tarefa. Agora imagine a situao de uma rede empresarial, com milhares de computadores conectados em rede. Sempre que possvel, a equipe de suporte deve resolver o problema e no simplesmente reinstalar o Windows. Pois alm de economizar tempo, o usurio poder voltar a utilizar a mquina quanto antes, o que significa menor tempo de parada. Para finalizar iremos detalhar o arquivo Boot.ini e os seus componentes. 'ntendendo o processo de boot do Windows !. Neste tpico veremos como funciona o processo de boot (inicializao) do Windows 2000/XP. O processo de boot comea quando voc liga o computador e se encerra com o logon no sistema. Analisaremos as cinco fases do processo de boot: Seqncia de pr-boot Seqncia de boot Carga do kernel Inicializao do kernel logon. Para que cada fase do processo de boot possa acontecer com sucesso, determinados arquivos so necessrios. Na tabela 1 esto listados os arquivos necessrios a cada fase do processo de boot. Systemroot indica a pasta onde esto os arquivos do Windows 2000 XP esto instalados. Na maioria das vezes a pasta C:\winnt ou C:\Windows, mas pode ser uma pasta diferente, dependendo de como foi feita a instalao do Windows. *a+ela 1 "rqui,os utilizados no processo de +oot do -indo.s /0. Arquivo 0ocalizao 1ase Ntldr Raiz da partio de sistema C:\ Pr-boot e boot Boot.ini Raiz da partio de sistema C:\ boot Bootsect.dos Raiz da partio de sistema C:\ boot Ntdetect.com Raiz da partio de sistema C:\ boot Ntoskrnl.exe systemroot\System32 Carga do kernel Hal.dll systemroot\System32 Carga do kernel System systemroot\System32\Config Inicializao do kernel Device drivers (*.sys) systemroot\System32\Drivers Inicializao do kernel Na seqncia, apresento um pequeno resumo de cada uma das fases envolvidas no processo de boot. 1. Seq23ncia de pr,boot: Aps ligado o computador, uma srie de testes de hardware e deteco de dispositivos Plug and Play processada. O partio ativa localizada e o setor de boot desta partio carregado na memria e executado. O arquivo Ntldr carregado na memria e inicializado. Este arquivo que inicia o processa de carga do Windows 2000/XP. 2. Seq23ncia de boot: Aps ter carregado o arquivo Ntldr na memria, a seqncia de boot detecta informaes sobre o hardware e os respectivos drivers, em preparao para as fases de carregamento do Windows 2000/XP. Dentro da fase de seqncia de boot, temos quatro etapas bem distintas, conforme descrito a seguir: 1ase inicial de car.a do boot: Nesta subfase, o Ntldr altera o processador do modo real de memria para o modo de 32 bit, o qual requerido para a carga das demais funes. Um suporte mnimo de sistema de arquivos carregado, para que o Ntldr possa achar e carregar o Windows 2000 Server, a partir de uma partio FAT ou NTFS. Seleo do Sistema Operacional: Nesta subfase, o Ntldr l o arquivo Boot.ini (que detalharemos no prximo item) e apresenta um menu de opes, de tal forma que o usurio possa escolher qual o sistema operacional que ser carregado, no caso de existir mais de um Sistema operacional instalado. Caso o arquivo Boot.ini tenha sido eliminado por acidente, Ntldr tenta carregar o Windows 2000/XP a partir da primeira partio do primeiro disco rgido. Neste ponto j podemos adiantar que a funo do arquivo Boot.ini fornecer informaes para que o Ntldr possa exibir um menu no qual o usurio pode selecionar qual o sistema operacional deve ser carregado. No arquivo Boot.ini tambm est a definio de qual o sistema operacional padro, ou seja, aquele que ser inicializado, caso o usurio no faa nenhuma seleo no menu de inicializao. +eteco de (ard4are: feita pelos arquivos Ntdetect.com e Ntoskrnl.exe. Os dispositivos de hardware detectados pelo arquivo NTDETECT.COM so passados para o arquivo NTLDR, o qual gravar estas informaes na Registry, na chave HKEY_LOCAL_MACHINE\HARDWARE. O Windows XP detecta, automaticamente, dispositivos tais como: Portas de comunicao, processadores de ponto flutuante, drives de disquete, teclado, mouse, portas paralelas, dispositivos SCSI, adaptadores de vdeo e assim por diante. Nota: Esta seqncia idntica (para no dizer igual) a seqncia de boot do Windows 2000. Compare o texto deste item com o texto da Lio 7 da Unidade IX, do livro "Srie Curso Bsico & Rpido Microsoft Windows 2000 Server", de minha autoria, publicado pela Axcel Books (www.axcel.com.br). Seleo de con5i.urao: Aps a deteco do hardware, voc ter a oportunidade de acessar uma lista com diferentes Perfis de Hardware, caso voc tenha criado outros perfis alm do perfil padro. Um Perfil de Hardware uma configurao que pode fazer com que o Windows 2000/XP ignore determinados componentes de hardware e com isso no carregue os drivers para estes componentes, quando da inicializao do sistema. 3. 6ar.a do 7ernel: Durante esta fase, o arquivo Ntoskrnl.exe carregado, porm ainda no incializado. O arquivo hal.dll carregado na memria. Drivers para dispositivos de hardware de baixo nvel, como por exemplo, discos rgidos, so carregados. Dispositivos de hardware de baixo nvel, so aqueles dispositivos que precisam ser inicializados antes do que os demais, de tal forma que o processo possa prosseguir. Uma srie de retngulos, em seqncia, exibida na tela, a medida que os dispositivos so carregados. Neste momento ainda no foi carregada a interface grfica do Windows 2000/XP. Nesta fase a chave da Registry HKEY_LOCAL_MACHINE\SYSTEM carregada a partir do arquivo Systemroot\System32\Config\System. As informaes da Registry esto gravadas em arquivos na pasta Systemroot\System32\Config, onde Systemroot representa a pasta onde o Windows 2000/XP foi instalada. Em seguida um "control set" (conjunto de controle) selecionado e carregado. Um control set representa um conjunto de configuraes que definem quais drivers e servios sero carregados e inicializados automaticamente pelo Windows 2000/XP. Conforme veremos em um dos prximos tutoriais, onde falaremos sobre Last Know Good Configuration, o conceito de control set importante na recuperao do sistema quando usamos a opo Last Know Good Configuration. 4. Inicializao do 7ernel: Aps ter sido completada a fase da carga do kernel, este inicializado e o Ntldr passa o controle para o kernel do sistema. Nesta etapa exibida uma tela grfica, com uma barra de status indicando o andamento do processo. Nesta etapa os drivers de dispositivos de baixo nvel, carregados na fase anterior, so inicializados. Tambm nesta fase, que os diversos Servios configurados para inicializar automaticamente, so inicializados. Por exemplo o DNS, Inetinfo (Servidor Web - Internet Information Server), e qualquer outro servio instalado no Windows 2000/XP As seguintes etapas so executadas durante esta etapa: A chave HKEY_LOCAL_MACHINE\HARDWARE criada usando como base as informaes coletadas na etapa de Deteco de Hardware da fase de Seqncia de boot, descrita anteriormente. 6riao de uma c8pia do control set utilizado " 6lone 6ontrol set: feita uma cpia do control set utilizado. Esta cpia poder ser utilizada posteriormente, caso alteraes feitas no control set atual, impeam a inicializao do Windows XP. Os drivers de hardware que foram carregados na fase de Carga do Kernel so agora inicializados. Cada driver possui um parmetro de configurao chamado ErrorControl. Este parmetro define a maneira como o Windows 2000/XP ir proceder, caso algum erro acontea na inicializao do driver. Os valores possveis para este parmetro so os seguintes: a. 9'9: I.nore% Caso ocorra algum erro na inicializao do driver, o Windows 2000/XP simplesmente ignora o erro e continua a inicializao dos demais drivers. Nenhuma mensagem de erro ser exibida. b. 9'$: Normal% Uma mensagem de erro ser exibida e o processo de Inicializao do Kernel continua. c. 9':: Severe% O processo de boot falha, o computador ser reinicializado e sero utilizadas as configuraes definidas no control set Last Know Good Configuration, ou seja, as configuraes que foram gravadas como sendo as configuraes da ltima inicializao com sucesso sero utilizadas. Se o erro ocorre novamente, quando o computador j est utilizando o control set 0ast ;no4 /ood 6on5i.uration, o erro ser ignorado e a inicializao do Kernel continuar com a inicializao dos demais drivers. d. 9'<: 6ritical% O processo de boot falha, o computador ser reinicializado e sero utilizadas as configuraes definidas no control set Last Know Good Configuration, ou seja, as configuraes que foram gravadas como sendo as configuraes da ltima inicializao com sucesso sero utilizadas. Se o erro ocorre novamente, quando o computador j est utilizando o control set 0ast ;no4 /ood 6on5i.uration, a seqncia de boot ser interrompida e uma mensagem de erro ser exibida. Este valor utilizado para os dispositivos de hardware que so fundamentais para a inicializao do sistema. Por exemplo, o boot no tem como continuar se o Windows 2000/XP no conseguir inicializar os drivers para acesso ao sistema de discos. Os servios configurados para inicializao automtica so inicializados e carregados na memria do computador. Os servios so inicializados em uma ordem especfica, de acordo com as dependncias existentes entre os respectivos servios. Por exemplo, vrios servios dependem do servio Remote Procedure Call (RPC). O servio RPC deve ser inicializado antes dos servios que dele dependem, caso contrrios a inicializao destes ltimos ir falhar. 5. 0o.on: Nesta fase o subsistema Win32 automaticamente inicializa o servio Winlogon.exe, o qual inicializa a Autoridade local de segurana - LSA - Local Security Authority (Lsass.exe), e finalmente a janela de logon exibida. O processo de inicializao do Windows 2000/XP, somente considerado OK, quando o usurio efetua o logon. Aps o logon ter sido feito com sucesso o Windows 2000/XP copia as configuraes do Clone control set para o Last Know Good Configuration control set, ou seja, o Windows XP considera que as configuraes atuais representam a ltima configurao que permitiu uma inicializao com sucesso - Last Know Good Configuration. Pode parecer um pouco complexo, porm conhecer o processo de boot do Windows 2000/XP de fundamental importncia para o Administrador do sistema e para os tcnicos de suporte, principalmente quando surgem problemas e o computador no consegue inicializar com sucesso. Informaes mais detalhadas sobre o processo de boot podem ser encontradas na Ajuda do Windows 2000/XP e tambm nos links apresentados no final deste tutorial. Agora passaremos a analisar alguns tpicos importantes para a inicializao e manuteno do Windows 2000/XP em funcionamento. Vamos iniciar por um estudo detalhado do arquivo Boot.ini. ( ar"ui#o Boot.ini O arquivo Boot.ini criado durante a instalao do Windows 2000/XP. Este arquivo gravado na partio ativa, ou seja, na partio que utilizada para inicializar o Windows 2000/XP. Normalmente a partio ativa o drive C:\. Durante a fase de inicializao do Windows 2000/XP, o arquivo NTLDR l o contedo do arquivo Boot.ini e utiliza este contedo para montar o menu de opes, no qual voc pode selecionar o Sistema Operacional a ser carregado. O arquivo Boot.ini bastante til quando temos mais de um Sistema Operacional instalado no mesmo computador. Neste caso, as informaes do arquivo Boot.ini so utilizadas pelo NTLDR para exibir um menu, no qual selecionamos o Sistema Operacional a ser carregado. Por exemplo, em casa, tenho um computador de teste onde esto instaladas verses de avaliao do Windows 98, do Windows 2000 Server em Ingls, do Windows 2000 Server em Portugus, do Windows 2000 Professional e do Windows XP Professional. Ao inicializar este computador exibido um menu como os diferentes Sistemas operacionais instalados, no qual seleciono qual o sistema desejo carregar. Na listagem a seguir coloco uma cpia do arquivo boot.ini do computador citado no pargrafo anterior: Arquivo boot%ini de um computador com cinco vers=ess di5erentes do >indo4s instaladas: [boot loader] timeout=30 default=multi(0)disk(0)rdisk(1)partition(2)\WXPPRO [operating systems] multi(0)disk(0)rdisk(1)partition(2)\WXPPRO="Microsoft Windows XP Professional" /fastdetect multi(0)disk(0)rdisk(1)partition(1)\WINNT="Microsoft Windows 2000 Server - Portugues" /fastdetect multi(0)disk(0)rdisk(1)partition(1)\W2KSRVIN="Microsoft Windows 2000 Server" /fastdetect multi(0)disk(0)rdisk(1)partition(2)\WINNT="Microsoft Windows 2000 Professional" /fastdetect C:\="Microsoft Windows 98" O arquivo boot.ini possui duas sees distintas: [boot loader] [operating systems] Na seo [boot loader] informado qual o Sistema Operacional padro, ou seja, qual o Sistema Operacional ser carregado caso o usurio no selecione uma das opes do menu. Nesta seo tambm definido durante quanto tempo o menu ser exibido. No nosso exemplo, o menu ser exibido durante 30 segundos: timeout?