Instalação e Administração do Windows Server 2008 - Guilherme Lima

Prévia do material em texto

Instalação e Administração do 
Windows Server 2008 
Guilherme Lima 
 MCITP Enterprise Administrator / MCITP Server Administrator 
 5x MCTS / MCSA / MCDST / MCP / TCF / Auditor ISO 20000 
Gerenciamento de Recursos – Servidor de Arquivo 
Gerenciamento de Recursos – Regras de Quotas 
Agenda 
3 3 
Definição de problemas do ambiente de TI 
Fundamentos 
Apresentação do ambiente de soluções 
Administração do domínio – Active Directory 
Administração do domínio – Aplicação de Regras 
Gerenciamento de Recursos – Group Policies 
Entrega do ambiente 
30 
30 
45 
90 
90 
90 
90 
90 
30 
Problema, solução e problema? 
4 
Problema: Instalar 50 máquinas recém compradas na empresa de forma rápida, segura 
e 100% automatizada 
Solução: Instalar sistema gerenciador que instala e configura o ambiente baseado em 
serviços de imagens únicas 
Problema: Qual ferramenta utilizar? 
Ambiente de TI 
5 
Na visão sobre o problema devemos sempre levar em consideração 
algumas variáveis: 
 
 - Tecnologia implementada 
 
 - Ambiente disponível 
 
 - Profissional graduado 
 
 - Tempo 
 
 - Comunicação 
O que será utilizado? Ferramenta, 
Servidor, meio físico e lógico? 
Meu ambiente suporta a solução? É 
preparado para isso? Não irá 
impactar em outro processo/serviço? 
Meu profissional está pronto para 
utilizar essa ferramenta? Ele conhece 
o ambiente? 
Quanto tempo ele levará para 
entregar a solução? 
Mostrar para a empresa o que está 
sendo feito, agregar valor ao trabalho 
da TI 
Atrasos em projetos de TI impactam 
lucratividade das empresas 
 
Segundo a pesquisa da The Economist e da HP, 
em cerca de metade das empresas pesquisadas, 
25% ou mais dos projetos de TI são concluídos 
com atraso; já, em 57% das empresas, em cada 
duas iniciativas de TI, somente uma gera 
resultados de negócios positivos. 
 
Fonte: http://www.itweb.com.br/noticias/index.asp?cod=21481 
Visão da TI 
6 
Liberty Seguros automatiza processo e gera economia 
Com mais de um milhão de clientes, a Liberty Seguros registra 
algo em torno de sete milhões de operações apenas de envio de 
cobrança para instituições financeiras a cada 12 meses. Durante 
cinco anos, a seguradora teve um parceiro para o serviço de 
movimentação eletrônica de documentos (EDI, na sigla em 
inglês) que fazia a interface para troca de arquivos entre a 
empresa e cerca de 15 bancos. No entanto, o provedor 
começava a apresentar pontos de falha. "Colocávamos alguns 
arquivos aqui e eles não chegavam à outra ponta. Assim, a 
cobrança não entrava e era preciso cancelar a apólice", lista 
Carlos Magnarelli, diretor-financeiro da Liberty Seguros, sobre 
as dores de cabeça que as falhas nos trâmites acarretavam. 
 
Fonte: http://www.itweb.com.br/noticias/index.asp?cod=70943 
Projetos de TI mal planejados e divulgados 
7 
Conhecimento ambiente/depto/profissional 
8 
Ambiente: Toda a estrutura necessária para se fornecer acesso a 
informações corporativas utilizando-se segurança, disponibilidade, 
integridade e confidencialidade para o usuário final. 
 
Departamento de TI: Conjunto de profissionais que gerencia a 
informação que é criada/trafegada pela empresa assim como o 
suporte a ela. 
 
Profissional: O RESPONSÁVEL por arquitetar, estudar, escutar, 
descrever, criar, implementar, testar, desenvolver e oferecer suporte a 
toda tecnologia criada ou oferecida. 
Fundamentos 
9 
Perguntas fundamentais SIM NÃO 
A palavra TI te assusta? 
Existe um departamento de TI na sua empresa? 
Sua empresa reconhece o departamento? 
Existem profissionais qualificados/certificados? 
Eles conhecem as formas de tecnologia disponíveis? 
Você conhece formas de melhorar o seu ambiente? 
Existem automatização de algumas tarefas? 
As atividades estão descritas em documentos de qualidade? 
O ambiente está organizado? 
Gerenciamento de Recursos – Servidor de Arquivo 
Gerenciamento de Recursos – Regras de Quotas 
Agenda 
10 10 
Definição de problemas do ambiente de TI 
Fundamentos 
Apresentação do ambiente de soluções 
Administração do domínio – Active Directory 
Administração do domínio – Aplicação de Regras 
Gerenciamento de Recursos – Group Policies 
Entrega do ambiente 
30 
30 
45 
90 
90 
90 
90 
90 
30 
Fundamentos 
11 
¬ Por que existem servidores? 
 
 
¬ Para que eles servem? 
 
 
 
¬ Qual a diferença entre sistemas autônomos e sistemas de rede? 
 
 
- Para gerenciar a comunicação entre diversos computadores e serviços disponíveis 
- Para disponibilizar recursos e serviços para pequenos computadores. 
- Para gerenciar serviços e aplicativos onde vários usuários/serviços precisam ter acesso a 
partir de um ponto único. 
- Para publicar alguns serviços como páginas web, serviços de correio, banco de dados e 
gerenciamento ERP 
- Sistemas autônomos são isolados, por exemplo, softwares de gerência de serviços que 
não fazem troca de acesso ou trafegam informações para outros. 
- Sistemas de rede são agregados, unidos e fazem a troca de informações para gerenciar 
serviços mais complexos e disponibilizam tais dados para clientes ou outros servidores. 
Fundamentos 
12 
¬ O que é um domínio? 
 
 
 
¬ O que é Active Directory? 
 
 
¬ O que é DNS? 
 
 
¬ O que é DHCP? 
 
 
- Um domínio é uma denominação onde se aplica um nome para uma família de recursos 
- Quando um novo equipamento é adicionado a um domínio ele recebe um nome FQDN 
que significa NOME DA MÁQUINA + NOME DO DOMÍNIO 
- É um serviço que descobre e traduz um IP em um nome de máquina, ele é necessário 
pra cada árvore de domínio 
- É um serviço que disponibiliza um IP único por placa de rede de equipamento, e com 
isso o equipamento consegue se comunicar na rede interna. 
- É o serviço que controla a criação / modificação / remoção de usuários, grupos, 
computadores, servidores, contatos e entre outros recursos do domínio. 
Fundamentos 
13 
O primeiro servidor do 
domínio se chama Domain 
Controller 
Os servidores que entram 
logo após no domínio são 
servidores Membros 
Uma árvore de domínio é 
quando se tem mais de um 
servidor por domínio 
Quando se adiciona mais de 
um domínio interligado 
temos uma nova floresta 
CONTOSO.CORP 
SP.CONTOSO.CORP RJ.CONTOSO.CORP 
Gerenciamento de Recursos – Servidor de Arquivo 
Gerenciamento de Recursos – Regras de Quotas 
Agenda 
14 14 
Definição de problemas do ambiente de TI 
Fundamentos 
Apresentação do ambiente de soluções 
Administração do domínio – Active Directory 
Administração do domínio – Aplicação de Regras 
Gerenciamento de Recursos – Group Policies 
Entrega do ambiente 
30 
30 
45 
90 
90 
90 
90 
90 
30 
Ambiente 
15 
Você foi convidado a trabalhar em uma empresa de 15 funcionários do 
ramo contábil. Nessa empresa existe a seguinte estrutura: 
Ambiente 
16 
Na sua análise do ambiente foi encontrado o seguinte: 
1- As máquinas comunicam 
umas com as outras e 
transferem muitos 
documentos importantes, 
além de músicas e 
apresentações sem conteúdo 
corporativo. 
2- As pastas de documentos 
importantes do financeiro são 
acessíveis por qualquer 
funcionário assim como sua 
cópia e modificação dos 
mesmos 
3- Durante uma crise da 
empresa vários 
funcionários sabiam da 
decisão de corte de ativos 
antes mesmo dos sócios 
divulgarem os resultados. 
4- Não existem modelos de 
diretivas nas máquinas, 
todos fazem o que 
querem, e instalam várias 
ferramentas sem 
permissão para tal. 
Ambiente – Problemas Diretos 
17 
Nossos problemas diretos nos são apresentados pelos sócios daempresa, portanto uma visão do problemas diretos. 
Vamos rever os problemas? 
 
