[cliqueapostilas.com.br] sistemas operacionais de redes

Prévia do material em texto

1
 
 
 
 
SISTEMA 
OPERACIONAL 
DE REDES I 
 
WINDOWS 2000 
 
 
 
 
 
Eduardo da Silva 
Marcos Laureano 
www.cliqueapostilas.com.br
 2
SUMÁRIO 
1. Visão Geral do Windows 2000 ......................................................................................7 
1.1. Histórico do Sistema Operacional Windows .......................................................7 
1.2. Características Gerais do Windows 2000............................................................7 
1.3. Diferentes Edições do Windows 2000..................................................................8 
1.3.1. Windows 2000 Professional ...........................................................................8 
1.3.2. Windows 2000 Standard Server....................................................................8 
1.3.3. Windows 2000 Advanced Server ..................................................................9 
1.3.4. Windows 2000 Datacenter Server ................................................................9 
2. Conceitos Fundamentais ..............................................................................................11 
2.1. Domínio ...................................................................................................................11 
2.1.1. Grupos de Trabalho Windows 2000 ...........................................................11 
2.1.2. Domínios Windows 2000 ..............................................................................12 
2.2. Serviço de Diretório ...............................................................................................13 
3. Active Directory ..............................................................................................................14 
3.1. Características do Active Directory.....................................................................14 
3.1.1. Escalabilidade ................................................................................................14 
3.1.2. Suporte a Padrões Abertos ..........................................................................14 
3.1.3. DNS..................................................................................................................15 
3.2. Estrutura do Active Directory ...............................................................................15 
3.2.1. Estrutura Lógica .............................................................................................15 
3.2.2. Objetos e Atributos ........................................................................................15 
4. Instalando o Active Directory .......................................................................................18 
5. Administrando Contas de Usuários ............................................................................26 
5.1. Planejando Novas Contas de Usuários .............................................................26 
5.1.1. Convenções para Nomes de Contas de Usuário .....................................26 
5.1.2. Diretrizes para as Senhas ............................................................................27 
5.1.3. Opções de Conta ...........................................................................................27 
5.2. Contas de Usuário Local ......................................................................................29 
5.3. Contas de Usuário do Domínio ...........................................................................30 
5.3.1. Propriedades para Contas de Usuários do Domínio ...............................34 
5.3.2. Cópia de Contas de Usuário do Domínio ..................................................35 
6. Gerenciamento de Grupos ...........................................................................................37 
6.1. Grupos em um Domínio........................................................................................37 
6.1.1. Tipos de Grupos.............................................................................................37 
6.1.2. Escopos de Grupos .......................................................................................37 
6.1.3. Estratégias de Grupos ..................................................................................38 
6.1.4. Criação de Grupos de Domínio ...................................................................38 
7. Segurança do Sistema de Arquivos ...........................................................................41 
7.1. Pastas Compartilhadas.........................................................................................41 
7.1.1. Permissões de Pastas Compartilhadas .....................................................41 
7.1.2. Conexão de Usuários Remotos a Pastas Compartilhadas.....................44 
8. Conexão de Clientes ao Windows 2000 ....................................................................46 
8.1. Configurando Clientes Windows 9x ....................................................................46 
8.2. Configurando Clientes Windows 2000 Professional ........................................48 
9. Visão Geral sobre TCP/IP no Windows 2000 ...........................................................51 
9.1. Endereço IP Dinâmico: DHCP.............................................................................52 
9.2. Endereço IP Estático.............................................................................................53 
9.2.1. Configuração de Endereços IP Estáticos ..................................................53 
9.3. Verificação da Configuração TCP/IP ..................................................................54 
9.3.1. Depurando Problemas com o Protocolo TCP/IP ......................................55 
www.cliqueapostilas.com.br
 3
10. DHCP Service ............................................................................................................56 
10.1. Instalação e Configuração do DHCP Service ...............................................56 
10.1.1. Instalação do DHCP Service .......................................................................56 
10.1.2. Configuração do Servidor DHCP ................................................................57 
10.1.3. Autorização do Servidor DHCP ...................................................................59 
11. WINS............................................................................................................................60 
11.1. Implementação de WINS..................................................................................61 
11.1.1. Considerações sobre Servidores WINS.....................................................61 
11.1.2. Instalação do WINS .......................................................................................62 
11.1.3. Configuração do Servidor WINS .................................................................63 
11.1.4. Configuração de Replicação WINS ............................................................65 
11.1.5. Backup do Banco de Dados WINS .............................................................66 
12. Segurança NTFS .......................................................................................................67 
12.1. Permissões NTFS de Pasta.............................................................................67 
12.2. Permissões NTFS de Arquivo .........................................................................67 
12.3. Múltiplas Permissões NTFS .............................................................................68 
12.4. Concessão de Permissões NTFS ...................................................................68 
12.5. Herança de Permissões ...................................................................................69 
12.6. Mover e Copiar Pastas e Arquivos .................................................................7012.6.1. Copiar Pastas e Arquivos .............................................................................70 
12.6.2. Mover Pastas e Arquivos..............................................................................70 
12.7. Recomendações para Concessão de Permissões NTFS...........................71 
13. Gerenciamento de Impressão .................................................................................72 
13.1. Requisitos para Impressão em Rede .............................................................72 
13.2. Diretrizes para um Ambiente de Impressão em Rede.................................73 
13.3. Instalação de uma Impressora ........................................................................73 
13.4. Configuração de Computadores Clientes ......................................................74 
13.4.1. Clientes Windows 9x ou Windows NT 4.0 .................................................74 
13.5. Compartilhamento de uma Impressora ..........................................................74 
13.6. Prioridades de Impressoras .............................................................................75 
13.7. Permissões para as Impressoras....................................................................76 
14. Gerenciamento de Discos ........................................................................................77 
14.1. Discos Básicos ...................................................................................................77 
14.2. Discos Dinâmicos ..............................................................................................77 
14.3. Criando Partições em Discos Básicos ...........................................................78 
14.4. Atualizando um Disco Básico para Disco Dinâmico ....................................80 
14.4.1. Reverter para um Disco Básico...................................................................81 
14.4.2. Criando Volumes Simples ............................................................................81 
14.4.3. Estendendo Volumes Simples .....................................................................81 
14.5. Tarefas Comuns do Disk Management..........................................................82 
14.5.1. Status do Disco ..............................................................................................82 
14.5.2. Reparando Partições e Volumes.................................................................82 
14.5.3. Excluindo Partições e Volumes ...................................................................82 
14.6. Adicionando Discos ...........................................................................................82 
14.6.1. Adicionando Discos de Outros Computadores .........................................83 
14.6.2. Importando Volumes Completos .................................................................83 
14.7. Desfragmentando Partições.............................................................................83 
14.8. Práticas Recomendadas...................................................................................84 
15. Proteção contra Perda de Dados ............................................................................85 
15.1. Tolerância a Falhas e Recuperação de Desastres ......................................85 
15.2. Sistema de Alimentação Ininterrupta..............................................................85 
15.2.1. Configurações do Serviço UPS ...................................................................85 
www.cliqueapostilas.com.br
 4
15.3. Tipos de Implementações de RAID ................................................................87 
15.3.1. Implementação de RAID de Software ........................................................87 
15.3.2. Implementação de RAID de Hardware.......................................................88 
15.3.3. Implementação de RAID 1 no Windows 2000: Volumes Espelhados...88 
16. Ferramentas para Recuperação de Desastres.....................................................92 
16.1. Opções Avançadas de Inicialização ...............................................................92 
16.2. Recuperando um Computador com o Recovery Console... Erro! Indicador 
não definido. 
16.2.1. Instalando o Recovery Console...................................................................93 
16.2.2. Comandos do Recovery Console ...............................................................93 
16.3. Recuperando um Computador com o Processo de Reparação de 
Emergência.........................................................................................................................94 
16.3.1. Usando o Processo de Reparação de Emergência .................................94 
 