<9. Neste exemplo tambm est definido que ser carregado o Sistema Operacional instalado na partio de5ault?multi)9*dis7)9*rdis7)$*partition):*@>APP#O. O sistema definido como padro (default), ser carregado se o usurio no selecionar nenhuma opo do menu. Nota: Logo em seguida falaremos sobre a sintaxe utilizada pelo arquivo Boot.ini para indicar a partio onde esto gravados os arquivos do Sistema Operacional associado a cada opo. No nosso exemplo temos o caminho: default=multi(0)disk(0)rdisk(1)partition(2)\WXPPRO. Este caminho tambm conhecido como caminho ARC - Advanced RISC Computing. Na seo Boperatin. sCstemsD exibida a lista de Sistemas Operacionais instalados e disponveis para uso. Cada linha indica um Sistema Operacional instalado e para indicar a pasta onde esto os arquivos do respectivo Sistema Operacional utilizado o caminho ARC, que ser detalhado logo em seguida. Aps o caminho podem ser fornecidas chaves que alteram a maneira como o respectivo Sistema inicializado, como no exemplo a seguir, onde foi utilizada a chave /fastdetect. Estudaremos as chaves disponveis mais adiante. Esta lista poder ter, no mximo, 10 elementos. multi(0)disk(0)rdisk(1)partition(2)\WXPPRO="Microsoft Windows XP Professional" /fastdetect O que vem aps o sinal de igual (=), entre aspas, simplesmente uma descrio. Esta a descrio que exibida no menu de inicializao. Nota: Observe que para o Windows 9x ou Me, fornecido o caminho tradicional, no nosso exemplo C:\="Microsoft Windows 98", informando que o Windows 98 est na partio C:\. O que vem aps o sinal de igual (=), entre aspas, simplesmente uma descrio. Esta a descrio que exibida no menu de inicializao. Para 5inalizar precisamos detal(ar dois pontos importantes: A sintaxe dos caminhos ARC. As chaves que podem ser utilizadas no arquivo Boot.ini. 'ntendendo a sintaxe dos camin)os A*+. Vamos detalhar as diversas partes que compem um caminho ARC. Considere os dois exemplos a seguir: multi(0)disk(0)rdisk(1)partition(2)\WXPPRO scsi(0)disk(0)rdisk(1)partition(2)\WXPPRO multi ou scsi: Na primeira parte do caminho temos duas opes: multi ou scsi. Utilizamos scsi em uma nica situao: quando temos uma controladora SCSI com a BIOS desabilitada, o que uma situao muito rara. Em todas as demais situaes utilizamos multi para a primeira parte do caminho ARC. O nmero entre parnteses indica a ordem em que os adaptadores so carregados. Por exemplo, se voc tiver um computador com dois adaptadores IDE instalados. O caminho dos discos do primeiro adaptador inicia com multi(0) e o caminho dos discos do segundo adaptador inicia com multi(1). dis7: Indica a posio (ID) do disco SCSI e somente utilizado quando a primeira parte do caminho comea com scsi. Quando a primeira parte for multi, esta parte ser sempre disk(0). rdis7: Um nmero que identifica o disco dentro da controladora. Para controladores SCSI este nmero ser ignorado. Sempre inicia com o valor zero. Por exemplo, se voc tiver um computador com duas controladores IDE e dois discos em cada controladora, teremos as seguintes combinaes possveis: multi(0)disk(0)rdisk(0) -> Primeiro disco da primeira controladora. multi(0)disk(0)rdisk(1) -> Segundo disco da primeira controladora. multi(1)disk(0)rdisk(0) -> Primeiro disco da segunda controladora. multi(1)disk(0)rdisk(1) -> Segundo disco da segunda controladora. Partition: Indica o nmero da partio/volume dentro do disco. O valor entre par3nteses comea com $E di5erente dos valores dos outros parFmetros que iniciam sempre com zero% Por exemplo, se voc tiver um computador com duas controladores IDE e dois discos em cada controladora. No primeiro disco da primeira controladora voc tem uma nica partio e nos demais discos duas parties, teremos as seguintes combinaes possveis: multi(0)disk(0)rdisk(0)partition(1)-> Primeira partio do primeiro disco da primeira controladora. multi(0)disk(0)rdisk(1)partition(1)-> Primeira partio do segundo disco da primeira controladora. multi(0)disk(0)rdisk(1)partition(2)-> Segunda partio do segundo disco da primeira controladora. multi(1)disk(0)rdisk(0)partition(1)-> Primeira partio do primeiro disco da segunda controladora. multi(1)disk(0)rdisk(0)partition(2)-> Segunda partio do primeiro disco da segunda controladora. multi(1)disk(0)rdisk(1)partition(1)-> Primeira partio do segundo disco da segunda controladora. multi(1)disk(0)rdisk(1)partition(2)-> Segunda partio do segundo disco da segunda controladora. O que vem aps o caminho ARC o nome da pasta, dentro da partio especificada pelo caminho ARC, onde esto os arquivos do Sistema Operacional. No exemplo que demos no incio deste tpico temos o seguinte caminho: multi(0)disk(0)rdisk(1)partition(2)\WXPPRO O que representa esta caminho? Lendo de trs para frente temos a seguinte interpretao: A pasta WXPPRO -> \WXPPRO da segunda partio -> partition(2) do segundo disco -> rdisk(1) * da primeira controladora -> multi(0) * (*): Lembre que para multi, disk e rdisk os valores iniciam em zero e para partition os valores iniciam em um. As c)a#es "ue podem ser utilizadas no ar"ui#o Boot.ini. Conforme descrito anteriormente, existem algumas chaves que podem ser utilizadas no arquivo Boot.ini, para alterar a maneira como cada Sistema Operacional utilizado. A seguir descrevemos as principais chaves disponveis. Para uma relao completa das chaves disponveis, consulte o seguinte endereo: http://www.sysinternals.com/ntw2k/info/bootini.shtml Gbasevideo: Esta chave faz com que o Sistema Operacional seja inicializado utilizando um driver VGA com configuraes padro mnimas, suportadas pela maioria dos adaptadores de vdeo e monitores. Esta opo pode ser utilizada se voc instalou um novo adaptador de vdeo (ou um novo monitor), os quais no esto funcionando corretamente, a ponto de aps feito o logon, no ser possvel ler as informaes exibidas na tela. Neste caso voc pode fazer a inicializao no Modo seguro, que descreveremos mais adiante, alterar o arquivo boot.ini adicionando a chave /basevideo. Quando o Windows 2000/XP for inicializado sero utilizadas configuraes bsicas do driver VGA. Voc poder fazer o logon e corrigir as configuraes que esto impedindo o funcionamento correto do adaptador de vdeo ou do monitor. Feitas as correes voc pode retirar a chave /basevideo para que o Windows 2000/XP carregue as configuraes de vdeo normalmente. No exemplo a seguir temos uma ilustrao do uso desta chave: multi(0)disk(0)rdisk(1)partition(2)\WXPPRO /basevideo G5astdetect?com' ou G5astdetect?com'E CEz ou G5astdetect: Com esta chave a deteco de mouse serial na inicializao ser desabilitada. Comx utilizada para especificar se a deteco deve ser desabilitada em um nica porta com, como por exemplo Com1 ou Com2. possvel desabilitar a deteco em duas ou mais portas, como por exemplo Com1,2. Se no for especificada a porta Com, a deteco ser desabilitada em todas as portas. Por padro a chave /fastdetect, sem a especificao de porta, includa em todas as opes de Sistema Operacional do arquivo boot.ini, com exceo de linhas que correspondem ao Windows 9x ou Me. Gma'mem:n: Com esta chave possvel definir a quantidade mxima de memria RAM disponvel para o Windows 2000/XP. Por exemplo, em um computador com 256 MB de RAM instalados, se voc quiser utilizar apenas 128, utilize a seguinte chave: /maxmem:128. A nica justificativa para o uso desta chave se voc quiser detectar se um determinado pente de memria est com problemas. Gno.uiboot: Inicializa o Windows 2000/XP sem exibir a tela grfica com informaes sobre o andamento (Status) da inicializao. Gsos: A medida que os drivers de dispositivos vo sendo carregados, o nome dos arquivos que esto sendo carregados ser exibido no vdeo. Esta opo til quando o Windows 2000/XP no consegue inicializar corretamente e voc quer detectar em que ponto da inicializao est o problema. Por exemplo, se voc utilizar esta chave e a inicializao for interrompida no momento da carga do driver da placa de rede, este um bom indicativo de que o problema pode ser com este driver ou com algum driver relacionado. +onclus&o, Nos endereos a seguir voc encontra informaes detalhadas, artigos tcnicos e descrio de problemas/solues relacionados com a inicializao do Windows 2000/XP, do arquivo Boot.ini e de caminhos ARC: http://support.microsoft.com/support/kb/articles/Q291/9/80.ASP http://support.microsoft.com/support/kb/articles/q99/7/43.asp http://www.zdjournals.com/ewn/9802/ewn9821.htm http://www.powerquest.com/support/PM/pm6076.html http://www.ntfaq.com/ntfaq/sysconf66.html http://www.sysinternals.com/ntw2k/info/bootini.shtml http://support.microsoft.com/support/kb/articles/q102/8/73.asp http://support.microsoft.com/support/kb/articles/Q239/7/80.ASP Com isso conclumos o nosso estudo sobre o processo de boot (inicializao) do Windows 2000/XP. Voc, amigo leitor, pode escolher o assunto do prximo tutorial. Envie a sua sugesto para o email: webmaster@juliobattisti.com.br. A seguir algumas sugestes de assuntos: Permisses de Compartilhamento e Permisses NTFS. Configurao e Gerenciamento de Impressoras no Windows 2000 Server. Publicao e Pesquisa de Impressoras e Pastas Compartilhadas no Active Directory. Uma Viso Geral do Active Directory. Entendendo e Configurando o DNS em uma rede baseada no Windows 2000 Server. Entendendo Group Polices Objects. Implementando e Administrando Group Polices Objects. -./ 0 -istributed .ile /1stem 0 +onceitos e $mplementa%&o $ntrodu%&o Neste tutorial apresentarei o servio DFS - Distributed File System. Veremos quais as vantagens em utilizar este servio, para facilitar a administrao de pastas compartilhadas em uma rede de computadores. Alm dos conceitos tericos, veremos um exemplo prtico de utilizao do DFS. O principal motivo para a implementao de redes locais (LAN) e de longa distncia (WAN) o compartilhamento de recursos. A possibilidade de ter as informaes centralizadas em um ou mais servidores, acessando estas informaes a partir de qualquer estao de trabalho da rede um grande benefcio em termos de gerenciamento e produtividade para os usurios. Dentre os vrios recursos compartilhados atravs de uma rede, sem sombra de dvidas, o compartilhamento de arquivos o mais utilizado. Em redes baseadas em tecnologias da Microsoft, com servidores rodando o Windows NT Server ou o Windows 2000 Server e clientes rodando uma das verses do Windows - 9x, Me, NT Workstation, Windows 2000 Professional ou Windows XP, o compartilhamento de arquivos feito utilizando Pastas compartilhadas. Por exemplo, vamos supor que os arquivos da pasta C:\Manuais, do servidor SRV01, devam estar disponveis para acesso atravs da rede. Basta compartilhar esta pasta no servidor SRV01, definir as permisses de compartilhamento e permisses NTFS adequadas. Depois o acesso a pasta Manuais pode ser feito em cada estao de trabalho da rede. Normalmente este acesso feito via a "montagem" de um drive de rede. Montar um drive de rede, significa que vamos associar uma unidade (F:, G: X:, etc) pasta compartilhada. Para o usurio, a pasta compartilhada aparece como mais uma unidade. Por exemplo, se montarmos um drive X:, associado com a pasta compartilhada Manuais, toda vez que o usurio acessar o drive X: estar, na prtica, acessando o contedo da pasta Manuais, compartilhada no servidor SRV01. Nota: Normalmente a montagem de drives de rede feita atravs do comando net use, no Script de logon. Com isso, uma ou mais drives de rede podem ser montados, automaticamente, quando o usurio faz o logon na rede. Nos prximos tutoriais irei detalhar o uso de pastas compartilhadas, a interao entre permisses de compartilhamento e permisses NTFS e o uso do comando net use. Na Figura 1, temos o exemplo de uma rede Cliente Servidor, onde os usurios acessa, atravs de um drive X:, uma pasta compartilhada no servidor SRV01: Figura 1 1 )ompartil%amento de arqui,os em uma rede local. -./ 0 +onceito e utiliza%2es O modelo proposto na introduo funciona bem para pequenas redes, onde temos um nmero reduzido de pastas compartilhadas - digamos at cinco pastas compartilhadas em um ou mais servidores. Porm, para grandes redes, onde o nmero de pastas compartilhadas grande, o uso de um drive de rede para acessar cada pasta compartilhada, pode tornar-se de difcil implementao, ou at mesmo impossvel - quando tivermos mais pastas compartilhadas do que o nmero de letras disponveis no nosso alfabeto. Mesmo em uma rede pequena, onde temos entre cinco e dez pastas compartilhadas, usar um drive para cada pasta no a melhor soluo. Este modelo difcil de administrar, do ponto de vista do Administrador da rede, e difcil de utilizar, do ponto de vista do usurio. Considere o diagrama da Figura 2, onde temos oito pastas compartilhadas, em trs servidores diferentes: Figura 2 1 Uma rede com oito pastas compartil%adas. Na tabela a seguir temos uma viso geral dos oito compartilhamentos da Figura 2, uma breve descrio de cada um, o caminho de rede para acessar o compartilhamento e uma sugesto de drive a ser utilizado, na estao cliente, para acesso ao compartilhamento: 6ompartil(amento Nome de comp% Servidor 6amin(o +rive C:\Manuais Manuais SRV01 \\SRV01\Manuais F: C:\Programas Programas SRV01 \\SRV01\Programas G: D:\Memorandos Memorandos SRV01 \\SRV01\Memorandos H: D:\Segurana Segurana SRV02 \\SRV02\Segurana I: D:\Relatrios Relatrios SRV02 \\SRV02\Relatrios J: E:\Modelos Modelos SRV02 \\SRV02\Modelos K: C:\Diagramas Diagramas SRV03 \\SRV03\Diagramas L: C:\Pblico Pblico SRV03 \\SRV03\Pblico M: Os drives de F a G, necessrios para acessar as pastas compartilhadas, poderiam ser montados, automaticamente, incluindo os seguintes comandos no script de logon dos usurios: net use F: \\SRV01\Manuais /yes net use G: \\SRV01\Programas /yes net use H: \\SRV01\Memorandos /yes net use I: \\SRV02\Segurana /yes net use J: \\SRV02\Relatrios /yes net use K: \\SRV02\Modelos /yes net use L: \\SRV03\Diagramas /yes net use M: \\SRV03\Pblico /yes -ste modelo apresenta diversos inconvenientesE dentre os quais podemos destacar os se.uintes: 1. O usurio tem acesso s informaes atravs de diversos drives de rede (oito no nosso exemplo). Com isso o usurio no tem uma viso consolidada das informaes disponveis na rede. 2. Alm de ter de criar e configurar os compartilhamentos, o Administrador da rede precisa garantir que os drives necessrios sejam corretamente configurados em todas as estaes de trabalho da rede. 3. No existe redundncia e tolerncia a falhas. Se um dos servidores estiver com problemas, os usurios no tero acesso s pastas compartilhadas deste servidor. No prximo item vamos ver qual o modelo proposto com o uso do DFS e quais os benefcios deste modelo. -./, 3odelo proposto e bene45cios Com o uso do DFS podemos resolver os problemas descritos anteriormente, onde utilizamos um drive de rede para acessar cada uma das pastas compartilhadas. O DFS - Distributed File System (Sistema de Arquivos Distribudos) um servio que roda em servidores NT Server 4.0 ou Windows 2000 Server. Para entendermos o modelo proposto pelo DFS, vamos utilizar o exemplo do item anterior e vermos como, com o uso do DFS, poderemos dar acesso a todas as pastas compartilhadas, usando um nico drive de rede, ao invs de usar oito drives. Para entendermos o modelo proposto pelo DFS, considere o diagrama da Figura 3. Figura 3 1 O modelo de compartil%amento do 2F. amos entender os detal(es do modelo proposto na 1i.ura <: Conforme descrito anteriormente, o DFS um servio que faz parte do Windows 2000 Server. Voc pode verificar se o servio DFS est configurado para inicializar automaticamente, usando o console Servios. No servidor DFS, que no nosso exemplo o servidor SRVDFS, criamos um Root DFS. Um Root DFS associado com uma pasta local no servidor DFS. Veremos exemplos prticos mais adiante, neste tutorial. Uma vez criado o Root DFS, comeamos a criar Links DFS. Cada link "aponta" para uma pasta compartilhada. No nosso exemplo, poderamos criar um link chamado Manuais, o qual aponta para \\SRV01\Manuais, um link chamado Programas, o qual aponta para \\SRV01\Programas, um link chamado Memorandos, o qual aponta para \\SRV01\Memorandos e assim por diante. Ao criarmos os links estamos montando uma rvore DFS. Aps ter criados todos os links desejados, estamos prontos para dar acesso aos clientes. No modelo do DFS, somente o Root DFS compartilhado. Por exemplo, vamos supor que o Root DFS, no servidor SRVDFS tivesse sido compartilhado com o nome de ArqRede. Os usurios acessam o Root DFS, montando um drive de rede associado com o compartilhamento \\SRVDFS\ArqRede. Vamos supor que o usurio monta um drive X:, associado com o Root do DFS. Neste caso, cada um dos links da rvore DFS, aparece como uma pasta do drive X:. Neste caso atravs de um nico drive de rede (X:), o qual aponta para o Root DFS, o usurio ter acesso a vrias pastas compartilhadas, sendo que cada pasta aparece como uma pasta do drive X:, ao invs de ser necessrio um drive diferente para cada pasta compartilhada. No nosso exemplo, o drive X: do usurio teria uma estrutura conforme indicado na Figura 4: Figura # 1 Um 3nico dri,e para acessar oito compartil%amentos di4erentes. Observe que com um nico drive (X:), que aponta para o Root do DFS (\\SRVDFS\ArqRede), o usurio tem acesso a oito pastas compartilhadas, sendo que cada Pasta compartilhada aparece como uma pasta do drive X: Com o modelo proposto pelo DFS temos muitos benefcios, dentre os quais podemos destacar os seguintes: O usurio tem uma viso geral das informaes disponveis da rede e, atravs de um nico drive, tem acesso a todas as informaes disponveis. O Administrador tem um ponto central de Administrao, o que facilita e simplifica o seu trabalho. As tarefas de Backup so simplificadas. Ao invs de programar o Backup de inmeras pastas, em diferentes servidores, o Administrador programa o backup do Root do DFS. Com o uso de Roots DFS de Domnio (conforme veremos mais adiante), possvel criar redundncia, atravs da disponibilizao da mesma pasta compartilhada em dois ou mais servidores. Com isso mesmo que um servidor tenha problemas, o usurio continuar tendo acesso aos arquivos a partir de outros servidores, onde existem rplicas da pasta compartilhada. O uso desta funcionalidade, em conjunto com as configuraes de Arquivos Off-line (as quais veremos em uma dos prximos tutoriais), aumenta muito a disponibilidade dos arquivos da rede para o usurio final. Balanceamento de carga entre servidores, quando utilizamos Roots DFS de Domnio, com a duplicao de pastas compartilhadas em diferentes servidores. 6imita%2es no +liente e no /er#idor O servio DFS instalado automaticamente quando instalamos o Windows 2000 Server. Este servio tambm configurado para iniciar automaticamente. Para conferir se o servio DFS est configurado corretamente, voc pode utilizar o console Servios, o qual est acessado atravs da opo: Iniciar -> Programas -> Ferramentas administrativas -> Servios. O servio DFS tem algumas limitaes, as quais descrevemos a seguir: O nmero mximo de caracteres para o caminho UNC (\\servidor\compartilhamento) de uma pasta compartilhada 260. O nmero mximo de rplicas de uma pasta compartilhada, em um Root DFS de Domnio 256. Cada servidor DFS pode ter um nico Root DFS. O nmero de Roots DFS por domnio ilimitado, porm em cada servidor somente podemos ter um nico Root DFS. O nmero mximo de links, por Root DFS, de 1000. O DFS baseado em um modelo Cliente/Servidor. O Servidor representado por um servidor com o Windows 2000 Server instalado, onde o servio DFS est rodando. Podemos ter diferentes clientes DFS. O Windows 2000 Professional e o Windows XP podem atuar como clientes DFS, sem que seja necessria a instalao de software adicional. Para verses anteriores do Windows, considere os detalhes a seguir: Windows 95: O Cliente DFS para o Windows 95 est disponvel para Download no site da Microsoft, no seguinte endereo: http://download.microsoft.com/download/win95/dfs/1.0/W95/EN- US/dfs_v41_win95client.exe Windows 98: O Cliente DFS faz parte do Windows 98, no preciso instalar nenhum software adicional. Windows NT 4.0: O Cliente DFS est disponvel para Download, no seguinte endereo: http://download.microsoft.com/download/winntsrv40/dfs/1.0/NT4/EN-US/dfs_v41_i386.exe. Windows 2000 e XP: O cliente DFS faz parte do Sistema Operacional. Agora que j entendemos o modelo proposto pelo DFS e sabemos as suas limitaes, vamos aprender, atravs de um exemplo prtico, a criar e configurar uma rvore DFS. $mplementando o -./ Agora vamos a um exemplo prtico. Iremos criar uma rvore DFS. Criaremos um Root DFS de domnio e, em seguida, adicionaremos links para cinco pastas compartilhadas em dois servidores da rede. Tambm criaremos uma rplica de uma das pastas. Na parte final do exemplo, acessaremos o root DFS e faremos alguns testes. Ento mos obra. ( ambiente em uso nos exemplos Para o exemplo proposto utilizarei uma rede com dois servidores (na verdade a rede local de testes que uso em casa. Utilizo esta rede para fazer pesquisas, para escrever meus artigos, cursos e livros). Na rede de exemplo, temos dois servidores, conforme descrito na tabela a seguir: Nome do Servidor Sistema Operacional servidor Windows 2000 Server em Portugus servidor2 .NET Server, Beta 3, Compilao 3268, em Ingls Os servidores que estou utilizando fazem parte de um domnio baseado no Active Directory. O nome do domnio groza.com. Sero criados os compartilhamentos indicados na tabela a seguir: 6ompartil(amento Nome de comp% Servidor 6amin(o E:\Manuais Manuais servidor \\servidor\Manuais E:\Programas Programas servidor \\servidor\Programas C:\Pblico Pblico servidor2 \\servidor2\Pblico C:\Manuais Manuais servidor2 \\servidor2\Manuais Observe que o compartilhamento Manuais est sendo criado nos dois servidores. Isto necessrio porque este ser um compartilhamento redundante, ou seja, ao criar a rvore DFS vamos criar o link para o compartilhamento Manuais no servidor "servidor" e um link para a rplica no servidor "servidor2". O root DFS ser criado no servidor chamado "servidor" e ser associado pasta: E:\ArqDfs. Ao criar o root DFS, a pasta E:\ArqDfs ser, automaticamente compartilhada. Na estao dos clientes, vamos montar um drive de rede S:, associado ao Root DFS. O caminho para o Root DFS ser: \\servidor\ArqDfs. Aps a criao do Root DFS vamos criar links para as pastas compartilhadas indicadas na tabela anterior. Observe que para o compartilhamento Manuais vamos criar o link (para o compartilhamento em servidor) e em seguida uma rplica (para o compartilhamento em servidor2). Na diagrama da Figura 5 temos uma viso geral do exemplo que iremos implementar. Figura & 1 O exemplo proposto. ( +onsole -./ Para criar a administrar rvores do DFS utilizamos o console Sistema da arquivos distribudo, o qual pode ser acessado no seguinte caminho: Iniciar -> Programas -> Ferramentas administrativas -> Sistema de arquivos distribudo. Utilizamos este console para realizar todas as tarefas realizadas a criao e a manuteno de rvores DFS. Nota: Caso o console Sistema de arquivos distribudo no esteja disponvel, no menu Ferramentas administrativas, possvel instal-lo. Na subpasta System32, da pasta onde est instalado o Windows 2000 (normalmente em uma pasta chamada WINNT), existe um arquivo chamado Adminpak.msi. Neste arquivo est contido um conjunto de consoles que so utilizados para administrar uma srie de tarefas em uma rede com o Windows 2000. Uma das ferramentas disponveis o console Sistema de arquivos distribudo. Para instalar o Adminpak.msi, basta abrir o Windows Explorer, localizar o arquivo Adminpak.msi e dar um clique duplo neste arquivo. Ser aberto um assistente de instalao. Agora s seguir os passos do assistente e pronto, uma srie de consoles de administrao sero instalados, conforme indicado na Figura 6: Figura ( 1 Ferramentas dispon5,eis no arqui,o "dminpa6.msi Importante: Este conjunto de ferramentas tambm pode ser instalado em uma estao de trabalho com o Windows 2000 Professional. Neste caso o Administrador da rede, a partir da sua estao de trabalho com o Windows 2000 Professional instalado, pode administrar os diversos servios da rede, disponveis em diversos servidores. +riando um root de dom5nio O primeiro passo no exemplo proposto e criar um Root de domnio. Faremos isso usando o console Sistema de arquivos distribudo citado no item anterior. importante salientar que, antes de iniciar este exerccio, os compartilhamentos indicados na Figura 5, j devem ter sido criados. Para criar um root DFS no computador chamado servidor, root este associado com a pasta E:\ArqDfs, siga os seguintes passos: 1. Abra o console Sistema da arquivos distribudo: Iniciar -> Programas -> Ferramentas administrativas -> Sistema de arquivos distribudo. 2. Ser exibida a janela Sistema de arquivos distribudos, onde ainda no existe a rvore DFS, conforme indicado na Figura 7: Figura 7 1 O console istema de arqui,os distri+u5dos. 3. Clique com o boto direito do mouse na opo Sistema de arquivos distribudos. No menu que exibido selecione o comando Novo -> Raiz DFS... 4. Ser aberto o Assistente para novas razes DFS. A primeira tela apenas informativa. 5. Clique no boto Avanar para seguir para a prxima etapa do assistente. 6. Na segunda etapa voc tem que definir se deseja criar uma Raiz de Domnio ou uma Raiz autnoma. Por padro a opo "Criar uma raiz DFS de domnio" vem selecionada. Certifique- se de que esta opo esteja selecionada. 7. Clique no boto Avanar para seguir para a prxima etapa do assistente. 8. Surge uma tela perguntando o nome do domnio onde a raiz DFS ser criada. No nosso caso ser exibido o domnio groza.com, que o domnio ao qual pertence o servidor no qual est sendo criada a raiz DFS, conforme indicado na Figura 8: Figura 8 1 9n4ormando o dom5nio onde a raiz 2F ser criada. 9. Clique no boto Avanar para seguir para a prxima etapa do assistente. 10. Surge uma tela perguntando o nome do servidor onde ser criada a raiz DFS. No nosso exemplo, o nome do servidor servidor.groza.com. Informe o nome do servidor. 11. Clique no boto Avanar para seguir para a prxima etapa do assistente. 12. Nesta etapa temos que informar se queremos usar um compartilhamento j existente, o qual ser associado com a raiz DFS ou se queremos que o assistente crie o compartilhamento que ser associado com a raiz do DFS. No nosso exemplo, o compartilhamento ArqDfs foi criado previamente. Selecione o compartilhamento a ser utilizado, conforme indicado na Figura 9. Figura : 1 )ompartil%amento associado com a raiz 2F. 13. Clique no boto Avanar para seguir para a prxima etapa do assistente. 