Usuário - BolinhaBolinha.com

Montagem e Configuração
d Redes
de
R d de
d
Computadores
Windows
Prof. Rodrigo Rocha
[email protected]
Apresentação
ƒ Prof. Rodrigo Rocha – [email protected]
ƒ Ementa
• Introdução a redes de computadores
• Dispositivos de redes
• Tolerância a falhas
• Planejamento e Montagem da infra-estrutura
• Protocolo TCP/IP
• Endereçamento
• Configuração e Gerenciamento básico de Roteadores.
• Rede Windows 2003
• Rede Linux
• Redes sem Fio (Wireless)
1
Edições
ƒ Windows Server 2003 Web Edition
ƒ Funciona como host e servidor Web, fornecendo uma plataforma para
agilizar o desenvolvimento e a implantação de aplicativos e serviços da
Web.
• acesso via web ilimitado
• não pode ser gateway, dhcp ou servidor de fax
• pode estar no domínio mas não pode ser controlador de domínio
ƒ Windows Server 2003 Standard Edition
ƒ Atende às necessidades diárias de empresas de todos os portes,
fornecendo uma solução para o compartilhamento de arquivos e
impressoras, conectividade segura com a Internet, implantação
centralizada de aplicativos da área de trabalho e colaboração entre
funcionários, parceiros e clientes.
Edições
ƒ Windows Server 2003 Enterprise Edition
ƒ Destina-se a empresas de médio a grande porte, ativando a infraestrutura da empresa, aplicativos de linha de negócios e transações de
comércio eletrônico.
•
•
•
Suporta Micorsoft Metadirectory Services (mms), que integra multiplos diretórios, banco
de dados e arquivos no AD
Hot Add Memory, permite adicionar memória em hardwares suportados sem o
desligamento da máquina
Windows System Rescue Manager (WSRM), que suporta a alocação de CPU e
recursos de memória para uma aplicação
ƒ Windows Server 2003 Datacenter Edition
ƒ Permite o desenvolvimento de soluções comerciais críticas que exigem
os bancos de dados mais escalonáveis e o processamento de um grande
volume de transações. Além disso, é uma plataforma ideal para a
consolidação de servidores.
•
•
disponível na versão OEM
versão 32 e 64 bits
2
Comparação
Comparação
3
Perguntas
ƒ
1. Você esta planejando implantar o Windows Server 2003 para um departamento com
250 empregados. O servidor deverá armazenar os diretórios pessoais e pastas
compartilhadas do departamento. Também deverá gerenciar várias impressoras onde
os usuários enviam seus documentos. Qual edição você recomendaria para ser a
melhor solução custo-benefício para o departamento?
ƒ
2. Você esta planejando implantar o Windows Server 2003 para um novo domínio
Active Directory em uma grande corporação, que inclui múltiplos ADs separados e
mantidos pelas subsidiárias da corporação. A empresa decidiu adotar o Exchange
Server 2003 como plataforma unificada de e-mail, e planeja usar o Microsoft
Metadirectory Services (MMS) para sincronizar as propriedades dos objetos através
da organização. Qual edição você recomendaria para ser a melhor solução custobenefício para o departamento?
ƒ
3. Você planeja instalar servidores para prover acesso via Internet a aplicação de ecommerce da empresa. Foi decidido a instalação de 4 servidores dedicados como
front-end da aplicação Web e 1 servidor robusto para banco de dados SQL. Quais
edições você recomendaria com base em suma solução de melhor custo-benefício?
Serviços oferecidos
ƒ
Servidor de Arquivos
•
•
•
ƒ
Servidor de Impressão
•
•
•
•
•
ƒ
centralizado e acesso gerenciável as impressoras
compartilhamento de dispositivos de impressão
wizard para instalação e acesso aos drivers da impressora
instala o IIS 6.0 e configura o Internet Printing Protocol (IPP)
instala a ferramenta de administração pela web
Servidor de Aplicação (IIS, ASP.NET)
•
•
ƒ
acesso centralizado aos arquivos e diretórios
gerenciamento de cota de disco
melhorar o sistema de busca de arquivos habilitando o serviço de Indexação
Provê infra-estrutura
infra estrutura para suportar hospedagem de aplicações web
Instala o IIS 6.0, ASP.NET e COM+
Servidor de E-Mail
•
•
Instala os protocolos de POP3 e SMTP
Atua como servidor de e-mail para clientes POP3 de e-mail
4
Serviços oferecidos
ƒ
Terminal Server
•
•
ƒ
Acesso Remoto/VPN
•
•
•
ƒ
Provê aplicações e recursos do servidor para multiplos usuários que não tenham estes recursos em
seus computadores
Usuários podem se conectar via terminal Services ou Desktop Remoto
instala protocolos de roteamento
serviços de acesso via dial-up
Virtual Private Network (VPN) conecta os usuários remotos através de conexão segura
Servidor de Domínio (Active Directory)
•
•
Fornece “serviços de diretório” para clientes da rede
Instala o servidor DNS
ƒ Servidor DNS
•
•
Fornece serviço de resolução de nomes
“Transforma” nomes em endereços IP e endereços IP em nomes de host
Serviços oferecidos
ƒ Servidor DHCP
• Fornece automaticamente endereços IP para os clientes
• Devemos definir o escopo de endereços para a rede
ƒ Servidor de fluxo de mídia
• gerencia, entrega e armazena conteúdo do Windows
Media, incluindo fluxo de áudio e vídeo através de uma
intranet ou da Internet
ƒ Servidor WINS
• Fornece resolução de nomes NetBIOS para IP
• É necessário para suportar sistemas operacionais antigos (95, NT).