www.cliqueapostilas.com.br
 5
LISTA DE FIGURAS 
 
Figura 1 – Grupo de trabalho Windows 2000 ...................................................................12 
Figura 2 – Domínio Windows 2000.....................................................................................12 
Figura 3 – Estrutura de diretórios em uma partição de disco rígido..............................13 
Figura 4 – Árvore de Domínios Windows 2000 ................................................................16 
Figura 5 – Execução do Dcpromo.......................................................................................18 
Figura 6 – Assistente para instalação do Active Directory..............................................18 
Figura 7 – Criação de um controlador de domínio para um novo domínio ..................19 
Figura 8 – Criação de uma nova árvore.............................................................................19 
Figura 9 – Criação de uma nova floresta...........................................................................20 
Figura 10 – Definição do nome do domínio.......................................................................20 
Figura 11 – Nome NetBIOS do novo domínio...................................................................21 
Figura 12 – Localização do banco de dados e do log de transações ...........................21 
Figura 13 – Localização física da pasta Netlogon............................................................22 
Figura 14 – Mensagem de não localização de um servidor DNS com atualização 
automática.......................................................................................................................22 
Figura 15 – Opção para instalação e configuração de um servidor DNS ....................22 
Figura 16 – Escolha de permissões compatíveis com servidores anteriores ao W2K
..........................................................................................................................................23 
Figura 17 – Definição da senha para o reparo do serviço de diretório .........................23 
Figura 18 – Resumo das informações para criação do Active Directory......................24 
Figura 19 – Tela de início do processo de configuração do Active Directory ..............24 
Figura 20 – Conclusão da instalação do Active Directory...............................................25 
Figura 21 – Reinicialização do computador ......................................................................25 
Figura 22 – Definição dos horários nos quais o usuário pode logar-se........................28 
Figura 23 – Definição de Computadores para Logon ......................................................28 
Figura 24 – Data para expiração da conta ........................................................................29 
Figura 25 – Propriedades do usuário local ........................................................................29 
Figura 26 – Novo usuário local ............................................................................................30 
Figura 27 – Snap-in Local Users and Groups não disponívelem um controlador de 
domínio ............................................................................................................................30 
Figura 28 – Wizard para instalação das Ferramentas Administrativas.........................31 
Figura 29 – Opções de instalação das Ferramentas Administrativas...........................31 
Figura 30 – Instalação dos componentes ..........................................................................31 
Figura 31 – Finalização da instalação ................................................................................32 
Figura 32 – Snap-in Active Directory Users and Computers ..........................................32 
Figura 33 – Caixa para criação de uma nova conta de usuário do domínio...............33 
Figura 34 – Informações complementares para uma nova conta .................................33 
Figura 35 – Finalização da criação de uma nova conta ..................................................34 
Figura 36 – Caixa de propriedades da conta de usuário ................................................35 
Figura 37 – Criação de um novo grupo..............................................................................39 
Figura 38 – Inclusão de participantes em um grupo global ............................................39 
Figura 39 – Seleção de objetos para o grupo global .......................................................40 
Figura 40 – Propriedades do usuário .................................................................................40 
Figura 41 – Pasta compartilhada ........................................................................................41 
Figura 42 – Propriedades do compartilhamento de pasta ..............................................43 
Figura 43 – Permissões padrão para pasta compartilhada ............................................43 
Figura 44 – My Network Places...........................................................................................44 
Figura 45 – Mapeamento de unidade de rede ..................................................................44 
Figura 46 – Comando Run ...................................................................................................45 
www.cliqueapostilas.com.br
 6
Figura 47 – Propriedades de rede do Windows 9x ..........................................................46 
Figura 48 – Seleção do tipo de componente de rede ......................................................46 
Figura 49 – Seleção do cliente de rede da Microsoft.......................................................47 
Figura 50 – Definição da validação de logon no domínio ...............................................47 
Figura 51 – Definição do grupo de trabalho ......................................................................48 
Figura 52 – Definição do controle de acesso ....................................................................48 
Figura 53 – Propriedades de Meu Computador do Windows 2000...............................49 
Figura 54 – Identificação de rede das Propriedades do Meu Computador..................49 
Figura 55 – Alteração da Identificação na Rede (Clientes Windows 2000) .................49 
Figura 56 – Ícone My Network Places................................................................................51 
Figura 57 – Janela Network and Dial-up Connections ....................................................51 
Figura 58 – Caixa de diálogo das propriedades da conexão local ................................51 
Figura 59 – Caixa de diálogo para escolha do tipo de componente de rede ..............52 
Figura 60 – Propriedades do protocolo TCP/IP ................................................................52 
Figura 61 – Caixa de diálogo para configuração de endereço IP estático...................54 
Figura 62 – Caixa de diálogo Windows Components Wizard ........................................57 
Figura 63 – Caixa de diálogo Networking Services .........................................................57 
Figura 64 – Snap-in DHCP...................................................................................................57 
Figura 65 – Auxiliar para criação de escopo .....................................................................58 
Figura 66 – Caixa de diálogo Windows Components Wizard ........................................63 
Figura 67 – Caixa de diálogo Networking Services .........................................................63 
Figura 68 – Criação de um mapeamento estático ...........................................................64 
Figura 69 – Caixa de diálogo New Static Mapping ..........................................................64 
Figura 70 – Rede WAN.........................................................................................................65 
Figura 71 - Configuração de novos parceiros de replicação WINS...............................66 
Figura 72 – Propriedades de segurança de uma pasta ..................................................68 
Figura 73 – Propriedades de segurança de uma pasta ..................................................69 
Figura 74 – Caixa de diálogo para cópia ou exclusão de permissões da pasta pai...70 
Figura 75 – Drivers adicionais .............................................................................................74 
Figura 76 – Compartilhamento de uma impressora.........................................................75 
Figura 77 – Propriedades avançadas da impressora ......................................................75 
Figura 78 – Permissões da impressora .............................................................................76 
Figura 79 – Início da configuração do UPS.......................................................................86 
Figura 80 – Seleção do Fabricante.....................................................................................86 
Figura 81 – Configuração do UPS ......................................................................................86 
www.cliqueapostilas.com.br
 7
1. Visão Geral do Windows 2000 
1.1. Histórico do Sistema Operacional Windows 
A história do Windows inicia em 1985 com o lançamento do Windows 1.0. Tratava-se de uma 
extensão gráfica do MS-DOS e que permitia aos usuários visualizar múltiplas aplicações ao mesmo 
tempo. Além disso, as aplicações podiam utilizar-se de uma área de armazenamento em comum para 
compartilhar dados. 
Windows 2.0 foi anunciado em 1987 e oferecia suporte para os novos processadores Intel 
80286 e para hardware com memória expandida. 
Windows 3.0 foi disponibilizado em 1990, suportando processadores Intel 80386 e provendo 
uma interface gráfica mais fácil de utilizar. 
Windows 3.1, disponibilizado em 1992, incluiu muitas melhorias em relação à versão 3.0. 
Windows for Workgroups 3.11 levou o Windows para o ambiente de redes com a inclusão de 
protocolos e drivers de placas de rede. Ele também permitia a configuração de redes ponto-a-ponto, 
sem a utilização de servidor. 
Em agosto de 1995 a Microsoft disponibilizou o Windows 95 que substituía a estrutura de 
ambiente 16-bits do Windows 3.x por um ambiente 32-bits. O Windows 95 incluía uma nova interface 
gráfica, suporte a Plug-and-Play e muitos recursos para conectividade com redes. Em 1998 foi 
lançado o Windows 98 e no ano 2000 o Windows Millenium. 
Enquanto estes sistemas operacionais foram planejados principalmente para usuários 
domésticos, o Windows NT foi planejado para atender necessidades das empresas, como 
confiabilidade e segurança. 