14. Surge uma tela para que voc informe o nome da raiz DFS e insira um comentrio. O nome deve ser um nome que ajude a identificar o contedo da rvore DFS e o comentrio pode ser utilizado para facilitar pesquisas no Active Directory. 15. Informe o nome e um comentrio, conforme indicado na Figura 10: Figura 1; 1 2e4inindo um nome e um comentrio. 16. Clique no boto Avanar para seguir para a prxima etapa do assistente. 17. Voc estar na tela final do Assistente. Clique em Concluir e a raiz DFS ser criada, conforme indicado na Figura 11: Figura 11 1 " raiz 2F "rqui,os2a<ede= rec>m criada. 18. Mantenha o console Sistema de arquivos distribudos aberto, pois iremos utiliz-lo nos prximos passos deste exemplo. Agora estamos aptos a seguir para a prxima etapa do exerccio, qual seja: Criar os links (ou usando uma metfora: os ramos da rvore), sendo cada link associado com um compartilhamento. +riando lin7s para as pastas compartil)adas na rede, Agora vamos montar a nossa rvore DFS. J temos a raiz (criada no passo anterior) e agora vamos adicionar os ramos. Cada ramo associado com um compartilhamento da rede. Criaremos trs ramos, conforme indicado na Tabela a seguir: Nome do #amo Associado com o compartil(amento Manuais \\servidor2\Manuais Pblico \\servidor2\Pblico Programas \\servidor\Programas Nota: O compartilhamento \\servidor\Manuais ser utilizado para a criao de redundncia do compartilhamento \\servidor2\Manuais, conforme veremos no prximo item. Para criar os lin7s propostosE si.a os se.uintes passos: 1. Voc deve estar com o console Sistema de arquivos distribudos aberto. 2. Clique com o boto direito do mouse na raiz criada no tpico anterior. 3. No menu que exibido selecione o comando Novo link DFS... 4. Ser exibida a janela Adicionar ao DFS, na qual voc deve informar o nome do link que est sendo criado, o caminho para a pasta compartilhada associada ao link e um comentrio. 5. Para adicionar o link Manuais, associado ao compartilhamento \\servidor2\Manuais, digite as informaes indicadas na Figura 12: Figura 12 1 )riando um lin6 para a pasta ?anuais. 6. Clique em OK e pronto, o novo link ser criado. 7. Clique com o boto direito do mouse na raiz DFS. 8. No menu que exibido selecione o comando Novo link DFS... 9. Ser exibida a janela Adicionar ao DFS, na qual voc deve informar o nome do link que est sendo criado, o caminho para a pasta compartilhada associada ao link e um comentrio. 10. Para adicionar o link Pblico, associado ao compartilhamento \\servidor2\Pblico, digite as informaes indicadas na Figura 13: Figura 13 1 )riando um lin6 para a pasta 03+lico. 11. Clique em OK e pronto, o link Pblico ser criado. 12. Clique com o boto direito do mouse na raiz DFS. 13. No menu que exibido selecione o comando Novo link DFS... 14. Ser exibida a janela Adicionar ao DFS, na qual voc deve informar o nome do link que est sendo criado, o caminho para a pasta compartilhada associada ao link e um comentrio. 15. Para adicionar o link Programas, associado ao compartilhamento \\servidor\Programas, digite as informaes indicadas na Figura 14: Figura 1# 1 )riando um lin6 para a pasta 0rogramas. 16. Clique em OK e pronto, o link Programas ser criado. 17. A rvore DFS deve estar conforme indicado na Figura 15: Figura 1& 1 " r,ore 2F com tr@s lin6s. 18. Agora vamos adicionar redundncia ao link Manuais. Lembrando que o link Manuais que adicionamos anteriormente, est associado a pasta \\servidor2\manuais. Agora vamos adicionar um link redundante, associado com \\servidor\Manuais. Com isso, existiro duas cpias do contedo da pasta Manuais. Caso um dos servidores esteja fora da rede, os usurios podero continuar acessando a cpia redundante. Observe que, com isso, estamos adicionando redundncia a um dos links da rvore. Poderamos adicionar mais de uma cpia redundante. 19. Clique com o boto direito do mouse no link Manuais e, no menu que exibido, d um clique na opo Nova rplica... 20. Ser exibida a janela Adicionar uma nova rplica. Nesta janela devemos informar o caminho para a rplica da pasta Manuais e se o contedo das rplicas deve ou no ser automaticamente sincronizado. Defina as informaes, conforme indicado na Figura 16: Figura 1( 1 "dicionando uma no,a r>plica. 21. Clique em OK. 22. Surge a janela Diretiva de duplicao, na qual temos que definir quais das rplicas sero sincronizadas automaticamente. Para definir que uma rplica deve ser sincronizada automaticamente com as demais, clique na rplica e depois no boto Ativar. Repita esta operao para as duas rplicas da pasta Manuais. A janela Diretiva de duplicao deve estar conforme indicado na Figura 17: Figura 17 1 2e4inindo a 2ireti,a de duplicaAo. 23. Clique em OK. 24. A nova rplica est configurada, conforme pode ser visto, em destaque, na Figura 18: Figura 18 1 <>plica criada para a pasta ?anuais. 25. Agora a nossa rvore DFS est pronta. Vamos test-la. Acessando a raiz -./ no cliente, Agora vamos montar um drive X: associado com a raiz da rvore DFS: \\servidor\ArqDfs. Lembrando do que foi dito na introduo terica deste tutorial, cada link da rvore DFS ir aparecer como uma pasta do drive X:. Por exemplo, o link Manuais aparecer como uma pasta Manuais, dentro do drive X: Quando o usurio estiver acessando esta pasta estar, na prtica, acessando uma das rplicas do link Manuais: \\servidor2\Manuais ou \\servidor\Manuais. Quando o usurio acessar a pasta Pblico estar, na prtica, acessando a pasta \\servidor2\Pblico e assim por diante. Para montar um drive A:E associado H raiz da rvore +1SE si.a os se.uintes passos: 1. Faa o logon em uma das estaes da rede. 2. Abra um Prompt de comando: Iniciar -> Programas -> Acessrios -> Prompt de comando. 3. Na janela do Prompt de comando digite o seguinte comando: net use x: \\servidor\ArqDfs 4. Pressione Enter. O drive x: ser montado. 5. Digite Exit e pressione Enter, para fechar o Prompt de comando. 6. Abra o Meu computador e acesso o drive X:. Voc dever obter o resultado indicado na Figura 19: Figura 1: 1 O dri,e /B para acesso C Dr,ore 2F. 7. Isto comprova que a nossa rvore DFS e os respectivos links foram criados com sucesso e esto funcionando corretamente. +onclus&o Neste tutorial apresentamos os conceitos tericos relacionados ao DFS e as suas vantagens. Vimos que atravs do uso do DFS, o Administrador pode implementar um sistema centralizado de administrao das pastas compartilhadas, em diferentes servidores da rede. Tambm possvel criar redundncia, atravs da criao de rplicas de uma mesma pasta, em diferentes servidores. Em seguida aprendemos a criar e a utilizar uma rvore DFS, utilizando o console Sistema de arquivos distribudos. Para maiores informaes sobre o DFS, consulte as seguintes referncias: "Windows 2000 Server Distributed System Guide", Microsoft Press, Captulo 17. Este livro faz parte do Resource Kit do Windows 2000 Server e est disponvel, OnLine, no seguinte endereo: http://www.microsoft.com/windows2000/techinfo/reskit/default.asp. "Microsoft Windows 2000 Server Administrators Companion", Microsoft Press, Captulo 16. Voc encontra uma srie de artigos, papers e tutoriais sobre DFS, no seguinte endereo: http://www.labmice.net/windows2000/FileMgmt/DFS.htm. !ermiss2es de +ompartil)amento e 89./ Segurana, sem dvidas, um dos temas mais debatidos hoje, no mundo da informtica. Nesse tutorial vou apresentar algumas opes do Windows 2000 (e tambm do Windows XP Professional) que ajudam a manter os seus arquivos mais protegidos, longe do alcance de intrusos. Trataremos sobre as permisses de compartilhamento e tambm permisses NTFS. Veremos como a correta configurao dessas permisses pode tornar o acesso aos seus arquivos bem mais seguro e protegido, com o acesso permitido apenas para os usurios habilitados atravs das permisses. importante salientar que com o Windows 95/98 ou Me no existe como configurar permisses de acesso, ou seja, no temos como proteger os arquivos do computador. Qualquer pessoa que tenha acesso ao computador poder lig-lo e acessar, alterar ou excluir qualquer arquivo que esteja no disco rgido. Com as permisses NTFS do Windows 2000 (e tambm do Windows XP Professional) podemos resolver esse problema. Neste tutorial veremos como compartilhar uma Pasta, disponibilizando o seu contedo, para que seja acessado atravs da rede. Tambm aprenderemos a atribuir permisses de segurana - permisses NTFS, para que somente usurios autorizados possam acessar as pastas compartilhadas. Veremos alguns detalhes importantes sobre Sistemas de Arquivos suportados pelo Windows 2000 Server. +ompartil)ando !astas e -e4ini%&o de !ermiss2es : 9eoria. Primeiro vamos ver alguns detalhes sobre compartilhamento de pastas e permisses de compartilhamento. Quando compartilhamos uma pasta, estamos permitindo que o seu contedo seja acessado atravs da rede. Quando uma pasta compartilhada, os usurios podem acess-la atravs da rede, bem como o todo o contedo da pasta que foi compartilhada. Por exemplo, poderamos criar uma pasta compartilhada onde seriam colocados documentos, orientaes e manuais, de tal forma que estes possam ser acessados por qualquer estao conectada a rede. Ao compartilharmos uma pasta todo o contedo dessa pasta passa a estar disponvel para ser acessada atravs da rede. Todas as subpastas da pasta compartilhada tambm estaro disponveis para acesso atravs da rede. Considere o exemplo da Figura 1. Se a pasta C:\Documentos for compartilhada, todo o seu contedo e tambm o contedo das subpastas C:\Documentos\Ofcios e C:\Documentos\Memorandos estaro disponveis para acesso atravs da rede. Porm quando uma pasta compartilhada, no significa que o seu contedo deva ser acessado por todos os usurios da rede. Podemos restringir o acesso, de tal maneira que somente usurios autorizados tenham acesso pasta compartilhada, isso feito atravs de "Permiss=es de compartil(amento". Figura 1 "o compartil%ar uma pasta= todo o seu conte3do estar dispon5,el. Com o uso de permisses, podemos definir quais os usurios podero acessar o contedo da pasta compartilhada. Para isso, criada uma lista com o nome dos usurios e grupos que tero permisso de acesso. Alm disso possvel limitar o que os usurios com permisso de acesso podem fazer. Pode haver situaes em que alguns usurios devam ter permisso apenas para ler o contedo da pasta compartilhada, podem haver outras situaes em que alguns usurios devem ter permisso de leitura e escrita, enquanto outros devem ter permisses totais, tais como leitura, escrita e at excluso de arquivos. Na Figura 2, temos um exemplo, em que o grupo Gerentes possui permisses de "Controle total", enquanto o grupo "Usurios" possui permisses apenas para leitura. Figura 2 'rupos di4erentes com permisses di4erentes. Conforme pode ser visto na Figura 2, o Windows 2000 Server indica que uma pasta est compartilhada atravs da figura de uma "mozinha" , segurando a pasta. I!PO#IANI-: As permisses definem o que o usurio pode fazer com o contedo de uma pasta compartilhada, desde somente leitura, at um controle total sobre o contedo da pasta compartilhada. Na seqncia desse tutorial aprenderemos a compartilhar uma pasta e atribuir permisses de acesso. JA!AIS -SKL-MA O S-/LINI- +-IA0N-: Permisses de compartilhamento, no impedem o acesso ao contedo da pasta localmente, isto , se um usurio fizer o logon no computador onde est a pasta compartilhada, este usurio ter acesso a todo o contedo da pasta, a menos que as "Permisses NTFS" estejam configurados de acordo. Permisses NTFS assunto para daqui a pouco. Vamos falar de um jeito diferente: Permisses de compartilhamento somente tem efeito quando o usurio est acessando a pasta atravs da rede, para acesso local, no prprio computador onde est a pasta, as permisses de compartilhamento no tem nenhum efeito, como se no existissem. Ao criarmos um compartilhamento em uma pasta, por padro o Windows 2000 Server atribui a permisso "6ontrole total" para o grupo "Iodos", que conforme o nome sugere, significa qualquer usurio com acesso ao computador, seja localmente, seja pela rede. Por isso ao criar um compartilhamento, j devemos configurar as permisses necessrias, a menos que estejamos compartilhando uma pasta de domnio pblico, onde todos os usurios possam ter Controle total sobre os arquivos e subpastas da pasta compartilhada.. -'istem tr3s nOveis de permiss=es de compartil(amentoE con5orme descrito a se.uir: 0eitura: Permite ao usurio exibir a listagem de pastas e arquivos, ler o contedo de arquivos e executar programas. O usurio tambm pode verificar os atributos dos arquivos e navegar atravs das pastas e subpastas. O usurio no pode alterar nem eliminar arquivos ou pastas. Tambm no permitido criar novos arquivos ou pastas. OPS%: Pastas e arquivos possuem atributos, que o Windows 2000 Server utiliza para gerenciamento. Por exemplo, existe um atributo "Leitura", que uma vez marcado torna o arquivo somente leitura, isto , no podem ser feitas alteraes no arquivo. Para ver os atributos de um arquivo ou pasta, basta dar um clique com o boto direito do mouse sobre o arquivo ou pasta, e no menu que surge d um clique na opo "Propriedades", e o Windows 2000 Server exibe uma janela onde possvel verificar e modificar os atributos do arquivo ou pasta, desde que o usurio tenha as devidas permisses. Alterao: Permite ao usurio criar pastas, criar novos arquivos, alterar arquivos, alterar os atributos dos arquivos, eliminar arquivos e pastas, mais todas as aes para a permisso de Leitura. No permite que sejam alteradas permisses dos arquivos nem alteraes no usurio "dono" dos arquivos e pastas. OPS%: No Windows 2000 Server, objetos como pastas e arquivos possuem um "dono", o qual normalmente o usurio que cria a pasta ou arquivo. Falaremos mais sobre o dono do arquivo mais adiante. 