Mdulo 4 Gerenciamento do acesso a recursos nos Servios de Domnio Active Directory

Viso geral do mdulo

Viso geral do gerenciamento de acesso Gerenciamento de permisses de arquivos e pastas NTFS Atribuio de permisses para recursos compartilhados Determinao da permisso efetiva

Lio 1: Viso geral do gerenciamento de acesso

O que so entidades de segurana? O que so tokens de acesso? O que so permisses? Como funciona o controle de acesso

O que so entidades de segurana?

Entidade de Segurana - Usurios, grupos ou objetos de computador que podem ser usados para autenticao e para atribuir acesso aos recursos. Identificador de Segurana (SID) - Um valor exclusivo atribudo quando um usurio, computador ou grupo de segurana criado. Os processos internos do Windows referem-se a um SID da conta em vez de a um nome de usurio ou de grupo da conta. Identificador Relativo (RID) - Parte do SID que identifica exclusivamente uma conta ou grupo em um domnio.
Entidade de Segurana SID
S-1-5-211454471165100433634816069808485555

DomainID RID

O que so tokens de acesso?

Assunto

Token de acesso do usurio

SID de usurio

SID de grupo Lista de direitos de usurio Outras informaes de acesso

O que so permisses?
Permisses: Regras para conceder ou negar acesso a um objeto So usadas para controlar o acesso

Como as permisses so atribudas?

possvel atribuir ou negar permisso a um recurso (pasta, impressora, arquivo) As permisses podem ser atribudas a contas do computador local ou de AD DS As permisses podem ser aplicadas de forma explcita ou implcita, ou herdadas

Como funciona o controle de acesso

DACL (Lista de controle de acesso discricionrio)
A DACL contm um lista de usurios e grupos que podem acessar ou que tiveram o acesso negado ao recurso Todo arquivo e pasta em um volume NTFS tem uma DACL associada

SACL (Lista de controle de acesso do sistema)

A SACL controla a auditoria de acesso ao recurso

ACE (Entrada de controle de acesso)

Define cada entrada em uma DACL ou SACL Especifica o conjunto de SIDs que ser permitido, negado ou auditado Se nenhuma ACE for especificada em uma DACL, o acesso ao recurso ser negado

Lio 2: Gerenciamento de permisses de arquivos e pastas NTFS

O que so permisses NTFS? O que so permisses padro e especiais? O que herana de permisses NTFS? Impactos nas permisses NTFS ao copiar e mover arquivos

e pastas

O que so permisses NTFS?

Permisses de arquivos
Ler Gravar Ler e Executar Modificar Controle total

Permisses de pastas
Ler Gravar Listar contedo de pastas Ler e Executar Modificar Controle total

As permisses Negar tm prioridade sobre as permisses Permitir.

O que so permisses padro e especiais?

Permisses especiais
Desviar pasta / Executar arquivo Listar pasta/ Ler dados Ler atributos Ler atributos estendidos Criar arquivos / Gravar dados Criar pastas/Acrescentar dados Gravar atributos Gravar atributos estendidos Excluir subpastas e arquivos Excluir Ler permisses Alterar permisses Apropriar-se Sincronizao

Permisses padro
Ler Gravar Listar contedo de pastas Ler e Executar Modificar Controle total

O que herana de permisses NTFS?

A herana usada para gerenciar o acesso aos recursos sem atribuir permisses explcitas para cada objeto Por padro, as permisses NTFS so herdadas em uma relao pai/filho

Bloqueio
A herana de permisso pode ser bloqueada O bloqueio pode ser executado no nvel do arquivo ou da pasta O bloqueio de pastas pode ser definido para propagar as novas permisses para os objetos filho

Demonstrao: Configurao de permisses NTFS

Nesta demonstrao, voc ver como:
Configurar permisses NTFS

Pgina de anotaes - Slide excedente. No imprima o slide. Consulte o painel de anotaes.

Impactos nas permisses NTFS ao copiar e mover arquivos e pastas

Partio NTFS C:\ Partio NTFS D:\

Copiar
Partio NTFS E:\

Mover

Copiar ou Mover

Quando voc copia arquivos e pastas, eles herdam

as permisses da pasta de destino

Quando voc move arquivos e pastas na mesma

partio, eles mantm suas permisses

Quando voc move arquivos e pastas para outra

partio, eles herdam as permisses da pasta de destino

Lio 3: Atribuio de permisses para recursos compartilhados

O que so pastas compartilhadas? O que so pastas compartilhadas administrativas? Permisses de pasta compartilhada Conectando-se a pastas compartilhadas Consideraes sobre o uso de pastas compartilhadas Implantao e configurao de arquivos offline

O que so pastas compartilhadas?

