Professional Documents
Culture Documents
A Edição Web é uma edição reduzida que a Microsoft lançou no mercado para competir
com outros OS que tem a simples função de servidor Web. Rodando o IIS (servidor de
internet e FTP da Microsoft, vem junto do Windows nas famílias Windows XP, Server
2003, Vista, NT e virá na ainda não inaugurada versão 2008). Suporta 2 GB de RAM e
Multiprocessador simétrico de duas vias. Fornece conexões anônimas ilimitadas e 10
com o protocolo SMB. Não é para serviços de DHCP, TS, roteador de internet, servidor
de fax.
A edição Enterprise edition do Windows Server 2003 foi desenvolvida para ser utilizada
como servidor para grandes corporações. Suportando até 8 processadores e 32GB de
memória RAM, cluster de 8 nós (incluindo clusters SAN) e possibilidade de ser utilizado
por computadores Intel Itaniumde 64 bits suportando assim 64GB de RAM e SMP
(processadores) de até 8 via essa edição do Server 2003 possui todas as
funcionalidades das edições anteriormente citadas e ainda MMS (Microsoft
Metadirectory Services), Hot-Swap para memória RAM, WSRM (Windows System
Resouces Manager) que suporta alocação de recursos de hardware a cada aplicação.
Datacenter Edition. É disponível apenas como versão OEM e suporta todos os recursos
das edições anteriores além de SMP de 32 vias e 64 GB de RAM para plataformas de
32 bits e incríveis 512 GB de RAM e SMP de 64 vias para as plataformas 64 bits.
1º resumo
Estamos hoje, fechando nossa primeira parte do estudo para a certificação MCP 70-290
em que englobou:
->Objetos do AD
1
-> Contas de Computador
O Windows Server 2003 é dividido em 4 versões (sem esquecer das versões 64 bits):
Windows Server 2003, Datacenter Edition-> Disponível apenas OEM, suportando todas
as funcionalidades das versões anteriores com capacidade para até 64 GB de RAM e
Processadores de 32 vias para versões 32 bits e, incríveis 512 GB de RAM com
processadores de 64 vias com 64 vias. E, há ainda, uma versão de 128 vias sendo
duas de 64 vias.
Mesmo não sendo o foco da prova de certificação, tanto as versões quanto a instalação
são importantes para o certificando no momento do dia D, pois sabendo todas as
funcionalidades do Server 2003 pode ajudar na hora da prova e com certeza ajudará
no dia-a-dia.
O Windows Server 2003 pode ter a função de Servidor de Arquivos, impressão,
aplicativos, fax, TS, e-mail, DNS, controlador de domínio, VPN, etc. Porém antes de
veremos como instalar os esses serviços e o próprio sistema operacional em si faz-se
2
necessário lembrar o que vêm a ser o Active Directory e seus principais componentes,
que são alvos da prova 70-290 e desse curso.
Active Directory nada mais é do que um banco de dados com informações relativas a
objetos que representam usuários, grupos de usuários, computadores e unidades da
empresa. Esses objetos estão sob uma hierarquia em que o domínio está no primeiro
plano, seguido de outros containeres que podem ser as OU, que podem conter outras
OU ou outros Objetos. Esses objetos possuem características e propriedades que
definem suas restrições e características.
A instalação do Windows Server 2003 é feita parte em modo texto e parte em modo
gráfico sendo instalada por meio de CD-ROM sem suporte a instalação por disquetes
(como era em versões anteriores). A instalação inicia-se do CD-ROM quando não
encontra outro sistema operacional na máquina ou pressionando-se qualquer botão
durante o boot se já houver. No modo texto você escolherá a partição, tamanho e tipo
de partição que será instalado o Windows terminando essa parte com a cópia dos
arquivos para o HD.
Já no modo gráfico GUI você terá, entre outras opções, a escolha da rede e
configurações regionais, de idioma e teclado.
A instalação de qualquer serviço do Windows Server 203 pode ser feita por meio da
tela configurando o servidor, ou instalar componentes opcionais de Windows ou pelo
CD do Windows Server 2003. A Instalação do AD pode ser feita digitando-se DCPROMO
em inciar-> executar.
3
Gerenciamento remoto e área de trabalho remota.
A família Windows Server 2003, incluindo a Web Edition que não tem suporte a TS mas
possui área de trabalho remota, possui funcionalidades para gerenciamento da área de
trabalho remotamente. Essa funcionalidade é estendida para os usuários dos grupos de
administração.
Os serviços de terminal não podem ser confundidos com área de trabalho remota para
gerenciamento. Pois esta não exige licenciamento adicional aquela sim. Esta é um
componente padrão do Windows, aquela é instalado separadamente após a instalação
do Windows. Esta permite 2 usuários remotos mais o usuário local, aquela permite
quantos usuários forem licenciados.
Solicitação remota
Contas de usuário
Os objetos de contas de usuário podem ser criados por meio do MMC usuário e
computadores do Active Directory ou por linha de comando. Os objetos de contas de
usuários armazenam informações referentes a usuários, suas identificações e
permissões. Para isso, o Ad se encarrega de verificar na SID (identificação d e
segurança dos usuários) a qual domínio, grupos, OUs ele pertence e assim que é feito
o logon essa informação é retornada do servidor a partir do nome de usuários e senha
que contém as informações de controles de acesso (ACL- Access Control List) e assim o
usuário está identificado na rede.
Como esse artigo se trata de um resumo de referencia do nosso guia de estudo iremos
apenas apresentar as informações e definições mais importantes acerca de objetos de
usuários.
4
muitas das automatizações podem ser feitas sem prejuízo do resultado e com tempo
menos por meio do uso de linha de comando.
DSADD -> cria objetos no AD. Permite pipes com outros comandos e parâmetros
adicionais alem do uso em servidores remotos.
DSMOD -> Modifica as propriedades de um ou mais objetos. Permite pipes com outros
comandos e parâmetros adicionais alem do uso em servidores remotos.
DSQUERY ->Consulta objetos que tenham valores iguais para determinados critérios.
É diferente do DSGET, pois aquele retorna valores de propriedades e este retorna
conjuntos de objetos. Para se lembrar dessa diferença lembre-se que este comando
serve de pipe para outros e como os outros comandos precisam de objetos para
alterar, criar, modificar ou excluir propriedades este comando só poderia retornar
objetos para as consultas e não propriedades. Este comando permite pipes com outros
comandos e parâmetros adicionais alem do uso em servidores remotos.
Antes de tudo, perfil não é uma propriedade de objeto e sim um caminho para uma
pasta que guardará arquivos e configurações deste. Não confunda, mesmo que essa
informação esteja sob o caminho propriedades. Perfil local é o perfil que está disponível
na máquina do usuário e apenas lá. Perfil móvel é quando as informações,
configurações e documentos relativos àquele está disponível em uma pasta num
servidor. Num perfil móvel quando o usuário faz logon pela primeira vez numa máquina
os arquivos daquele usuário são baixados do servidor para a máquina local e quando o
usuário faz logoff apenas os arquivos alterados são enviados para o servidor
novamente. Os perfis móveis além de muito práticos permitem administração da
segurança dos arquivos dos usuários por meio do escaneamento garantido em um só
local, backup dos dados, escalabilidade, etc. Os perfis móveis também são chamados
de RUPs.
Perfis Pré-configurados
5
avançado vá em perfis de usuário, selecione o perfil criado e copiar para. Digite um
caminho seguindo o formato UNC \\servidor\sistema\comprtilhamento\%username%\
e na seção uso permitido selecione os usuários ou grupos que terão esse perfil.
