Dicas de Win2000 Server

Gerenciando de Volumes no Windows 2000
Neste tutorial veremos os conceitos de armazenamento bsico e armazenamento dinmico,

bem como a diferena entre ambos. Depois aprenderemos as tarefas mais comuns no que
diz respeito a gerenciamento de discos, tais como adicionar um novo disco, criar parties ou
volumes e format-las para que estas possam ser utilizadas.
Armazenamento bsico x Armazenamento dinmico
Nota: Neste tutorial utilizarei a palavra disco como sendo sinnimo de um disco rgido. Ento
sempre que voc encontrar uma referncia a disco, entenda como sendo um disco rgido e
no um disquete ou outro tipo de mdia.
Antes que seja possvel utilizar um novo disco no Windows 2000 Server, temos que realizar
algumas operaes. Um dos aspectos que temos que definir o tipo de armazenamento que
iremos utilizar neste disco. No Windows 2000 Server podemos optar entre dois tipos de
armazenamento: Armazenamento bsico ou o Armazenamento dinmico. Abaixo temos
maiores detalhes sobre cada um dos tipos de armazenamento.
Armazenamento bsico
o tipo de armazenamento que vem sendo utilizado desde a poca do bom e velho (talvez
no to bom) MS-DOS. utilizado por sistemas como o Windows 95, Windows 98, Windows
NT Server 4.0 e Windows NT Workstation 4.0. o tipo de armazenamento padro no
Windows 2000 Server, isto , todos os novos discos so criados com Armazenamento bsico.
Caso seja necessrio o administrador pode transform-los para armazenamento dinmico
sem perda de dados. Um disco com armazenamento bsico chamado de "Disco bsico".
Importante: importante salientar que um disco somente pode ser configurado para um
tipo de armazenamento. No podemos, por exemplo, ter uma porcentagem do disco como
armazenamento bsico e o restante como armazenamento dinmico.
No armazenamento bsico, o disco dividido em parties. Uma partio uma parte do
disco que se comporta como se fosse uma unidade de armazenamento separada. Por
exemplo, em um disco de 4GB, posso criar duas parties de 2GB, que na prtica se
comportam como se fossem dois discos de 2GB independentes. Em um disco com
armazenamento bsico, nos podemos ter Parties primrias, parties estendidas e Drivers
lgicos. Vamos ver maiores detalhes sobre estes elementos, bem como exemplos de
utilizao de cada um deles.
Partio primria: O Windows 2000 Server pode utilizar uma partio primria, para
inicializar o computador, sendo que somente parties primrias podem ser marcadas como
ativas. Uma partio ativa onde o computador procura pelos arquivos de inicializao para
efetuar o processo de boot do Sistema Operacional. Um determinado disco somente pode
possuir uma partio marcada como ativa. Um disco bsico pode conter no mximo quatro
parties primrias. Considere o exemplo da Figura 1, onde um disco de 7 GB foi dividido em
quatro parties primrias. Trs de 2 GB e uma de 1GB. Observe que para cada partio
primria atribuda uma letra de unidade: C:, D: e assim por diante.
Figura 1 No mximo podemos ter quatro parties primrias em um disco
dinmico.
Partio estendida: Podemos ter uma nica partio estendida em um disco. Parties
estendidas so criadas a partir do espao livre em um determinado disco. Espao livre o
espao que no est sendo ocupado por nenhuma partio. Por isso aconselhvel, quando
da criao de uma partio estendida, que todo o espao livre seja ocupado. Nos dividimos a
partio estendida em segmentos, sendo que cada segmento representar um drive lgico.
Devemos atribuir uma letra para cada drive lgico e format-los com um sistema de arquivos
- FAT, FAT32, NTFS ou NTFS 5 (nova verso do NTFS disponvel no Windows 2000). Com o
uso de uma partio estendida e drivers lgicos, podemos superar o limite de quatro
unidades por disco, que imposto quando utilizamos apenas parties primrias. Considere
o exemplo da Figura 2, onde temos um disco com trs parties primrias (C:, D: e E:), e
um volume estendido, no qual foram criados dois drivers lgicos (F: e G:).
Figura 2 Utilizando parties estendidas.
Para o Windows 2000 Server existem duas parties que so muito importantes. A Partio
do Sistema - System Partition a partio ativa, a qual contm os arquivos necessrios para
o processo de boot do Windows 2000 Server. Normalmente a primeira partio ativa do
primeiro disco. A Partio de boot - Boot partition, uma partio primria, ou um drive
lgico onde os arquivos do Windows 2000 Server esto instalados, normalmente em uma
pasta chamada WINNT. Muitas vezes estes conceitos causam uma certa confuso, porque
podemos dizer que a "Partio do Sistema contm os arquivos de boot e a Partio de
boot contm os arquivos do Sistema Operacional". Normalmente a Partio do Sistema
e a Partio de boot, esto na mesma partio, tipicamente no drive C:
Dependendo da maneira com que as parties so criadas ou combinadas, podemos ter
diversos tipos de parties, conforme descrito a seguir:
Partio do Sistema: Contm os arquivos necessrios para o boot do Windows 2000
Server.
Partio de boot: Contm os arquivos do Windows 2000 Server, tipicamente em uma
pasta WINNT.
olume set: Combinamos o espao de duas ou mais parties, no mesmo disco ou em
discos diferentes, de tal forma que apaream para o Windows 2000 Server como uma nica
unidade. Por exemplo posso combinar uma partio de 1 GB com outra de 4 GB, para formar
uma unidade de 5 GB. Posso aumentar o tamanho de um Volume set (operao chamada de
estender o Volume set), porm no posso reduzir o tamanho sem que haja perdidos dados.
Posso usar at 32 parties para um Volume set.O Windows 2000 Server preenche todo o
espao da primeira partio, depois o da segunda e assim por diante. Se uma das parties
apresentar problemas, todo o Volume set ser perdido. Posso juntar parties de tamanhos
diferentes. Um Volume set no pode conter a Partio do sistema, nem a Partio de boot.
Stripe set: Combinamos espaos iguais de dois ou mais discos, no podemos utilizar
duas parties do mesmo disco. Posse utilizar at 32 parties. Os dados so gravados em
todas as parties de uma maneira uniforme, isto , o espao de cada partio vai sendo
preenchido a medida que os dados so gravados. No apresenta tolerncia a falhas, pois se
uma das parties apresentar problemas, todo o Stripe Set ser perdido. Uma das vantagens
do Stripe set que o desempenho melhora devido as gravaes simultneas em mais de um
disco. No pode conter a Partio do sistema, nem a Partio de boot.
!irror set " #aid $: Permite a duplicao da partio. Com isso a medida que os dados
vo sendo gravados, o Windows 2000 Server, automaticamente vai duplicando os dados na
partio espelhada. Pode conter a Partio do sistema e tambm a Partio de boot%
O maior inconveniente que existe um comprometimento de 50% do espao em disco. Por
exemplo, para fazer o espelhamento de uma partio de 2 GB, estaremos ocupando 4 GB em
disco. Apresenta tolerncia a falhas, pois se uma das parties espelhadas falhar, a outra
continua funcionando. Podemos substituir o disco defeituoso e restabelecer o espelhamento.
Stripe set com paridade " #aid &: Um Stripe set com paridade um Stripe set com
tolerncia a falhas. Junto com os dados, o Windows 2000 Server grava informaes de
paridade (obtidas a partir de clculos matemticos) nos vrios discos que formam o Stripe
set com paridade. Com isso, no evento de falha de um dos discos, toda a informao do
disco com problemas, pode ser reconstituda a partir das informaes de paridade dos outros
discos. O disco defeituoso pode ser substitudo e a informao nele contida pode ser recriada
a partir da informao de paridade nos demais discos do RAID-5. Para que possamos
construir um RAID-5, mnimo de trs discos necessrio. Porm se dois discos falharem, ao
mesmo tempo, no ser possvel recuperar a informao. Tambm existem implementaes
de RAID-5 em hardware, que so mais rpidas, porm mais caras.
Armazenamento dinmico
No armazenamento dinmico, o qual somente suportado pelo Windows 2000, criada uma
nica partio com todo o espao do disco. Um disco configurado com armazenamento
dinmico chamado de "Disco dinmico". Um disco dinmico pode ser dividido em volumes.
Um volume pode conter uma ou mais partes de um ou mais discos. Tambm possvel
transformar um disco bsico em um disco dinmico. Podemos ter diferentes tipos de
volumes. O tipo de volume a ser utilizado, determinado por fatores tais como espao
disponvel, performance e tolerncia a falhas. A tolerncia a falhas, diz respeito a
possibilidade do Windows 2000 Server manter as informaes, mesmo no evento de
comprometimento de um disco ou volume. Temos os seguintes tipos de volumes:
olume simples: formado por espao de um nico disco e alm disso no fornece
nenhum mecanismo de tolerncia a falhas, isto , se houver algum problema com o disco
onde est o volume, toda a informao ser perdida.
olume e'pandido: Pode incluir espao de at 32 discos. O Windows 2000 Server
comea a preencher o espao do primeiro disco, aps este estar esgotado, passa para o
espao disponvel no segundo disco e assim por diante. No fornece nenhum mecanismo de
tolerncia a falhas. Se um dos discos que formam o volume apresentar problemas, todo o
volume estar comprometido. Tambm no oferece melhoria no desempenho, uma vez que
a informao somente gravada ou lida em um disco ao mesmo tempo.
olume espel(ado )!irrored volume*: formado por duas cpias idnticas do
mesmo volume, sendo que as cpias so mantidas em discos separados. Volumes
espelhados oferecem proteo contra falha, uma vez que se um dos discos falhar, a
informao do outro disco pode ser utilizada. O espelhamento pode ser desfeito, o disco
defeituoso substitudo, e o espelhamento pode ser refeito. O nico inconveniente que
devido a duplicidade das informaes, o espao de armazenamento necessrio exatamente
o dobro.
Striped olume: Podem ser combinadas reas de espao livre de at 32 discos. No
apresenta nenhum mecanismo de tolerncia a falhas, pois se um dos discos do Striped
Volume falhar, toda a informao estar comprometida. Uma das vantagens que o
desempenho melhora, uma vez que as informaes so gravadas nos diversos discos ao
mesmo tempo.
olume do tipo #AI+,&: Um volume do tipo RAID-5 um Striped volume, porm com
tolerncia a falhas. Junto com os dados, o Windows 2000 Server grava informaes de
paridade (obtidas a partir de clculos matemticos) nos vrios discos que formam o RAID-5.
Com isso, no evento de falha de um dos discos, toda a informao do disco com problemas,
pode ser reconstituda a partir das informaes de paridade dos outros discos. O disco
defeituoso pode ser substitudo e a informao nele contida pode ser recriada a partir da
informao de paridade nos demais discos do RAID-5. Para que possamos construir um
RAID-5, um mnimo de trs discos necessrio. Porm se dois discos falharem ao mesmo
tempo, no ser possvel recuperar a informao.
Nota: Dispositivos de armazenamento removveis, com um Zip drive, somente suportam
armazenamento bsico e somente podem ter parties primrias. Alm disso uma partio
primria deste tipo de dispositivo, no pode ser marcada como ativa, para que possamos dar
o boot a partir desta partio.
-'istem mais al.uns detal(es importantes que devem ser con(ecidos:
OBS. : muito importante lembrarmos, que o armazenamento dinmico somente
suportado pelo Windows 2000 (Professional e Server e tambm pelo Windows XP), sendo
que discos dinmicos no sero reconhecidos por outros sistemas operacionais como o
Windows NT Server 4.0, Windows 95, Windows 98 e Windows NT Workstation 4.0.
IMPORTANTE = Para acompanhar os exemplos deste tutorial, voc deve dispor de um disco o
qual possa ser formatado, criadas parties, etc. Cabe lembrar que todas as informaes do
disco sero perdidas. Por isso no utilize um disco que contm informaes importantes e
que no possam ser apagadas.
Conhecendo estes aspectos bsicos sobre o armazenamento de informaes do Windows
2000 Server, podemos ir para as demais lies deste tutorial, onde aprenderemos a realizar
as tarefas de gerenciamento de discos, utilizando o Snap-in especialmente projetado para
esse fim.
Acessando o console para gerenciamento de discos e criando um
console personalizado.
Nesta lio aprenderemos a acessar o console padro para gerenciamento de discos, o qual
acessado atravs do menu Ferramentas administrativas do console Gerenciamento do
computador. Observe que no existe mais uma ferramenta chamada Disk administrator,
como existia no Windows NT Server 4.0. Por isso que aprenderemos a criar um console
personalizado, onde ser adicionado somente o Snap-in para Gerenciamento de discos.
A criao de um console personalizado, possibilita que a administrao de um servidor seja,
mais facilmente dividida entre vrias pessoas. Por exemplo, voc pode ter um administrador
responsvel por administrar contas de usurios, outro por administrar discos e assim por
diante. Com o console personalizado, o administrador recebe apenas o Snap-in que tem a
ver com a sua funo. Com uma interface mais simples, o aprendizado mais rpido.
Nota: Para uma descrio completa do conceito de Microsoft Management Console - MMC,
Snap-in e Consoles Administrativos, consulte a unidade IV do meu livro: "Srie Curso Bsico
& Rpido Microsoft Windows 2000 Server", publicado pela Editora Axcel Books
(www.axcel.com.br).
-'emplo: Para acessar o gerenciamento de discos atravs do console Gerenciamento do
computador.
1. D um clique no boto Iniciar, aponte para Programas. Dentro de Programas aponte para
Ferramentas administrativas. No menu que surge, d um clique na opo Gerenciamento do
computador.
2. Este console nos d acesso a diversas tarefas de administrao do Windows 2000 Server,
tais como auditoria, configurao e criao de contas de usurios e grupos locais e assim por
diante.
3. D um clique no sinal de + ao lado da opo Armazenamento, caso ela ainda no esteja
aberta.
4. Sero exibidas trs opes, conforme indicado na Figura 3.
Figura 3 Opes do nap!in de "rmazenamento.
5. Utilizaremos estas opes no decorrer das demais lies deste tutorial
6. Feche o console Gerenciamento do computador.
Agora vamos criar um console personalizado, no qual iremos adicionar somente o Snap-in
para gerenciamento de discos. Vamos salvar este console com o nome de Gerenciamento de
disco. O Windows 2000 Server ir, automaticamente, criar um atalho para esta console, no
menu Ferramentas administrativas j citado anteriormente.
-'emplo: Para criar um co.sole personalizado e salv-lo com o nome de Gerenciamento de
discos, siga os seguintes passos:
1. D um clique no boto Iniciar, clique na opo Executar.
2. Na janela que surge, no campo Abrir digite mmc e d um clique em OK.
3. Ser aberta uma janela que mostra o MMC sem nenhum Snap-In Carregado.
4. Com o MMC carregado, d um clique no menu Console e escolha a opo Adicionar /
remover snap-in ... Ser exibida a janela indicada na Figura 4.
Figura # " $anela mostra que nen%um snap!in est carregado.
5. Na janela indicada na Figura 4, d um clique no boto Adicionar.
6. Ser exibida a janela Adicionar snap-in autnomo. Nesta janela exibida uma listagem
com todos os snap-ins disponveis.
7. Localize na listagem o seguinte snap-in: /erenciamento de disco, conforme indicado na
Figura 5 e d um clique sobre ele para selecion-lo.
Figura & "dicionando o snap!in 'erenciamento de disco.
8. D um clique no boto Adicionar.
9. Surge a janela Escolher mquina de destino. Essa janela permite que voc defina de qual
computador voc quer gerenciar os discos. Neste momento voc pode gerenciar discos de
um computador remoto, desde que voc tenha permisso para isso. Essa uma das
novidades no Windows 2000 Server, j que em verses anteriores, somente era possvel
gerenciar discos estando localmente logado no servidor.
