Baixe o app para aproveitar ainda mais
Prévia do material em texto
Controle de acesso e compartilhamento de arquivos no Windows Prof.Francisco José Ferreira Descrição Estudo do gerenciamento de discos e sistemas de arquivos FAT, NTFS e ReFS. Compreensão das estruturas de pastas e arquivos, permissões de acesso tanto ao nível de pasta quanto ao nível de arquivo e compartilhamento de pastas e arquivos por meio de um servidor de arquivos. Propósito Compreender a implementação de estruturas de servidores de arquivos em grandes infraestruturas e ambientes que utilizam o Windows Server, por meio de implementações de compartilhamento de arquivos e permissões NTFS ou por meio das avançadas tecnologias do ReFS. Preparação Em todo o ambiente proposto em nosso conteúdo será utilizado o sistema operacional Windows Server 2019 na versão Standard. A imagem para instalação pode ser obtida no Azure Dev Tools for Teaching, para quem tem cadastro, ou uma licença de 180 dias no Windows Evaluation Center. A imagem pode ser instalada em uma máquina física ou em uma máquina virtual por meio de um software de virtualização como o VirtualBox, VMware, entre outros. Objetivos Módulo 1 Gerenciamento de discos Descrever tipos de partições, sistemas de arquivos e volumes disponíveis no Windows Server. Módulo 2 Permissões em estruturas de pastas e arquivos Identificar as permissões de acessos nas estruturas de pastas e arquivos. Módulo 3 Implementando Servidor de Arquivos Descrever as etapas necessárias à implementação de um servidor de arquivos. Independentemente do tamanho da organização, todas irão produzir arquivos com as mais diversas informações: relatórios, planos de negócio, especificação de uma peça ou equipamento, entre outros. Introdução Todos esses arquivos precisam ser armazenados e gerenciados, permitindo que estejam disponíveis para os usuários, com o controle de acesso necessário, evitando que pessoas não autorizadas acessem ou realizem alguma ação não desejada. Além disso, ficaria muito difícil e complexo realizar esse gerenciamento com os arquivos espalhados em diversos dispositivos na organização. Portanto, faz-se necessário criar um repositório de arquivos utilizando um servidor de arquivos e compartilhando o acesso com os colaboradores da empresa. Para que você possa conquistar essa habilidade, percorreremos os recursos existentes em um ambiente Windows Server permitindo que você aprenda a gerenciar discos e conheça as formas de particionamento disponíveis, suas utilizações e vantagens. Não há como pensar em utilizar os arquivos sem termos segurança associada. Por isso, você conhecerá como o Windows Server organiza as permissões de acesso, tanto ao nível de pastas quanto ao nível de arquivos e utilizações. Para poder pensar no compartilhamento de arquivos centralizado, você implementará um servidor de arquivos e verificará suas vantagens, além das suas formas de implantação. O controle de acesso e compartilhamento de arquivos em Windows Server são um diferencial na vida dos profissionais que atuam no mercado como especialistas nas plataformas de servidores da Microsoft. Vamos começar? 1 - Gerenciamento de discos Ao �nal deste módulo, você será capaz de descrever tipos de partições, sistemas de arquivos e volumes disponíveis no Windows Server. Escolhendo o formato da tabela de partição Identificar qual tecnologia de armazenamento você irá implementar é a primeira etapa de abordagem dos requisitos de armazenamento de dados da sua empresa. No entanto, também é necessário definir como você irá particionar os discos de armazenamento e como essas partições serão gerenciadas, ou seja, o formato da tabela de partição. Recordando, o particionamento define como um disco rígido será dividido para que possa ser formatado e instalado um sistema de arquivos. Um formato de tabela de partição (ou tipo de partição) refere-se ao método usado por um sistema operacional, como o Windows Server 2019, para organizar partições ou volumes em um disco. Para sistemas operacionais Windows, você pode decidir entre utilizar a MBR (registro mestre de inicialização) e ou GPT (tabela de partição GUID – identificador global exclusivo). O formato de tabela de partição MBR é o esquema de particionamento default que tem sido utilizado em discos desde os primeiros computadores na década de 1980. O formato da tabela de partição MBR tem as seguintes características: Uma partição MBR suporta até quatro partições primárias por unidade; Ela pode ter um tamanho máximo de 2 TB (terabytes); Se você inicializar um disco com mais de 2 TB usando MBR, os discos apenas armazenarão volumes de até 2 TB, e o restante do armazenamento não será usado, nesse caso, terá que converter o disco em GPT se quiser usar todo o espaço. O formato GPT foi introduzido no Windows Server 2003 e o Windows XP na edição de 64 bits para superar as limitações do MBR e para atender a necessidade de discos maiores. A GPT tem as seguintes características: A GPT dá suporte até 128 partições por unidade; Uma partição pode ter até 18 exabytes; Um disco rígido pode ter até 8 ZB (zettabytes), com 512 KB (kilobytes) de endereçamento LBA; Para inicializar a partir de uma tabela de partição GPT, o BIOS deve dar suporte para GPT. Selecionando um tipo de disco Ao selecionar um tipo de disco que será utilizado no Windows Server 2019, você poderá escolher entre discos básicos e dinâmicos. MBR GPT Disco básico O armazenamento básico usa tabelas de partição normais que são usadas por todas as versões do Windows. Um disco básico é inicializado para armazenamento simples e contém partições, como partições primárias e partições estendidas. Você pode subdividir as partições estendidas em volumes lógicos. Por padrão, quando você inicializa um disco no Windows, esse disco será configurado como um disco básico. Facilmente podemos converter discos básicos em discos dinâmicos sem perda de dados. Porém, quando