Para tornar esse perfil obrigatório, ou seja, inalterável pelo usuário altere o arquivo na
pasta compartilhada do usuário de NtUser.dat para NtUser.man. Veja que não há
permissões envolvidas com a criação de perfis obrigatórios e tampouco diretivas,
apenas a alteração do nome de um arquivo.
Contas de grupo
Grupos locais: pode conter usuários de qualquer domínio, porém só podem ser usados
no domínio ao qual residem
Grupos Globais: podem utilizar objetos dentro do mesmo domínio, porém suas
permissões podem ser utilizadas em qualquer domínio.
Grupos Universais: podem ser utilizados em qualquer usuário de qualquer domínio com
permissões para qualquer domínio confiável.
Conversões de grupo
Pode ocorrer a conversão caso o grupo não seja membro de outro grupo de mesmo
escopo. Por exemplo, um grupo local que é membro de outro grupo local, ou um
grupo global que é membro de outro grupo global.
DSADD permite a criação de grupos da mesma forma que a vista anteriormente para
criação de usuários, porém com algumas diferenças na sintaxe. Pode ser utilizados
com pipes de outros comandos entre eles o DSQUERY e comporta os parâmetros para
a criação em servidores remotos ou local outro com nome de usuários e senha.
DSGET obtém informações a partir de uma propriedade especificada. Pode ser utilizado
com pipes em outros comandos. Comporta os parâmetros para a criação em servidores
remotos ou local outro com nome de usuários e senha.
6
DSMOD altera as propriedades de um grupo e de vários. Pode ser utilizado com pipes
em outros comandos. Comporta os parâmetros para a criação em servidores remotos
ou local outro com nome de usuários e senha.
Contas de Computador
“DSADD computers ND(do objeto)” (da mesma forma como vista anteriormente este
comando aceita pipes e outros parâmetros que devem ser estudados com /?)
2º resumo
Continuando nossa série de artigos, que será semanal, mas devido à ansiedade do
autor desta série este outro artigo está sendo escrito em menos de uma semana do
primeiro... Esse segundo artigo tratará de maneira bem superficial da instalação do
Windows Server2003 e da Instalação do Active Directory, que segundo meu ponto de
vista é uma ferramenta indispensável a qualquer corporação de médio e grande porte.
7
Logo no inicio será solicitado que se pressione F6 para alguns dispositivos tais como
HD SCSi e controladores RAID para que assim seja possível identificar os drivers
apropriados. Em seguida aparecerá um recurso novo que surgiu no Windows XP que é
a ASR (automated System Recover) ou recuperação automatizada do sistema que será
descrita mais detalhadamente num próximo artigo. Após essa fase da instalação será
necessário indicar o local/partição que será instalado o Windows Server 2003. Essa
nova partição é possível em dois formatos NTFS e FAT32 , embora os dois formatos
estejam disponíveis, eu, sinceramente, não sei o porque alguém em sã consciência
instalaria o Windows em uma partição em FAT32. Essa historia de que FAT32 é mais
rápida e dá menos erro não é verdade. Como veremos mais adiante o sistema de
arquivos NTFS é uma avanço muito grande pois permite que haja segurança a nível de
arquivos, compressão, tolerância a falhas muito maior, etc... a única razão seria para
poder rodar aqueles antigos programas em DOS, mas para isso não precisamos de
uma Windows Server 2003.
Após essa primeira parte da instalação, que não é feita em modo GUI, o Windows
começa a instalação em modo gráfico. Aqui, você, primeiramente, escolherá na página
opções regionais e de idioma as configurações de idioma e padrão de teclado (escrita)
apropriadas. Em seguida o nome de usuário e da empresa. Depois de digitado esses
dois campos o Windows solicitará a Chave de licença do produto.
Até este ponto o processo corre identicamente à instalação do Windows XP. Daqui em
diante haverá poucas mudanças e uma delas é a escolha do modo de licenciamento do
produto (este ponto será tratado com mais detalhe em um artigo mais a frente).
Continuando com a instalação será solicitado o nome do computador (o nome sugerido
pela instalação é apenas uma sugestão podendo ser alterado) e a senha do usuário
administrador.
Na próxima etapa trataremos que esse servidor não tenha um modem instalado nele,
logo, não usaremos as configurações de modem para essa instalação. Depois, em
configurações de rede poderá ser utilizado as configurações típicas de rede ou
configurar uma de acordo com a rede que o servidor deverá ser instalado. Apenas
lembrando, se um computador estiver fora da faixa de IP definida para a rede ele não
irá “enxergar” a rede, se estiver em outra sub-rede não conseguirá enxergar outras
redes, se estiver usando um servidor de DNS errado não conseguirá resolver nomes,
ou seja, transformar o nome segurancati.com.br em um IP válido para encontrar sites
e/ou computadores de outras redes. O grupo de trabalho é exigido em seguida e
segue-se a instalação silenciosamente até a tela de Bem vindo do Windows aparecer.
Nota: O Windows Server 2003 não tem tela de boas vindas e exige para a segurança
do sistema que seja pressionado Ctrl+Alt=Del para a entrada do nome e senha do
usuário. Talves seja necessário, dependendo do licenciamento, que o Windows seja
ativado e será então necessária conexão com internet.
Após a instalação do Windows Server 2003 ele pode ser utilizado como:
• Servidor de arquivos
• Servidor de impressão
• Servidor de aplicativos
• Servidor de impressão
• Teminal Server
• Servidor de E-mail
• Servidor de acesso Remoto/VPN
8
• Controlador de domínio (Active directory)
• Servidor de DNS
• Servidor DHCP
• Servidor de fluxo de mídia
• Servidor WINS
Active Directory
Como há diversas bibliografias intermináveis sobre o assunto não vou tentar escrever
nenhum artigo que apresente ou ensine tudo sobre o Active Directory, apenas uma
introdução.
Como uma das principais necessidades das redes corporativas de hoje é a distribuição
de arquivos, aplicativos, e-mail, etc... com a necessidade da proteção dos dados tanto
levando em conta sua integridade, disponibilidade e confidencialidade a Microsoft
permite dois tipos de modelos de serviços de diretórios: grupo de trabalho e diretórios.
O modelo por diretório permite que se identifique num diretório quem é quem dentro
daquele mesmo diretório. Logo é possível distribuir permissões para usuários, que se
grave logs dentro de uma rede, utiliza de sistema seguro de autenticação de usuários,
etc. O Active directory é tão surpreendente que permite que se utilize perfis moveis de
usuário, ou seja, meu usuário não está restrito a uma máquina eu posso utilizar e
minha mesma área de trabalho ou ver meus e-mails no Outlook em qualquer
computador dentro do domínio.
9
3º resumo
Para começar a utilizar o MMC apenas digite MMC em Iniciar-> Executar e o console se
abrirá. Após ler o texto é interessante abrir e analisar as funcionalidades que essa
ferramenta apresenta. Para isso entre no MMC vá em Arquivo-> adicionar/remover
snap in e veja as opções disponíveis.
O comando Ação do MMC pode variar de acordo com o snap-in utilizado, porém na
maior parte dos casos inclui recursos de Ajuda, nova janela, exportação e
configurações. Em favoritos é permitida a inclusão e/ou organização dos consoles que
você venha a criar com determinado objetivo. O MMC é interessante não apenas pela
praticidade do uso mas como também pela criação de consoles gerenciáveis, ou seja, é
possível criar consoles para usos específicos e salvá-los. É possível salvá-los para
gerenciamento de computadores remotos ou locais.