10. D um clique no boto Concluir.
11. Voc estar de volta a janela Adicionar snap-in autnomo, indicada na Figura 5.
12. Como no queremos adicionar mais nenhum snap-in, d um clique no boto Fechar.
13. Voc estar de volta janela Adicionar/remover snap-in. Observe que o snap-in
Gerenciamento de disco (local) j aparece na listagem.
14. D um clique em OK para fechar a janela Adicionar/remover snap-in.
15. Voc estar de volta ao MMC, agora com o snap-in Gerenciamento de disco j carregado,
conforme indicado pela Figura 6.
16. D um clique no menu Console e escolha a opo Salvar.
17. Na janela Salvar como, digite Gerenciamento de disco, no campo Nome do arquivo.
18. D um clique no boto Salvar.
19. Feche o MMC.
20. D um clique no boto Iniciar, aponte para Programas e dentro de Programas para
Ferramentas administrativas
21. No menu de opes que surge verifique se foi adicionada uma opo chamada
Gerenciamento de disco.msc.
22. Essa opo um atalho para o console recm criado, o qual possui apenas o snap-in
Gerenciamento de disco, carregado.
23. Se voc clicar nesta opo, ser aberto o console anteriormente criado.
Figura ( )onsole com o nap!in 'erenciamento de disco $ armazenado.
Agora temos um console com somente com o Snap-in para Gerenciamento de disco
carregado. Este console pode ser utilizado por um administrador com funes especficas de
gerenciar discos. um console que possui apenas as opes necessrias para a tarefa em
questo - Gerenciar discos.
Nas demais lies deste tutorial, utilizaremos o console Gerenciamento de disco, para os
exemplos prticos que sero apresentados. Para acompanhar os exemplos deste tutorial,
voc precisa estar logado como Administrador, ou a sua conta de usurio deve pertencer ao
grupo Administradores.
Boot no Windows 2000/! e o ar"ui#o Boot.ini
$ntrodu%&o
Neste tutorial trataremos de assuntos relacionados com a inicializao do Windows 2000/XP.
(processo de boot). Em um dos prximos tutoriais abordaremos tcnicas para recuperao
do Windows 2000/XP quando por algum motivo (configuraes incorretas, erros de
operao, etc) o sistema no consegue inicializar normalmente ou inicializa com problemas
que impedem o seu funcionamento correto. Trataremos dos seguintes assuntos:
O Processo de boot do Windows XP
O arquivo Boot.ini
ARC Paths (Caminhos ARC) utilizados no Boot.ini
Chaves utilizadas no arquivo Boot.ini
Voc encontra diversos detalhes sobre a inicializao e a recuperao desastres, no
Windows XP, no Captulo 18 do meu ltimo livro: "Windows XP Home & Professional Para
Usurios e Administradores". Maiores detalhes sobre o livro no site: www.juliobattisti.com.br.
Vamos iniciar o tutorial falando sobre o processo de boot do Windows 2000/XP. Veremos
que, em grande parte, este processo praticamente igual, tanto para o Windows 2000
quanto para o Windows XP. Ser apresentada a seqncia de passos do processo de boot,
bem como detalhes sobre os problemas que podem ocorrer em cada etapa. importante que
o leitor entenda como feita a inicializao (boot) do Windows 2000/XP, pois em
determinadas situaes muito mais simples corrigir um problema que ocorre na
inicializao do que ter que reinstalar o Windows novamente. Para o usurio residencial, que
tem um nico computador, reinstalar o Windows pode no ser problema em termos do
tempo necessrio para esta tarefa. Agora imagine a situao de uma rede empresarial, com
milhares de computadores conectados em rede. Sempre que possvel, a equipe de suporte
deve resolver o problema e no simplesmente reinstalar o Windows. Pois alm de
economizar tempo, o usurio poder voltar a utilizar a mquina quanto antes, o que significa
menor tempo de parada. Para finalizar iremos detalhar o arquivo Boot.ini e os seus
componentes.
'ntendendo o processo de boot do Windows !.
Neste tpico veremos como funciona o processo de boot (inicializao) do Windows 2000/XP.
O processo de boot comea quando voc liga o computador e se encerra com o logon no
sistema. Analisaremos as cinco fases do processo de boot:
Seqncia de pr-boot
Seqncia de boot
Carga do kernel
Inicializao do kernel
logon.
Para que cada fase do processo de boot possa acontecer com sucesso, determinados
arquivos so necessrios. Na tabela 1 esto listados os arquivos necessrios a cada fase do
processo de boot. Systemroot indica a pasta onde esto os arquivos do Windows 2000 XP
esto instalados. Na maioria das vezes a pasta C:\winnt ou C:\Windows, mas pode ser
uma pasta diferente, dependendo de como foi feita a instalao do Windows.
*a+ela 1 "rqui,os utilizados no processo de +oot do -indo.s /0.
Arquivo 0ocalizao 1ase
Ntldr Raiz da partio de sistema C:\ Pr-boot e boot
Boot.ini Raiz da partio de sistema C:\ boot
Bootsect.dos Raiz da partio de sistema C:\ boot
Ntdetect.com Raiz da partio de sistema C:\ boot
Ntoskrnl.exe systemroot\System32 Carga do kernel
Hal.dll systemroot\System32 Carga do kernel
System systemroot\System32\Config Inicializao do kernel
Device drivers (*.sys) systemroot\System32\Drivers Inicializao do kernel
Na seqncia, apresento um pequeno resumo de cada uma das fases envolvidas no processo
de boot.
1. Seq23ncia de pr,boot: Aps ligado o computador, uma srie de testes de hardware e
deteco de dispositivos Plug and Play processada. O partio ativa localizada e o setor
de boot desta partio carregado na memria e executado. O arquivo Ntldr carregado na
memria e inicializado. Este arquivo que inicia o processa de carga do Windows 2000/XP.
2. Seq23ncia de boot: Aps ter carregado o arquivo Ntldr na memria, a seqncia de boot
detecta informaes sobre o hardware e os respectivos drivers, em preparao para as fases
de carregamento do Windows 2000/XP. Dentro da fase de seqncia de boot, temos quatro
etapas bem distintas, conforme descrito a seguir:
1ase inicial de car.a do boot: Nesta subfase, o Ntldr altera o processador do modo
real de memria para o modo de 32 bit, o qual requerido para a carga das demais funes.
Um suporte mnimo de sistema de arquivos carregado, para que o Ntldr possa achar e
carregar o Windows 2000 Server, a partir de uma partio FAT ou NTFS.
Seleo do Sistema Operacional: Nesta subfase, o Ntldr l o arquivo Boot.ini (que
detalharemos no prximo item) e apresenta um menu de opes, de tal forma que o usurio
possa escolher qual o sistema operacional que ser carregado, no caso de existir mais de um
Sistema operacional instalado. Caso o arquivo Boot.ini tenha sido eliminado por acidente,
Ntldr tenta carregar o Windows 2000/XP a partir da primeira partio do primeiro disco
rgido. Neste ponto j podemos adiantar que a funo do arquivo Boot.ini fornecer
informaes para que o Ntldr possa exibir um menu no qual o usurio pode selecionar qual o
sistema operacional deve ser carregado. No arquivo Boot.ini tambm est a definio de qual
o sistema operacional padro, ou seja, aquele que ser inicializado, caso o usurio no
faa nenhuma seleo no menu de inicializao.
+eteco de (ard4are: feita pelos arquivos Ntdetect.com e Ntoskrnl.exe. Os
dispositivos de hardware detectados pelo arquivo NTDETECT.COM so passados para o
arquivo NTLDR, o qual gravar estas informaes na Registry, na chave
HKEY_LOCAL_MACHINE\HARDWARE. O Windows XP detecta, automaticamente, dispositivos
tais como: Portas de comunicao, processadores de ponto flutuante, drives de disquete,
teclado, mouse, portas paralelas, dispositivos SCSI, adaptadores de vdeo e assim por
diante.
Nota: Esta seqncia idntica (para no dizer igual) a seqncia de boot do Windows
2000. Compare o texto deste item com o texto da Lio 7 da Unidade IX, do livro "Srie
Curso Bsico & Rpido Microsoft Windows 2000 Server", de minha autoria, publicado pela
Axcel Books (www.axcel.com.br).
Seleo de con5i.urao: Aps a deteco do hardware, voc ter a oportunidade de
acessar uma lista com diferentes Perfis de Hardware, caso voc tenha criado outros perfis
alm do perfil padro. Um Perfil de Hardware uma configurao que pode fazer com que o
Windows 2000/XP ignore determinados componentes de hardware e com isso no carregue
os drivers para estes componentes, quando da inicializao do sistema.
3. 6ar.a do 7ernel: Durante esta fase, o arquivo Ntoskrnl.exe carregado, porm ainda
no incializado. O arquivo hal.dll carregado na memria. Drivers para dispositivos de
hardware de baixo nvel, como por exemplo, discos rgidos, so carregados. Dispositivos de
hardware de baixo nvel, so aqueles dispositivos que precisam ser inicializados antes do que
os demais, de tal forma que o processo possa prosseguir. Uma srie de retngulos, em
seqncia, exibida na tela, a medida que os dispositivos so carregados. Neste momento
ainda no foi carregada a interface grfica do Windows 2000/XP. Nesta fase a chave da
Registry HKEY_LOCAL_MACHINE\SYSTEM carregada a partir do arquivo
Systemroot\System32\Config\System. As informaes da Registry esto gravadas em
arquivos na pasta Systemroot\System32\Config, onde Systemroot representa a pasta onde o
Windows 2000/XP foi instalada. Em seguida um "control set" (conjunto de controle)
selecionado e carregado. Um control set representa um conjunto de configuraes que
definem quais drivers e servios sero carregados e inicializados automaticamente pelo
Windows 2000/XP. Conforme veremos em um dos prximos tutoriais, onde falaremos sobre
Last Know Good Configuration, o conceito de control set importante na recuperao do
sistema quando usamos a opo Last Know Good Configuration.
4. Inicializao do 7ernel: Aps ter sido completada a fase da carga do kernel, este
inicializado e o Ntldr passa o controle para o kernel do sistema. Nesta etapa exibida uma
tela grfica, com uma barra de status indicando o andamento do processo. Nesta etapa os
drivers de dispositivos de baixo nvel, carregados na fase anterior, so inicializados. Tambm
nesta fase, que os diversos Servios configurados para inicializar automaticamente, so
inicializados. Por exemplo o DNS, Inetinfo (Servidor Web - Internet Information Server), e
qualquer outro servio instalado no Windows 2000/XP As seguintes etapas so executadas
durante esta etapa:
A chave HKEY_LOCAL_MACHINE\HARDWARE criada usando como base as informaes
coletadas na etapa de Deteco de Hardware da fase de Seqncia de boot, descrita
anteriormente.
6riao de uma c8pia do control set utilizado " 6lone 6ontrol set: feita uma
cpia do control set utilizado. Esta cpia poder ser utilizada posteriormente, caso alteraes
feitas no control set atual, impeam a inicializao do Windows XP.
Os drivers de hardware que foram carregados na fase de Carga do Kernel so agora
inicializados. Cada driver possui um parmetro de configurao chamado ErrorControl. Este
parmetro define a maneira como o Windows 2000/XP ir proceder, caso algum erro
acontea na inicializao do driver. Os valores possveis para este parmetro so os
seguintes:
a. 9'9: I.nore% Caso ocorra algum erro na inicializao do driver, o Windows 2000/XP
simplesmente ignora o erro e continua a inicializao dos demais drivers. Nenhuma
mensagem de erro ser exibida.
b. 9'$: Normal% Uma mensagem de erro ser exibida e o processo de Inicializao do
Kernel continua.
c. 9':: Severe% O processo de boot falha, o computador ser reinicializado e sero
utilizadas as configuraes definidas no control set Last Know Good Configuration, ou seja,
as configuraes que foram gravadas como sendo as configuraes da ltima inicializao
com sucesso sero utilizadas. Se o erro ocorre novamente, quando o computador j est
utilizando o control set 0ast ;no4 /ood 6on5i.uration, o erro ser ignorado e a
inicializao do Kernel continuar com a inicializao dos demais drivers.
d. 9'<: 6ritical% O processo de boot falha, o computador ser reinicializado e sero
utilizadas as configuraes definidas no control set Last Know Good Configuration, ou seja,
as configuraes que foram gravadas como sendo as configuraes da ltima inicializao
com sucesso sero utilizadas. Se o erro ocorre novamente, quando o computador j est
utilizando o control set 0ast ;no4 /ood 6on5i.uration, a seqncia de boot ser
interrompida e uma mensagem de erro ser exibida. Este valor utilizado para os
dispositivos de hardware que so fundamentais para a inicializao do sistema. Por exemplo,
o boot no tem como continuar se o Windows 2000/XP no conseguir inicializar os drivers
para acesso ao sistema de discos.
Os servios configurados para inicializao automtica so inicializados e carregados na
memria do computador. Os servios so inicializados em uma ordem especfica, de acordo
com as dependncias existentes entre os respectivos servios. Por exemplo, vrios servios
dependem do servio Remote Procedure Call (RPC). O servio RPC deve ser inicializado antes
dos servios que dele dependem, caso contrrios a inicializao destes ltimos ir falhar.
5. 0o.on: Nesta fase o subsistema Win32 automaticamente inicializa o servio
Winlogon.exe, o qual inicializa a Autoridade local de segurana - LSA - Local Security
Authority (Lsass.exe), e finalmente a janela de logon exibida. O processo de inicializao
do Windows 2000/XP, somente considerado OK, quando o usurio efetua o logon. Aps o
logon ter sido feito com sucesso o Windows 2000/XP copia as configuraes do Clone control
set para o Last Know Good Configuration control set, ou seja, o Windows XP considera que
as configuraes atuais representam a ltima configurao que permitiu uma inicializao
com sucesso - Last Know Good Configuration.
Pode parecer um pouco complexo, porm conhecer o processo de boot do Windows 2000/XP
de fundamental importncia para o Administrador do sistema e para os tcnicos de
suporte, principalmente quando surgem problemas e o computador no consegue inicializar
com sucesso. Informaes mais detalhadas sobre o processo de boot podem ser encontradas
na Ajuda do Windows 2000/XP e tambm nos links apresentados no final deste tutorial.
Agora passaremos a analisar alguns tpicos importantes para a inicializao e manuteno
do Windows 2000/XP em funcionamento. Vamos iniciar por um estudo detalhado do arquivo
Boot.ini.
( ar"ui#o Boot.ini
O arquivo Boot.ini criado durante a instalao do Windows 2000/XP. Este arquivo
gravado na partio ativa, ou seja, na partio que utilizada para inicializar o Windows
2000/XP. Normalmente a partio ativa o drive C:\. Durante a fase de inicializao do
Windows 2000/XP, o arquivo NTLDR l o contedo do arquivo Boot.ini e utiliza este contedo
para montar o menu de opes, no qual voc pode selecionar o Sistema Operacional a ser
carregado. O arquivo Boot.ini bastante til quando temos mais de um Sistema Operacional
instalado no mesmo computador. Neste caso, as informaes do arquivo Boot.ini so
utilizadas pelo NTLDR para exibir um menu, no qual selecionamos o Sistema Operacional a
ser carregado.
Por exemplo, em casa, tenho um computador de teste onde esto instaladas verses de
avaliao do Windows 98, do Windows 2000 Server em Ingls, do Windows 2000 Server em
Portugus, do Windows 2000 Professional e do Windows XP Professional. Ao inicializar este
computador exibido um menu como os diferentes Sistemas operacionais instalados, no
qual seleciono qual o sistema desejo carregar.
