Com muito orgulho inicio aqui nossa série de artigos sobre Windows Server 2003.

Nosso primeiro artigo introduzirá à família Windows Server 2003.

As Edições do Windows Server 2003 são 4.

• Windows Server2003, Web Edition

• Windows Server2003, Stantard Edition
• Windows Server2003, Enterprise Edition
• Windows Server2003, DataCenter

A Edição Web é uma edição reduzida que a Microsoft lançou no mercado para competir
com outros OS que tem a simples função de servidor Web. Rodando o IIS (servidor de
internet e FTP da Microsoft, vem junto do Windows nas famílias Windows XP, Server
2003, Vista, NT e virá na ainda não inaugurada versão 2008). Suporta 2 GB de RAM e
Multiprocessador simétrico de duas vias. Fornece conexões anônimas ilimitadas e 10
com o protocolo SMB. Não é para serviços de DHCP, TS, roteador de internet, servidor
de fax.

A Edição Standard é um servidor muito mais consistente e atende a várias finalidades

como serviços de TS, servidor de arquivos, diretórios, impressão, aplicativos,
multimídia e web. Indicado inicialmente para até médias empresas, possui também
capacidade de ser usado como um pequeno servidor de POP3 e possui capacidade de
balanceamento de carga de rede (NBL). O Windows Server 2003 Standard Edition
suporta até 4GB de RAM processadores de até 4 vias.

A edição Enterprise edition do Windows Server 2003 foi desenvolvida para ser utilizada
como servidor para grandes corporações. Suportando até 8 processadores e 32GB de
memória RAM, cluster de 8 nós (incluindo clusters SAN) e possibilidade de ser utilizado
por computadores Intel Itaniumde 64 bits suportando assim 64GB de RAM e SMP
(processadores) de até 8 via essa edição do Server 2003 possui todas as
funcionalidades das edições anteriormente citadas e ainda MMS (Microsoft
Metadirectory Services), Hot-Swap para memória RAM, WSRM (Windows System
Resouces Manager) que suporta alocação de recursos de hardware a cada aplicação.

Datacenter Edition. É disponível apenas como versão OEM e suporta todos os recursos
das edições anteriores além de SMP de 32 vias e 64 GB de RAM para plataformas de
32 bits e incríveis 512 GB de RAM e SMP de 64 vias para as plataformas 64 bits.

1º resumo

Estamos hoje, fechando nossa primeira parte do estudo para a certificação MCP 70-290
em que englobou:

Versões do Windows Server 2003 e instalação

Introdução ao MMC, assistência remota e gerenciamento remoto.

->Objetos do AD

-> Contas de Usuário

-> Contas de Grupo

1
-> Contas de Computador

Dentro desse resumo encontraremos informações importantes relativas a

administração do AD dentro dos pontos acima citados. Esse resumo dos artigos até
agora é um conjunto de notas e lembretes para o nosso simulado que será publicado
essa semana. Essa divisão em partes é apenas uma divisão didática como já fizemos
anteriormente nessa série de estudo.

Versões do Windows Server 2003.

O Windows Server 2003 é dividido em 4 versões (sem esquecer das versões 64 bits):

Windows Server 2003, Web Edition-> suporta 2 GB de RAM e um multiprocessador

simetrico de duas vias. Fornece ilimitadas conexões web anônimas e 10 por SMB. Não
possui suporte a servidor DHCP, nem fax, nem Terminal Server, nem pode ser roteador
de internet.

Windows Server 2003, Standard Edition-> suporta 4 GB de RAM processadores

simétricos de 4 vias. Possui todas as funcionalidades da Web Edition mais serviços de
POP3, MS SQL Server Database Engine, Serviços de Balanceamento de carga, capaz de
suprir demanads de serviços de diretórios, arquivos, impressão, aplicativos, multimídia
e web. Desenhado para pequenas ou médias empresas ou servidores de pequeno ou
médio porte.

Windows Server 2003, Enterprise Edition->Versão desenvolvida para grandes

servidores suporta todas as funcionalidades da Standard Edition com acréscimo das
seguintes: Hot-Swap de RAM, suporte para serviços de metadiretorios MMS, WSRM
sistema de gerenciamento de recursos que permite alocação de RAM ou CPU por
aplicação. Suporta 32 GB de RAM e clusteres de até 8 nós nas versões 32 bits e 64 GB
de RAM com processadores de 8 vias para as versões 64 bits e itanium.

Windows Server 2003, Datacenter Edition-> Disponível apenas OEM, suportando todas
as funcionalidades das versões anteriores com capacidade para até 64 GB de RAM e
Processadores de 32 vias para versões 32 bits e, incríveis 512 GB de RAM com
processadores de 64 vias com 64 vias. E, há ainda, uma versão de 128 vias sendo
duas de 64 vias.

Considerações sobre as versões 64 Bits.

Essas versões operam sobre plataformas de hardware significativamente mais rápidas,

porém não suportam alguns recursos tais como aplicativos 16 bits e certos tipos de
protocolos para clientes de serviços de impressão Apple.

Instalação do Windows Server 2003 e Active Directory

Mesmo não sendo o foco da prova de certificação, tanto as versões quanto a instalação
são importantes para o certificando no momento do dia D, pois sabendo todas as
funcionalidades do Server 2003 pode ajudar na hora da prova e com certeza ajudará
no dia-a-dia.
O Windows Server 2003 pode ter a função de Servidor de Arquivos, impressão,
aplicativos, fax, TS, e-mail, DNS, controlador de domínio, VPN, etc. Porém antes de
veremos como instalar os esses serviços e o próprio sistema operacional em si faz-se

2
necessário lembrar o que vêm a ser o Active Directory e seus principais componentes,
que são alvos da prova 70-290 e desse curso.

Active Directory nada mais é do que um banco de dados com informações relativas a
objetos que representam usuários, grupos de usuários, computadores e unidades da
empresa. Esses objetos estão sob uma hierarquia em que o domínio está no primeiro
plano, seguido de outros containeres que podem ser as OU, que podem conter outras
OU ou outros Objetos. Esses objetos possuem características e propriedades que
definem suas restrições e características.

Quando temos um domínio e mais de um subdomínio é formada uma estrutura

conhecida por árvore. Quando essa estrutura é formada por diversos domínio
relacionados e com diversos subdomínio a estrutura passa a se chamar floresta.

Instalação do Windows Server 2003.

A instalação do Windows Server 2003 é feita parte em modo texto e parte em modo
gráfico sendo instalada por meio de CD-ROM sem suporte a instalação por disquetes
(como era em versões anteriores). A instalação inicia-se do CD-ROM quando não
encontra outro sistema operacional na máquina ou pressionando-se qualquer botão
durante o boot se já houver. No modo texto você escolherá a partição, tamanho e tipo
de partição que será instalado o Windows terminando essa parte com a cópia dos
arquivos para o HD.

Já no modo gráfico GUI você terá, entre outras opções, a escolha da rede e
configurações regionais, de idioma e teclado.

A instalação de qualquer serviço do Windows Server 203 pode ser feita por meio da
tela configurando o servidor, ou instalar componentes opcionais de Windows ou pelo
CD do Windows Server 2003. A Instalação do AD pode ser feita digitando-se DCPROMO
em inciar-> executar.

Console de gerenciamento Microsoft (Microsoft Management Console)

O MMC é uma interface agradável e lembra muito a interface do Windows Explorer.

Nesse console de gerenciamento você poderá gerenciar servidores e estações de
trabalho remotas ou locais. O MMC possui ferramentas poderosas chamadas de snap-
ins e eles são componentes de programas de gerenciamento do Windows ou de outros
programas. Sendo assim os snap-ins podem ser autônomos ou de extensão. São
autônomos quando fornecidos por um desenvolvedor do aplicativo e não são
dependentes de outro snap-in, logo os snap-ins de extensão (alguns casos os snap-ins
de extensão podem funcionar como autônomos também como é o caso do visualizador
de eventos que está em gerenciamento do computador ou sozinho) estão localizados
em outros snap-ins.

É possível, e muito aconselhável, criar snap-ins para gerenciamento de fins específicos.

Assim sendo, pode-se criar no modo autor e no modo usuário. O modo autor dá
permissões totais ao MMC gravado. No modo usuário é possível dar permissões mais
especificas ao MMC gravado. Para escolher o tipo de MMC que deve ser salvo vá em
arquivos-> opções. O uso do MMC remotamente pressupõe que você tenha permissões
administrativas sobre a máquina remota.

3
Gerenciamento remoto e área de trabalho remota.

A família Windows Server 2003, incluindo a Web Edition que não tem suporte a TS mas
possui área de trabalho remota, possui funcionalidades para gerenciamento da área de
trabalho remotamente. Essa funcionalidade é estendida para os usuários dos grupos de
administração.

Para se utilizar da área de trabalho remota, primeiramente é necessária que a

configuração de rede permita tal acesso. Para isso a porta 3389 do firewall (porta
padrão que pode ser alterada) deve estar liberada. E para essa mesma porta deve
existir um redirecionamento (regra de NAT) que traduza a solicitação de fora da rede
para uma chamada do IP do servidor a ser administrado. Em segundo lugar o servidor
dever permitir tais conexões para isso em painel de controle-> sistema ou em iniciar->
executar-> sysdm.cpl na guia remoto deve estar marcada a caixa habilitar área de
trabalho remota neste computador. A configuração inicial apenas com estes dois
passos já está feita. Observação: por padrão o firewall do Windows na máquina
servidor está marcada como exceção a área de trabalho remota.

Os serviços de terminal não podem ser confundidos com área de trabalho remota para
gerenciamento. Pois esta não exige licenciamento adicional aquela sim. Esta é um
componente padrão do Windows, aquela é instalado separadamente após a instalação
do Windows. Esta permite 2 usuários remotos mais o usuário local, aquela permite
quantos usuários forem licenciados.

Solicitação remota

A solicitação remota é o inverso da área de trabalho remota, mas utiliza-se dos

mesmos recursos de software que ela. A assistência remota pode ser utilizada por
meio do centro de ajuda e suporte ou por meio do Windows Messenger. Ela ocorre
quando um usuário remoto solicita suporte por meio de uma solicitação por arquivo, e-
mail ou comunicação segura.

Contas de usuário

Os objetos de contas de usuário podem ser criados por meio do MMC usuário e
computadores do Active Directory ou por linha de comando. Os objetos de contas de
usuários armazenam informações referentes a usuários, suas identificações e
permissões. Para isso, o Ad se encarrega de verificar na SID (identificação d e
segurança dos usuários) a qual domínio, grupos, OUs ele pertence e assim que é feito
o logon essa informação é retornada do servidor a partir do nome de usuários e senha
que contém as informações de controles de acesso (ACL- Access Control List) e assim o
usuário está identificado na rede.

Como esse artigo se trata de um resumo de referencia do nosso guia de estudo iremos
apenas apresentar as informações e definições mais importantes acerca de objetos de
usuários.

A primeira definição importante seria o DN ou nome distinto significa o caminho

hierárquico para chegar ao objeto dentro do domínio. Este nome é uma identificação
única, chave única, dentro do domínio. Outro ponto importante para a prova 70-290 é
identificar dentro de um contexto dado a(s) melhor(es) ferramenta(s) para criação e
gerenciamento de usuários num AD. Lembremo-nos que podemos alterar muitas das
propriedades e locais de um objeto dentro do console de gerenciamento gráfico MMC e

4
muitas das automatizações podem ser feitas sem prejuízo do resultado e com tempo
menos por meio do uso de linha de comando.

Os comandos de linha podem ser resumidos como abaixo.

DSADD -> cria objetos no AD. Permite pipes com outros comandos e parâmetros
adicionais alem do uso em servidores remotos.

DSMOD -> Modifica as propriedades de um ou mais objetos. Permite pipes com outros
comandos e parâmetros adicionais alem do uso em servidores remotos.

DSGET -> retorna valores de propriedades selecionadas em parâmetros para um ou

mais de um objeto. Permite pipes com outros comandos e parâmetros adicionais alem
do uso em servidores remotos.

DSMOVE -> Permite mover ou alterar o nome de um ou mais de um objeto. Permite

pipes com outros comandos e parâmetros adicionais alem do uso em servidores
remotos.

DSRM -> exclui um ou mais de um objeto, árvore (de objetos de um domínio) ou

ambos. Permite pipes com outros comandos e parâmetros adicionais alem do uso em
servidores remotos.

DSQUERY ->Consulta objetos que tenham valores iguais para determinados critérios.
É diferente do DSGET, pois aquele retorna valores de propriedades e este retorna
conjuntos de objetos. Para se lembrar dessa diferença lembre-se que este comando
serve de pipe para outros e como os outros comandos precisam de objetos para
alterar, criar, modificar ou excluir propriedades este comando só poderia retornar
objetos para as consultas e não propriedades. Este comando permite pipes com outros
comandos e parâmetros adicionais alem do uso em servidores remotos.

Perfis Locais e remotos

Antes de tudo, perfil não é uma propriedade de objeto e sim um caminho para uma
pasta que guardará arquivos e configurações deste. Não confunda, mesmo que essa
informação esteja sob o caminho propriedades. Perfil local é o perfil que está disponível
na máquina do usuário e apenas lá. Perfil móvel é quando as informações,
configurações e documentos relativos àquele está disponível em uma pasta num
servidor. Num perfil móvel quando o usuário faz logon pela primeira vez numa máquina
os arquivos daquele usuário são baixados do servidor para a máquina local e quando o
usuário faz logoff apenas os arquivos alterados são enviados para o servidor
novamente. Os perfis móveis além de muito práticos permitem administração da
segurança dos arquivos dos usuários por meio do escaneamento garantido em um só
local, backup dos dados, escalabilidade, etc. Os perfis móveis também são chamados
de RUPs.