No início, havia o LAN Manager, que fornecia uma alternativa amigável ao usuário para UNIX 
e para Novell Netware que atendia a redes de pequeno a médio tamanho. Entretanto, o LAN Manager 
e seu sucessor, o Windows NT 3.1, não dominaram rapidamente o mercado. 
Os Windows NT Server 3.5 e 3.51 continuaram a evoluçãoe se tornaram bastantes comuns 
em redes de todos os tamanhos. Próximo do fim do ciclo de vida do produto, a Microsoft lançou um 
suplemento gratuito chamado Internet Information Server 1.0. Esse software introduziu o Windows NT 
no território do UNIX: a Internet. 
O Windows NT Server 4.0 era um sistema operacional aprimorado, especialmente em suas 
capacidades de Internet. No lançamento do produto foi disponibilizado o Internet Information Server 
2.0. A aplicação do Service Pack 3 atualizava o IIS para a versão 3.0 e finalmente a instalação do 
pacote Option Pack produzia o upgrade do IIS para a versão 4.0. 
O próximo passo nesta evolução é o objeto de nosso estudo: o Windows 2000. 
1.2. Características Gerais do Windows 2000 
Windows 2000 é um sistema operacional multi-propósito com suporte integrado para redes 
cliente/servidor e ponto-a-ponto. A família de produtos Windows 2000 foi planejada para aumentar a 
segurança, possibilitar altos níveis de disponibilidade do sistema, e provido para escalabilidade desde 
pequenas redes até grandes redes corporativas. O Windows 2000 incorpora tecnologias que reduzem 
o TCO permitindo às organizações incrementar o valor dos seus investimentos existentes enquanto 
diminuem os custos gerais com computação. Em adição, W2K incorpora suporte à Internet e 
www.cliqueapostilas.com.br
 8
aplicações, baseado no sucesso do Windows NT 4.0 como um sistema operacional servidor para 
aplicações e para a Internet. 
A família Windows 2000 consiste de quatro versões ou edições de sistemas operacionais: 
9 Windows 2000 Professional. 
9 Windows 2000 Standard Server. 
9 Windows 2000 Advanced Server. 
9 Windows 2000 Datacenter Server. 
1.3. Diferentes Edições do Windows 2000 
1.3.1. Windows 2000 Professional 
O sistema operacional confiável para desktops e notebooks corporativos. Projetado para 
usuários da Internet e usuários móveis, o Windows 2000 Professional ajuda a manter os usuários de 
empresas em constante atividade. 
Windows 2000 Professional é o principal sistema operacional desktop para empresas de 
todos os tamanhos. Ele tem uma alta performance, é um sistema operacional desktop corporativo que 
atua como cliente de redes. Além disso, une as melhores características comerciais do Windows 98 e 
a estabilidade do Windows NT Workstation. 
Windows 2000 Professional inclui uma interface de usuário simplificada, capacidades plug 
and play, gerenciamento de força aprimorado e suporte para uma grande quantidade de dispositivos 
de hardware. Em adição, Windows 2000 Professional estende significativamente a gerenciabilidade, 
confiança e segurança do Windows NT em função do seu novo sistema de criptografia de arquivo e 
ferramentas de gerenciamento de aplicações. 
Para utilizar o Microsoft Windows 2000 Professional, é necessário: 
9 133 MHz ou superior compatível com processador Pentium. O Windows 2000 
Professional suporta até 2 processadores simétricos. 
9 64 megabytes (MB) de RAM recomendado (32MB RAM mínimo suportado; 4GB RAM 
máximo). 
9 2 GB Hard Disk com o mínimo de 650 MB disponível. 
9 Unidade de CD-ROM ou DVD. 
9 Placa de vídeo VGA ou superior. 
9 Teclado. 
9 Microsoft Mouse ou compatível (opcional). 
1.3.2. Windows 2000 Standard Server 
Sistema operacional de rede multi-propósito, ideal para ambientes de grupos de trabalho e 
pequenas empresas, o Windows 2000 Server permite que as organizações lancem seus negócios na 
Internet com segurança e de maneira rentável. 
O Windows 2000 Standard Server é um servidor de arquivos, impressão e aplicação, como 
também um servidor de plataforma Web. Contém todas as características do Windows 2000 
Professional e mais as funções específicas de servidor. O centro do Windows 2000 é um conjunto 
completo de serviços de infra-estrutura baseados nos serviços do Active Directory. 
Os serviços do AD centralizam o gerenciamento de usuário, grupos, serviços de segurança e 
recursos de rede. Windows 2000 Server suporta desde sistemas com um único processador até 
www.cliqueapostilas.com.br
 9
sistemas de multiprocessamento simétrico (SMP) com quatro processadores com até 4 GB de 
memória física. Ele inclui as capacidades multifuncionais requeridas para atuar como servidor de 
arquivos, de impressão, de aplicações, de comunicação ou Web, tanto para pequenas redes como 
para grandes corporações com unidades ligadas remotamente. Windows 2000 Server é o ideal para 
aplicações em corporações pequenas a médias. 
Para utilizar o Windows 2000 Server, você precisa: 
9 133 MHz ou superior compatível com processador Pentium. O Windows 2000 Standard 
Server suporta até 4 processadores simétricos. 
9 256 megabytes (MB) de RAM recomendado (128MB RAM mínimo suportado; 4GB RAM 
máximo). 
9 1GB disponível no Hard Disk. 
9 Unidade de CD-ROM ou DVD. 
9 Placa de vídeo VGA ou superior. 
9 Teclado. 
9 Microsoft Mouse ou compatível (opcional). 
1.3.3. Windows 2000 Advanced Server 
A edição separada do Windows 2000 Advanced Server foi projetada para aplicativos de e-
commerce e linha de negócios. Inclui tudo o que está no Windows 2000 Standard Server, mais os 
recursos de disponibilidade e escalabilidade que suportam volumes maiores de usuários e aplicativos 
mais complexos. 
O Windows 2000 Advanced Server é o mais poderoso sistema operacional servidor para 
aplicações ou redes departamentais. Ele inclui o conjunto completo de características do Windows 
2000 Standard Server e adiciona a alta disponibilidade e escalabilidade requeridas para soluções 
corporativas. Windows 2000 Advanced Server suporta oito processadores (SMP) e integra a alta 
disponibilidade provida por clusters, e é o ideal para trabalhos intensivos em bancos de dados. O 
hardware que é projetado para suportar Intel Physical Address Extensions (PAEs) permite ao 
Windows 2000 Advanced Server tomar proveito de mais memória física. 
Para utilizar o Windows 2000 Advanced Server, é necessário: 
9 133 MHz ou superior compatível com processador Pentium. O Windows 2000 Advanced 
Server suporta até 8 processadores simétricos. 
9 256 megabytes (MB) de RAM recomendado (128MB RAM mínimo suportado; 8GB RAM 
máximo). 
9 1GB disponível no Hard Disk. 
9 Unidade CD-ROM ou DVD. 
9 Placa de vídeo VGA ou superior. 
9 Teclado. 
9 Microsoft Mouse ou compatível (opcional). 
1.3.4. Windows 2000 Datacenter Server 
Além de todos os recursos do Advanced Server, o Datacenter Server incluirá maior 
capacidade de processamento e de memória para atender às necessidades de processamento 
intensivo de transações on-line (OLTP), aos grandes armazenamentos de dados e aos grandes 
provedores de serviços de Internet e aplicativos (ISPs e ASPs). 
www.cliqueapostilas.com.br
 10
O Windows 2000 Datacenter Server é a versão mais avançada da família Windows 2000, 
projetado para soluções corporativas de larga escala. O Windows 2000 Datacenter Server é 
otimizado para grandes datawarehouses, simulações de grande escala em ciência ou engenharia, 
processamento de transações on-line (OLTP) e consolidação de projetos. Ele é também ideal para 
Provedores de Serviços Internet (ISP) e hospedeiros de Web sites. O Windows 2000 Datacenter inclui 
todas as características do Windows 2000 Advanced Server, e provê ainda serviços de 
balanceamento de carga e melhorias nos serviços de clustering através do suporte de 4 clusters. Ele 
suporta até 16 processadores (SMP) na caixa e até 32 processadores (SMP) através de versões 
OEM. 
Para utilizar o Windows 2000 Datacenter Server, é necessário: 
9 Pentium III Xeon ou superior. O Windows 2000 Datacenter Server suporta até 32 
processadores simétricos. 
9 256 megabytes (MB) de RAM. 
9 1GB disponível no Hard Disk. 
9 Unidade CD-ROM ou DVD. 
9 Placa de vídeo VGA ou superior. 
9 Teclado. 
9Microsoft Mouse ou compatível (opcional). 
www.cliqueapostilas.com.br
 11
2. Conceitos Fundamentais 
Existem alguns conceitos bastante referenciados em qualquer abordagem do Windows 2000, 
até porque são peças fundamentais para a construção de ambientes baseados neste sistema 
operacional. Vamos conhecer agora dois destes conceitos: Domínio e Serviço de Diretório. 
2.1. Domínio 
Em uma rede baseada na arquitetura ponto-a-ponto (ou peer-to-peer) já sabemos que não 
existe um banco de dados central com as informações de todos os usuários da rede. Por esse motivo 
neste tipo de arquitetura não existe um único computador responsável por administrar os recursos da 
rede e efetuar a autenticação de usuários. Cada computador gerencia seus próprios recursos e 
autentica seus usuários localmente. 
Já em uma rede cliente/servidor uma lista de informações relacionadas com os usuários (os 
nomes, senhas e outras informações a respeito de pessoas autorizadas a utilizar o sistema) é 
mantida de forma centralizada. 
A Microsoft adota uma terminologia própria para referenciar-se a redes Windows 2000 
baseadas nestas duas arquiteturas: grupos de trabalho e domínios. 
2.1.1. Grupos de Trabalho Windows 2000 
Um grupo de trabalho (ou workgroup) é um agrupamento lógico de computadores em rede 
que compartilham recursos, como arquivos e impressoras, sem existir um servidor dedicado, 
responsável pelo gerenciamento e funcionamento da rede. Cada computador Windows 2000 Server1 
ou Professional participantes de um grupo de trabalho mantém um banco de dados de segurança 
local, o qual contém uma lista de contas de usuários e informações de segurança de recurso para 
aquele computador. 
Pelo fato de cada computador em um grupo de trabalho manter um banco de dados de 
segurança local, a administração de contas de usuários e recursos é descentralizada. Um usuário 
precisar ter uma conta em cada computador que necessitar ter acesso. Qualquer mudança na conta 
do usuário (como a troca de senha, por exemplo) precisa ser executada em cada um dos 
computadores do grupo de trabalho que ele utilizar. 
Os grupos de trabalho baseados em Windows 2000 têm as seguintes vantagens: 
9 Não requer um computador rodando Windows 2000 Server para manter as informações 
de segurança centralmente. 
9 É simples para planejar e implementar; ele não requer o extensivo planejamento e 
administração que um domínio exige. 
9 É conveniente para um limitado número de computadores localizados proximamente, 
portanto um grupo de trabalho torna-se impraticável em ambiente com mais de 10 
computadores. 
9 É apropriado para um pequeno grupo de usuários com boa desenvoltura técnica para 
dispensar o trabalho de um administrador para a rede. 
 