1- As máquinas comunicam umas com as outras e transferem muitos documentos 
importantes, além de músicas e apresentações sem conteúdo corporativo. 
 
2- As pastas de documentos importantes do financeiro são acessíveis por qualquer 
funcionário assim como sua cópia e modificação dos mesmos 
 
3- Durante uma crise da empresa vários funcionários sabiam da decisão de corte de 
ativos antes mesmo dos sócios divulgarem os resultados. 
 
4- Não existem modelos de diretivas nas máquinas, todos fazem o que querem, e 
instalam várias ferramentas sem permissão para tal. 
Ambiente – Problemas Indiretos 
18 
Sua visão analítica indica problemas indiretos e que podem acontecer a qualquer momento. 
Quais são eles? 
 
1- As máquinas comunicam umas com as outras e transferem muitos documentos importantes, além de 
músicas e apresentações sem conteúdo corporativo. 
Existe a possibilidade de transferência de vírus? Acessos indevidos a arquivos, apagamento ou 
modificação intencional ou não? 
 
2- As pastas de documentos importantes do financeiro são acessíveis por qualquer funcionário assim 
como sua cópia e modificação dos mesmos. 
Quem deve acessar os arquivos? existe hierarquia da empresa e no departamento? 
 
3- Durante uma crise da empresa vários funcionários sabiam da decisão de corte de ativos antes mesmo 
dos sócios divulgarem os resultados. 
Existe possibilidade de vazamento de informação? É possível que alguém tenha modificado os arquivos 
para benefício próprio? Existe acesso às informações dos clientes? 
 
4- Não existem modelos de diretivas nas máquinas, todos fazem o que querem, e instalam várias 
ferramentas sem permissão para tal. 
É possível bloquear essa ação? Controlar quem pode fazer o que? 
Ambiente 
19 
Para resolver os nossos problemas precisamos conhecer as 
possibilidades, vamos dividir o problema? 
 
1- Desenhar um novo ambiente 
2- Instalar um ou dois servidores 
3- Denominar usuários de acesso para cada um 
4- Criar grupos de controle de acesso 
5- Criar um servidor de arquivos para controle de acesso 
6- Aplicar regras de controle de acesso 
7- Bloquear a ação de funcionários mal intencionados 
Ambiente – Novo desenho 
20 
1- Desenhar um novo ambiente 
1- Adicionado um servidor 
de autenticação de domínio 
2- Adicionado um servidor 
de arquivos 
Ambiente – Novo desenho 
21 
1- Qual versão do Windows vamos usar? 
1- A versão do Windows que devemos utilizar precisa contemplar um serviço 
estável, que possa gerenciar mais de 15 funcionários, suportar acessos 
simultâneos, disponibilidade, confidencialidade, integridade e crescimento 
esperado para os próximos anos. 
2- Deve suportar a adição de novas máquinas, usuários e suporte a 
ferramentas de gerenciamento de políticas de máquinas, gerenciamento de 
usuários e gerenciamento de arquivos 
Você conhece as versões do Windows Server? 
Edições do Windows Server 2008 
22 
Existem 9 versões do Windows Server 2008, elas variam de acordo 
com a finalidade, preço e suporte proporcionado. 
Edição Resumo 
Recomendado para pequenas e médias empresas para 
suportar os principais serviços de regras disponíveis. 
Estabilidade dos sistemas porém com limitação de 
recursos. 
O Windows Server 2008 Enterprise oferece uma 
plataforma de nível corporativo para a implantação de 
aplicações críticas, além de proporcionar maior 
disponibilidade com os recursos de cluster e “hot-add” 
de processador. A edição oferece maior segurança e 
recursos consolidados de gerenciamento de identidades 
e reduz os custos de infraestrutura por meio da 
consolidação das aplicações com direitos de licença para 
virtualização. O Windows Server 2008 Enterprise fornece 
as bases para uma infraestrutura de TI altamente 
dinâmica e escalonável. 
Edições do Windows Server 2008 
23 
Edição Resumo 
O Windows Server 2008 Datacenter oferece uma 
plataforma de nível corporativo para implantação de 
aplicações críticas e virtualização em larga escala de 
pequenos e grandes servidores, além de proporcionar 
maior disponibilidade com os recursos de cluster e 
particionamento dinâmico de hardware. A edição reduz 
os custos de infra-estrutura por meio da consolidação 
das aplicações com direitos ilimitados de licença para 
virtualização e permite o escalonamento de 2 a 64 
processadores. O Windows Server 2008 Datacenter 
fornece as bases para a construção de soluções de 
escalabilidade vertical e virtualização de nível 
corporativo. 
Projetado com a finalidade única de ser um servidor 
Web, o Windows Web Server 2008 apresenta uma base 
sólida de recursos de infra-estrutura Web. A integração 
com os componentes re-projetados IIS 7.0, ASP.NET e 
Microsoft .NET Framework, permite a qualquer 
organização implantar rapidamente páginas, sites, 
aplicações e serviços Web. 
Edições do Windows Server 2008 
24 
Edição Resumo 
O Windows Server 2008 for Itanium-based Systems (para 
sistemas baseados em Itanium) foi otimizado para 
aplicativos de bancos de dados de grande porte e de 
gestão de negócios (LOB), bem como para aplicativos 
clientes, fornecendo alta disponibilidade e escalabilidade 
para suportar até 64 processadores, a fim de atender às 
necessidades de soluções exigentes e de missão crítica. 
O Windows Server 2008 é mais sólido sistema 
operacional Windows Server já lançado. Ele foi projetado 
para aumentar a confiabilidade e a flexibilidade da infra-
estrutura de seus servidores à medida que ajuda a 
reduzir custos e a ganhar tempo. Poderosas ferramentas 
proporcionam maior controle sobre os servidores, bem 
como tarefas de gerenciamento e configuração 
simplificadas. Somado a isso, os recursos de segurança 
aprimorados agem na proteção do sistema operacional 
para proteger a rede e os dados, fornecendo uma base 
sólida e altamente confiável. Este produto não contém o 
Windows Server Hyper-V. 
Edições do Windows Server 2008 
25 
Edição Resumo 
O Windows Server 2008 Enterprise é uma plataforma de nível 
corporativo para a implantação de aplicações críticas, além de 
proporcionar maior disponibilidade com os recursos de cluster e 
“hot-add” de processador. A edição oferece maior segurança e 
recursos consolidados de gerenciamento de identidade e reduz os 
custos de infra-estrutura por meio da consolidação de aplicações 
com direitos de licença para virtualização. O Windows Server 2008 
Enterprise fornece as bases para uma infra-estrutura de TI 
altamente dinâmica e escalonável. Este produto não inclui o 
Windows Server Hyper-V. 
O Windows Server 2008 Datacenter oferece uma plataforma de 
nível corporativo para implantação de aplicações críticas e 
virtualização em larga escala de pequenos e grandes servidores, 
além de proporcionar maior disponibilidade com os recursos de 
cluster e particionamento dinâmico de hardware. A edição reduz 
os custos de infra-estrutura por meio da consolidação dos 
aplicativos com direitos ilimitados de licença para virtualização e 
permite o escalonamento de 2 a 64 processadores. O Windows 
Server 2008 Datacenter fornece as bases para a construção de 
soluções de escalabilidade vertical e virtualização de nível 
corporativo. Este produto não inclui o Windows Server Hyper-V. 
Edições do Windows Server 2008 
26 
Edição Resumo 
Edição voltada para redes com até 15 usuários, o 
Windows Server 2008 Foundation é uma plataforma 
para capacidades básicas de TI a preço acessível, que 
inclui o compartilhamento de arquivos e impressoras, 
Active Directory, acesso remoto e segurança. Com a 
experiência simples e familiar do Windows, as 
organizações podem manter suas operações com mais 
facilidade. 
Ambiente – Servidor instalado 
28 
Quando precisamos controlar um novo ambiente, é recomendado queseja feita a instalação de novas ações de controle. 
No Windows Server 2008, as ações são divididas em duas partes: 
REGRAS: As regras (Roles) são as modificações mais pesadas do servidor, por 
causa dela o servidor pode ser muito bem diferenciado dos demais suportando 
aplicações específicas como website, correio, banco de dados ou ERP’s. 
RECURSOS: Os recursos (Features) são as menores modificações do ambiente 
que servem para habilitar ou desabilitar opções específicas das regras 
disponíveis. 
Regras disponíveis 
29 
ADUC – Active Directory Users and Computers 
Regra de controle de criação / modificação / remoção de usuários, 
grupos, computadores, servidores, contatos e entre outros recursos do 
domínio. 
 