6ontrole total: Permite ao usurio alterar as permisses dos arquivos e tornar-se dono de pastas e arquivos criados por outros usurios, alm de todas as aes para a permisso Alterao. As permisses de compartilhamento Leitura, Alterao e Controle total, podem ser Permitidas ou Ne.adas. Vamos considerar um exemplo prtico. Vamos supor que todos os usurios do grupo Gerentes deve ter acesso de Leitura a uma pasta compartilhada, com exceo de um gerente cuja conta de usurio jsilva. Para simplificar a atribuio de permisses fazemos o seguinte: Permisso de Leitura para o grupo Gerentes - Permitir Permisso de Leitura para o usurio jsilva - Negar Com isso todos os usurios do grupo Gerentes tero permisso de leitura, com exceo do usurio "jsilva", o qual teve a permisso de leitura negada. Outra recomendao que sempre devemos atribuir permisses para grupos de usurios, ao invs de atribuir para usurios individuais, pois isso facilita a administrao. a famosa estratgia AGLP - Account -> Global -> Local -> Permission. Em um dos prximos tutoriais irei detalhar a estratgia AGLP. ( "ue acontece "uando um usurio pertence a mais de um grupo;; Quando um usurio pertence, por exemplo, a dois grupos e os dois grupos recebem permisso para acessar um compartilhamento, sendo que os dois grupos possuem permisses diferentes, por exemplo, um tem permisso de Leitura e o outro de Alterao, como que ficam as permisses do usurio que pertence aos dois grupos? Para responder a esta questo, considere o seguinte: "Quando um usurio pertence a mais de um grupo, cada qual com diferentes nveis de permisses para uma pasta compartilhada, o nvel de permisso para o usurio que pertence a mais de um grupo, a combinao das permisses atribudas aos diferentes grupos". No nosso exemplo, o usurio pertence a dois grupos, um com permisso de somente leitura e outro com permisso de alteraes. A nvel de permisso do usurio de alteraes, pois a soma das permisses dos dois grupos, conforme indicado na Figura 3. Figura 3 Usurio que pertence a mais de um grupo. Ne.ar t3m preced3ncia sobre quaisquer outras permiss=es: Vamos considerar o exemplo do usurio que pertence a trs grupos. Se em um dos grupos ele tiver permisso de leitura e em outro grupo permisso de alterao. Mas se para o terceiro grupo, for "negado" o acesso pasta compartilhada, o usurio ter o acesso negado, uma vez que "Negar" tem precedncia sobre quaisquer outras permisses, conforme indicado pela Figura 4. Figura # Negar tem preced@ncia so+re permitir. I!PO#IANI-: Quando copiamos uma pasta compartilhada, a pasta original permanece compartilhada, porm a cpia no compartilhada. Quando movemos uma pasta compartilhada, esta deixa de ser compartilhada. Al.umas orienta=es para a criao de pastas compartil(adas: Todo compartilhamento, obrigatoriamente, deve ter um nome, para que ele possa ser acessado pela rede, conforme veremos mais adiante. O nome do compartilhamento pode ser diferente do nome da pasta. Uma recomendao importante para que seja escolhido um nome descritivo do contedo da pasta, de tal maneira que esta seja mais facilmente localizada na rede. Voc no colocaria um nome "Projetos" em uma pasta com documentos contbeis? Aps compartilhada, a pasta passa a ter um caminho na rede. O caminho segue o padro UNC -Universal Name Convection. No padro UNC, um caminho e formado por duas barras invertidas, depois o nome do computador, mais uma barra invertida e, por ltimo, o nome do compartilhamento. Por exemplo, o caminho UNC da pasta Documentos, compartilhada no servidor SRV01 o seguinte: \\SRV01\Documentos; o caminho da pasta Projetos (nome de compartilhamento), compartilhada no servidor SRV02 o seguinte: \\SRV02\Projetos e assim por diante. Organize os recursos, de tal maneira que todos os pastas que devam ser acessadas pelo mesmo grupo de usurios, com o mesmo nvel de permisso, estejam dentro da mesma pasta compartilhada. Por exemplo, se voc possui sete pastas com documentos e programas, os quais devem ser acessados pelos grupos Contabilidade e Marketing. Coloque estas pastas dentro de uma pasta principal e compartilhe a pasta principal, ao invs de criar sete compartilhamentos individuais. Configure o nvel de permisso mnimo necessrio para que os usurios realizem o seu trabalho. Por exemplo se os usurios precisam apenas ler os documentos em uma pasta compartilhada, atribua permisso de Leitura e no de Alterao ou Controle total. Sempre que possvel, atribua permisses para grupos de usurios e no para usurios individuais, pois isso facilita a administrao das permisses. Determine quais grupos necessitam acesso a quais pastas compartilhadas e com quais nveis de permisso. Documente bem todo esse processo, para que voc possa ter um bom controle sobre os recursos compartilhados e as permisses atribudas. /istemas de Ar"ui#os e !ermiss2es 89./ : 9eoria Agora vamos ver alguns detalhes sobre os sistemas de arquivos que o Windows 2000 Server reconhece e tambm sobre permisses NTFS. Um sistema de arquivos determina a maneira como o Windows 2000 Server organiza e recupera as informaes no Disco rgido ou em outros tipos de mdia. O Windows 2000 Server reconhece os seguintes sistemas de arquivos: FAT FAT32 NTFS NTFS 5 O sistema FAT vem desde a poca do bom e velho MS-DOS e tem sido mantido por questes de compatibilidade. Alm disso se voc tiver instalado mais de um Sistema Operacional no seu computador, alguns sistemas mais antigos (DOS, Windows 3.x e as primeiras verses do Windows 95) somente reconhecem o sistema FAT. Com o sistema de arquivos FAT, a nica maneira de restringir o acesso ao contedo de uma pasta compartilhada, atravs das permisses de compartilhamento, as quais, conforme descrito anteriormente, no tero nenhum efeito se o usurio estiver logado localmente, na mquina onde a pasta foi criada. Com a utilizao do sistema FAT, alguns recursos avanados, tais como compresso, criptografia, auditoria e definio de cotas no estaro disponveis. O sistema FAT32 apresenta algumas melhorias em relao ao sistema FAT. Existe um melhor aproveitamento do espao no disco, com conseqente menor desperdcio. Um grande inconveniente do sistema FAT32 que ele no reconhecido pelo Windows NT 4.0 - Server ou Workstation. Com o sistema de arquivos FAT32, a nica maneira de restringir o acesso ao contedo de uma pasta compartilhada, atravs das permisses de compartilhamento, as quais, conforme descrito anteriormente, no tero nenhum efeito se o usurio estiver logado localmente, na mquina onde a pasta foi criada. Com a utilizao do sistema FAT32, alguns recursos avanados, tais como compresso, criptografia, auditoria e definio de cotas no estaro disponveis. O sistema de arquivos NTFS utilizado no Windows NT Server 4.0 e foi mantido no Windows 2000 Server por questes de compatibilidade. um sistema bem mais eficiente do que FAT e FAT32, alm de permitir uma srie de recursos avanados, tais como: Permisses de acesso para arquivos e pastas Compresso Auditoria de acesso Parties bem maiores do que as permitidas com FAT e FAT32 Desempenho bem superior do que com FAT e FAT32 Uma das principais vantagens do NTFS que ele permite que sejam definidas permisses de acesso para arquivos e pastas, isto , posse ter arquivos em uma mesma pasta, com permisses diferentes para usurios diferentes. Alm disso, as permisses NTFS tm efeito localmente, isto , mesmo que o usurio faa o logon no computador onde um determinado arquivo existe, se o usurio no tiver as permisses NTFS necessrias, ele no poder acessar o arquivo. Isso confere um alto grau de segurana, desde que as permisses NTFS sejam configuradas corretamente. No Windows 2000 Server, temos tambm o NTFS 5, o qual apresenta diversas melhorias em relao ao NTFS, tais como: 6ripto.ra5ia de arquivos e pastas: (a criptografia uma maneira de "embaralhar" a informao de tal forma que mesmo que um arquivo seja copiado, ele se torna ilegvel, a no ser para a pessoa que possui a "chave" para descriptografar o arquivo). 6otas de usurio: Com o uso de cotas possvel limitar o espao em disco que cada usurio pode utilizar. Gerenciamento e otimizao melhorados. Nota: Um inconveniente do NTFS 5 , que ele no reconhecido pelas verses anteriores, tais como o Windows NT Server 4.0. Conforme descrito anteriormente, podemos definir permisses de acesso a nvel da pasta ou arquivo, mas somente em unidades formatadas com o sistema de arquivos NTFS (seja na verso do NT Server 4.0 ou o NTFS 5 do Windows 2000 Server). Por isso que aconselhvel instalar o Windows 2000 Server sempre em unidades formatadas com NTFS, pois isso melhora a segurana. Com relao as permisses NTFS, temos um conjunto diferente de permisses quando tratamos de pastas ou arquivos. Nas Tabelas 1(para pastas) e 2 (para arquivos) , so apresentadas as permisses e o nvel de acesso para cada uma delas. *a+ela 1 0ermisses N*F para pastas Permisso NOvel de Acesso 0eitura Permite ao usurio listar as pastas e arquivos dentro da pasta, permite que sejam exibidas as permisses, donos e atributos. /ravar Permite ao usurio criar novos arquivos e subpastas dentro da pasta, alterar os atributos da pasta e visualizar o dono e as permisses da pasta. 0istar Contedo de pastas Permite ao usurio ver o nome dos arquivos e subpastas 0er e e'ecutar Permite ao usurio navegar atravs das subpastas para chegar a outras pastas e arquivos, mesmo que o usurio no tenha permisso de acesso s pastas pelas quais est navegando, alm disso possui os mesmos direitos que as permisses Leitura e Listar Contedo de pastas. !odi5icar Permite ao usurio eliminar a pasta, mais todas as aes permitidas pela permisso Gravar e pela permisso Ler e executar. 6ontrole total Permite que sejam alteradas as permisses, permite ao usurio tornar-se dono da pasta, eliminar subpastas e arquivos, mais todas as aes permitidas por todas as outras permisses NTFS. *a+ela 2 0ermisses N*F para arqui,os. Permisso NOvel de Acesso 0eitura Permite ao usurio ler o arquivo, permite que sejam exibidas as permisses, dono e atributos. /ravar Permite ao usurio gravar um arquivo com o mesmo nome sobre o arquivo, alterar os atributos da pasta e visualizar o dono e as permisses da pasta. 0er e e'ecutar Permite ao usurio executar aplicativos (normalmente programas .exe, .bat ou .com), mais todas os direitos da permisso Leitura. !odi5icar Permite ao usurio modificar e eliminar o arquivo, mais todas as aes permitidas pela permisso Gravar e pela permisso Ler e executar. 6ontrole total Permite que sejam alteradas as permisses, permite ao usurio tornar-se dono do arquivo, mais todas as aes permitidas por todas as outras permisses NTFS. Todo arquivo ou pasta em uma unidade formatada com NTFS, possui uma "Lista de controle de acesso (Access control list) - ACL. Nessa ACL ficam uma lista de todas as contas de usurios e grupos para os quais foi garantido acesso para pasta/arquivo, bem como o nvel de acesso de cada um deles. -'istem al.uns detal(es que devemos observar sobre permiss=es NI1S: Permisses NTFS so cumulativas, isto , se um usurio pertence a mais de um grupo, o qual tem diferentes nveis de permisso para um recurso, a permisso efetiva do usurio a soma das permisses. Permisses NTFS para um arquivo tm prioridade sobre permisses NTFS para pastas: Por exemplo se um usurio tm permisso NTFS de escrita em uma pasta, mas somente permisso NTFS de leitura para um arquivo dentro desta pasta, a sua permisso efetiva ser somente a de leitura, pois a permisso para o arquivo tem prioridade sobre a permisso para a pasta. Negar uma permisso NTFS tem prioridade sobre permitir: Por exemplo, se um usurio pertence a dois grupos diferentes. Para um dos grupos foi dado permisso de leitura para um arquivo e para o outro grupo foi Negada a permisso de leitura, o usurio no ter o direito de leitura, pois Negar tem prioridade sobre Permitir. Agora que j vimos a teoria necessria, vamos praticar um pouco. Nos prximos tpicos iremos aprender a compartilhar pastas, atribuir permisses de compartilhamento. Iremos aprender a acessar pastas compartilhadas atravs da rede. Depois vamos trabalhar um pouco com as permisses NTFS. Veremos como atribuir permisses NTFS e testar uma srie de situaes prticas. +riptogra4ia no Windows 2000 /er#er e o Agente de *ecupera%&o $ntrodu%&o, Neste tpico voc aprender sobre os princpios bsicos de criptgrafia em pastas e arquivos, em volumes formatados com NTFS. Dois so os pontos principais que voc estudar neste tpico: A criptografia somente est disponvel em volumes formatados com NTFS. Em volumes FAT ou FAT32 no est disponvel o recurso de criptografia. Entenda bem como a relao entre a criptografia, os certificados digitais e, principalmente, o conceito de Agente de recuperao. +riptogra4ia 0 de4ini%2es e conceitos O Windows 2000 Server fornece suporte a criptografia de pastas e arquivos atravs do EFS - Encripted File System (Sistema de arquivos com Criptografia). O suporte ao EFS foi introduzido no Windows 2000 Server e tambm est disponvel no Windows Server 2003 e Windows XP Professional. Com o uso de criptografia o usurio tem um nvel de segurana maior do que somente com o uso de permisses NTFS. Somente possvel criptografar arquivos e pastas em volumes formatados com o sistema de arquivos NTFS. Com a criptografia o Windows 2000 Server garante que somente o usurio que criptografou um determinado arquivo tenha acesso ao arquivo. Criptografia o processo de converter dados em um formato que no possa ser lido por um outro usurio, a no ser o usurio que criptografou o arquivo. Depois que um usurio criptografar um arquivo, esse arquivo permanecer automaticamente criptografado quando for armazenado em disco. Descriptografia o processo de converter dados do formato criptografado no seu formato original. Depois que um usurio descriptografar um arquivo, esse arquivo permanecer descriptografado quando for armazenado em disco. 