As Pastas Compartilhadas so pastas que permitem o acesso ao contedo por meio da rede

possvel compartilhar pastas, mas no possvel compartilhar arquivos individuais Por padro, a permisso das pastas compartilhadas Controle total do usurio que compartilhou a pasta As pastas compartilhadas podem ser identificadas:
Por meio do Gerenciamento de Compartilhamento e Armazenamento do Console MMC No Windows Explorer, usando o cone com os dois usurios abaixo da pasta Por meio da linha de comando do Net Share Por meio do Gerenciador de Computador em Arquivos Compartilhados

O que so pastas compartilhadas administrativas?

Compartilhamentos administrativos:
So compartilhamentos ocultos No so exibidos ao usar o Net View ou na exibio da rede Os administradores possuem permisses completas As permisses de compartilhamento no podem ser alteradas

Permisses de pasta compartilhada

Nvel de permisso Acesso
Permite exibir os dados dos arquivos Permite a navegao em subpastas

Ler

Os programas nas pastas compartilhadas podem

ser executados Por padro, aplicada ao grupo Todos

Todas as permisses da categoria Leitura Novos arquivos e subpastas podem ser criados

Alterar

Os dados em pastas existentes podem ser

modificados ou removidos Arquivos e subpastas podem ser excludos

Todas as permisses includas nas categorias

Controle total

Leitura e Alterao e a permisso para alterar as configuraes de segurana

Demonstrao: Criao de pastas compartilhadas

Nesta demonstrao, voc ver como:
Criar pastas compartilhadas

Pgina de anotaes - Slide excedente. No imprima o slide. Consulte o painel de anotaes.

Pgina de anotaes - Slide excedente. No imprima o slide. Consulte o painel de anotaes.

Conexo de Pastas compartilhadas

Acesso por meio de UNC:
A conveno de nomenclatura \\nomedoservidor\compartilhamento ou \\nomedoservidor\compartilhamento\arquivo Pode ser acessado por meio do Windows Explorer, linha de comando ou programaticamente

Acesso por meio de unidades mapeadas:

Utilize o Windows Explorer ou uma linha de comando para mapear uma unidade para \\nomedoservidor\compartilhamento

Acesso por meio da Rede:

Usa uma ferramenta grfica para procurar compartilhamentos na rede Trabalha no domnio ou no modo grupo de trabalho No exibe compartilhamentos ocultos ou administrativos

Demonstrao: Gerenciamento de Pastas Compartilhadas

Nesta demonstrao, voc ver como:
Gerenciar o acesso a pastas compartilhadas usando a

ferramenta de Gerenciamento de Compartilhamento e Armazenamento

Pgina de anotaes - Slide excedente. No imprima o slide. Consulte o painel de anotaes.

Consideraes sobre o uso de pastas compartilhadas

Ao criar pastas compartilhadas:
Utilize as permisses mais restritivas possveis Evite atribuir permisses a usurios individuais, use grupos sempre que possvel Lembre-se de que o Controle total permite que os usurios modifiquem as permisses NTFS. Tenha cautela ao adicionar grupos ao grupo de permisso Controle total Adicione o grupo Usurios Autenticados e remova o grupo Todos das permisses de compartilhamento

Implantao e configurao de arquivos offline

Ao criar arquivos offline:
Selecione uma pasta em um local na rede, sincronize e desconecte o computador Edite os documentos com o computador desconectado Conecte o computador rede novamente para atualizar as alteraes

Os arquivos so sincronizados automaticamente

Lio 4: Determinao de permisses efetivas

O que so permisses NTFS efetivas Discusso: Aplicao de permisses NTFS Impactos da combinao de permisses de Pasta

compartilhada e NTFS
Discusso: Determinao de permisses efetivas de Pasta

compartilhada e NTFS
Consideraes para a implementao de permisses NTFS

e Pasta compartilhada

O que so permisses NTFS efetivas?