• Para Windows XP e 200 não é necessário, porém em algumas
aplicação antigas ele deverá ser instalado
5
Serviço de diretório
ƒ Necessidade de compartilhar recursos (arquivos, aplicações,
e-mail, etc.)
ƒ Grupo de Trabalho
ƒ Active
A ti Directory
Di t
• Gerenciamento centralizado
• Sistema seguro
¾ controla usuários, grupos, políticas, etc.
¾ segurança para recursos
• Outras funcionalidades
¾ SysVol
– scripts de usuários, políticas
¾ LDAP
¾ Kerberos
¾ Replicação de Arquivos (FRS)
Domínios, árvores e florestas
ƒ Domínio
• Precisa de pelo menos 1
• Componente central do serviço de diretório do windows 2003
ƒ Árvore
• múltiplos domínios
• compartilha nomes de DNS contínuo
¾ Ex: jundiai.aula.com.br , indaiatuba.aula.com.br
ƒ Floresta
• Domínios que não compartilham o mesmo domínio “root”
6
Objetos e Unidades Organizacionais (OU)
ƒ Objetos
• Possuem atributos/propriedades que o define
• AD é capaz de armazenar milhões de objetos
¾usuários, grupos, impressoras, pastas compartilhadas,
Group Policies (GPO), etc.
ƒ Unidade Organizacional
• Agrupamento de objetos que possuem
características administrativas comuns
• Organizar o AD
Delegação e Group Policy
ƒ Delegação
• Delega parte da administração para alguns
administradores
• Possibilidade de um administrador gerenciar
usuários e senhas de uma OU
ƒ Group Policy
• aplica configurações de segurança
• distribuí software
• configura o sistema operacional e o
comportamento das aplicações
7
Laboratório 01
ƒ Instalar o Windows Server 2003
ƒ Instalar o AD
• http://technet
http://technet.microsoft.com/ptmicrosoft com/pt
br/library/cc668413(printer).aspx
• Nome do servidor no AD
• Nome NetBios
ƒ Instalar DHCP Server
MMC
ƒ Microsoft Management Console
• ferramenta administrativa
• interface comum para as aplicações (snap-ins)
8
MMC com Snap-Ins
Modos
ƒ Autor (padrão)
•
•
•
•
•
Garante acesso total ao mmc
Pode adicionar e remover snap-ins
criar janelas
mudar as opções
salvar o console
ƒ Usuário
• controle total
• limitado
li it d ((várias
á i janelas)
j
l )
• limitado (uma janela)
9
Remote Desktop
ƒ Permite gerenciar o servidor remotamente
Laboratório 02
ƒ Instalando e configurando Remote Desktop
• Servidor
¾ iniciar - painel de controle – sistema – remoto(aba)
– habilitar área de trabalho remota
• Estação
¾ Iniciar – acessórios – comunicações – conexão de área de trabalho remota
• MMC
¾ Snap-In – Configuração dos serviços de terminal
¾ Conexão – Adaptador de Rede
– máximo de conexões 1
¾ Conexão – Sessões
– [x] ignorar configuração do usuário
» finalizar uma sessão desconectada: 15 minutos
» limite de sessão ativa: nunca
» limite de sessão ociosa: 15 minutos
» quando o limite da sessão for atingido ou a sessão for interrompida:
» desconectar da sessão
¾Permissões
10
Usuários
ƒ Para adicionar um usuário
•
•
Iniciar – Ferramentas Administrativas – Usuários e Computadores do AD
MMC – Snap in – usuário e computadores do AD
Usuários
ƒ Por padrão, é utilizado o Default Domain
Policy GPO.
11
GPO
Outras propriedades
12
Múltiplas propriedades
ƒ Podemos trocar algumas propriedades de
vários usuários ao mesmo tempo
Criando múltiplos usuários
ƒ
Templates
•
•
•
•
Quando possuímos objetos com propriedades similares
Ex: Vendedores (mesmo horário, possui diretório HOME, etc...)