Perfis Pré-configurados

Os perfis pré configurados fornece um ambiente de trabalho padrão para os usuários

facilitando o suporte e removendo acessos a recursos desnecessários. Para criar um
perfil pré configurado faça logon com uma conta e altera as configurações de acordo
com suas necessidades. Faça Logoff e logon novamente com uma conta de
administrador ou operador de conta. Entre em sistema no painel de controle e na guia

5
avançado vá em perfis de usuário, selecione o perfil criado e copiar para. Digite um
caminho seguindo o formato UNC \\servidor\sistema\comprtilhamento\%username%\
e na seção uso permitido selecione os usuários ou grupos que terão esse perfil.

Para tornar esse perfil obrigatório, ou seja, inalterável pelo usuário altere o arquivo na
pasta compartilhada do usuário de NtUser.dat para NtUser.man. Veja que não há
permissões envolvidas com a criação de perfis obrigatórios e tampouco diretivas,
apenas a alteração do nome de um arquivo.

Contas de grupo

As contas de grupo podem se dividir em contas locais de domínio, grupos globais,

grupos universais. Nesse resumo nos ateremos para os níveis funcionais Windows
Server 2003, mas lembre-se que há diferenças significativas para as contas de grupo
em diferentes grupos funcionais e que elas podem fazer a diferença entre a aprovação
e reprovação no exame e no cotidiano do administrador de redes e servidores
Windows.

Os escopos de grupo são:

Grupos locais: pode conter usuários de qualquer domínio, porém só podem ser usados
no domínio ao qual residem

Grupos Globais: podem utilizar objetos dentro do mesmo domínio, porém suas
permissões podem ser utilizadas em qualquer domínio.

Grupos Universais: podem ser utilizados em qualquer usuário de qualquer domínio com
permissões para qualquer domínio confiável.

Conversões de grupo

Pode ocorrer a conversão caso o grupo não seja membro de outro grupo de mesmo
escopo. Por exemplo, um grupo local que é membro de outro grupo local, ou um
grupo global que é membro de outro grupo global.

Ferramentas de automação/gerenciamento de objetos de grupos

LDIFDE ou formato de troca de dados (LDIF – Data Interchange Format) é uma

ferramenta para processar operações em arquivos de lotes dentro do protocolo LDAP
(Ligthweight Access Protocol). È usado para importações ou exportações de dados.
Pode se utilizar de pipes com o comando DSQUERY. Comporta vários parâmetros que
entre eles estão a utilização em um servidor remoto ou local com outro nome de
usuário e senha.

DSADD permite a criação de grupos da mesma forma que a vista anteriormente para
criação de usuários, porém com algumas diferenças na sintaxe. Pode ser utilizados
com pipes de outros comandos entre eles o DSQUERY e comporta os parâmetros para
a criação em servidores remotos ou local outro com nome de usuários e senha.

DSGET obtém informações a partir de uma propriedade especificada. Pode ser utilizado
com pipes em outros comandos. Comporta os parâmetros para a criação em servidores
remotos ou local outro com nome de usuários e senha.

6
DSMOD altera as propriedades de um grupo e de vários. Pode ser utilizado com pipes
em outros comandos. Comporta os parâmetros para a criação em servidores remotos
ou local outro com nome de usuários e senha.

Contas de Computador

Lembremos que para a criação de objetos de contas de computador o computador

cliente deve estar associado ao domínio. A criação da conta do computador será criada
por um administrador ou operador de conta. A associação deve ser feita na máquina
cliente por um administrador da maquina local e será vinculada por um administrador
ou operador de conta ou outro usuário qualquer que receba essa delegação.

Os problemas com contas de computador são facilmente resolvidos se seguirmos esses

passos:

-> Redefinir a conta de computador

-> Criar uma conta de computador

-> remover o computador do domínio

-> re-associar o computador ao domínio

A criação de contas de computador automatizada segue os comandos DSADD e

NETDOM. Que, por sua vez, têm a sintaxe:

“NETDOM add ND(computador) / domain:nome_dominio /userd: Nome_usuário

/password: senha”

“DSADD computers ND(do objeto)” (da mesma forma como vista anteriormente este
comando aceita pipes e outros parâmetros que devem ser estudados com /?)

2º resumo

Continuando nossa série de artigos, que será semanal, mas devido à ansiedade do
autor desta série este outro artigo está sendo escrito em menos de uma semana do
primeiro... Esse segundo artigo tratará de maneira bem superficial da instalação do
Windows Server2003 e da Instalação do Active Directory, que segundo meu ponto de
vista é uma ferramenta indispensável a qualquer corporação de médio e grande porte.

Instalação do Windows Server 2003

A instalação do Windows Server 2003 é feita inteiramente por meio de CD ao contrário

de versões de Windows anteriores que era feita via disquetes. Ela possui interface
gráfica amigável (GUI – grafic User interface) na maior parte de sua instalação, sendo
essa muito parecida com a do Windows XP.

A instalação do Windows Server 2003 se faz quando da configuração da BIOS da placa

mãe para inicialização primária pelo CD-ROM então quando o CD-ROM é inserido e não
há outros sistemas operacionais rodando na máquina o Windows inicia a instalação do
Server 2003.

7
Logo no inicio será solicitado que se pressione F6 para alguns dispositivos tais como
HD SCSi e controladores RAID para que assim seja possível identificar os drivers
apropriados. Em seguida aparecerá um recurso novo que surgiu no Windows XP que é
a ASR (automated System Recover) ou recuperação automatizada do sistema que será
descrita mais detalhadamente num próximo artigo. Após essa fase da instalação será
necessário indicar o local/partição que será instalado o Windows Server 2003. Essa
nova partição é possível em dois formatos NTFS e FAT32 , embora os dois formatos
estejam disponíveis, eu, sinceramente, não sei o porque alguém em sã consciência
instalaria o Windows em uma partição em FAT32. Essa historia de que FAT32 é mais
rápida e dá menos erro não é verdade. Como veremos mais adiante o sistema de
arquivos NTFS é uma avanço muito grande pois permite que haja segurança a nível de
arquivos, compressão, tolerância a falhas muito maior, etc... a única razão seria para
poder rodar aqueles antigos programas em DOS, mas para isso não precisamos de
uma Windows Server 2003.

Após essa primeira parte da instalação, que não é feita em modo GUI, o Windows
começa a instalação em modo gráfico. Aqui, você, primeiramente, escolherá na página
opções regionais e de idioma as configurações de idioma e padrão de teclado (escrita)
apropriadas. Em seguida o nome de usuário e da empresa. Depois de digitado esses
dois campos o Windows solicitará a Chave de licença do produto.

Até este ponto o processo corre identicamente à instalação do Windows XP. Daqui em
diante haverá poucas mudanças e uma delas é a escolha do modo de licenciamento do
produto (este ponto será tratado com mais detalhe em um artigo mais a frente).
Continuando com a instalação será solicitado o nome do computador (o nome sugerido
pela instalação é apenas uma sugestão podendo ser alterado) e a senha do usuário
administrador.

Na próxima etapa trataremos que esse servidor não tenha um modem instalado nele,
logo, não usaremos as configurações de modem para essa instalação. Depois, em
configurações de rede poderá ser utilizado as configurações típicas de rede ou
configurar uma de acordo com a rede que o servidor deverá ser instalado. Apenas
lembrando, se um computador estiver fora da faixa de IP definida para a rede ele não
irá “enxergar” a rede, se estiver em outra sub-rede não conseguirá enxergar outras
redes, se estiver usando um servidor de DNS errado não conseguirá resolver nomes,
ou seja, transformar o nome segurancati.com.br em um IP válido para encontrar sites
e/ou computadores de outras redes. O grupo de trabalho é exigido em seguida e
segue-se a instalação silenciosamente até a tela de Bem vindo do Windows aparecer.

Nota: O Windows Server 2003 não tem tela de boas vindas e exige para a segurança
do sistema que seja pressionado Ctrl+Alt=Del para a entrada do nome e senha do
usuário. Talves seja necessário, dependendo do licenciamento, que o Windows seja
ativado e será então necessária conexão com internet.

Após a instalação do Windows Server 2003 ele pode ser utilizado como:

• Servidor de arquivos
• Servidor de impressão
• Servidor de aplicativos
• Servidor de impressão
• Teminal Server
• Servidor de E-mail
• Servidor de acesso Remoto/VPN

8
• Controlador de domínio (Active directory)
• Servidor de DNS
• Servidor DHCP
• Servidor de fluxo de mídia
• Servidor WINS

Active Directory

Como há diversas bibliografias intermináveis sobre o assunto não vou tentar escrever
nenhum artigo que apresente ou ensine tudo sobre o Active Directory, apenas uma
introdução.

Como uma das principais necessidades das redes corporativas de hoje é a distribuição
de arquivos, aplicativos, e-mail, etc... com a necessidade da proteção dos dados tanto
levando em conta sua integridade, disponibilidade e confidencialidade a Microsoft
permite dois tipos de modelos de serviços de diretórios: grupo de trabalho e diretórios.

O modelo por diretório permite que se identifique num diretório quem é quem dentro
daquele mesmo diretório. Logo é possível distribuir permissões para usuários, que se
grave logs dentro de uma rede, utiliza de sistema seguro de autenticação de usuários,
etc. O Active directory é tão surpreendente que permite que se utilize perfis moveis de
usuário, ou seja, meu usuário não está restrito a uma máquina eu posso utilizar e
minha mesma área de trabalho ou ver meus e-mails no Outlook em qualquer
computador dentro do domínio.

A instalação desse recurso pode ser feita tanto se utilizando o CD e instalando

“recursos Adicionais” como se digitando DCPROMO em iniciar->Executar, ou , ainda, na
configuração do servidor que é a tela inicial depois da instalação do Windows Server
2003.

Pontos importantes dentro do Active Directory

Domínio é a unidade administrativa principal do serviço de diretórios do Windows

Server 2003. Vários nomes contíguos com um mesmo nome de DNS compartilhado
podem formar o que se chama de árvore. Exemplo: xxx.segurancati.com.br,
yyy.segurancati.com.br, iradionet.segurancati.com.br, etc... Quando os domínios não
compartilham de um mesmo DNS eles levam nome de floresta e nesses casos há o
catálogo global que conterá informações de todos os outros domínios inferiores.

Objetos e unidades Organizacionais (OUs) são recursos relevantes dentro da

organização que serão registrados no banco de dados do AD (Active Directory) e as
propriedades desses objetos são controladas dentro do AD com facilidade por
possuírem informações agrupadas dentro de um mesmo local. Os Objetos podem ser,
entre outros, usuários, grupos de usuários, computadores, Impressoras, pastas
compartilhadas, sites, GPO (diretivas de grupos, serão melhor explicadas mais a
frente), HOSTS, etc...

Uma das implicações que é gerada a partir do item acima é a possibilidade de

delegação. Delegação e poder atribuir uma função por meio de uma lista de acesso
(ACLs) para e todas as OU nela inclusas serão automaticamente capazes de executar
essa função.

9
3º resumo

Entrando em nossa segunda semana de nossa série de artigos estaremos hoje

analisando o Console de Gerenciamento Microsoft , ou também conhecido como MMC.
Introdução (MMC).

O MMC é uma ferramenta de gerenciamento que lembra bastante o Windows Explorer

por possuir pastas com nós que se desmembram e mostram o conteúdo dentro delas
assim que selecionadas. Os Componentes principais do MMC (Microsoft Management
Console) são os snap-ins. O MMC possui uma barra de ferramentas e janelas pai e
filhos, assim como o Explorer. Quando clicadas com o botão esquerdo do mouse as
pastas ou janelas são selecionadas e apresentam o conteúdo dentro daquela pasta.
Quando se clica com o botão direito do mouse no snap-in ele apresentará algumas
funcionalidades/ferramentas.

Para começar a utilizar o MMC apenas digite MMC em Iniciar-> Executar e o console se
abrirá. Após ler o texto é interessante abrir e analisar as funcionalidades que essa
ferramenta apresenta. Para isso entre no MMC vá em Arquivo-> adicionar/remover
snap in e veja as opções disponíveis.

O comando Ação do MMC pode variar de acordo com o snap-in utilizado, porém na
maior parte dos casos inclui recursos de Ajuda, nova janela, exportação e
configurações. Em favoritos é permitida a inclusão e/ou organização dos consoles que
você venha a criar com determinado objetivo. O MMC é interessante não apenas pela
praticidade do uso mas como também pela criação de consoles gerenciáveis, ou seja, é
possível criar consoles para usos específicos e salvá-los. É possível salvá-los para
gerenciamento de computadores remotos ou locais.

Snap-in

Assim como já dito anteriormente é possível criar e gerenciar MMC personalizados e

com funções especificas. Há dois tipos de snap0in que podem ser usados no MMC: os
snap-ins de Extensão e os snap-ins autônomos.

Os snap-ins autônomos são aqueles fornecidos por desenvolvedores de

sistemas/aplicativos – Sql Server, directX, etc. As ferramentas administrativas do
Wserver2003 é o console de um único snap-in. Os snap-ins de extensão, ou extensões,
foram desenvolvidos para funcionar com um ou mais snap-ins autônomos com base na
funcionalidade deste. Há snap-ins que podem funcionar de forma autônoma e extensão
de outro. Como no caso e desfragmentador de disco, que existe dentro do snap-in
gerenciamento do computador e pode funcionar de forma autônoma estando fora do
nó deste. Ou usuários e grupos locais.