Na listagem a seguir coloco uma cpia do arquivo boot.ini do computador citado no
pargrafo anterior:
Arquivo boot%ini de um computador com cinco vers=ess di5erentes do >indo4s
instaladas:
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(1)partition(2)\WXPPRO
[operating systems]
multi(0)disk(0)rdisk(1)partition(2)\WXPPRO="Microsoft Windows XP Professional" /fastdetect
multi(0)disk(0)rdisk(1)partition(1)\WINNT="Microsoft Windows 2000 Server - Portugues"
/fastdetect
multi(0)disk(0)rdisk(1)partition(1)\W2KSRVIN="Microsoft Windows 2000 Server" /fastdetect
multi(0)disk(0)rdisk(1)partition(2)\WINNT="Microsoft Windows 2000 Professional"
/fastdetect
C:\="Microsoft Windows 98"
O arquivo boot.ini possui duas sees distintas:
[boot loader]
[operating systems]
Na seo [boot loader] informado qual o Sistema Operacional padro, ou seja, qual o
Sistema Operacional ser carregado caso o usurio no selecione uma das opes do menu.
Nesta seo tambm definido durante quanto tempo o menu ser exibido. No nosso
exemplo, o menu ser exibido durante 30 segundos: timeout?<9. Neste exemplo tambm
est definido que ser carregado o Sistema Operacional instalado na partio
de5ault?multi)9*dis7)9*rdis7)$*partition):*@>APP#O. O sistema definido como
padro (default), ser carregado se o usurio no selecionar nenhuma opo do menu.
Nota: Logo em seguida falaremos sobre a sintaxe utilizada pelo arquivo Boot.ini para indicar
a partio onde esto gravados os arquivos do Sistema Operacional associado a cada opo.
No nosso exemplo temos o caminho: default=multi(0)disk(0)rdisk(1)partition(2)\WXPPRO.
Este caminho tambm conhecido como caminho ARC - Advanced RISC Computing.
Na seo Boperatin. sCstemsD exibida a lista de Sistemas Operacionais instalados e
disponveis para uso. Cada linha indica um Sistema Operacional instalado e para indicar a
pasta onde esto os arquivos do respectivo Sistema Operacional utilizado o caminho ARC,
que ser detalhado logo em seguida. Aps o caminho podem ser fornecidas chaves que
alteram a maneira como o respectivo Sistema inicializado, como no exemplo a seguir, onde
foi utilizada a chave /fastdetect. Estudaremos as chaves disponveis mais adiante. Esta lista
poder ter, no mximo, 10 elementos.
multi(0)disk(0)rdisk(1)partition(2)\WXPPRO="Microsoft Windows XP Professional" /fastdetect
O que vem aps o sinal de igual (=), entre aspas, simplesmente uma descrio. Esta a
descrio que exibida no menu de inicializao.
Nota: Observe que para o Windows 9x ou Me, fornecido o caminho tradicional, no nosso
exemplo C:\="Microsoft Windows 98", informando que o Windows 98 est na partio C:\. O
que vem aps o sinal de igual (=), entre aspas, simplesmente uma descrio. Esta a
descrio que exibida no menu de inicializao.
Para 5inalizar precisamos detal(ar dois pontos importantes:
A sintaxe dos caminhos ARC.
As chaves que podem ser utilizadas no arquivo Boot.ini.
'ntendendo a sintaxe dos camin)os A*+.
Vamos detalhar as diversas partes que compem um caminho ARC. Considere os dois
exemplos a seguir:
multi(0)disk(0)rdisk(1)partition(2)\WXPPRO
scsi(0)disk(0)rdisk(1)partition(2)\WXPPRO
multi ou scsi: Na primeira parte do caminho temos duas opes: multi ou scsi.
Utilizamos scsi em uma nica situao: quando temos uma controladora SCSI com a BIOS
desabilitada, o que uma situao muito rara. Em todas as demais situaes utilizamos
multi para a primeira parte do caminho ARC. O nmero entre parnteses indica a ordem em
que os adaptadores so carregados. Por exemplo, se voc tiver um computador com dois
adaptadores IDE instalados. O caminho dos discos do primeiro adaptador inicia com multi(0)
e o caminho dos discos do segundo adaptador inicia com multi(1).
dis7: Indica a posio (ID) do disco SCSI e somente utilizado quando a primeira parte
do caminho comea com scsi. Quando a primeira parte for multi, esta parte ser sempre
disk(0).
rdis7: Um nmero que identifica o disco dentro da controladora. Para controladores SCSI
este nmero ser ignorado. Sempre inicia com o valor zero. Por exemplo, se voc tiver um
computador com duas controladores IDE e dois discos em cada controladora, teremos as
seguintes combinaes possveis:
multi(0)disk(0)rdisk(0) -> Primeiro disco da primeira controladora.
multi(0)disk(0)rdisk(1) -> Segundo disco da primeira controladora.
multi(1)disk(0)rdisk(0) -> Primeiro disco da segunda controladora.
multi(1)disk(0)rdisk(1) -> Segundo disco da segunda controladora.
Partition: Indica o nmero da partio/volume dentro do disco. O valor entre
par3nteses comea com $E di5erente dos valores dos outros parFmetros que iniciam
sempre com zero% Por exemplo, se voc tiver um computador com duas controladores IDE
e dois discos em cada controladora. No primeiro disco da primeira controladora voc tem
uma nica partio e nos demais discos duas parties, teremos as seguintes combinaes
possveis:
multi(0)disk(0)rdisk(0)partition(1)-> Primeira partio do primeiro disco da primeira
controladora.
multi(0)disk(0)rdisk(1)partition(1)-> Primeira partio do segundo disco da primeira
controladora.
multi(0)disk(0)rdisk(1)partition(2)-> Segunda partio do segundo disco da primeira
controladora.
multi(1)disk(0)rdisk(0)partition(1)-> Primeira partio do primeiro disco da segunda
controladora.
multi(1)disk(0)rdisk(0)partition(2)-> Segunda partio do primeiro disco da segunda
controladora.
multi(1)disk(0)rdisk(1)partition(1)-> Primeira partio do segundo disco da segunda
controladora.
multi(1)disk(0)rdisk(1)partition(2)-> Segunda partio do segundo disco da segunda
controladora.
O que vem aps o caminho ARC o nome da pasta, dentro da partio especificada pelo
caminho ARC, onde esto os arquivos do Sistema Operacional. No exemplo que demos no
incio deste tpico temos o seguinte caminho:
multi(0)disk(0)rdisk(1)partition(2)\WXPPRO
O que representa esta caminho? Lendo de trs para frente temos a seguinte interpretao:
A pasta WXPPRO -> \WXPPRO
da segunda partio -> partition(2)
do segundo disco -> rdisk(1) *
da primeira controladora -> multi(0) *
(*): Lembre que para multi, disk e rdisk os valores iniciam em zero e para partition os
valores iniciam em um.
As c)a#es "ue podem ser utilizadas no ar"ui#o Boot.ini.
Conforme descrito anteriormente, existem algumas chaves que podem ser utilizadas no
arquivo Boot.ini, para alterar a maneira como cada Sistema Operacional utilizado. A seguir
descrevemos as principais chaves disponveis. Para uma relao completa das chaves
disponveis, consulte o seguinte endereo:
http://www.sysinternals.com/ntw2k/info/bootini.shtml
Gbasevideo: Esta chave faz com que o Sistema Operacional seja inicializado utilizando
um driver VGA com configuraes padro mnimas, suportadas pela maioria dos adaptadores
de vdeo e monitores. Esta opo pode ser utilizada se voc instalou um novo adaptador de
vdeo (ou um novo monitor), os quais no esto funcionando corretamente, a ponto de aps
feito o logon, no ser possvel ler as informaes exibidas na tela. Neste caso voc pode
fazer a inicializao no Modo seguro, que descreveremos mais adiante, alterar o arquivo
boot.ini adicionando a chave /basevideo. Quando o Windows 2000/XP for inicializado sero
utilizadas configuraes bsicas do driver VGA. Voc poder fazer o logon e corrigir as
configuraes que esto impedindo o funcionamento correto do adaptador de vdeo ou do
monitor. Feitas as correes voc pode retirar a chave /basevideo para que o Windows
2000/XP carregue as configuraes de vdeo normalmente. No exemplo a seguir temos uma
ilustrao do uso desta chave:
multi(0)disk(0)rdisk(1)partition(2)\WXPPRO /basevideo
G5astdetect?com' ou G5astdetect?com'E CEz ou G5astdetect: Com esta chave a
deteco de mouse serial na inicializao ser desabilitada. Comx utilizada para especificar
se a deteco deve ser desabilitada em um nica porta com, como por exemplo Com1 ou
Com2. possvel desabilitar a deteco em duas ou mais portas, como por exemplo Com1,2.
Se no for especificada a porta Com, a deteco ser desabilitada em todas as portas. Por
padro a chave /fastdetect, sem a especificao de porta, includa em todas as opes de
Sistema Operacional do arquivo boot.ini, com exceo de linhas que correspondem ao
Windows 9x ou Me.
Gma'mem:n: Com esta chave possvel definir a quantidade mxima de memria RAM
disponvel para o Windows 2000/XP. Por exemplo, em um computador com 256 MB de RAM
instalados, se voc quiser utilizar apenas 128, utilize a seguinte chave: /maxmem:128. A
nica justificativa para o uso desta chave se voc quiser detectar se um determinado pente
de memria est com problemas.
Gno.uiboot: Inicializa o Windows 2000/XP sem exibir a tela grfica com informaes
sobre o andamento (Status) da inicializao.
Gsos: A medida que os drivers de dispositivos vo sendo carregados, o nome dos
arquivos que esto sendo carregados ser exibido no vdeo. Esta opo til quando o
Windows 2000/XP no consegue inicializar corretamente e voc quer detectar em que ponto
da inicializao est o problema. Por exemplo, se voc utilizar esta chave e a inicializao for
interrompida no momento da carga do driver da placa de rede, este um bom indicativo de
que o problema pode ser com este driver ou com algum driver relacionado.
+onclus&o,
Nos endereos a seguir voc encontra informaes detalhadas, artigos tcnicos e descrio
de problemas/solues relacionados com a inicializao do Windows 2000/XP, do arquivo
Boot.ini e de caminhos ARC:
http://support.microsoft.com/support/kb/articles/Q291/9/80.ASP
http://support.microsoft.com/support/kb/articles/q99/7/43.asp
http://www.zdjournals.com/ewn/9802/ewn9821.htm
http://www.powerquest.com/support/PM/pm6076.html
http://www.ntfaq.com/ntfaq/sysconf66.html
http://www.sysinternals.com/ntw2k/info/bootini.shtml
http://support.microsoft.com/support/kb/articles/q102/8/73.asp
http://support.microsoft.com/support/kb/articles/Q239/7/80.ASP
Com isso conclumos o nosso estudo sobre o processo de boot (inicializao) do Windows
2000/XP. Voc, amigo leitor, pode escolher o assunto do prximo tutorial. Envie a sua
sugesto para o email: webmaster@juliobattisti.com.br. A seguir algumas sugestes de
assuntos:
Permisses de Compartilhamento e Permisses NTFS.
Configurao e Gerenciamento de Impressoras no Windows 2000 Server.
Publicao e Pesquisa de Impressoras e Pastas Compartilhadas no Active Directory.
Uma Viso Geral do Active Directory.
Entendendo e Configurando o DNS em uma rede baseada no Windows 2000 Server.
Entendendo Group Polices Objects.
Implementando e Administrando Group Polices Objects.
-./ 0 -istributed .ile /1stem 0 +onceitos e
$mplementa%&o
$ntrodu%&o
Neste tutorial apresentarei o servio DFS - Distributed File System. Veremos quais as
vantagens em utilizar este servio, para facilitar a administrao de pastas compartilhadas
em uma rede de computadores. Alm dos conceitos tericos, veremos um exemplo prtico
de utilizao do DFS.
O principal motivo para a implementao de redes locais (LAN) e de longa distncia (WAN)
o compartilhamento de recursos. A possibilidade de ter as informaes centralizadas em um
ou mais servidores, acessando estas informaes a partir de qualquer estao de trabalho da
rede um grande benefcio em termos de gerenciamento e produtividade para os usurios.
Dentre os vrios recursos compartilhados atravs de uma rede, sem sombra de dvidas, o
compartilhamento de arquivos o mais utilizado.
Em redes baseadas em tecnologias da Microsoft, com servidores rodando o Windows NT
Server ou o Windows 2000 Server e clientes rodando uma das verses do Windows - 9x, Me,
NT Workstation, Windows 2000 Professional ou Windows XP, o compartilhamento de
arquivos feito utilizando Pastas compartilhadas.
Por exemplo, vamos supor que os arquivos da pasta C:\Manuais, do servidor SRV01, devam
estar disponveis para acesso atravs da rede. Basta compartilhar esta pasta no servidor
SRV01, definir as permisses de compartilhamento e permisses NTFS adequadas. Depois o
acesso a pasta Manuais pode ser feito em cada estao de trabalho da rede. Normalmente
este acesso feito via a "montagem" de um drive de rede. Montar um drive de rede,
significa que vamos associar uma unidade (F:, G: X:, etc) pasta compartilhada. Para o
usurio, a pasta compartilhada aparece como mais uma unidade. Por exemplo, se
montarmos um drive X:, associado com a pasta compartilhada Manuais, toda vez que o
usurio acessar o drive X: estar, na prtica, acessando o contedo da pasta Manuais,
compartilhada no servidor SRV01.
Nota: Normalmente a montagem de drives de rede feita atravs do comando net use, no
Script de logon. Com isso, uma ou mais drives de rede podem ser montados,
automaticamente, quando o usurio faz o logon na rede. Nos prximos tutoriais irei detalhar
o uso de pastas compartilhadas, a interao entre permisses de compartilhamento e
permisses NTFS e o uso do comando net use.
Na Figura 1, temos o exemplo de uma rede Cliente Servidor, onde os usurios acessa,
atravs de um drive X:, uma pasta compartilhada no servidor SRV01:
Figura 1 1 )ompartil%amento de arqui,os em uma rede local.
-./ 0 +onceito e utiliza%2es
O modelo proposto na introduo funciona bem para pequenas redes, onde temos um
nmero reduzido de pastas compartilhadas - digamos at cinco pastas compartilhadas em
um ou mais servidores. Porm, para grandes redes, onde o nmero de pastas
compartilhadas grande, o uso de um drive de rede para acessar cada pasta compartilhada,
pode tornar-se de difcil implementao, ou at mesmo impossvel - quando tivermos mais
pastas compartilhadas do que o nmero de letras disponveis no nosso alfabeto.
Mesmo em uma rede pequena, onde temos entre cinco e dez pastas compartilhadas, usar
um drive para cada pasta no a melhor soluo. Este modelo difcil de administrar, do
ponto de vista do Administrador da rede, e difcil de utilizar, do ponto de vista do usurio.
Considere o diagrama da Figura 2, onde temos oito pastas compartilhadas, em trs
servidores diferentes:
Figura 2 1 Uma rede com oito pastas compartil%adas.
Na tabela a seguir temos uma viso geral dos oito compartilhamentos da Figura 2, uma
breve descrio de cada um, o caminho de rede para acessar o compartilhamento e uma
sugesto de drive a ser utilizado, na estao cliente, para acesso ao compartilhamento:
6ompartil(amento Nome de comp% Servidor 6amin(o +rive
C:\Manuais Manuais SRV01 \\SRV01\Manuais F:
C:\Programas Programas SRV01 \\SRV01\Programas G:
D:\Memorandos Memorandos SRV01 \\SRV01\Memorandos H:
D:\Segurana Segurana SRV02 \\SRV02\Segurana I:
D:\Relatrios Relatrios SRV02 \\SRV02\Relatrios J:
E:\Modelos Modelos SRV02 \\SRV02\Modelos K:
C:\Diagramas Diagramas SRV03 \\SRV03\Diagramas L:
C:\Pblico Pblico SRV03 \\SRV03\Pblico M:
Os drives de F a G, necessrios para acessar as pastas compartilhadas, poderiam ser
montados, automaticamente, incluindo os seguintes comandos no script de logon dos
usurios:
net use F: \\SRV01\Manuais /yes
net use G: \\SRV01\Programas /yes
net use H: \\SRV01\Memorandos /yes
net use I: \\SRV02\Segurana /yes
net use J: \\SRV02\Relatrios /yes
net use K: \\SRV02\Modelos /yes
net use L: \\SRV03\Diagramas /yes
net use M: \\SRV03\Pblico /yes
-ste modelo apresenta diversos inconvenientesE dentre os quais podemos destacar
os se.uintes:
1. O usurio tem acesso s informaes atravs de diversos drives de rede (oito no nosso
exemplo). Com isso o usurio no tem uma viso consolidada das informaes disponveis
na rede.