(*) Deixar esta conta desativada (brecha de segurança)
Propriedades copiadas
•
Geral
¾ nenhuma propriedade é copiada
Endereço
¾ Todas as propriedades são copiadas, exceto nome da rua
Conta
¾ Todas as propriedades são copiadas, exceto nome logon (é pedido quando copia o template)
Perfil
¾ Todas as propriedades são copiadas, perfil e diretório HOME são modificados para o novo
usuário
Telefones
¾ nenhuma propriedade é copiada
Organização
¾ Todas as propriedades são copiadas, exceto título
Membros de
¾ Todas as propriedades são copiadas
Discagem, Controle remoto, Ambiente, Sessão, Perfil de serviços de terminal, COM+
¾ nenhuma propriedade é copiada
•
•
•
•
•
•
•
13
Usando CSVDE
ƒ
ƒ
ƒ
ƒ
Importamos ou exportamos objetos do AD
Utilizamos arquivos textos separados por vírgula
csvde [-i]
[ i] [-f
[ f NomeArquivo] [-k]
[ k]
-i
• Especifica o modo de importação. Se não especificado, o
modo padrão é exportação.
ƒ -f NomeArquivo
• Identifica o nome do arquivo para importação
ƒ -k
• Ignora as mensagens de erro: “object already exists,”
“constraint violation,” e “attribute or value already exists”
durante o processo de importação.
Exemplo
ƒ Arquivo usuario.txt
• DN,objectClass,sAMAccountName,sn,givenName,userPrincipalName
• "CN=Aluno Curso,OU=Lab, DC=servidor,DC=aula1",
user,alunoc,Curso,Aluno,[email protected]
ser al noc C rso Al no al no c rso@ser idor a la1
ƒ Comando
• csvde –i –f usuario.txt
14
Utilitários de linha de comando
ƒ DSADD
• Adiciona objetos no diretório
ƒ DSGET
• Mostra as propriedades dos objetos no diretório
ƒ DSMOD
• Modifica os atributos selecionados de um objeto existente
ƒ DSMOVE
• Move o objeto da localização corrente para um novo local
ƒ DSRM
• Remove um objeto, a árvore completa ou ambos
ƒ DSQUERY
• Pesquisa no AD por critérios específicos
• Usado para listar os objetos do AD
ƒ
Clique no comando para obter ajuda. Fonte: technet
Perfis de usuário
ƒ É uma coleção de pastas e arquivos que contém os
elementos do ambiente de trabalho e é único para
cada usuário. Inclui :
• Atalhos do menu iniciar, desktop e da barra de início
rápido
• Arquivos no Desktop e redirecionamento dos Meus
Documentos
• Favoritos e cookies do Internet Explorer
• Certificados (se implantados)
• Arquivos específicos de aplicativos (dicionário do Office,
modelos e lista de auto-complete)
• Meus locais de rede
• Configurações do vídeo, como aparência, papel de
parede e proteção de tela
15
Perfil Local
ƒ Por padrão encontra-se em: %Systemdrive% \Documents
and Settings\%Username%
ƒ Quando o usuário faz login na primeira vez, o sistema cria o
perfil para o usuário copiando o perfil padrão
padrão. O nome da
pasta é baseado no nome de logon.
ƒ Todas as mudanças feitas são armazenadas no perfil local.
Cada usuário tem um perfil individual
ƒ O ambiente do usuário pode ser estendido pelo perfil All
Users, que inclui atalhos, lugar de rede e dados de
aplicativos.
li ti
P
Por padrão
d ã somente
t o Ad
Administrador
i i t d pode
d
modificar esta pasta.
ƒ O perfil é totalmente local, se o usuário logar em outra
máquina, será criado um novo perfil (caso não tenha logado
antes).
Perfil Remoto (RUP)
ƒ Perfil é armazenado no servidor
• Vantagens
¾ pode ser incluído na cópia de segurança
¾ analisado por antivírus
¾ controle centralizado
ƒ Instalação
• Criar uma pasta compartilhada no servidor de arquivos
• Configurar na Aba Perfil das propriedades do usuário
¾ Caminho do Perfil: \\<server >\<share>\%Username%
>\<share>\%Username%.