As permisses NTFS so cumulativas
Modificar Executar Gravar Ler

Negar tem precedncia

As permisses podem ser aplicadas a um usurio ou a um grupo

As permisses de arquivo substituem as permisses de pasta

Os criadores de arquivos e pastas so seus proprietrios

Discusso: Aplicao de permisses NTFS

O grupo Usurios tem permisso Gravar para a Pasta1 O grupo Vendas tem permisso Ler para Pasta1 O grupo Usurios tem permisso Ler para a Pasta1 O grupo Vendas tem permisso Gravar para a Pasta2 O grupo Usurios tem permisso Modificar para a Pasta1 O Arquivo2 s deve estar acessvel ao grupo Vendas com a permisso Ler

Partio NTFS
Grupo Usurios

Pasta1

Usurio1

Arquivo1

Pasta2

Arquivo2

Grupo Vendas

Demonstrao: Avaliao de permisses efetivas

Nesta demonstrao, voc ver como:
Avaliar permisses efetivas

Pgina de anotaes - Slide excedente. No imprima o slide. Consulte o painel de anotaes.

Impactos da combinao de permisses NTFS e de Pasta Compartilhada

Ao combinar permisses de pasta compartilhada e NTFS, a permisso mais restritiva aplicada

Exemplo: Se um usurio ou grupo receber a permisso de compartilhamento Ler e a permisso NTFS Gravar, o usurio ou grupo somente conseguir ler o arquivo porque essa a permisso mais restritiva

As permisses de pasta compartilhada e arquivo NTFS devem ter permisses corretas, caso contrrio, o usurio ou grupo ter acesso implicitamente negado ao recurso

Discusso: Determinao de permisses efetivas de Pasta compartilhada e NTFS

Discusso em sala de aula:
Determinar as permisses NTFS efetivas Determinar as permisses de pasta compartilhada

1
Grupo Usurios

Volume NTFS
Usurios

2
Grupo Vendas

Volume NTFS

CT

CT

Dados

Usurio1

CT CT CT

Usurio1

Grupo Vendas

CT

Vendas

Usurio2

Usurio2 Usurio3

RH Pubs

Usurio3

CT = Controle total

Consideraes para a implementao de permisses NTFS e de Pasta compartilhada

Conceda permisses a grupos em vez de a usurios Use as permisses Negar somente quando necessrio Nunca negue ao grupo Todos o acesso a um objeto Conceda permisses no local mais elevado possvel da estrutura de pastas Use permisses NTFS em vez de permisses compartilhadas em acesso refinado

Laboratrio: Gerenciamento do acesso a recursos

Exerccio 1: Planejamento de uma implementao de

Pasta compartilhada (Discusso)

Exerccio 2: Implementao de uma Pasta compartilhada Exerccio 3: Avaliao da implementao de Pasta

Compartilhada

Informaes de logon

Mquina virtual Nome de usurio Senha

10140A-NYC-DC1, 10140A-NYC-CL1

Administrador , Rui, Castro Pa$$w0rd

Tempo estimado: 45 minutos

Cenrio do laboratrio
O Woodgrove Bank uma empresa com escritrios em vrias cidades do mundo. Ele implantou o AD DS no Windows Server 2008 e, recentemente, abriu uma nova subsidiria em Toronto, Canad. Como administrador de rede designado para a nova subsidiria, uma de suas tarefas principais ser criar e gerenciar o acesso a recursos, incluindo a implementao de pasta compartilhada. Por exemplo, os grupos que espelham a organizao departamental do banco precisam de reas compartilhadas para armazenamento de arquivos. Alm disso, para que os arquivos sejam compartilhados durante projetos especiais entre departamentos, preciso que voc tenha compartilhado pastas.

Reviso do laboratrio
Para conceder a diversos colegas acesso a uma pasta

compartilhada, o que voc precisa fazer para atribuir acesso de forma mais eficiente?
Como seria possvel configurar pastas compartilhadas que

permitem que um departamento compartilhe arquivos em que todos possam adicionar arquivos e ler arquivos dos demais, mas somente um grupo restrito de pessoas possa editar o contedo de todos os arquivos?
Por que talvez voc prefira usar o MMC de Gerenciamento

de Compartilhamento e Armazenamento em vez do Windows Explorer para criar pastas compartilhadas?

Reviso do mdulo e informaes

Perguntas de reviso Consideraes sobre o gerenciamento de pastas

compartilhadas e permisses NTFS

Pgina de anotaes - Slide excedente. No imprima o slide. Consulte o painel de anotaes.