Snap-in
10
Há dois modos de operar o MMC de acordo com o as limitações que o console pode
apresentar frente a alterações nos nós do MMC – snap-ins incluídos , abertos,
excluídos, etc. Há o modo Autor, que é o modo padrão de criação e o modo em que
você tem completo controle sobre as funcionalidades do snap-in. E, há ainda, o modo
usuário em que você pode criar permissões para acesso à criação de novos snap-ins
e/ou visualização dos snap-ins.
O MMC pode ainda gerenciar computadores remotos – cfe dito antes, basta que o
snap-in suporte gerenciamento remoto e que você tenha permissões administrativas
no computador remoto.
Eis uma lista abaixo de consoles que pode ser encontrados digitando MMC em executar
e adicionando, porém essa lista é o nome que você pode digitar em Iniciar-> executar
sem precisar abrir o console e adicioná-los. Essa lista não contempla snap-ins para AD
necessariamente. Porem podem, em sua maioria, serem utilizados tanto no Server
2003 quanto no XP ou 2k:
• certmgr.msc
compmgmt.msc
devmgmt.msc
dfrg.msc
diskmgmt.msc
eventvwr.msc
filesvr.msc
gpedit.msc
lusrmgr.msc
perfmon.msc
rsop.msc
secpol.msc
services.msc
•
Lembre-se quanto mais você utilizar e conhecer esses snap-ins melhor para você. Em
outro artigo trataremos mais especificamente dos snap-ins para editores de objeto
como o gpedit.msc devido à sua complexidade e utilidade.
4º resumo
11
administração ao mesmo tempo. Tecnicamente, são três conexões ao mesmo tempo,
porém o console não conta como área remota.
É o serviço ‘Serviços de terminal’ que ativa a área de trabalho remota e, por padrão já
vem instalado no Windows Server 2003 sem precisar instalá-la na instalação do
sistema operacional ou efetuar qualquer tipo de licenciamento que não seja o do
próprio Windows. Para ver os serviços de terminal entre em services.msc, vide artigo
anterior.
Dica de exame: não confunda o termo Servidor de terminal com administração remota,
tampouco sua funcionalidades. O Servidor de terminal exige licenciamento e trabalha
com compartilhamento de aplicativos a administração remota não. Será melhor
explicado sobre os serviços de terminal em um artigo mais adiante.
Para poder se conectar a qualquer servidor do lado do cliente é preciso ter o software
de conexão de área de trabalho instalado na maquina. O Windows XP vêm como
padrão com o software instalado. Porém, caso torne-se necessária a instalação os
arquivos da mesma estão em %systemroot%\system32\clients\win32 ou no cd de
instalação do Server 2003.
Nota: é possível rodar a área de trabalho remota inclusive em Linux. É só ter o pacote
que na maior parte das distribuições é o rdp.
12
essas opções estarão disponíveis, mas não serão utilizadas na conexão. A guia
programa habilita na abertura da seção um programa. A guia experiência tem
configurações pré-definidas ou personalizáveis que irão influenciar a velocidade depois
da conexão. E caso, haja certificados instalados na máquina cliente, pode aparecer a
guia segurança que será utilizada apenas para ingresso em um domínio com AD
instalado que verifique certificados digitais.
Falhas na rede-> verifique a conexão com o servidor e se a porta 3389 está liberada
(porta padrão que pode ser alterada caso seja necessário) e feita uma regra de NAT
que redirecione a porta para a máquina servidor.
Assistência Remota
Apenas pincelando este tópico sobre envio de assistência remota, que utiliza muitas
funcionalidades da área de trabalho remota, inclusive as portas para conexão são as
mesmas.
O próximo artigo de nossa série tratará sobre contas de usuário, trataremos no escopo
de um AD, e suas propriedades.
5º resumo
Neste Artigo de nossa série MCP 70-290 estudaremos sobre as contas de usuários em
Domínios Active Directory. Iremos estudar sobre contas de usuários em dois artigos
neste primeiro iremos ver sobre criação e gerenciamento de objetos de usuário e
13
ferramentas por meio de linha de comandos para automatizar e aperfeiçoar o processo
e pesquisas de usuários no AD.
Em um capitulo mais a frente iremos discutir melhor sobre GPOs (Group Policy Objects
– Obejtos de Diretivas de Grupo), porém é interessante lembrar que é interessante
criar os usuários em determinadas e planejadas OUs (unidades Organizacionais) para
delegação administrativa e aplicação das GPOs, além da granularização e
gerenciamento facilitado por essa prática. Para Criar um objeto de usuário em Usuários
e Computadores do Active Directory clique em uma OU com o botão direito do mouse
em seguida clique em Novo -> Usuário. Lembrando que para isso é necessária
permissões administrativas. Na caixa de Diálogo aberta teremos os Campos:
Após a Inserção desses campos o sistema abre outra janela com senha (não
necessária nesse momento) (2) e as propriedades:
- O usuário deve alterar a senha no próximo logon. Essa propriedade exige que o
usuário altere a senha no próximo logon que fizer. (3)
- A senha nunca expira. Essa propriedade prevalece sobre as diretivas que impõe
que o usuário tenha de alterar a senha de período em um determinado período de
tempo.
- Conta desativada.
14
- Conta: Contém informações tais como nomes, senha e propriedades relativas a
conta (desativada, alterar senha no próximo logon, etc)
É possível ainda gerenciar e alterar as configurações para várias contas de uma só vez.
Apenas utilize o recurso de escolher mais de uma de uma vez e ver as propriedades
delas. Obviamente, as propriedades únicas dos usuários não serão alteradas e nem
estarão disponíveis, é interessante “brincar” um pouco com esse recurso pois o exame
pode pedir que sejam alteradas varias propriedades de várias contas ao mesmo tempo
e com esse recurso facilita muito. Outro ponto importante para ser analisado antes de
passarmos para as ferramentas de linha de comando é que o MMC (artigo 2º em nossa
série) permite que o administrador de sistema altere um objeto apenas movendo ele
de uma OU para outra, ou uma OU para outra, ou um grupo de usuário para outra OU,
etc.
É possível estar criando um modelo de usuário para ser utilizado como cópia em outros
objetos de usuários. Clique com o botão direito do mouse sobre o objeto de usuário
modelo e clique em copiar, serão solicitadas informações de um novo usuário, porém
este tem algumas propriedades de usuário, somente as que podem ser
compartilhadas, iguais às do usuário modelo. Faça um teste e verifique as
características que podem ser copiadas, você notará que são as mesmas que a de
múltipla seleção de objetos de usuários.
O primeiro comando de linha (prompt. Iniciar-> executar digite cmd) é o CSVDE que
tem por objetivo a importação/exportação de objetos. O CSVDE importa a partir de um
arquivo do tipo .cvs (Comma Separated Values – valores separados por virgulas). A
sintaxe básica do comando é:
15
aspas duplas “”; -k ignora erros continuando a exportação sem parar no primeiro erro
encontrado.
O arquivo deve ter na primeira linha os atributos dos objetos a serem criados, ex: DN
e nas demais linhas as propriedades dos objetos:
Dn,objectclass,samaaccountname,Sn,givenname,userprincipalname
“cn=André.Sevilha,ou=Treinamentos.consultoria,dc=segurancati,dc=com,dc=br”,
user,”André Sevilha”, Sevilha, André, André.Sevilha@segurancati.com.br
O comando acima verifica os usuários que estão há 10 dias sem alterar a senha e
Server de entrada para o comando DSMOD para alterar a propriedade em que o
usuário deve alterar a senha no próximo logon. Este comando aceita caracteres
coringa como *.
