Académique Documents
Professionnel Documents
Culture Documents
2012
Windows Server 2
DIREÇÃO REGIONAL
Fernando Virgilio de Macedo Silva
Diretor Regional
CONTEUDISTA
Tânia da Nóbrega
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 3
LISTA DE ILUSTRAÇÕES
Figura 12 - NTDS.DIT......................................................................................................................... 22
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 4
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 5
Figura 61 - Criptografia..................................................................................................................... 63
Figura 68 - Triagem........................................................................................................................... 66
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 6
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 7
SUMÁRIO
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 8
9.4.1. PASTAS..................................................................................................................................... 64
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 9
10.14. EXEMPLO 1 – CRIAR LOGIN SCRIPTS PARA UM DETERMINADO GRUPO DE USUÁRIOS ............. 75
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 10
Apresentação
Prezados alunos,
Esta apostila tem por finalidade servir de material bibliográfico de apoio ao aluno do
curso de Administração de Redes, do SENAC RN, nos componentes de Administração e de Suporte
de Sistema Operacional Servidor. O objetivo deste curso é desenvolver no aluno competências
que lhes permitam atuar como administrador de redes, no Ambiente Microsoft, instalando e
configurando os sistemas operacionais para clientes e servidores, configurando roteadores
coorporativos e demais dispositivos ativos de redes e garantindo funcionamento ininterrupto da
rede, de forma ética e com qualidade.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 11
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 12
Uma rede ponto a ponto exige pouca manutenção e não há presença de um profissional
exclusivamente para administrar a rede, sendo os usuários criados chamados de Usuário Local.
Nesse tipo de rede, o computador pode executar função de servidor, como: Servidor de Internet,
Arquivo, Impressora, Web e outros, mas nunca Servidor de Autenticação. Ex. Windows XP,Vista,7,
8 ou 8.1
Em uma rede Cliente Servidor, além dos servidores acima, temos: Servidores de DHCP,
DNS, TS, Autenticação e outros. Nesse tipo de rede, os clientes acessam recursos disponíveis em
um servidor dedicado. Quando a rede se tornar maior, é necessário um gerenciamento e
segurança. Implementando servidores dedicado. Esta é uma característica de uma rede Cliente
Servidor. Ex. Windows Server 2008, 2008R2, 2012 ou 2012R2.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 13
Normalmente nossa estrutura de Rede é formada por vários tipos de servidores e vários
sistemas operacionais. Depende do tamanho e complexidade da rede.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 14
Depois da versão Windows Server 2008, a Microsoft criou dois modos de instalação:
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 15
Administrador de Rede criar uma política de nome para Usuários, Nome de Hosts, Servidores e
tudo mais de identificação da rede.
Após a instalação do Windows Server 2012. Edição - Standard. Modo de Instalação – GUI.
É necessário definir qual papel que o servidor assumira diante da Estrutura da Empresa.
Normalmente o nosso primeiro Servidor terá a função de Controlador de Domínio da estrutura, os
demais poderão ser Servidor Membro, Replica do Controlador de Domínio ou mesmo
subdomínios do domínio criado.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 16
3. ACTIVE DIRECTORY
O Active Directory e seus serviços relacionados formam a base das redes coorporativas
em execução no Microsoft Windows. As ferramentas em conjunto podem: armazenar
informações sobre a identidade dos usuários, computadores e serviços; autenticar um usuário ou
computador e fornecer um mecanismo com o qual o usuário ou computador podem acessar
recursos na empresa.
O Active Directory Domain Services fornece a funcionalidade de uma solução Identity and
Access - IDA (Identidade de Acesso) para redes coorporativas. Existem cinco soluções IDA:
2) Active Directory Lightweight Directory Services (AD LDS- Aplicações) - Fornece suporte a
aplicativos compatíveis com o diretório. É um subconjunto do AD DS porque ambos estão
baseados no mesmo código base. Ele é, normalmente, utilizado por aplicativos que exigem um
armazenamento de diretório.
4) Active Directory Rights Management Services (AD RMS - Integridade) - É uma tecnologia de
proteção das informações que permite implementar modelos persistentes de diretiva de uso que
definem o uso autorizado e não autorizado, seja online ou offline, dentro ou fora do firewall. O
AD RMS pode basear-se no AD CS para incorporar certificados a documentos. Vem como no AD
DS para gerenciar direitos de acesso.
5) Active Directory Federation Services (AD FS - Parceria) - Permite que uma organização
estenda a solução IDA para múltiplas plataformas, incluindo ambientes Windows e não Windows,
e projetar identidades e direitos de acesso cruzando limites de segurança para parceiros
confiáveis. Em um ambiente federado cada organização mantém e gerencia suas próprias
identidades, mas cada empresa também pode projetar com segurança e aceitar identidades de
outras organizações. Os usuários são autenticados em uma rede, mas podem acessar recursos em
outra - um processo conhecido como único logon. O AD FS suporta parcerias porque ele permite
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 17
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 18
Antes de Instalar o AD DS, vamos estudar um pouco sobre o que esta ferramenta do
Active Directory pode fazer na implementação dos nossos servidores O Active Directory (AD)
pode ser uma única máquina (real ou virtual) ou pode ser feita uma estrutura simples ou mais
complexa. A Microsoft define termos específicos para a estrutura do Active Directory.
Este diretório chamado de NTDS apenas existirá nos servidores que tenham a função de
Domain Controllers (DC’s). Neste diretório existirão os arquivos relacionados abaixo:
Res1.log - Arquivo de reserva assegura que alterações sejam gravadas na base(Ntds.dit) no caso
de falta de espaço em disco.
Res2.log - Arquivo de reserva assegura que alterações sejam gravadas na base(Ntds.dit) no caso
de falta de espaço em disco.
Bem, agora sabemos que a estrutura lógica do AD é gravada em uma base de dados física
chamada de Ntds.dit.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 19
É isto mesmo, o Active Directory é a estrutura lógica (teto), e os DC’s são servidores fisicos
(pilares), por isto a necessidade de termos muitos DC’s espalhados. Assim nosso AD mesmo na
falha de um DC (pilar) ou vários DC’s ainda conseguirá responder as solicitações e pedidos de
nossa infraestrutura.
Isto só é possível pois cada servidor quando recebe a função de Domain Controller, herda
a criação do diretório %SystemRoot%\NTDS\ e toda a estrutura comentada acima. Todos os dados
criados originalmente são replicados para o novo DC criado.
Assim em um AD (domínio) com três DC’s como na figura abaixo, todos os Dc’s estão atualizados
com todos os dados igualmente, isto recebe o nome de replicação do Active Directory.
Figura 8 - Réplica de AD
Quando falamos de estrutura lógica do Active Directory, muitos termos são falados, a estrutura
lógica do AD consiste em Objetos, Unidades Organizacionais, Domínio, Árvores de Domínio e
Floresta.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 20
4.1.1.1. OBJETOS
Figura 9 - Estrutura OU
4.1.1.3. DOMÍNIOS
• Fecham um limite administrativo para objetos. “Quem esta fora não entra, quem esta
dentro não sai”, claro que esta regra pode sofrer alteração mediante permissões de
entrada e saída, como relações de confiança.