2. Alm de ter de criar e configurar os compartilhamentos, o Administrador da rede precisa
garantir que os drives necessrios sejam corretamente configurados em todas as estaes
de trabalho da rede.
3. No existe redundncia e tolerncia a falhas. Se um dos servidores estiver com
problemas, os usurios no tero acesso s pastas compartilhadas deste servidor.
No prximo item vamos ver qual o modelo proposto com o uso do DFS e quais os benefcios
deste modelo.
-./, 3odelo proposto e bene45cios
Com o uso do DFS podemos resolver os problemas descritos anteriormente, onde utilizamos
um drive de rede para acessar cada uma das pastas compartilhadas. O DFS - Distributed File
System (Sistema de Arquivos Distribudos) um servio que roda em servidores NT Server
4.0 ou Windows 2000 Server. Para entendermos o modelo proposto pelo DFS, vamos utilizar
o exemplo do item anterior e vermos como, com o uso do DFS, poderemos dar acesso a
todas as pastas compartilhadas, usando um nico drive de rede, ao invs de usar oito drives.
Para entendermos o modelo proposto pelo DFS, considere o diagrama da Figura 3.
Figura 3 1 O modelo de compartil%amento do 2F.
amos entender os detal(es do modelo proposto na 1i.ura <:
Conforme descrito anteriormente, o DFS um servio que faz parte do Windows 2000
Server. Voc pode verificar se o servio DFS est configurado para inicializar
automaticamente, usando o console Servios.
No servidor DFS, que no nosso exemplo o servidor SRVDFS, criamos um Root DFS. Um
Root DFS associado com uma pasta local no servidor DFS. Veremos exemplos prticos
mais adiante, neste tutorial.
Uma vez criado o Root DFS, comeamos a criar Links DFS. Cada link "aponta" para uma
pasta compartilhada. No nosso exemplo, poderamos criar um link chamado Manuais, o qual
aponta para \\SRV01\Manuais, um link chamado Programas, o qual aponta para
\\SRV01\Programas, um link chamado Memorandos, o qual aponta para
\\SRV01\Memorandos e assim por diante. Ao criarmos os links estamos montando uma
rvore DFS.
Aps ter criados todos os links desejados, estamos prontos para dar acesso aos clientes.
No modelo do DFS, somente o Root DFS compartilhado. Por exemplo, vamos supor que o
Root DFS, no servidor SRVDFS tivesse sido compartilhado com o nome de ArqRede. Os
usurios acessam o Root DFS, montando um drive de rede associado com o
compartilhamento \\SRVDFS\ArqRede. Vamos supor que o usurio monta um drive X:,
associado com o Root do DFS. Neste caso, cada um dos links da rvore DFS, aparece como
uma pasta do drive X:. Neste caso atravs de um nico drive de rede (X:), o qual aponta
para o Root DFS, o usurio ter acesso a vrias pastas compartilhadas, sendo que cada
pasta aparece como uma pasta do drive X:, ao invs de ser necessrio um drive diferente
para cada pasta compartilhada.
No nosso exemplo, o drive X: do usurio teria uma estrutura conforme indicado na Figura
4:
Figura # 1 Um 3nico dri,e para acessar oito compartil%amentos di4erentes.
Observe que com um nico drive (X:), que aponta para o Root do DFS
(\\SRVDFS\ArqRede), o usurio tem acesso a oito pastas compartilhadas, sendo que cada
Pasta compartilhada aparece como uma pasta do drive X:
Com o modelo proposto pelo DFS temos muitos benefcios, dentre os quais podemos
destacar os seguintes:
O usurio tem uma viso geral das informaes disponveis da rede e, atravs de um
nico drive, tem acesso a todas as informaes disponveis.
O Administrador tem um ponto central de Administrao, o que facilita e simplifica o seu
trabalho.
As tarefas de Backup so simplificadas. Ao invs de programar o Backup de inmeras
pastas, em diferentes servidores, o Administrador programa o backup do Root do DFS.
Com o uso de Roots DFS de Domnio (conforme veremos mais adiante), possvel criar
redundncia, atravs da disponibilizao da mesma pasta compartilhada em dois ou mais
servidores. Com isso mesmo que um servidor tenha problemas, o usurio continuar tendo
acesso aos arquivos a partir de outros servidores, onde existem rplicas da pasta
compartilhada. O uso desta funcionalidade, em conjunto com as configuraes de Arquivos
Off-line (as quais veremos em uma dos prximos tutoriais), aumenta muito a disponibilidade
dos arquivos da rede para o usurio final.
Balanceamento de carga entre servidores, quando utilizamos Roots DFS de Domnio, com
a duplicao de pastas compartilhadas em diferentes servidores.
6imita%2es no +liente e no /er#idor
O servio DFS instalado automaticamente quando instalamos o Windows 2000 Server. Este
servio tambm configurado para iniciar automaticamente. Para conferir se o servio DFS
est configurado corretamente, voc pode utilizar o console Servios, o qual est acessado
atravs da opo: Iniciar -> Programas -> Ferramentas administrativas -> Servios.
O servio DFS tem algumas limitaes, as quais descrevemos a seguir:
O nmero mximo de caracteres para o caminho UNC (\\servidor\compartilhamento) de
uma pasta compartilhada 260.
O nmero mximo de rplicas de uma pasta compartilhada, em um Root DFS de Domnio
256.
Cada servidor DFS pode ter um nico Root DFS.
O nmero de Roots DFS por domnio ilimitado, porm em cada servidor somente
podemos ter um nico Root DFS.
O nmero mximo de links, por Root DFS, de 1000.
O DFS baseado em um modelo Cliente/Servidor. O Servidor representado por um
servidor com o Windows 2000 Server instalado, onde o servio DFS est rodando. Podemos
ter diferentes clientes DFS. O Windows 2000 Professional e o Windows XP podem atuar como
clientes DFS, sem que seja necessria a instalao de software adicional. Para verses
anteriores do Windows, considere os detalhes a seguir:
Windows 95: O Cliente DFS para o Windows 95 est disponvel para Download no site da
Microsoft, no seguinte endereo:
http://download.microsoft.com/download/win95/dfs/1.0/W95/EN-
US/dfs_v41_win95client.exe
Windows 98: O Cliente DFS faz parte do Windows 98, no preciso instalar nenhum
software adicional.
Windows NT 4.0: O Cliente DFS est disponvel para Download, no seguinte endereo:
http://download.microsoft.com/download/winntsrv40/dfs/1.0/NT4/EN-US/dfs_v41_i386.exe.
Windows 2000 e XP: O cliente DFS faz parte do Sistema Operacional.
Agora que j entendemos o modelo proposto pelo DFS e sabemos as suas limitaes, vamos
aprender, atravs de um exemplo prtico, a criar e configurar uma rvore DFS.
$mplementando o -./
Agora vamos a um exemplo prtico. Iremos criar uma rvore DFS. Criaremos um Root DFS
de domnio e, em seguida, adicionaremos links para cinco pastas compartilhadas em dois
servidores da rede. Tambm criaremos uma rplica de uma das pastas. Na parte final do
exemplo, acessaremos o root DFS e faremos alguns testes. Ento mos obra.
( ambiente em uso nos exemplos
Para o exemplo proposto utilizarei uma rede com dois servidores (na verdade a rede local de
testes que uso em casa. Utilizo esta rede para fazer pesquisas, para escrever meus artigos,
cursos e livros). Na rede de exemplo, temos dois servidores, conforme descrito na tabela a
seguir:
Nome do Servidor Sistema Operacional
servidor Windows 2000 Server em Portugus
servidor2 .NET Server, Beta 3, Compilao 3268, em Ingls
Os servidores que estou utilizando fazem parte de um domnio baseado no Active Directory.
O nome do domnio groza.com.
Sero criados os compartilhamentos indicados na tabela a seguir:
6ompartil(amento Nome de comp% Servidor 6amin(o
E:\Manuais Manuais servidor \\servidor\Manuais
E:\Programas Programas servidor \\servidor\Programas
C:\Pblico Pblico servidor2 \\servidor2\Pblico
C:\Manuais Manuais servidor2 \\servidor2\Manuais
Observe que o compartilhamento Manuais est sendo criado nos dois servidores. Isto
necessrio porque este ser um compartilhamento redundante, ou seja, ao criar a rvore
DFS vamos criar o link para o compartilhamento Manuais no servidor "servidor" e um link
para a rplica no servidor "servidor2".
O root DFS ser criado no servidor chamado "servidor" e ser associado pasta: E:\ArqDfs.
Ao criar o root DFS, a pasta E:\ArqDfs ser, automaticamente compartilhada. Na estao dos
clientes, vamos montar um drive de rede S:, associado ao Root DFS. O caminho para o Root
DFS ser: \\servidor\ArqDfs. Aps a criao do Root DFS vamos criar links para as pastas
compartilhadas indicadas na tabela anterior. Observe que para o compartilhamento Manuais
vamos criar o link (para o compartilhamento em servidor) e em seguida uma rplica (para o
compartilhamento em servidor2).
Na diagrama da Figura 5 temos uma viso geral do exemplo que iremos implementar.
Figura & 1 O exemplo proposto.
( +onsole -./
Para criar a administrar rvores do DFS utilizamos o console Sistema da arquivos distribudo,
o qual pode ser acessado no seguinte caminho: Iniciar -> Programas -> Ferramentas
administrativas -> Sistema de arquivos distribudo. Utilizamos este console para realizar
todas as tarefas realizadas a criao e a manuteno de rvores DFS.
Nota: Caso o console Sistema de arquivos distribudo no esteja disponvel, no menu
Ferramentas administrativas, possvel instal-lo. Na subpasta System32, da pasta onde
est instalado o Windows 2000 (normalmente em uma pasta chamada WINNT), existe um
arquivo chamado Adminpak.msi. Neste arquivo est contido um conjunto de consoles que
so utilizados para administrar uma srie de tarefas em uma rede com o Windows 2000.
Uma das ferramentas disponveis o console Sistema de arquivos distribudo. Para instalar o
Adminpak.msi, basta abrir o Windows Explorer, localizar o arquivo Adminpak.msi e dar um
clique duplo neste arquivo. Ser aberto um assistente de instalao. Agora s seguir os
passos do assistente e pronto, uma srie de consoles de administrao sero instalados,
conforme indicado na Figura 6:
Figura ( 1 Ferramentas dispon5,eis no arqui,o "dminpa6.msi
Importante: Este conjunto de ferramentas tambm pode ser instalado em uma estao de
trabalho com o Windows 2000 Professional. Neste caso o Administrador da rede, a partir da
sua estao de trabalho com o Windows 2000 Professional instalado, pode administrar os
diversos servios da rede, disponveis em diversos servidores.
+riando um root de dom5nio
O primeiro passo no exemplo proposto e criar um Root de domnio. Faremos isso usando o
console Sistema de arquivos distribudo citado no item anterior. importante salientar que,
antes de iniciar este exerccio, os compartilhamentos indicados na Figura 5, j devem ter
sido criados.
Para criar um root DFS no computador chamado servidor, root este associado com a pasta
E:\ArqDfs, siga os seguintes passos:
1. Abra o console Sistema da arquivos distribudo: Iniciar -> Programas -> Ferramentas
administrativas -> Sistema de arquivos distribudo.
2. Ser exibida a janela Sistema de arquivos distribudos, onde ainda no existe a rvore
DFS, conforme indicado na Figura 7:
Figura 7 1 O console istema de arqui,os distri+u5dos.
3. Clique com o boto direito do mouse na opo Sistema de arquivos distribudos. No menu
que exibido selecione o comando Novo -> Raiz DFS...
4. Ser aberto o Assistente para novas razes DFS. A primeira tela apenas informativa.
5. Clique no boto Avanar para seguir para a prxima etapa do assistente.
6. Na segunda etapa voc tem que definir se deseja criar uma Raiz de Domnio ou uma Raiz
autnoma. Por padro a opo "Criar uma raiz DFS de domnio" vem selecionada. Certifique-
se de que esta opo esteja selecionada.
8. Surge uma tela perguntando o nome do domnio onde a raiz DFS ser criada. No nosso
caso ser exibido o domnio groza.com, que o domnio ao qual pertence o servidor no qual
est sendo criada a raiz DFS, conforme indicado na Figura 8:
Figura 8 1 9n4ormando o dom5nio onde a raiz 2F ser criada.
10. Surge uma tela perguntando o nome do servidor onde ser criada a raiz DFS. No nosso
exemplo, o nome do servidor servidor.groza.com. Informe o nome do servidor.
12. Nesta etapa temos que informar se queremos usar um compartilhamento j existente, o
qual ser associado com a raiz DFS ou se queremos que o assistente crie o
compartilhamento que ser associado com a raiz do DFS. No nosso exemplo, o
compartilhamento ArqDfs foi criado previamente. Selecione o compartilhamento a ser
utilizado, conforme indicado na Figura 9.
Figura : 1 )ompartil%amento associado com a raiz 2F.
14. Surge uma tela para que voc informe o nome da raiz DFS e insira um comentrio. O
nome deve ser um nome que ajude a identificar o contedo da rvore DFS e o comentrio
pode ser utilizado para facilitar pesquisas no Active Directory.
15. Informe o nome e um comentrio, conforme indicado na Figura 10:
Figura 1; 1 2e4inindo um nome e um comentrio.
17. Voc estar na tela final do Assistente. Clique em Concluir e a raiz DFS ser criada,
Figura 11 1 " raiz 2F "rqui,os2a<ede= rec>m criada.
18. Mantenha o console Sistema de arquivos distribudos aberto, pois iremos utiliz-lo nos
prximos passos deste exemplo.
Agora estamos aptos a seguir para a prxima etapa do exerccio, qual seja: Criar os links (ou
usando uma metfora: os ramos da rvore), sendo cada link associado com um
compartilhamento.
+riando lin7s para as pastas compartil)adas na rede,
Agora vamos montar a nossa rvore DFS. J temos a raiz (criada no passo anterior) e agora
vamos adicionar os ramos. Cada ramo associado com um compartilhamento da rede.
Criaremos trs ramos, conforme indicado na Tabela a seguir:
Nome do #amo Associado com o compartil(amento
Manuais \\servidor2\Manuais
Pblico \\servidor2\Pblico
Programas \\servidor\Programas
Nota: O compartilhamento \\servidor\Manuais ser utilizado para a criao de redundncia
do compartilhamento \\servidor2\Manuais, conforme veremos no prximo item.
Para criar os lin7s propostosE si.a os se.uintes passos:
1. Voc deve estar com o console Sistema de arquivos distribudos aberto.
2. Clique com o boto direito do mouse na raiz criada no tpico anterior.
3. No menu que exibido selecione o comando Novo link DFS...
4. Ser exibida a janela Adicionar ao DFS, na qual voc deve informar o nome do link que
est sendo criado, o caminho para a pasta compartilhada associada ao link e um comentrio.
5. Para adicionar o link Manuais, associado ao compartilhamento \\servidor2\Manuais, digite
as informaes indicadas na Figura 12:
Figura 12 1 )riando um lin6 para a pasta ?anuais.
6. Clique em OK e pronto, o novo link ser criado.
7. Clique com o boto direito do mouse na raiz DFS.
10. Para adicionar o link Pblico, associado ao compartilhamento \\servidor2\Pblico, digite
as informaes indicadas na Figura 13:
Figura 13 1 )riando um lin6 para a pasta 03+lico.