Nota.: os snap-ins são extremamente importantes para o exame 70-290, porém há

alguns snap-ins que só irão funcionar corretamente se houver no computador com o
Windows Server 2003 instalado o AD. Outrossim é possível gerenciar um computador
com o MMC sem AD ou mesmo no Windows XP ou 2K. Logo, mesmo se não houver
nenhum computador com AD instalado é possível “brincar” com o MMC. Embora hoje a
falta de Windows Server ou AD já não seja mais desculpa, há tempos a Microsoft
disponibiliza Laboratórios Virtuais que simulam um cenário real.

Opções de console do MMC

10
Há dois modos de operar o MMC de acordo com o as limitações que o console pode
apresentar frente a alterações nos nós do MMC – snap-ins incluídos , abertos,
excluídos, etc. Há o modo Autor, que é o modo padrão de criação e o modo em que
você tem completo controle sobre as funcionalidades do snap-in. E, há ainda, o modo
usuário em que você pode criar permissões para acesso à criação de novos snap-ins
e/ou visualização dos snap-ins.

Gerenciamento remoto com MMC

O MMC pode ainda gerenciar computadores remotos – cfe dito antes, basta que o
snap-in suporte gerenciamento remoto e que você tenha permissões administrativas
no computador remoto.

Eis uma lista abaixo de consoles que pode ser encontrados digitando MMC em executar
e adicionando, porém essa lista é o nome que você pode digitar em Iniciar-> executar
sem precisar abrir o console e adicioná-los. Essa lista não contempla snap-ins para AD
necessariamente. Porem podem, em sua maioria, serem utilizados tanto no Server
2003 quanto no XP ou 2k:

• certmgr.msc
compmgmt.msc
devmgmt.msc
dfrg.msc
diskmgmt.msc
eventvwr.msc
filesvr.msc
gpedit.msc
lusrmgr.msc
perfmon.msc
rsop.msc
secpol.msc
services.msc
•

Lembre-se quanto mais você utilizar e conhecer esses snap-ins melhor para você. Em
outro artigo trataremos mais especificamente dos snap-ins para editores de objeto
como o gpedit.msc devido à sua complexidade e utilidade.

Nota.: Msc = Microsoft Saved Console

4º resumo

Em nosso 4º artigo da série MCP estaremos falando sobre Gerenciamento e suporte

remotos no Windows Server 2003. Primeiramente não devemos confundir serviços de
terminal com área de trabalho remota para administração. Serviços de terminal
exigem licenciamento, que é pago além da licença do Windows Server2003, e
permitem que usuários que não sejam administradores se conectem à área de trabalho
remota. Área de trabalho remota para administração vem com o Windows Server 2003
por padrão, tendo apenas que efetuar algumas simples configurações, e permite que
até dois, e apenas dois, administradores se conectem à mesma máquina para

11
administração ao mesmo tempo. Tecnicamente, são três conexões ao mesmo tempo,
porém o console não conta como área remota.

É o serviço ‘Serviços de terminal’ que ativa a área de trabalho remota e, por padrão já
vem instalado no Windows Server 2003 sem precisar instalá-la na instalação do
sistema operacional ou efetuar qualquer tipo de licenciamento que não seja o do
próprio Windows. Para ver os serviços de terminal entre em services.msc, vide artigo
anterior.

Dica de exame: não confunda o termo Servidor de terminal com administração remota,
tampouco sua funcionalidades. O Servidor de terminal exige licenciamento e trabalha
com compartilhamento de aplicativos a administração remota não. Será melhor
explicado sobre os serviços de terminal em um artigo mais adiante.

Para ativar a administração remota vá em iniciar -> executar e digite sysdm.cpl ou

entre em painel de controle -> sistema e em ambos os casos clique na guia remoto.
Há uma check Box em um quadro com o nome área de trabalho remota e na check
Box habilitar área de trabalho remota. Marque a check Box para habilitar a área de
trabalho remota. Em seguida verifique se o firewall está ativado e bloqueando a área
de trabalho remota em Iniciar executar firewall.cpl ou painel de controle -> firewall do
Windows. Na guia exceções marque a opção área de trabalho remota.

Nota: em qualquer caso não é aconselhável desabilitar o firewall. Há vírus como o

blaster e o SqlSlammer que pode atacar milhares de computadores apenas por um
firewall mal-configurado ou desativado.

Para configurações e gerenciamento da área de trabalho remota há os snap-ins

configuração dos serviços e terminal, área de trabalho remotas e Gerenciador dos
serviços de terminal. Que têm como atalho tscc.msc, tsmmc.msc e tsadmin.exe,
respectivamente. O Primeiro você configura a área de trabalho remota com
configurações fixas definidas pelo servidor, tais como portas do cliente, impressoras
carregadas do cliente, dispositivos/drives locais do cliente, som, qualidade de
imagem/cor,etc ou configura com configurações definidas pelo cliente. O segundo
console de gerenciamento cria sessões que podem ser visualizadas no próprio console,
há configurações de tamanho de tela etc. No terceiro snap-in é possível controle
remoto de outras seções, desconectar outras seções, enviar mensagens, redefinir
seções, etc.

Para poder se conectar a qualquer servidor do lado do cliente é preciso ter o software
de conexão de área de trabalho instalado na maquina. O Windows XP vêm como
padrão com o software instalado. Porém, caso torne-se necessária a instalação os
arquivos da mesma estão em %systemroot%\system32\clients\win32 ou no cd de
instalação do Server 2003.
Nota: é possível rodar a área de trabalho remota inclusive em Linux. É só ter o pacote
que na maior parte das distribuições é o rdp.

No lado do cliente é necessário notar os seguintes pontos. Em iniciar -> todos os

programas-> acessórios-> comunicações-> área de trabalho remota na guia geral
precisa ter: o nome/ip do computador (por nome entende-se o NetBIOS ou host
configurado) e domínio, caso haja algum. Na guia exibição há as configurações de tela:
cor e tamanho da tela. Na guia recursos locais há configurações de som, teclado e
dispositivos locais. Lembremos que caso haja configurações para o servidor não acatar
configurações do cliente e apenas as pré-configuradas pelo administrador do servidor

12
essas opções estarão disponíveis, mas não serão utilizadas na conexão. A guia
programa habilita na abertura da seção um programa. A guia experiência tem
configurações pré-definidas ou personalizáveis que irão influenciar a velocidade depois
da conexão. E caso, haja certificados instalados na máquina cliente, pode aparecer a
guia segurança que será utilizada apenas para ingresso em um domínio com AD
instalado que verifique certificados digitais.

Possíveis problemas para o não funcionamento correto da Área de trabalho

remota

Falhas na rede-> verifique a conexão com o servidor e se a porta 3389 está liberada
(porta padrão que pode ser alterada caso seja necessário) e feita uma regra de NAT
que redirecione a porta para a máquina servidor.

Credenciais-> verifique se o usuário faz parte do grupo administradores para o caso

de administração remota e se ele pertence ao grupo usuários da área de trabalho
remota para o caso de servidor de serviços de terminal.

Diretivas de grupo/objeto-> verifique se o controlador de domínio permite que seja

feita a conexão ante as diretivas de grupo/objeto. Pode ser verificado pelo snap-in
gpedit.msc

Excesso de conexões simultâneas-> verifique se há sessões travadas, desconectadas

ou ociosas no servidor ou mesmo se o limite de conexões licenciadas foi atingido. Este
ultimo no caso de servidor de terminal.

Assistência Remota

Apenas pincelando este tópico sobre envio de assistência remota, que utiliza muitas
funcionalidades da área de trabalho remota, inclusive as portas para conexão são as
mesmas.

O envio de assistência de estar liberado do mesmo modo que o TS (Terminal Services)

em sistemas dentro do painel de controle na guia remoto com o check-box de envio de
assistência remota (deste computador, ou seja computador “servidor”) habilitado. E
com o firewall habilitado e com a mesma regra de exceção que o TS. A única diferença
é o modo de iniciar uma sessão. Como este serviço tem por finalidade servir de
suporte entre o usuário e o especialista o “servidor” será a máquina do usuário. Que
enviará convites por meio de uma conta .Net Passport (Messenger) utilizando o
messeger ou o centro de ajuda e suporte. O modo de convite do usuário para o
especialista pode se dar de duas formas: e-mail e arquivo. No caso do e-mail este
deverá seguir por outro meio de contato de senha para a conexão.

O próximo artigo de nossa série tratará sobre contas de usuário, trataremos no escopo
de um AD, e suas propriedades.

5º resumo

Neste Artigo de nossa série MCP 70-290 estudaremos sobre as contas de usuários em
Domínios Active Directory. Iremos estudar sobre contas de usuários em dois artigos
neste primeiro iremos ver sobre criação e gerenciamento de objetos de usuário e

13
ferramentas por meio de linha de comandos para automatizar e aperfeiçoar o processo
e pesquisas de usuários no AD.

Primeiramente, temos que entender alguns pontos e terminologias. SID (Security

Identifier) é, em poucas palavras o usuários e senha digitados para autenticação em
um domínio. ACLs (Access Control List) recurso utilizado que contém as atribuições de
direitos de usuários e acessos a recursos locais e do AD. SAM (Security Account
Manager) serviço utilizado durante o logon que verifica e gerencia as informações de
conta de usuários é, também, o nome que o usuário faz o logon - SAM ID. UPN (User
Principal Name) atributo que identifica o usuário na floresta ex.:
sevilha@segurancati.com.br, não confunda este atributo com e-mail.

Em um capitulo mais a frente iremos discutir melhor sobre GPOs (Group Policy Objects
– Obejtos de Diretivas de Grupo), porém é interessante lembrar que é interessante
criar os usuários em determinadas e planejadas OUs (unidades Organizacionais) para
delegação administrativa e aplicação das GPOs, além da granularização e
gerenciamento facilitado por essa prática. Para Criar um objeto de usuário em Usuários
e Computadores do Active Directory clique em uma OU com o botão direito do mouse
em seguida clique em Novo -> Usuário. Lembrando que para isso é necessária
permissões administrativas. Na caixa de Diálogo aberta teremos os Campos:

Nome -> Identificará o primeiro nome do usuário. Campo não Obrigatório.

Iniciais -> Identifica as iniciais do nome do usuário. Campo não Obrigatório.
Sobrenome -> Identifica o sobrenome do usuário. Campo não Obrigatório.
Nome Completo -> è gerado automaticamente quando os campos nome, iniciais e
sobrenome são preenchidos, podendo ser alterado mesmo assim. Esse campo é
obrigatório e gerará informações para DN (Distinct name) e CN (Comom Name). (1)
Nome de Logon do Usuário -> nome UPN que o usuário utilizará para logon no
sistema. Campo Obrigatório
Nome de logon do usuário (anterior ao Windows 2000)-> Campo Obrigatório e
exclusivo dentro do domínio sendo utilizado para logon em clientes com OS inferiores
à Windows NT.

Após a Inserção desses campos o sistema abre outra janela com senha (não
necessária nesse momento) (2) e as propriedades:

- O usuário deve alterar a senha no próximo logon. Essa propriedade exige que o
usuário altere a senha no próximo logon que fizer. (3)

- O usuário não pode alterar a senha.

- A senha nunca expira. Essa propriedade prevalece sobre as diretivas que impõe
que o usuário tenha de alterar a senha de período em um determinado período de
tempo.
- Conta desativada.

Criado o usuário clique o objeto de usuário criado e em propriedades, ou apenas um

duplo clique, a janela aberta conterá as propriedades do objeto de usuário criado. As
guias disponíveis serão:

- Geral, Endereço, Telefone e Organização: conterão informações sobre o usuário

criado sobre as informações de endereço, telefone, ramal, descrição do usuário, etc.

14
 - Conta: Contém informações tais como nomes, senha e propriedades relativas a
conta (desativada, alterar senha no próximo logon, etc)

- Perfil: Essa guia contém informações relativas ao caminho de logon do usuário,

pasta base, script de logon. Essas informações são imprescindíveis caso haja a
necessidade de perfis móveis e/ou fixos de usuários. (4)

-Serviços de terminal, ambiente, controle remoto, sessões e Discagem: permitem

configurar e ativar as sessões de TS, além de alterar as configurações que
influenciarão na velocidade de conexão do usuário.

-Com +: Atribui conjuntos de partições COM+ ao usuário para aplicações

distribuídas.

Verifiquemos ainda na guia conta os seguintes itens: Vencimento da conta: permite

configurar uma data para que a conta seja desativada; Armazene senha com
criptografia reversível: permite que clientes que utilizem o protocolo AplleTalk façam
logon no AD; Horário de Logon: permite configurar o horário em que o usuário pode
efetuar sua autenticação no AD. Os outros itens dessa guia não são de menor
importância porém não apresentam complexidade e são auto-explicativos.

É possível ainda gerenciar e alterar as configurações para várias contas de uma só vez.
Apenas utilize o recurso de escolher mais de uma de uma vez e ver as propriedades
delas. Obviamente, as propriedades únicas dos usuários não serão alteradas e nem
estarão disponíveis, é interessante “brincar” um pouco com esse recurso pois o exame
pode pedir que sejam alteradas varias propriedades de várias contas ao mesmo tempo
e com esse recurso facilita muito. Outro ponto importante para ser analisado antes de
passarmos para as ferramentas de linha de comando é que o MMC (artigo 2º em nossa
série) permite que o administrador de sistema altere um objeto apenas movendo ele
de uma OU para outra, ou uma OU para outra, ou um grupo de usuário para outra OU,
etc.

Ferramentas de automatização e linha de comando

É possível estar criando um modelo de usuário para ser utilizado como cópia em outros
objetos de usuários. Clique com o botão direito do mouse sobre o objeto de usuário
modelo e clique em copiar, serão solicitadas informações de um novo usuário, porém
este tem algumas propriedades de usuário, somente as que podem ser
compartilhadas, iguais às do usuário modelo. Faça um teste e verifique as
características que podem ser copiadas, você notará que são as mesmas que a de
múltipla seleção de objetos de usuários.