 
1 Em um grupo de trabalho, um computador executando Windows 2000 Server é chamado de stand-alone Server. 
www.cliqueapostilas.com.br
 12
BD de
segurança 
local
Windows 2000 
Professional
Windows 2000 
Server
Windows 2000 
Server
BD de 
segurança 
local 
Windows 2000 
Professional
Grupo de Trabalho
Windows 2000 
BD de
segurança 
local
BD de 
segurança 
local 
 
 
 
 
 
 
 
 
 
 
 
 
Figura 1 – Grupo de trabalho Windows 2000 
2.1.2. Domínios Windows 2000 
Um domínio Windows 2000 é um agrupamento lógico de computadores em rede que 
compartilham um banco de dados de segurança centralizado, responsável dentre outras coisas por 
armazenar as informações dos usuários da rede e informações de segurança para o domínio. Este 
banco de dados é conhecido como diretório e é parte do Active Directory, que é o serviço de diretório 
do Windows 2000. 
Em um domínio, o diretório reside em computadores configurados como controladores de 
domínio2 (domains controllers). Um controlador de domínio (domain controller) é um servidor que 
gerencia todas as informações de segurança relacionadas a usuários, interação entre domínios e 
administração centralizada. 
 
Figura 2 – Domínio Windows 2000 
Um domínio não refere-se a uma única localização ou a um tipo específico de configuração 
de rede. Os computadores em um domínio podem estar fisicamente próximos em uma pequena rede 
local (LAN) ou podem estar localizados em diferentes cantos do Mundo, comunicando-se sobre vários 
tipos de conexões (WAN). Os domínios Windows 2000 provêm as seguintes vantagens: 
 
2 No Windows NT, controladores de domínio eram configurados como controladores de reserva (Backup Domain Controller, 
BDC) ou como controladores primários (Primary Domain Controller, PDC). No Windows 2000, existe apenas um tipo de 
controlador de domínio e todos os controladores são pares, ou seja, exercem esta função de forma igualitária. 
Replicação 
Computador 
Cliente
Controlador de 
Domínio
Controlador de 
Domínio
Computador 
Cliente
Domínio 
Windows 
2000
Serviços do 
Active 
Directory
www.cliqueapostilas.com.br
 13
9 Provê administração centralizada porque todas as informações de usuários estão 
armazenadas centralmente. 
9 Provê um processo único de logon para usuário obterem acesso aos recursos da rede, 
como arquivos, impressoras ou aplicações para as quais ele tenha permissão. Um 
usuário pode autenticar-se em um computador (controlador de domínio) e acessar 
recursos em qualquer outro computador do domínio, desde que tenha as permissões 
apropriadas para tal. 
9 Provê escalabilidade para atender desde pequenas redes locais até redes de extensão 
mundial. 
2.2. Serviço de Diretório 
Uma definição sobre diretórios que remonta aos primórdios dos PCs é de que são uma 
estrutura organizacional (geralmente hierárquica) para armazenamento de informações. 
 
Figura 3 – Estrutura de diretórios em uma partição de disco rígido 
Um conceito mais abrangente sobre diretórios define que é um banco de dados hierárquico 
de informações de recursos e serviços. Estes recursos e serviços são organizados sob a forma de 
objetos com propriedades e valores. Os diretórios sempre foram usados para organizar as 
informações a fim de facilitar sua localização quando necessário. No universo das redes esta 
finalidade também é a principal. 
Monitorar tudo em uma rede é uma tarefa demorada. Mesmo em redes pequenas, os 
usuários tendem a ter dificuldades em localizar compartilhamentos de arquivo e impressoras de rede. 
Sem algum tipo de diretório de rede, é impossível gerenciar redes grandes e médias e os usuários 
freqüentemente terão dificuldades em localizar recursos na rede. 
Vamos tentar imaginar a dificuldade de administração que existiria em uma rede sem serviço 
de diretório em uma empresa média que utilize recursos como: um gerenciador de correio eletrônico, 
uma aplicação cliente/servidor que acesse um gerenciador de banco de dados, um servidor proxy 
com autenticação para acesso à Internet. Um usuário deveria possuir uma conta para cada um destes 
recursos além da própria conta para acesso à rede. 
A admissão ou demissão de um funcionário exigiria do administrador da rede a repetição da 
ação de inclusão ou exclusão de usuário em cada uma das aplicações além do próprio sistema 
operacional de rede. A simples alteração de senha de um usuário geraria um trabalho significativo. 
Em uma rede com um serviço de diretório cada conta de usuário seria criada uma única vez. 
Os dados de cada usuário ficariam armazenados em um banco dados do serviço de diretório e seriam 
utilizados pelo gerenciador de correio eletrônico, pelo gerenciador de banco de dados, pelo servidor 
proxy, etc. O usuário seria autenticado pelo sistema operacional da rede uma única vez e seria 
identificado automaticamente por todas estasaplicações. 
www.cliqueapostilas.com.br
 14
3. Active Directory 
Uma das novidades mais comentadas do Windows 2000 foi o Active Directory, o serviço de 
diretório da Microsoft. Na verdade, o AD é oriundo de um acréscimo de uma série de melhorias e 
modificações no serviço de diretório já existente no Windows NT 4.0 (NT Directory Service, NTDS). 
O conceito de domínio, por exemplo, já existia no Windows NT. Mas os domínios do Windows 
NT trabalhavam melhor em ambientes de tamanho pequeno e médio. Os administradores de 
ambientes grandes eram forçados a particionar sua rede em múltiplos domínios interconectados 
através de um recurso chamado relação de confiança. O Active Directory continuará a fazer o 
trabalho dos domínios do Windows NT, porém de uma maneira muito mais eficiente. 
Os serviços do Active Diretory provêm um ponto único para gerenciamento da rede, 
permitindo aos administradores adicionar, remover e realocar usuários e recursos facilmente. 
O AD é a parte mais importante do Windows 2000 e, infelizmente, também a mais complexa. 
Uma de suas complexidades é sua alta difusão, já que virtualmente qualquer recurso importante do 
Windows 2000 requer o AD. 
3.1. Características do Active Directory 
Os serviços do AD organizam recursos hierarquicamente em domínios. Como já visto 
anteriormente, um domínio é um agrupamento lógico de servidores e outros recursos da rede sob um 
nome de domínio simples. O domínio é a unidade básica de replicação e segurança em uma rede 
Windows 2000. 
Cada domínio inclui um ou mais controladores de domínio. Um controlador de domínio é um 
computador com Windows 2000 Server que armazena uma réplica completa do diretório do domínio. 
Para simplificar a administração, todos os controladores de domínio no AD são pares, então é 
possível efetuar mudanças em qualquer controlador de domínio e as atualizações serão replicadas 
para todos os outros controladores no domínio. 
3.1.1. Escalabilidade 
No AD, o diretório armazena informações utilizando partições, as quais são divisões lógicas 
que organizam o diretório em seções e permitem armazenar um grande número de objetos. Portanto, 
o diretório pode expandir-se para acompanhar o crescimento de uma organização, possibilitando a 
existência desde de uma instalação pequena com pouco mais de uma centena de objetos a grandes 
instalações com milhões de objetos. 
3.1.2. Suporte a Padrões Abertos 
Os serviços do AD integram o conceito Internet de espaço de nomes com os serviços de 
diretório do Windows NT. Esta integração permite unificar e gerenciar os múltiplos espaços de nome 
que existem hoje em ambientes heterogêneos de software e hardware de redes corporativas. O AD 
usa Domain Name System (DNS) para seu sistema de nomes e pode trocar informações com 
qualquer aplicação ou diretório que usa Lightweight Directory Access Protocol (LDAP). Os serviços do 
AD também compartilham informações com outros serviços de diretório que suportam LDAP versões 
2 e 3, como o Novell Directory Services (NDS). 
www.cliqueapostilas.com.br
 15
3.1.3. DNS 
Em função do AD usar DNS como sua forma de denominação de domínios e localização de 
serviços, os nomes de domínio do Windows 2000 são também nomes DNS. Windows 2000 Server 
utiliza DNS dinâmico, o qual habilita computadores clientes com associação de endereços 
dinamicamente registrados no servidor DNS e com atualização da tabela também de forma dinâmica. 
O DNS dinâmico pode eliminar a necessidade de outros serviços de nome Internet, como o Windows 
Internet Naming Service (WINS). 
3.2. Estrutura do Active Directory 
O Active Directory provê um método para planejamento de uma estrutura de diretório que 
atenda às necessidades das empresas. Portanto, é preciso examinar a estrutura de negócios e de 
operação da organização antes de instalar os serviços do AD. 
O Active Directory separa a rede em duas estruturas: lógica e física. 
3.2.1. Estrutura Lógica 
Nos serviços do AD você organiza recursos em uma estrutura lógica. O agrupamento lógico 
de recursos possibilita localizar um recurso pelo seu nome ao invés de sua localização física. 
3.2.2. Objetos e Atributos 
Tudo o que o AD rastreia é considerado como um objeto. Um objeto é qualquer usuário, 
sistema, recurso ou serviço rastreado dentro do AD. O termo genérico objeto é utilizado porque o AD 
é capaz de monitorar uma variedade de itens e muitos objetos podem compartilhar atributos comuns. 
Os atributos descrevem objetos no Active Directory. Por exemplo, todos os objetos User 
compartilham atributos para armazenar o nome de um usuário na rede, seu nome completo e uma 
descrição. Os computadores também são objetos, mas têm um conjunto separado de atributos que 
inclui um nome de host, um endereço IP e uma localização. 
Um contêiner é um tipo de objeto especial utilizado para organizar o AD. Ele não representa 
nada físico, como um usuário. Em vez disso, é utilizado para agrupar outros objetos. Os objetos 
contêineres podem ser aninhados dentro de outros contêineres. 
Nos serviços do AD é possível ainda organizar objetos em classes, os quais são 
agrupamentos de objetos. Exemplos de classes de objetos são usuários, grupos, computadores, 
domínios ou unidades organizacionais. 
a. Unidades Organizacionais 
Uma unidade organizacional é um objeto contêiner usado para organizar objetos como contas 
de usuários, grupos, computadores, impressoras, aplicações, compartilhamento de arquivos e outros. 
b. Domínios 
A principal unidade da estrutura lógica nos serviços do AD é o domínio. Grupamentos de 
objetos em um ou mais domínios permite refletir a organização da empresa no ambiente de rede. 
Todos objetos da rede existem dentro de um domínio, e cada domínio armazena informações 
somente dos objetos que ele contém. Teoricamente, um domínio pode conter até 10 milhões de 
objetos, mas 1 milhão de objetos por domínio é o limite testado. 
O acesso aos objetos do domínio é controlado pelas listas de controle de acesso (ACLs, 
Access Control Lists), as quais são formadas com entradas de controle de acesso (ACEs, Access 
www.cliqueapostilas.com.br
 16
Control Entries). Todas as políticas de segurança e configurações, como os direitos administrativos, 
políticas de segurança e as ACLs não atravessam de um domínio para outro. O administrador do 
domínio tem poderes absolutos para definir políticas somente dentro do seu domínio. 
Um domínio geralmente possui os seguintes tipos de computadores: 
9 Controladores de domínio rodando Windows 2000 Server: cada controlador de 
domínio armazena e mantém uma cópia do diretório. 
9 Servidores membros rodando Windows 2000 Server: um servidor membro não 
armazena informações do diretório e não pode autenticar usuários. Servidores membros 
são geralmente usados para prover recursos compartilhados, como arquivos, 
impressoras e aplicativos. 
Computadores clientes rodando Windows 2000 Professional: computadores clientes usados 
para fornecer ao usuário o acesso aos recursos no domínio. 
c. Árvores, Esquema e Catálogo Global 
Uma árvore é um agrupamento ou arranjo hierárquico de um ou mais domínios Windows 
2000 que permite o compartilhamento global de recursos. Uma árvore pode também consistir de um 
único domínio Windows 2000. Contudo é possível criar grandes estruturas através da união de 
múltiplos domínios em uma estrutura hierárquica. 
A figura abaixo apresenta uma árvore formada por um domínio pai (Silva Corporation) e dois 
domínios filhos (Silva do Brasil e Silva das Ilhas Virgens). 
 