11. Clique em OK e pronto, o link Pblico ser criado.
12. Clique com o boto direito do mouse na raiz DFS.
15. Para adicionar o link Programas, associado ao compartilhamento \\servidor\Programas,
digite as informaes indicadas na Figura 14:
Figura 1# 1 )riando um lin6 para a pasta 0rogramas.
16. Clique em OK e pronto, o link Programas ser criado.
17. A rvore DFS deve estar conforme indicado na Figura 15:
Figura 1& 1 " r,ore 2F com tr@s lin6s.
18. Agora vamos adicionar redundncia ao link Manuais. Lembrando que o link Manuais que
adicionamos anteriormente, est associado a pasta \\servidor2\manuais. Agora vamos
adicionar um link redundante, associado com \\servidor\Manuais. Com isso, existiro duas
cpias do contedo da pasta Manuais. Caso um dos servidores esteja fora da rede, os
usurios podero continuar acessando a cpia redundante. Observe que, com isso, estamos
adicionando redundncia a um dos links da rvore. Poderamos adicionar mais de uma cpia
redundante.
19. Clique com o boto direito do mouse no link Manuais e, no menu que exibido, d um
clique na opo Nova rplica...
20. Ser exibida a janela Adicionar uma nova rplica. Nesta janela devemos informar o
caminho para a rplica da pasta Manuais e se o contedo das rplicas deve ou no ser
automaticamente sincronizado. Defina as informaes, conforme indicado na Figura 16:
Figura 1( 1 "dicionando uma no,a r>plica.
21. Clique em OK.
22. Surge a janela Diretiva de duplicao, na qual temos que definir quais das rplicas sero
sincronizadas automaticamente. Para definir que uma rplica deve ser sincronizada
automaticamente com as demais, clique na rplica e depois no boto Ativar. Repita esta
operao para as duas rplicas da pasta Manuais. A janela Diretiva de duplicao deve estar
Figura 17 1 2e4inindo a 2ireti,a de duplicaAo.
23. Clique em OK.
24. A nova rplica est configurada, conforme pode ser visto, em destaque, na Figura 18:
Figura 18 1 <>plica criada para a pasta ?anuais.
25. Agora a nossa rvore DFS est pronta. Vamos test-la.
Acessando a raiz -./ no cliente,
Agora vamos montar um drive X: associado com a raiz da rvore DFS: \\servidor\ArqDfs.
Lembrando do que foi dito na introduo terica deste tutorial, cada link da rvore DFS ir
aparecer como uma pasta do drive X:. Por exemplo, o link Manuais aparecer como uma
pasta Manuais, dentro do drive X: Quando o usurio estiver acessando esta pasta estar, na
prtica, acessando uma das rplicas do link Manuais: \\servidor2\Manuais ou
\\servidor\Manuais. Quando o usurio acessar a pasta Pblico estar, na prtica, acessando
a pasta \\servidor2\Pblico e assim por diante.
Para montar um drive A:E associado H raiz da rvore +1SE si.a os se.uintes passos:
1. Faa o logon em uma das estaes da rede.
2. Abra um Prompt de comando: Iniciar -> Programas -> Acessrios -> Prompt de comando.
3. Na janela do Prompt de comando digite o seguinte comando:
net use x: \\servidor\ArqDfs
4. Pressione Enter. O drive x: ser montado.
5. Digite Exit e pressione Enter, para fechar o Prompt de comando.
6. Abra o Meu computador e acesso o drive X:. Voc dever obter o resultado indicado na
Figura 19:
Figura 1: 1 O dri,e /B para acesso C Dr,ore 2F.
7. Isto comprova que a nossa rvore DFS e os respectivos links foram criados com sucesso e
esto funcionando corretamente.
+onclus&o
Neste tutorial apresentamos os conceitos tericos relacionados ao DFS e as suas vantagens.
Vimos que atravs do uso do DFS, o Administrador pode implementar um sistema
centralizado de administrao das pastas compartilhadas, em diferentes servidores da rede.
Tambm possvel criar redundncia, atravs da criao de rplicas de uma mesma pasta,
em diferentes servidores.
Em seguida aprendemos a criar e a utilizar uma rvore DFS, utilizando o console Sistema de
arquivos distribudos.
Para maiores informaes sobre o DFS, consulte as seguintes referncias:
"Windows 2000 Server Distributed System Guide", Microsoft Press, Captulo 17. Este livro
faz parte do Resource Kit do Windows 2000 Server e est disponvel, OnLine, no seguinte
endereo:
http://www.microsoft.com/windows2000/techinfo/reskit/default.asp.
"Microsoft Windows 2000 Server Administrators Companion", Microsoft Press, Captulo
16.
Voc encontra uma srie de artigos, papers e tutoriais sobre DFS, no seguinte endereo:
http://www.labmice.net/windows2000/FileMgmt/DFS.htm.
!ermiss2es de +ompartil)amento e 89./
Segurana, sem dvidas, um dos temas mais debatidos hoje, no mundo da informtica.
Nesse tutorial vou apresentar algumas opes do Windows 2000 (e tambm do Windows XP
Professional) que ajudam a manter os seus arquivos mais protegidos, longe do alcance de
intrusos.
Trataremos sobre as permisses de compartilhamento e tambm permisses NTFS. Veremos
como a correta configurao dessas permisses pode tornar o acesso aos seus arquivos bem
mais seguro e protegido, com o acesso permitido apenas para os usurios habilitados
atravs das permisses. importante salientar que com o Windows 95/98 ou Me no existe
como configurar permisses de acesso, ou seja, no temos como proteger os arquivos do
computador. Qualquer pessoa que tenha acesso ao computador poder lig-lo e acessar,
alterar ou excluir qualquer arquivo que esteja no disco rgido. Com as permisses NTFS do
Windows 2000 (e tambm do Windows XP Professional) podemos resolver esse problema.
Neste tutorial veremos como compartilhar uma Pasta, disponibilizando o seu contedo, para
que seja acessado atravs da rede. Tambm aprenderemos a atribuir permisses de
segurana - permisses NTFS, para que somente usurios autorizados possam acessar as
pastas compartilhadas. Veremos alguns detalhes importantes sobre Sistemas de Arquivos
suportados pelo Windows 2000 Server.
+ompartil)ando !astas e -e4ini%&o de !ermiss2es : 9eoria.
Primeiro vamos ver alguns detalhes sobre compartilhamento de pastas e permisses de
compartilhamento.
Quando compartilhamos uma pasta, estamos permitindo que o seu contedo seja acessado
atravs da rede. Quando uma pasta compartilhada, os usurios podem acess-la atravs
da rede, bem como o todo o contedo da pasta que foi compartilhada. Por exemplo,
poderamos criar uma pasta compartilhada onde seriam colocados documentos, orientaes
e manuais, de tal forma que estes possam ser acessados por qualquer estao conectada a
rede.
Ao compartilharmos uma pasta todo o contedo dessa pasta passa a estar disponvel para
ser acessada atravs da rede. Todas as subpastas da pasta compartilhada tambm estaro
disponveis para acesso atravs da rede. Considere o exemplo da Figura 1. Se a pasta
C:\Documentos for compartilhada, todo o seu contedo e tambm o contedo das subpastas
C:\Documentos\Ofcios e C:\Documentos\Memorandos estaro disponveis para acesso
atravs da rede.
Porm quando uma pasta compartilhada, no significa que o seu contedo deva ser
acessado por todos os usurios da rede. Podemos restringir o acesso, de tal maneira que
somente usurios autorizados tenham acesso pasta compartilhada, isso feito atravs de
"Permiss=es de compartil(amento".
Figura 1 "o compartil%ar uma pasta= todo o seu conte3do estar dispon5,el.
Com o uso de permisses, podemos definir quais os usurios podero acessar o contedo da
pasta compartilhada. Para isso, criada uma lista com o nome dos usurios e grupos que
tero permisso de acesso. Alm disso possvel limitar o que os usurios com permisso de
acesso podem fazer. Pode haver situaes em que alguns usurios devam ter permisso
apenas para ler o contedo da pasta compartilhada, podem haver outras situaes em que
alguns usurios devem ter permisso de leitura e escrita, enquanto outros devem ter
permisses totais, tais como leitura, escrita e at excluso de arquivos.
Na Figura 2, temos um exemplo, em que o grupo Gerentes possui permisses de "Controle
total", enquanto o grupo "Usurios" possui permisses apenas para leitura.
Figura 2 'rupos di4erentes com permisses di4erentes.
Conforme pode ser visto na Figura 2, o Windows 2000 Server indica que uma pasta est
compartilhada atravs da figura de uma "mozinha" , segurando a pasta.
I!PO#IANI-: As permisses definem o que o usurio pode fazer com o contedo de uma
pasta compartilhada, desde somente leitura, at um controle total sobre o contedo da pasta
compartilhada.
Na seqncia desse tutorial aprenderemos a compartilhar uma pasta e atribuir permisses
de acesso.
JA!AIS -SKL-MA O S-/LINI- +-IA0N-: Permisses de compartilhamento, no
impedem o acesso ao contedo da pasta localmente, isto , se um usurio fizer o logon no
computador onde est a pasta compartilhada, este usurio ter acesso a todo o contedo da
pasta, a menos que as "Permisses NTFS" estejam configurados de acordo. Permisses NTFS
assunto para daqui a pouco. Vamos falar de um jeito diferente: Permisses de
compartilhamento somente tem efeito quando o usurio est acessando a pasta atravs da
rede, para acesso local, no prprio computador onde est a pasta, as permisses de
compartilhamento no tem nenhum efeito, como se no existissem.
Ao criarmos um compartilhamento em uma pasta, por padro o Windows 2000 Server atribui
a permisso "6ontrole total" para o grupo "Iodos", que conforme o nome sugere,
significa qualquer usurio com acesso ao computador, seja localmente, seja pela rede. Por
isso ao criar um compartilhamento, j devemos configurar as permisses necessrias, a
menos que estejamos compartilhando uma pasta de domnio pblico, onde todos os usurios
possam ter Controle total sobre os arquivos e subpastas da pasta compartilhada..
-'istem tr3s nOveis de permiss=es de compartil(amentoE con5orme descrito a
se.uir:
0eitura: Permite ao usurio exibir a listagem de pastas e arquivos, ler o contedo de
arquivos e executar programas. O usurio tambm pode verificar os atributos dos arquivos e
navegar atravs das pastas e subpastas. O usurio no pode alterar nem eliminar arquivos
ou pastas. Tambm no permitido criar novos arquivos ou pastas.
OPS%: Pastas e arquivos possuem atributos, que o Windows 2000 Server utiliza para
gerenciamento. Por exemplo, existe um atributo "Leitura", que uma vez marcado torna o
arquivo somente leitura, isto , no podem ser feitas alteraes no arquivo. Para ver os
atributos de um arquivo ou pasta, basta dar um clique com o boto direito do mouse sobre o
arquivo ou pasta, e no menu que surge d um clique na opo "Propriedades", e o Windows
2000 Server exibe uma janela onde possvel verificar e modificar os atributos do arquivo
ou pasta, desde que o usurio tenha as devidas permisses.
Alterao: Permite ao usurio criar pastas, criar novos arquivos, alterar arquivos, alterar
os atributos dos arquivos, eliminar arquivos e pastas, mais todas as aes para a permisso
de Leitura. No permite que sejam alteradas permisses dos arquivos nem alteraes no
usurio "dono" dos arquivos e pastas.
OPS%: No Windows 2000 Server, objetos como pastas e arquivos possuem um "dono", o qual
normalmente o usurio que cria a pasta ou arquivo. Falaremos mais sobre o dono do
arquivo mais adiante.
6ontrole total: Permite ao usurio alterar as permisses dos arquivos e tornar-se dono de
pastas e arquivos criados por outros usurios, alm de todas as aes para a permisso
Alterao.
As permisses de compartilhamento Leitura, Alterao e Controle total, podem ser
Permitidas ou Ne.adas. Vamos considerar um exemplo prtico. Vamos supor que todos os
usurios do grupo Gerentes deve ter acesso de Leitura a uma pasta compartilhada, com
exceo de um gerente cuja conta de usurio jsilva. Para simplificar a atribuio de
permisses fazemos o seguinte:
Permisso de Leitura para o grupo Gerentes - Permitir
Permisso de Leitura para o usurio jsilva - Negar
Com isso todos os usurios do grupo Gerentes tero permisso de leitura, com exceo do
usurio "jsilva", o qual teve a permisso de leitura negada.
Outra recomendao que sempre devemos atribuir permisses para grupos de usurios, ao
invs de atribuir para usurios individuais, pois isso facilita a administrao. a famosa
estratgia AGLP - Account -> Global -> Local -> Permission. Em um dos prximos tutoriais
irei detalhar a estratgia AGLP.
( "ue acontece "uando um usurio pertence a mais de um grupo;;
Quando um usurio pertence, por exemplo, a dois grupos e os dois grupos recebem
permisso para acessar um compartilhamento, sendo que os dois grupos possuem
permisses diferentes, por exemplo, um tem permisso de Leitura e o outro de Alterao,
como que ficam as permisses do usurio que pertence aos dois grupos?
Para responder a esta questo, considere o seguinte: "Quando um usurio pertence a mais
de um grupo, cada qual com diferentes nveis de permisses para uma pasta compartilhada,
o nvel de permisso para o usurio que pertence a mais de um grupo, a combinao das
permisses atribudas aos diferentes grupos".
No nosso exemplo, o usurio pertence a dois grupos, um com permisso de somente leitura
e outro com permisso de alteraes. A nvel de permisso do usurio de alteraes, pois
a soma das permisses dos dois grupos, conforme indicado na Figura 3.
Figura 3 Usurio que pertence a mais de um grupo.
Ne.ar t3m preced3ncia sobre quaisquer outras permiss=es: Vamos considerar o
exemplo do usurio que pertence a trs grupos. Se em um dos grupos ele tiver permisso de
leitura e em outro grupo permisso de alterao. Mas se para o terceiro grupo, for "negado"
o acesso pasta compartilhada, o usurio ter o acesso negado, uma vez que "Negar" tem
precedncia sobre quaisquer outras permisses, conforme indicado pela Figura 4.
Figura # Negar tem preced@ncia so+re permitir.
I!PO#IANI-: Quando copiamos uma pasta compartilhada, a pasta original permanece
compartilhada, porm a cpia no compartilhada. Quando movemos uma pasta
compartilhada, esta deixa de ser compartilhada.
Al.umas orienta=es para a criao de pastas compartil(adas:
Todo compartilhamento, obrigatoriamente, deve ter um nome, para que ele possa ser
acessado pela rede, conforme veremos mais adiante. O nome do compartilhamento pode ser
diferente do nome da pasta. Uma recomendao importante para que seja escolhido um
nome descritivo do contedo da pasta, de tal maneira que esta seja mais facilmente
localizada na rede. Voc no colocaria um nome "Projetos" em uma pasta com documentos
contbeis? Aps compartilhada, a pasta passa a ter um caminho na rede. O caminho segue o
padro UNC -Universal Name Convection. No padro UNC, um caminho e formado por duas
barras invertidas, depois o nome do computador, mais uma barra invertida e, por ltimo, o
nome do compartilhamento. Por exemplo, o caminho UNC da pasta Documentos,
compartilhada no servidor SRV01 o seguinte: \\SRV01\Documentos; o caminho da pasta
Projetos (nome de compartilhamento), compartilhada no servidor SRV02 o seguinte:
\\SRV02\Projetos e assim por diante.
Organize os recursos, de tal maneira que todos os pastas que devam ser acessadas pelo
mesmo grupo de usurios, com o mesmo nvel de permisso, estejam dentro da mesma
pasta compartilhada. Por exemplo, se voc possui sete pastas com documentos e
programas, os quais devem ser acessados pelos grupos Contabilidade e Marketing. Coloque
estas pastas dentro de uma pasta principal e compartilhe a pasta principal, ao invs de criar
sete compartilhamentos individuais.