• Gerenciam a segurança de contas e recursos dentro do Active Directory
• Mesmo banco de dados Ntds.dit com cada Domain Controller dentro deste domínio.
• Diretivas de segurança.
• Relações de Confiança com outros domínios.
Quando precisamos criar um segundo domínio, na maioria das vezes por necessidades no
processo de segurança temos o que chamamos de domínios filhos.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 21
Quando temos um domínio pai com seus domínios filhos, chamamos de árvore de
domínio, pois dividem o mesmo sufixo DNS, porém em distribuição hierárquica. Abaixo colocamos
um exemplo para ilustrar nossa explicação.
Conforme as figuras acima, podemos ver que quando temos um domínio filho,
imediatamente estamos vinculados a um domínio pai, e esta divisão hierárquica de nome
chamamos de Árvore de Domínios.
4.1.1.5. FLORESTA
Figura 11 - Floresta
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 22
Quando falamos de estrutura física do Active Directory, alguns termos são utilizados, a
estrutura física do AD consiste em Domain Controllers e Sites.
Quando falamos de Árvores de Domínio ou até mesmo Floresta, vale lembrar que um DC
pode apenas suportar um único domínio.
Para criar uma disponibilidade do Active Directory podemos ter mais de um DC, sendo
assim num exemplo de 2 Dc’s temos a base do Active Directory sendo replicada de forma perfeita
entre os dois Dc’s.
Figura 12 - NTDS.DIT
Estas partições formam o arquivo NTDS.dit, este é replicado entre cada um dos DC’s de
seu domínio, consequentemente o arquivo é replicado para cada DC, tendo todos os Dc’s
sincronizados logo teremos um Active Directory que pode suprir a falha de um DC, sem afetar o
serviço de diretório do domínio.
4.1.2.2. SITES
Os Sites servem para organizar a latência de replicação de Dc’s dentro do mesmo site,
bem como fazer com que os DC’s daquele determinado Site não utilizem o link de replicação de
forma desnecessária.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 23
Enfim os sites do AD são utilizados para fazer com que um determinado Range IP, mesmo
que separados por distâncias físicas, possam propiciar acesso e resposta aos serviços de diretório
e infraestrutura de forma organizada. Porém para que os dados dos DC’s sejam replicados
continuamente ou em horários pré-agendados, precisamos configurar os Sites e as replicações,
com isto mantemos todo nosso parque atualizado, mesmo trabalhando em grandes distâncias.
A replicação do Active Directory entre sites pode ser utilizando IP ou SMTP (para redes
lentas).
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 24
Selecione Adicionar Funções e Recursos. Antes de começar observe as tarefas que devem
ser concluídas. Logo após instale a função de Serviços de Domínio Active Directory.
A partir da Versão 2012. Ao instalar a função do AD DS, surge uma bandeira na barra do
Gerenciador de Servidor que ira orientar na Instalação. Do AD DS.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 25
Figura 18 - Implantação do AD DS
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 26
Figura 20 - Instalação do AD DS
O nível funcional do Domínio e da floresta tem a ver com a compatibilidade que este
servidor está trabalhando com outros DC de versões anteriores. Se você escolher um nível
funcional alto (Windows Server 2012), não terá como rebaixá-lo. Tenha cuidado, então, ao
escolher o nível funcional.
O Active Directory precisa de duas condições para ser instalada a partição NTFS (partição
padrão do Windows e DNS (Domain Name Service). No momento da instalação, o Sistema
Operacional já escolheu NTFS. E, quando você instalou a Função do Active Directory, também foi
instalado o DNS. Mas não foi configurado. É necessário que o primeiro AD DS instalado também
seja o DNS preferencial da estrutura da rede. A necessidade está diretamente relacionada ao
ingresso dos clientes e servidores membro ao domínio.
O Catálogo Global (CG) também deve ser instalado. Ele é o responsável pela replicação do
seu Active Directory. A opção RODC (Controlador de domínio Somente de Leitura) só poderá ser
criada se já houver um primeiro Active Directory instalado. É recomendado em filiais onde não
existem pessoas com conhecimento na estrutura do Active Directory.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 27
Foi definido DNS Preferencial. Mas não configurado por isso a mensagem. A Microsoft recomenda
continuar para o AD DS instalar a delegação básica do DNS
E finalmente o Active Directory será iniciado após ser feita a reinicialização do sistema.
Após a Instalação é verificada as funções e serviços instalado o dashboard abaixo.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 28
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 29
Figura 28 - IP do Servidor
Figura 29 - IP do Cliente
Não esqueça de verificar conectividade entre as duas máquinas.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 30
Por padrão, ao instalar o Sistema Operacional e o Active Directory já são criados objetos:
usuários, grupos, computadores e unidade organizacional. Mas estes objetos foram criados por
uma necessidade do Sistema. É necessário criarmos nossos próprios objetos para o bom
gerenciamento da estrutura de rede da empresa.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 31
As OU’s são contêineres administrativos dentro do Active Directory utilizados para coletar
objetos que compartilham requisitos comuns da administração. As OU´s podem ser criadas a
partir do Domínio ou de outra OU.
Figura 34 - Console OU
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 32
4.5.2. USUÁRIOS
O AD DS tem como solução de Identidade e acesso. Isso faz das contas armazenadas no
diretório componente fundamental da Identidade. A conta usuário, normalmente, é criada para
fazer login em máquinas cliente.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 33
a. Usuário deve alterar Senha – permite ao usuário definir a sua própria senha quando fizer
login pela primeira vez;
b. O usuário não pode alterar a senha – o usuário não poderá alterar a senha e ficará
indisponível a primeira opção;
c. A senha nunca expira - por padrão, a senha tem um tempo de vida de 45 dias e com 15
dias antes é solicitado alterá-la.
d. Conta desabilitada – quando o usuário não poderá ainda fazer logon na rede.
Normalmente, usado quando o usuário esta de férias, foi demitido ou ainda não
começou a trabalhar ainda na empresa.
A conta de usuário tem como função principal efetuar logon. Mas pode ser criada conta por
programas e sistemas operacionais que não efetuam logon. É muito importante saber que o
nome do usuário não é a identificação para o sistema operacional. É criado um ID de identificação
única para cada usuário. Então se criar um usuário MariaM, e por acaso excluir indevidamente.
Criar novamente como o mesmo nome NÃO é o mesmo usuário. Com a conta de Usuário é
possível:
• Criar
• Mover
• Excluir
• Renomear
• Copiar
Existe também várias propriedades possíveis em uma conta de usuário. Um exemplo bem
prático é definir o Horário de Logon do Usuário, em quais máquinas ele pode efetuar logon.
4.5.3. GRUPOS
Os grupos são coleção de usuários, computadores e outros grupos para criar um ponto de
gerenciamento de permissões e direitos. Os direitos são atribuídos a objetos e as permissões a
Unidade de disco, pasta e arquivos.
1) Segurança – estes grupos são utilizados como entrada de permissões da ACLs para
controlar a segurança do acesso aos recursos.
2) Distribuição – utilizados por aplicativos de email, estes grupos não estão disponível na
guia de segurança das pastas e arquivos. São utilizados pelo Exchange.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 34
• Membro:
2) Global – São utilizados para definir coleções de objetos de domínio baseado nas funções
de negócios.