O primeiro comando de linha (prompt. Iniciar-> executar digite cmd) é o CSVDE que
tem por objetivo a importação/exportação de objetos. O CSVDE importa a partir de um
arquivo do tipo .cvs (Comma Separated Values – valores separados por virgulas). A
sintaxe básica do comando é:

Csvde [-i] [-f nomedoarquivo] [-k]

Em que –i especifica que o mode de funcionamento do CSVDE é importação – se não

houver esse parâmetro o CSVDE entende exportação; -f identifica o arquivo de
exportação, se o arquivo conter espaços em seu nome utilize o caminho dentro de

15
aspas duplas “”; -k ignora erros continuando a exportação sem parar no primeiro erro
encontrado.

O arquivo deve ter na primeira linha os atributos dos objetos a serem criados, ex: DN
e nas demais linhas as propriedades dos objetos:

Dn,objectclass,samaaccountname,Sn,givenname,userprincipalname

“cn=André.Sevilha,ou=Treinamentos.consultoria,dc=segurancati,dc=com,dc=br”,
user,”André Sevilha”, Sevilha, André, André.Sevilha@segurancati.com.br

DSQUERY consulta objetos que coincidem com um conjunto especifico de critérios do

AD. É muito usado também com pipes “|” para ser entrada para outros comandos, ou
seja, a pesquisa retornada da DSQUERY é entrada para um outro comando modificar,
mover,etc objetos eu satisfaçam àquelas caracteristicas. Ex.:

Dsquery user -stalepwd 10 | dsmod user –canchpwd

O comando acima verifica os usuários que estão há 10 dias sem alterar a senha e
Server de entrada para o comando DSMOD para alterar a propriedade em que o
usuário deve alterar a senha no próximo logon. Este comando aceita caracteres
coringa como *.

DSADD permite criar objetos. Pode criar objetos de usuários de três formas:

- Pipe em outra lista de comando como o DSQUERY

- Digitando o DN na linha separados por espaços

- deixando o parâmetro DN vazio e digitando as DN, uma de cada vez, com enter ao
final de cada uma e finalizando o comando com CTRL+Z. Permite assumir outros
parâmetros que não vem ao caso listar aqui por sua extensão e caso hajam duvidas
apenas contatem o fórum (http://www.segurancati.com.br) ou digitem dsadd user /? .

DSMOD modifica as propriedades de determinado objeto e, assim como visto

anteriormente permite ter como entrada pipes de outros comandos.

DSGET Exibe as propriedades selecionadas de um ou mais objeto. A diferença entre

este comando e o

DSQUERY é que este retorna as propriedades de um ou mais objetos especificados e o

outro localiza e retorna um conjunto de resultados de objetos para pesquisas com base
em propriedades. O DSQUERY pode servir como pipe para o DSGET.

DSMOVE permite mover ou renomear um objeto de um domínio. Aceita pipes.

DSRM remove um objeto, sub-árvore ou ambos. Suporta pipes.

Notas:
(1) DN é o nome que grava informações e propriedades que identificarão o usuário na
floresta. Ex de DN:
“cn=André Sevilha, ou=Treinamentos.Consultoria,dc=segurancati,dc=com,dc=BR”

(2) É boa prática implementar políticas, por meio de diretivas de grupo, que tornem

16
necessárias senhas com tamanho mínimo e satisfaçam requisitos de complexidade,
que são:
- as senhas não podem ser o nome do usuário.

- tenha um mínimo de caracteres 6, o padrão do Windows Server 2003 é 7 porém

pode ser configurado para aumentar esse número.

- tenha três dos quatro seguintes tipos de caracteres: Maiúsculas, minúsculas,

caracteres numéricos e caracteres não alfanuméricos.

(3) É possível ainda que seja aplicada uma diretiva que grave um número de senhas
para que o usuário no momento que vá alterar a senha não utilize uma das senhas que
foi utilizada anteriormente. Pode ser utilizado um histórico de 1 a 24 senhas.

(4) Perfis móveis serão vistos mais à frente em outro artigo, porém apenas
comentando, eles permitem que as pastas particulares relativas ao usuário estejam na
rede, garantindo proteção, disponibilidade e, inclusive, backup.

6º resumo

Nesse Artigo veremos sobre criação de perfis móveis de usuários, Perfis Locais, Perfis
pré-configurados, perfis Pré-configurados obrigatórios, problemas e diretivas de
autenticação de segurança. Este artigo complementa o artigo passado e finaliza a parte
de objetos de contas de usuários para o exame MCP 70-290.

Perfis de usuários.

Perfil de usuário são os arquivos e pastas de dados que contém informações referentes
a sua área de trabalho e outras definições que implicarão no modo como o usuário
utilizará e trabalhará em seu desktop. Em uma área de trabalho local o perfil do
usuário estará direcionado para a pasta %SystemDrive%\Documents and
settings\%UserName% (1).

Um perfil de usuário local funciona da seguinte maneira:

Quando um usuário faz logon no Windows pela primeira vez, o sistema se encarrega
de criar a pasta (padrão) de perfil do usuário e a partir das configurações do ambiente,
dos programas instalados e atalhos para o usuário padrão o sistema cria um ambiente
de trabalho para esse novo usuário.

Toda e qualquer modificação deste perfil serão armazenadas e alteradas dentro da

pasta de perfil do usuário.

Num perfil local dentro do AD se o usuário faz logon em outro local o sistema não
“leva” as configurações de perfil junto com ele. Isso pode implicar em, por exemplo,
Outlook desconfigurado, MSN sem histórico, falta dos arquivos armazenados em meus
documentos, cookies e outras configurações do IE faltando, dicionário personalizado do
Word incorreto...

Quando os usuários trabalham em mais de um computador dentro do domínio é

possível configurar perfis móveis para que essas configurações fiquem armazenadas
em um servidor e quando fizerem logon em uma estação de trabalho elas estejam

17
disponíveis. Além disso, essas informações estarão sujeitas aos backups do servidor,
varredura de vírus e malwares e controle central. Esses perfis móveis são chamados de
RUPs (Remote User Profiles) e funcionam da seguinte forma:

Quando o usuário fizer logon dentro do domínio e tiver caminho configurado na caixa
“Caminho do perfil” na guia Perfil da propriedade de objeto de usuário (2) o sistema irá
localizar a pasta do servidor e sincronizar os arquivos (3) para uma pasta na máquina
local.

Quando o usuário faz logoff o sistema sincroniza novamente com o servidor enviando
os arquivos novo e aqueles que sofreram alterações recentes (4).

Um perfil pré-configurado é um perfil que provêm de um modelo. É muito útil nos

casos em que alguns usuários novos precisam de certas configurações pré-definidas.
Para criar um perfil pré-definido você deve criar um usuário modelo fazer logon usando
essas credenciais, fazer logoff e logon novamente usando credenciais administrativas
(outro usuário). Siga para Iniciar-> executar-> painel de controle-> sistema->
Avançado-> perfis de usuário-> selecione o perfil criado e em seguida clique em
“copiar para”, digite o nome UNC do caminha da pasta do servidor. Na seção uso
permitido selecione o(s) usuários que utilizarão esse perfil (5).

Outra excelente funcionalidade dos perfis de usuários é a possibilidade de bloquear o

perfil de alterações. Nesse caso toda e qualquer alteração feita na área de trabalho não
será salva após o logoff. Para isso apenas renomeie o arquivo NtUser.Dat para
NtUser.Man dentro da pasta de perfil do usuário.

Assim como é possível criar perfis de usuários pré-configurados para usuários o é para
grupos também. A única diferença consiste em no momento que você libera (Uso
permitido) o perfil para um determinado usuário você o libera par um grupo de
usuários. Esse perfilo pode ser liberado para o grupo porém apenas estará disponível
para os que tiverem esse caminho UNC da pasta de perfil pré-configurado no seu perfil
nas propriedades do objeto.

Diretivas de segurança de usuários

Nessa parte do artigo exploraremos as diretivas de senha, bloqueios de conta e

auditoria.

As diretivas de senha são:

Histórico de senhas: permite que o sistema guarde informações de senhas de usuários
para que o mesmo não utilize a mesma senha dentro de um determinado numero de
trocas de senha

Tempo máximo de vida de senha: após esse período a senha deve ser trocada
Tempo mínimo de senha: garante que o usuário não altere sua senha várias vezes
para contornar a primeira diretiva de senha. Essa diretiva não fere o direito de o
administrador alterar a senha mesmo que dentro de um período menor que o definido
pela diretiva

Comprimento mínimo da senha: o padrão é 7 caracteres

A senha deve satisfazer requisitos de complexidade: não se baseie no nome do

18
usuário, tenha pelo menos 6 caracteres, contenha 3 dos 4 tipos de caracteres a seguir:
Maiusculas, minúsculas, números, não alfanuméricos. Diretiva padrão do WS2003.

Politicas de bloqueio de contas

Limite do bloqueio de conta: números de tentativas inválidas de logon

Duração do bloqueio de conta: em minutos

Zerar contador de bloqueio de conta tempo em minutos para que o contador seja
zerado após varias tentativas sem sucesso e uma tentativa de logon sucedida.

Notas:
(1) O caminho acima pode também ser escrito como %Userprofile% e ambos
indicarão o mesmo caminho, porém se a pasta do usuário não estiver indicando para
seu nome de usuário, ou dentro da pasta “documents and settings”, ou ainda, no disco
local C: o %userprofile% obviamente vai indicar caminho diferente que o supracitado.
Este direcionamento Userprofile é útil para indicar de maneia mais rápida o caminho da
pasta do perfil do usuário. Dica do oficio: nem sempre o usuário tem o mesmo nome
da pasta em seu perfil isso depende do seu SID e de como foi efetuada a configuração
do usuário. Experimente criar um usuário XXX e mudar seu nome, e apenas o nome,
para YYY. Você notará que o %userprofile% dele indicará a antiga pasta mas o logon
deve ser feito como YYY e o nome do usuário é YYY>

(2) O caminho deve ser como UNC ou seja

\\servidor\pastacompartilhada\%Username%

(3) Os Rups não são nada mais que um compartilhamento num servidor que contém
as informações do perfil do usuário, não é de modo algum uma propriedade do objeto
de usuário.

(4) Em versões anteriores o sistema fazia download de toda a pasta do usuário e não
apenas uma sincronização dos arquivos alterados e dos novos.

(5) Tome cuidado com configurações pré-definidas e hardwares incompatíveis, por

exemplo resolução de tela não suportada para determinado monitor.

7º resumo

Já estamos entrando no 7º artigo de nossa série. Este artigo tratará sobre contas de
grupo. Veremos os tipos de contas de grupos, escopos de contas de grupo,
gerenciamento de contas de grupo e algumas ferramentas de automatização e suas
funcionalidades práticas.
Após essa lição o leitor poderá ter uma base sobre como configurar contas de grupo
num ambiente Windows com Active Directory, gerenciar e, obviamente, o leitor, terá
uma base para a prova de certificação Microsoft 70-290. Nosso próximo artigo,
também extremamente útil não só do ponto de vista da prova como também do ponto
de vista de profissional e da segurança da rede AD, será sobre contas de computador.
Na mesma semana que haverá a publicação deste ultimo artigo haverá um simulado
sobre todo o conteúdo visto até agora. Este simulado terá seu gabarito divulgado na
outra semana (dia 15.02).

19
Primeiramente, precisamos entender o que é um objeto de conta de grupo. Objeto de
conta de grupo é um container que armazenará informações de usuários,
computadores e outros objetos de grupos de forma organizada. As contas de grupo
podem ser de dois tipos: as contas de grupo de segurança que armazenará as
informações relativas às ACLs dos usuários nelas contidos e as contas de grupo de
distribuição que não armazenará informações de ACL, servindo apenas como um
agrupamento (1).

Outro ponto importante ponto acerca dos objetos de grupos é sobre o escopo deles.
Porém torna-se imprescindível antes definirmos antes os grupos funcionais de domínio:

Windows 2000 misto: dá suporte a controladores de domínios em Windows NT 4,

Windows Server 2000 e Windows Server 2003;

Windows 2000 nativo: dá suporte a controladores de domínio em Windows 2000 e

Server 2003;

Windows Server 2003 ínterim: Dá suporte aos controladores de domínio NT 4 e

Windows Server 2003;

Windows Server 2003; Dá suporte a controladores de domínio em Windows Server

2000.

O entendimento desses grupos funcionais é de extrema importância para o

entendimento de escopo de objetos de grupo e para outros assuntos de grande
relevância para o exame. Os objetos de grupo em relação aos grupos funcionais,
didaticamente, podem ser separados em dois: os que tem suporte ao Windows NT4 e
os que não dão suporte a esse sistema operacional. Isso será importante para
entendermos conversão de grupo e o escopo em si. Logo, dentro dessa lógica, temos
que os primeiros níveis funcionais são Windows 2000 misto e Windows Server 2003
ínterim (dão suporte a máquinas com Windows NT 4) e o outro grupo comporta os
níveis funcionais em Windows 2000 misto e Windows Server 2003 (não dão suporte a
controladores de domínio com máquinas rodando Windows NT 4). (2)

Os escopos de grupo são:

Grupos locais: no grupo 1 (Windows NT 4) dão esse grupo pode conter usuários de
qualquer domínio mas está restrito às permissões da máquina ao qual reside. No grupo
2 pode conter usuários de qualquer domínio, porém só podem ser usados no domínio
ao qual residem

Grupos Globais: no grupo 1 só podem ser utilizados computadores do mesmo domínio

e suas atribuições estão restritas ao domínio. No grupo 2, podem utilizar objetos
dentro do mesmo domínio porém suas permissões pode ser utilizadas em qualquer
domínio.