– %username% será substituído pelo nome de logon
ƒ Performance
• Versões anteriores copiando todo o conteúdo
• 2003 – o conteúdo é sincronizado
16
Perfil pré configurado
ƒ Ambiente produtivo com acesso fácil aos recursos
de rede e aplicativos
ƒ Remover acessos não necessários a recursos
ƒ Simplificação do suporte
ƒ Instalação
•
•
•
•
•
•
•
Com um usuário normal, configure o ambiente
Logar como administrador
Painel de Controle – Sistema – (Aba) Avançado
Perfil do usuário – confgurações
Copiar para: \\<server>\<share>\<username>
Clique em uso permitido – alterar e escolha o usuário
Nas propriedades do usuário configurar o caminho do
perfil
Perfil mandatório
ƒ Todas as alterações efetuadas pelo usuário
não são salvas
ƒ Implantação
• Renomear o arquivo ntuser.dat para ntuser.man
17
Segurança com GPO
ƒ Group policy (GPO)
•
•
•
•
usuários e computadores do AD
Selecione o domínio
Botão direito – Propriedade
(Aba) Diretivas do Grupo – Editar
ƒ Co
Configurações
gu ações do Windows
do s
• Configurações de Segurança
¾Diretivas de Conta
Diretivas de Senha
ƒ A senha deve satisfazer requisitos de complexidade
• filtro de senhas (passfilt.dll)
• Características
¾ não pode ser baseada no nome da conta
¾ no mínimo 6 caracteres
¾ contém tipo de caracteres de pelo menos 3 tipos dos 4 grupos
–
–
–
–
maiúsculas (A..Z)
minúsculas (a..z)
algarismos (0..9)
caracteres especias (!@#$%¨&*)
ƒ Aplicar histórico de senhas
• a nova senha não pode ser nenhuma das “x” anteriores
ƒ Armazenar senhas utilizando criptografia reversível
ƒ Comprimento mínimo de senha
• número mínimo de caracteres
ƒ Tempo de vida máximo de senha
• prazo máximo para o usuário trocar a senha
ƒ Tempo de vida mínimo de senha
• prazo mínimo para o usuário trocar a senha
18
Diretivas de bloqueio
ƒ Duração de bloqueio de conta
• Define quantos minutos irão se passar antes do
AD liberar a conta travada
ƒ Limite de bloqueio de conta
• Número de tentativas de senha errada antes de
bloquear a conta
ƒ Zerar contador de bloqueios de conta após
• define o tempo que deverá passar antes de zerar
o contador de tentativas de logon inválida
Auditoria
ƒ Configurações do Windows
• Configurações de Segurança
¾ Diretivas locais
– Diretivas de auditoria
ƒ Auditoria de eventos de logon
ƒ Auditoria de gerenciamento de conta
• auditar terefas de gerenciamento de conta (criação,
alteração,
l
ã d
deleção,
l ã etc..))
Mais detalhes
http://www.microsoft.com/brasil/security/guidance/prodtech/
win2003/secmod128.mspx
19
Exercícios
ƒ
1-) Crie uma Unidade Organizacional chamada funcionários
ƒ
2-) Defina um padrão para nomenclatura de nomes
ƒ
3 ) Adicione dois usuários utilizando este padrão
3-)
padrão. Configure somente Primeiro
nome, Sobrenome, Nome Logon, Nome Logon (pre win2000)
ƒ
4-) Configure as seguintes propriedades (ao mesmo tempo) para os dois
usuários:
ABA
Propriedade
Valor
Geral
Geral
Geral
Endereço
Endereço
Endereço
Endereço
Organização
Organização
Descrição
Nº telefone
HomePage
Rua
Cidade
Estado
CEP
Título
Empresa
Exercício de criação de usuários
( ) 3869-2020
(19)
http://www.exemplo.com
R. Virando a Esquerda
Valinhos
SP
13270-200
Professor
Faculdade da 3. Idade
Exercícios
5-) Você está criando usuários para trabalhar temporariamente
na sua organização. Eles irão trabalhar diariamente das 9h00
às 17h00, de acordo com um contrato que começará em um
mês e encerrará dois meses após
após.
Eles não podem trabalhar for a deste calendário.
Quais propriedades você configuraria para garantir o máximo
de segurança?
a. Senha
b. Horário de Logon
c Vencimento da conta
c.
d. Armazenar senhas com criptografia reversível
e. Conte é confiável para delegação
f. Usuário deverá alterar sua senha no próximo logon
g. Conta desabilitada
h. Senha nunca expira
20
Exercícios
ƒ 6-) Crie um modelo para os representantes de
vendas. (Não esqueça de desabilitar a conta)
ƒ Crie um grupo “Representantes
Representantes de Venda”
Venda
ƒ Configura as seguintes propriedades do
Modelo
• membro de: representantes de venda
g
segunda
g
à sexta das 8h00 –
• horário de logon:
17h00
• vencimento da conta: 3 meses após a criação
• empresa: VendeTudo
• perfil: \\servidor\_perfis\%username%
Exercícios
ƒ 7-) Abra o prompt de comando e execute o seguinte:
• dsquery user "OU=Employees, DC=Contoso,DC=Com" -stalepwd
7
ƒ O que mostrou ?
ƒ E o comando:
• dsquery user "OU=Employees, DC=Contoso,DC=Com" -stalepwd
7 | dsmod user -mustchpwd yes
ƒ 8-) Prepare um arquivo texto chamado importacao.txt, que
contenha os dados para a criação de 3 usuários
usuários.