você converte um disco dinâmico em um disco básico, todos os dados gravados no disco são perdidos. Recomendação Não há ganho de performance ao converter discos básicos em discos dinâmicos, e alguns programas não podem alterar os dados que estão armazenados em discos dinâmicos. Por causa dessas características, a maioria dos administradores não converte discos básicos em discos dinâmicos, a menos que seja necessário usar algumas das opções de configuração de volume fornecidas nos discos dinâmicos. Disco dinâmico O armazenamento dinâmico permite que você realize gerenciamento de discos e volumes sem precisar reiniciar os computadores que executam Windows. Um disco dinâmico é um disco inicializado para armazenamento dinâmico e que contém volumes dinâmicos. Os discos dinâmicos são usados para configurar o armazenamento com tolerância a falhas. Ao configurar discos dinâmicos, você cria volumes ao invés de partições. Um volume é uma unidade de armazenamento formada do espaço livre em um ou mais discos. Você pode formatar o volume com um sistema de arquivos e depois atribuir a ele uma letra de unidade (por exemplo: X:) ou configurá-lo com um ponto de montagem. Selecionando um sistema de arquivos Ao configurar seus discos no Windows Server 2019, você pode escolher entre sistema de arquivos FAT (tabela de alocação de arquivos), o sistema de arquivos NTFS e sistemas de arquivos ReFS. FAT O sistema de arquivos FAT é o mais simples dos sistemas de arquivos com suporte do Windows. Ele é caracterizado por uma tabela que fica no topo do volume. Para proteger o volume, duas cópias do sistema de arquivos FAT são mantidas no caso de uma ficar danificada. E mais, as tabelas de alocação de arquivos e o diretório raiz devem ser armazenados em um local fixo, a fim de que os arquivos de inicialização do sistema possam ser localizados. Um disco formatado com o sistema de arquivos FAT é alocado em clusters, e o tamanho do volume determina o tamanho dos clusters. Quando você cria um arquivo, uma entrada é criada no diretório, e o primeiro número de cluster contendodados é estabelecido. Essa entrada na tabela indica que esse é o último cluster do arquivo ou aponta para o próximo cluster. Não há organização na estrutura de diretórios FAT, e os arquivos recebem a primeira localização aberta na unidade. Por causa da limitação de tamanho com a tabela de alocação de arquivos, a versão original do FAT só podia acessar partições que tivessem menos de 2GB (gigabyte) de tamanho. Para permitir discos maiores, a Microsoft desenvolveu o FAT32, que oferece suporte a partições de até 2 TB. Atenção! O FAT não oferece qualquer segurança para arquivos na partição. Você nunca deve usar o FAT ou o FAT32 como sistema de arquivos para discos conectados a servidores Windows Server. Entretanto, você pode considerar o uso do FAT ou do FAT32 para formatar mídia externa, como uma mídia flash USB. O sistema de arquivos projetado especialmente para unidades �ash é o exFAT (FAT Estendido). Você poderá usá-lo quando o FAT32 não for ideal, por exemplo, quando você precisar de um formato de disco que funcione em uma TV, o que requer um disco com mais de 2TB. Vários dispositivos têm suporte para o exFAT, como TVs modernas, centrais de mídia e players de mídia portáteis. NFTS O NTFS é o sistema de arquivos padrão para todos os sistemas operacionais Windows a partir do Windows NT Server 3.1. Comentário Ao contrário do FAT, não existem objetos especiais no disco e não há nenhuma dependência em relação ao hardware, como setores de 512 bytes. Além disso, no NTFS, não existem locais especiais no disco, como tabelas. O NTFS é uma melhoria do FAT em vários sentidos, incluindo melhor suporte para metadados e o uso de estruturas de dados avançadas que permitiram uma melhora na performance, na confiabilidade e na utilização do espaço em disco. O NTFS também tem extensões adicionais, como ACLs (listas de controle de acesso) de segurança, que podem ser usadas para auditoria, registro no diário do sistema de arquivos e criptografia. O NTFS é necessário para várias funções e recursos do Windows Server, como o AD DS (Active Directory Domain Services), o VSS (Serviço de Cópias de Sombra de Volume), o DFS (Sistema de Arquivos Distribuído) e o FRS (serviço de replicação de arquivos). O NTFS também oferece um nível de segurança significativamente mais alto que o FAT ou o FAT 32. ReFS O ReFS foi introduzido pela primeira vez no Windows Server 2012 para aumentar as funcionalidades do NTFS. O ReFS melhora o NTFS, oferecendo limites de tamanho maiores para arquivos individuais, diretórios, volumes de disco e outros itens. Além disso, o ReFS oferece maior resiliência, ou seja, melhor verificação de dados, correção de erros e escalabilidade. Você deve usar o ReFS com o Windows Server 2019 para volumes e compartilhamentos de arquivos muito grandes, para superar a limitação do NTFS de correção e verificação de erros. No entanto, você não pode usar o ReFS para o volume de inicialização. Tamanho do setor Ao formatar um disco usando um sistema de arquivos específico, você deve especificar o tamanho de setor apropriado. Na opção Formatar Partição, o tamanho do setor é descrito como o tamanho da unidade de alocação. Você pode selecionar de 512 bytes até 64 KB. Dica Para melhorar a performance, tente corresponder o tamanho da unidade de alocação o máximo possível ao tamanho do arquivo ou do registro que será gravado no disco. Por exemplo, se você possuir um banco de dados que grava registros de 8.192 bytes, o tamanho da unidade de alocação ideal será 8KB. Essa configuração permitirá que o sistema operacional grave um registro completo em uma única unidade de alocação no disco. Usando um tamanho de unidade de alocação de 4KB, o sistema operacional precisaria dividir o registro entre duas unidades de alocação e, em seguida, atualizar a tabela mestra de arquivos do disco com o fato ao