ADSS – Active Directory Sites and Services 
Regra de comunicação entre servidores de domínio e entre árvores de 
domínio. 
 
ADRMS – Active Directory Right Management Services 
Regra de segurança de ações definidas internamente, serve para 
controle das informações geradas. 
Regras disponíveis 
30 
ADCS – Active Directory Certificate Services 
Serviço de gerência de certificados de segurança aplicados 
internamente no domínio 
 
ADFS – Active Directory Federation Services 
Serviço de controle de usuários que não precisam ser autenticados na 
rede interna. 
 
DCRO – Domain Controller Read Only 
Controlador de domínio que não faz a modificação de recursos 
internos, é responsável apenas para autenticação dos mesmos. 
 
DNS – Domain Name Services 
Serviço de tradução de nomes de computador em IP e vice-vesa. 
Regras disponíveis 
31 
DHCP – Dynamic Hosts Control Protocol 
Serviço de publicação de IPs disponíveis no domínio para 
equipamentos 
 
IIS – Internet Information Services 
Serviço de publicação de páginas Web para publicação interna ou 
externa 
 
WDS – Windows Deployment Services 
Serviço de publicação de Sistemas operacionais disponibilizados 
automaticamente pelo domínio 
 
DFSR – Domain File Services Replication 
Serviço de controle de serviços de servidores de arquivos 
Regras disponíveis 
32 
RDP – Remote Desktop Protocol (antigo TSWeb) 
Serviço de acesso remoto para publicação de desktops 
 
WSUS – Windows Server Update Services 
Serviço de atualizações de segurança para o domínio 
Ambiente – Definição 
33 
Ambiente: Baseado nos seus conhecimentos a versão selecionada foi o Windows Server 
2008 Standard pois é recomendado para pequenas e médias empresas para suportar os 
principais serviços de regras disponíveis. Ela oferece a estabilidade dos sistemas que você 
precisa mas com limitação de alguns recursos. 
Regras: As regras implementadas serão Active Directory para controle dos usuários, DNS 
para resolver nomes de máquinas, DHCP para distribuir IPs e File server para gerenciar os 
recursos de arquivos. 
Ambiente – Prática 1 
 
Na primeira prática podemos escolher: 
 
 
 - Instalar um novo servidor (30 Minutos) 
 
 
 
 - Utilizar um servidor já instalado ( 15 Minuto) 
34 
Ambiente – Novo servidor 
35 
Ambiente – Aperfeiçoamentos 
36 
É possível liberar o mesmo tamanho da memória de um servidor 
Windows Server 2008 com uma simples linha de comando, já que 
servidores não precisam ter a hibernação ativada (e a mesma é 
ativada por padrão) o comando é o seguinte: 
 
 powercfg -h off 
 
Reinicie o servidor e o espaço estará disponível. 
Ambiente – Prática 2 
37 
Faremos a instalação da regra de Active Directory e seus recursos, 
assim como a promoção do primeiro servidor de domínio, chamado 
Domain Controller 
 
Cada servidor deve ser denominado assim: 
Nome do servidor: DCBRBH01 
Nome do domínio: MINHAEMPRESA.corp 
Usuário: Administrator 
Senha: Az12345 
Caracteres inválidos: 
Acentuação: á é í ó ú ã õ â ê ô û à 
Caracteres: ,: / ? ~ [ { ( = + ! @ # $ % ¨ & * 
Espaço: “ ” 
Ambiente – Solução 
38 
O que já foi desenvolvido na solução dos nossos problemas? 
1- Desenhar um novo ambiente 
2- Instalar um ou dois servidores 
3- Denominar usuários de acesso para cada um 
4- Criar grupos de controle de acesso 
5- Criar um servidor de arquivos para controle de acesso 
6- Aplicar regras de controle de acesso 
7- Bloquear a ação de funcionários mal intencionados 
Ambiente – Prática 2 
39 
Faremos a instalação das regras de: 
 
- Active Directory (ADDS, Group Policies) 
- DNS 
- DHCP 
 
Com isso poderemos começar a comunicar no novo domínio e 
controlar o acesso dos usuários e máquinas. 
Fundamentos 
40 
O Active Directory surgiu da necessidade de se ter um único diretório, ou seja, ao invés do usuário ter 
uma senha para acessar o sistema principal da empresa, uma senha para ler seus e-mails, uma senha 
para se logar no computador, e várias outras senhas, com a utilização do AD, os usuários poderão ter 
apenas uma senha para acessar todos os recursos disponíveis na rede. Podemos definir um diretório 
como sendo um banco de dados que armazena as informações dos usuários. 
 
O AD surgiu juntamente com o Windows 2000 Server. Objetos como usuários, grupos, membros dos 
grupos, senhas, contas de computadores, relações de confiança, informações sobre o domínio, unidades 
organizacionais, entre outros, ficam armazenados no banco de dados do AD. 
 
Além de armazenar vários objetos em seu banco de dados, o AD disponibiliza vários serviços, como: 
autenticação dos usuários, replicação do seu banco de dados, pesquisa dos objetos disponíveis na rede, 
administração centralizada da segurança utilizando GPO, entre outros serviços. Esses recursos tornam a 
administração do AD bem mais fácil, sendo possível administrar todos os recursos disponíveis na rede 
centralizadamente. 
 