Grupos Universais: no grupo 1 não está disponível. No grupo 2, podem ser utilizados
em qualquer usuário de qualquer domínio com permissões para qualquer domínio
confiável.

O escopo do grupo dentro dessa didática fica fácil de visualizar e de aplicar. Lembre-se

20
que depois de elevar o nível funcional de um servidor para Windows 2000 nativo ou
Server 2003 não é possível retornar para o estado anterior e muitas configurações
podem ser tornar inútil se utilizado com sistemas como o Windows NT 4. Além disso,
convém acrescentar que é possível alterar, ou converter o escopo de um grupo. E para
isso temos que analisar as situações nos dois grupos didáticos que criamos. Quando o
nível funcional de um controlador de domínio se encontra sob o grupo 2 é possível
converter o escopo do grupo considerando os seguintes aspectos:

-> Pode ocorrer a conversão caso o grupo não seja membro de outro grupo de
mesmo escopo. Por exemplo, um grupo local que é membro de outro grupo local, ou
um grupo global que é membro de outro grupo global. Essa regra é fácil de ser
lembrada e se refletirmos um pouco é bastante lógica.

No caso do grupo didático 1:

-> Pode ocorrer a conversão de domínio local para global

-> Pode ocorrer a conversão caso o grupo local não seja membro de outro grupo
local.

Todas essas funcionalidades aqui citadas estão presentes dentro do snap-in “Usuários e
computadores do Active Directory” e para criar um grupo segue a regra do clicar com o
botão direito-> novo-> grupo e as propriedades para conversão de grupo estão como
propriedade do objeto de grupo.(3)

Na criação de grupos é possível delegar a administração daquele grupo para um

usuários ou outro grupo. Isso se faz por meio da aba “gerenciado por”, que receberá
permissões administrativas para efetuar alterações dentro daquele grupo. A aba Geral
nos apresenta informações acerca do grupo – Nome do grupo, escopo e tipo de grupo,
além de observações. A Aba Membros é onde serão acrescentados os objetos de
usuários, objetos de computadores e/ou outros grupos. A aba Membro de é onde o
grupo se associará – ou não a outros containeres do AD. A aba Segurança é onde
serão distribuídas as permissões para o grupo.

Existem grupos dentro do sistema operacional Windows que são chamados identidades
especiais e não podem ser excluídos por nenhum usuário ou administrador. Eles
representam grupos gerais para situações especificas. Não aparecem no MMC como
um objeto de grupo. Essas identidades especiais são:

Todos: representa todos os usuários da rede, e todos os usuários estão dentro desse
grupo.

Rede: Representa os usuários que acessam algum recurso local pela rede.

Logon anônimo: representa os usuários que acessam um recurso local pela rede sem
efetuar o processo de autenticação.

Usuários autenticados: representa os usuários que acessam um recurso local pela

rede efetuando autenticação.

Proprietário criador: refere-se ao usuário que criou ou assumiu a propriedade de

determinado recurso.

21
Discagem: refere-se aos usuários conectados à rede por meio de conexão discada.

Ferramentas de automação/gerenciamento de objetos de grupos

LDIFDE ou formato de troca de dados (LDIF – Data Interchange Format) é uma

ferramenta para processar operações em arquivos de lotes dentro do protocolo LDAP
(Ligthweight Access Protocol). È usado para importações ou exportações de dados.
Pode se utilizar de pipes com o comando DSQUERY. Comporta vários parâmetros que
entre eles estão a utilização em um servidor remoto ou local com outro nome de
usuário e senha.

DSADD permite a criação de grupos da mesma forma que a vista anteriormente para
criação de usuários, porém com algumas diferenças na sintaxe. Pode ser utilizados
com pipes de outros comandos entre eles o DSQUERY e comporta os parâmetros para
a criação em servidores remotos ou local outro com nome de usuários e senha.

DSGET obtém informações a partir de uma propriedade especificada. Pode ser utilizado
com pipes em outros comandos. Comporta os parâmetros para a criação em servidores
remotos ou local outro com nome de usuários e senha.

DSMOD altera as propriedades de um grupo e de vários. Pode ser utilizado com pipes
em outros comandos. Comporta os parâmetros para a criação em servidores remotos
ou local outro com nome de usuários e senha.

Notas
(1) As contas de grupos de distribuição servem normalmente para serem usadas para
distribuição de e-mails e/ou para organizar usuários dentro da organização e
departamentos dessa. Por exemplo, uma lista de distribuição para o setor de
almoxarifado em que contém os usuário que ocupam diversos cargos na organização,
desde o pessoal de TI do departamento até o gerente deste setor.

(2) Esse grupos de níveis funcionais são apenas didáticos. De maneira alguma será
cobrado assim na prova de certificação e sim pelos grupos funcionais em si.

(3) Diga-se de passagem que não é possível alterar o escopo de um grupo se o

controlador de domínio não estiver com o nível funcional em Windows Server 2000
nativo ou Windows Server 2003.

8º resumo

Estamos em um dos tópicos mais importantes para a segurança de um AD e, sendo

assim, bastante cobrados na prova de certificação. Estaremos vendo nesse artigo sobre
objetos de contas de computador . A leitura desse artigo é especialmente importante
para o Administrador de redes Windows pois com esse recurso do AD podemos
prevenir entradas indesejadas em nossos domínios e/ou distribuir permissões de forma
granular e administrável. Teremos como recurso principal o MMC Usuários e

22
Computadores do Active Directory, mas veremos também ferramentas de linha de
comando como o DSADD, NETDOM e outras mais anteriormente estudadas – com
outro escopo, para criação e gerenciamento o ambiente AD.

Inicialmente, precisamos saber que todos os computadores dentro do AD tem uma SID
e, decorrente disso, possui uma identificação SAM. E todo o computador que se
autentica em um domínio possui uma conta de computador em um banco de dados de
algum domain controller da floresta. Porém essas contas quando não foram movidas
para um container especifico o Active Directory se encarrega, por padrão, de mover
esse objeto para a OU Computers. Para criar uma conta de computador antes de o
computador se autenticar no domínio temos três opções: clique com o botão direito do
mouse no MMC no contêiner em que se deseja criar o objeto clique em novo e em
computador. Ou no prompt digite “DSADD computers ND(do objeto)” (da mesma
forma como vista anteriormente este comando aceita pipes e outros parâmetros que
devem ser estudados com /?). Ou, ainda, no prompt digite “NETDOM add
ND(computador) / domain:nome_dominio /userd: Nome_usuário /password: senha”

Criar a conta de computador é o primeiro passo no processo temos também que

associar a conta a um domínio. Para essa associação é necessário ser administrador
local, eis uma razão para nenhum usuário final ser administrador local. Digite
sysdm.cpl em iniciar -> executar, ou execute qualquer outro caminho que chegue
nessa mesma tela, seja pelo painel de controle ou em propriedades de meu
computador. Na guia nome do computador clique em alterar e selecione domínio.
Quando o computador encontra o domínio digitado solicita autenticação de um usuário
que possa associar aquele computador ao domínio. Essa associação pode ser feita por
um administrador, operador de conta ou usuário com essa delegação de permissão
(veremos sobre delegação de permissão para associar um computador ao domínio em
um trecho mais adiante). Se o AD não encontra a conta daquela máquina ele cria uma
na OU computer com as permissões dessa OU, se ele encontra essa conta já vincula a
uma SID e verifica as alterações de grupo e permissões.

As melhores práticas ditam que é mais correto criar a conta antes de associar ao
domínio. Pois além das permissões padrão da OU computers, que não podem ser
alteradas, o administrador terá um trabalho extra ao mover para uma nova OU.
Entretanto, é possível alterar a localização de um objeto de computador entre
containeres simplesmente arrastando no MMC ou utilizando o comando DSMOVE.

Configurações de Segurança e Administração de objetos de contas de

computador

Ao criar um objeto de conta de computador muitas propriedades não estarão

disponíveis para visualização. Essas propriedades incluem localização e descrição,
associações de grupo, permissões de discagem e vinculação a um usuário/grupo
gerente do computador. O gerente do computador pode receber permissões para
vincular a conta de computador ao domínio não sendo este usuário do grupo
administradores (qualquer um) ou operadores de conta.

Outra funcionalidade de se utilizar objetos de contas de computador é que com eles

torna-se possível conectar diretamente a eles, via MMC, e verificar logs e configurações
da máquina pertencente àquele objeto. Para isso é precisamos ter uma forma de
encontrar esse objeto em meio a outras dezenas de centenas de objetos no domínio.
Para isso existem as ferramentas de linha de comando já citadas e/ou o recurso
localizar objetos do MMC, em que podemos filtrar por computadores em determinado

23
diretório. Podemos utilizar os filtros nome do computador, proprietário ou função, ou
uma mescla deles.

Um ponto importante para ser observado aqui é que os objetos de computador não são
vinculados por MAC ID ou IP e sim pelo seu NETBIOS. O que significa que podem
ocorrer os problemas a seguir.

Pode ocorrer de um computador não conseguir se conectar ao domínio. De modo

resumido temos quatro alternativas para resolver o problema, ou uma mistura delas:

-> Redefinir a conta de computador

-> Criar uma conta de computador

-> remover o computador do domínio

-> re-associar o computador ao domínio

Aplicando esse método sempre teremos êxito no trabalho assim como na prova de
certificação. Antes de explicarmos o método é bom analisarmos alguns conceitos como
Exclusão, desativação e redefinição de contas.

Exclusão é feita quando uma máquina não vai mais ser utilizada por aquele domínio,
este caso exige cuidado pois a exclusão apaga o SID do objeto e se algum usuário
tiver privilégio para re-associar um computador ao domínio ele poderá fazê-lo. Ao
contrário da exclusão a desativação na permite o logon do computador no domínio e
não exclui o SID do objeto, podendo ser reativado a qualquer momento. Redefinição de
conta de computador na mais é do que a alteração da senha do computador sem
alterar outras propriedades da SID, é utilizada em caso de atualização de sistema
operacional e outros problemas com conta.

Terminamos aqui um dos nossos mais breves artigos, porém um dos mais importantes
para um administrador de redes Windows e devido a sua facilidade este capitulo
representa alguns pontos que não podem ser deixados para traz. Lembro que haverá
um simulado no Fórum com questões relativas a esse artigo e que somam muito para
quem precisa da certificação MCP e/ou para quem deseja se aprimorar em AD. Espero
que vocês façam uma boa leitura desse artigo e, como sempre, quaisquer duvidas
podem ser postadas diretamente no fórum HTTP://www.seghurancati.com.br.

9º resumo

Este artigo tratará de um tópico muito importante tanto para o exame quanto para a
vida profissional do leitor. Este artigo estudará compartilhamento de pastas,
permissões NTFS e de compartilhamento, propriedades de segurança de pastas
compartilhadas, propriedade, herança, Auditoria de segurança de pastas e serviços IIS
no tratamento do exame 70-290.

Compartilhamento de pastas

24
O compartilhamento de pastas é habitualmente feito pelo próprio Windows Explorer e
suas propriedades de segurança alteradas por ali mesmo. Porém quando se tem um
controle centralizado que necessita alterações de compartilhamentos remotos, ou
ainda, alterar alguma propriedade de uma pasta compartilhada em algum servidor não
é possível por esse mecanismo. Igualmente, há o snap-in Gerenciar pastas
compartilhadas que o faz muito bem e permite alterações e criação de pastas
compartilhadas remotamente.

Ao abrir a ferramenta vemos alguns compartilhamentos que não foram feitos pelo
administrador, tampouco aparecem como pastas compartilhadas no Explorer. Esses
compartilhamentos são compartilhamentos administrativos que fazem a conexão com
arquivos de sistema. Por exemplo, a pasta raiz do Windows e as raízes de cada
diretório. Esses compartilhamentos não estão disponíveis para qualquer usuário e nem
são visualizáveis pelo Minha rede. Esses compartilhamentos são ocultos, acessáveis
apenas pelos Administradores por meio do caminho UNC
(\\servidor\compartilhamento) o cifrão após o nome do compartilhamento significa e
oculta o caminho, tornando-o accessível apenas por meio do caminho UNC. O cifrão
não torna a pasta disponível apenas para os usuários administradores apenas oculta o
compartilhamento, ao contrário do que poderia se pensar.

O snap-in Gerenciar pastas compartilhadas permite a criação de compartilhamentos da

seguinte maneira: clique com o botão direito do mouse, caso queira se conectar a
outro computador selecione Conectar-se a outro computador e siga as instruções a
seguir, caso queira um compartilhamento em uma maquina local apenas clique em
novo compartilhamento nas opções que aparecem ao pressionar o botão direito do
mouse sobre o nó compartilhamentos.

A janela que se abrirá necessitará do caminho da pasta que será compartilhada. Digite
esse caminho como se fosse em máquina local, caso não o seja. Na janela a seguir
teremos que digitar o nome do compartilhamento, apenas tome nota de dois pontos
básicos sobre esse nome: deve ser curto (menos de 8 dígitos) para não causar
problemas em versões antigas do Windows e que esse nome será utilizado na UNC
para identificar o caminho para a pasta compartilhada, logo, nomes coerentes e curtos
são boas práticas. A descrição é uma breve descrição do que a pasta trata e servirá
para consultas. As configurações Off-line também são feitas nessa janela e permitem
que os arquivos da pastas estejam disponíveis mesmo que o usuário não esteja
conectado com a pasta compartilhada. A próxima guia, Permissões será tratada com
mais rigor no próximo tópico.