qual as unidades de alocação estivessem vinculadas. Usando uma unidade de alocação, pelo menos, do tamanho do registro, você pode reduzir a carga de trabalho no subsistema de disco do servidor. Por que usar ReFS no Windows Server? Como falamos anteriormente, o Resilient File System (ReFS) é o sistema de arquivos mais recente criado pela Microsoft para sistemas operacionais de servidor, volumes extremamente grandes e compartilhamentos de arquivos. ReFS é um sistema de arquivos baseado no sistema de arquivos NTFS, mas possui as seguintes vantagens em relação ao NTFS: 1. Integridade de metadados com somas de verificação; 2. Proteção expandida contra dados corrompidos; 3. Maximiza a confiabilidade, especialmente durante falhas de energia (enquanto o NTFS apresentava corrupção em circunstâncias semelhantes); 4. Tamanhos grandes de volumes, arquivos e diretórios; 5. Pooling de armazenamento e virtualização, que facilitam a criação e o gerenciamento de sistemas de arquivos; 6. Redundância para tolerância a falhas; 7. Remoção de discos para proteção contra erros de discos latentes; 8. Resiliência a corrupções com recuperação para o máximo de disponibilidade do volume; 9. Pools de armazenamento compartilhados em máquinas para tolerância a falhas e balanceamento de carga adicionais. O ReFS herda alguns recursos do NTFS, como: • Criptografia de Unidade de Disco BitLocker; • ACLs para segurança; • Diário USN (número de sequência de atualização); • Notificações de alteração; • Links simbólicos, pontos de junção, pontos de montagem e pontos de nova análise; • Instantâneos de volume; • IDs de arquivo. É recomendável utilizar o ReFS quando: Cargas de trabalho do Microsoft Hyper-V O ReFS terá vantagens de performance quando estiver usando arquivos VHD e VHDX para as máquinas virtuais. Espaços de armazenamento diretos No Windows Server 2019, os nós de um cluster podem compartilhar armazenamento de conexão direta. Nessa situação, o ReFS fornece melhor produtividade, mas também oferece suporte a discos de maior capacidade usados pelos nós de cluster. Arquivar dados A resiliência fornecida pelo ReFS torna esse sistema de arquivos uma boa opção para os dados que você deseja reter por períodos mais longos. Tipos de volumes de disco Um volume é uma área de espaço utilizável em um ou mais discos físicos, formatado com um sistema de arquivos. No Windows Server 2019, você pode optar por usar diferentes tipos de volumes para criar armazenamento de alta performance, armazenamento tolerante a falhas ou uma combinação de ambos. No Windows Server 2019, se formos utilizar discos dinâmicos, poderemos criar vários tipos de volume de discos, como: Volumes simples Um volume simples é um volume que usa o espaço livre de um único disco. Pode ser uma única região em um disco ou pode consistir em várias regiões concatenadas. Você pode estender um volume simples no mesmo disco ou estendê-lo em discos adicionais. Se você estender um volume simples entre vários discos, ele se tornará um volume estendido. Um volume estendido é um volume criado a partir do espaço livre de vários discos que estão vinculados. Você pode ampliar um volume estendido até um máximo de 32 discos. Você não pode espelhar um volume estendido e ele não é tolerante a falhas. Portanto, se perder um disco, você perderá todo o volume estendido. Um volume distribuído é um volume que tem dados espalhados em dois ou mais discos físicos. Os dados nesse tipo de volume são alocados de maneira uniforme e alternativa a cada um dos discos físicos. Um volume distribuído não pode ser espelhado ou estendido nem é tolerante a falhas. Isso significa que a perda de um disco provoca a perda imediata de todos os dados. A distribuição também é conhecida como RAID-0. Um volume espelhado é um volume tolerante a falhas que tem todos os dados duplicados em dois discos físicos. Todos os dados em um volume são copiados para outro disco de modo a fornecer redundância de dados. Se um dos discos falhar, você poderá acessar os dados do disco restante. Entretanto, você não pode estender um volume espelhado. O espelhamento tambémé conhecido como RAID-1. Volumes estendidos Volumes distribuídos Volumes espelhados Volumes RAID-5 Um volume RAID-5 é um volume que possui um sistema de tolerância à falha, aumentando a resiliência quanto à perda de dados. Para utilizar o RAID-5 é necessário utilizar três ou mais discos. A paridade também é distribuída na matriz de discos. Se um disco físico falhar, você poderá recriar a parte do volume RAID-5 que estava nesse disco de falha usando os dados restantes e a paridade. Você não pode espelhar ou estender um volume RAID-5. Agora que você viu todos os conceitos teóricos, vamos praticar? Demonstração Chegou a hora de exercitar o conteúdo que acabamos de aprender. Para realizar esta prática, caso esteja utilizando uma máquina virtual, recomendamos que você crie um novo disco virtual para executar essa atividade. Se você estiver utilizando uma máquina física, você necessitará instalar um disco rígido. Gerenciador de discos. Abra o Disk Management (Gerenciador de Discos) Inicializando o disco. Inicialize o disco 2 e na tela seguinte escolha o tipo de partição MBR e clique em OK Criando um volume simples. Com o botão direito, clique no disk 2 e crie um novo volume simples Assistente de criação de volume. 4. Avance as próximas telas até “New Simple Volume Wizard” e associe a letra X ao novo volume e clique em next Escolhendo o sistema de arquivos. Escolha a opção de system de arquivos ReFS e Volume Label Dados e clique em next Disco Formatado. Aguarde o �nal da formatação e veri�que o resultado no Disk Management e no Explorer Criando volumes no Windows Server No vídeo a seguir, apresentaremos uma prática de instalação, particionamento e criação de volumes em um ambiente Windows Server. Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos? Questão 1 Os sistemas de arquivos permitem que os arquivos possam ser salvos nas unidades de armazenamento e sejam devidamente manipulados. O Windows Server possui dois sistemas de arquivos principais NTFS e ReFS. São vantagens do ReFS em relação ao NTFS: Parabéns! A alternativa B está correta. O NTFS e o ReFS são os principais sistemas de arquivo, sendo o último a versão mais recente que utiliza um subconjunto de recursos do NTFS. Entretanto, o ReFS ainda possui várias outras vantagens de segurança, tolerância a falhas e de limites mais altos para partições, volumes e arquivos em relação ao seu antecessor. Questão 2 No Windows Server podem ser criados diferentes tipos de volume, desde volumes simples até volumes que necessitam de mais de um disco para garantir tolerância a falhas. Os volumes espelhados utilizam: A Partições de até 2TB e resiliência dos dados armazenados. B Resiliência dos dados e suporte a tamanhos grandes de volumes e arquivos. C Utilizada em discos de inicialização e suporte à tolerância a falhar. D Suporte à tolerância a falhas e partições de até 2TB. E Partições de até 2TB e suporte a tamanhos grandes de volumes e arquivo. A RAID-0. B RAID-1. C RAID-5. Parabéns! A alternativa B está correta. Os volumes espelhados também são conhecidos por RAID-1, onde usam no mínimo dois discos para criar o espelho, ou seja, replicar as informações em mais de um volume. 2 - Permissões em estruturas de pastas e arquivos Ao �nal deste módulo, você será capaz de identi�car as permissões de acessos nas estruturas de pastas e arquivos. Introdução a permissões D RAID-6. E RAID-10. O Windows Server 2019 usa permissões para ter o controle do acesso a arquivos e pastas do NTFS, compartilhamentos, chaves e objetos do Active Directory. Todos esses conjuntos de permissões são independentes uns dos outros, mas as interfaces usadas para gerenciá-los são semelhantes. Atenção! Para gerenciar permissões do Windows Server 2019, você pode usar a guia da página de propriedades da pasta ou do disco a ser protegido, como mostrado na imagem a seguir, com as entidades de segurança listadas no topo e as permissões associadas a elas na parte inferior. As permissões de compartilhamento podem ser encontradas em uma guia Share Permissions e as permissões NTFS ficam localizadas na guia Security. Todos os conjuntos de permissões do Windows usam a mesma interface básica. O Gerenciador do Servidor também concede acesso a permissões NTFS e de compartilhamento, usando um dashboard diferente. Guia Security (Segurança). As permissões de compartilhamento fornecem proteção muito limitada, mas isso pode ser suficiente em alguns ambientes pequenos. Elas podem ser a única alternativa em um computador com unidades FAT32, pois o sistema de arquivo FAT não tem suas próprias permissões. Entretanto, em redes que já possuam um sistema de permissões NTFS bem configurado, as permissões de compartilhamento não são necessárias. Em um caso desse tipo, você pode conceder de forma segura a permissão de compartilhamento Full Control (Controle Total) para a identidade Everyone (Todos) e deixar que as permissões NTFS forneçam a segurança. A inclusão de permissões de compartilhamento para a combinação só complicaria o processo de administração, sem fornecer nenhuma proteção adicional. Permissões básicas e avançadas Os sistemas de permissões do Windows Server 2019 foram projetados para serem granulares. Por exemplo, você pode usar permissões NTFS para ter o controle não só de quem tem acesso a uma planilha, mas também o nível de acesso. Por exemplo, poderia conceder a Lúcia permissão para ler e modificar uma planilha, mas a João só para lê-la e Marcos nem mesmo para vê-la. Atenção! Antes do Windows Server 2012, as permissões básicas eram conhecidas como permissões do tipo padrão, e as permissões avançadas, como permissões especiais. O conjunto de permissões NTFS tem 14 permissões avançadas que você pode associar a uma pasta ou um arquivo. Entretanto, ele também tem seis permissões básicas que são várias combinações das 14 básicas ou avançadas, e até mesmo atribuir os dois tipos de permissões na mesma entidade desse elemento, usando a caixa de diálogo Advanced Security Settings (Propriedades de Segurança Avançadas), como mostrado na imagem seguinte. Propriedades de Segurança Avançadas. Atribuindo permissões NTFS básicas A maior parte dos administradores de servidor trabalha quase que de forma exclusiva com permissões NTFS básicas porque a maioria das tarefas de controle de acesso mais comuns não demanda que eles trabalhem diretamente com permissões avançadas. Permissão padrão Quando aplicada a uma pasta, permite que uma entidade de segurança: Quando aplicada a um arquivo, permite que uma entidade de seguranca: Full Control (Controle Total) • Modifique as permissões da pasta. • Modifique as permissões do arquivo. Permissão padrão Quando aplicada a uma pasta, permite que uma entidade de segurança: Quando aplicada a um arquivo, permite que uma entidade de seguranca: • Assuma a posse da pasta. • Exclua subpastas e arquivos contidos na pasta. • Execute todas as ações associadas às outras permissões de pastas NTFS. • Assuma a posse do arquivo. • Execute todas as ações associadas às outras permissões de arquivos NTFS. Modify (Modificar) • Exclua a pasta. • Execute todas as ações associadas às permissões Write e Read & Execute. • Modifique o arquivo. • Exclua o arquivo. • Execute todas as ações associadas às permissões Write e Read & Execute. Read and Execute (Ler e Executar) • Navegue por pastas restritas para alcançar outros arquivos e pastas. • Execute todas as ações associadas às permissões Read e List Folder Contents. • Execute todas as ações. associadas à permissão Read • Execute aplicativos. List Folder Contents (Listar) • Visualize os nomes dos arquivos e subpastas contidos na pasta. • Não aplicável. Read (Ler) • Veja os arquivos e subpastas contidos na pasta. • Visualize o proprietário, as