Para que os usuários possam acessar os recursos disponíveis na rede, estes deverão efetuar o logon. 
Quando o usuário efetua logon, o AD verifica se as informações fornecidas pelos usuários são válidas e 
faz a autenticação, caso essas informações sejam válidas. 
Fundamentos 
41 
O AD é organizado de uma forma hierárquica, com o uso de domínios. Caso uma rede utilize o AD, 
poderá conter vários domínios. Um domínio é nada mais do que um limite administrativo e de segurança, 
ou seja, o administrador do domínio possui permissões somente no domínio, e não em outros domínios. 
As políticas de segurança também se aplicam somente ao domínio, e não a outros domínios. Resumindo: 
diferentes domínios podem ter diferentes administradores e diferentes políticas de segurança. 
 
Ao utilizar os domínios baseados no AD, temos os seguintes recursos: 
 
Logon único : com esse recurso, o usuário necessita fazer apenas um logon para acessar os recursos em 
diversos servidores da rede, inclusive e-mail e banco de dados. 
 
Conta de usuário única : os usuários possuem apenas um nome de usuário para acessar os recursos da 
rede. As contas de usuários ficam armazenadas no banco de dados do AD. 
 
Gerenciamento centralizado : com os domínios baseados no AD, temos uma administração centralizada. 
Todas as informações sobre contas de usuários, grupos e recursos da rede, podem ser administradas a 
partir de um único local no domínio. 
 
Escalonabilidade : os domínios podem crescer a qualquer momento, sem limite de tamanho. A forma de 
administração é a mesma para uma rede pequena ou grande. 
Fundamentos 
42 
Nos domínios baseados no AD, podemos ter dois tipos de servidores: 
 
Controlador de Domínio (DC – Domain Controller) : é o computador que possui o AD instalado, ou seja, 
é um servidor que possui uma cópia da base de dados do AD. Em um mesmo domínio podemos ter mais 
de um Controlador de Domínio. As alterações efetuadas em um DC são replicadas para todos os outros 
DC’s. São os DC’s quem fazem a autenticação dos usuários de um domínio. 
 
Servidor Membro (Member Server) : é um servidor que não possui uma cópiado AD, porém tem acesso 
aos objetos do AD. Não fazem a autenticação dos usuários. 
Os domínios do Windows 2000 podem estar nos seguintes modos: 
 
Native (Nativo) : utilizado em domínios que possuem somente Controladores de Domínio (DC) Windows 
2000. 
 
Mixed (Misto) : utilizado em domínios que possuem Controladores de Domínio (DC) Windows 2000 e 
Windows NT. 
Para a instalação do AD é necessário que o serviço DNS esteja disponível, ou seja, é um pré-requisito 
para a instalação do AD. O AD utiliza o DNS para a nomeação de servidores e recursos, e também para 
resolução de nomes. Caso o serviço DNS não esteja disponível na rede durante a instalação do AD, 
poderemos instalá-lo durante a instalação do AD. 
Fundamentos 
43 
Com a utilização de domínios, podemos fazer com que nossa rede reflita a estrutura de uma empresa. 
Quando utilizamos vários domínios temos o conceito de relação de confiança. A relação de confiança 
permite que os usuários de ambos os domínios acessem os recursos localizados nesses domínios. No 
Windows 2008, as relações de confianças são bidirecionais e transitivas, ou seja, se o domínio X confia no 
domínio Y, e Y confia no domínio W, o domínio X também confia no domínio W. 
Algumas características próprias de cada domínio: 
 
Um domínio armazena informações somente dos objetos do próprio domínio. 
Um domínio possui suas próprias diretivas de segurança. 
Ambiente – Instalar Active Directory 
44 
DNS é a abreviatura de Domain Name System. O DNS é um serviço de resolução de nomes. Toda comunicação entre os 
computadores e demais equipamentos de uma rede baseada no protocolo TCP/IP (e qual rede não é baseada no 
protocolo TCP/IP?) é feita através do número IP. Número IP do computador de origem e número IP do computador de 
destino. Porém não seria nada produtivo se os usuários tivessem que decorar, ou mais realisticamente, consultar uma 
tabela de números IP toda vez que tivessem que acessar um recurso da rede. Por exemplo, você digita 
http://www.microsoft.com/brasil, para acessar o site da Microsoft no Brasil, sem ter que se preocupar e nem saber qual 
o número IP do servidor onde está hospedado o site da Microsoft Brasil. Mas alguém tem que fazer este serviço, pois 
quando você digita http://www.microsoft.com/brasil, o protocolo TCP/IP precisa “descobrir” (o termo técnico é resolver 
o nome) qual o número IP está associado com o endereço digitado. Se não for possível “descobrir” o número IP 
associado ao nome, não será possível acessar o recurso desejado. 
 
O papel do DNS é exatamente este, “descobrir”, ou usando o termo técnico, “resolver” um determinado nome, como 
por exemplo http://www.microsoft.com Resolver um nome significa, descobrir e retornar o número IP associado com o 
nome. Em palavras mais simples, o DNS é um serviço de resolução de nomes, ou seja, quando o usuário tenta acessar um 
determinado recurso da rede usando o nome de um determinado servidor, é o DNS o responsável por localizar e retornar 
o número IP associado com o nome utilizado. O DNS é, na verdade, um grande banco de dados distribuído em milhares 
de servidores DNS no mundo inteiro. 
 
O DNS passou a ser o serviço de resolução de nomes padrão a partir do Windows 2000 Server. Anteriormente, com o NT 
Server 4.0 e versões anteriores do Windows, o serviço padrão para resolução de nomes era o WINS – Windows Internet 
Name Service . Versões mais antigas dos clientes Windows, tais como Windows 95, Windows 98 e Windows Me ainda 
são dependentes do WINS, para a realização de determinadas tarefas. O fato de existir dois serviços de resolução de 
nomes, pode deixar o administrador da rede e os usuários confusos. 
Fundamentos 
45 
Ao tentar acessar um determinado recurso, usando o nome de um servidor, é como se o programa que você está 
utilizando perguntasse ao DNS: 
 
 
 
 
 
 
O DNS pesquisa na sua base de dados ou envia a pesquisa para outros servidores DNS (dependendo de como foram 
feitas as configurações do servidor DNS, conforme descreverei mais adiante). Uma vez encontrado o número IP, o DNS 
retorna o número IP para o cliente: 
 
 
 
 
 