• Membros:
• Membros:
o Um grupo universal pode incluir como membros usuários, grupos globais e outros
grupos universais a partir de qualquer domínio na floresta.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 35
Como visto na tabela acima, é possível aninhar grupos, ou seja, os grupos podem ter
como membros outros grupos.
4.5.4. COMPUTADORES
Computadores em domínio são entidades de segurança, assim como os usuários. As
contas normalmente são criadas quando você ingressa um computador no domínio. Mas, às
vezes, é necessário reconhecer uns problemas da conta computador e criar a conta de
computador. A Microsoft inclusive recomenda se criar a conta antes de ingressar no domínio.
Caso você queira que ela esteja em um determinada Unidade Organizacional.
Por padrão, ao ingressar uma máquina no domínio, ela é criada na Pasta Computers, em
Usuários e Computadores do Active Directory, e, às vezes, é necessário mover para Unidade
Organizacional onde será criada as Diretivas de Grupo. GPO.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 36
1) Mensagens no logon indicando que um controlador de domínio não pode ser contatado;
2) Mensagens de erro ou eventos no log de eventos indicando problemas semelhantes ou
sugerindo que senhas, confianças, canais seguros ou relações com o domínio ou com um
controlador de domínio falharam;
3) Não há uma conta de computador no Active Directory.
Estruturar e criar os objetos pode ser cansativo e é possível importar, caso tenha as
informações no excel por exemplo. Mas caso não tenha pode ser necessário a criação manual esta
é uma das funções do administrador de rede. Antes de criar planeje as estruturas de OU, grupos e
usuários.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 37
5. PROTOCOLO IP – VERSÃO 4
O IP versão 4, definido na RFC 791, é uma das principais bases tecnológicas, sobre as quais
se sustentam a Internet. Esse protocolo mostrou-se bastante robusto, de fácil implantação e
interoperabilidade. No entanto, seu projeto remonta a década de 1970 e não previu alguns
aspectos hoje importantes como:
O protocolo ipv4 tem o formato de quatro números separados por ponto (192.168.0.1).
Não podem existir duas máquinas, com o mesmo número IP, dentro da mesma rede. Caso
configure um novo equipamento com o mesmo número IP de uma máquina já existente, será
gerado um conflito de Número IP e um dos equipamentos, muito provavelmente o novo
equipamento que está sendo configurado, não conseguirá se comunicar com a rede.
Matematicamente falando cada octeto pode variar de 0 até 255. Já que o número de
possibilidades será 28 para cada octeto. Mas existem várias faixas de IP que não pode ser
endereçado, por fazer parte de uma reserva. Cada reserva tem uma função especifica.
• Classe B: definia os 2 bits mais significativo como 10, utilizava os 14 bits seguintes
para identificar a rede, e os 16 bits restantes para identificar o host. Esses
endereços utilizavam a faixa de 128.1.0.0 até 191.254.0.0;
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 38
O intuito dessa divisão tenha era tornar a distribuição de endereços flexível, abrangendo
redes de tamanhos variados, mas essa classificação mostrou-se na verdade rígida e muito
ineficiente, levando a um grande desperdício de endereços.
Figura 39 - NAT
1. 0.0.0.0 - Rota Padrão (default), usado em tabelas de roteamento para designar uma rota
especifica (iremos estudar detalhadamente esta reserva na Unidade Curricular – Configuração de
Roteamento;
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 39
A máscara define no endereço IP a parte REDE e a parte HOST. A máscara segue tambem
o mesmo principio das classes.
• Classe A – 255.0.0.0
• Classe B – 255.255.0.0
• Classe C – 255.255.255.0
Não esqueça que nos estamos vendo em decimal mas tudo que se passa, le e se
“entende” em um computador esta em linguagem binaria. E foi definido que, em binário, o
numero 1 (um) identifica a rede e o numero 0 (zero) identifica o host. Então:
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 40
A máscara possui ontra forma de ser expressa – Cidr – onde a representação é feita
atraves da contagem de quantidade de numeros 1 .
Por exemplo:
Alem destas máscara existe algumas máscaras que tambem podem ser usadas para que
se tenha uma aproximação maior da quantidade de IP desejada em uma rede.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 41
O servidor de DHCP tem como função atribuir IP, Máscara, Gateway, DNS e outras
informações aos clientes, que devem estar com o ip estático, para que estes clientes estejam na
mesma rede.
• Administradores DHCP
• Usuários DHCP
Para configurar o DHCP é necessário planejar de quantos ip´s sua rede precisa para que
todos estejam com conectividade ao final da instalação. No entanto, antes de configurar, temos
que planejar o intervalo de ip necessário, a máscara, gateway, tempo de vida do ip e outras
informações.
Nunca esqueça que os ip´s dos Servidores e Dispositivos de Rede devem ser excluídos
da faixa de intervalo. O intervalo é chamado de ESCOPO.
Escopos são pool de endereços IPV4 ou IPV6 que você pode atribuir a clientes através de
concessões. Existem três tipos de escopo:
1) Escopo Normal – Usados para atribuir pools de endereços para redes classe A,B e C.
Usado normalmente e iremos configurar logo abaixo.
2) Escopo Multicast – Usados para atribuir pools de endereços IP para redes classe D.
3) Superescopos – são repositórios para outros escopos e são usados para simplifica o
gerenciamento de vários escopos.
6.1.1. INSTALAÇÃO:
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 42
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 43
Configuração:
Os itens que compõem configurações do Servidor de DHCP:
• Escopo – Intervalo de Ip disponíveis para distribuição,
• Pool de Endereço – É a informação de endereço inicial e final do escopo,
• Intervalo de Exclusão – É um intervalo de endereços dentro do pool que não
estará disponível na atribuição automática para os clientes DHCP,
• Concessão – É o período no qual um cliente DHCP poderá ficar com um endereço
IP atribuído. Após esse período uma nova solicitação é feita,
• Reserva – São os endereços IPs definidos para clientes DHCP especificados pelo
MAC. Os Ips reservados devem fazer parte do Pool de Endereços,
• Opções do Escopo – São informações adicionais que podem ser distribuídas junto
com endereço IP. Como Servidor de Domínio, Gateway, DNS, Servidores PXE e
outras,
• Policies – Esse recurso permite distribuir configurações especificas de
endereçamento baseadas em condições. Elas podem ser definidas no nível de
escopo ou de servidor. Ex. Pode ser atribuído um intervalo de endereços para
dispositivos de um fabricante especifico,
• Opções do Servidor – São informações adicionais assim como as opções de escopo
mas no nível mas no nível do servidor – ou seja, as informações adicionadas aqui
serão herdadas por todos os escopos configurados no servidor DHCP,
• Filtros – São recursos que permitem controlar a distribuição de endereços a partir
do MAC. Esse controle define se um endereço vai ser emitido ou negado para um
dispositivo de rede,
• Failover DHCP – É uma novidade esse recurso permite garantir alta
disponibilidade do serviço DHCP aos clientes.
o Hot Standby – Um servidor DHCP fica em pleno funcionamento enquanto
o outro fica de backup caso servidor primário falhe.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 44
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 45
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 46
Após a criação do Escopo o Servidor de DHCP começa a atribuir IP, para os dispositivos
que estejam com o IP automático. As concessões podem ser vista e gerenciada na consoloe
abaixo.