ƒ Importe estes dados utilizando o CSVDE.
21
Compartilhando pastas
ƒ Através do MMC
• snap in – Pastas Compartilhadas
¾Novo – compartilhamento
Atenção: Para clientes MS-DOS usar nomenclatura 8.3
Compartilhamento de pasta
ƒ Propriedades
• Geral
• Publicar
¾ permite publicar o compartilhamento no AD
• Permissões de compartilhamento
• Segurança
¾ Permite definir permissões NTFS
22
Permissões de compartilhamento
ƒ Define as permissões do compartilhamento
• Ler
¾ usuários podem visualizar nome de pastas, nome, propriedades e atributos dos
arquivos.
¾ Podem rodar programas e acessar outras pastas dentro do compartilhamento
• Alterar
¾ Podem criar pastas, adicionar arquivos na pasta, modificar arquivos e atributos,
deletar arquivos e pastas e todas as ações permitidas no “Ler”
• Controle total
¾ Podem modificar permissões dos arquivos, se tornar proprietário de arquivos e
todas as permissões do “Alterar”
ƒ Podem ser permitidas ou negadas
ƒ Permissão efetiva
• permissões do usuário + permissões dos grupos que é membro
¾ ex: usuário: Ler + grupo: Alterar = Permissão Efetiva= Alterar
• Negar prevalece sobre outras permissões
¾ ex: grupo: Ler (Permitir) + outro grupo: Acesso Total (Negar) = sem acesso a leitura de
arquivos
Permissões de compartilhamento
ƒ
ƒ
Define o máximo de permissão efetiva
Permissões de Compartilhamento vs NTFS
•
•
tornam seu trabalho complexo
são restritivas
¾ Ex: Grupo Controle Total (NTFS) + Compartilhamento Ler ou Ler e Alterar = Acesso Limitado
ƒ
Limitações
•
Projeto
¾ Permissões só funcionam para acesso via client. Não se aplicam a acesso local, via terminal,
http, ftp e telnet
• Replicação
¾ Não são replicados pelo serviço de replicação (FRS)
• Fragilidade
¾ Perde as permissões se a pasta for movida
• Detalhamento
¾ Não consigo detalhar as permissões, ao contrário do NTFS
• Auditoria
¾ Não é possível configurar auditoria baseado em pasta compartilhada
• Complexidade
¾ Se as permissões de pasta e NTFS forma aplicadas ao mesmo tempo
23
Mundo Real
ƒ Uso das permissões de compartilhamento não é
aconselhável.
• Usar efetivamente somente em caso de sistemas de arquivos FAT e
FAT32
ƒ Regra Geral
• Permissões de Compartilhamento
¾ Usuário autenticados: Controle Total
¾ Limitar o acesso através de permissões NTFS aos arquivos e pastas
¾ Ex: Remover a herança, remover usuários do domínio e adicionar somente os
grupos que tem direitos
Sessões e Arquivos Abertos
ƒ Sessões
• Verifica quem está conectado, qual computador, nº de arquivos
abertos, tempo de conexão e tempo ocioso
ƒ Arquivos Abertos
• Verifica o nome do arquivo
arquivo, acessado por
por, bloqueios e modo de acesso
24
Laboratório
ƒ Verificar se o servidor tem a funcionalidade de servidor de arquivos
• Iniciar – ferramentas Administrativas – Gerenciar o Servidor
ƒ Ferramentas
• MMC – Snap In – Pastas Compartilhadas
• ou
• filesvr.msc
ƒ Atividades
•
•
•
•
•
Criar uma pasta chamada “Geral” no c:\
Crie um arquivo texto chamado teste.txt dentro desta pasta
Compartilhar a pasta
Atribuir
t bu pe
permissões
ssões de co
compartilhamento:
pa t a e to Todos
odos (Co
(Controle
t o e Total)
ota )
Em uma estação acesse a pasta compartilha via UNC e abra o arquivo
teste.txt
• Verifique no servidor as sessões e arquivos abertos
• Envie uma mensagem para os usuários que o servidor será desligado
• Desconecte todos os arquivos abertos
Permissões do Sistema de Arquivo NTFS
ƒ Internet explorer – botão direita –
propriedades
• Aba Segurança
• Editor Access Control List (ACL)
ƒ Primeira Tela (“Resumão”)
• Modelo de Permissões
¾ pois Ler & Executar é uma composição de várias
permissões
ƒ Posso ter permissões para usuários, grupos,
computadores e INetOrgPerson
• “A classe de objeto InetOrgPerson é usada em
vários serviços de diretório LDAP e X
X.500
500 nãonão
Microsoft para representar pessoas em uma
organização” (Technet)
25
Permissões do Sistema de Arquivo NTFS
ƒ Avançado
•
•
•
•
detalhe das permissões
configurar auditoria
configurar proprietário
verificar as permissões efetivas
Modelos de Permissão e Permissões Especiais
ƒ
Ler e Executar
•
•
•
ƒ
Leitura e Modificar
•
•
•
ƒ
Aplicado a pasta permite criar novas pastas e arquivos
Aplicado ao arquivo permite modificar e alterar os atributos (somente leitura, oculto, sistema)
junto com o Modificar permite a exclusão
Alterar Permissões
•
•
ƒ
Abrir e ler arquivos e pastas
Copiar recursos (assumindo que tenha permissão de escrita no destino)
Não existe permissão no Windows que impeça a cópia, entratando podemos utilizar o Digital Rights
Management (DMR)
O usuário que pode trocar as permissões é o proprietário
Dá ao usuário poderes para modificar as ACL
.
