Beruflich Dokumente
Kultur Dokumente
Guilherme Lima
MCITP Enterprise Administrator / MCITP Server Administrator 5x MCTS / MCSA / MCDST / MCP / TCF / Auditor ISO 20000
Agenda
Definio de problemas do ambiente de TI Fundamentos Apresentao do ambiente de solues Administrao do domnio Active Directory Administrao do domnio Aplicao de Regras Gerenciamento de Recursos Servidor de Arquivo Gerenciamento de Recursos Regras de Quotas Gerenciamento de Recursos Group Policies
30 30 45 90 90 90
90
90 30
Entrega do ambiente
Soluo: Instalar sistema gerenciador que instala e configura o ambiente baseado em servios de imagens nicas Problema: Qual ferramenta utilizar?
4
Ambiente de TI
Na viso sobre o problema devemos sempre levar em considerao algumas variveis: - Tecnologia implementada
O que ser utilizado? Ferramenta, Servidor, meio fsico e lgico?
- Ambiente disponvel
- Profissional graduado
Meu ambiente suporta a soluo? preparado para isso? No ir impactar em outro processo/servio? Meu profissional est pronto para utilizar essa ferramenta? Ele conhece o ambiente? Quanto tempo ele levar para entregar a soluo? Mostrar para a empresa o que est sendo feito, agregar valor ao trabalho da TI
5
- Tempo
- Comunicao
Viso da TI
Atrasos em projetos de TI impactam lucratividade das empresas Segundo a pesquisa da The Economist e da HP, em cerca de metade das empresas pesquisadas, 25% ou mais dos projetos de TI so concludos com atraso; j, em 57% das empresas, em cada duas iniciativas de TI, somente uma gera resultados de negcios positivos.
Fonte: http://www.itweb.com.br/noticias/index.asp?cod=21481
Conhecimento ambiente/depto/profissional
Ambiente: Toda a estrutura necessria para se fornecer acesso a informaes corporativas utilizando-se segurana, disponibilidade, integridade e confidencialidade para o usurio final. Departamento de TI: Conjunto de profissionais que gerencia a informao que criada/trafegada pela empresa assim como o suporte a ela. Profissional: O RESPONSVEL por arquitetar, estudar, escutar, descrever, criar, implementar, testar, desenvolver e oferecer suporte a toda tecnologia criada ou oferecida.
Fundamentos
Perguntas fundamentais
A palavra TI te assusta? Existe um departamento de TI na sua empresa? Sua empresa reconhece o departamento? Existem profissionais qualificados/certificados? Eles conhecem as formas de tecnologia disponveis? Voc conhece formas de melhorar o seu ambiente? Existem automatizao de algumas tarefas? As atividades esto descritas em documentos de qualidade? O ambiente est organizado?
SIM
NO
Agenda
Definio de problemas do ambiente de TI Fundamentos Apresentao do ambiente de solues Administrao do domnio Active Directory Administrao do domnio Aplicao de Regras Gerenciamento de Recursos Servidor de Arquivo Gerenciamento de Recursos Regras de Quotas Gerenciamento de Recursos Group Policies
30 30 45 90 90 90
90
90 30
Entrega do ambiente
10
Fundamentos
Por que existem servidores?
- Para gerenciar a comunicao entre diversos computadores e servios disponveis - Para disponibilizar recursos e servios para pequenos computadores.
11
Fundamentos
O que um domnio?
- Um domnio uma denominao onde se aplica um nome para uma famlia de recursos - Quando um novo equipamento adicionado a um domnio ele recebe um nome FQDN que significa NOME DA MQUINA + NOME DO DOMNIO
O que DNS?
- um servio que descobre e traduz um IP em um nome de mquina, ele necessrio pra cada rvore de domnio
O que DHCP?
- um servio que disponibiliza um IP nico por placa de rede de equipamento, e com isso o equipamento consegue se comunicar na rede interna.