Permissões

Existem dois tipos de permissões que podem ser aplicadas numa pasta compartilhada.
As permissões de compartilhamento e as permissões de arquivo. As permissões de
compartilhamento são simplesmente Leitura (permite a exibição de arquivos e pastas,
permite executar arquivos e abrir outras pastas dentro desta), Alterar (permite todas
as permissões concedidas à leitura mais alteração e exclusão de arquivos) e Controle
total (permite alterar a propriedade dos objetos e pastas).

As permissões de compartilhamento são por padrão Leitura num compartilhamento

executado pelo Explorer, porem isso se torna um pouco complicado d gerenciar quando
misturamos com restrições das permissões NTFS que por sua vez são de uma lista um
pouco maior e mais abrangente que as permissões de compartilhamento. As

25
permissões de Arquivo NTFS só estarão disponíveis para partições NTFS. O
gerenciamento fica complicado pois as permissões mais restritivas sempre terão
prioridade nesse caso. Ou seja, se determinado usuário tem permissão para controle
total nas permissões NTFS e tem apenas leitura nas permissões de compartilhamento o
sistema permitirá apenas leitura da pasta.

Sobre prioridades nas permissões teremos algo assim:

As permissões mais restritivas entre as de compartilhamento e NFS serão as

permissões reais.

As permissões permitir são cumulativas para ambos os casos.

As permissões de arquivo substituem as permissões de pastas para as NTFS.

Uma permissão negar tem precedência sobre uma permissão permitir.

As permissões explicitas tem precedência sobre as permissões herdadas. Incluindo

uma permissão explicita permitir sobre uma negar. Em que aquela terá precedência
sobre esta.

Mais alguns aspectos sobre Permissões

As permissões de compartilhamento se aplicam apenas pelo acesso por rede, não se

aplicam a outras formas de acesso a exemplo de HTTP, FTP, etc.

As permissões de compartilhamento não se replicam por meio do serviço de duplicação

de arquivos

As permissões de compartilhamento se perdem ao restaurar um backup.

As permissões de compartilhamento permitem um único modelo de compartilhamento

para todas as pastas abaixo da pasta principal.

Não é possível configurar auditoria por meio das permissões de compartilhamento

É boa pratica dar leitura e alterar como permissão para as pastas compartilhadas e
utilizar as restrições de NTFS par facilitar o gerenciamento dos compartilhamentos.

É possível desativar ou mesmo desconectar sessões do compartilhamento por meio do

snap-in tratado até aqui.

10º resumo

Neste 10º artigo da série MCP 70-290 estaremos dando continuidade ao sistema de
segurança de pastas e arquivos. No artigo anterior discutimos sobre permissões de
arquivo, no presente artigo trataremos sobre ponto de extrema importância para um
entendimento mais aprofundado sobre permissões de pastas e arquivos: herança,
propriedade e permissões efetivas. Outro ponto que será tratado será a auditoria de
acessos e uso do sistema de arquivos.

Herança

26
É a permissão replicada que vêm das pastas que comportam a pasta em questão. Ou
seja, quando ativada a herança todas as pastas e arquivos abaixo daquela pasta terão
as mesmas permissões que esta. É interessante lembrar que o Windows permite a
substituição da permissão herdada e nesse caso temos que nos lembrar das regras de
prioridade de permissão conforme o artigo anterior: permissões de negação têm
prioridade sobre as permissões de permissão e permissões explicitas têm prioridade
sobre permissões herdadas, logo, permissões permitir explicitas tem prioridade sobre
permissões negar herdadas.

A Substituição de uma permissão herdada pode ser fazer de duas formas: ou

bloqueando para determinada pasta as permissões herdadas e aplicando permissões
explicitas ou apenas atribuindo permissões explicitas para a pasta. Quando você
bloqueia a herança na guia Configurações de segurança avançadas, que se encontra
nas propriedades de segurança da pasta, desmarcando a opção permitir permissões
herdáveis do pai sejam propagadas a este objeto o Windows permite que você escolha
entre copiar as permissões do pai, remover atribuir novas permissões ou não fazê-lo
numa caixa de dialogo. A primeira opção cria permissões NTFS iguais às da pasta pai a
segunda opção remove todas as permissões da pasta exigindo que o usuário faça as
configurações de segurança de pastas novamente.

As permissões são aplicadas na guia configurações de segurança avançadas pelos

check Box permitir que as permissões ... e substituir em todos os objetos.... Porém, o
leitor pode se perguntar se essas permissões são aplicadas apenas quando marcados
os check Box e se for criada uma nova pasta? Na realidade a primeira permissão
continua a distribuição da herança dentro da pasta pai e a segunda substitui as
permissões das pastas pelas permissões herdadas e, ainda, quando é criada uma nova
pasta, por padrão, o Windows “marca” essas duas caixas.

As permissões herdadas ficam esmaecidas quando vistas no editor de ACL e não são
marcáveis ou desmarcáveis, ou seja, não é possível desmarcar permissões herdadas,
apenas substituí-las ou bloqueá-las. Porém isso dificulta muito o nosso trabalho. Pois,
há permissões de compartilhamento, permissões NTFS explicitas e as herdadas, há
permissões negar e permitir... Bom, enfim, há diversos fatores que podem dificultar o
gerenciamento das permissões. Uma boa ferramenta – não é perfeita, mas muito útil,
é a ferramenta de permissões efetivas.

Essa ferramenta nada mais é do que as permissões NTFS resultantes para determinado
grupo ou usuário. Ela não é sempre o único caminho pois não apresenta as permissões
de compartilhamento, referentes a logon (anônimo, interativo, rede, restrito etc). Esse
recurso se encontra na ultima aba das configurações avançadas de segurança.

Propriedade

Propriedade é o objeto de segurança que define o proprietário de determinado objeto.

A propriedade de um objeto permite que o proprietário altere as permissões ACL
daquele objeto. O criador de determinado objeto é o proprietário criador daquele
objeto ou pasta. Os usuário do grupos administradores ou usuários que tenham
recebido o direito de apropriar-se (como os usuários do grupo operadores de Backup
ou se concedida essa permissão para algum usuário).

Logo, se um usuário cria uma determinada pasta ou arquivo ele é o proprietário criador
e pode alterar as permissões NTFS para aquele objeto, inclusive tirando de si mesmo o

27
controle total do objeto. Um administrador pode transferir a propriedade daquele
objeto para outro usuário concedendo que esse tenha acesso para alterar as
permissões de ACL para o objeto.

Auditoria de acesso a arquivos

A auditoria deve inicialmente estar ativada por meio de diretiva, em seguida deve ser
ativada para as pastas que necessitam de auditoria. As auditorias permitem
propagação via herança assim como as permissões. Elas são configuradas na guia
auditoria da janela de configurações de segurança avançadas da pasta.

A configuração é feita escolhendo-se o usuário ou grupo que será auditado e em

seguida, em outra tela, aparecem as entradas de auditoria: controle total, listar
pasta/ler dados, ler atributos estendidos, excluir, etc...

Os Logs de auditoria tendem a ficar monstruosos com o tempo por esse motivo é boa
prática estar sempre se utilizando de poucas entradas de auditoria, apenas as
necessárias. Os logs de auditoria são visualizáveis e exportáveis para formatos .csv
que podem ser utilizados no Excel em que podemos aplicar filtros e outros recursos
para facilitar a auditoria. Esses logs ficam gravados no visualizar eventos sob o nó
Segurança.

11º artigo

Nos artigos anteriores estivemos comentando as permissões de arquivo e

compartilhamento e para finalizar essa parte e cobrirmos o exame 70-290 estaremos
discutindo o IIS (Internet Information Services). Ao contrário do que pode parecer o
IIS não gerencia apenas conteúdo de internet, como também de intranet e servidor de
aplicativos.

IIS

O IIS pode ser instalado de diversas formas tanto pela janela gerenciar servidor,
quanto pelo painel de controle -> adicionar/remover programas-> adicionar/remover
componentes do Windows quanto pelo carregamento do CD de instalação do Sistema
Operacional.

Depois de instado o IIS permite que sejam adicionados componentes que o torna uma
ferramenta muito versátil. Atualmente estamos na versão 7.0 no Windows Vista e
Server 2008, porém a versão deste curso é, ainda, a 6.0 pois é a versão que se utiliza
o Windows Server 2003. Todos os componentes do IIS vêm por padrão desativados ou
desinstalados para reduzir-se a superfície de ataque contra possíveis vulnerabilidades.

Ao instalar o IIS vem um site criado para se testar a conexão. Por hora é interessante
saber que este site pode ser alterado e para utilizar-se de conteúdo dinâmico, não
representa o caminho físico do recurso no servidor, pode ser protegido por 7 tipos de
autenticação para sites HTTP e 3 para sites FTP e utiliza-se de chamadas de rede na
porta 80 e/ou 21 para HTTP e FTP respectivamente podendo ser alterada.

Configurações Básicas

28
Não é escopo do exame 70-290 a configuração aprofundada do IIS tampouco os
aspectos mas aprofundados desta ferramenta. É base do exame,sim, as configurações
e noções básicas sobre esta ferramenta.

Logo, para termos essa noção vai alguns conceitos importantes:

O IIS utiliza-se de um drivers kernel (HTTP.sys) que melhora o tempo de resposta das
chamadas de recursos, além de trabalhar sob classes de aplicativos que tornam o
servidor muito mais seguro em termos de disponibilidade, pois se alguma aplicação se
tornar instável ele pode para ou reiniciar aquela chamada isoladamente sem desabilitar
o site. O recurso que monitora essas chamadas é chamado de health monitor e verifica
periodicamente todos os processos, recursos e chamadas de classes de aplicativos no
servidor.

Outra definição que a Microsoft vem trabalhando há algum tempo é o que eles
chamam de que o IIS é seguro por padrão ou “Locked Server by default” que significa
que a instalação do IIS por si só não pode ser expor muitas brechas de segurança pois
vem com todas as configurações padrão fechadas e indisponíveis para ataques. Uma
das razões do IIS não vir instalado por padrão no Windows é que um serviço que pode
ser “chamado de fora” apresentaria riscos para a proteção da rede, como qualquer
servidor web.

O backup de arquivos do servidor não garante o retorno das configurações da

metabase de configurações. Para que a configuração seja mantida numa recuperação
de Backup precisa-se fazer a configuração no próprio IIS que gera um arquivo XML.

Permite monitoramento remoto de sites, usuários, permissões, etc.

Diretório base/ site é a localização física dos recursos a serrem fornecidos por
determinado nome de DNS.

Diretório virtual é o ALIAS que aponta o IIS para um recurso físico numa maquina local
ou num servidor da rede.
Os acessos no IIS podem ter permissões definidas pelas ACLs no IIS ou pelo sistema
de arquivos NTFS.

As autenticações de web se dividem em: anônima em que os usuários podem acessar

áreas públicas do site sem uma autenticação; básica é q autenticação que exige uma
conta de usuários local ou do domínio e não tem suporte a criptografia; Digest mesma
autenticação que a anterior porem suporta criptografia pelo protocolo HTTP 1.1; Digest
Avançada é quando a conta de usuário faz parte de um AD e permite criptografia, tem
a necessidade que o brownser seja de versões IE 5 ou superior ou outro que suporte
este tipo de autenticação; Integrada com Windows criptografa o nome e usuário antes
de trafegar na rede, por meio de um handshaking entre o usuário e o servidor IIS;
certificado e o tipo de autenticação que adiciona a chave de segurança SSL na
comunicação entre cliente servidor, sendo apenas disponível se houver na rede os
serviços de certificados; .Net Passaport, por meio SSL simples e scripts adiciona a
segurança à autenticação.

As Autenticações de FTP são apenas da forma: anônima que não exige nome de
usuário e senha; Básica faz logon por meio de usuário e senha, porém o protocolo FTP
não permite criptográfica, logo é passado em texto puro o nome de usuário e senha.

29
Não confundir com o protocolo SFTP, que é utilizado por alguns roteadores
(principalmente CISCO) e pela autenticação de Linux por SSH. Este último permite
compressão e criptografia o primeiro não.

Acesso a recursos e permissões

O IIS permite como dito anteriormente, a definição de acessos a recursos além das
permissões NTFS. Estas permissões de diretório são:

Ler (opção padrão): usuários podem visualizar o site.

Gravar: os usuários podem alterar o conteúdo a propriedades do arquivo.

Acesso ao código-fonte: apenas disponível se as duas opções anteriores forem

marcadas. Permite ao usuário a visualização, situação perigosa se verificarmos que os
usuários nesse caso têm permissão para gravar também. Utilize esta permissão com
sabedoria.

Pesquisa no diretório: o usuário pode listar o conteúdo do diretório virtual.

Há ainda as permissões de execução de aplicativos, que são:

Nenhuma : auto-explicativa

Somente scripts: permite apenas a execução dos scripts sem as chamadas a

aplicativos no servidor.

Scripts e executáveis: permite fazer chamadas a aplicativos, inclusive bibliotecas DLL,

no servidor.

Bom, acredito que seria possível continuar escrevendo este artigo sobre IIS até
completar um livro com diversas páginas, mas mantendo o foco no exame acredito que
seja apenas isso que precisaremos por hora. Posteriormente, será escrito um artigo
mais detalhado sobre essa ferramenta. Agradeço a todos a atenção e espero que
tenha sido de bom proveito a leitura deste artigo. Estou aberto a críticas assim como
estarei de prontidão para esclarecer possíveis dúvidas sobre os assuntos que escrevo e
qualquer assunto no campo de informática (aquilo que não souber naquele momento
farei uma aprofundada pesquisa), que deverão ser feitas no fórum
(http://www.segurancati.com.br) de preferência.