6om as permiss=es NI1SE e'istem al.uns problemas quanto a se.urana dos dados: O Administrador da mquina pode usar o recurso de Take Ownership (tornar-se dono), tornando-se desta forma dono dos arquivos/pastas desejados, mesmo sem ter permisso de acesso a estes arquivos/pastas. Aps ter "dado um Take Ownership", o Administrador pode atribuir permisses de acesso para si mesmo e, com isso, acessar qualquer arquivo ou pasta. Um usurio pode utilizar um disquete de boot ou instalar um outro sistema operacional no computador e utilizar alguns programas comerciais existentes, para ter cesso a pastas e arquivos protegidas por permisses NTFS. A .rande questo a se.uinte: "Com o uso da criptografia, mesmo que o seu computador seja roubado ou que outro usurio tenha acesso ao computador, no ser possvel acessar os arquivos e pastas que voc criptografou. A nica maneira de ter acesso fazendo o logon com a sua conta e senha". Em resumo: Com a criptografia, os dados esto protegidos, mesmo que outras pessoas tenham acesso ao seu computador, a nica maneira de acessar os arquivos criptografados fazendo o logon com a conta do usurio que criptografou os arquivos ou com a conta configurada como Agente de Recuperao, conforme descreverei mais adiante. J com as permisses NTFS, conforme descrito anteriormente, este nvel de proteo no existe, no caso do computador ser roubado ou de um usurio mal intencionado ter acesso ao computador. Claro que existem situaes adversas que podem surgir com o uso da criptografia. Por exemplo, vamos supor que um funcionrio criptografou arquivos importantes para a empresa. Neste meio tempo o funcionrio foi demitido. Como que a empresa poder ter acesso aos arquivos criptografados se o funcionrio demitido se negar a fazer o logon com a sua conta e descriptografar os arquivos ou se a sua conta tiver sido excluda?? Por isso que o EFS permite que uma conta seja configurada como Agente de Recuperao, a qual pode ser utilizada em situaes como a descrita neste pargrafo. Mais adiante tratarei, em detalhes, sobre o agente de recuperao. No esquea: Existe uma conta configurada como Agente de recuperao. Esta conta pode fazer o logon e descriptografar pastas e arquivos criptografados por outros usurios. O agente de recuperao padro a conta Administrador. O uso de criptografia especialmente recomendado para usurios de notebooks e outros dispositivos semelhantes. No raro a ocorrncia de roubos de notebooks, sendo que estes podem conter dados importantes da empresa, tais como planos estratgicos e relatrios de pesquisa e desenvolvimento de novos produtos. O uso da criptografia a forma mais indicada para proteger estes dados, mesmo em situaes de roubo de um notebook. A criptografia transparente para o usurio que criptografou o arquivo. Isso significa que o usurio no precisa descriptografar manualmente o arquivo criptografado para poder us-lo. Ele pode abrir e alterar o arquivo da maneira habitual. Por exemplo, vamos supor que voc criptografou um documento do Word. Ao dar um clique duplo no documento, o Windows 2000 Server descriptografa, automaticamente, o arquivo, abre o Word e carrega o arquivo para voc. Observe que para o usurio toda a operao transparente, ou seja, como se o arquivo no estivesse criptografado. Se outro usurio, que no o que criptografou o arquivo, tentar utiliz-lo, receber uma mensagem de acesso negado. O uso do EFS semelhante ao uso de permisses para arquivos e pastas. Ambos os mtodos podem ser usados para restringir o acesso aos dados. No entanto, um intruso que obtenha acesso fsico no-autorizado aos seus arquivos ou pastas criptografados no conseguir acess-los. Se o intruso tentar abrir ou copiar sua pasta ou arquivo criptografado, ver uma mensagem de acesso negado. As permisses definidas para arquivos e pastas no os protege contra ataques fsicos no-autorizados, conforme j descrito anteriormente. Voc criptografa ou descriptografa uma pasta ou arquivo definindo a propriedade de criptografia para pastas e arquivos da mesma forma como define qualquer outro atributo, como somente leitura, compactado ou oculto. Se voc criptografar uma pasta, todos os arquivos e subpastas criados na pasta criptografada sero automaticamente criptografados. recomendvel que voc use a criptografia para pastas e no para arquivos individualmente, pois isso facilita a administrao dos arquivos criptografados. Nota: Voc tambm pode criptografar ou descriptografar um arquivo ou pasta usando o comando cipher. Tratarei deste comando mais adiante. Antes de aprender a criptografar arquivos e pastas, vou apresentar algumas observaes importantes sobre a criptografia no Windows 2000 Server: Somente arquivos e pastas em volumes NTFS podem ser criptografados. As pastas e os arquivos compactados no podem ser cripto.ra5ados% Se o usurio marcar um arquivo ou pasta para criptografia, ele ser descompactad o Se voc mover arquivos descriptografados para uma pasta criptografada, esses arquivos sero automaticamente criptografados na nova pasta. No entanto, a operao inversa no descriptografa automaticamente os arquivos. Nesse caso, necessrio descriptografar manualmente os arquivos. Os arquivos marcados com o atributo Sistema no podem ser criptografados, bem como os arquivos da pasta raiz do sistema, isto C:\ ou D:\ e assim por diante. Criptografar um arquivo ou uma pasta no protege contra excluso ou listagem de arquivos ou pastas. Qualquer pessoa com permisses NTFS adequadas pode excluir ou listar pastas ou arquivos criptografados. A proteo da criptografia contra o acesso aos arquivos, ou seja, somente o usurio que criptografou o arquivo ter acesso. Para proteo contra listagem e excluso recomenda-se o uso do EFS em combinao com permisses NTFS, utilizando as permisses NTFS para impedir que outros usurios possam excluir e at mesmo listar os arquivos que esto em um pasta criptografada. Voc pode criptografar ou descriptografar pastas e arquivos localizados em um computador remoto ativado para criptografia remota. No entanto, se voc abrir o arquivo criptografado na rede, os dados transmitidos na rede atravs desse processo no sero criptografados. Outros protocolos, como a camada de soquetes de segurana/segurana da camada de transporte (SSL/TLS) ou IP Seguro (IPSec), devem ser usados para criptografar dados durante a transmisso. Agora que j temos um bom entendimento sobre os aspectos tericos relacionados com o EFS, hora de aprender sobre as tarefas prticas, relacionadas com a criptografia de arquivos e pastas no Windows 2000 Server. Em primeiro lugar vou falar sobre algumas medidas preventivas que devem ser tomadas, para garantir que voc sempre possa ter acesso aos arquivos e pastas criptografados. Garantindo a recupera%&o dos dados. A criptografia utilizada pelo Windows 2000 Server baseada na utilizao de um par de chaves de criptografia. Uma chave utilizada para criptografar os dados e a outra chave do par utilizada para descriptografar os dados. A nica maneira de descriptografar os dados e ter acesso s informaes tendo acesso as chaves de criptografia. Estas chaves so armazenadas em um Certificado digital, certificado este que gerado, automaticamente, pelo Windows 2000 Server, a primeira vez que o usurio criptografa um arquivo ou pasta. Neste Certificado digital esto todas as informaes necessrias para criptografar e descriptografar arquivos. Cada usurio que criptografa/descriptografa arquivos, possui o seu prprio Certificado digital, gerado automaticamente pelo Windows 2000 Server. Um certificado adicional tambm gerado para a conta configurada como Agente de recuperao. Desta maneira se o usurio que criptografou arquivos ou pastas deixar a empresa, ser possvel descriptografar os seus dados, utilizando a conta configurada como Agente de recuperao, uma vez que esta conta possui cpia do Certificado digital necessrio a tal operao. O Certificado digital nada mais do que um arquivo que contm as informaes necessrias para trabalhar com criptografia no Windows 2000 Server. Como todo arquivo, fica gravado no disco rgido do computador. Acontece que se houver um problema com o disco rgido, a cpia do certificado do usurio e do certificado do agente de recuperao sero perdidas (caso no haja uma cpia de segurana) e, sem um destes certificados, ficar impossvel descriptografar os arquivos/pastas criptografados pelo usurio. Na prtica, significa que o acesso aos dados criptografados ser perdido. Para evitar que isto acontea, deve ser feita uma cpia de segurana, preferencialmente em disquete ou em um drive de rede, do Certificado digital gerado para o usurio. importante lembrar que este certificado, somente ser gerado na primeira vez que o usurio criptografar alguma pasta ou arquivo. A seguir mostrarei como fazer o backup do certificado digital do usurio, do certificado do agente de recuperao e como restaurar o certificado digital do usurio. Por padro, a conta Administrator (Administrador) configurada como agente de recuperao. Para um Member Server, o agente de recuperao padro a conta Administrator (Administrador) local. Para um domnio baseado no Active Directory, a conta configurada com agente de recuperao a conta Administrator (Administrador) do domnio. No exemplo a seguir mostrarei como fazer uma cpia de segurana, em disquete, do certificado digital da conta Administrator de um domnio. -'emplo $: Para fazer o backup do certificado do Agente de recuperao para o domnio, siga os seguintes passos: 1. Faa o logon com uma conta com permisses de Administrador. 2. Abra o console Diretiva de segurana de domnio: Iniciar -> Programas -> Ferramentas Administrativas -> Diretiva de segurana de domnio. 3. D um clique no sinal de + ao lado da opo Configuraes de segurana. Nas opes que so exibidas, d um clique no sinal de + ao lado da opo Diretivas de chave pblica. 4. Nas opes que so exibidas d um clique na opo Agentes de recuperao de dados criptografados. No painel da direita ser exibido o Certificado do Agente de recuperao, que por padro a conta Administrador, conforme indicado na Figura 1: Figura 1 ! )onta "dministrator 1 por padrAo > o agente de recuperaAo. 5. No painel da direita, clique com o boto direito do mouse na conta Administrador. No menu que exibido selecione o comando Todas as tarefas -> Exportar... Ser aberto o Assistente para exportao de certificados. 6. A primeira tela apenas informativa. D um clique no boto Avanar, para ir para a prxima etapa do assistente. 7. Nesta etapa voc deve optar por exportar ou no a Chave particular do certificado. A Chave particular um meio de proteger o acesso ao Certificado digital, atravs de uma senha. Se voc no tiver uma senha definida, apenas estar habilitada a opo No, no exportar a chave particular,. Marque a opo No, no exportar a chave particular e d um clique no boto Avanar, para ir para a prxima etapa do assistente. 8. Surge uma tela perguntando o formato para exportao do certificado. Certifique-se de que a opo X.509 binrio codificado por DER (*.cer) esteja selecionada e d um clique no boto Avanar, para ir para a prxima etapa do assistente. 9. Surge uma tela solicitando o nome do arquivo para o qual ser exportado o certificado. recomendado que voc exporte para um disquete ou para um drive de rede. Certifique-se de que voc colocou um disquete no drive e, no campo Nome do arquivo, digite: A:\cert_ag_recup. 