 
Fundamentos 
46 
“Este é o número IP associado com o 
nome tal.” 
“DNS, você sabe qual o endereço 
IP associado com o nome tal?” 
Ambiente – Promover o servidor / DNS 
47 
Fundamentos 
48 
O DHCP é composto de diversos elementos. O servidor DHCP e os clientes DHCP. No servidor DHCP são criados escopos e 
definidas as configurações que os clientes DHCP irão receber. A seguir apresento uma série de termos relacionados ao 
DHCP. Estes termos serão explicados em detalhes até o final desta lição. 
Servidor DHCP: É um servidor com o Windows 2000 Server ou com o Windows Server 2003, onde foi instalado e 
configurado o serviço DHCP. Após a instalação de um servidor DHCP ele tem que ser autorizado no Active Directory, 
antes que ele possa, efetivamente, atender a requisições de clientes. O procedimento de autorização no Active 
Directory é uma medida de segurança, para evitar que servidores DHCP sejam introduzidos na rede sem o 
conhecimento do administrador. O servidor DHCP não pode ser instalado em um computador com o Windows 2000 
Professional, Windows XP Professional ou Windows Vista. 
Cliente DHCP: É qualquer dispositivo de rede capaz de obter as configurações do TCP/IP a partir de um servidor DHCP. 
Por exemplo, uma estação de trabalho com o Windows 95/98/Me, Windows NT Workstation 4.0, Windows 2000 
Professional, Windows XP, Windows Vista, uma impressora com placa de rede habilitada ao DHCP e assim por diante. 
Escopo: Um escopo é o intervalo consecutivo completo des endereços IP possíveis para uma rede (por exemplo, a faixa 
de 10.10.10.100 a 10.10.10.150, na rede 10.10.10.0/255.255.255.0). Em geral, os escopos definem uma única sub-rede 
física, na rede na qual serão oferecidos serviços DHCP. Os escopos também fornecem o método principal para que o 
servidor gerencie a distribuição e atribuição de endereços IP e outros parâmetros de configuração para clientes na 
rede, tais como o Default Gateway, Servidor DNS e assim por diante. 
Fundamentos 
49 
Intervalo de exclusão: Um intervalo de exclusão é uma sequência limitada de endereços IP dentro de um escopo, 
excluído dos endereços que são fornecidos pelo DHCP. Os intervalos de exclusão asseguram que quaisquer endereços 
nesses intervalos não são oferecidos pelo servidor para clientes DHCP na sua rede. Por exemplo, dentro da faixa 
10.10.10.100 a 10.10.10.150, na rede 10.10.10.0/255.255.255.0 de um determinado escopo, você pode criar uma faixa 
de exclusão de 10.10.10.120 a 10.10.10.130. Os endereços da faixa de exclusão não serão utilizados pelo servidor 
DHCP para configurar os clientes DHCP. 
Pool de endereços: Após definir um escopo DHCP e aplicar intervalos de exclusão, os endereços remanescentes 
formam o pool de endereços disponíveis dentro do escopo. Endereços em pool são qualificados para atribuição 
dinâmica pelo servidor para clientes DHCP na sua rede. No nosso exemplo, onde temos o escopo com a faixa 
10.10.10.100 a 10.10.10.150, com uma faixa de exclusão de 10.10.10.120 a 10.10.10.130, o nosso pool de endereços é 
formado pelos endereços de 10.10.10.100 a 10.10.10.119, mais os endereços de 10.10.10.131 a 10.10.10.150. 
Superescopo: Um superescopo é um agrupamento administrativo de escopos que pode ser usado para oferecer 
suporte a várias subredes IP lógicas na mesma subrede física. Os superescopos contêm somente uma lista de escopos 
associados ou escopos filho que podem ser ativados em conjunto. Os superescopos não são usados para configurar 
outros detalhes sobre o uso de escopo. Para configurar a maioria das propriedades usadas em um superescopo, você 
precisa configurar propriedades de cada escopo associado, individualmente. Por exemplo, se todos os computadores 
devem receber o mesmonúmero IP de Default Gateway, este número tem que ser configurado em cada escopo, 
individualmente. Não tem como fazer esta configuração no Superescopo e todos os escopos (que compõem o 
Superescopo), herdarem estas configurações. 
Fundamentos 
50 
Reserva: Você usa uma reserva para criar uma concessão de endereço permanente pelo servidor DHCP. As reservas 
asseguram que um dispositivo de hardware especificado na subrede sempre pode usar o mesmo endereço IP. A 
reserva é criada associada ao endereço de Hardware da placa de rede, conhecido como MAC Address. No servidor 
DHCP você cria uma reserva, associando um endereço IP com um endereço MAC. Quando o computador (com o 
endereço MAC para o qual existe uma reserva) é inicializado, ele entre em contato com o servidor DHCP. O servidor 
DHCP verifica que existe uma reserva para aquele MAC Address e configura o computador com o endereço IP 
associado ao MAC Address. Caso haja algum problema na placa de rede do computador e a placa tenha que ser 
substituída, mudará o MAC Address e a reserva anterior terá que ser excluída e uma nova reserva terá que ser criada, 
utilizando, agora, o novo Mac-Address. 
Tipos de opção: Tipos de opção são outros parâmetros de configuração do cliente que um servidor DHCP pode atribuir 
aos clientes. Por exemplo, algumas opções usadas com frequência incluem endereços IP para gateways padrão 
(roteadores), servidores WINS (Windows Internet Name System) e servidores DNS (Domain Name System). 
Geralmente, esses tipos de opção são ativados e configurados para cada escopo. O console de Administração do 
serviço DHCP também permite a você configurar tipos de opção padrão que são usados por todos os escopos 
adicionados e configurados no servidor. A maioria das opção é predefinida através da RFC 2132, mas você pode usar o 
console DHCP para definir e adicionar tipos de opção personalizados, se necessário. 
Concessão: Uma concessão é um período de tempo especificado por um servidor DHCP durante o qual um 
computador cliente pode usar um endereço IP que ele recebeu do servidor DHCP (diz-se atribuído pelo servidor 
DHCP). Uma concessão está ativa quando ela está sendo utilizada pelo cliente. Geralmente, o cliente precisa renovar 
sua atribuição de concessão de endereço com o servidor antes que ela expire. Uma concessão torna-se inativa quando 
ela expira ou é excluída no servidor. A duração de uma concessão determina quando ela irá expirar e com que 
frequência o cliente precisa renová-la no servidor. 
Ambiente – Promover o servidor / DNS 
51 
Ambiente – Instalar DHCP 
52 
Ambiente – Solução 
53 
O que já foi desenvolvido na solução dos nossos problemas? 
1- Desenhar um novo ambiente 
2- Instalar um ou dois servidores 
3- Denominar usuários de acesso para cada um 
4- Criar grupos de controle de acesso 
5- Criar um servidor de arquivos para controle de acesso 
6- Aplicar regras de controle de acesso 
7- Bloquear a ação de funcionários mal intencionados 
Gerenciamento de Recursos – Servidor de Arquivo 
Gerenciamento de Recursos – Regras de Quotas 
Agenda 
54 54 
Definição de problemas do ambiente de TI 
Fundamentos 
Apresentação do ambiente de soluções 
Administração do domínio – Active Directory 
Administração do domínio – Aplicação de Regras 
Gerenciamento de Recursos – Group Policies 
Entrega do ambiente 
30 
30 
45 
90 
90 
90 
90 
90 
30 
Active Directory - Segmentação 
55 
Para organização do ambiente é preciso criar novas pastas de gerência 
e aplicação de regras, para isso, as Organizational Units (OU) ou 
unidades organizacionais são criadas. Para o nosso ambiente faremos 
a seguinte criação de estrutura organizacional: 
Quando iniciarmos a criação de políticas de 
controle das máquinas, temos que ter OU’s 
separadas e organizadas. 
Ambiente – Criar Organizational Units 
56 
Ambiente – Criação de usuários e grupos 
57 
Para começar a gerenciar a nossa rede, faremos a criação de usuários 
e grupos do nosso domínio, para isso, crie as seguinte entidades: 
Nome do usuário Senha 
SOCIO1 Nice123 
SOCIO2 Nice123 
SOCIO3 Nice123 
FINAN1 Nice123 
FINAN2 Nice123 
FINAN3 Nice123 
USER1 Nice123 
USER2 Nice123 
USER3 Nice123 
Seu nome Nice123 
Nome do grupo Membros 
S-SOCIOS-RW SOCIO1, SOCIO2 
S-SOCIOS-RO SOCIO3 
S-FINAN-RW FINAN1, FINAN2 
S-FINAN-RO FINAN3 
S-USERS-RW USER1, USER2 
S-USERS-RO USER3 
S-TODOS-RW Seu usuário 
Ambiente – Criar usuários e grupos 
58 
Ambiente – Prática 3 
59 
Inserir computador no domínio: 
Para inserir um computador no domínio, faça logon no cliente (XP) 
com a conta administrativa abaixo e siga as instruções para inseri-lo. 
Caracteres inválidos: 
Acentuação: á é í ó ú ã õ â ê ô û à 
Caracteres: ,: / ? ~ [ { ( = + ! @ # $ % ¨ & * 
Espaço: “ ” 
Usuário: administrador 
Senha: Az12345 
Nome: PC01 
Domínio: MINHAEMPRESA.CORP 
Ambiente – Inserir clientes no domínio 
60 
Ambiente – Inserir clientes no domínio 
61 
Ambiente – Aperfeiçoamentos 
62 
Por padrão um domínio Windows 2000/2003/2008 colocam todos os usuários criados e computadores 
que se juntam ao domínio nos containers Users e Computers, respectivamente. 
Se você quiser implantar políticas de grupo, isto é um problema, já que Conteiners não suportam a 
aplicação de políticas de grupo. Políticas de grupo só podem ser aplicadas à Unidades Organizacionais. 
Como vimos no artigo sobre políticas de grupo, não é saudável aplicar politicas de grupo para o domínio 
inteiro. Sendo assim, ou você move, manualmente ou via script, os usuário e computadores para a OU em 
que a política está aplicada ou usa os comandos: 
 