12º artigo

Neste artigo será discutido sobre Backup de dados. Há outro artigo neste fórum sobre
o NtBackup que é a ferramenta de backup do Windows Server 2003, porém neste
artigo estaremos nos focando no exame 70-290

Tipos de backup

O NtBackup permite 5 tipos de backups diferentes. Porém para entender estes backups
é necessário entender o que é o atributo “arquivo”. Este atributo é utilizado para
backups em outros sistemas operacionais também de forma um pouco diferente. O

30
atributo reserva em determinada parte do arquivo alguns bits para essa verificação.
Quando o arquivo é alterado o atributo é marcado quando o atributo é feito alguns
tipos de backup este atributo é desmarcado e o sistema de backups ”passa” por cima
deste arquivo sem copiá-lo para o backup.

Sabendo disso podemos continuar dizendo que os backups são

Normais: Quando o backup não se utiliza do atributo para copiar o arquivo, mas
quando encontra arquivos com este atributo os desmarca.

Incrementais: Verifica o atributo arquivo e desmarca.

Diferenciais: Verifica o atributo arquivo, mas não desmarca.

Cópia: Copia todos os arquivos sem verificar atributo e nem desmarcar.

Diário: não verifica atributo nem desmarca, mas a data de alteração do arquivo.

Considerações sobre tipos de backups e possíveis estratégias de combinações

Os backups do tipo normal ou cópia são geralmente muito lentos. Se for aplicado em
um servidor com grande volume de dados pode demorar muito tempo para terminar a
tarefa. Por outro lado, os backups incrementais e diferenciais são mais rápidos. Porém,
esses dois não podem ser a única configuração para um servidor por não conter todos
os dados necessários à restauração do servidor. O backup incremental é a rotina mais
rápida para realizar, mas a restauração exige que se tenham todos os backups
anteriores até o ultimo backup normal. Logo, a restauração não é muito rápida e exige
que se siga a ordem cronológica dos backups.

Uma rotina interessante de se aplicar e fazer um backup normal e em determinado

período de tempo realizar backups diferenciais. E em outro período realizar backups de
cópia. Assim, se for necessária a restauração do backup restaura-se o último backup
normal e o ultimo diferencial. Se o espaço de tempo entre os backups normais forem
muito grandes os últimos backup diferenciais tendem a demorar mais por haver uma
maior quantidade de arquivos a serem copiados. E o backup de cópia garantiria que
mesmo que todos os outros backups não pudessem ser restaurados esse seria. O
problema desse é o tempo de realização da cópia e o tempo de restauração.

Outra situação seria a criação de um backup normal semanal ou quinzenal e

diariamente um backup incremental. É uma forma rápida de backup, mas a
restauração é lenta e burocrática. Pois, tem-se que restaurar o backup normal e na
ordem dos backups todos os outros backups incrementais.

É boa pratica e muito recomendável simular as rotinas de backup e restauração para

que em momentos críticos a restauração tenha um tempo estimado de termino e
ocorra com certa tranqüilidade.

Restauração de Backups

A restauração de backup pode ocorrer, em relação ao local de restauração, de três

formas:

Local original-> todos os arquivos e pastas são restaurados no mesmo local que se

31
encontravam no momento da cópia. Se houverem pastas que não existam no
momento da restauração essas pastas serão criadas.

Local alternativo-> os arquivos e pastas do backup são restaurados em um local

definido pelo usuário no momento da restauração. Toda a arvore de pastas será
disposta normalmente dentro do local indicado na restauração.

Pasta única-> todos os arquivos são restaurados numa única pasta sem identificar a
estrutura de pastas anterior.

Os backups em relação aos arquivos pré-existentes podem se dar de três formas:

Não substituindo os arquivos no computador. O que faz com que o arquivo no backup
não seja restaurado se ele já existir no disco de origem.

Substituir o arquivo no disco quando ele for mais antigo. Se houver um arquivo no
disco e este for mais antigo do que o existente no backup a restauração sobrepõe o
arquivo do disco de destino.

Sempre substituir o arquivo no computador. Esta opção substitui o arquivo

independente de data do arquivo do disco de destino. Ou seja, por padrão ele
sobrepõe.

Um item importante de se observar antes de se efetuar o backup ou de se restaurar o

backup é a data do computador. Pois, se a data estiver incorreta é muito possível que a
data de modificação dos seus arquivos esteja incorreta e o backup será restaurado
incorretamente num caso de necessidade.

NtBackup: ferramentas e serviços

VSS (volume shadow service) serviço de cópia de sombra de volume. Esse serviço
mantém o backup rodando mesmo que algum usuário ou serviço do sistema esteja
utilizando algum arquivo. No caso de uma cópia normal alguns arquivos podem não ser
copiados quando o VSS estiver rodando o sistema não é bloqueado pela copia de um
arquivo em utilização nem bloqueia usuário algum que porventura tente acessar aquele
arquivo no momento do backup. Esse serviço está disponível sob o serviço de nome
“cópia de sombra de volume” no snap-in serviços (services.msc).

Os backups podem ser efetuados por administradores do sistema e por usuários de

grupo operadores de backup, que têm a permissão para alterar as permissões NTFS de
determinada pasta ou arquivo, ou mesmo de alterar o proprietário de determinada
pasta ou arquivo. Por isso, é de fundamental importância a manutenção das fitas de
backup ou qualquer outra mídia de backup em local seguro de furtos.

Uma das funções importantes do Windows Server 2003 em relação a backup é o

gerenciamento de mídia. O gerenciamento de mídia é feito pelo snap-in de extensão
que se encontra dentro do snap-in gerenciamento do computador (armazenamento
removível-> pools de mídia). Esse utilitário reconhece automaticamente as mídias que
nele são inseridas e quanto às mídias de backup no pool ela pode ser de quatro
maneiras:

Não reconhecidas: mídias em branco ou em formato desconhecido. Mantêm-se desta

forma até serem formatadas.

32
 Livres: mídias recém formatadas ou marcadas como livres. Podem ser movidas para
o pool de mídia de backup.

Backup: mídias que foram utilizadas recentemente pelo utilitário de backup.

Importar: mídias não catalogadas na unidade local do HD. A catalogação move as

mídias para o pool Backup.

Para o gerenciamento de mídias quanto a gravação e utilização podemos utilizarmos

das ferramentas:

Formatar uma fita: No Ntbackup clique com o botão direito do mouse em uma fita e
clique em formatar.

Esticar uma fita: botão direito do mouse sobre a fita no NtBackup e clique em esticar.

Marcar fita como livre: é feito da mesma forma que as opções anteriores.

Lembremo-nos que a formatação não é garantia de que a mídia não pode ser
restaurada. Por questões de segurança antes de se desfazer de suas mídias de backup
queime-as. Assim como marcar como livre não apaga dados.

Foi falado antes sobre catálogos e chegou a hora de explicar o que se trata de
catálogos quando falamos em backup no gerenciador de backup do Windows Server
2003 ( que, por sina, é o mesmo do Windows XP e 2000). Catalogo é um conjunto de
backups criado pelo Ntbackup que relaciona os arquivos e pastas nele incluídos. O
catálogo é armazenado na mídia e no próprio servidor e facilita a localização de
arquivos e pastas no momento da restauração, além de facilitar o gerenciamento das
mesmas. O Windows permite excluir catálogo ou Catalogar mídias pelo utilitário de
backup. Se o catálogo estiver no servidor o catálogo é carregado imediatamente,
quando se encontra apenas na mídia esse carregamento é, em geral, mais lento. O
catálogo em mídia é, além de tudo, uma boa prática pois se o catalogo não existir em
outro servidor é facilmente recriado em discos locais., ou seja o catalogo pode ser
recriado a partir do catalogo da mídia de backup.

Há algumas outras opções que não são de extrema importância no momento da copia
ou restauração, mas devem ser citadas porque em muitos casos se tornam muito
importantes:

Computar as informações de seleção antes das operações de backup e restauração:

essa opção estima o numero de arquivos e tamanho que será copiado ou restaurado
antes do inicio da execução da tarefa.

Usar catálogos de mídia para acelerar a construção de catálogos de restauração no

disco: se houver o catalogo em mídia o sistema recria o catalogo antes do inicio da
tarefa. Se a mídia estiver com o catalogo faltando ou corrompido o sistema examina
todo o conjunto de backup antes do início da operação aumentando em algumas horas
o processo, mesmo no caso de a opção estar desmarcada.

Verificar dados após o backup ser concluído: essa opção não é necessária pois as
mídias estiverem em boas condições os backups serão restaurados corretamente. Essa
opção verifica depois do termino da restauração os arquivos copiados com os arquivos
na mídia, o que torna a restauração ainda mais demorada. E, além disso, se forem

33
copiados os arquivos de sistema eles podem estar sujeitos a alterações durante o
backup.

Fazer o backup do conteúdo das unidades montadas. Essa opção copia (ou não) o
conteúdo das unidades montadas, que são os volumes que tem mapeamento para uma
pasta dentro de outro volume.

Há ainda outras opções que se referem a mídias de backup. Essas opções não devem
ser utilizadas quando o backup é feito em arquivo:

->Mostrar uma mensagem de alerta quando o utilitário de backup for iniciado e não
houver uma mídia reconhecível disponível.

->Mostrar uma mensagem de alerta quando o backup iniciar e o armazenamento

removível não estiver sendo executado.

->Mostrar mensagem de alerta quando a nova mídia for inserida

->Sempre permitir o uso de mídias reconhecíveis sem perguntar antes.

Bom, como esse artigo está demasiadamente grande e estamos ainda no meio do
assunto acredito que seja melhor e mais produtivo encerrarmos este artigo por aqui e
continuarmos em outro artigo do ponto que paramos.

Retornando do ponto de onde paramos no artigo passado...

13º resumo

A ferramenta de backup do Windows Server 2003 (na verdade é a mesma ferramenta

desde o Windows NT só mudou para o Vista) permite que se crie um log do backup. O
problema do log é que se cria uma lista muito grande de log, pois dependendo da
configuração pode listar TODOS os arquivos copiados ou restaurados. Essas
configurações podem ser resumidas, que incluirá apenas os logs de erros e arquivos
que tenham tido problemas, ou detalhado que reportará todos os arquivos
descompactados. O Log ficará em %userprofiles%\Local Settings\Applications
Data\Microsoft\Windows NT\NtBackup\Data\ e gravará os últimos 10 registros de
backups efetuados. Não é possível alterar-se o caminho ou o numero de registros
gravados no log, os mais antigos serão sobrepostos pelos mais recentes.

O NtBackup permite ainda que sejam criados parâmetros para que não sejam copiados
determinados arquivos, seja por sua extensão ou arquivos especificados um a um. Isso
permite que não sejam copiados os arquivos temporários nem os arquivos que não são
de grande importância na restauração do backup.

Outras opções para a restauração e/ou backup de dados pelo NtBackup são: Se
possível, compactar dados de backup para economizar espaço. Essa opção não é
compatível com alguns tipo de fitas magnéticas e pode causar uma pequena demora
na restauração; Desativar cópia de sombra de volume, se essa opção for marcada os
arquivos em uso, em muitos casos os arquivos do sistema, não serão copiados para o
backup.

34
Comandos de linha (prompt ou iniciar-> executar)

Esses comandos são muito úteis para o caso de scripts de automatização, mas é
possível o agendamento de tarefas de backup e é infinitamente mais fácil utilizar o
próprio aplicativo que os comandos de linha. Porém como são cobrados para a prova
tenho por responsabilidade introduzi-los aqui.

A Sintaxe é:

NtBackup backup {“caminho do backup” ou “@nome do arquivo.bks”} /j “Nome do

trabalho” /opções

O comando Backup é para especificar a ação: efetuar em backup seguido de caminho

que será gravado o backup ou o nome do arquivo de seleção que foi anteriormente
gravado pelo aplicativo em interface gráfica. Esse arquivo contém informações
relativas aos arquivos e pastas que serão gravadas no backup. Quando utilizado com
@ deve ser descrito o caminho completo e nome do arquivo .bks. A chave /j indica o
nome do trabalho do backup, que não é necessariamente igual ao nome do arquivo de
backup.

Opções para os comandos de linha

/F “Nome do arquivo” -> indica o nome do arquivo de backup que será criado.
Precisa ter o caminho lógico completo. Ex. “C:\Backups\backup.bkf” (bkf = backup file)

/A -> anexa o backup a um arquivo ou fita

/N “Nome da Fita” -> especifica um nome para uma fita nova.

/P “Nome do pool” -> especifica o pool de mídia que contém a mídia de backup.

/T “Nome da FIta” -> especifica uma fita pelo nome . Não é utilizado para nomear
fitas e sim para utilizar fitas já existentes.

/G “Nome do GUID” -> especifica o nome de uma fita válida no pool de mídias.

Restrições

O comando /F não pode ser utilizado com os comandos /T, /P e /G.

O comando /A não pode ser usado juntamente com os comandos /N e/P e deve ser
especificado com o comando /G ou /T quando for usado para uma fita e não um
arquivo.

/N não pode ser utilizado juntamente com o comando /A.

/P não pode ser utilizado com/A, /G, /F ou /T.

Outras opções e considerações do NtBackup

/M “tipo de backup” especifica um dos cinco tipos de backup.

35
 /D “Definir Descrição” especifica um rótulo para o conjunto de backup.

/V:{Yes | No} verifica os dados após a conclusão do backup.

/R:{Yes | No} Restringe o acesso à fita ao proprietário ou aos administradores.

/L:{f | s | n} especifica o tipo de log f=full, s=simple e n=none (completo, resumido

e nenhum).