permissões e os atributos da pasta. • Leia o conteúdo do arquivo. • Visualize o proprietário, as permissões e osatributos do arquivo. Write (Escrever) • Crie novos arquivos e subpastas dentro da pasta. • Modifique os atributos da pasta. • Visualize o proprietário e as permissões da pasta. • Sobrescreva o arquivo. • Modifique os atributos do arquivo. • Visualize o proprietário e as permissões do arquivo. Quadro: Permissões NTFS básicas. Elaborado por Francisco Ferreira Atribuindo permissões NTFS avançadas No Windows Server 2019, o dashboard de gerenciamento de permissões avançadas está integrado à mesma interface que gerencia as permissões básicas. Na caixa de diálogo Permission Entry, clicar no link Show Advanced Permissions altera a lista de permissões básicas para uma lista com as permissões avançadas. Permissão avançada Funções Full Control • A permissão Controle Total permite ou nega às entidades de segurança todas as outras permissões avançadas. Traverse Folder/ Execute File • A permissão Traverse Folder permite ou nega às entidades de segurança o direito de percorrer pastas que elas não têm permissão para acessar. • A permissão Execute File permite ou nega às entidades de segurança o direito de executar arquivos de programas. Essa permissão só é aplicável a arquivos. List Folder/ Read Data • A permissão List Folder permite ou nega às entidades de segurança o direito de visualizar os nomes de arquivos e subpastas existentes em uma pasta. Essa permissão só é aplicável a pastas. • A permissão Read Data permite ou nega às entidades de segurança o direito de visualizar o conteúdo de um arquivo. Essa permissão só é aplicável a arquivos. Read Attributes • Permite ou nega às entidades de segurança o direito de visualizar atributos NTFS de um arquivo ou pasta. Read Extended Attributes • Permite ou nega às entidades de segurança o direito de visualizar atributos estendidos de um arquivo ou pasta. Create Files/ Write Data • A permissão Create Files permite ou nega às entidades de segurança o direito de criar arquivos dentro da pasta. Essa permissão só é aplicável a pastas. • A permissão Write Data permite ou nega às entidades de segurança o Permissão avançada Funções direito de modificar o arquivo e sobrescrever o conteúdo existente. Essa permissão só é aplicável a arquivos. Create Folders/ Append Data • A permissão Create Folders permite ou nega às entidades de segurança o direito de criar subpastas dentro de uma pasta. Essa permissão só é aplicável a pastas. • A permissão Append Data permite ou nega às entidades de segurança o direito de adicionar dados no fim do arquivo, mas não de modificar, excluir ou sobrescrever dados existentes. Essa permissão só é aplicável a arquivos. Write Attributes • Permite ou nega às entidades de segurança o direito de modificar atributos NTFS de um arquivo ou pasta. Write Extended Attributes • Permite ou nega às entidades de segurança o direito de modificar os atributos estendidos de um arquivo ou pasta. Delete Subfolders and Files • Permite ou nega às entidades de segurança o direito de excluir subpastas e arquivos, mesmo se a permissão delete não tiver sido concedida na subpasta ou arquivo. Delete • Permite ou nega às entidades de segurança o direito de excluir o arquivo ou pasta. Read Permissions • Permite ou nega às entidades de segurança o direito de ler as permissões do arquivo ou pasta. Change Permissions • Permite ou nega às entidades de segurança o direito de modificar as permissões do arquivo ou pasta. Take Ownership • Permite ou nega às entidades de segurança o direito de tomar posse do arquivo ou pasta. Synchronize • Permite ou não que diferentes threads de programas multitarefa ou multiprocessados esperem a manipulação do arquivo ou pasta e sincronizem com outra thread que venha a sinalizar isso. Quadro: Permissões NTFS Avançadas. Elaborado por Francisco Ferreira Vamos agora trabalhar com as permissões? Demonstração Vamos exercitar o conteúdo que acabamos de estudar. Primeiramente, vamos instalar o serviço de gerenciamento de arquivos para configurarmos as permissões de acesso. Gerenciador do Servidor (Acionando Funções e Recursos). 1. No gerenciador do Servidor do Windows Server, clique em Manage (Gerenciar) e depois em Add Roles and Features (Adicionar Funções e Recursos). 2. Será iniciado o Assistente para Adicionar Funções e Recursos. Clique em Próximo. Instalação baseada em função ou recurso. 3. Agora selecione a opção Role-Based or Feature-based installation (Instalação baseada em função ou recurso). Selecionando o servidor de destino. 4. Selecione o servidor que irá instalar o recurso. Selecionando Serviço de Arquivos e Armazenamento. 5. Agora vamos selecionar o recurso a ser instalado. Navegue até File and Storage Services (Serviço de Arquivos e Armazenamento) e selecione File and iSCSI Services (Serviço de Arquivo e iSCSI). Selecionando Recursos. �. Na tela de seleção de recursos não precisa selecionar nenhuma opção, clicando apenas em Next (Próximo). Finalizando a instalação. 7. Para terminar a instalação do serviço, revise as funções que serão instaladas e clique em Install (Instalar). Gerenciador do Servidor. �. Agora que instalamos o recurso, vamos configurar as permissões. No Gerenciador do Servidor do Windows Server, clique no ícone File and Storage Services (Serviço de Arquivos e Armazenamento). Compartilhamentos. 9. Clique em Shares (Compartilhamentos) e a página Shares será aberta. Propriedades do compartilhamento. 10. Clique em qualquer compartilhamento disponível com o botão direito do mouse e escolha a opção Properties (Propriedades). Caso não apareça nenhum compartilhamento, você pode criar um. Customizando permissões. 11. Clique em Permissions (Permissões) e a página de permissões será aberta. 12. Clique em Customize Permissions. Adicionando permissões. 