 * redircmp para mudar o conteiner padrão onde novos computadores são criados. 
 Sintaxe: redircmp ou=nome_da_ou,dc=dominio,dc=meu 
 
 * redirusr para mudar o conteirner padrão onde novos usuários são criados. 
 Sintaxe: redirusr ou=nome_da_ou,dc=dominio,dc=meu 
 
 
Observações: 
 * Este comando só para a partir do Windows Server 2003. 
 * O Active Directory deve estar com o Domain Functional Level como Windows Server 2003 
Ambiente – Aperfeiçoamentos 
63 
Ambiente – Definição 
64 
O que já foi desenvolvido na solução dos nossos problemas? 
1- Desenhar um novo ambiente 
2- Instalar um ou dois servidores 
3- Denominar usuários de acesso para cada um 
4- Criar grupos de controle de acesso 
5- Criar um servidor de arquivos para controle de acesso 
6- Aplicar regras de controle de acesso 
7- Bloquear a ação de funcionários mal intencionados 
Gerenciamento de Recursos – Servidor de Arquivo 
Gerenciamento de Recursos – Regras de Quotas 
Agenda 
65 65 
Definição de problemas do ambiente de TI 
Fundamentos 
Apresentação do ambiente de soluções 
Administração do domínio – Active Directory 
Administração do domínio – Aplicação de Regras 
Gerenciamento de Recursos – Group Policies 
Entrega do ambiente 
30 
30 
45 
90 
90 
90 
90 
90 
30 
Prática 4 – Instalação File Server 
66 
Gerenciamento de Recursos – Servidor de Arquivo 
Gerenciamento de Recursos – Regras de Quotas 
Agenda 
67 67 
Definição de problemas do ambiente de TI 
Fundamentos 
Apresentação do ambiente de soluções 
Administração do domínio – Active Directory 
Administração do domínio – Aplicação de Regras 
Gerenciamento de Recursos – Group Policies 
Entrega do ambiente 
30 
30 
45 
90 
90 
90 
90 
90 
30 
File Services 
68 
Os servidores de arquivos baseiam-se em duas gerências: 
 
Gerência de compartilhamento 
Quando compartilhamos uma pasta, estamos permitindo que o seu conteúdo seja acessado 
através da rede. Quando uma pasta é compartilhada, os usuários podemacessá-la através da 
rede, bem como o todo o conteúdo da pasta que foi compartilhada. Por exemplo, poderíamos 
criar uma pasta compartilhada onde seriam colocados documentos, orientações e manuais, 
de tal forma que estes possam ser acessados por qualquer estação conectada a rede. 
 
Gerência de segurança 
Uma das principais vantagens de se utilizar segurança é que ele permite que sejam definidas 
permissões de acesso para arquivos e pastas, isto é, posse ter arquivos em uma mesma pasta, 
com permissões diferentes para usuários diferentes. Além disso, as permissões NTFS têm 
efeito localmente, isto é, mesmo que o usuário faça o logon no computador onde um 
determinado arquivo existe, se o usuário não tiver as permissões NTFS necessárias, ele não 
poderá acessar o arquivo. Isso confere um alto grau de segurança, desde que as permissões 
NTFS sejam configuradas corretamente. 
File Services – Compartilhamento 
69 
Acima está uma pasta compartilhada através da figura de uma "mãozinha" , segurando a pasta. 
 
Importante: Permissões de compartilhamento, não impedem o acesso ao conteúdo da pasta localmente, isto é, se um 
usuário fizer o logon no computador onde está a pasta compartilhada, este usuário terá acesso a todo o conteúdo da 
pasta, a menos que as "Permissões NTFS" estejam configurados de acordo. Permissões NTFS é assunto para daqui a 
pouco. Vamos falar de um jeito diferente: Permissões de compartilhamento somente tem efeito quando o usuário está 
acessando a pasta através da rede, para acesso local, no próprio computador onde está a pasta, as permissões de 
compartilhamento não tem nenhum efeito, é como se não existissem. 
 
Ao criarmos um compartilhamento em uma pasta, por padrão o Windows 2008 Server atribui a permissão "Controle 
total" para o grupo "Todos", que conforme o nome sugere, significa qualquer usuário com acesso ao computador, seja 
localmente, seja pela rede. Por isso ao criar um compartilhamento, já devemos configurar as permissões necessárias, a 
menos que estejamos compartilhando uma pasta de domínio público, onde todos os usuários possam ter Controle total 
sobre os arquivos e subpastas da pasta compartilhada. 
Grupo: Permissão 
Socios: Acesso total 
Financeiro: Somente Leitura 
IMPORTANTE: As permissões definem o que 
o usuário pode fazer com o conteúdo de 
uma pasta compartilhada, desde somente 
leitura, até um controle total sobre o 
conteúdo da pasta compartilhada. 
Existem três níveis de permissões de compartilhamento, conforme descrito a seguir: 
File Services – Compartilhamento 
70 
Leitura: Permite ao usuário exibir a listagem de pastas e arquivos, ler o conteúdo de arquivos e executar programas. O 
usuário também pode verificar os atributos dos arquivos e navegar através das pastas e subpastas. O usuário não pode 
alterar nem eliminar arquivos ou pastas. Também não é permitido criar novos arquivos ou pastas. 
 
OBS.: Pastas e arquivos possuem atributos, que o Windows 2008 Server utiliza para gerenciamento. Por exemplo, 
existe um atributo "Leitura", que uma vez marcado torna o arquivo somente leitura, isto é, não podem ser feitas 
alterações no arquivo. Para ver os atributos de um arquivo ou pasta, basta dar um clique com o botão direito do mouse 
sobre o arquivo ou pasta, e no menu que surge dê um clique na opção "Propriedades", e o Windows 2000 Server exibe 
uma janela onde é possível verificar e modificar os atributos do arquivo ou pasta, desde que o usuário tenha as 
devidas permissões. 
Alteração: Permite ao usuário criar pastas, criar novos arquivos, alterar arquivos, alterar os atributos dos arquivos, 
eliminar arquivos e pastas, mais todas as ações para a permissão de Leitura. Não permite que sejam alteradas 
permissões dos arquivos nem alterações no usuário "dono" dos arquivos e pastas. 
 