Através da console nas configurações do servidor DHCP é possível realizar e restaurar backups.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 47
7. PROTOCOLO IP – VERSÃO 6
O protocolo IPv6 apresenta como principal característica e justificativa maior para o seu
desenvolvimento, o aumento no espaço para endereçamento. Por isso, e importante
conhecermos as diferenças entre os endereços IPv4 e IPv6, saber reconhecer a sintaxe dos
endereços IPv6 e conhecer os tipos de endereços IPv6 existentes e suas principais características.
O IPv6 possui um espaço para endereçamento de 128 bits, sendo possível obter
340.282.366.920.938.463.463.374.607.431.768.211.456 endereços (2128). Este valor representa
aproximadamente 79 octilhoes (7,9×1028) de vezes a quantidade de endereços IPv4 e representa,
também, mais de 56 octilhoes (5,6×1028) de endereços por ser humano na Terra, considerando-
se a população estimada em 6 bilhões de habitantes.
Os 32 bits dos endereços IPv4 são divididos em quatro grupos de 8 bits cada, separados
por “.”, escritos com dígitos decimais. Por exemplo: 192.168.0.10.
• 2001:0DB8:AD1F:25E2:CADE:CAFE:F0CA:84C1
Além disso, regras de abreviação podem ser aplicadas para facilitar a escrita de alguns
endereços muito extensos. E permitido omitir os zeros a esquerda de cada bloco de 16 bits, além
de substituir uma sequência longa de zeros por “::”.
Esta abreviação pode ser feita também no fim ou no início do endereço, como ocorre em
2001:DB8:0:54:0:0:0:0 que pode ser escrito da forma 2001:DB8:0:54::.
Outra representação importante e a dos prefixos de rede. Em endereços IPv6 ela continua
sendo escrita do mesmo modo que no IPv4, utilizando a notação CIDR. Esta notação é
representada da forma “endereco-IPv6/tamanho do prefixo”, onde “tamanho do prefixo” e um
valor decimal que especifica a quantidade de bits contíguos a esquerda do endereço que
compreendem o prefixo. O exemplo de prefixo de sub-rede apresentado a seguir indica que dos
128 bits do endereço, 64 bits são utilizados para identificar a sub-rede.
• Prefixo 2001:db8:3003:2::/64
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 48
• ID da sub-rede 3003:2
• http://[2001:12ff:0:4::22]/index.html
• http://[2001:12ff:0:4::22]:8080
• Unicast– este tipo de endereço identifica uma única interface, de modo que um pacote
enviado a um endereço unicast e entregue a uma única interface;
Diferente do IPv4, no IPv6 não existe endereço broadcast, responsável por direcionar um
pacote para todos os nos de um mesmo domínio. No IPv6, essa função foi atribuída a tipos
específicos de endereços multicast.
Endereços Unicast
Os endereços unicast são utilizados para comunicação entre dois nós, por exemplo,
telefones VoIPv6, computadores em uma rede privada, etc., e sua estrutura foi definida para
permitir agregações com prefixos de tamanho flexível, similar ao CIDR do IPv4.
Existem alguns tipos de endereços unicast IPv6: Global Unicast; Unique-Local; e Link-Local
por exemplo. Existem também alguns tipos para usos especiais, como endereços IPv4 mapeados
em IPv6, endereço de loopback e o endereço não-especificado, entre outros.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 49
• Link Local – podendo ser usado apenas no enlace especifico onde a interface está
conectada, o endereço link local e atribuído automaticamente utilizando o prefixo
FE80::/64. Os 64 bits reservados para a identificação da interface são
configurados utilizando o formato IEEE EUI-64. Vale ressaltar que os roteadores
não devem encaminhar para outros enlaces, pacotes que possuam como origem
ou destino um endereço link-local
• Prefixo: FC00::/7.
• Flag Local (L): se o valor for 1 (FD) o prefixo e atribuído localmente. Se o valor for
0 (FC), o prefixo deve ser atribuído por uma organização central (ainda a definir).
Sua utilização permite que qualquer enlace possua um prefixo /48 privado e único
globalmente. Deste modo, caso duas redes, de empresas distintas por exemplo, sejam
interconectadas, provavelmente não haverá conflito de endereços ou necessidade de renumerar
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 50
a interface que o esteja usando. Além disso, o endereço ULA e independente de provedor,
podendo ser utilizado na comunicação dentro do enlace mesmo que não haja uma conexão com a
Internet. Outra vantagem, e que seu prefixo pode ser facilmente bloqueado, e caso um endereço
ULA seja anunciado acidentalmente para fora do enlace, através de um roteador ou via DNS, não
haverá conflito com outros endereços.
Normalmente utiliza-se um IID de 64 bits, que pode ser obtido de diversas formas. Ele
pode ser configurado manualmente, a partir do mecanismo de autoconfiguração stateless do
IPv6, a partir de servidores DHCPv6 (stateful), ou formados a partir de uma chave pública (CGA).
FF-FE entre o terceiro e quarto Byte do endereço MAC (transformando no padrão EUI-64),
e em seguida, o bit U/L e complementado. Por exemplo:
• 48-1E-C9-21-85-0C
• 48-1E-C9-FF-FE-21-85-0C
• 48 = 01001000
• 01001000 → 01001010
• 01001010 = 4A
• IID = 4A-1E-C9-FF-FE-21-85-0C
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 51
Endereços especiais
Além disso, um pacote IPv6 com um endereço loopback como destino não pode ser
enviado por um roteador IPv6, e caso um pacote recebido em uma interface possua um endereço
loopback como destino, este deve ser descartado;
• FEC0::/10: prefixo utilizado pelos endereços do tipo site local, desenvolvidos para serem
utilizados dentro de uma rede especifica sem a necessidade de um prefixo global, equivalente aos
endereços privados do IPv4. Sua utilização foi substituída pelos endereços ULA;
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 52
Endereços Anycast
Um endereço IPv6 anycast é utilizado para identificar um grupo de interfaces, porém, com
a propriedade de que um pacote enviado a um endereço anycast e encaminhado apenas a
interface do grupo mais próxima da origem do pacote.
Endereços Multicast
Endereços multicast são utilizados para identificar grupos de interfaces, sendo que cada
interface pode pertencer a mais de um grupo. Os pacotes enviados para esses endereços são
entregues a todos as interfaces que compõe o grupo.
No IPv4, o suporte a multas e opcional, já que foi introduzido apenas como uma extensão
ao protocolo. Entretanto, no IPv6 e requerido que todos os nós suportem multicast, visto que
muitas funcionalidades da nova versão do protocolo IP utilizam esse tipo de endereço.
Deste modo, a possibilidade de transportar apenas uma cópia dos dados a todos os
elementos do grupo, a partir de uma árvore de distribuição, pode reduzir a utilização de recurso
de uma rede, bem como otimizar a entrega de dados aos hosts receptores. Aplicações como
videoconferência, distribuição de vídeo sob demanda, atualizações de softwares e jogos on-line,
são exemplos de serviços que vem ganhando notoriedade e podem utilizar as vantagens
apresentadas pelo multicast.