DSADD permite criar objetos. Pode criar objetos de usuários de três formas:
- deixando o parâmetro DN vazio e digitando as DN, uma de cada vez, com enter ao
final de cada uma e finalizando o comando com CTRL+Z. Permite assumir outros
parâmetros que não vem ao caso listar aqui por sua extensão e caso hajam duvidas
apenas contatem o fórum (http://www.segurancati.com.br) ou digitem dsadd user /? .
Notas:
(1) DN é o nome que grava informações e propriedades que identificarão o usuário na
floresta. Ex de DN:
“cn=André Sevilha, ou=Treinamentos.Consultoria,dc=segurancati,dc=com,dc=BR”
(2) É boa prática implementar políticas, por meio de diretivas de grupo, que tornem
16
necessárias senhas com tamanho mínimo e satisfaçam requisitos de complexidade,
que são:
- as senhas não podem ser o nome do usuário.
(3) É possível ainda que seja aplicada uma diretiva que grave um número de senhas
para que o usuário no momento que vá alterar a senha não utilize uma das senhas que
foi utilizada anteriormente. Pode ser utilizado um histórico de 1 a 24 senhas.
(4) Perfis móveis serão vistos mais à frente em outro artigo, porém apenas
comentando, eles permitem que as pastas particulares relativas ao usuário estejam na
rede, garantindo proteção, disponibilidade e, inclusive, backup.
6º resumo
Nesse Artigo veremos sobre criação de perfis móveis de usuários, Perfis Locais, Perfis
pré-configurados, perfis Pré-configurados obrigatórios, problemas e diretivas de
autenticação de segurança. Este artigo complementa o artigo passado e finaliza a parte
de objetos de contas de usuários para o exame MCP 70-290.
Perfis de usuários.
Perfil de usuário são os arquivos e pastas de dados que contém informações referentes
a sua área de trabalho e outras definições que implicarão no modo como o usuário
utilizará e trabalhará em seu desktop. Em uma área de trabalho local o perfil do
usuário estará direcionado para a pasta %SystemDrive%\Documents and
settings\%UserName% (1).
Quando um usuário faz logon no Windows pela primeira vez, o sistema se encarrega
de criar a pasta (padrão) de perfil do usuário e a partir das configurações do ambiente,
dos programas instalados e atalhos para o usuário padrão o sistema cria um ambiente
de trabalho para esse novo usuário.
Num perfil local dentro do AD se o usuário faz logon em outro local o sistema não
“leva” as configurações de perfil junto com ele. Isso pode implicar em, por exemplo,
Outlook desconfigurado, MSN sem histórico, falta dos arquivos armazenados em meus
documentos, cookies e outras configurações do IE faltando, dicionário personalizado do
Word incorreto...
17
disponíveis. Além disso, essas informações estarão sujeitas aos backups do servidor,
varredura de vírus e malwares e controle central. Esses perfis móveis são chamados de
RUPs (Remote User Profiles) e funcionam da seguinte forma:
Quando o usuário fizer logon dentro do domínio e tiver caminho configurado na caixa
“Caminho do perfil” na guia Perfil da propriedade de objeto de usuário (2) o sistema irá
localizar a pasta do servidor e sincronizar os arquivos (3) para uma pasta na máquina
local.
Quando o usuário faz logoff o sistema sincroniza novamente com o servidor enviando
os arquivos novo e aqueles que sofreram alterações recentes (4).
Assim como é possível criar perfis de usuários pré-configurados para usuários o é para
grupos também. A única diferença consiste em no momento que você libera (Uso
permitido) o perfil para um determinado usuário você o libera par um grupo de
usuários. Esse perfilo pode ser liberado para o grupo porém apenas estará disponível
para os que tiverem esse caminho UNC da pasta de perfil pré-configurado no seu perfil
nas propriedades do objeto.
Histórico de senhas: permite que o sistema guarde informações de senhas de usuários
para que o mesmo não utilize a mesma senha dentro de um determinado numero de
trocas de senha
Tempo máximo de vida de senha: após esse período a senha deve ser trocada
Tempo mínimo de senha: garante que o usuário não altere sua senha várias vezes
para contornar a primeira diretiva de senha. Essa diretiva não fere o direito de o
administrador alterar a senha mesmo que dentro de um período menor que o definido
pela diretiva
18
usuário, tenha pelo menos 6 caracteres, contenha 3 dos 4 tipos de caracteres a seguir:
Maiusculas, minúsculas, números, não alfanuméricos. Diretiva padrão do WS2003.
Zerar contador de bloqueio de conta tempo em minutos para que o contador seja
zerado após varias tentativas sem sucesso e uma tentativa de logon sucedida.
Notas:
(1) O caminho acima pode também ser escrito como %Userprofile% e ambos
indicarão o mesmo caminho, porém se a pasta do usuário não estiver indicando para
seu nome de usuário, ou dentro da pasta “documents and settings”, ou ainda, no disco
local C: o %userprofile% obviamente vai indicar caminho diferente que o supracitado.
Este direcionamento Userprofile é útil para indicar de maneia mais rápida o caminho da
pasta do perfil do usuário. Dica do oficio: nem sempre o usuário tem o mesmo nome
da pasta em seu perfil isso depende do seu SID e de como foi efetuada a configuração
do usuário. Experimente criar um usuário XXX e mudar seu nome, e apenas o nome,
para YYY. Você notará que o %userprofile% dele indicará a antiga pasta mas o logon
deve ser feito como YYY e o nome do usuário é YYY>
(3) Os Rups não são nada mais que um compartilhamento num servidor que contém
as informações do perfil do usuário, não é de modo algum uma propriedade do objeto
de usuário.
(4) Em versões anteriores o sistema fazia download de toda a pasta do usuário e não
apenas uma sincronização dos arquivos alterados e dos novos.
7º resumo
Já estamos entrando no 7º artigo de nossa série. Este artigo tratará sobre contas de
grupo. Veremos os tipos de contas de grupos, escopos de contas de grupo,
gerenciamento de contas de grupo e algumas ferramentas de automatização e suas
funcionalidades práticas.
Após essa lição o leitor poderá ter uma base sobre como configurar contas de grupo
num ambiente Windows com Active Directory, gerenciar e, obviamente, o leitor, terá
uma base para a prova de certificação Microsoft 70-290. Nosso próximo artigo,
também extremamente útil não só do ponto de vista da prova como também do ponto
de vista de profissional e da segurança da rede AD, será sobre contas de computador.
Na mesma semana que haverá a publicação deste ultimo artigo haverá um simulado
sobre todo o conteúdo visto até agora. Este simulado terá seu gabarito divulgado na
outra semana (dia 15.02).
19
Primeiramente, precisamos entender o que é um objeto de conta de grupo. Objeto de
conta de grupo é um container que armazenará informações de usuários,
computadores e outros objetos de grupos de forma organizada. As contas de grupo
podem ser de dois tipos: as contas de grupo de segurança que armazenará as
informações relativas às ACLs dos usuários nelas contidos e as contas de grupo de
distribuição que não armazenará informações de ACL, servindo apenas como um
agrupamento (1).
Outro ponto importante ponto acerca dos objetos de grupos é sobre o escopo deles.