26
Herança
ƒ Permissões aplicadas a uma pasta reflete nas
suas sub-pastas e arquivos
ƒ Facilita a administração
Permissões Efetivas
ƒ
ƒ
Usuário pertence a muitos grupos, a combinação de suas permissões formam a
permissão efetiva
Regras
•
•
Permissões de arquivos tem prioridade sobre permissões de pasta
Permissões “Permitido”
Permitido são acumulativas
•
•
Permissão “Negar” tem maior prioridade do que “Permitir”
Permissões explícitas tem maior prioridade sobre herdadas
¾ grupo1: Ler e Executar grupo2: Escrever
= Permissão Efetiva: Ler e Executar, Escrever (pode deletar)
27
Proprietário criador
ƒ Pessoa que criou o objeto
ƒ Qualquer permissão dada ao Proprietário/Criador é
explicitamente atribuída ao usuário que criou o objeto
ƒ Exemplo:
E
l
• Pasta – Ler e Executar
• Proprietário Criador – Direito Total
• Usuário1 na Pasta: Criar arquivos e Escrever
¾ Criou o arquivo teste.txt
¾ Automaticamente recebeu Controle Total sobre o arquivo
¾ Inclusive – PODE ALTERAR AS PERMISSÕES
– Falha de segurança
ƒ Propriedade
• Se o usuário é o proprietário e negou para ele mesmo Controle total,
ele perdeu a capacidade de alterar as ACL
¾ pode perder acesso a arquivos e pastas
• Administrador pode apropriar
Laboratório
ƒ Criar 4 usuários
ƒ Criar os Grupos
•
•
Usuários do Projeto X (com 2 usuários criados anteriormente)
Gerentes (com 2 usuários criados anteriormente)
ƒ Criar uma pasta chamada “projeto_x” e compartilhá-la
ƒ Dar as permissões NTFS
• Administradores
¾ Controle Total
• Usuários do Projeto X
¾ ler, adicionar arquivos e pastas
¾ controle total nos arquivos e pastas que criar
• Gerentes
¾ ler e modificar todos os arquivos
¾ não pode deletar nenhum arquivo que eles não criaram
¾ controle total nos arquivos e pastas que criaram
• Sistema
¾ Serviços rodando com a conta Sistema têm controle total
28
Resolução
ƒ Desabilitar a herança
• senão todos terão ler e executar herdados
Resolução
ƒ Grupo projetox
• Permissões especiais
ƒ grupo Gerentes
• Modificar permissões e
• retirar deleção
29
Laboratório 2
ƒ Crie um grupo Terceiros
• Crie 1 usuário e faça-o membro deste grupo
ƒ Crie o grupo Engenheiros
• Crie 1 usuário e faça
faça-o
o membro do grupo
• Eles devem ter permissão de ler os documentos da pasta projetoX
ƒ 1. Situação
• Você deverá prevenir acesso indevido dos terceiros a pasta do projetoX
ƒ 2. Situação
• Crie um usuário e faça-o membro de Terceiros e Engenheiros
• Q
Quais os direitos deste usuário na pasta
p
do p
projetox
j
• Como previno este usuário de acessar esta pasta
Auditando os usuários
ƒ Para monitorar e rastrear determinadas
ações, você deve ativar a auditoria
30
Auditoria
ƒ Você pode auditar eventos com sucesso e falha
ƒ Exemplos de uso:
• Sucesso
¾ gerar log de acessos a arquivos do RH
¾ monitorar acesso de usuários que não deveriam ter tais permissões
¾ identificar padrões diferentes dos comuns (Alguma outra pessoa pode
estar usando esta conta)
• Falha
¾ Monitorar acessos maliciosos a recursos que são negados
¾ Identificar falhas na tentativa do usuário acessar recursos. Pode indicar
permissões insuficientes para exercer seu trabalho
ƒ IMPORTANTE:
• Habilitar a Auditoria de Acesso a Objetos
• Ferramentas administrativas – diretivas de segurança do controlador de
domínio
Auditoria
ƒ Visualizador de Eventos
• segurança
31
Laboratório
ƒ Habilite a auditoria para o grupo projetox, nas ações de
deleção de arquivo
ƒ Habilite
H bilit a auditoria
dit i de
d acesso a objetos
bj t no GPO
ƒ Entre como um usuário do grupo projetox e remova um
arquivo
administrador, verifique os logs gerados através do
ƒ Como administrador
visualizador de eventos
Cotas
ƒ Limitar o espaço utilizado no(s) disco(s)
ƒ habilitando a Cota padrão
32
Cotas
ƒ Entradas da cota
ƒ Escolher o objeto para atribuir cota
Laboratório
ƒ Crie um usuário no seu domínio
ƒ Atribua quota de 10Mb com aviso em 5Mb
ƒ Copie
C i mais
i d
de 10Mb para o compartilhamento
tilh
t
no servidor