Os endereços multicast não devem ser utilizados como endereço de origem de um
pacote. Esses endereços derivam do bloco FF00::/8, onde o prefixo FF, que identifica um
endereço multicast, e precedido por quatro bits, que representam quatro flags, e um valor de
quatro bits que define o escopo do grupo multicast. Os 112 bits restantes são utilizados para
identificar o grupo multicast.
Lembre-se o endereço IPv6 não veio para complementar o Ipv4 mas sim para substitui-lo.
Não se tem a data precisa da extinção do Ipv4. Mas se o processo não for levado a sério teremos
problemas para acessar sites e e-mails.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 53
8. RESOLUÇÃO DE NOMES
É um processo essencial para converter nomes de computador em endereços IP de rede.
Existem três modos de resolução de Nomes no windows:
Vantagens do LLMNR:
Desvantagens do LLMNR:
• Não resolve nome em sistemas operacionais Windows XP, Server 2003 e anteriores;
• Não habilita conectividade em apenas IPV4;
• Precisa habilitar a descoberta de rede (ND) em todos os hosts;
• Não resolve além da sub rede local.
8.2. NETBIOS
Fornece única resolução de nome que funciona por padrão em uma rede IPV4 e sem DNS.
• Broadcast
• WINS
• Arquivos LMHosts
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 54
Broadcast é o mais simples. Por padrão a rede IPV4, através do ARP, envia broadcast
constantemente pela rede.
O mecanismo pelo qual o NetBios resolve nome depende do tipo de nó que está
configurado em seu host.
Tipos de Nó:
• Broadcast ou b-node: usa o broadcast para resolver nome e isso perturba todos os nós da
rede;
• Point-to-point ou p-node: não usa broadcast, em vez disso consulta diretamente o
servidor WINS;
• Mixed ou m-node: utiliza dos dois métodos acima. Primeiro realiza broadcast e, se não
obter sucesso, busca o servidor WINS.
• Hybrid ou h-node: utiliza as resoluções na seguinte sequência: primeiro, WINS; caso não
resolva, usa o Broadcast; e, se ainda não resolver, busca o arquivo lmhots para procurar
os mapeamentos de nome e ip.
O DNS é resolução de nome usada em rede lan e wan e compativel com protcolo Ipv4 e
Ipv6. A raiz de domínio da internet é gerenciada pela ICANN (Internet Corporation for Assigned
Names and Numbers)
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 55
Componentes DNS:
• Servidores DNS;
• Zonas;
• Resolvedores;
• Registros de Recursos: hosts, cname, ptr, cn, soa.
Quando um servidor DNS recebe uma consulta, primeiro ele verifica se pode ou não
atender de modo autoritativo, ou seja, com base em informações contidas em uma zona
localmente configurada no servidor. Se não existe informações, verifica se pode resolver
utilizando informações armazenadas no cache localmente.
Dicas de Raiz:
Para realizar a recursão, adequadamente, o servidor DNS primeiro tem de saber onde
iniciar a pesquisa de nomes do NameSpace de Domínio DNS. Essas informações são fornecidas na
forma de dicas de raiz, uma lista de registros de recursos preliminares utilizados pelo serviço DNS
a fim de localizar servidores autoritativo par raiz da árvore de NameSpace do domínio DNS.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 56
São 13 servidores raiz e muitos espelhos dos servidores raiz espalhado pelo mundo. Ao
lado uma tabela do Dr. Demi Getschko (Diretor Presidente do Nic.br, Vice-Presidente da ISOC
(Internet Society) no Brasil e Conselheiro do CGI.BR) onde ele ilustra a localização e tipo de
entidade das 13 raiz do mundo.
Os domínios do Active Directory requerem servidores DNS a fim de permitir que todos os
membros de domínio resolvam os nomes de computadores e serviços. Na maioria das vezes, o
DNS da rede está hospedado no próprio Controlador de Domínio do Active Directory.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 57
2) Nova Zona;
3) Selecione Zona Primária. A Zona Secundária é uma cópia da Zona primária, e ajuda
quando uma rede tem muitos usuários e DC para autenticação.
4) A próxima tela define o escopo que o DNS irá ser executado no Domínio da sua rede.
5) Nesta tela será definida a sub-rede que será utilizada para fazer a busca inversa.
Permitir Atualizações Dinâmicas Seguras e Não Seguras: selecione essa opção para
permitir que qualquer cliente atualize seus registros de recursos no DNS quando
ocorrerem alterações.
7) Concluindo a zona pesquisa inversa. Agora sempre que um nome de um host for
solicitado, será feita a busca pelo registro host(registro de nome) e o ptr (registro de
ponteiro).
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 58
Algumas vezes também é necessário criar um DNS secundário para agilizar o processo de
autenticação. O DNS secundário é uma copia do DNS primário e pode ser criado em outro
Controlador de Domínio e/ou Servidor Membro.
1) No console DNS, clique com o botão direito do mouse no domínio ou sub-rede que deseja
transferir e selecione propriedades no menu atalho;
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 59
9) Avançar e Concluir. Pronto agora teremos um DNS secundário que ira ajudar a resolver
nomes na nossa rede. Este servidor DNS pode ser criado na sua rede local ou em uma filial
para ajudar na autenticação dos hosts.
O DNS é um banco de dados formado por registros. Alguns registros são criados pela
necessidade do próprio Servidor de DNS. Mas é necessario criar criar registros adicionais para
qualquer computador que quiser tornar acessível para outros domínios DNS.
1) A (endereço IPV4) – Mapeia um nome de host para um endereço IPV4. Registro mais
comum de ser criado e encontrado.
3) CNAME (canonical name – nome canônico) – Define um alias para um nome de host.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 60
6) PTR (pointer, ponteiro) – Cria um ponteiro que mapeia um endereço IP para um nome de
host, em pesquisas inversas.
7) SOA (start of autorithy, início de autoridade) - Declara o host que é a mais autoridade da
zona e, portanto, é a melhor fonte de informações DNS da zona. Cada arquivo de zona
deve ter um registro SOA. É criado automaticamente na instalação do Active Directory.
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 61
9. GERENCIAMENTO DE ARQUIVOS
Uma boa parte do nosso trabalho, como administrador de rede, é gerenciar arquivos e
pastas. Os dados, pastas e arquivos são salvos em unidade de disco rígido em servidores, e é
nossa responsabilidade saber tratar da segurança das pastas e arquivos. Uma unidade de disco
rígido é o dispositivo de armazenamento mais comum usado nas estações de trabalho e nos
servidores das redes. Os usuários dependem das unidades de disco rígido para armazenar seus
documentos de processador de texto, planilhas e outros tipos de dados. As unidades são
organizadas em sistemas de arquivos que os usuários podem acessar local ou remotamente.
• Arquivo de usuário: os usuários têm permissão de controle total em relação a seus próprios
arquivos. Os administradores também têm controle total. Os outros usuários têm permissão
de ler por fazer parte dos Usuários do Domínio.