Configure o nvel de permisso mnimo necessrio para que os usurios realizem o seu
trabalho. Por exemplo se os usurios precisam apenas ler os documentos em uma pasta
compartilhada, atribua permisso de Leitura e no de Alterao ou Controle total.
Sempre que possvel, atribua permisses para grupos de usurios e no para usurios
individuais, pois isso facilita a administrao das permisses.
Determine quais grupos necessitam acesso a quais pastas compartilhadas e com quais
nveis de permisso. Documente bem todo esse processo, para que voc possa ter um bom
controle sobre os recursos compartilhados e as permisses atribudas.
/istemas de Ar"ui#os e !ermiss2es 89./ : 9eoria
Agora vamos ver alguns detalhes sobre os sistemas de arquivos que o Windows 2000 Server
reconhece e tambm sobre permisses NTFS.
Um sistema de arquivos determina a maneira como o Windows 2000 Server organiza e
recupera as informaes no Disco rgido ou em outros tipos de mdia. O Windows 2000
Server reconhece os seguintes sistemas de arquivos:
FAT
FAT32
NTFS
NTFS 5
O sistema FAT vem desde a poca do bom e velho MS-DOS e tem sido mantido por questes
de compatibilidade. Alm disso se voc tiver instalado mais de um Sistema Operacional no
seu computador, alguns sistemas mais antigos (DOS, Windows 3.x e as primeiras verses do
Windows 95) somente reconhecem o sistema FAT. Com o sistema de arquivos FAT, a nica
maneira de restringir o acesso ao contedo de uma pasta compartilhada, atravs das
permisses de compartilhamento, as quais, conforme descrito anteriormente, no tero
nenhum efeito se o usurio estiver logado localmente, na mquina onde a pasta foi criada.
Com a utilizao do sistema FAT, alguns recursos avanados, tais como compresso,
criptografia, auditoria e definio de cotas no estaro disponveis.
O sistema FAT32 apresenta algumas melhorias em relao ao sistema FAT. Existe um melhor
aproveitamento do espao no disco, com conseqente menor desperdcio. Um grande
inconveniente do sistema FAT32 que ele no reconhecido pelo Windows NT 4.0 - Server
ou Workstation. Com o sistema de arquivos FAT32, a nica maneira de restringir o acesso ao
contedo de uma pasta compartilhada, atravs das permisses de compartilhamento, as
quais, conforme descrito anteriormente, no tero nenhum efeito se o usurio estiver logado
localmente, na mquina onde a pasta foi criada. Com a utilizao do sistema FAT32, alguns
recursos avanados, tais como compresso, criptografia, auditoria e definio de cotas no
estaro disponveis.
O sistema de arquivos NTFS utilizado no Windows NT Server 4.0 e foi mantido no Windows
2000 Server por questes de compatibilidade. um sistema bem mais eficiente do que FAT e
FAT32, alm de permitir uma srie de recursos avanados, tais como:
Permisses de acesso para arquivos e pastas
Compresso
Auditoria de acesso
Parties bem maiores do que as permitidas com FAT e FAT32
Desempenho bem superior do que com FAT e FAT32
Uma das principais vantagens do NTFS que ele permite que sejam definidas permisses de
acesso para arquivos e pastas, isto , posse ter arquivos em uma mesma pasta, com
permisses diferentes para usurios diferentes. Alm disso, as permisses NTFS tm efeito
localmente, isto , mesmo que o usurio faa o logon no computador onde um determinado
arquivo existe, se o usurio no tiver as permisses NTFS necessrias, ele no poder
acessar o arquivo. Isso confere um alto grau de segurana, desde que as permisses NTFS
sejam configuradas corretamente.
No Windows 2000 Server, temos tambm o NTFS 5, o qual apresenta diversas melhorias em
relao ao NTFS, tais como:
6ripto.ra5ia de arquivos e pastas: (a criptografia uma maneira de "embaralhar" a
informao de tal forma que mesmo que um arquivo seja copiado, ele se torna ilegvel, a no
ser para a pessoa que possui a "chave" para descriptografar o arquivo).
6otas de usurio: Com o uso de cotas possvel limitar o espao em disco que cada
usurio pode utilizar.
Gerenciamento e otimizao melhorados.
Nota: Um inconveniente do NTFS 5 , que ele no reconhecido pelas verses anteriores,
tais como o Windows NT Server 4.0.
Conforme descrito anteriormente, podemos definir permisses de acesso a nvel da pasta ou
arquivo, mas somente em unidades formatadas com o sistema de arquivos NTFS (seja na
verso do NT Server 4.0 ou o NTFS 5 do Windows 2000 Server). Por isso que aconselhvel
instalar o Windows 2000 Server sempre em unidades formatadas com NTFS, pois isso
melhora a segurana.
Com relao as permisses NTFS, temos um conjunto diferente de permisses quando
tratamos de pastas ou arquivos. Nas Tabelas 1(para pastas) e 2 (para arquivos) , so
apresentadas as permisses e o nvel de acesso para cada uma delas.
*a+ela 1 0ermisses N*F para pastas
Permisso NOvel de Acesso
0eitura
Permite ao usurio listar as pastas e arquivos dentro da pasta, permite que
sejam exibidas as permisses, donos e atributos.
/ravar
Permite ao usurio criar novos arquivos e subpastas dentro da pasta, alterar os atributos
da pasta e visualizar o dono e as permisses da pasta.
0istar Contedo de pastas Permite ao usurio ver o nome dos arquivos e subpastas
0er e
e'ecutar
Permite ao usurio navegar atravs das subpastas para chegar a outras pastas e arquivos,
mesmo que o usurio no tenha permisso de acesso s pastas pelas quais est navegando,
alm disso possui os mesmos direitos que as permisses Leitura e Listar Contedo de
pastas.
!odi5icar
Permite ao usurio eliminar a pasta, mais todas as aes permitidas pela
permisso Gravar e pela permisso Ler e executar.
6ontrole
total
Permite que sejam alteradas as permisses, permite ao usurio tornar-se dono
da pasta, eliminar subpastas e arquivos, mais todas as aes permitidas por
todas as outras permisses NTFS.
*a+ela 2 0ermisses N*F para arqui,os.
Permisso NOvel de Acesso
0eitura Permite ao usurio ler o arquivo, permite que sejam exibidas as permisses,
dono e atributos.
/ravar
Permite ao usurio gravar um arquivo com o mesmo nome sobre o arquivo,
alterar os atributos da pasta e visualizar o dono e as permisses da pasta.
0er e
e'ecutar
Permite ao usurio executar aplicativos (normalmente programas .exe, .bat
ou .com), mais todas os direitos da permisso Leitura.
!odi5icar
Permite ao usurio modificar e eliminar o arquivo, mais todas as aes
permitidas pela permisso Gravar e pela permisso Ler e executar.
6ontrole
total
Permite que sejam alteradas as permisses, permite ao usurio tornar-se
dono do arquivo, mais todas as aes permitidas por todas as outras
permisses NTFS.
Todo arquivo ou pasta em uma unidade formatada com NTFS, possui uma "Lista de controle
de acesso (Access control list) - ACL. Nessa ACL ficam uma lista de todas as contas de
usurios e grupos para os quais foi garantido acesso para pasta/arquivo, bem como o nvel
de acesso de cada um deles.
-'istem al.uns detal(es que devemos observar sobre permiss=es NI1S:
Permisses NTFS so cumulativas, isto , se um usurio pertence a mais de um grupo, o
qual tem diferentes nveis de permisso para um recurso, a permisso efetiva do usurio a
soma das permisses.
Permisses NTFS para um arquivo tm prioridade sobre permisses NTFS para pastas:
Por exemplo se um usurio tm permisso NTFS de escrita em uma pasta, mas somente
permisso NTFS de leitura para um arquivo dentro desta pasta, a sua permisso efetiva ser
somente a de leitura, pois a permisso para o arquivo tem prioridade sobre a permisso para
a pasta.
Negar uma permisso NTFS tem prioridade sobre permitir: Por exemplo, se um usurio
pertence a dois grupos diferentes. Para um dos grupos foi dado permisso de leitura para um
arquivo e para o outro grupo foi Negada a permisso de leitura, o usurio no ter o direito
de leitura, pois Negar tem prioridade sobre Permitir.
Agora que j vimos a teoria necessria, vamos praticar um pouco. Nos prximos tpicos
iremos aprender a compartilhar pastas, atribuir permisses de compartilhamento. Iremos
aprender a acessar pastas compartilhadas atravs da rede. Depois vamos trabalhar um
pouco com as permisses NTFS. Veremos como atribuir permisses NTFS e testar uma srie
de situaes prticas.
+riptogra4ia no Windows 2000 /er#er e o Agente
de *ecupera%&o
$ntrodu%&o,
Neste tpico voc aprender sobre os princpios bsicos de criptgrafia em pastas e arquivos,
em volumes formatados com NTFS. Dois so os pontos principais que voc estudar neste
tpico:
A criptografia somente est disponvel em volumes formatados com NTFS. Em volumes
FAT ou FAT32 no est disponvel o recurso de criptografia.
Entenda bem como a relao entre a criptografia, os certificados digitais e,
principalmente, o conceito de Agente de recuperao.
+riptogra4ia 0 de4ini%2es e conceitos
O Windows 2000 Server fornece suporte a criptografia de pastas e arquivos atravs do EFS -
Encripted File System (Sistema de arquivos com Criptografia). O suporte ao EFS foi
introduzido no Windows 2000 Server e tambm est disponvel no Windows Server 2003 e
Windows XP Professional. Com o uso de criptografia o usurio tem um nvel de segurana
maior do que somente com o uso de permisses NTFS. Somente possvel criptografar
arquivos e pastas em volumes formatados com o sistema de arquivos NTFS. Com a
criptografia o Windows 2000 Server garante que somente o usurio que criptografou um
determinado arquivo tenha acesso ao arquivo.
Criptografia o processo de converter dados em um formato que no possa ser lido por um
outro usurio, a no ser o usurio que criptografou o arquivo. Depois que um usurio
criptografar um arquivo, esse arquivo permanecer automaticamente criptografado quando
for armazenado em disco.
Descriptografia o processo de converter dados do formato criptografado no seu formato
original. Depois que um usurio descriptografar um arquivo, esse arquivo permanecer
descriptografado quando for armazenado em disco.
6om as permiss=es NI1SE e'istem al.uns problemas quanto a se.urana dos
dados:
O Administrador da mquina pode usar o recurso de Take Ownership (tornar-se dono),
tornando-se desta forma dono dos arquivos/pastas desejados, mesmo sem ter permisso de
acesso a estes arquivos/pastas. Aps ter "dado um Take Ownership", o Administrador pode
atribuir permisses de acesso para si mesmo e, com isso, acessar qualquer arquivo ou pasta.
Um usurio pode utilizar um disquete de boot ou instalar um outro sistema operacional
no computador e utilizar alguns programas comerciais existentes, para ter cesso a pastas e
arquivos protegidas por permisses NTFS.
A .rande questo a se.uinte: "Com o uso da criptografia, mesmo que o seu
computador seja roubado ou que outro usurio tenha acesso ao computador, no ser
possvel acessar os arquivos e pastas que voc criptografou. A nica maneira de ter acesso
fazendo o logon com a sua conta e senha". Em resumo: Com a criptografia, os dados esto
protegidos, mesmo que outras pessoas tenham acesso ao seu computador, a nica maneira
de acessar os arquivos criptografados fazendo o logon com a conta do usurio que
criptografou os arquivos ou com a conta configurada como Agente de Recuperao,
conforme descreverei mais adiante. J com as permisses NTFS, conforme descrito
anteriormente, este nvel de proteo no existe, no caso do computador ser roubado ou de
um usurio mal intencionado ter acesso ao computador.
Claro que existem situaes adversas que podem surgir com o uso da criptografia. Por
exemplo, vamos supor que um funcionrio criptografou arquivos importantes para a
empresa. Neste meio tempo o funcionrio foi demitido. Como que a empresa poder ter
acesso aos arquivos criptografados se o funcionrio demitido se negar a fazer o logon com a
sua conta e descriptografar os arquivos ou se a sua conta tiver sido excluda?? Por isso que o
EFS permite que uma conta seja configurada como Agente de Recuperao, a qual pode ser
utilizada em situaes como a descrita neste pargrafo. Mais adiante tratarei, em detalhes,
sobre o agente de recuperao.
No esquea: Existe uma conta configurada como Agente de recuperao. Esta conta pode
fazer o logon e descriptografar pastas e arquivos criptografados por outros usurios. O
agente de recuperao padro a conta Administrador.
O uso de criptografia especialmente recomendado para usurios de notebooks e outros
dispositivos semelhantes. No raro a ocorrncia de roubos de notebooks, sendo que estes
podem conter dados importantes da empresa, tais como planos estratgicos e relatrios de
pesquisa e desenvolvimento de novos produtos. O uso da criptografia a forma mais
indicada para proteger estes dados, mesmo em situaes de roubo de um notebook.
A criptografia transparente para o usurio que criptografou o arquivo. Isso significa que o
usurio no precisa descriptografar manualmente o arquivo criptografado para poder us-lo.
Ele pode abrir e alterar o arquivo da maneira habitual. Por exemplo, vamos supor que voc
criptografou um documento do Word. Ao dar um clique duplo no documento, o Windows
2000 Server descriptografa, automaticamente, o arquivo, abre o Word e carrega o arquivo
para voc. Observe que para o usurio toda a operao transparente, ou seja, como se o
arquivo no estivesse criptografado. Se outro usurio, que no o que criptografou o arquivo,
tentar utiliz-lo, receber uma mensagem de acesso negado.
O uso do EFS semelhante ao uso de permisses para arquivos e pastas. Ambos os mtodos
podem ser usados para restringir o acesso aos dados. No entanto, um intruso que obtenha
acesso fsico no-autorizado aos seus arquivos ou pastas criptografados no conseguir
acess-los. Se o intruso tentar abrir ou copiar sua pasta ou arquivo criptografado, ver uma
mensagem de acesso negado. As permisses definidas para arquivos e pastas no os
protege contra ataques fsicos no-autorizados, conforme j descrito anteriormente.
Voc criptografa ou descriptografa uma pasta ou arquivo definindo a propriedade de
criptografia para pastas e arquivos da mesma forma como define qualquer outro atributo,
como somente leitura, compactado ou oculto. Se voc criptografar uma pasta, todos os
arquivos e subpastas criados na pasta criptografada sero automaticamente criptografados.
recomendvel que voc use a criptografia para pastas e no para arquivos
individualmente, pois isso facilita a administrao dos arquivos criptografados.
Nota: Voc tambm pode criptografar ou descriptografar um arquivo ou pasta usando o
comando cipher. Tratarei deste comando mais adiante.
Antes de aprender a criptografar arquivos e pastas, vou apresentar algumas observaes
importantes sobre a criptografia no Windows 2000 Server:
Somente arquivos e pastas em volumes NTFS podem ser criptografados.
As pastas e os arquivos compactados no podem ser cripto.ra5ados% Se o usurio
marcar um arquivo ou pasta para criptografia, ele ser descompactad o
Se voc mover arquivos descriptografados para uma pasta criptografada, esses arquivos
sero automaticamente criptografados na nova pasta. No entanto, a operao inversa no
descriptografa automaticamente os arquivos. Nesse caso, necessrio descriptografar
manualmente os arquivos.
Os arquivos marcados com o atributo Sistema no podem ser criptografados, bem como
os arquivos da pasta raiz do sistema, isto C:\ ou D:\ e assim por diante.