Figura 4 – Árvore de Domínios Windows 2000 
Todos os domínios em uma árvore compartilham informações e recursos para funcionarem 
como uma única unidade. Existe somente um diretório em uma árvore, mas cada domíniomantém 
uma parcela do diretório que contém as informações de contas dos seus usuários. Em uma árvore, 
um usuário que autentica-se em um domínio pode usar recursos em outro domínio desde que tenha 
permissões apropriadas para tal. 
O Windows 2000 combina as informações de diretório de todos os domínios em um único 
diretório, o qual torna as informações de cada domínio globalmente acessíveis. Em adição, cada 
domínio automaticamente provê um subconjunto de suas informações nos serviços do AD como um 
índice, que reside nos controladores de domínio. Usuários utilizam este índice para localizar outros 
usuários, computadores, recursos e aplicações através da árvore do domínio. 
Todos os domínios dentro de uma árvore compartilham um esquema, que é uma definição 
formal de todos os tipos de objetos que podem ser armazenados em uma implementação do AD. 
Silva Corporation
Silva do Brasil Silva das Ilhas
Virgens
www.cliqueapostilas.com.br
 17
Além disso, todos os domínios dentro de uma árvore simples compartilham um catálogo global, que é 
um repositório de informações sobre objetos na árvore ou floresta. 
Todos os domínios em uma árvore simples também compartilham um espaço de nomes 
comum e uma estrutura de nomes hierárquica. Um espaço de nomes é um conjunto de regras de 
nomes que provê a estrutura hierárquica, ou caminho, da árvore. Seguindo os padrões DNS, o nome 
de domínio do domínio filho (em uma árvore) é o nome relativo deste domínio anexado ao nome do 
domínio pai. 
d. Florestas 
Uma floresta é um agrupamento de uma ou mais árvores. Florestas permitem que 
organizações agrupem divisões (ou que duas organizações combinem suas redes) que não usam o 
mesmo esquema de nomes, operem independentemente, mas precisem comunicar com a 
organização inteira. 
 
www.cliqueapostilas.com.br
 18
4. Instalando o Active Directory 
Uma das características interessantes no Windows 2000 é o fato da Microsoft ter separado o 
seu processo de instalação do processo de criação de um controlador de domínio. Desta forma é 
possível efetuar a instalação completa do Windows 2000 Server em um computador e posteriormente 
transformá-lo em um controlador de domínio. 
Para converter um servidor do Windows 2000 Server em um controlador de domínio, executa-
se o programa Dcpromo a partir do comando Run no menu Start. 
 
Figura 5 – Execução do Dcpromo 
Um assistente será iniciado que guiará todo processo de instalação do Active Directory. Esse 
assistente poderá ser usado também para rebaixar um controlador de domínio para um servidor 
membro. O assistente fará uma série de perguntas e então, baseado nas respostas, criará uma nova 
árvore, floresta ou domínio ou criará uma réplica de controlador de domínio em um domínio já 
existente. 
 
Figura 6 – Assistente para instalação do Active Directory 
A forma para criar um novo domínio é simples: basta definir uma máquina como o primeiro 
controlador de domínio. A construção do primeiro controlador de domínio de um domínio e a criação 
de um novo domínio são exatamente a mesma coisa. 
www.cliqueapostilas.com.br
 19
 
Figura 7 – Criação de um controlador de domínio para um novo domínio 
Seguindo a opção mostrada na figura anterior, este será o primeiro domínio em uma árvore 
nova, por isso esta deverá ser a opção na próxima caixa de diálogo. 
 
Figura 8 – Criação de uma nova árvore 
Como o Windows 2000 permite a construção de domínios organizados em árvores e árvores 
organizadas em florestas, de forma que, logicamente, o assistente precisará saber onde colocar a 
nova árvore – em uma floresta inteira nova ou em uma floresta já existente. 
www.cliqueapostilas.com.br
 20
 
Figura 9 – Criação de uma nova floresta 
Na tela seguinte será preciso definir o nome do novo domínio. 
 
Figura 10 – Definição do nome do domínio 
A menos que a rede seja 100% baseada no Windows 2000, tanto nos servidores como nas 
estações de trabalho, então a rede contém máquinas rodando softwares de rede escritos para as 
versões anteriores (Windows NT) quando os nomes de domínios não podiam ter mais de 15 
caracteres e não podiam ter qualquer tipo de hierarquia. Por este motivo na caixa de diálogo seguinte 
será definido o nome Net BIOS para este novo domínio, de forma a ser compatível com estes outros 
sistemas operacionais. 
www.cliqueapostilas.com.br
 21
 
Figura 11 – Nome NetBIOS do novo domínio 
O Windows 2000 armazena o banco de dados do Active Directory em duas partes, como 
geralmente ocorre com bancos de dados – o banco de dados propriamente dito e um registro de 
transações. Dois detalhes importantes com relação a esta informação são o fato de que o arquivo de 
banco de dados real do Active Directory deve estar em um volume NTFS para melhor desempenho e 
que é uma boa idéia colocar o registro de transações em um disco rígido diferente do que contém o 
banco de dados do Active Directory. 
A localização dos arquivos que contém o banco de dados do Active Directory e do registro de 
transações é definido na tela mostrada a seguir. 
 