Porém torna-se imprescindível antes definirmos antes os grupos funcionais de domínio:
Grupos locais: no grupo 1 (Windows NT 4) dão esse grupo pode conter usuários de
qualquer domínio mas está restrito às permissões da máquina ao qual reside. No grupo
2 pode conter usuários de qualquer domínio, porém só podem ser usados no domínio
ao qual residem
Grupos Universais: no grupo 1 não está disponível. No grupo 2, podem ser utilizados
em qualquer usuário de qualquer domínio com permissões para qualquer domínio
confiável.
O escopo do grupo dentro dessa didática fica fácil de visualizar e de aplicar. Lembre-se
20
que depois de elevar o nível funcional de um servidor para Windows 2000 nativo ou
Server 2003 não é possível retornar para o estado anterior e muitas configurações
podem ser tornar inútil se utilizado com sistemas como o Windows NT 4. Além disso,
convém acrescentar que é possível alterar, ou converter o escopo de um grupo. E para
isso temos que analisar as situações nos dois grupos didáticos que criamos. Quando o
nível funcional de um controlador de domínio se encontra sob o grupo 2 é possível
converter o escopo do grupo considerando os seguintes aspectos:
-> Pode ocorrer a conversão caso o grupo não seja membro de outro grupo de
mesmo escopo. Por exemplo, um grupo local que é membro de outro grupo local, ou
um grupo global que é membro de outro grupo global. Essa regra é fácil de ser
lembrada e se refletirmos um pouco é bastante lógica.
-> Pode ocorrer a conversão caso o grupo local não seja membro de outro grupo
local.
Todas essas funcionalidades aqui citadas estão presentes dentro do snap-in “Usuários e
computadores do Active Directory” e para criar um grupo segue a regra do clicar com o
botão direito-> novo-> grupo e as propriedades para conversão de grupo estão como
propriedade do objeto de grupo.(3)
Existem grupos dentro do sistema operacional Windows que são chamados identidades
especiais e não podem ser excluídos por nenhum usuário ou administrador. Eles
representam grupos gerais para situações especificas. Não aparecem no MMC como
um objeto de grupo. Essas identidades especiais são:
Todos: representa todos os usuários da rede, e todos os usuários estão dentro desse
grupo.
Rede: Representa os usuários que acessam algum recurso local pela rede.
Logon anônimo: representa os usuários que acessam um recurso local pela rede sem
efetuar o processo de autenticação.
21
Discagem: refere-se aos usuários conectados à rede por meio de conexão discada.
DSADD permite a criação de grupos da mesma forma que a vista anteriormente para
criação de usuários, porém com algumas diferenças na sintaxe. Pode ser utilizados
com pipes de outros comandos entre eles o DSQUERY e comporta os parâmetros para
a criação em servidores remotos ou local outro com nome de usuários e senha.
DSGET obtém informações a partir de uma propriedade especificada. Pode ser utilizado
com pipes em outros comandos. Comporta os parâmetros para a criação em servidores
remotos ou local outro com nome de usuários e senha.
DSMOD altera as propriedades de um grupo e de vários. Pode ser utilizado com pipes
em outros comandos. Comporta os parâmetros para a criação em servidores remotos
ou local outro com nome de usuários e senha.
Notas
(1) As contas de grupos de distribuição servem normalmente para serem usadas para
distribuição de e-mails e/ou para organizar usuários dentro da organização e
departamentos dessa. Por exemplo, uma lista de distribuição para o setor de
almoxarifado em que contém os usuário que ocupam diversos cargos na organização,
desde o pessoal de TI do departamento até o gerente deste setor.
(2) Esse grupos de níveis funcionais são apenas didáticos. De maneira alguma será
cobrado assim na prova de certificação e sim pelos grupos funcionais em si.
8º resumo
22
Computadores do Active Directory, mas veremos também ferramentas de linha de
comando como o DSADD, NETDOM e outras mais anteriormente estudadas – com
outro escopo, para criação e gerenciamento o ambiente AD.
Inicialmente, precisamos saber que todos os computadores dentro do AD tem uma SID
e, decorrente disso, possui uma identificação SAM. E todo o computador que se
autentica em um domínio possui uma conta de computador em um banco de dados de
algum domain controller da floresta. Porém essas contas quando não foram movidas
para um container especifico o Active Directory se encarrega, por padrão, de mover
esse objeto para a OU Computers. Para criar uma conta de computador antes de o
computador se autenticar no domínio temos três opções: clique com o botão direito do
mouse no MMC no contêiner em que se deseja criar o objeto clique em novo e em
computador. Ou no prompt digite “DSADD computers ND(do objeto)” (da mesma
forma como vista anteriormente este comando aceita pipes e outros parâmetros que
devem ser estudados com /?). Ou, ainda, no prompt digite “NETDOM add
ND(computador) / domain:nome_dominio /userd: Nome_usuário /password: senha”
As melhores práticas ditam que é mais correto criar a conta antes de associar ao
domínio. Pois além das permissões padrão da OU computers, que não podem ser
alteradas, o administrador terá um trabalho extra ao mover para uma nova OU.
Entretanto, é possível alterar a localização de um objeto de computador entre
containeres simplesmente arrastando no MMC ou utilizando o comando DSMOVE.
23
diretório. Podemos utilizar os filtros nome do computador, proprietário ou função, ou
uma mescla deles.
Um ponto importante para ser observado aqui é que os objetos de computador não são
vinculados por MAC ID ou IP e sim pelo seu NETBIOS. O que significa que podem
ocorrer os problemas a seguir.
Aplicando esse método sempre teremos êxito no trabalho assim como na prova de
certificação. Antes de explicarmos o método é bom analisarmos alguns conceitos como
Exclusão, desativação e redefinição de contas.
Exclusão é feita quando uma máquina não vai mais ser utilizada por aquele domínio,
este caso exige cuidado pois a exclusão apaga o SID do objeto e se algum usuário
tiver privilégio para re-associar um computador ao domínio ele poderá fazê-lo. Ao
contrário da exclusão a desativação na permite o logon do computador no domínio e
não exclui o SID do objeto, podendo ser reativado a qualquer momento. Redefinição de
conta de computador na mais é do que a alteração da senha do computador sem
alterar outras propriedades da SID, é utilizada em caso de atualização de sistema
operacional e outros problemas com conta.
Terminamos aqui um dos nossos mais breves artigos, porém um dos mais importantes
para um administrador de redes Windows e devido a sua facilidade este capitulo
representa alguns pontos que não podem ser deixados para traz. Lembro que haverá
um simulado no Fórum com questões relativas a esse artigo e que somam muito para
quem precisa da certificação MCP e/ou para quem deseja se aprimorar em AD. Espero
que vocês façam uma boa leitura desse artigo e, como sempre, quaisquer duvidas
podem ser postadas diretamente no fórum HTTP://www.seghurancati.com.br.
9º resumo
Este artigo tratará de um tópico muito importante tanto para o exame quanto para a
vida profissional do leitor. Este artigo estudará compartilhamento de pastas,
permissões NTFS e de compartilhamento, propriedades de segurança de pastas
compartilhadas, propriedade, herança, Auditoria de segurança de pastas e serviços IIS
no tratamento do exame 70-290.
Compartilhamento de pastas
24
O compartilhamento de pastas é habitualmente feito pelo próprio Windows Explorer e
suas propriedades de segurança alteradas por ali mesmo. Porém quando se tem um
controle centralizado que necessita alterações de compartilhamentos remotos, ou
ainda, alterar alguma propriedade de uma pasta compartilhada em algum servidor não
é possível por esse mecanismo. Igualmente, há o snap-in Gerenciar pastas
compartilhadas que o faz muito bem e permite alterações e criação de pastas
compartilhadas remotamente.