/RS: {yes | no} faz backup dos arquivos de dados migrados localizados no
armazenamento removível.

/HC:{ on | off} usa compactação de hardware.

/Snap:{on | off} especifica se o backup deve o VSS.

Os comandos de linha de comando podem ser utilizados e, inclusive, criados pelo

agendador de tarefas. Para criar um backup agendado configure um backup e clique
em agendar. As opções de agendamento são muito úteis e diversas. Pode se criar
rotinas com inicio e fim, etc. Dêem uma pesquisada nas rotinas de backup pelo próprio
programa e creio que se familiazarão melhor do que comigo escrevendo aqui. Neste
mesmo local você pode ter o seu script escrito por linha de comando. Apenas clique no
calendário do agendador e selecione o trabalho. Clique em propriedades e selecione o
comando de linha, use copiar (ou Ctrl+C) ecole onde precisa. Fácil, né?

O NT backup permite restaurar e copiar arquivos locais ou em pastas remotas, porém

não permite que seja efetuado a copia remotamente. Ou seja, caso seja necessário
fazer o backup local e que o arquivo gravado fique em outro servidor deve-se copiar ou
gravar o arquivo para o outro local. Não é possível também fazer backups em CDs ou
DVDs diretamente.

Outros recursos de backup

Cópias de sombra de pastas compartilhadas

Lembra-se daquela vez que um usuário com permissão de gravação alterou uma
planilha muito utilizada e sem querer salvou informações incorretas naquela planilha.
Ou, ainda, quando o gerente comercial sobrepôs ou apagou um arquivo muito
importante de dentro de uma pasta compartilhada e o diretor veio babando para cima
dele e ele quase chorou para você “dar um jeito”? huahuahua. Então, como profissional
experiente você deve ter ativado o recurso oferecido pelo Windows de copia de sombra
e retornou os arquivos originais.

Para ativar esse recurso e salvar o pescoço de alguns usuários é simples na partição
que você tem uma pasta compartilhada clique com o botão direito do mouse sobre a
partição e em propriedades. Lá vá até a aba Cópias de sombra e ative para quaisquer
partições que você acredite ser necessário. Com isso o Windows ativa o VSS e cria
cópias dos arquivos alterados em um local no HD e para a restauração clique com o
botão direito sobre uma pasta ou arquivo e vá até a guia “versões anteriores” nela
estarão todos os arquivos gravados com o nome, data e hora. É possível, então,
restaurar, copiar ou exibir o(s) arquivos. Em restaurar ele restaura para o local de
origem, em copiar o sistema permite que se cole o arquivo em qualquer lugar e no
botão exibir é possível executar o arquivo.

36
Há ainda outras opções sobre as cópias de sombra que são:

Definir o volume de armazenamento para outro volume, ou seja, o sistema grava as

copias em outro volume de disco.

Agendar: aqui se cria agendamentos para as copias dos arquivos. Por padrão o
sistema define de segundas às sextas às 07:00 e aos 12:00.

Limites de armazenamento: o tamanho do cachê que será utilizado para as cópias

dos arquivos. O sistema armazena no máximo 63 versões do mesmo arquivo e quando
o espaço máximo para as copias é atingido os primeiros são sobrepostos. O padrão do
sistema é 10% do volume da unidade.

Ao se desativar a cópia de sombra o sistema exclui todas as copias que porventura

foram criadas. Logo, tenha muito cuidado ao se utilizar esse botão. Outro ponto de
fundamental importância são as permissões de arquivo. Quando se restaura o arquivo
para um novo local o sistema se utiliza das permissões da pasta pai e não das
permissões que continham o arquivo antes da cópia e quando se restaura ao local
original e se sobrescreve o arquivo aquele assume todas as permissões NTFS deste.

Com este artigo estamos passando, agora, da metade de nossos estudos. Fico muito
feliz com isso e com todo o apoio que muitos me vem dando, seja lendo os artigos,
elogiando meu esforço ou mesmo criticando. Muito obrigado a todos e, como sempre,
espero um feedback.

37
14º resumo

Conceitos Básicos

Normalmente nós ouvimos falar de se instalar impressoras no Windows quando na

verdade estamos instalando uma virtualização de características e comportamentos,
drivers, definições de impressão, permissões e etc. que estão vinculados a um
dispositivo conectado a uma porta de uma máquina local ou remotamente. Outro
conceito que se deve definir bem é quanto a impressoras locais e remotas.
Impressoras locais, ao contrário do que a lógica diria, não são aquelas que estão na
máquina local e sim aquelas que não são compartilhadas num outro dispositivo de
rede. Por exemplo, é possível se conectar diretamente a uma impressora em outra
máquina utilizando como se fosse local a única diferença é que a porta vai ser do tipo
TCP/IP e não COM ou SERIAL.

Com isso o Windows possibilitou a criação de servidores de impressão muito mais

gerenciáveis e com muito mais opções de impressão. Veremos mais à frente que é
possível criar pool de impressão, que nada mais é do que uma impressora lógica que
suporta diversos dispositivos de impressão, ou, ao contrário, um dispositivo de
impressão que é suportado por diversas impressoras lógicas. No primeiro caso, no
spool, é possível que as impressões dos usuários se dirijam para a impressora com
menos fila de impressão, ganhando, assim, agilidade nas impressões. No segundo
caso, o administrador pode criar diversos padrões de impressão com diversas
configurações e prioridades de impressão diferentes.

Instalação de impressoras no MS Windows Server 2003

Primeiramente, devemos ter em mente que tipo de arquitetura se tem em mãos.

Sempre que nos utilizarmos de um servidor de impressão temos que entender bem os
conceitos acima. Ou seja, sempre que instalarmos um servidor de impressão as
impressoras devem ser instaladas como impressoras locais, mesmo que estejam
conectadas à outros dispositivos de rede. Mas, antes, vamos salientar alguns pontos
sobre servidores de impressão:

As configurações de impressão são definidas pelo servidor

Os usuários sabem exatamente em que local da fila de impressão se encontra seu

trabalho

As mensagens de falta de papel ou outras mensagens de erro são apresentadas para

todos os usuários da impressora

Reduz o uso de processamento local permitindo que os usuários retornem às suas

atividades logo após o envio do trabalho ao servidor

Os Logs, permissões, auditoria e monitoramento são centralizados.

Em segundo lugar, temos que instalar o software da impressora (quando for o caso), o
que normalmente ocorre quando a impressora não é detectada automaticamente pelo
Plug and Play. Se não houver software é necessária a instalação dos drivers
compatíveis.

38
Em seguida, nomeia-se a impressora e o compartilhamento. E voilá. Impressora
instalada.

Propriedades da impressora lógica

As impressoras lógicas comportam diversas configurações. Algumas dessas

configurações podem ser exploradas para criar meios de gerenciamento centralizado,
identificação de erros e problemas, gerenciamento de documentos e impressões,
auditoria e outras propriedades.

A primeira ferramenta que eu gostaria de estar comentando é sobre os padrões de

impressão. São três caixas que contêm, em geral, o mesmo conteúdo, mas para
situações diferentes. A primeira caixa de diálogo é a caixa de dialogo propriedades que
está acessível quando o usuário manda um trabalho de impressão. Esta caixa
relaciona-se apenas com o trabalho de impressão que está sendo enviado naquele
momento e sobrepõe qualquer outro padrão. A segunda caixa de dialogo padrão de
impressões está sob o menu arquivo-> preferências de impressão e diz respeito aos
trabalhos de impressão pessoais e substituem as preferências padrões. A terceira e
ultima caixa de dialogo sobre esse mesmo assunto está na guia Avançado-> padrões
de impressão dentro das propriedades da impressora e diz respeito às impressões de
todos os usuários que imprimam por ela.

Outro ponto importante sobre as impressoras lógicas é a possibilidade de se atribuir

diferentes formulários às bandejas de papel na guia configurações do dispositivo. Que,
ainda, conterá configurações referentes à tipo de alimentação da impressora,
cartuchos e outras diversas opções de configuração dependendo do tipo de impressora.

Outrossim há as permissões para usuários, que são de forma análoga às permissões

de pastas porém neste caso são apenas:

Imprimir
Gerenciar documentos
Gerenciar impressoras

Dentro dessa mesma linha de raciocínio podemos discutir sobre a criação de pools de
impressão e diversas impressoras lógicas para um mesmo dispositivo de impressão. O
pool de impressão é acionado na guia Portas dentro das configurações de impressão e
por meio deste dispositivo é possível criar direcionamentos para diversas impressoras
físicas diferentes. Ou seja, se houverem diversas impressoras no meu parque de
máquinas os usuários terão a liberdade de enviar seus trabalhos de impressão e terem
sua impressão feita em pouco tempo sem a necessidade de esperar outros diversos
trabalhos com mesma prioridade, o Windows gerenciará a impressora mais “livre” e
enviará o trabalho para ela. O outro extremo dessa configuração que traz muita
flexibilidade é a criação de diversas impressoras para um mesmo dispositivo de
impressão. Nesse caso é possível configurar impressoras lógicas com diversas
configurações de impressão diferentes, por exemplo determinar para uma impressora
lógica uma configuração que dê permissão apenas para os usuários do grupo gerencia
e que esses tenham prioridade mais elevada sobre os seus trabalhos de impressão, ou
seja, os trabalhos dos usuários deste grupo sejam impressos mais rápidos, furem a
fila.

Sobre a programação de impressora é possível comentar que há uma configuração que

torne a impressora disponível apenas em determinado horário. É muito útil para o caso

39
de uma empresa com diversos estagiários que imprimam, por exemplo, seus trabalhos
fora do horário de expediente à titulo de “hora-extra não remunerada”. Rsrsrsrs quem
nunca fez isso?

Outras configurações seriam:

Utilização de páginas separadoras entre os trabalhos (guia avançado-> pagina

separadora)

Auditoria (será visto ainda nesse artigo com mais detalhes)

Impressão por IPP (Internet Printing Protocol)- impressão via internet

Modo de envio de trabalhos para impressora (guia avançado)

Prioridade de impressão (guia avançado)

Ainda sobre os recursos de impressão sou obrigado a comentar sobre a publicação das
impressoras no Active Directory que se faz de forma automática, exceto nas versões
de Windows anteriores ao Windows NT4 – inclusive, que tem que ser feita pelo MMC
usuários e computadores do AD clicar com o botão direito sobre a OU que deve ter a
impressora publicada Nova- Impressora. Por padrão o Windows publica a impressora e
possíveis alterações dela no AD porém é possível desativar essa publicação por meio
da ferramenta Listar diretório em compartilhamento da impressora.

IPP e impressão pela internet

A impressão pela internet é feita pelo protocolo IPP que nada mais é do que um
encapsulamento feito para o protocolo HTTP. O principal objetivo de se criar um
servidor de impressão com ferramentas para a internet é o gerenciamento, que pode
ser feito via site HTTP.

Para funcionar o servidor de impressão na internet é necessária a instalação do IIS e

de um componente do IIS: impressão de internet. O site padrão para gerenciamento –
em tempo real, das impressoras fica na pasta virtual que é apontada pelo caminho
HTTP://nome_do_servidor/Impressoras/ que aponta para a pasta local
%systemroot%\web\impressoras.

Ao entrar no site destacado acima você poderá se conectar à impressora que se deseja
gerenciar, respeitando-se as devidas permissões – tanto na impressora quanto do IIS,
lembrando, inclusive que o IIS dá suporte a autenticação para esse caso também. No
caso da impressão por meio de um dispositivo deste tipo é necessário apenas entrar no
site e clicar sobre a impressora que se deseja se adicionar. O sistema faz download de
um arquivo com extensão .cab com todas as informações relativas à impressora e
adiciona automaticamente ao sistema.

As vantagens de se utilizar de um sistema desse tipo são:

Permite que seja gerenciado do qualquer computador utilizando-se apenas o

bronwser.

Personalização/customização da interface

40
 Fornece uma página com uma lista do status de todas as impressoras

Gerenciamento em tempo real

Gerenciamento de erros, auditoria e solução de problemas

Um dos mais confiáveis meios de se gerenciar os problemas possíveis e a utilização da

impressora é pelo monitor do sistema, MMC de extensão do gerenciamento do
computador. Nele obtemos informações sobre (principais e mais úteis) quantidade de
bytes impressos, erros de trabalho, quantidade total de trabalhos, quantidade de
páginas impressas. Como os monitores do sistema serão melhor explorados em um
artigo mais a frente apenas comento aqui para mais para frente comentar melhor.
Assim como os logs do sistema referentes a impressão que são ativados nas
propriedades do servidor de impressão.

A auditoria de impressoras funcionam de modo análogo às auditorias de usuários,

porém são feitas por dispositivo lógico de impressão. O que significa que não é possível
auditar separadamente grupos de usuários ou usuários. Apenas se houver dispositivos
lógicos separados para estes no servidor de impressão.

A solução de problemas de impressão por meio de um servidor de impressão se dá de

forma muito fácil: por módulos e tentativas.

Primeiramente deve-se descobrir se o problema é do aplicativo que não está

imprimindo ou está imprimindo incorretamente. Apenas troca-se o aplicativo e envia-
se uma nova impressão. Depois se testa a conexão com a impressora: envia-se o
trabalho de impressão para outra impressora no mesmo servidor. Se nesse caso
imprimir descarta-se o erro de rede ou conexão com o servidor. Em seguida, testa-se a
conexão de rede por outras formas: utiliza-se o comando ping contra o servidor e
envia-se um trabalho de impressão para um dispositivo local. Por ultimo, verificam-se
as configurações de drivers (dependendo do caso este passo pode ser o primeiro), de
portas e permissões de impressão.

41