10. D um clique no boto Avanar, para ir para a prxima etapa do assistente. O Windows 2000 Server exporta o certificado, para o arquivo especificado no drive de disquete. 11. Ser exibida a tela final do assistente, com um resumo das opes selecionadas. Se voc quiser fazer alguma alterao, pode utilizar o boto Voltar. D um clique no boto Concluir, para fechar o Assistente para exportao de certificados. 12. Surge uma mensagem informando que a exportao foi concluda com xito. D um clique no boto OK para fechar esta mensagem. 13. Voc estar de volta ao console Diretiva de segurana de domnio e uma cpia do Certificado digital do Agente de recuperao, foi gravada no disquete. No evento de uma falha do disco rgido, esta cpia pode ser utilizada para descriptografar os arquivos e pastas criptografados. Feche o console Diretiva de segurana de domnio. Muito bem, o backup do certificado do agente de recuperao foi efetuado. Em caso de falha no HD voc pode importar este certificado para descriptografar arquivos que tenham sido criptografados anteriormente a falha. Claro que deve existir backup destes arquivos, caso contrrio com a falha no HD voc perder os arquivos e a no haver utilizao para a cpia do certificado do agente de recuperao que voc fez no Exemplo 1. -'emplo :: Para fazer o backup do Certificado digital do usurio, gerado automaticamente pelo Windows 2000 Server, quando o usurio criptografa um arquivo ou pasta pela primeira vez, faa o seguinte: 1. Faa o logon com um a conta do usurio, para o qual voc deseja fazer uma cpia de segurana do Certificado digital. 2. Abra o Internet Explorer. 3. Selecione o comando Ferramentas -> Opes da Internet... 4. Na janela Opes da Internet que aberta d um clique na guia Contedo. 5. Na guia Contedo d um clique no boto Certificados... Ser aberta a janela Certificados. 6. Na guia Pessoal, da janela de Certificados, d um clique no certificado que corresponde ao nome do usurio logado, conforme exemplo da Figura 2, onde foi marcado o certificado para o usurio user01. Figura 2 " guia 0essoal da $anela )erti4icados. 7. Clique no boto Exportar..., ser aberto o Assistente para exportao de certificados, com o qual voc j trabalhou no Exemplo 1. 8. A primeira tela do assistente apenas informativa, d um clique no boto Avanar, para ir para a prxima etapa do assistente. 9. Nesta etapa voc deve optar por exportar ou no a Chave particular do certificado. 10. Certifique-se de que a opo Sim, exportar a chave particular esteja marcada e d um clique no boto Avanar, para ir para a prxima etapa do assistente. 11. Surge uma tela perguntando o formato para exportao do certificado. Aceite as configuraes sugeridas pelo assistente e d um clique no boto Avanar, para ir para a prxima etapa do assistente. 12. Nesta etapa solicitada uma senha de proteo para abertura do arquivo no qual ser gravado o certificado. Digite a senha duas vezes para confirmao e d um clique no boto Avanar, para ir para a prxima etapa do assistente. Esta senha no precisa ser igual a senha de logon da conta do usurio. 13. Surge uma tela solicitando o nome do arquivo para o qual ser exportado o certificado. recomendado que voc exporte para um disquete ou para um drive de rede. Certifique-se de que voc colocou um disquete no drive e, no campo Nome do arquivo, digite: A:\cert_user01. 14. D um clique no boto Avanar, para ir para a prxima etapa do assistente. O Windows 2000 Server exporta o certificado, para o arquivo especificado no drive de disquete. 15. Ser exibida a tela final do assistente, com um resumo das opes selecionadas. Se voc quiser fazer alguma alterao, pode utilizar o boto Voltar. D um clique no boto Concluir, para fechar o Assistente para exportao de certificados. 16. Surge uma mensagem informando que a exportao foi concluda com xito. D um clique no boto OK para fechar esta mensagem. 17. Voc estar de volta a guia Pessoal da janela Certificados e uma cpia do Certificado digital do usurio logado, foi gravada no disquete. No evento de uma falha do disco rgido, esta cpia pode ser utilizada para descriptografar os arquivos e pastas criptografados pelo usurio. 18. Clique no boto Fechar para fechar a janela Certificados. 19. Voc estar de volta janela Opes da Internet. D um clique no boto OK para fech- la. 20. Voc estar de volta ao Internet Explorer. Feche-o.] Com estes dois exemplos, voc aprendeu a exportar o certificado do agente de recuperao e tambm o certificado de um usurio. Estes certificados podem ser importados a partir do disquete, no evento de falha do respectivo certificado original. sempre recomendado que voc proteja os certificados com a definio de uma senha e mantenha o disquete em local seguro, pois caso contrrio qualquer usurio que tiver acesso ao disquete poder importar o certificado (conforme mostrarei logo a seguir) e utiliz-lo para ter acesso aos seus arquivos e pastas criptografados. Claro que o usurio teria que saber a senha que voc definiu ao exportar o certificado pessoal. Por isso a importncia da definio de uma senha para exportao do certificado, pois esta senha ser solicitada quando da importao do certificado. O certificado somente ser importado com sucesso, se a senha correta for informada. Na Figura 3 mostro os dois arquivos, com os certificados que foram exportados nos exemplos 1. e 2. Observe que o Windows 2000 Server usa cones diferentes para o certificado do Agente de recuperao e para o certificado de usurio. Figura 3 ! )Epia de segurana dos certi4icados. Agora vou mostrar como importar um certificado a partir de um arquivo. -'emplo <: Para importar um certificado siga os passos indicados a seguir: 1. Abra a pasta onde est o certificado. No nosso exemplo, use o Meu computador ou o Windows Explorer para acessar o disquete (A:\), onde est o arquivo com o certificado a ser importado. 2. Clique com o boto direito do mouse no arquivo com o certificado a ser importado. Se voc estiver importando o certificado do agente de recuperao, no menu que surge, d um clique na opo Instalar Certificado. Se voc estiver importando o certificado de um usurio, no menu de opes que exibido, d um clique na opo Instalar PFX. 3. No nosso exemplo voc ir importar o certificado de usurio, exportado no Exemplo 2. Clique com o boto direito do mouse no arquivo correspondente ao certificado a ser importado (cert_user01.pfx) e no menu de opes que surge, d um clique na opo Instalar PFX. 4. Ser aberto o Assistente para importao de certificados. 5. A primeira tela apenas informativa. D um clique no boto Avanar, para seguir para a prxima etapa do assistente. 6. O campo Nome do arquivo j vem preenchido com o caminho e o nome do arquivo no qual clicamos com o boto direito do mouse. D um clique no boto Avanar, para seguir para a prxima etapa do assistente. 7. Se houver uma senha definida para o certificado, surgir uma tela solicitando que seja digitada a senha. Digite a senha e d um clique no boto Avanar, para seguir para a prxima etapa do assistente. 8. Nesta etapa voc deve indicar o local para onde ser importado o certificado. Aceita a opo sugerida pelo assistente, que por padro : Selecionar automaticamente o armazenamento de certificados conforme o tipo de certificado) 9. D um clique no boto Avanar, para ir para a prxima etapa do assistente. 10. Ser exibida a tela final do assistente, com um resumo das opes selecionadas. Se voc quiser fazer alguma alterao, pode utilizar o boto Voltar. D um clique no boto Concluir, para fechar o Assistente para importao de certificados. 11. Surge uma mensagem informando que a importao foi concluda com xito. D um clique no boto OK para fechar esta mensagem. Agora sim, voc j sabe exportar e importar certificados, para garantir o acesso aos dados criptografados. Agora hora de comear a trabalhar com a criptografia no Windows 2000 Server. +riptogra4ando ar"ui#os e pastas possvel criptografar arquivos individualmente, porm recomendado que voc utilize a criptografia sempre em pastas. Ao criptografar uma pasta, todos os novos arquivos que forem criados dentro da pasta j sero automaticamente criptografados. Com isso voc garante que todo o contedo da pasta esteja protegido. Ao criptografar uma pasta e o seu contedo, somente o usurio que criptografou a pasta, ter acesso aos seus arquivos. Outros usurios podero entrar na pasta e at mesmo vero uma listagem dos arquivos, porm ao tentar abrir um arquivo, recebero a mensagem indicada na Figura 4. Figura # ! ?ensagem de acesso negado. Nota: Para impedir que outros usurios possam entrar em uma pasta que voc criptografou e visualizar a listagem de arquivos, configure as permisses NTFS de tal maneira que somente voc possa listar os arquivos desta pasta. -'emplo <: Para criptografar uma pasta e todo o seu contedo, siga os passos indicados a seguir: 1. Faa o logon com a sua conta de usurio. Somente o usurio logado ter acesso aos arquivos da pasta que forem criptografados enquanto voc estava logado com a sua conta de usurio. 2. Usando o Meu computador ou o Windows Explorer, localize a pasta a ser criptografada. 3. Clique com o boto direito do mouse na pasta a ser criptografada e, no menu de opes que exibido, d um clique na opo Propriedades. Ser aberta a janela de propriedades da pasta, com a guia Geral selecionada. 4. D um clique no boto Avanados... Ser aberta a janela Atributos avanados. 5. Para criptografar a pasta marque a opo Criptografar o contedo para proteger os dados, conforme indicado no exemplo da Figura 5. Figura & ! " opAo )riptogra4ar o conte3do para proteger os dados. 6. D um clique no boto OK. Voc estar de volta janela de propriedades da pasta. 7. D um clique no boto OK. Surge uma janela perguntando se voc deseja criptografar somente a pasta em questo ou todas as suas subpastas e arquivos. Aplicar as alteraes a esta pasta, subpastas e arquivos e d um clique no boto OK. 8. O Windows 2000 Server inicia o processo de criptografia da pasta e de todo o seu contedo. Dependendo da quantidade de arquivos e subpastas, o processo de criptografia pode demorar alguns minutos. Durante este processo exibida uma janela com o progresso da criptografia. Pronto. A pasta est criptografada e somente o usurio que a criptografou ter acesso a pasta. Al.umas observa=es: As pastas e os arquivos compactados no podem ser, ao mesmo tempo, criptografados. Se voc criptografar uma pasta ou um arquivo compactado, essa pasta ou esse arquivo ser descompactado. Os arquivos marcados com o atributo Sistema no podem ser criptografados, bem como os arquivos que se encontram na estrutura de diretrios raiz dos volumes (C:\, D:\ e assim por diante). Ao criptografar um nico arquivo, voc poder optar se deseja criptografar a pasta que contm o arquivo. Se voc escolher essa opo, todos os arquivos e subpastas que forem adicionados posteriormente pasta sero criptografados quando forem adicionados. Ao criptografar uma pasta, voc poder optar se deseja que todos os arquivos e subpastas dentro da pasta tambm sejam criptografados. Se voc escolher essa opo, todos os arquivos e subpastas atualmente na pasta sero criptografados, bem como quaisquer arquivos e subpastas que forem adicionados pasta mais tarde. Se voc optar por criptografar somente a pasta, todos os arquivos e subpastas que se encontram atualmente na pasta no sero criptografados. No entanto, quaisquer arquivos e subpastas que forem adicionados pasta mais tarde sero criptografados quando forem adicionados. aconselhvel que voc sempre opte por criptografar todo o contedo da pasta, conforme descrito no passo 7 do Exemplo anterior. Com isso voc no ter que manter um controle sobre quais pastas e/ou arquivos esto criptografados e quais no esto. Para criptografar um nico arquivo, o processo semelhante a criptografar uma pasta, conforme descrito nos passos a seguir: 1. Utilizando o Windows Explorer ou o Meu computador, localize o arquivo a ser criptografado. 2. Clique com o boto direito do mouse no arquivo a ser criptografado. No menu de opes que surge, d um clique na opo Propriedades. Ser aberta a janela de propriedades do arquivo, com a guia Geral selecionada por padro. 3. D um clique no boto Avanados.... Ser exibida a janela Atributos avanados. 4. Marque a opo Criptografar o contedo para proteger os dados e d um clique no boto OK. 5. Ser aberta a janela Aviso de criptografia, perguntando se voc deseja criptografar o arquivo e a pasta pai (pasta onde est o arquivo) ou somente o arquivo, conforme indicado na Figura 6. Figura ( ! " $anela ",iso de criptogra4ia. Nota: Se voc no quiser mais receber este aviso e fazer com que o Windows 2000 Server faa sempre a criptografia somente do arquivo, marque a opo Sempre criptografar somente o arquivo. 6. Na janela Aviso de criptografia selecione a opo desejada e d um clique no boto OK. 7. Voc estar de volta janela de propriedades do arquivo. 