Criptografar um arquivo ou uma pasta no protege contra excluso ou listagem de
arquivos ou pastas. Qualquer pessoa com permisses NTFS adequadas pode excluir ou listar
pastas ou arquivos criptografados. A proteo da criptografia contra o acesso aos arquivos,
ou seja, somente o usurio que criptografou o arquivo ter acesso. Para proteo contra
listagem e excluso recomenda-se o uso do EFS em combinao com permisses NTFS,
utilizando as permisses NTFS para impedir que outros usurios possam excluir e at mesmo
listar os arquivos que esto em um pasta criptografada.
Voc pode criptografar ou descriptografar pastas e arquivos localizados em um
computador remoto ativado para criptografia remota. No entanto, se voc abrir o arquivo
criptografado na rede, os dados transmitidos na rede atravs desse processo no sero
criptografados. Outros protocolos, como a camada de soquetes de segurana/segurana da
camada de transporte (SSL/TLS) ou IP Seguro (IPSec), devem ser usados para criptografar
dados durante a transmisso.
Agora que j temos um bom entendimento sobre os aspectos tericos relacionados com o
EFS, hora de aprender sobre as tarefas prticas, relacionadas com a criptografia de
arquivos e pastas no Windows 2000 Server.
Em primeiro lugar vou falar sobre algumas medidas preventivas que devem ser tomadas,
para garantir que voc sempre possa ter acesso aos arquivos e pastas criptografados.
Garantindo a recupera%&o dos dados.
A criptografia utilizada pelo Windows 2000 Server baseada na utilizao de um par de
chaves de criptografia. Uma chave utilizada para criptografar os dados e a outra chave do
par utilizada para descriptografar os dados. A nica maneira de descriptografar os dados e
ter acesso s informaes tendo acesso as chaves de criptografia. Estas chaves so
armazenadas em um Certificado digital, certificado este que gerado, automaticamente,
pelo Windows 2000 Server, a primeira vez que o usurio criptografa um arquivo ou pasta.
Neste Certificado digital esto todas as informaes necessrias para criptografar e
descriptografar arquivos.
Cada usurio que criptografa/descriptografa arquivos, possui o seu prprio Certificado digital,
gerado automaticamente pelo Windows 2000 Server. Um certificado adicional tambm
gerado para a conta configurada como Agente de recuperao. Desta maneira se o usurio
que criptografou arquivos ou pastas deixar a empresa, ser possvel descriptografar os seus
dados, utilizando a conta configurada como Agente de recuperao, uma vez que esta conta
possui cpia do Certificado digital necessrio a tal operao.
O Certificado digital nada mais do que um arquivo que contm as informaes necessrias
para trabalhar com criptografia no Windows 2000 Server. Como todo arquivo, fica gravado
no disco rgido do computador. Acontece que se houver um problema com o disco rgido, a
cpia do certificado do usurio e do certificado do agente de recuperao sero perdidas
(caso no haja uma cpia de segurana) e, sem um destes certificados, ficar impossvel
descriptografar os arquivos/pastas criptografados pelo usurio. Na prtica, significa que o
acesso aos dados criptografados ser perdido. Para evitar que isto acontea, deve ser feita
uma cpia de segurana, preferencialmente em disquete ou em um drive de rede, do
Certificado digital gerado para o usurio. importante lembrar que este certificado, somente
ser gerado na primeira vez que o usurio criptografar alguma pasta ou arquivo.
A seguir mostrarei como fazer o backup do certificado digital do usurio, do certificado do
agente de recuperao e como restaurar o certificado digital do usurio. Por padro, a conta
Administrator (Administrador) configurada como agente de recuperao.
Para um Member Server, o agente de recuperao padro a conta Administrator
(Administrador) local. Para um domnio baseado no Active Directory, a conta configurada
com agente de recuperao a conta Administrator (Administrador) do domnio. No exemplo
a seguir mostrarei como fazer uma cpia de segurana, em disquete, do certificado digital da
conta Administrator de um domnio.
-'emplo $: Para fazer o backup do certificado do Agente de recuperao para o domnio,
siga os seguintes passos:
1. Faa o logon com uma conta com permisses de Administrador.
2. Abra o console Diretiva de segurana de domnio: Iniciar -> Programas -> Ferramentas
Administrativas -> Diretiva de segurana de domnio.
3. D um clique no sinal de + ao lado da opo Configuraes de segurana. Nas opes que
so exibidas, d um clique no sinal de + ao lado da opo Diretivas de chave pblica.
4. Nas opes que so exibidas d um clique na opo Agentes de recuperao de dados
criptografados. No painel da direita ser exibido o Certificado do Agente de recuperao, que
por padro a conta Administrador, conforme indicado na Figura 1:
Figura 1 ! )onta "dministrator 1 por padrAo > o agente de recuperaAo.
5. No painel da direita, clique com o boto direito do mouse na conta Administrador. No
menu que exibido selecione o comando Todas as tarefas -> Exportar... Ser aberto o
Assistente para exportao de certificados.
6. A primeira tela apenas informativa. D um clique no boto Avanar, para ir para a
prxima etapa do assistente.
7. Nesta etapa voc deve optar por exportar ou no a Chave particular do certificado. A
Chave particular um meio de proteger o acesso ao Certificado digital, atravs de uma
senha. Se voc no tiver uma senha definida, apenas estar habilitada a opo No, no
exportar a chave particular,. Marque a opo No, no exportar a chave particular e d um
clique no boto Avanar, para ir para a prxima etapa do assistente.
8. Surge uma tela perguntando o formato para exportao do certificado. Certifique-se de
que a opo X.509 binrio codificado por DER (*.cer) esteja selecionada e d um clique no
boto Avanar, para ir para a prxima etapa do assistente.
9. Surge uma tela solicitando o nome do arquivo para o qual ser exportado o certificado.
recomendado que voc exporte para um disquete ou para um drive de rede. Certifique-se de
que voc colocou um disquete no drive e, no campo Nome do arquivo, digite:
A:\cert_ag_recup.
10. D um clique no boto Avanar, para ir para a prxima etapa do assistente. O Windows
2000 Server exporta o certificado, para o arquivo especificado no drive de disquete.
11. Ser exibida a tela final do assistente, com um resumo das opes selecionadas. Se voc
quiser fazer alguma alterao, pode utilizar o boto Voltar. D um clique no boto Concluir,
para fechar o Assistente para exportao de certificados.
12. Surge uma mensagem informando que a exportao foi concluda com xito. D um
clique no boto OK para fechar esta mensagem.
13. Voc estar de volta ao console Diretiva de segurana de domnio e uma cpia do
Certificado digital do Agente de recuperao, foi gravada no disquete. No evento de uma
falha do disco rgido, esta cpia pode ser utilizada para descriptografar os arquivos e pastas
criptografados. Feche o console Diretiva de segurana de domnio.
Muito bem, o backup do certificado do agente de recuperao foi efetuado. Em caso de falha
no HD voc pode importar este certificado para descriptografar arquivos que tenham sido
criptografados anteriormente a falha. Claro que deve existir backup destes arquivos, caso
contrrio com a falha no HD voc perder os arquivos e a no haver utilizao para a cpia
do certificado do agente de recuperao que voc fez no Exemplo 1.
-'emplo :: Para fazer o backup do Certificado digital do usurio, gerado automaticamente
pelo Windows 2000 Server, quando o usurio criptografa um arquivo ou pasta pela primeira
vez, faa o seguinte:
1. Faa o logon com um a conta do usurio, para o qual voc deseja fazer uma cpia de
segurana do Certificado digital.
2. Abra o Internet Explorer.
3. Selecione o comando Ferramentas -> Opes da Internet...
4. Na janela Opes da Internet que aberta d um clique na guia Contedo.
5. Na guia Contedo d um clique no boto Certificados... Ser aberta a janela Certificados.
6. Na guia Pessoal, da janela de Certificados, d um clique no certificado que corresponde ao
nome do usurio logado, conforme exemplo da Figura 2, onde foi marcado o certificado para
o usurio user01.
Figura 2 " guia 0essoal da $anela )erti4icados.
7. Clique no boto Exportar..., ser aberto o Assistente para exportao de certificados, com
o qual voc j trabalhou no Exemplo 1.
8. A primeira tela do assistente apenas informativa, d um clique no boto Avanar, para ir
para a prxima etapa do assistente.
9. Nesta etapa voc deve optar por exportar ou no a Chave particular do certificado.
10. Certifique-se de que a opo Sim, exportar a chave particular esteja marcada e d um
clique no boto Avanar, para ir para a prxima etapa do assistente.
11. Surge uma tela perguntando o formato para exportao do certificado. Aceite as
configuraes sugeridas pelo assistente e d um clique no boto Avanar, para ir para a
12. Nesta etapa solicitada uma senha de proteo para abertura do arquivo no qual ser
gravado o certificado. Digite a senha duas vezes para confirmao e d um clique no boto
Avanar, para ir para a prxima etapa do assistente. Esta senha no precisa ser igual a
senha de logon da conta do usurio.
13. Surge uma tela solicitando o nome do arquivo para o qual ser exportado o certificado.
recomendado que voc exporte para um disquete ou para um drive de rede. Certifique-se de
que voc colocou um disquete no drive e, no campo Nome do arquivo, digite:
A:\cert_user01.
14. D um clique no boto Avanar, para ir para a prxima etapa do assistente. O Windows
2000 Server exporta o certificado, para o arquivo especificado no drive de disquete.
para fechar o Assistente para exportao de certificados.
16. Surge uma mensagem informando que a exportao foi concluda com xito. D um
17. Voc estar de volta a guia Pessoal da janela Certificados e uma cpia do Certificado
digital do usurio logado, foi gravada no disquete. No evento de uma falha do disco rgido,
esta cpia pode ser utilizada para descriptografar os arquivos e pastas criptografados pelo
usurio.
18. Clique no boto Fechar para fechar a janela Certificados.
19. Voc estar de volta janela Opes da Internet. D um clique no boto OK para fech-
la.
20. Voc estar de volta ao Internet Explorer. Feche-o.]
Com estes dois exemplos, voc aprendeu a exportar o certificado do agente de recuperao
e tambm o certificado de um usurio. Estes certificados podem ser importados a partir do
disquete, no evento de falha do respectivo certificado original. sempre recomendado que
voc proteja os certificados com a definio de uma senha e mantenha o disquete em local
seguro, pois caso contrrio qualquer usurio que tiver acesso ao disquete poder importar o
certificado (conforme mostrarei logo a seguir) e utiliz-lo para ter acesso aos seus arquivos e
pastas criptografados. Claro que o usurio teria que saber a senha que voc definiu ao
exportar o certificado pessoal. Por isso a importncia da definio de uma senha para
exportao do certificado, pois esta senha ser solicitada quando da importao do
certificado. O certificado somente ser importado com sucesso, se a senha correta for
informada.
Na Figura 3 mostro os dois arquivos, com os certificados que foram exportados nos exemplos
1. e 2. Observe que o Windows 2000 Server usa cones diferentes para o certificado do
Agente de recuperao e para o certificado de usurio.
Figura 3 ! )Epia de segurana dos certi4icados.
Agora vou mostrar como importar um certificado a partir de um arquivo.
-'emplo <: Para importar um certificado siga os passos indicados a seguir:
1. Abra a pasta onde est o certificado. No nosso exemplo, use o Meu computador ou o
Windows Explorer para acessar o disquete (A:\), onde est o arquivo com o certificado a ser
importado.
2. Clique com o boto direito do mouse no arquivo com o certificado a ser importado. Se
voc estiver importando o certificado do agente de recuperao, no menu que surge, d um
clique na opo Instalar Certificado. Se voc estiver importando o certificado de um usurio,
no menu de opes que exibido, d um clique na opo Instalar PFX.
3. No nosso exemplo voc ir importar o certificado de usurio, exportado no Exemplo 2.
Clique com o boto direito do mouse no arquivo correspondente ao certificado a ser
importado (cert_user01.pfx) e no menu de opes que surge, d um clique na opo Instalar
PFX.
4. Ser aberto o Assistente para importao de certificados.
5. A primeira tela apenas informativa. D um clique no boto Avanar, para seguir para a
6. O campo Nome do arquivo j vem preenchido com o caminho e o nome do arquivo no
qual clicamos com o boto direito do mouse. D um clique no boto Avanar, para seguir
para a prxima etapa do assistente.
7. Se houver uma senha definida para o certificado, surgir uma tela solicitando que seja
digitada a senha. Digite a senha e d um clique no boto Avanar, para seguir para a
8. Nesta etapa voc deve indicar o local para onde ser importado o certificado. Aceita a
opo sugerida pelo assistente, que por padro : Selecionar automaticamente o
armazenamento de certificados conforme o tipo de certificado)
9. D um clique no boto Avanar, para ir para a prxima etapa do assistente.
para fechar o Assistente para importao de certificados.
11. Surge uma mensagem informando que a importao foi concluda com xito. D um
Agora sim, voc j sabe exportar e importar certificados, para garantir o acesso aos dados
criptografados. Agora hora de comear a trabalhar com a criptografia no Windows 2000
Server.
+riptogra4ando ar"ui#os e pastas
possvel criptografar arquivos individualmente, porm recomendado que voc utilize a
criptografia sempre em pastas. Ao criptografar uma pasta, todos os novos arquivos que
forem criados dentro da pasta j sero automaticamente criptografados. Com isso voc
garante que todo o contedo da pasta esteja protegido.
Ao criptografar uma pasta e o seu contedo, somente o usurio que criptografou a pasta,
ter acesso aos seus arquivos. Outros usurios podero entrar na pasta e at mesmo vero
uma listagem dos arquivos, porm ao tentar abrir um arquivo, recebero a mensagem
indicada na Figura 4.
Figura # ! ?ensagem de acesso negado.
Nota: Para impedir que outros usurios possam entrar em uma pasta que voc criptografou
e visualizar a listagem de arquivos, configure as permisses NTFS de tal maneira que
somente voc possa listar os arquivos desta pasta.
-'emplo <: Para criptografar uma pasta e todo o seu contedo, siga os passos indicados a
seguir:
1. Faa o logon com a sua conta de usurio. Somente o usurio logado ter acesso aos
arquivos da pasta que forem criptografados enquanto voc estava logado com a sua conta
de usurio.
2. Usando o Meu computador ou o Windows Explorer, localize a pasta a ser criptografada.
3. Clique com o boto direito do mouse na pasta a ser criptografada e, no menu de opes
que exibido, d um clique na opo Propriedades. Ser aberta a janela de propriedades da
pasta, com a guia Geral selecionada.
4. D um clique no boto Avanados... Ser aberta a janela Atributos avanados.
5. Para criptografar a pasta marque a opo Criptografar o contedo para proteger os dados,
conforme indicado no exemplo da Figura 5.
Figura & ! " opAo )riptogra4ar o conte3do para proteger os dados.
6. D um clique no boto OK. Voc estar de volta janela de propriedades da pasta.
7. D um clique no boto OK. Surge uma janela perguntando se voc deseja criptografar
somente a pasta em questo ou todas as suas subpastas e arquivos. Aplicar as alteraes a
esta pasta, subpastas e arquivos e d um clique no boto OK.
8. O Windows 2000 Server inicia o processo de criptografia da pasta e de todo o seu
contedo. Dependendo da quantidade de arquivos e subpastas, o processo de criptografia
pode demorar alguns minutos. Durante este processo exibida uma janela com o progresso
da criptografia.
Pronto. A pasta est criptografada e somente o usurio que a criptografou ter acesso a
pasta.
Al.umas observa=es:
As pastas e os arquivos compactados no podem ser, ao mesmo tempo, criptografados.
Se voc criptografar uma pasta ou um arquivo compactado, essa pasta ou esse arquivo ser
descompactado.
Os arquivos marcados com o atributo Sistema no podem ser criptografados, bem como
os arquivos que se encontram na estrutura de diretrios raiz dos volumes (C:\, D:\ e assim
por diante).
Ao criptografar um nico arquivo, voc poder optar se deseja criptografar a pasta que
contm o arquivo. Se voc escolher essa opo, todos os arquivos e subpastas que forem
adicionados posteriormente pasta sero criptografados quando forem adicionados.