• Arquivos de Sistema: os usuários podem ler, mas não gravar em subpastas e na pasta
%systemroot%
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 62
As permissões são:
• Controle Total
• Modificar
• Ler e Executar
• Listar Conteúdo da pasta
• Leitura
• Gravação
• Permissões Especiais
9.1.1. Regras
Existem regras básicas que devem ser observadas quando for atribuir permissão a uma
pasta ou arquivos:
1) Por padrão, a herança do pai – normalmente, a unidade de disco – está habilitada. Logo,
se atribuir uma permissão ou negar a permissão ela, irá recair sobre as subpastas e arquivos
que estiverem dentro da pasta configurada.
2) A permissão negar tem precedência sobre qualquer outra permissão. Por exemplo, se o
usuário faz parte de mais de um grupo e tem permissão negada em um deles na pasta ou
arquivo, o usuário terá a permissão da determinada pasta ou arquivo. Por isso, tenha muito
cuidado em negar permissão a um usuário ou grupo.
3) A soma das Permissões tem como resultado a permissão resultante. Se um usuário fizer
parte de mais de um grupo a sua permissão resultante será a somas das permissões.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 63
Figura 61 - Criptografia
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 64
9.4. MAPEAMENTO
9.4.1. Pastas
Supomos precisar acessar uma pasta, com nome Senac, em um computador com nome de
Servidor01. Abaixo o mapeamento feito pela Interface Gráfica. Se deixar habilitador reconectar-se
durante o logon, o mapeamento será carregado ao iniciar o sistema.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 65
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 66
A cota possui alguns modelos, mas o administrador pode configurar as suas próprias
cotas. A cota pode ser rígida ou Suave.
A cota Suave é usada apenas para gerenciar as cotas e a cota rígida. Além de gerenciar,
não permite salvar além do tamanho definido pelo administrador.
Figura 68 - Triagem
É possivel gerar varios tipos de relatorio para acompanhar cota e triagem na sua rede. Por
padrão fica armazenado em StorageReports na unidade do System.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 67
As Diretivas de Grupo (GPO) são regras que permitem alterar configurações, restringir
acessos e implantar softwares no Windows. A partir dessas regras podemos criar padrões para os
recursos do ambiente.
• Site – Nivel mais alto. Todas as GPOs aplicadas nesse nível afetarão todos os domínios que
fazem parte dele.
• Domínios – Todas as GPOs configuradas nesse nível serão aplicadas a todos os usuários e
computadores dentro do domínio.
As opções de configurações são cumulativas por padrão. Sendo assim, se eu sou um usuário
da OU, posso receber configurações que vem do Site, Dominós e da minha própria OU.
• Habilitado
• Desabilitado
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 68
Default Domain Policy: esta GPO é vinculada ao domínio e não tem nenhum grupo de segurança
ou filtro WMI. Portanto, ela afeta todos os usuários e computadores no domínio. Por exemplo, ao
criar um usuário o Windows Server não permite senha simples nem menor que 7 caracteres. Se
desabilitar a gpo todos os usuários por padrão perderam esta restrição de diretiva.
Default Domain Controllers Policy: essa GPO é vinculada à OU Domain Controllers. Como as
contas de computador para os controladores de domínio são mantidas exclusivamente na OU
Domain Controllers e as outras contas de computador devem ser mantidas em outras OUs, essa
GPO afeta apenas os computadores de domínio.
Após criar a GPO, você pode criar o escopo inicial da GPO, vinculando-a a um site,
domínio ou uma OU. Para vincular uma GPO, clique com o botão direito do mouse no container e
escolha Vincular a GPO Existente.
Para editar uma GPO, clique com o botão direito do mouse na GPO no container e escolha
editar. A GPO abre o GPME. Você deve ter pelo menos permissão de leitura para abrir a GPO
dessa maneira. Para fazer modificações em uma GPO, você deve ter permissão de gravação na
GPO. O GPME exibirá o nome da GPO como nó raiz. O GPME também exibe o domínio no qual a
GPO é definida e o servidor em que a GPO foi aberta e no qual as modificações serão salvas.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 69
HKEY_CURRENT_USER. A maioria dos valores de registro modificados pelas diretivas padrão está
localizada em uma das quatro árvores reservadas a seguir:
Uma fraqueza das ferramentas de edição da diretiva de grupo nas versões anteriores do
Windows é a incapacidade de pesquisar uma configuração de diretiva específica. O GPME do
Windows Server 2008 e 2012 permite criar filtros para localizar configurações de diretivas
específicas.
Para criar um filtro, clique com o botão direito do mouse em Modelos Administrativos e
escolha Opções Filtro. Para localizar uma diretiva específica, selecione Habilitar Filtro de palavra
chave, digite as palavras com as quais deseja filtrar e selecione os campos dentro dos quais
procurarem.
Você pode também fazer pesquisa e filtrar com base nos comentários da configuração de
diretiva. Você terá que adicionar o comentário na diretiva de grupo.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 70
10.6. PREFERENCIAS.
O item preferências é uma novidade da versão Windows Server 2008 que ajuda bastante
a configurar vários itens, tanto nas versões XP como a posterior ao vista.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 71
o Opções de Pasta
o Configurações da Internet...
o Menu Iniciar
Figura 75 - Diretivas
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 72
6) Eis abaixo, por exemplo, a diretiva da complexidade de senha que esta habilitada por
padrão para qualquer usuário do domínio:
Algumas diretivas já vem habilitada por padrão para todo os objetos. Como por exemplo
complexidade habilitada e Tempo de Vida de Senha.
10.7. ESCOPO
Existem vários métodos para gerenciar o escopo das GPOs. O primeiro é o vínculo de GPO.
Computadores e usuários dentro do escopo de uma GPO aplicarão as configurações de diretivas
especificadas na GPO. Um determinado usuário ou computador, provavelmente, estará dentro do
escopo de múltiplas GPOs vinculado a Sites, domínios ou UOs nos quais os usuários ou
computadores existem.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 73
É muito importante ler a ajuda que vem com as diretivas. Elas explicam o que afeta no
usuário ou computador, além de advertir a necessidade de outra diretiva para que a atual seja
efetivada.
Sempre que executar uma diretiva é necessário fazer a atualização: abra o Prompt de Comando
(CMD) e digite gpupdate /force. É a maneira mais eficiente de realizar a atualizações das diretivas
de grupo alteradas.
Uma GPO pode ser vinculada a um ou mais sites, domínios ou OUs do Active Directory.
Depois de uma diretiva ser vinculada a um site, domínio ou OU, os usuários ou computadores e os
usuários nesse contêiner estarão dentro do escopo da GPO, incluindo computadores e usuários
nas OUs filho.
Esta sequência das GPOs cria um efeito chamado Herança de Diretiva. Por padrão, as
GPOs herdadas têm precedência mais baixa (proxima) que as GPO vinculadas diretamente ao
contêiner.
Um domínio ou uma OU pode ser configurada para impedir a herança das configurações
de diretiva. Para bloquear a herança, clique com o botão direito do mouse no domínio ou na OU
no GPME e escolha Bloquear Herança. A opção Bloquear herança é uma propriedade de Domínio
ou OU, portanto ele bloqueia todas as configurações de diretivas de grupo proveniente de GPOs
vinculadas aos pais na hierarquia de diretivas de grupo.