13. Clique em Add (Adicionar). A caixa de diálogo Permission Entry (Entradas de Permissão) do compartilhamento aparecerá. Selecionando Entidade de Segurança. 14. Clique em Select a principal (Selecionar Principal). Selecionando usuário. 15. Selecione o grupo Administrators (Administradores) e clique em OK. Selecionando as permissões. 1�. Verifique as permissões que deseja adicionar e clique em OK. Configurações avançadas de segurança. 17. Verifique as entradas de permissão na tela principal e clique em OK.Pronto! As permissões foram configuradas. Con�gurando permissões NTFS No vídeo a seguir, apresentaremos uma prática para configurar as permissões NTFS em um ambiente Windows Server. Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos? Questão 1 O Windows possui um conjunto de permissões de segurança que permite ao administrador do ambiente configurar o que cada usuário tem permissão para fazer com determinado arquivo e/ou diretório. Dentre as diversas permissões, o que faz a permissão List Folder Content ao nível de pasta? Parabéns! A alternativa D está correta. A permissão List Folder Content permite a visualização dos nomes dos arquivos e subpastas contidos na pasta. Questão 2 Qual é o número de permissões básicas e avançadas, respectivamente? A Cria novos arquivos e subpastas dentro da pasta. B SAML e OAuth. C Exclui a pasta. D Visualiza os nomes dos arquivos e subpastas contidos na pasta. E Modifica as permissões da pasta. A 5 e 10 B 6 e 14 C 10 e 14 D 8 e 14 Parabéns! A alternativa B está correta. O Windows Server oferece seis permissões NTFS básicas e 14 permissões NTFS avançadas. 3 - Implementando servidor de arquivos Ao �nal deste módulo, você será capaz de descrever as etapas necessárias à implementação de um servidor de arquivos. Introdução ao compartilhamento de arquivos O compartilhamento de pastas permite que os usuários se conectem a uma pasta compartilhada em uma rede e acessem as pastas e arquivos contidos nele. As pastas compartilhadas podem conter aplicativos, dados públicos ou dados pessoais de um usuário. Gerenciar pastas compartilhadas ajuda a fornecer um E 5 e 14local central para os usuários acessarem arquivos comuns, e traz simplicidade à tarefa de fazer backup dos dados que essas pastas contêm. Saiba mais O protocolo Server Message Block (SMB) é um protocolo de compartilhamento de arquivos de rede que permite que aplicativos em um computador leiam e escrevam em arquivos e solicitem serviços de programas de servidor em uma rede de computadores. O protocolo SMB é usado em cima do TCP/IP. Usando o protocolo SMB, um aplicativo (ou o usuário de um aplicativo) pode acessar arquivos ou outros recursos em um servidor remoto. Isso permite que os aplicativos leiam, criem e atualizem arquivos no servidor remoto. Ele também pode se comunicar com qualquer servidor configurado para receber uma solicitação de cliente SMB. O que é SMB? O Server Message Block (SMB) é um protocolo de compartilhamento de arquivos de rede desenvolvido pela Microsoft na década de 1980. Era criado para fazer parte do sistema básico de entrada/saída da rede (NetBIOS). A especificação original, SMB 1, foi projetada para ser um protocolo muito detalhado, enviando continuamente muitos pacotes de controle e pesquisa em texto claro. A versão mais recente do SMB é o SMB 3.1.1, que oferece suporte ao Advanced Encryption Standard (AES) 128, além do contador AES 128 com mensagem de encadeamento de bloco de criptografia, criptografia do código de autenticação (CBC-MAC ou CCM) incluída no SMB 3.0. SMB 3.1.1 aplica uma verificação de integridade de pré-autenticação usando o algoritmo de hash seguro (SHA) 512 hash. O SMB 3.1.1 também requer uma negociação de segurança aprimorada ao conectar-se a dispositivos que usam SMB 2.x e posterior. Os recursos do SMB 3.0 incluem: 1. Failover transparente de SMB Esse recurso permite que você execute a manutenção de hardware ou software de nós em um servidor de arquivos em cluster sem interromper os aplicativos de servidor que estão armazenando dados em compartilhamentos de arquivos 2. Expansão de SMB Usando o Cluster Shared Volumes (CSV) versão 2, você pode criar compartilhamentos de arquivos que fornecem acesso simultâneo aos arquivos de dados, com entrada/saída direta (I/O), por meio de todos os nós em um arquivo cluster de servidor. 3. Multicanal SMB Esse recurso permite agregar largura de banda de rede e falha de rede, tolerância se vários caminhos estiverem disponíveis entre o cliente e o servidor SMB 3.0. 4. SMB Direct Esse recurso oferece suporte a adaptadores de rede com acesso remoto direto à memória (RDMA) e pode funcionar em velocidade total com latência de dados muito baixa e usando muito pouco tempo de processamento da unidade central de processamento (CPU). 5. Criptografia SMB Esse recurso fornece criptografia ponta a ponta de dados SMB em rede não confiável, ajudando a proteger os dados de espionagem. 6. Serviço de cópia de sombra de volume (VSS) para compartilhamentos de arquivos SMB Para aproveitar as vantagens do VSS para arquivo SMB, o cliente SMB e o servidor SMB devem oferecer suporte ao SMB 3.0, no mínimo. 7. Leasing de diretório SMB Esse recurso melhora os tempos de resposta do aplicativo da filial. Também reduz o número de viagens de ida e volta do cliente para o servidor conforme os metadados são recuperados de uma rede de longa duração. 