Ao criptografar uma pasta, voc poder optar se deseja que todos os arquivos e
subpastas dentro da pasta tambm sejam criptografados. Se voc escolher essa opo,
todos os arquivos e subpastas atualmente na pasta sero criptografados, bem como
quaisquer arquivos e subpastas que forem adicionados pasta mais tarde. Se voc optar por
criptografar somente a pasta, todos os arquivos e subpastas que se encontram atualmente
na pasta no sero criptografados. No entanto, quaisquer arquivos e subpastas que forem
adicionados pasta mais tarde sero criptografados quando forem adicionados.
aconselhvel que voc sempre opte por criptografar todo o contedo da pasta, conforme
descrito no passo 7 do Exemplo anterior. Com isso voc no ter que manter um controle
sobre quais pastas e/ou arquivos esto criptografados e quais no esto.
Para criptografar um nico arquivo, o processo semelhante a criptografar uma pasta,
conforme descrito nos passos a seguir:
1. Utilizando o Windows Explorer ou o Meu computador, localize o arquivo a ser
criptografado.
2. Clique com o boto direito do mouse no arquivo a ser criptografado. No menu de opes
que surge, d um clique na opo Propriedades. Ser aberta a janela de propriedades do
arquivo, com a guia Geral selecionada por padro.
3. D um clique no boto Avanados.... Ser exibida a janela Atributos avanados.
4. Marque a opo Criptografar o contedo para proteger os dados e d um clique no boto
OK.
5. Ser aberta a janela Aviso de criptografia, perguntando se voc deseja criptografar o
arquivo e a pasta pai (pasta onde est o arquivo) ou somente o arquivo, conforme indicado
na Figura 6.
Figura ( ! " $anela ",iso de criptogra4ia.
Nota: Se voc no quiser mais receber este aviso e fazer com que o Windows 2000 Server
faa sempre a criptografia somente do arquivo, marque a opo Sempre criptografar
somente o arquivo.
6. Na janela Aviso de criptografia selecione a opo desejada e d um clique no boto OK.
7. Voc estar de volta janela de propriedades do arquivo.
8. D um clique no boto OK. O Windows criptografa o arquivo e, dependendo das opes
que voc selecionou, tambm a pasta onde est o arquivo.
Nota: Voc tambm pode criptografar arquivos e pastas que esto em pastas
compartilhadas, em outros computadores da rede. Basta mapear uma unidade para a pasta
compartilhada, onde esto os arquivos e pastas a ser criptografados e utilizar os
procedimentos descritos neste tpico, para criptograf-los.
(pera%2es com ar"ui#os criptogra4ados.
Ao copiar ou mover arquivos criptografados, diferentes situaes podem ocorrer dependendo
de a pasta de destino ser ou no criptografada e de estar ou no em um volume formatado
com NTFS. A seguir descrevo algumas situaes envolvendo aes de copiar e mover com
arquivos criptografados.
Ao copiar um arquivo no criptografado, para uma pasta criptografada, a cpia do
arquivo ser criptografada na pasta de destino. Por exemplo, voc copia o arquivo no
criptografado memo.doc, da pasta Meus documentos para a pasta Documentos pessoais, a
qual est criptografada. O arquivo memo.doc copiado para a pasta Documentos pessoais
ser criptografado.
Ao copiar um arquivo criptografado, para um volume NTFS em outro computador com o
Windows 2000, Windows XP Professional ou Windows Server 2003, o arquivo manter a
criptografia. Se o computador de destino estiver rodando o Windows NT ou o volume for
formatado com FAT, a cpia do arquivo no ser criptografada.
Se voc mover um arquivo criptografado para outra pasta, no mesmo volume, o arquivo
mantm a criptografia. Se voc mover um arquivo criptografado para outro volume, o
Windows 2000 Server considerar esta operao como sendo uma cpia, onde o arquivo
excludo na pasta de origem e copiado para a pasta de destino. Neste caso, o arquivo segue
as regras explicadas no primeiro item.
No esquea: Se voc tentar mover um arquivo criptografado por outro usurio, para um
volume formatado com FAT, na tentativa de obter uma cpia no criptografada do arquivo,
voc receber uma mensagem de Acesso negado, pois para descriptografar o arquivo (o que
necessrio para mov-lo para um volume FAT), voc teria que ter acesso ao Certificado
digital do usurio que criptografou o arquivo, conforme descrito anteriormente.
Se voc renomear um arquivo criptografado, o arquivo continuar criptografado.
Ao excluir um arquivo, a cpia do arquivo que fica na Lixeira, continuar criptografada.
Se voc fizer uma cpia de segurana de arquivos criptografados para uma fita de
Backup ou para um outro volume NTFS, a cpia de segurana permanecer criptografada.
Se voc quiser utilizar arquivos criptografados em outro computador, ter que importar o
seu Certificado digital no computador de destino, conforme descrito anteriormente.
-escriptogra4ando ar"ui#os e pastas.
Enquanto um determinado arquivo estiver criptografado, o uso deste arquivo no muda para
o usurio, ou seja, quando o usurio abre um arquivo criptografado, o Windows 2000 Server
utiliza as informaes do Certificado digital do usurio para descriptografar o arquivo e
fornecer os dados para o usurio. Este processo completamente transparente para o
usurio, conforme j descrito anteriormente.
O usurio pode descriptografar um arquivo e/ou pasta a qualquer momento que desejar. O
usurio pode utilizar este mecanismo em diversas situaes, como por exemplo, para
fornecer acesso ao arquivo para outros usurios. Para descriptografar um arquivo ou pasta
extremamente simples, basta seguir os seguintes passos:
1. Localize o arquivo ou pasta a ser descriptografado e d um clique com o boto direito do
mouse nele.
2. No menu de opes que surge d um clique em Propriedades. Ser exibida a janela de
propriedades do arquivo/pasta.
3. Na guia General, da janela de Propriedades, d um clique no boto Avanados...
4. Na janela Atributos avanados, desmarque a opo Criptografar o contedo para proteger
os dados.
5. D um clique no boto OK.
6. Voc estar de volta janela Propriedades. D um clique no boto OK.
7. Se voc estiver descriptografando uma pasta, surge a mensagem indicada perguntando se
voc deseja descriptografar apenas a pasta ou todo o seu contedo. Selecione a opo
desejada e d um clique no boto OK.
8. A pasta ser descriptografada e tambm o seu contedo, dependendo das opes
selecionadas. Se voc optar por descriptografar somente a pasta, novos arquivos criados na
pasta no sero criptografados, porm os arquivos j existentes, mantero a criptografia.
Alterando a direti#a de recupera%&o do +omputador local
possvel alterar as configuraes do Agente de recuperao do seu computador ou no caso
de trabalhar em um domnio, do domnio como um todo. Voc pode adicionar novas contas,
alm da conta padro Administrador, pode inclusive excluir todos os usurios da lista de
Agentes de recuperao, o que implicar na desabilitao do sistema de criptografia,
conforme ser detalhado mais adiante.
-'emplo Q: Para alterar a diretiva de recuperao do domnio, faa o seguinte:
1. Faa o logon com uma conta com permisses de Administrador.
2. Abra o console Diretiva de segurana de domnio: Iniciar -> Programas -> Ferramentas
Administrativas -> Diretiva de segurana de domnio.
3. D um clique no sinal de + ao lado da opo Configuraes de segurana. Nas opes que
so exibidas, d um clique no sinal de + ao lado da opo Diretivas de chave pblica.
4. Nas opes que so exibidas d um clique na opo Agentes de recuperao de dados
criptografados. No painel da direita ser exibido o Certificado do Agente de recuperao, que
por padro a conta Administrador.
5. Clique com o boto direito do mouse na opo Agentes de recuperao de dados
criptografados e siga uma dos seguintes caminhos:
5.1. Para designar um usurio como agente de recuperao adicional atravs do Assistente
para adicionar agente de recuperao, clique na opo Adicionar...) e siga os passos do
assistente.
5.2. Para solicitar um novo certificado de recuperao de arquivo atravs do Assistente para
solicitao de certificados, clique em Novo -> Agente de recuperao criptografado.... Ser
aberto o Assistente para adicionar agente de recuperao. Siga os passos do assistente.
5.3. Para excluir essa diretiva de EFS e todos os agentes de recuperao, clique em Todas as
Tarefas -> Excluir diretiva. Se voc selecionar essa opo, os usurios no podero mais
usar criptografia nos computadores do domnio. O Windows 2000 Server no permite que
voc faa a criptografia de arquivos se no houver um Agente de recuperao configurado.
Para voltar a habilitar a criptografia de arquivos, voc deve seguir os passos descritos neste
exemplo e adicionar um Agente de recuperao.
6. Aps ter configurado as opes desejadas, feche o MMC. Surge uma janela perguntando
se voc deseja salvar o console. Clique em No.
Al.umas observa=es importantes:
Antes de qualquer alterao na diretiva de recuperao, voc deve fazer um backup das
chaves de recuperao em um disquete, conforme descrito nos exemplos anteriores. Este
procedimento garante que os arquivos podero ser descriptografados caso haja algum
problema com as configuraes do Agente de recuperao.
necessrio fazer logon como administrador ou com uma conta com permisses de
administrador para executar estas aes.
Se a sua conta for configurado como Agente de recuperao, voc poder descriptografar
arquivos criptografados por outros usurios, simplesmente acessando as propriedades do
arquivo, clicando no boto Avanado...s e desmarcando a opo Criptografar o contedo
para proteger os dados. Para realizar tal operao, o Certificado digital correspondente a
conta do Agente de recuperao deve estar instalado no computador onde a operao ser
realizada. Para maiores detalhes sobre a Importao e Exportao de certificados, consulte a
parte inicial deste tpico.
*ecomenda%2es sobre a criptogra4ia de pastas e ar"ui#os
Neste item coloco algumas recomendaes sobre a criptografia de pastas e arquivos. Estas
recomendaes so baseadas na documentao oficial da Microsoft:
Para obter o mximo de segurana, criptografe as pastas antes de criar arquivos
importantes nelas. Isso faz com que os arquivos criados sejam automaticamente
criptografados e seus dados nunca sejam gravados em disco como texto sem formatao.
Se voc salvar a maior parte dos seus documentos na pasta Meus documentos,
criptografe-a. Isso assegura que seus documentos pessoais sejam criptografados por padro.
No caso de perfis de usurios mveis, deve-se fazer isso apenas se a pasta Meus
documentos for redirecionada para um local de rede.
Criptografe pastas em vez de arquivos individuais para que, caso um programa crie
arquivos temporrios durante a edio, eles tambm sejam criptografados.
O agente de recuperao designado dever exportar o certificado de recuperao de
dados e a chave particular para um disco, guard-los em um local seguro e excluir do
sistema a chave particular de recuperao de dados. Dessa forma, a nica pessoa que
poder recuperar dados do sistema ser aquela que possui acesso fsico chave particular
de recuperao de dados. Estes procedimentos foram descritos no incio deste tpico.
Deve-se manter o menor nmero possvel de agentes de recuperao designados. Desse
modo, menos chaves ficaro expostas ao ataque criptogrfico e haver mais garantias de
que os dados criptografados no sejam descriptografados inadequadamente.
( comando cip)er
O comando cipher utilizado para exibir ou altera a criptografia de pastas e arquivos em
volumes formatados com NTFS. Quando utilizado sem parmetros, cipher exibe o estado de
criptografia da pasta atual e de quaisquer arquivos que ela contenha.
Sinta'e para o comando cip(erE con5orme documentao o5icial da !icroso5t:
cipher [{/e|/d}] [/s:dir] [/a] [/i] [/f] [/q] [/h] [/k] [/u[/n]] [nome_de_caminho [...]] |
[/r:nome_de_caminho_sem_extenso] | [/w:nome_de_caminho]
Na tabela 1, apresento a descrio dos parmetros do comando cipher.
*a+ela .1 0armetros do comando cip%er
ParFmetro +escrio
/e
Criptografa as pastas especificadas. As pastas sero marcadas para que
os arquivos adicionados a elas posteriormente tambm sejam
criptografados.
/d Descriptografa as pastas especificadas.
/s:dir
Efetua a operao selecionada na pasta especificada e em todas as
subpastas.
/a Efetua a operao nos arquivos e pastas.
/i
Continua a efetuar a operao especificada mesmo aps a ocorrncia de
erros. Por padro, cipher interrompido quando um erro encontrado.
/f
Fora a criptografia ou descriptografia de todos os objetos especificados.
Por padro, os arquivos que j tenham sido criptografados ou
descriptografados sero ignorados por cipher.
/q Reporta somente as informaes mais essenciais.
/h
Exibe arquivos com atributos de sistema ou ocultos. Por padro, esses
arquivos no so criptografados ou descriptografados.
/k
Cria uma nova chave de criptografia de arquivo para o usurio que
estiver executando o comando cipher. Se voc usar esta opo, cipher
ignorar todas as outras opes.
/u
Atualiza a chave de criptografia de arquivo do usurio ou a chave do
agente de recuperao, utilizando as mais atuais em todos os arquivos
criptografados nas unidades locais (isto , se as chaves tiverem sido
alteradas). Esta opo s funciona com /n.
/n
Evita que as chaves sejam atualizadas. Use esta opo para localizar
todos os arquivos criptografados nas unidades locais. Esta opo s
funciona com /u.
nomedecaminho Especifica um padro, arquivo ou pasta.
/r :nome de
caminho sem
extenso
Gera uma nova chave particular e um novo certificado de agente de
recuperao e grava-os nos arquivos com o nome de arquivo
especificado em nome_de_caminho_sem_extenso. Se voc usar esta
opo, cipher ignorar todas as outras opes.
/w:nome de
caminho
Remove os dados que se encontram em partes no utilizadas de um
volume. nome_de_caminho pode indicar qualquer pasta no volume
desejado. Se voc usar esta opo, cipher ignorar todas as outras
opes.
/? Exibe informaes de ajuda no prompt de comando.
Nota: O comando cipher no criptografa arquivos que estejam marcados como somente
leitura.
-is al.uns e'emplos do comando cip(er:
1. Para usar o comando cipher para criptografar uma subpasta denominada Memorandos em
uma pasta denominada Documentos, utilize o seguinte comando:
cip(er Ge +ocumentos@!emorandos
2. Para criptografar a pasta Documentos, e todas as sua subpastas, digite o seguinte
comando:
cip(er Ge Gs:+ocumentos
3. Para criptografar apenas o arquivo finanas.xls na subpasta Planilhas, da pasta
Documentos, utilize o seguinte comando:
cip(er Ge Ga +ocumentos@Planil(as@5inanas%'ls
4. Para criptografar todos os arquivos .xls da subpasta Planilhas, da pasta Documentos,
digite o seguinte comando:
cip(er Ge Ga +ocumentos@Planil(as@R%'ls
5. Para determinar se a pasta Documentos est criptografada, utilize o seguinte comando:
cip(er +ocumentos
Para determinar os arquivos na pasta Documentos que esto criptografados, utilize o
seguinte comando:
cip(er +ocumentos@R
+onclus&o
Neste tutorial voc aprendeu sobre o recurso de criptografia de pastas e arquivos no
Windows 2000 (Professional ou Server). Voc aprendeu sobre o uso de certificados e a sua
relao com o recurso de criptografia. Falei sobre o conceito de Agente de Recuperao e
sobre como fazer um backup do certificado da conta configurada como agente de
recuperao. Tambm mostrei como executar as operaes prticas, relacionadas com
criptografia, tais como criptografar e descriptografar arquivos e pastas.

Dicas de Win2000 Server

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Dicas de Win2000 Server

Uploaded by

Copyright:

Available Formats

Gerenciando de Volumes no Windows 2000

Neste tutorial veremos os conceitos de armazenamento bsico e armazenamento dinmico,

You might also like