A opção bloquear herança deve ser executado com cuidado. Bloquear a herança dificulta
a avaliação da precedência e herança da diretiva de grupo.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 74
A partir do Contêiner Group Policy Objects é possível fazer backup de todas as GPOs e/oi de
GPOs especificas além de gerenciar os backups e restaura-los.
• O identificador (GUI)
• As configurações da GPO
• A descrição fornecida
É possível gerar relatórios das diretivas configuradas tanto na interface gráfica como texto. O
GPResult faz pare do RSoP e é uma ferramenta de linha de comando que permite a verificação da
aplicação da GPO nos computadores.
O RSoP (Result Set of Policy) é um recurso da console de GPOs que permite avaliar, modelar
e solucionar problemas de aplicação de GPOs. Com ele é possível validar a aplicação da diretiva
levando em consideração os links, as exceções heranças e filtros aplicados.
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 75
Criamos a pasta Colaboradores e, dentro dela, a pasta dos usuários que irão fazer o login
no cliente. Criamos também outras pastas que normalmente são necessárias em uma empresa.
As pastas devem estar compartilhada e com as devidas permissões de segurança desejadas pela
empresa. Não esqueça que os dados dos usuários devem ser sempre salvos em um volume
(partição) criado para dados. Evite criar pastas de usuários no %systemroot% (normalmente
unidade
C:).
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 76
Observe o caminho acima, salve corretamente e pronto. Basta agora efetuar com um dos
usuários que estão na GPO na máquina cliente e verificar se o mapeamento foi criado
corretamente.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 77
É exibido na console acima o relatório com todas configurações alteradas nas diretivas de
grupo. O outro modo é abrir o prompt de comando e executar o comando gpresult ., exibido na
tela abaixo:
11.4 AUDITORIA
A auditoria é um componente importante da segurança. A auditoria registra as atividades
especificadas na sua empresa no log Windows security, que você pode, então monitorar para
entender essas atividades e identificar questões que requerem uma investigação adicional. A
auditoria pode registrar em logs ações bem-sucedidas, falhas potencialmente e mal-intencionadas
de acessar recursos de empresas.
Primeiro, é necessário habilitar a auditoria e definir se será habilitada com êxito e/ou
falha.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 78
Diretivas de Auditoria:
Auditoria Explicação
Evento de Logon de Conta Cria evento quando usuário faz logon ou tenta e não
consegue
Evento de Logon Cria evento quando usuário faz logon localmente em um
computador ou pela rede remotamente
Gerenciamento de Conta Cria eventos quando é criado, excluído ou modificado um
usuário
Serviço de Diretório Audita Arquivos e Pastas
Alteração de Diretiva Audita modificações nas diretivas de atribuição de direitos de
usuário nas diretivas de auditoria
Uso de Privilégios Uso de Privilegio ou direito do usuário
Evento de Sistema Audita reinicialização, desligamento e modificações no
sistema
Acompanhamento de Audita ativação de programa e saída de processo
Processos
Acesso a Objetos Audita objetos como arquivos, pastas, chaves de registros e
impressoras.
Todas as auditoria podem ser de Êxito e/ou Falha. As auditorias são habilitadas na Gpo ou
localmente, mas só vamos ver os relatórios de Eventos no Visualizador de Eventos. Este conteúdo
abordaremos mais adiante.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 79
Os discos podem ser Básicos ou Dinâmicos. Os discos, por padrão, são básicos e a
conversão é muito simples. Os discos básicos, quando divididos em faixas, são chamados de
partição de disco. Ao converter o disco para Dinâmico, as partes de faixa de disco são Volumes. E
os volumes são que permitem o gerenciamento de tolerância à falha.
Volume Simples – É quando você converte o disco de básico para dinâmico e pode espelhar ou
estender o espaço em disco. O Volume Simples não é tolerante a falha;
Volume Estendido - Quando há necessidade de aumentar o tamanho do seu disco. O Volume
Estendido também não é tolerante a falha. Caso aconteça algo com um dos dois discos, os dados
serão perdidos e não poderá ser recuperado;
Volume Distribuído – Quando se tem necessidade de aumentar o desempenho de velocidade de
gravação. O Volume Distribuído também é Não Tolerante a Falha;
Volume Espelhado – Este é tolerante a galha e se algo acontece com um dos disco, o sistema
continua funcionando, como se nada tivesse acontecido. Ele também é conhecido como RAID-1.
Volume RAID-5 – Este tipo de
tolerância a falha só é possível
com, no mínimo, 03 HD. Ele
consegue implementar o aumento da velocidade de gravação e a copia nos outros discos.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 80
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 81
Utilizando o assistente é possível criar todas as tolerâncias a falha. Não esqueça que é
possível fazer esse tipo de implementação por Hardware e Software.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 82
Centralize o seu armazenamento e backups com uma solução de armazenamento em rede e nuvem
privada completa para pequenas empresas.
O Business Storage 1-bay NAS conta com uma interface da Web que seus clientes e colegas podem usar
para fazer download e upload de arquivos grandes com segurança. Diferentemente de outros serviços de
armazenamento em nuvem típicos, você mantém posse e controle total dos seus dados. Além disso, é tão
fácil de configurar e usar que não é necessário contratar um profissional de TI.
O Business Storage 1-bay NAS vem com tudo que a sua empresa precisa para garantir proteção completa de
todos os arquivos armazenados em computadores PC e Mac® na sua empresa. O software de backup
BlackArmor® incluído para PCs com Windows® facilita o backup de vários computadores automatizando o
processo. O software ajuda você a proteger dados fazendo backup não só dos arquivos armazenados, mas
dos programas, configurações, emails e até mesmo do sistema operacional nos seus PCs locais.
É importante ressaltar que nós não estamos fazendo propaganda de nenhum fabricante.
No entanto, é necessário saber que existem dispositivos de armazenamento de vários fabricantes,
preços e particularidade.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 83
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 84
5. Na página Selecionar Itens para Backup, clique em Adicionar Itens. Em Selecionar Itens,
marque as caixas de seleção dos itens dos quais você deseja fazer backup (Se os volumes
selecionados não estiverem formatados como NTFS, você receberá uma mensagem). Para
fazer backup somente de determinadas pastas ou arquivos, expanda a árvore de pastas e
selecione os itens que deseja incluir. Clique em OK.
6. Na página Especificar Tipo de Destino, clique em Unidades locais e em Avançar.
7. Na página Selecione o Destino de Backup, selecione na lista suspensa o volume que você
deseja usar para armazenar o backup (Confirme se há espaço livre suficiente no volume).
8. Na página Confirmação, examine os detalhes e clique em Backup. O assistente prepara o
conjunto de backup e verifica o volume.
9. Na página Progresso do Backup, você poderá exibir o status do backup.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 85
Observação
Você também pode incluir itens adicionais em um backup de estado do sistema,
marcando as caixas de seleção desses itens.
6. Na página Especificar Horário do Backup, execute um dos seguintes procedimentos e
clique em Avançar:
7. Clique em Uma vez por dia e selecione na lista suspensa a hora para iniciar a execução do
backup diário.