OBS.: No Windows 2000 Server, objetos como pastas e arquivos possuem um "dono", o qual normalmente é o usuário 
que cria a pasta ou arquivo. Falaremos mais sobre o dono do arquivo mais adiante. 
Controle total: Permite ao usuário alterar as permissões dos arquivos e tornar-se dono de pastas e arquivos criados por 
outros usuários, além de todas as ações para a permissão Alteração. 
Qual o direito do usuário Socio1? 
O que acontece quando um usuário pertence a mais de um grupo?? 
 
Quando um usuário pertence, por exemplo, a dois grupos e os dois grupos recebem permissão para acessar um 
compartilhamento, sendo que os dois grupos possuem permissões diferentes, por exemplo, um tem permissão de 
Leitura e o outro de Alteração, como é que ficam as permissões do usuário que pertence aos dois grupos? 
 
Para responder a esta questão, considere o seguinte: "Quando um usuário pertence a mais de um grupo, cada qual com 
diferentes níveis de permissões para uma pasta compartilhada, o nível de permissão para o usuário que pertence a mais 
de um grupo, é a combinação das permissões atribuídas aos diferentes grupos". 
 
No nosso exemplo, o usuário pertence a dois grupos, um com permissão de somente leitura e outro com permissão de 
alterações. A nível de permissão do usuário é de alterações, pois é a soma das permissões dos dois grupos 
File Services – Compartilhamento 
71 
Grupo: Permissão 
Socios: Alteração 
Financeiro: Somente Leitura 
usuário: Socio1 
Grupo: S-Socios-RW 
Grupo: S-Socios-RO 
Alteração 
Qual o direito do usuário Socio1? 
Negar têm precedência sobre quaisquer outras permissões: Vamos considerar o 
exemplo do usuário que pertence a três grupos. Se em um dos grupos ele tiver 
permissão de leitura e em outro grupo permissão de alteração. Mas se para o 
terceiro grupo, for "negado" o acesso à pasta compartilhada, o usuário terá o acesso 
negado, uma vez que "Negar" tem precedência sobre quaisquer outras permissões, 
conforme indicado 
File Services – Compartilhamento 
72 
Grupo: Permissão 
Socios: Alteração 
Financeiro: Somente Leitura 
Especial: Negar leitura 
usuário: Socio1 
Grupo: S-Socios-RW 
Grupo: S-Socios-RO 
Bloqueio a leitura 
File Services – Segurança 
73 
Um sistema de arquivos determina a maneira como o Windows 2008 Server organiza e recupera as 
informações no Disco rígido ou em outros tipos de mídia. O Windows 2008 Server reconhece os seguintes 
sistemas de arquivos: FAT / FAT32 / NTFS / NTFS 5 
 
O sistema FAT vem desde a época do bom e velho MS-DOS e tem sido mantido por questões de 
compatibilidade. Além disso se você tiver instalado mais de um Sistema Operacional no seu computador, 
alguns sistemas mais antigos (DOS, Windows 3.x e as primeiras versões do Windows 95) somente 
reconhecem o sistema FAT. Com o sistema de arquivos FAT, a única maneira de restringir o acesso ao 
conteúdo de uma pasta compartilhada, é através das permissões de compartilhamento, as quais, 
conforme descrito anteriormente, não terão nenhum efeito se o usuário estiver logado localmente, na 
máquina onde a pasta foi criada. Com a utilização do sistema FAT, alguns recursos avançados, tais como 
compressão, criptografia, auditoria e definição de cotas não estarão disponíveis. 
 
O sistema FAT32 apresenta algumas melhorias em relação ao sistema FAT. Existe um melhor 
aproveitamento do espaço no disco, com consequentemente menor desperdício. Um grande 
inconveniente do sistema FAT32 é que ele não é reconhecido pelo Windows NT 4.0 – Server ou 
Workstation. Com o sistema de arquivos FAT32, a única maneira de restringir o acesso ao conteúdo de 
uma pasta compartilhada, é através das permissões de compartilhamento, as quais, conforme descrito 
anteriormente, não terão nenhum efeito se o usuário estiver logado localmente, na máquina onde a pasta 
foi criada. Com a utilização do sistema FAT32, alguns recursos avançados, tais como compressão, 
criptografia, auditoria e definição decotas não estarão disponíveis. 
File Services – Segurança 
74 
O sistema de arquivos NTFS foi utilizado no Windows NT Server 4.0 e foi mantido no Windows 2000 
Server por questões de compatibilidade. Desde então os as versões 2003 e 2008 mantêm ac 
compatibilidade e aumentam o controle. É um sistema bem mais eficiente do que FAT e FAT32, além de 
permitir uma série de recursos avançados, tais como: 
 
• Permissões de acesso para arquivos e pastas 
 
• Compressão 
 
• Auditoria de acesso 
 
• Partições bem maiores do que as permitidas com FAT e FAT32 
 
• Desempenho bem superior do que com FAT e FAT32 
 
Uma das principais vantagens do NTFS é que ele permite que sejam definidas permissões de acesso para 
arquivos e pastas, isto é, posse ter arquivos em uma mesma pasta, com permissões diferentes para 
usuários diferentes. Além disso, as permissões NTFS têm efeito localmente, isto é, mesmo que o usuário 
faça o logon no computador onde um determinado arquivo existe, se o usuário não tiver as permissões 
NTFS necessárias, ele não poderá acessar o arquivo. Isso confere um alto grau de segurança, desde que 
as permissões NTFS sejam configuradas corretamente. 
File Services – Segurança 
75 
Permissão Nível de Acesso 
Leitura 
Permite ao usuário listar as pastas e arquivos dentro da pasta, permite que 
sejam exibidas as permissões, donos e atributos. 
Gravar 
Permite ao usuário criar novos arquivos e subpastas dentro da pasta, alterar 
os atributos da pasta e visualizar o dono e as permissões da pasta. 
Listar Conteúdo de pastas Permite ao usuário ver o nome dos arquivos e subpastas 
Ler e executar 
Permite ao usuário navegar através das subpastas para chegar a outras pastas 
e arquivos, mesmo que o usuário não tenha permissão de acesso às pastas 
pelas quais está navegando, além disso possui os mesmos direitos que as 
permissões Leitura e Listar Conteúdo de pastas. 
 
Modificar 
Permite ao usuário eliminar a pasta, mais todas as ações permitidas pela 
permissão Gravar e pela permissão Ler e executar. 
Controle total 
Permite que sejam alteradas as permissões, permite ao usuário tornar-se 
dono da pasta, eliminar subpastas e arquivos, mais todas as ações permitidas 
por todas as outras permissões NTFS. 
File Services – Segurança 
76 
Permissão Nível de Acesso 
Leitura 
Permite ao usuário ler o arquivo, permite que sejam exibidas as permissões, 
dono e atributos. 
Gravar 
Permite ao usuário gravar um arquivo com o mesmo nome sobre o arquivo, 
alterar os atributos da pasta e visualizar o dono e as permissões da pasta. 
Ler e executar 
Permite ao usuário executar aplicativos (normalmente programas .exe, .bat ou 
.com), mais todas os direitos da permissão Leitura. 
Modificar 
Permite ao usuário modificar e eliminar o arquivo, mais todas as ações 
permitidas pela permissão Gravar e pela permissão Ler e executar. 
Controle total 
Permite que sejam alteradas as permissões, permite ao usuário tornar-se 
dono do arquivo, mais todas as ações permitidas por todas as outras 
permissões NTFS. 
File Services – Segurança 
77 
Todo arquivo ou pasta em uma unidade formatada com NTFS, possui uma "Lista de controle de acesso 
(Access control list) – ACL. Nessa ACL ficam uma lista de todas as contas de usuários e grupos para os 
quais foi garantido acesso para pasta/arquivo, bem como o nível de acesso de cada um deles. 
 