Ao abrir a ferramenta vemos alguns compartilhamentos que não foram feitos pelo
administrador, tampouco aparecem como pastas compartilhadas no Explorer. Esses
compartilhamentos são compartilhamentos administrativos que fazem a conexão com
arquivos de sistema. Por exemplo, a pasta raiz do Windows e as raízes de cada
diretório. Esses compartilhamentos não estão disponíveis para qualquer usuário e nem
são visualizáveis pelo Minha rede. Esses compartilhamentos são ocultos, acessáveis
apenas pelos Administradores por meio do caminho UNC
(\\servidor\compartilhamento) o cifrão após o nome do compartilhamento significa e
oculta o caminho, tornando-o accessível apenas por meio do caminho UNC. O cifrão
não torna a pasta disponível apenas para os usuários administradores apenas oculta o
compartilhamento, ao contrário do que poderia se pensar.
A janela que se abrirá necessitará do caminho da pasta que será compartilhada. Digite
esse caminho como se fosse em máquina local, caso não o seja. Na janela a seguir
teremos que digitar o nome do compartilhamento, apenas tome nota de dois pontos
básicos sobre esse nome: deve ser curto (menos de 8 dígitos) para não causar
problemas em versões antigas do Windows e que esse nome será utilizado na UNC
para identificar o caminho para a pasta compartilhada, logo, nomes coerentes e curtos
são boas práticas. A descrição é uma breve descrição do que a pasta trata e servirá
para consultas. As configurações Off-line também são feitas nessa janela e permitem
que os arquivos da pastas estejam disponíveis mesmo que o usuário não esteja
conectado com a pasta compartilhada. A próxima guia, Permissões será tratada com
mais rigor no próximo tópico.
Permissões
Existem dois tipos de permissões que podem ser aplicadas numa pasta compartilhada.
As permissões de compartilhamento e as permissões de arquivo. As permissões de
compartilhamento são simplesmente Leitura (permite a exibição de arquivos e pastas,
permite executar arquivos e abrir outras pastas dentro desta), Alterar (permite todas
as permissões concedidas à leitura mais alteração e exclusão de arquivos) e Controle
total (permite alterar a propriedade dos objetos e pastas).
25
permissões de Arquivo NTFS só estarão disponíveis para partições NTFS. O
gerenciamento fica complicado pois as permissões mais restritivas sempre terão
prioridade nesse caso. Ou seja, se determinado usuário tem permissão para controle
total nas permissões NTFS e tem apenas leitura nas permissões de compartilhamento o
sistema permitirá apenas leitura da pasta.
É boa pratica dar leitura e alterar como permissão para as pastas compartilhadas e
utilizar as restrições de NTFS par facilitar o gerenciamento dos compartilhamentos.
10º resumo
Neste 10º artigo da série MCP 70-290 estaremos dando continuidade ao sistema de
segurança de pastas e arquivos. No artigo anterior discutimos sobre permissões de
arquivo, no presente artigo trataremos sobre ponto de extrema importância para um
entendimento mais aprofundado sobre permissões de pastas e arquivos: herança,
propriedade e permissões efetivas. Outro ponto que será tratado será a auditoria de
acessos e uso do sistema de arquivos.
Herança
26
É a permissão replicada que vêm das pastas que comportam a pasta em questão. Ou
seja, quando ativada a herança todas as pastas e arquivos abaixo daquela pasta terão
as mesmas permissões que esta. É interessante lembrar que o Windows permite a
substituição da permissão herdada e nesse caso temos que nos lembrar das regras de
prioridade de permissão conforme o artigo anterior: permissões de negação têm
prioridade sobre as permissões de permissão e permissões explicitas têm prioridade
sobre permissões herdadas, logo, permissões permitir explicitas tem prioridade sobre
permissões negar herdadas.
As permissões herdadas ficam esmaecidas quando vistas no editor de ACL e não são
marcáveis ou desmarcáveis, ou seja, não é possível desmarcar permissões herdadas,
apenas substituí-las ou bloqueá-las. Porém isso dificulta muito o nosso trabalho. Pois,
há permissões de compartilhamento, permissões NTFS explicitas e as herdadas, há
permissões negar e permitir... Bom, enfim, há diversos fatores que podem dificultar o
gerenciamento das permissões. Uma boa ferramenta – não é perfeita, mas muito útil,
é a ferramenta de permissões efetivas.
Essa ferramenta nada mais é do que as permissões NTFS resultantes para determinado
grupo ou usuário. Ela não é sempre o único caminho pois não apresenta as permissões
de compartilhamento, referentes a logon (anônimo, interativo, rede, restrito etc). Esse
recurso se encontra na ultima aba das configurações avançadas de segurança.
Propriedade
Logo, se um usuário cria uma determinada pasta ou arquivo ele é o proprietário criador
e pode alterar as permissões NTFS para aquele objeto, inclusive tirando de si mesmo o
27
controle total do objeto. Um administrador pode transferir a propriedade daquele
objeto para outro usuário concedendo que esse tenha acesso para alterar as
permissões de ACL para o objeto.
A auditoria deve inicialmente estar ativada por meio de diretiva, em seguida deve ser
ativada para as pastas que necessitam de auditoria. As auditorias permitem
propagação via herança assim como as permissões. Elas são configuradas na guia
auditoria da janela de configurações de segurança avançadas da pasta.
Os Logs de auditoria tendem a ficar monstruosos com o tempo por esse motivo é boa
prática estar sempre se utilizando de poucas entradas de auditoria, apenas as
necessárias. Os logs de auditoria são visualizáveis e exportáveis para formatos .csv
que podem ser utilizados no Excel em que podemos aplicar filtros e outros recursos
para facilitar a auditoria. Esses logs ficam gravados no visualizar eventos sob o nó
Segurança.
11º artigo
IIS
O IIS pode ser instalado de diversas formas tanto pela janela gerenciar servidor,
quanto pelo painel de controle -> adicionar/remover programas-> adicionar/remover
componentes do Windows quanto pelo carregamento do CD de instalação do Sistema
Operacional.
Depois de instado o IIS permite que sejam adicionados componentes que o torna uma
ferramenta muito versátil. Atualmente estamos na versão 7.0 no Windows Vista e
Server 2008, porém a versão deste curso é, ainda, a 6.0 pois é a versão que se utiliza
o Windows Server 2003. Todos os componentes do IIS vêm por padrão desativados ou
desinstalados para reduzir-se a superfície de ataque contra possíveis vulnerabilidades.
Ao instalar o IIS vem um site criado para se testar a conexão. Por hora é interessante
saber que este site pode ser alterado e para utilizar-se de conteúdo dinâmico, não
representa o caminho físico do recurso no servidor, pode ser protegido por 7 tipos de
autenticação para sites HTTP e 3 para sites FTP e utiliza-se de chamadas de rede na
porta 80 e/ou 21 para HTTP e FTP respectivamente podendo ser alterada.
Configurações Básicas
28
Não é escopo do exame 70-290 a configuração aprofundada do IIS tampouco os
aspectos mas aprofundados desta ferramenta. É base do exame,sim, as configurações
e noções básicas sobre esta ferramenta.