33
Scripts
ƒ Pequenos “programas” que automatizam
tarefas
ƒ Windows Script Host (WSH)
• Permite você rodar programas escritos em
vbscript e jscript
• Características
¾executar tarefas administrativas
¾ tili
¾utilizar
objetos
bj t com
¾adicionar características de linguagem de programação
aos scripts
¾rodar ferramentas de linha de comando
Exemplos
•
Executar tarefas administrativas
•
Mapeando um drive
•
•
ƒ
utilizar objetos COM
•
Adi i
Adicionando
d um usuário
á i ao AD
•
•
•
•
•
Set objOU = Wscript.GetObject("LDAP://OU=management,dc=dominioTeste,dc=com")
Set objUser = objOU.Create("User", "cn=Usuario")
objUser.Put "sAMAccountName", “usuario"
objUser.SetInfo
adicionar características de linguagem de programação aos scripts
•
Apagando uma pasta.
•
•
•
•
Set objFSO = Wscript.CreateObject("Scripting.FileSystemObject")
strFolder = Wscript.Arguments.Item(0)
objFSO.DeleteFolder(strFolder)
O Nome da pasta é recebido por argumentos
•
•
Set objNetwork = Wscript.CreateObject("WScript.Network")
objNetwork.MapNetworkDrive “Z:", "\\servidor01\geral"
apaguepasta.vbs c:\scripts
rodar ferramentas de linha de comando
•
Se o domínio for igual a “dominioTeste” mapeia o drive z:
•
•
•
•
•
•
Set objNetwork = Wscript.CreateObject("Wscript.Network")
Set objShell = WScript.CreateObject("WScript.Shell")
strDomain = objNetwork.DomainName
If strDomain = “dominioTeste" Then
objShell.Run "net use x: \\servidor01\docs"
End If
34
úteis
ƒ Mostrar mensagens
• Wscript.Echo “Mensagem”
• msgbox “Mensagem”
Mensagem ,,”Título”
Título
• Mostrar por 3 segundos
¾Set WshShell = Wscript.CreateObject("Wscript.Shell")
¾WshShell.Popup “Mensagem!",3, “título"
ƒ Ler entrada do usuário
• strResposta = InputBox(“Digite seu Nome:",
“Atenção")
úteis
ƒ Mapear Drive
• Set objNetwork = Wscript.CreateObject("WScript.Network")
• objNetwork.MapNetworkDrive “Z:", "\\servidor01\geral"
ƒ Remover drive mapeado
• WshNetwork.RemoveNetworkDrive "I:“
ƒ Mostrando nome do usuário e nome do computador
• Set objNet = WScript.CreateObject("WScript.Network")
• WScript.Echo “Nome do Computador:" & objNet.ComputerName
• WScript.Echo “Nome do usuario:" & objNet.UserName
ƒ Executar comando externo
• Set WshShell =
WScript.CreateObject("WScript.Shell")
• WshShell.Run ("notepad")
35
úteis
ƒ
Criando atalhos no Desktop
•
•
Set WshShell = Wscript.CreateObject("Wscript.Shell")
StrMyDesktop = WshShell.SpecialFolders("Desktop")
•
•
•
•
•
•
•
•
•
•
•
•
sLinkFile = StrMyDesktop & "\Atalho.LNK"
S t oWS
Set
WS = WScript.CreateObject("WScript.Shell")
WS i t C t Obj t("WS i t Sh ll")
Set oLink = oWS.CreateShortcut(sLinkFile)
oLink.TargetPath = “c:\teste\teste.exe"
oLink.Arguments = ""
oLink.Description = “Programa teste"
oLink.HotKey = "ALT+CTRL+P"
oLink.IconLocation = “c:\teste\teste.exe, 0"
oLink.WindowStyle = "1"
oLink.WorkingDirectory = “c:\teste\"
oLink.Save
ƒ Apagando um atalho
•
•
•
•
Set Shell = CreateObject("WScript.Shell")
Set FSO = CreateObject("Scripting.FileSystemObject")
DesktopPath = Shell.SpecialFolders("Desktop")
FSO.DeleteFile DesktopPath & "\atalho.lnk"
Script
ƒ relacionando a conta do usuário com um
script
36
Laboratório
ƒ Crie um usuário qualquer
ƒ Crie um compartilhamento em que esse
usuário tenha direitos
ƒ Crie um script que:
• mostre uma mensagem de boas vindas que
contenha o nome do computador e o nome do
usuário
• mapeio o drive x: para este compartilhamento
• crie um atalho no desktop que chame a
calculadora do windows (calc.exe)
• abra o bloco de notas automaticamente
(notepad.exe)
Backup
ƒ Cópia de segurança
ƒ Iniciar – Executar – ntbackup.exe
37
Tipos de Backup
ƒ NORMAL: Um backup normal (ou total) copia todos os arquivos
selecionados e marca cada um deles como já tendo um backup (em
outras palavras, o atributo de arquivo morto é desmarcado). Com
backups normais, você só precisa da cópia mais recente do arquivo ou
da fita de backup
back p para resta
restaurar
rar todos os arq
arquivos.