Existem alguns detalhes que devemos observar sobre permissões NTFS: Permissões NTFS são 
cumulativas, isto é , se um usuário pertence a mais de um grupo, o qual tem diferentes níveis de 
permissão para um recurso, a permissão efetiva do usuário é a soma das permissões. 
 
Permissões NTFS para um arquivo têm prioridade sobre permissões NTFS para pastas: Por exemplo se um 
usuário têm permissão NTFS de escrita em uma pasta, mas somente permissão NTFS de leitura para um 
arquivo dentro desta pasta, a sua permissão efetiva será somente a de leitura, pois a permissão para o 
arquivo tem prioridade sobre a permissão para a pasta. 
 
Negar uma permissão NTFS tem prioridade sobre permitir: Por exemplo, se um usuário pertence a dois 
grupos diferentes. Para um dos grupos foi dado permissão de leitura para um arquivo e para o outro 
grupo foi Negada a permissão de leitura, o usuário não terá o direito de leitura, pois Negar tem 
prioridade sobre Permitir. Agora que já vimos a teoria necessária, vamos praticar um pouco. Nos 
próximos tópicos iremos aprender a compartilhar pastas, atribuir permissões de compartilhamento. 
Iremos aprender a acessar pastas compartilhadas através da rede. Depois vamos trabalhar um pouco 
com as permissões NTFS. 
Prática 5 – Compartilhar pastas 
78 
Gerenciamento de Recursos – Servidor de Arquivo 
Gerenciamento de Recursos – Regras de Quotas 
Agenda 
79 79 
Definição de problemas do ambiente de TI 
Fundamentos 
Apresentação do ambiente de soluções 
Administração do domínio – Active Directory 
Administração do domínio – Aplicação de Regras 
Gerenciamento de Recursos – Group Policies 
Entrega do ambiente 
30 
30 
45 
90 
90 
90 
90 
90 
30 
Aplicação de Quotas 
80 
Para gerenciar o crescimento vegetativo de um servidor de arquivos é 
preciso controlar o quanto pode-se crescer e quais os tamanhos 
disponíveis para os departamentos, usuários e serviços. 
 
Para isso, é possível criar regras para gerenciar os espaços utilizados 
por cada entidade. 
Prática – Aplicação de Quotas 
81 
Gerenciamento de Recursos – Servidor de Arquivo 
Gerenciamento de Recursos – Regras de Quotas 
Agenda 
82 82 
Definição de problemas do ambiente de TI 
Fundamentos 
Apresentação do ambiente de soluções 
Administração do domínio – Active Directory 
Administração do domínio – Aplicação de Regras 
Gerenciamento de Recursos – Group Policies 
Entrega do ambiente 
30 
30 
45 
90 
90 
90 
90 
90 
30 
Fundamentos 
83 
Temos um componente muito importante no Windows 2008 quando falamos em segurança. 
São as diretivas de segurança, as quais utilizamos para proteger a rede em um ambiente 
corporativo. Com as diretivas de segurança podemos definir o que um usuário poderá fazer 
em seu computador e na rede. 
 
As diretivas de segurança de domínio são aplicadas a usuários, computadores, Member 
Servers (Servidores Membros) e Domain Controller (Controladores de Domínio). Um detalhe 
importante é que a GPO só pode ser aplicada em computadores que utilizam o Windows 
2000, Windows XP, Windows 2003, Vista, Windows 2008 ou 7 (Seven). As versões mais antigas 
do Windows (95, 98, ME e NT) não podem utilizar este recurso. 
 
No Windows NT foi introduzido o recurso Police Editor, com o qual era possível definir várias 
configurações das estações de trabalho centralizadamente. Porém esse recurso era bem 
limitado. Com a chegada das GPO’s no Windows 2000, a administração do domínio se tornou 
bem mais fácil. 
Observe que em um domínio no qual os clientes são Windows 9x e 
Windows 2000, deveremos utilizar ambos os recursos: Police Editor 
para configurar os clientes anteriores ao Windows 2000 e a GPO 
para configurarmos os clientes Windows 2000. 
Fundamentos 
84 
As GPO’s possuem configurações que podem ser aplicadas tanto em 
nível de usuário como em nível de computador: 
 
Usuário: as GPO’s aplicadas aos usuários serão carregadas em todos os 
computadores em que o usuário efetuar logon. Essas políticas são 
aplicadas no momento em que o usuário efetuar logon. 
 
Computador: as GPO’s aplicadas aos computadores serão aplicadas no 
computador, independente do usuário que efetuar logon. Essas 
políticas são aplicadas no momento em que o computador for 
inicializado. 
Group Policies 
85 
Cada uma das políticas é subdividida na inicializaçãoda seguinte 
forma: 
Diretivas de computadores: é reconhecida durante a inicialização do computador, é 
aplicada antes do logon do usuário ou após o log off do mesmo. 
Diretiva de usuários: é reconhecida durante o processo de log on do usuário, após o 
logon a máquina comunica com o servidor requisitando as alterações necessárias. 
Prática 5 – Aplicação de GPO 
86 
Ambiente – Entrega 
87 
O que já foi desenvolvido na solução dos nossos problemas? 
1- Desenhar um novo ambiente 
2- Instalar um ou dois servidores 
3- Denominar usuários de acesso para cada um 
4- Criar grupos de controle de acesso 
5- Criar um servidor de arquivos para controle de acesso 
6- Aplicar regras de controle de acesso 
7- Bloquear a ação de funcionários mal intencionados 
Gerenciamento de Recursos – Servidor de Arquivo 
Gerenciamento de Recursos – Regras de Quotas 
Agenda 
88 88 
Definição de problemas do ambiente de TI 
Fundamentos 
Apresentação do ambiente de soluções 
Administração do domínio – Active Directory 
Administração do domínio – Aplicação de Regras 
Gerenciamento de Recursos – Group Policies 
Entrega do ambiente 
30 
30 
45 
90 
90 
90 
90 
90 
30 
Ambiente – Entrega 
89 
O que já foi desenvolvido na solução dos nossos problemas? 
1- Desenhar um novo ambiente 
2- Instalar um ou dois servidores 
3- Denominar usuários de acesso para cada um 
4- Criar grupos de controle de acesso 
5- Criar um servidor de arquivos para controle de acesso 
6- Aplicar regras de controle de acesso 
7- Bloquear a ação de funcionários mal intencionados 
Ambiente - Entrega 
90 
Agora devemos publicar as novidades para a empresa a fim de mostrar 
as qualidades de projetos desenvolvidos com competência, qualidade, 
escalabilidade e controle. 
Obrigado! 
91 
Guilherme Lima 
 MCITP Enterprise Administrator / MCITP Server Administrator 
 5x MCTS / MCSA / MCDST / MCP / TCF / Auditor ISO 20000 
www.solucoesms.com 
www.twitter.com/guilhermelima