8. Clique em Mais de uma vez ao dia. Em seguida, para selecionar uma hora de início, em
Tempo disponível, clique na hora em que você deseja que o backup seja iniciado e clique
em Adicionar para mover a hora em Horário agendado. Repita essa etapa para cada hora
de início que você deseja adicionar.
9. Na página Especificar Tipo de Destino, selecione Fazer backup em um volume.
10. Selecione Fazer backup em um volume. Na página Selecionar Volume de Destino, clique
em Adicionar. Na lista Adicionar volumes, clique nos volumes que você deseja usar e
clique em OK.
Observação
Não é possível selecionar vários volumes no mesmo disco para armazenar backups. Você
pode adicionar apenas um volume por disco. O suporte para vários volumes é adequado
para situações em que você usa vários discos para armazenar backups que são
compartilhados entre vários servidores ou que contêm outros dados que você não deseja
excluir. Se o primeiro volume da lista ficar indisponível, os backups agendados serão
armazenados no próximo volume da lista.
11. Na página Confirmação, examine os detalhes e clique em Concluir. Se você dedicou um
disco para o armazenamento, o assistente formatará o disco, o que pode levar vários
minutos, dependendo do tamanho do disco.
12. Na página Resumo, clique em Fechar.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 86
Observação
A opção Estado do sistema poderá estar desabilitada se o backup selecionado em
Selecionar Data do Backup não contiver o estado do sistema. Para continuar, clique em
Voltar e selecione um backup que inclua o estado do sistema.
5. Na página Selecionar Local para Recuperação de Estado do Sistema, clique em Local
original e em Avançar.
6. Na página Confirmação, examine os detalhes e clique em Recuperar para restaurar os
itens listados.
7. Na página Andamento da Recuperação, é possível exibir o status da operação de
recuperação e se ela foi concluída com êxito ou não. Após a conclusão da operação,
reinicie o computador para substituir os arquivos que estavam em uso.
Cuidado
Não será possível parar a recuperação de estado do sistema depois de iniciada. Se você
tentar fazê-lo, o sistema não poderá ser inicializado. Aguarde até ser solicitado que você
reinicie o computador.
É importante também ter sempre mais de um backup, por precaução. E ter backup fora
do local de origem sempre é o recomendado. O backup é visto com solução para grandes
tragédias. Temos, como exemplo, a queda das Torres Gêmeas do World Trade Center. Além da
enorme tragédia humana, várias empresas também perderam as suas bases de dados, pois, várias
delas tinha o backup na outra torre.
Existem também ferramentas de terceiros para solução de backup. UmA que tem se
usado muito também é Bacula, que é software de backup de código aberto.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 87
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 88
Na guia Segurança, você irá definir as permissões dos usuários e grupos. Verifique que
temos as permissões:
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 89
Figura 95 - Permissões
Alterar a hora de grupos de Impressão e Prioridade também é uma excelente propriedade
para configurar sua impressora. Na guia Avançado:
Em Prioridade, clique nas setas para cima e para baixo e clique em OK.
Ou digite um nível de prioridade, sendo 1 o menor nível e 99 o maior e clique em OK.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 90
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
_____________________________________________________________________________
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 91
14. MONITORAMENTO
É possível alterar o tamanho do arquivo, substituir ou, simplesmente, arquivar. Para ver
detalhes de um determinado evento, basta dar duplo clique no evento. É obrigação nossa sempre
verificar o Visualizador de Eventos, porque é uma das ferramentas de monitoramento do próprio
Windows, sendo, inclusive, fácil de entender e armazenar.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 92
1
Disponível em: http://windows.microsoft.com/pt-br/windows7/open-task-manager
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 93
14.4. Serviços
2
Disponível em: http://professor-hebert.blogspot.com.br/
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 94
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 95
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 96
As Redes Virtuais permitem criar uma rede na nuvem e interligar seus servidores
diretamente sem a necessidade de saída através da internet. Também permite criar uma
infraestrutura híbrida sua rede local com a nuvem.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 97
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 98
3
Disponível em: http://www.cgi.br/sobre-cg/definicao.htm
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 99
Todos podem fazer parte do cgi. br. Se você trabalha em uma ONG pode inclusive fazer
parte dos membros. Se não, pode contribuir participando de Fóruns e Grupos de Trabalho - GTER
(Grupo de Trabalho Engenharia e Rede) e GTS ( Grupo de Trabalho de Segurança).
Atividades
O Comitê Gestor da Internet no Brasil - CGI.br mantém grupos de trabalho e coordena diversos
projetos em áreas de importância fundamental para o funcionamento e o desenvolvimento da
internet no país. Para executar suas atividades, o CGI.br criou uma entidade civil, sem fins
lucrativos, denominada "Núcleo de Informação e Coordenação do Ponto BR" - NIC.br.
Desde 1995, o Registro.br é o executor de algumas das atribuições do Comitê Gestor da Internet
no Brasil, entre as quais as atividades de registro de nomes de domínio, a administração e a
publicação do DNS para o domínio <.br>. Realiza ainda os serviços de distribuição e manutenção
de endereços internet. Em dezembro de 2008, havia mais de 1.530.000 domínios registrados no
país. Para o LACNIC - Registro de Endereços Internet para a América Latina e Caribe, o Registro.br
oferece os serviços de engenharia e hospedagem.
A segurança na internet é uma das grandes preocupações do Comitê Gestor da Internet no Brasil
que, desde 1997, mantém o CERT.br - Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurança no Brasil. Além de tratar incidentes de segurança, o CERT.br realiza atividades de apoio
a administradores de redes e usuários de internet no país. Destacam-se a produção de
documentos sobre segurança de redes, a manutenção de estatísticas sobre spam e incidentes no
Brasil e o desenvolvimento de mecanismos de alerta antecipado para redes possivelmente
envolvidas em atividades maliciosas. O CERT.br atua na conscientização sobre os problemas de
segurança, na correlação de eventos na internet brasileira e auxilia no estabelecimento de novos
Grupos de Respostas a Incidentes (CSIRTs) no Brasil.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 100
O PTT.br é um ponto de troca de tráfego que fornece uma infraestrutura de conexão aos seus
participantes distribuída em uma área metropolitana.
O NTP.br (Network Time Protocol) define um jeito para um grupo de computadores conversar
entre si e acertar seus relógios, baseados em alguma fonte confiável de tempo, como os relógios
atômicos do Observatório Nacional, que definem a Hora Legal Brasileira.
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN
Windows Server 101
REFERÊ
REFERÊNCIAS
BATTISTI, J.; SANTANA, F. Windows Server 2012 – Guia de Estudos Completo: implementação,
administração e certificação. 1ª ed. Editora Nova Terra, 2009.
HOLME, D.; RUEST, D.; RUEST, N.; KELLINGTON, J. Configuração do Windows Server 2012 – Active
Directory (Kit de Treinamento 70-640). 2ª ed. Editora Bookman, 2013.
NORTHRUP, T.; MACKIN, J.C. Configuração do Windows Server 2012 – Infraestrutura de rede (Kit
de Treinamento 70-642). 2ª ed. Editora Bookman, 2013.
https://technet.microsoft.com/pt-br/library/jj206711.aspx
Serviçode
Serviço Nacional de Aprendizagem
Aprendizagem Comercial -–Senac
SenacRN
RN