Figura 12 – Localização do banco de dados e do log de transações 
Assim como no Windows NT 4.0, o Windows 2000 também terá uma pasta compartilhada 
com o nome de Netlogon, onde serão armazenadas informações como os arquivos de política do 
sistema, perfis padrão e scripts de login. 
 A localização física desta pasta é definida na tela mostrada a seguir. 
www.cliqueapostilas.com.br
 22
 
Figura 13 – Localização física da pasta Netlogon 
No próximo passo, o programa Dcpromo tentará localizar e contatar um servidor DNS para o 
nome de domínio escolhido (como support.com.br, por exemplo) e determinará ainda se um servidor 
DNS encontrado suporta atualização dinâmica, característica presente no DNS do Windows 2000 
Server. 
O Dcpromo pode não encontrar um servidor DNS para o domínio escolhido ou ainda pode 
encontrar um servidor DNS que não suporta atualização dinâmica. Em qualquer um dos dois casos a 
seguinte mensagem será exibida. 
 
 Figura 14 – Mensagem de não localização de um servidor DNS com atualização automática 
O programa oferece a oportunidade de instalar e configurar um servidor DNS. 
 
Figura 15 – Opção para instalação e configuração de um servidor DNS 
www.cliqueapostilas.com.br
 23
Alguns programas, como o Windows NT Remote Access Service (para acesso remoto de 
usuários a servidores Windows NT) precisam acessar e obter informações do controlador de domínio. 
Se algum programa com esta característica será utilizado na rede deve-se optar pelas Permissões 
compatíveis com servidores pré-Windows 2000. Caso contrário, é importante selecionar a outra 
opção que aumentará o nível de segurança da rede. 
 
Figura 16 – Escolha de permissões compatíveis com servidores anteriores ao W2K 
Uma das opções que aparecem no momento da inicialização do Windows 2000 é a 
reconstrução de um banco de dados do Active Directory danificado para restaurá-lo para uma versão 
anterior consistente internamente, mas que provavelmente não contém as alterações mais recentes. 
Para esta restauração é exigida uma senha, que é definida na seguinte tela. 
 
Figura 17 – Definição da senha para o reparo do serviço de diretório 
A tela seguinte é uma confirmação das informações escolhidas ao longo de todo o processo e 
é uma oportunidade de revisar todas as decisões tomadas para evitar qualquer tipo de engano. 
www.cliqueapostilas.com.br
 24
 
Figura 18 – Resumo das informações para criação do Active Directory 
Uma vez conferidas todas as informações e tendo-se avançado na tela anterior, a seguinte 
tela será exibida por um longo período, que poderá ser de mais de 20 minutosdependendo da 
capacidade do computador. 
Se neste momento for constatado que algum erro tenha sido cometido será necessário: 
9 Aguardar o término deste processo; 
9 Reinicializar o computador; 
9 Executar novamente o Dcpromo para remover o Active Directory; 
9 Reinicializar o computador; 
9 Iniciar novamente o Dcpromo para efetuar uma nova instalação. 
 
Figura 19 – Tela de início do processo de configuração do Active Directory 
Quando o diretório estiver pronto será exibida uma tela avisando sobre o término do processo 
de criação e, em seguida, o computador deverá ser reiniciado. 
www.cliqueapostilas.com.br
 25
 
Figura 20 – Conclusão da instalação do Active Directory 
 
Figura 21 – Reinicialização do computador 
Após a reinicialização, o servidor já será um controlador de domínio. 
www.cliqueapostilas.com.br
 26
5. Administrando Contas de Usuários 
Contas de usuários precisam ser criadas para dar a estes a capacidade de logar-se em um 
domínio para acessar recursos da rede ou logar-se em um computador para acessar recursos locais. 
Uma conta de usuário contém as credenciais exclusivas e é um registro que define este usuário para 
o Windows 2000. Deve incluir o nome e a senha (se requerida), os grupos do qual o usuário é 
membro e os direitos e permissões que o usuário possui para uso do computador e da rede e para 
acesso à recursos. Cada pessoa que utiliza regularmente a rede deve ter uma conta de usuário. 
O Windows 2000 suporta dois tipos de contas de usuários: do domínio e local. Com uma 
conta de usuário do domínio, um usuário pode logar-se em um domínio para ganhar acesso à 
recursos da rede. Com uma conta de usuário local, um usuário pode logar-se em um computador 
específico para ganhar acesso aos recursos daquele computador. 
Além destes dois tipos, o Windows 2000 também provê contas de usuário internas (buit-in 
user accounts), que são usadas para desempenhar tarefas administrativas ou ganhar acesso à 
recursos da rede. As contas de usuário internas são criadas automaticamente durante a instalação do 
Windows 2000 e a instalação do Active Directory. 
5.1. Planejando Novas Contas de Usuários 
Para tornar mais eficiente o processo de gerenciamento das contas de usuários é importante 
adotar e seguir determinadas convenções e diretrizes através do planejamento das seguintes áreas: 
9 Convenções de nomes para as contas de usuário; 
9 Diretrizes para as senhas; 
9 Opções de conta. 
5.1.1. Convenções para Nomes de Contas de Usuário 
A convenção de nomes estabelece como as contas de usuário são identificadas no domínio 
(ou no computador local). Uma convenção de nomes consistente facilita lembrar nomes de logon de 
usuários e localizá-los em listas. Os seguintes aspectos devem ser considerados na determinação de 
uma convenção de nomes para uma organização: 
9 Os nomes de logon para contas de usuário devem ser exclusivos no Active Directory. Os 
nomes completos de contas de usuário de domínio devem ser exclusivos na OU onde a 
conta de usuário foi criada. Os nomes de contas de usuário local devem ser exclusivos no 
computador em que foram criadas. 
9 Os nomes de logon de usuário podem conter até 20 caracteres maiúsculos ou minúsculos 
(não existe diferenciação, mas o Windows 2000 preservará a forma como for digitado). 
Apesar do campo aceitar mais de vinte caracteres, o Windows 2000 só reconhecerá os 
primeiros vinte. Os caracteres não permitidos são: “ / \ [ ] : ; | = , + * ? < > 
9 Se existir um grande número de usuários, a convenção de nomes deve considerar os 
funcionários com nome igual, utilizando tratamentos como: 
ƒ Usar concatenações de nome e sobrenome de forma diferenciada. Por exemplo, se 
existirem dois Pedro Silva, utilizar PedroSil e PedroSilva. 
ƒ Usar números após o nome, como por exemplo Pedro1 e Pedro2. 
www.cliqueapostilas.com.br
 27
9 Em algumas organizações pode ser útil identificar determinados tipos de usuários pela 
sua conta. Para usuários temporários, por exemplo, pode-se acrescentar a letra T e um 
hífen no início do nome da conta de usuário: T-Pedro. 
5.1.2. Diretrizes para as Senhas 
Para proteger o acesso ao domínio ou a um computador, todas as contas de usuário devem 
ter uma senha associada. Estas são as recomendações para o uso de senhas: 
9 Atribuir sempre uma senha para a conta Administrator para impedir o acesso não 
autorizado à conta. Na verdade, é recomendável a alteração do nome da conta 
Administrator. Uma vez que para obter acesso ao domínio é necessário um nome de 
conta e uma senha, um invasor já terá metade do que precisa se a conta Administrator 
permanecer com seu nome padrão. 
9 Determinar se o administrador da rede ou os usuários controlarão as senhas. É possível 
atribuir senhas exclusivas para as contas de usuário e impedir que os usuários as 
alterem, ou então pode-se permitir que os próprios usuários definam suas senhas no 
primeiro logon. 
9 Orientar os usuários para o uso de senhas complexas bem como manter o sigilo sobre 
sua senha. Algumas recomendações: 
ƒ Evitar senhas com associação óbvia, como o próprio nome, sobrenome ou nome de 
alguém da família. 
ƒ Usar senhas longas. As senhas no Windows 2000 podem ter até 128 caracteres, mas 
recomenda-se o tamanho mínimo de 8 caracteres. 
ƒ Usar combinações de letras maiúsculas e minúsculas e caracteres não-alfanuméricos 
permitidos. Os mesmos caracteres não permitidos para nomes de conta também não 
são permitidos nas senhas. 
5.1.3. Opções de Conta 
As opções de conta de usuário controlam a maneira como um usuário acessa o domínio ou 
um computador. É possível, por exemplo, limitar as horas durante as quais um usuário pode efetuar 
logon no domínio e os computadores nos quais ele pode efetuar logon. Também pode-se especificar 
a data de expiração de uma conta de usuário. 
e. Horas de Logon 
É possível definir as horas de logon para os usuários que só precisam de acesso em horários 
específicos. Esta configuração está disponível nas propriedades de cada usuário, através do botão 
‘Logon Hours’ na guia ‘Account’. 
www.cliqueapostilas.com.br
 28
 
Figura 22 – Definição dos horários nos quais o usuário pode logar-se 
f. Computadores Permitidos para Logon3 
Por padrão, os usuários podem efetuar logon em qualquer computador do domínio, mas é 
possível especificar os computadores nos quais os usuários podem efetuar logon. Isso ajuda a 
restringir o acesso a informações armazenadas localmente nos computadores do domínio. Esta 
configuração também está disponível nas propriedades de cada usuário, através do botão ‘Log On 
To’ na guia ‘Accounts’. 
 