i os Normalmente
Normalmente, o
backup normal é executado quando você cria um conjunto de backup
pela primeira vez.
ƒ INCREMENTAL: Um backup incremental copia somente os arquivos
criados ou alterados desde o último backup normal ou incremental. Os
arquivos dos quais foram feitos backup são marcados dessa forma (ou
seja o atributo de arquivo morto é desmarcado).
seja,
desmarcado) Se você usar uma
combinação de backup normal e backup incremental, precisará do último
conjunto de backup normal e de todos os conjuntos de backup
incrementais para restaurar.
Tipos de Backup
ƒ DIFERENCIAL: Um backup diferencial copia somente os arquivos
criados ou alterados desde o último backup normal ou incremental. Os
arquivos que já têm um backup não são marcados dessa forma (ou seja,
o atributo de arquivo morto não é desmarcado). Se você executar uma
combinação de backup normal e backup diferencial, a restauração dos
dados exigirá os arquivos ou as fitas do último backup normal e do último
backup diferencial.
ƒ CÓPIA: Uma cópia auxiliar (ou secundária) é uma cópia dos dados de
backup. Os dados copiados são uma imagem fiel da cópia de backup
primária e podem ser usados como uma cópia de backup de modo de
p
ativo se os servidores,, os dispositivos
p
e a mídia de backup
p
espera
primário forem perdidos ou destruídos. As cópias primária e secundária
usam mídias diferentes e, muitas vezes, bibliotecas de backup diferentes.
ƒ DIÁRIO: Backup que copia todos os arquivos selecionados que forem
alterados no dia de execução do backup diário. Os arquivos que sofreram
backup não são marcados como tal (ou seja, o atributo de arquivamento
não é desmarcado).
38
Laboratório
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
Criar um diretório chamado dados
Copiar alguns arquivos para este diretório
C
Carregar
o ntbackup.exe
tb k
fazer backup desta pasta
apagar os arquivos
restaurar o backup
Monitorando
ƒ ferramentas Admins. Desempenho
ƒ Mediar as atividades do computador
39
Laboratório
ƒ Logado como administrador, carregue o Desempenho nas Ferramentas
Administrativas
ƒ Entre em logs e alertas de desempenho – logs do contador
ƒ Botão da direita e escolha “Nova configuração
g ç de log”
g
ƒ Crie um arquivo de log chamado Teste, adicione os objetos: LogicalDisk,
PhysicalDisk e Filas de Trabalho do Servidor
ƒ Mude o intervalo para 8 segundos
ƒ Anote a localização deste arquivo
ƒ Depois que ele estiver registrando, efetue algumas operações no
computador. Após 30 segundos, retorne a tela de desempenho e pare de
registrar.
registrar
ƒ No Monitor do Sistema, clique em Exibir dados do log e carregue o
arquivo teste criado anteriormente
ƒ Agora você poderá visualizar o que foi registrado
Bibliografia
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
FILHO, João E. M. Descobrindo o Linux. 2. ed. Novatec, 2007.
HOLME, Dan; THOMAS, Orin. MCSA/MCSE Self-Paced Training Kit (Exam 70-290): Managing and
Maintaining a Microsoft Windows Server 2003 Environment, Second Edition (Hardcover). Microsoft
Press, 2004.
LUNARDI, Marco A. Comandos Linux. 1.ed. Ciência Moderna, 2006.
ROSS John.O
ROSS,
John O Livro de WI-FI: Instale,
Instale Configure e Use Redes Wireless (Sem Fio)
Fio). 1.ed.
1 ed Alta Books
Books,
2004.
TANENBAUM, Andrew S.. Redes de computadores: PLT. Rio de Janeiro: Campus, 2007.
TORRES, Gabriel. Redes de Computadores: Curso Completo. 1.ed. Axcel Books, 2001.
40