8. Comandos do Windows PowerShell para gerenciar SMB Você pode gerenciar compartilhamentos de arquivos no servidor de arquivos de ponta a ponta, a partir da linha de comando. Versões SMB O Windows Server negociará e usará a versão SMB mais recente que um cliente oferece suporte. A respeito, o cliente pode ser outro servidor, um dispositivo Windows 10 ou até mesmo um cliente legado mais antigo ou conectado à rede de armazenamento (NAS). Esse suporte pode ser reduzido para SMB 2.2 ou 2.0. Versões mais antigas do Windows Server também incluem suporte para SMB 1.0, que é conhecido por suas vulnerabilidades. Portanto, o uso de SMB 1.0 deve ser evitado por razões de segurança. No Windows Server versão 1709 e no Windows 10 versão 1709 (e mais tarde) o suporte para SMB 1.0 não será instalado por padrão. Con�gurando compartilhamentos SMB A criação e configuração de compartilhamentos de arquivos há muito tempo é uma parte essencial da administração de rede. A habilidade de compartilhar arquivos é um dos motivos pelos quais as redes de computadores se tornaram populares. A maioria dos administradores são cientes de que você pode criar pastas compartilhadas ou compartilhamentos de arquivos a partir do Explorador de Arquivos. No entanto, no Windows Server, você também pode criar compartilhamentos de arquivos usando o Windows Admin Center, o Gerenciador do Servidor ou o Windows PowerShell. No Gerenciador do Servidor, os termos compartilhamento de arquivos e compartilhamento SMB referem-se ao mesmo componente. Permissões de compartilhamento de arquivo As permissões que um usuário deve usar para acessar arquivos em um compartilhamento SMB (Server Message Block) são uma combinação de permissões de compartilhamento e permissões de arquivo. O conjunto de permissões mais restritivo sempre se aplica. Atenção! Se você conceder a um usuário as permissões de controle total de arquivo, mas ele tiver apenas permissões de compartilhamento de leitura, o acesso do usuário é de leitura. Para simplificar o acesso aos dados, ao usar o perfil Rápido para criar um compartilhamento SMB, a permissão de compartilhamento será definida como Controle total. Efetivamente, isso significa que as permissões de compartilhamento não estão restringindo o acesso ao compartilhamento e as permissões NTFS são usadas para controlar o acesso. Per�s de compartilhamento SMB Você pode usar o Gerenciador do Servidor no Windows Server para criar um novo compartilhamento. O Assistente de Novo Compartilhamento embutido oferece três perfis de compartilhamento de arquivos SMB a partir dos quais você pode escolher: Rápido É o método mais rápido para compartilhar uma pasta em uma rede. Com esse método, você pode selecionar um volume ou inserir um caminho personalizado para o local da pasta compartilhada. Você pode usar o Assistente de Novo Compartilhamento para configurar mais opções, como enumeração baseada em acesso, compartilhamento de cache, acesso a dados criptografados e permissões. Você pode configurar essas opções e outras opções manualmente após criar o compartilhamento. Avançado Esse perfil oferece as mesmas opções de configuração do perfil rápido, além de mais opções como proprietários de pastas, classificação de dados padrão e cotas. Para criar um perfil avançado, você deve instalar o serviço de função Gerenciador de Recursos de Servidor de Arquivos em pelo menos um servidor que esteja fazendo o gerenciamento usando o Gerenciador do Servidor. Aplicativos Esse perfil especializado possui configurações apropriadas para Microsoft Hyper-V, bancos de dados e outros aplicativos de servidor. Ao contrário dos perfis rápidos e avançados, você não pode configurar com base em acesso enumeração, compartilhamento de cache, classificação de dados padrão ou cotas ao criar um perfil de aplicativo. A tabela a seguir identifica as opções de configuração disponíveis para cada perfil de compartilhamento SMB. Tipo de Compartilhamento Acesso Baseado em Enumeração Cache de Compartilhamento Criptografia de Acesso a Dados C D Rápido Sim Sim Sim N Avançado Sim Sim Sim S Aplicativos Não Não Sim N Quadro: Opções de configuração disponíveis para cada perfil de compartilhamento SMB. Elaborado por Francisco Ferreira. Windows Admin Center Você pode usar o Windows Admin Center para criar compartilhamentos SMB, mas não pode configurá-los para além de usuário e permissões. Para habilitar a enumeração baseada em acesso, permita o armazenamento em cache, habilite o cache de ramificação ou adicione ou remover a criptografia, você pode usar as propriedades da pasta, Gerenciador do Servidor ou comandos Windows PowerShell. Cmdlets do Windows PowerShell no módulo SmbShareO módulo SmbShare para Windows PowerShell contém 38 cmdlets no Windows Server. Isso inclui cmdlets comumente usados, como New-SmbShare, Set-SmbShare e Remove-SmbShare. Se você usar os cmdlets SmbShare, poderá configurar quaisquer propriedades de compartilhamento, mesmo aquelas que não estão disponíveis no Gerenciador do Servidor. Dica Se quiser identificar os compartilhamentos que existem em um servidor ou revisar as propriedades desses compartilhamentos, você pode usar Get-SmbShare. A saída padrão exibe o nome, o nome do escopo, o caminho e a descrição. ScopeName só é relevante quando o servidor faz parte de um cluster e é exibido como * para servidores de arquivos não clusterizados. Você pode usar Get-SmbSession para identificar usuários que estão conectados a compartilhamentos SMB. Se os usuários abrirem arquivos, então você pode usar Get-SmbOpenFile para identificar os arquivos abertos. Se estiver preocupado em controlar a largura de banda alocada para compartilhamentos SMB em um servidor, você pode usar Set-SmbBandwidthLimit para definir um nível máximo de transferência que é alocado para o tráfego SMB em um servidor para diferentes categorias. Isso é útil para hosts Hyper-V para garantir que certas categorias de tráfego não sobrecarreguem o host e afetem outras categorias, incluindo: Padrão Refere-se a todo o tráfego SMB que não está relacionado ao Hyper-V ou Live Migration, como compartilhamentos de arquivos Hyper-V Refere-se ao tráfego SMB que você usa para executar máquinas virtuais, como acessar discos rígidos em um compartilhamento SMB. Migração ao vivo Refere-se ao tráfego SMB que é gerado quando você realiza uma migração ao vivo de um Host Hyper-V para outro. Atenção! Para explorar todos os cmdlets no módulo SmbShare, execute o seguinte comando: Get-Command-Module SmbShare. Demonstração Agora, vamos exercitar o conteúdo que acabamos de aprender. Vamos criar um compartilhamento SMB (Server Message Block) usando o Gerenciador do Servidor (Server Manager). Abrindo o Gerenciador do Servidor. 