Figura 23 – Definição de Computadores para Logon 
g. Expiração de Conta 
A definição de uma data para expiração de uma conta é um recurso bastante útil, 
principalmente para utilização em contas de usuários temporários. Com esta configuração, uma data 
de expiração para a conta é definida e, a partir desta data, o usuário não obtém mais acesso à rede. 
Este recurso está acessível na guia ‘Account’ das propriedades de cada usuário. 
 
3 Para o funcionamento deste recurso é necessário que o NetBIOS over TCP/IP esteja disponível, caso contrário o Windows 
2000 não conseguirá determinar de qual computador o usuário está tentando efetuar logon. 
www.cliqueapostilas.com.br
 29
 
Figura 24 – Data para expiração da conta 
5.2. Contas de Usuário Local 
Uma conta de usuário local é uma conta que só existe em um determinado computador 
(Windows 2000 Professional ou Windows 2000 Server Stand Alone ou Member). Este tipo de conta 
só deve ser usada em ambientes de redes menores, como grupos de trabalho ou em computadores 
autônomos que não estão conectados em umarede. Não é recomendável a criação de contas locais 
em computadores que façam parte de um domínio, pois o domínio não as reconhece e, como 
resultado, elas só conseguiriam obter acesso aos recursos do computador no qual foram criadas. 
As contas de usuário local residem no banco de dados SAM, que é o banco de contas de 
segurança local. Elas não são armazenadas no Active Directory do domínio. Além disso, as contas de 
usuário local possuem um menor número de propriedades que as contas de domínio. 
 
Figura 25 – Propriedades do usuário local 
Para criação de contas locais deve ser utilizado no ‘Computer Management’, o snap-in ‘Local 
Users and Groups’. Com o botão direito na pasta Users, clica-se em New User e a seguinte tela será 
exibida. 
www.cliqueapostilas.com.br
 30
 
Figura 26 – Novo usuário local 
Importante destacar que em um servidor Windows 2000 que seja controlador de domínio, 
este snap-in não estará disponível. Neste caso, devem ser criadas contas do domínio usando a 
ferramenta Active Directory Users and Computers, conforme será descrito posteriormente. 
 
Figura 27 – Snap-in Local Users and Groups não disponível em um controlador de domínio 
5.3. Contas de Usuário do Domínio 
Para criar contas de usuários do domínio é preciso utilizar o snap-in Active Directory Users 
and Computers. Este snap-in sempre estará disponível em um controlador de domínio. Já um servidor 
membro não terá este snap-in, a menos que sejam instaladas as Ferramentas Administrativas do 
Windows 2000. 
Para instalar estas ferramentas, basta executar o pacote de instalação Adminpak.msi 
encontrado na pasta I386 do CD de instalação do Windows 2000 Server. Ao executar este pacote, a 
seguinte tela é exibida: 
www.cliqueapostilas.com.br
 31
 
Figura 28 – Wizard para instalação das Ferramentas Administrativas 
Prosseguindo com a instalação, pode-se optar pela instalação ou desinstalação das 
Ferramentas Administrativas. 
 
Figura 29 – Opções de instalação das Ferramentas Administrativas 
O programa passa então a instalar os componentes das Ferramentas Administrativas. 
 
Figura 30 – Instalação dos componentes 
www.cliqueapostilas.com.br
 32
Uma vez concluída a instalação estarão disponíveis em um servidor membro (não controlador 
de domínio) as Ferramentas Administrativas do Windows 2000 e um usuário com uma conta que faça 
parte do grupo Domain Administrators poderá executar atividades administrativas (como a criação de 
usuários do domínio) neste servidor membro. 
 
Figura 31 – Finalização da instalação 
O snap-in Active Directory Users and Computers permite a criação de contas de usuários do 
domínio4. 
 
Figura 32 – Snap-in Active Directory Users and Computers 
Basta selecionar a Unidade Organizacional na qual deseja-se criar um novo usuário ou 
mesmo usar a Unidade Organizacional padrão Users, e no menu Action selecionar New e escolher 
User. A seguinte caixa de diálogo será exibida: 
 
4 Em uma rede com vários controladores de domínio, quando uma conta de usuário do domínio é criada, ela sempre será 
criada no primeiro controlador disponível contatado para depois ser replicada para todos os demais controladores. 
www.cliqueapostilas.com.br
 33
 
Figura 33 – Caixa para criação de uma nova conta de usuário do domínio 
A tabela a seguir descreve as informações que deverão ser preenchidas nesta caixa de 
diálogo. 
Opção Descrição 
First name O primeiro nome do usuário. Este ou o último nome são requeridos 
Last name O último nome do usuário. Este ou o primeiro nome são requeridos 
Full name O nome completo do usuário e é preenchido automaticamente de acordo com as informações digitadas nas caixas anteriores 
User logon name 
O nome exclusivo de logon do usuário, baseado na convenção de 
nomes adotada. Esta informação é requerida e precisa ser única no 
domínio 
User logon name 
(pre-Windows 2000) 
O nome exclusivo de logon do usuário para clientes com sistemas 
operacionais anteriores ao Windows 2000, como Windows NT 4.0 ou 
3.51. Esta informação é requerida e precisa ser única no domínio 
 
Na tela seguinte deverá ser informada uma senha e deverão ser feitas algumas opções. 
 
Figura 34 – Informações complementares para uma nova conta 
 
Opção Descrição 
Password A senha que será usada pelo usuário 
Confirm password Confirmação da senha definida na caixa anterior, para assegurar que não ocorreram erros de digitação 
User must change Selecionar esta caixa obrigará ao usuário efetuar a troca da senha 
www.cliqueapostilas.com.br
 34
password at next 
logon 
definida na caixa Password na primeira vez que efetuar logon. Esta 
opção assegura a privacidade da senha do usuário, de tal forma que 
nem o administrator a conhecerá 
User cannot change 
password 
Selecionar esta senha impedirá que o usuário proceda a troca de sua 
senha. Esta opção é útil quando mais de uma pessoa estiver usando a 
mesma conta 
Password never 
expires 
Selecionar esta caixa fará com que a senha do usuário nunca expire, 
mesmo que estejam definidas diretivas que definam expirações de 
senhas em determinados períodos. Esta opção é útil em contas de 
determinados programas ou serviços 
Account is disabled 
Selecionar esta opção fará com que a conta não esteja disponível para 
uso. Esta opção é útil quando um usuário irá afastar-se por um período 
ou quando um novo funcionário ainda não iniciou suas atividades 
 
 
Figura 35 – Finalização da criação de uma nova conta 
 
5.3.1. Propriedades para Contas de Usuários do Domínio 
Um conjunto de propriedades padrão está associado a cada conta de usuário criada no 
domínio. Estas propriedades podem ser usadas para localizar usuários no Active Directory e, por esta 
razão, estas informações devem ser preenchidas para cada conta de usuário. 
As propriedades da conta de usuário são acessadas no snap-in Active Directory Users and 
Computers, clicando com o botão direito no usuário desejado e escolhendo o comando Properties. 
www.cliqueapostilas.com.br
 35
 