O IIS utiliza-se de um drivers kernel (HTTP.sys) que melhora o tempo de resposta das
chamadas de recursos, além de trabalhar sob classes de aplicativos que tornam o
servidor muito mais seguro em termos de disponibilidade, pois se alguma aplicação se
tornar instável ele pode para ou reiniciar aquela chamada isoladamente sem desabilitar
o site. O recurso que monitora essas chamadas é chamado de health monitor e verifica
periodicamente todos os processos, recursos e chamadas de classes de aplicativos no
servidor.
Outra definição que a Microsoft vem trabalhando há algum tempo é o que eles
chamam de que o IIS é seguro por padrão ou “Locked Server by default” que significa
que a instalação do IIS por si só não pode ser expor muitas brechas de segurança pois
vem com todas as configurações padrão fechadas e indisponíveis para ataques. Uma
das razões do IIS não vir instalado por padrão no Windows é que um serviço que pode
ser “chamado de fora” apresentaria riscos para a proteção da rede, como qualquer
servidor web.
Diretório base/ site é a localização física dos recursos a serrem fornecidos por
determinado nome de DNS.
Diretório virtual é o ALIAS que aponta o IIS para um recurso físico numa maquina local
ou num servidor da rede.
Os acessos no IIS podem ter permissões definidas pelas ACLs no IIS ou pelo sistema
de arquivos NTFS.
As Autenticações de FTP são apenas da forma: anônima que não exige nome de
usuário e senha; Básica faz logon por meio de usuário e senha, porém o protocolo FTP
não permite criptográfica, logo é passado em texto puro o nome de usuário e senha.
29
Não confundir com o protocolo SFTP, que é utilizado por alguns roteadores
(principalmente CISCO) e pela autenticação de Linux por SSH. Este último permite
compressão e criptografia o primeiro não.
O IIS permite como dito anteriormente, a definição de acessos a recursos além das
permissões NTFS. Estas permissões de diretório são:
Nenhuma : auto-explicativa
Bom, acredito que seria possível continuar escrevendo este artigo sobre IIS até
completar um livro com diversas páginas, mas mantendo o foco no exame acredito que
seja apenas isso que precisaremos por hora. Posteriormente, será escrito um artigo
mais detalhado sobre essa ferramenta. Agradeço a todos a atenção e espero que
tenha sido de bom proveito a leitura deste artigo. Estou aberto a críticas assim como
estarei de prontidão para esclarecer possíveis dúvidas sobre os assuntos que escrevo e
qualquer assunto no campo de informática (aquilo que não souber naquele momento
farei uma aprofundada pesquisa), que deverão ser feitas no fórum
(http://www.segurancati.com.br) de preferência.
12º artigo
Neste artigo será discutido sobre Backup de dados. Há outro artigo neste fórum sobre
o NtBackup que é a ferramenta de backup do Windows Server 2003, porém neste
artigo estaremos nos focando no exame 70-290
Tipos de backup
O NtBackup permite 5 tipos de backups diferentes. Porém para entender estes backups
é necessário entender o que é o atributo “arquivo”. Este atributo é utilizado para
backups em outros sistemas operacionais também de forma um pouco diferente. O
30
atributo reserva em determinada parte do arquivo alguns bits para essa verificação.
Quando o arquivo é alterado o atributo é marcado quando o atributo é feito alguns
tipos de backup este atributo é desmarcado e o sistema de backups ”passa” por cima
deste arquivo sem copiá-lo para o backup.
Normais: Quando o backup não se utiliza do atributo para copiar o arquivo, mas
quando encontra arquivos com este atributo os desmarca.
Diário: não verifica atributo nem desmarca, mas a data de alteração do arquivo.
Os backups do tipo normal ou cópia são geralmente muito lentos. Se for aplicado em
um servidor com grande volume de dados pode demorar muito tempo para terminar a
tarefa. Por outro lado, os backups incrementais e diferenciais são mais rápidos. Porém,
esses dois não podem ser a única configuração para um servidor por não conter todos
os dados necessários à restauração do servidor. O backup incremental é a rotina mais
rápida para realizar, mas a restauração exige que se tenham todos os backups
anteriores até o ultimo backup normal. Logo, a restauração não é muito rápida e exige
que se siga a ordem cronológica dos backups.
Restauração de Backups
Local original-> todos os arquivos e pastas são restaurados no mesmo local que se
31
encontravam no momento da cópia. Se houverem pastas que não existam no
momento da restauração essas pastas serão criadas.
Pasta única-> todos os arquivos são restaurados numa única pasta sem identificar a
estrutura de pastas anterior.
Não substituindo os arquivos no computador. O que faz com que o arquivo no backup
não seja restaurado se ele já existir no disco de origem.
Substituir o arquivo no disco quando ele for mais antigo. Se houver um arquivo no
disco e este for mais antigo do que o existente no backup a restauração sobrepõe o
arquivo do disco de destino.
VSS (volume shadow service) serviço de cópia de sombra de volume. Esse serviço
mantém o backup rodando mesmo que algum usuário ou serviço do sistema esteja
utilizando algum arquivo. No caso de uma cópia normal alguns arquivos podem não ser
copiados quando o VSS estiver rodando o sistema não é bloqueado pela copia de um
arquivo em utilização nem bloqueia usuário algum que porventura tente acessar aquele
arquivo no momento do backup. Esse serviço está disponível sob o serviço de nome
“cópia de sombra de volume” no snap-in serviços (services.msc).
32
Livres: mídias recém formatadas ou marcadas como livres. Podem ser movidas para
o pool de mídia de backup.
Formatar uma fita: No Ntbackup clique com o botão direito do mouse em uma fita e
clique em formatar.
Esticar uma fita: botão direito do mouse sobre a fita no NtBackup e clique em esticar.
Marcar fita como livre: é feito da mesma forma que as opções anteriores.
Lembremo-nos que a formatação não é garantia de que a mídia não pode ser
restaurada. Por questões de segurança antes de se desfazer de suas mídias de backup
queime-as. Assim como marcar como livre não apaga dados.
Foi falado antes sobre catálogos e chegou a hora de explicar o que se trata de
catálogos quando falamos em backup no gerenciador de backup do Windows Server
2003 ( que, por sina, é o mesmo do Windows XP e 2000). Catalogo é um conjunto de
backups criado pelo Ntbackup que relaciona os arquivos e pastas nele incluídos. O
catálogo é armazenado na mídia e no próprio servidor e facilita a localização de
arquivos e pastas no momento da restauração, além de facilitar o gerenciamento das
mesmas. O Windows permite excluir catálogo ou Catalogar mídias pelo utilitário de
backup. Se o catálogo estiver no servidor o catálogo é carregado imediatamente,
quando se encontra apenas na mídia esse carregamento é, em geral, mais lento. O
catálogo em mídia é, além de tudo, uma boa prática pois se o catalogo não existir em
outro servidor é facilmente recriado em discos locais., ou seja o catalogo pode ser
recriado a partir do catalogo da mídia de backup.
Há algumas outras opções que não são de extrema importância no momento da copia
ou restauração, mas devem ser citadas porque em muitos casos se tornam muito
importantes:
Verificar dados após o backup ser concluído: essa opção não é necessária pois as
mídias estiverem em boas condições os backups serão restaurados corretamente. Essa
opção verifica depois do termino da restauração os arquivos copiados com os arquivos
na mídia, o que torna a restauração ainda mais demorada. E, além disso, se forem
33
copiados os arquivos de sistema eles podem estar sujeitos a alterações durante o
backup.
Fazer o backup do conteúdo das unidades montadas. Essa opção copia (ou não) o
conteúdo das unidades montadas, que são os volumes que tem mapeamento para uma
pasta dentro de outro volume.