8. D um clique no boto OK. O Windows criptografa o arquivo e, dependendo das opes que voc selecionou, tambm a pasta onde est o arquivo. Nota: Voc tambm pode criptografar arquivos e pastas que esto em pastas compartilhadas, em outros computadores da rede. Basta mapear uma unidade para a pasta compartilhada, onde esto os arquivos e pastas a ser criptografados e utilizar os procedimentos descritos neste tpico, para criptograf-los. (pera%2es com ar"ui#os criptogra4ados. Ao copiar ou mover arquivos criptografados, diferentes situaes podem ocorrer dependendo de a pasta de destino ser ou no criptografada e de estar ou no em um volume formatado com NTFS. A seguir descrevo algumas situaes envolvendo aes de copiar e mover com arquivos criptografados. Ao copiar um arquivo no criptografado, para uma pasta criptografada, a cpia do arquivo ser criptografada na pasta de destino. Por exemplo, voc copia o arquivo no criptografado memo.doc, da pasta Meus documentos para a pasta Documentos pessoais, a qual est criptografada. O arquivo memo.doc copiado para a pasta Documentos pessoais ser criptografado. Ao copiar um arquivo criptografado, para um volume NTFS em outro computador com o Windows 2000, Windows XP Professional ou Windows Server 2003, o arquivo manter a criptografia. Se o computador de destino estiver rodando o Windows NT ou o volume for formatado com FAT, a cpia do arquivo no ser criptografada. Se voc mover um arquivo criptografado para outra pasta, no mesmo volume, o arquivo mantm a criptografia. Se voc mover um arquivo criptografado para outro volume, o Windows 2000 Server considerar esta operao como sendo uma cpia, onde o arquivo excludo na pasta de origem e copiado para a pasta de destino. Neste caso, o arquivo segue as regras explicadas no primeiro item. No esquea: Se voc tentar mover um arquivo criptografado por outro usurio, para um volume formatado com FAT, na tentativa de obter uma cpia no criptografada do arquivo, voc receber uma mensagem de Acesso negado, pois para descriptografar o arquivo (o que necessrio para mov-lo para um volume FAT), voc teria que ter acesso ao Certificado digital do usurio que criptografou o arquivo, conforme descrito anteriormente. Se voc renomear um arquivo criptografado, o arquivo continuar criptografado. Ao excluir um arquivo, a cpia do arquivo que fica na Lixeira, continuar criptografada. Se voc fizer uma cpia de segurana de arquivos criptografados para uma fita de Backup ou para um outro volume NTFS, a cpia de segurana permanecer criptografada. Se voc quiser utilizar arquivos criptografados em outro computador, ter que importar o seu Certificado digital no computador de destino, conforme descrito anteriormente. -escriptogra4ando ar"ui#os e pastas. Enquanto um determinado arquivo estiver criptografado, o uso deste arquivo no muda para o usurio, ou seja, quando o usurio abre um arquivo criptografado, o Windows 2000 Server utiliza as informaes do Certificado digital do usurio para descriptografar o arquivo e fornecer os dados para o usurio. Este processo completamente transparente para o usurio, conforme j descrito anteriormente. O usurio pode descriptografar um arquivo e/ou pasta a qualquer momento que desejar. O usurio pode utilizar este mecanismo em diversas situaes, como por exemplo, para fornecer acesso ao arquivo para outros usurios. Para descriptografar um arquivo ou pasta extremamente simples, basta seguir os seguintes passos: 1. Localize o arquivo ou pasta a ser descriptografado e d um clique com o boto direito do mouse nele. 2. No menu de opes que surge d um clique em Propriedades. Ser exibida a janela de propriedades do arquivo/pasta. 3. Na guia General, da janela de Propriedades, d um clique no boto Avanados... 4. Na janela Atributos avanados, desmarque a opo Criptografar o contedo para proteger os dados. 5. D um clique no boto OK. 6. Voc estar de volta janela Propriedades. D um clique no boto OK. 7. Se voc estiver descriptografando uma pasta, surge a mensagem indicada perguntando se voc deseja descriptografar apenas a pasta ou todo o seu contedo. Selecione a opo desejada e d um clique no boto OK. 8. A pasta ser descriptografada e tambm o seu contedo, dependendo das opes selecionadas. Se voc optar por descriptografar somente a pasta, novos arquivos criados na pasta no sero criptografados, porm os arquivos j existentes, mantero a criptografia. Alterando a direti#a de recupera%&o do +omputador local possvel alterar as configuraes do Agente de recuperao do seu computador ou no caso de trabalhar em um domnio, do domnio como um todo. Voc pode adicionar novas contas, alm da conta padro Administrador, pode inclusive excluir todos os usurios da lista de Agentes de recuperao, o que implicar na desabilitao do sistema de criptografia, conforme ser detalhado mais adiante. -'emplo Q: Para alterar a diretiva de recuperao do domnio, faa o seguinte: 1. Faa o logon com uma conta com permisses de Administrador. 2. Abra o console Diretiva de segurana de domnio: Iniciar -> Programas -> Ferramentas Administrativas -> Diretiva de segurana de domnio. 3. D um clique no sinal de + ao lado da opo Configuraes de segurana. Nas opes que so exibidas, d um clique no sinal de + ao lado da opo Diretivas de chave pblica. 4. Nas opes que so exibidas d um clique na opo Agentes de recuperao de dados criptografados. No painel da direita ser exibido o Certificado do Agente de recuperao, que por padro a conta Administrador. 5. Clique com o boto direito do mouse na opo Agentes de recuperao de dados criptografados e siga uma dos seguintes caminhos: 5.1. Para designar um usurio como agente de recuperao adicional atravs do Assistente para adicionar agente de recuperao, clique na opo Adicionar...) e siga os passos do assistente. 5.2. Para solicitar um novo certificado de recuperao de arquivo atravs do Assistente para solicitao de certificados, clique em Novo -> Agente de recuperao criptografado.... Ser aberto o Assistente para adicionar agente de recuperao. Siga os passos do assistente. 5.3. Para excluir essa diretiva de EFS e todos os agentes de recuperao, clique em Todas as Tarefas -> Excluir diretiva. Se voc selecionar essa opo, os usurios no podero mais usar criptografia nos computadores do domnio. O Windows 2000 Server no permite que voc faa a criptografia de arquivos se no houver um Agente de recuperao configurado. Para voltar a habilitar a criptografia de arquivos, voc deve seguir os passos descritos neste exemplo e adicionar um Agente de recuperao. 6. Aps ter configurado as opes desejadas, feche o MMC. Surge uma janela perguntando se voc deseja salvar o console. Clique em No. Al.umas observa=es importantes: Antes de qualquer alterao na diretiva de recuperao, voc deve fazer um backup das chaves de recuperao em um disquete, conforme descrito nos exemplos anteriores. Este procedimento garante que os arquivos podero ser descriptografados caso haja algum problema com as configuraes do Agente de recuperao. necessrio fazer logon como administrador ou com uma conta com permisses de administrador para executar estas aes. Se a sua conta for configurado como Agente de recuperao, voc poder descriptografar arquivos criptografados por outros usurios, simplesmente acessando as propriedades do arquivo, clicando no boto Avanado...s e desmarcando a opo Criptografar o contedo para proteger os dados. Para realizar tal operao, o Certificado digital correspondente a conta do Agente de recuperao deve estar instalado no computador onde a operao ser realizada. Para maiores detalhes sobre a Importao e Exportao de certificados, consulte a parte inicial deste tpico. *ecomenda%2es sobre a criptogra4ia de pastas e ar"ui#os Neste item coloco algumas recomendaes sobre a criptografia de pastas e arquivos. Estas recomendaes so baseadas na documentao oficial da Microsoft: Para obter o mximo de segurana, criptografe as pastas antes de criar arquivos importantes nelas. Isso faz com que os arquivos criados sejam automaticamente criptografados e seus dados nunca sejam gravados em disco como texto sem formatao. Se voc salvar a maior parte dos seus documentos na pasta Meus documentos, criptografe-a. Isso assegura que seus documentos pessoais sejam criptografados por padro. No caso de perfis de usurios mveis, deve-se fazer isso apenas se a pasta Meus documentos for redirecionada para um local de rede. Criptografe pastas em vez de arquivos individuais para que, caso um programa crie arquivos temporrios durante a edio, eles tambm sejam criptografados. O agente de recuperao designado dever exportar o certificado de recuperao de dados e a chave particular para um disco, guard-los em um local seguro e excluir do sistema a chave particular de recuperao de dados. Dessa forma, a nica pessoa que poder recuperar dados do sistema ser aquela que possui acesso fsico chave particular de recuperao de dados. Estes procedimentos foram descritos no incio deste tpico. Deve-se manter o menor nmero possvel de agentes de recuperao designados. Desse modo, menos chaves ficaro expostas ao ataque criptogrfico e haver mais garantias de que os dados criptografados no sejam descriptografados inadequadamente. ( comando cip)er O comando cipher utilizado para exibir ou altera a criptografia de pastas e arquivos em volumes formatados com NTFS. Quando utilizado sem parmetros, cipher exibe o estado de criptografia da pasta atual e de quaisquer arquivos que ela contenha. Sinta'e para o comando cip(erE con5orme documentao o5icial da !icroso5t: cipher [{/e|/d}] [/s:dir] [/a] [/i] [/f] [/q] [/h] [/k] [/u[/n]] [nome_de_caminho [...]] | [/r:nome_de_caminho_sem_extenso] | [/w:nome_de_caminho] Na tabela 1, apresento a descrio dos parmetros do comando cipher. *a+ela .1 0armetros do comando cip%er ParFmetro +escrio /e Criptografa as pastas especificadas. As pastas sero marcadas para que os arquivos adicionados a elas posteriormente tambm sejam criptografados. /d Descriptografa as pastas especificadas. /s:dir Efetua a operao selecionada na pasta especificada e em todas as subpastas. /a Efetua a operao nos arquivos e pastas. /i Continua a efetuar a operao especificada mesmo aps a ocorrncia de erros. Por padro, cipher interrompido quando um erro encontrado. /f Fora a criptografia ou descriptografia de todos os objetos especificados. Por padro, os arquivos que j tenham sido criptografados ou descriptografados sero ignorados por cipher. /q Reporta somente as informaes mais essenciais. /h Exibe arquivos com atributos de sistema ou ocultos. Por padro, esses arquivos no so criptografados ou descriptografados. /k Cria uma nova chave de criptografia de arquivo para o usurio que estiver executando o comando cipher. Se voc usar esta opo, cipher ignorar todas as outras opes. /u Atualiza a chave de criptografia de arquivo do usurio ou a chave do agente de recuperao, utilizando as mais atuais em todos os arquivos criptografados nas unidades locais (isto , se as chaves tiverem sido alteradas). Esta opo s funciona com /n. /n Evita que as chaves sejam atualizadas. Use esta opo para localizar todos os arquivos criptografados nas unidades locais. Esta opo s funciona com /u. nomedecaminho Especifica um padro, arquivo ou pasta. /r :nome de caminho sem extenso Gera uma nova chave particular e um novo certificado de agente de recuperao e grava-os nos arquivos com o nome de arquivo especificado em nome_de_caminho_sem_extenso. Se voc usar esta opo, cipher ignorar todas as outras opes. /w:nome de caminho Remove os dados que se encontram em partes no utilizadas de um volume. nome_de_caminho pode indicar qualquer pasta no volume desejado. Se voc usar esta opo, cipher ignorar todas as outras opes. /? Exibe informaes de ajuda no prompt de comando. Nota: O comando cipher no criptografa arquivos que estejam marcados como somente leitura. -is al.uns e'emplos do comando cip(er: 1. Para usar o comando cipher para criptografar uma subpasta denominada Memorandos em uma pasta denominada Documentos, utilize o seguinte comando: cip(er Ge +ocumentos@!emorandos 2. Para criptografar a pasta Documentos, e todas as sua subpastas, digite o seguinte comando: cip(er Ge Gs:+ocumentos 3. Para criptografar apenas o arquivo finanas.xls na subpasta Planilhas, da pasta Documentos, utilize o seguinte comando: cip(er Ge Ga +ocumentos@Planil(as@5inanas%'ls 4. Para criptografar todos os arquivos .xls da subpasta Planilhas, da pasta Documentos, digite o seguinte comando: cip(er Ge Ga +ocumentos@Planil(as@R%'ls 5. Para determinar se a pasta Documentos est criptografada, utilize o seguinte comando: cip(er +ocumentos Para determinar os arquivos na pasta Documentos que esto criptografados, utilize o seguinte comando: cip(er +ocumentos@R +onclus&o Neste tutorial voc aprendeu sobre o recurso de criptografia de pastas e arquivos no Windows 2000 (Professional ou Server). Voc aprendeu sobre o uso de certificados e a sua relao com o recurso de criptografia. Falei sobre o conceito de Agente de Recuperao e sobre como fazer um backup do certificado da conta configurada como agente de recuperao. Tambm mostrei como executar as operaes prticas, relacionadas com criptografia, tais como criptografar e descriptografar arquivos e pastas.