Figura 36 – Caixa de propriedades da conta de usuário 
A tabela a seguir descreve as guias da caixa de diálogo Properties referente ao usuário. 
Guia Finalidade 
General 
Documenta o nome, a descrição, o local do escritório, o número de 
telefone, o alias de e-mail e as informações sobre a página inicial 
referentes ao usuário 
Address Documenta o endereço do usuário, caixa postal, cidade, estado ou município, CEP e país 
Account Atribui o nome de logon do usuário, define opções de conta e especifica a expiração de contas 
Profile Atribui o caminho do perfil e a pasta base do usuário 
Telephones 
Documenta o endereço, pager, celular, fax e números de telefone IP e 
permite digitar observações que contêm informações descritivas sobre o 
usuário 
Organization Documenta o cargo, o departamento, o gerente da empresa e os relatórios diretos do usuário 
Member of Especifica os grupos aos quais o usuário pertence 
Dial-in Define as permissões de acesso, as opções de retorno de chamada e as rotas e endereços IP estáticos 
Environment Especifica um ou mais aplicativos a serem iniciados e os dispositivos aos quais conectar durante o logon do usuário 
Sessions Especifica configurações do Terminal Services 
Remote control Especifica configurações de controle remoto do Terminal Services 
Terminal Services 
Profile Define o perfil do usuário no Terminal Services 
 
5.3.2. Cópia de Contas de Usuário do Domínio5 
Para simplificar o processo de criação de novas contas de usuário de domínio é possível 
efetuar uma cópia de uma conta já existente. Com a cópia, uma série de propriedades da conta são 
copiadas para o novo usuário, evitandoa necessidade de digitação de dados repetidos. 
As propriedades de usuário copiadas da conta de usuário de domínio existente para a nova 
conta são descritas a seguir: 
 
 
 
5 Não é possível copiar contas de usuário em um computador com Windows 2000 Professional ou em um servidor membro do 
Windows 2000. A cópia só é possível em controladores de domínio. 
www.cliqueapostilas.com.br
 36
Guia Propriedades copiadas 
General Nenhuma 
Address Nenhuma 
Account Todas, exceto Logon Name 
Profile Todas, exceto as entradas Profile Path e Home Folder, que são alteradas para refletir o nome de logon do novo usuário 
Telephones Nenhuma 
Organization Todas, exceto Title 
Member of Todas 
Dial-in Nenhuma, as configurações padrão aplicam-se à nova conta 
Environment Nenhuma, as configurações padrão aplicam-se à nova conta 
Sessions Nenhuma, as configurações padrão aplicam-se à nova conta 
Remote control Nenhuma, as configurações padrão aplicam-se à nova conta 
Terminal Services 
Profile Nenhuma, as configurações padrão aplicam-se à nova conta 
 
O recurso de cópia de contas permite o uso de modelo de conta de usuário, que nada mais é 
do que uma conta de usuário padrão criada para conter as propriedades que aplicam-se aos usuários 
com necessidades em comum. 
Algumas recomendações importantes para o uso de modelos de conta são: 
9 Criar um modelo para cada categoria de funcionário ou para cada setor da empresa; 
9 Utilizar nomes nos modelos de conta que iniciem com caractere não-alfabético, como o 
caractere de sublinhado ( _ ), já que desta forma os modelos sempre aparecerão juntos 
na parte superior da lista do painel de detalhes da janela do Active Directory Users and 
Computers; 
9 Marcar nos modelos de conta a caixa de seleção Account is disabled na guia Account 
para evitar que os modelos sejam utilizados para obter acesso à rede da empresa, 
lembrando sempre de desmarcar esta opção nas cópias geradas. 
www.cliqueapostilas.com.br
 37
6. Gerenciamento de Grupos 
Um grupo é uma coleção de contas de usuários usada para gerenciar o acesso de usuários a 
recursos como pastas, arquivos e impressoras compartilhados na rede. Grupos simplificam a 
administração permitindo associar permissões e direitos a grupos de usuários em vez de associar a 
cada usuário individualmente. Usuários podem ainda participar de vários grupos simultaneamente. 
6.1. Grupos em um Domínio 
As características dos grupos em um domínio são: 
9 São criados somente em controladores de domínio; 
9 Residem no serviço de diretório do Active Directory; 
9 São usados para conceder permissões a recursos e direitos para tarefas do sistema em 
qualquer computador do domínio; 
9 Os grupos em um domínio podem diferir quanto ao tipo a ao escopo. 
Esta última característica merece um melhor detalhamento, uma vez que é importante 
conhecer as diferenças entre os tipos de grupos e os escopos de grupos. 
6.1.1. Tipos de Grupos 
Há dois tipos de grupo no Active Directory: 
9 Grupos de segurança: usados para fins relacionados à segurança, como a concessão 
de permissões para acesso a recursos. 
9 Grupos de distribuição6: usados pro aplicativos como listas para funções não 
relacionadas à segurança, como o envio de mensagens de e-mail para grupos de 
usuários. Não é possível conceder permissões a grupos de distribuição. 
6.1.2. Escopos de Grupos 
O escopo de um grupo determina onde usar esse grupo no domínio, ou seja, qual a sua 
abrangência. São três os escopos de grupos do Windows 2000: Globais, Locais e Universais. 
h. Grupos Globais 
Usados para organizar os usuários que compartilham requisitos semelhantes de acesso à 
rede. É possível utilizar um grupo global para conceder permissões de acesso a recursos localizados 
em qualquer domínio. 
9 Têm participação limitada. Pode-se adicionar contas de usuário e grupos globais somente 
provenientes do domínio em que o grupo global foi criado. 
9 Podem ser aninhados em outros grupos. Essa função permite adicionar um grupo global 
a outro no mesmo domínio ou a grupos de domínio local e universal de outros domínios. 
i. Grupos Locais 
Usados para conceder permissões a recursos de domínio localizados no mesmo domínio em 
que o grupo de domínio local foi criado. Os recursos não precisam residir em um controlador de 
domínio. 
9 Têm participação aberta. Pode-se adicionar contas de usuário, grupos universais e 
globais de qualquer domínio. 
 
6 Somente programas que foram desenvolvidos para trabalhar com os serviços do Active Directory podem usar grupos de 
distribuição. 
www.cliqueapostilas.com.br
 38
9 Não podem ser aninhados em outros grupos, significando que não é possível adicionar 
um grupo de domínio local a nenhum grupo, nem aos localizados no mesmo domínio. 
j. Grupos Universais7 
Concedem permissões a recursos relacionados em vários domínios. Devem ser usados para 
conceder permissões de acesso a recursos localizados em qualquer domínio. 
9 Têm participação aberta. Todas as contas de usuário e grupos de domínio podem ser 
participantes. 
9 Podem ser aninhados em outros grupos de domínio. Essa capacidade permite adicionar 
um grupo universal a grupos de domínio local ou universal em qualquer domínio. 
6.1.3. Estratégias de Grupos 
Uma estratégia bastante recomendada pela Microsoft para uso de grupos em um domínio 
único é conhecida como A G L P. Consiste em colocar as contas de usuário (A, de Account) em 
grupos globais (G), colocar os grupos globais em grupos de domínio local (L) e conceder permissões 
(P) ao grupo de domínio local. Um exemplo desta estratégia seria o seguinte: 
9 Em uma empresa seria recomendável identificar os usuários com responsabilidades 
comuns e adicionar suas contas de usuário a um grupo global. Por exemplo, poderiam 
ser criados grupos globais para um departamento de vendas (Grupo Vendas), para os 
diretores (Grupo Diretoria) e para o departamento de marketing (Grupo Marketing). 
9 Nesta mesma empresa existirá uma impressora laser colorida que poderá ser usada 
pelos diretores e pelos funcionários do marketing. Poderia então ser criado um grupo de 
domínio local chamado Usuarios Laser Colorida. 
9 Os grupos globais Diretoria e Marketing seriam então incluídos no grupo de domínio local 
Usuarios Laser Colorida. 
9 Por fim a impressora seria compartilhada e seriam concedidas as permissões adequadas 
para o grupo de domínio local Usuarios Laser Colorida. 
Antes da criação de um novo grupo de domínio local é recomendável verificar se já não existe 
um grupo de domínio local interno que atenda as necessidades. Por exemplo, se o administrador 
precisa de um grupo para incluir as contas de usuários que executarão o backup diário, não será 
necessário criar um novo grupo. Basta utilizar o grupo de domínio local interno Backup Operators. 
6.1.4. Criação de Grupos de Domínio 
Para criar-se grupos em um domínio utiliza-se o snap-in Active Directory Users And 
Computers. Os grupos podem ser criados na Unidade Organizacional Users ou em alguma outra 
Unidade Organizacional criada pelo administrador. Com o botão direito do mouse sobre a Unidade 
Organizacional desejada escolhe-se a opção New e o comando Group, surgindo então a seguinte 
caixa de diálogo. 
 
7 Só estarão disponíveis quando o domínio estiver no modo nativo. O modo nativo será ativado quando todos os controladores 
de domínio estiverem executando o Windows 2000. 
www.cliqueapostilas.com.br
 39
 
Figura 37 – Criação de um novo grupo 
Opção Descrição 
Group name Nome do novo grupo, que deve ser exclusivo no domínio em que o grupo for criado 
Group name 
(pre-Windows 2000)