1. Selecione Iniciar e, em seguida, Gerenciador do Servidor. Selecionando Serviços de Arquivo e Armazenamento. 2. No Gerenciador do Servidor, no painel de navegação, selecione Serviços de Arquivo e Armazenamento (File and Storage Services) e, em seguida, selecione Compartilhamentos. Criando um novo compartilhamento. 3. Na área COMPARTILHAR (Share), clique com o botão direito ou acesse o assistente para novo compartilhamento (New Share Wizard) o servidor e selecione Novo compartilhamento. Selecionando Compartilhamento SMB-Rápido. 4. No Assistente de Novo Compartilhamento, na página Selecione o perfil para este compartilhamento, na caixa Perfil de compartilhamento de arquivo, selecione Compartilhamento SMB-Rápido e, em seguida, selecione Avançar. Selecionando Servidor e Local de Compartilhamento. 5. Na página Selecione o servidor e o caminho para este compartilhamento, na seção Servidor: selecione o servidor. Na área Compartilhar local: selecione Selecionar por volume, selecione C: e, a seguir, selecione Avançar. Especificando o nome do Compartilhamento. �. Na página Especificar nome do compartilhamento, na caixa de texto Nome do compartilhamento, insira Vendas e selecione Avançar. Habilitar enumeração baseada em acesso. 7. Na página Definir configurações de compartilhamento, marque a caixa de seleção Habilitar enumeração baseada em acesso (Enable access-based enumeration) e selecione Avançar. Customizando permissões. �. Na página Especificar permissões para controlar o acesso (Specify Permissions to Control Access), selecione Personalizar permissões (Customize Permissions). Adicionando permissão. 9. Na caixa de diálogo Configurações de segurança avançadas para Vendas, selecione Adicionar. Selecionando usuário ou grupo. 10. Na janela Entrada de permissão para Vendas, escolha Selecionar um hiperlink principal (Etapa 1). Depois, na janela Selecionar usuário ou grupo (Select Use or Group), na caixa de texto Digite o nome do objeto a ser selecionado, digite Administradores (Administrator) (Etapa 2), selecione Verificar nomes (Check Names) (Etapa 3) e, em seguida, OK. Selecionando permissão modificar. 11. Na janela Entrada de permissão para Vendas, marque a caixa de seleção Modificar (Modify) na área Permissões básicas: e selecione OK duas vezes. Criando o compartilhamento. 12. Na página Especificar permissões para controlar o acesso, selecione avançar. 13. Na página Confirmar seleções, selecione Criar. Permissão criada com sucesso. 14. Quando a criação do compartilhamento for concluída, selecione Fechar. Con�gurando um servidor de arquivos Demonstraremos, no vídeo a seguir, a instalação e configuração de um servidor de arquivos no Windows Server. Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos? Questão 1 1. O Windows Server oferece diversos perfis de compartilhamento SMB. Dentre os perfis existentes, qual perfil de compartilhamento SMB é ideal para o Hyper-V? A Básico. Parabéns! A alternativa E está correta. O Windows Server possui três perfis de compartilhamento SMB: Rápido, Avançado e Aplicativos. Este último perfil é o adequado para implementação de Hyper-V e banco de dados. Questão 2 O PowerShell é uma ferramenta poderosa para que um administrador de Windows Server possa executar diversas tarefas de gerenciamento, inclusive para gerenciar um servidor de compartilhamentos. Considerando que você precisa explorar o módulo SmbShare, qual seria o comando que você utilizaria para visualizar todos os cmdlets disponíveis? B Rápido. C Intermediário. D Avançado. E Aplicativos. A Get-Help -Module SmbShare. B Get-Command -Module SmbShare. C Set-Command -Module SmbShare. D Invoke-Command -Module SmbShare. Parabéns! A alternativa B está correta. O comando Get-Command Module SmbShare retornará para o usuário a relação de cmdlets disponíveis para gerenciar um Servidor de Arquivos por meio do módulo SmbShare. Considerações �nais Você passou por três passos essenciais para poder configurar o controle de acesso e compartilhamento de arquivos em Windows Server, compreendendo as tabelas de partição MBR e GPT, além dos sistemas de arquivos FAT, NTFS e ReFS. Compreendeu as permissões de compartilhamento tanto na estrutura de pastas quanto ao nível de arquivos. Implementou servidor de arquivos entendendo, primeiramente, o protocolo SMB e suas versões além das suas formas de implementação em produção. No seu dia a dia profissional, toda essa capacitação irá lhe ajudar a gerenciar ambientes Windows Server de forma segura, alavancando seu desempenho e gerando confiança na equipe que trabalha ao seu redor. Podcast No podcast a seguir, abordaremos a importância de configurar corretamente um servidor de arquivos. E Get-Command -Module FileServer. Explore + Baixe o Guia Definitivo para o Windows Server no Azure no site Guia de Migração do Windows Server/Microsoft Azure. Acesse e consulte a documentação oficial do produto no site Documentação do Windows Server – Microsoft Docs/Microsoft Docs. Acesse conteúdo técnico da Microsoft no site Microsoft Learn/Microsoft Docs. Referências MICROSOFT. Documentação do Windows Server. Microsoft. Consultado na Internet em: 1 dez. 2021. MICROSOFT OFFICIAL COURSE. WS-011T00: Windows Server 2019 Administration. Microsoft Books, 2018. Consultado na internet em: 16 dez. 2021. ZACKER, C. Exam Ref 70-740: Instalação, Armazenamento e Computação com Windows Server 2016. Porto Alegre: Bookman, 2018. ZACKER, C. Exam Ref 70-412: Instalação e Configuração do Windows Server 2012 R2. Porto Alegre: Bookman, 2015. Material para download Clique no botão abaixo para fazer o download do conteúdo completo em formato PDF. Download material O que você achou do conteúdo? Relatar problema javascript:CriaPDF()
Compartilhar