Há ainda outras opções que se referem a mídias de backup. Essas opções não devem
ser utilizadas quando o backup é feito em arquivo:
->Mostrar uma mensagem de alerta quando o utilitário de backup for iniciado e não
houver uma mídia reconhecível disponível.
Bom, como esse artigo está demasiadamente grande e estamos ainda no meio do
assunto acredito que seja melhor e mais produtivo encerrarmos este artigo por aqui e
continuarmos em outro artigo do ponto que paramos.
13º resumo
O NtBackup permite ainda que sejam criados parâmetros para que não sejam copiados
determinados arquivos, seja por sua extensão ou arquivos especificados um a um. Isso
permite que não sejam copiados os arquivos temporários nem os arquivos que não são
de grande importância na restauração do backup.
Outras opções para a restauração e/ou backup de dados pelo NtBackup são: Se
possível, compactar dados de backup para economizar espaço. Essa opção não é
compatível com alguns tipo de fitas magnéticas e pode causar uma pequena demora
na restauração; Desativar cópia de sombra de volume, se essa opção for marcada os
arquivos em uso, em muitos casos os arquivos do sistema, não serão copiados para o
backup.
34
Comandos de linha (prompt ou iniciar-> executar)
Esses comandos são muito úteis para o caso de scripts de automatização, mas é
possível o agendamento de tarefas de backup e é infinitamente mais fácil utilizar o
próprio aplicativo que os comandos de linha. Porém como são cobrados para a prova
tenho por responsabilidade introduzi-los aqui.
A Sintaxe é:
/F “Nome do arquivo” -> indica o nome do arquivo de backup que será criado.
Precisa ter o caminho lógico completo. Ex. “C:\Backups\backup.bkf” (bkf = backup file)
/P “Nome do pool” -> especifica o pool de mídia que contém a mídia de backup.
/T “Nome da FIta” -> especifica uma fita pelo nome . Não é utilizado para nomear
fitas e sim para utilizar fitas já existentes.
/G “Nome do GUID” -> especifica o nome de uma fita válida no pool de mídias.
Restrições
O comando /A não pode ser usado juntamente com os comandos /N e/P e deve ser
especificado com o comando /G ou /T quando for usado para uma fita e não um
arquivo.
35
/D “Definir Descrição” especifica um rótulo para o conjunto de backup.
/RS: {yes | no} faz backup dos arquivos de dados migrados localizados no
armazenamento removível.
Lembra-se daquela vez que um usuário com permissão de gravação alterou uma
planilha muito utilizada e sem querer salvou informações incorretas naquela planilha.
Ou, ainda, quando o gerente comercial sobrepôs ou apagou um arquivo muito
importante de dentro de uma pasta compartilhada e o diretor veio babando para cima
dele e ele quase chorou para você “dar um jeito”? huahuahua. Então, como profissional
experiente você deve ter ativado o recurso oferecido pelo Windows de copia de sombra
e retornou os arquivos originais.
Para ativar esse recurso e salvar o pescoço de alguns usuários é simples na partição
que você tem uma pasta compartilhada clique com o botão direito do mouse sobre a
partição e em propriedades. Lá vá até a aba Cópias de sombra e ative para quaisquer
partições que você acredite ser necessário. Com isso o Windows ativa o VSS e cria
cópias dos arquivos alterados em um local no HD e para a restauração clique com o
botão direito sobre uma pasta ou arquivo e vá até a guia “versões anteriores” nela
estarão todos os arquivos gravados com o nome, data e hora. É possível, então,
restaurar, copiar ou exibir o(s) arquivos. Em restaurar ele restaura para o local de
origem, em copiar o sistema permite que se cole o arquivo em qualquer lugar e no
botão exibir é possível executar o arquivo.
36
Há ainda outras opções sobre as cópias de sombra que são:
Agendar: aqui se cria agendamentos para as copias dos arquivos. Por padrão o
sistema define de segundas às sextas às 07:00 e aos 12:00.
Com este artigo estamos passando, agora, da metade de nossos estudos. Fico muito
feliz com isso e com todo o apoio que muitos me vem dando, seja lendo os artigos,
elogiando meu esforço ou mesmo criticando. Muito obrigado a todos e, como sempre,
espero um feedback.
37
14º resumo
Conceitos Básicos
Em segundo lugar, temos que instalar o software da impressora (quando for o caso), o
que normalmente ocorre quando a impressora não é detectada automaticamente pelo
Plug and Play. Se não houver software é necessária a instalação dos drivers
compatíveis.
38
Em seguida, nomeia-se a impressora e o compartilhamento. E voilá. Impressora
instalada.
Imprimir
Gerenciar documentos
Gerenciar impressoras
Dentro dessa mesma linha de raciocínio podemos discutir sobre a criação de pools de
impressão e diversas impressoras lógicas para um mesmo dispositivo de impressão. O
pool de impressão é acionado na guia Portas dentro das configurações de impressão e
por meio deste dispositivo é possível criar direcionamentos para diversas impressoras
físicas diferentes. Ou seja, se houverem diversas impressoras no meu parque de
máquinas os usuários terão a liberdade de enviar seus trabalhos de impressão e terem
sua impressão feita em pouco tempo sem a necessidade de esperar outros diversos
trabalhos com mesma prioridade, o Windows gerenciará a impressora mais “livre” e
enviará o trabalho para ela. O outro extremo dessa configuração que traz muita
flexibilidade é a criação de diversas impressoras para um mesmo dispositivo de
impressão. Nesse caso é possível configurar impressoras lógicas com diversas
configurações de impressão diferentes, por exemplo determinar para uma impressora
lógica uma configuração que dê permissão apenas para os usuários do grupo gerencia
e que esses tenham prioridade mais elevada sobre os seus trabalhos de impressão, ou
seja, os trabalhos dos usuários deste grupo sejam impressos mais rápidos, furem a
fila.
39
de uma empresa com diversos estagiários que imprimam, por exemplo, seus trabalhos
fora do horário de expediente à titulo de “hora-extra não remunerada”. Rsrsrsrs quem
nunca fez isso?
Ainda sobre os recursos de impressão sou obrigado a comentar sobre a publicação das
impressoras no Active Directory que se faz de forma automática, exceto nas versões
de Windows anteriores ao Windows NT4 – inclusive, que tem que ser feita pelo MMC
usuários e computadores do AD clicar com o botão direito sobre a OU que deve ter a
impressora publicada Nova- Impressora. Por padrão o Windows publica a impressora e
possíveis alterações dela no AD porém é possível desativar essa publicação por meio
da ferramenta Listar diretório em compartilhamento da impressora.
A impressão pela internet é feita pelo protocolo IPP que nada mais é do que um
encapsulamento feito para o protocolo HTTP. O principal objetivo de se criar um
servidor de impressão com ferramentas para a internet é o gerenciamento, que pode
ser feito via site HTTP.
Ao entrar no site destacado acima você poderá se conectar à impressora que se deseja
gerenciar, respeitando-se as devidas permissões – tanto na impressora quanto do IIS,
lembrando, inclusive que o IIS dá suporte a autenticação para esse caso também. No
caso da impressão por meio de um dispositivo deste tipo é necessário apenas entrar no
site e clicar sobre a impressora que se deseja se adicionar. O sistema faz download de
um arquivo com extensão .cab com todas as informações relativas à impressora e
adiciona automaticamente ao sistema.
Personalização/customização da interface
40
Fornece uma página com uma lista do status de todas as impressoras
41