12
Fundamentos
O primeiro servidor do domnio se chama Domain Controller Os servidores que entram logo aps no domnio so servidores Membros Uma rvore de domnio quando se tem mais de um servidor por domnio Quando se adiciona mais de um domnio interligado temos uma nova floresta
CONTOSO.CORP
SP.CONTOSO.CORP
RJ.CONTOSO.CORP
13
Agenda
Definio de problemas do ambiente de TI Fundamentos Apresentao do ambiente de solues Administrao do domnio Active Directory Administrao do domnio Aplicao de Regras Gerenciamento de Recursos Servidor de Arquivo Gerenciamento de Recursos Regras de Quotas Gerenciamento de Recursos Group Policies
30 30 45 90 90 90
90
90 30
Entrega do ambiente
14
Ambiente
Voc foi convidado a trabalhar em uma empresa de 15 funcionrios do ramo contbil. Nessa empresa existe a seguinte estrutura:
15
Ambiente
Na sua anlise do ambiente foi encontrado o seguinte:
1- As mquinas comunicam 3- Durante uma crise da umas com as outras e transferem muitos empresa vrios documentos importantes, funcionrios sabiam da alm de de corte decisomsicas e de ativos apresentaes sem contedo antes mesmo dos scios corporativo.
divulgarem os resultados.
2- As pastas de documentos 4- No existem modelos de importantes do financeiro so acessveis por mquinas, diretivas nas qualquer funcionrio assim como todos fazem o que sua cpia e modificao dos querem, e instalam vrias mesmos
16
3- Durante uma crise da empresa vrios funcionrios sabiam da deciso de corte de ativos antes mesmo dos scios divulgarem os resultados.
4- No existem modelos de diretivas nas mquinas, todos fazem o que querem, e instalam vrias ferramentas sem permisso para tal.
17
2- As pastas de documentos importantes do financeiro so acessveis por qualquer funcionrio assim como sua cpia e modificao dos mesmos. Quem deve acessar os arquivos? existe hierarquia da empresa e no departamento?
3- Durante uma crise da empresa vrios funcionrios sabiam da deciso de corte de ativos antes mesmo dos scios divulgarem os resultados. Existe possibilidade de vazamento de informao? possvel que algum tenha modificado os arquivos para benefcio prprio? Existe acesso s informaes dos clientes? 4- No existem modelos de diretivas nas mquinas, todos fazem o que querem, e instalam vrias ferramentas sem permisso para tal. possvel bloquear essa ao? Controlar quem pode fazer o que?
18
Ambiente
Para resolver os nossos problemas precisamos conhecer as possibilidades, vamos dividir o problema? 1- Desenhar um novo ambiente 2- Instalar um ou dois servidores 3- Denominar usurios de acesso para cada um 4- Criar grupos de controle de acesso 5- Criar um servidor de arquivos para controle de acesso 6- Aplicar regras de controle de acesso 7- Bloquear a ao de funcionrios mal intencionados
19
20
21
22
23
24
25
26
RECURSOS: Os recursos (Features) so as menores modificaes do ambiente que servem para habilitar ou desabilitar opes especficas das regras disponveis.
28
Regras disponveis
ADUC Active Directory Users and Computers Regra de controle de criao / modificao / remoo de usurios, grupos, computadores, servidores, contatos e entre outros recursos do domnio.
ADSS Active Directory Sites and Services Regra de comunicao entre servidores de domnio e entre rvores de domnio. ADRMS Active Directory Right Management Services Regra de segurana de aes definidas internamente, serve para controle das informaes geradas.
29
Regras disponveis
ADCS Active Directory Certificate Services Servio de gerncia de certificados de segurana aplicados internamente no domnio ADFS Active Directory Federation Services Servio de controle de usurios que no precisam ser autenticados na rede interna. DCRO Domain Controller Read Only Controlador de domnio que no faz a modificao de recursos internos, responsvel apenas para autenticao dos mesmos. DNS Domain Name Services Servio de traduo de nomes de computador em IP e vice-vesa.
30
Regras disponveis
DHCP Dynamic Hosts Control Protocol Servio de publicao de IPs disponveis no domnio para equipamentos IIS Internet Information Services Servio de publicao de pginas Web para publicao interna ou externa WDS Windows Deployment Services Servio de publicao de Sistemas operacionais disponibilizados automaticamente pelo domnio DFSR Domain File Services Replication Servio de controle de servios de servidores de arquivos
31
Regras disponveis
RDP Remote Desktop Protocol (antigo TSWeb) Servio de acesso remoto para publicao de desktops WSUS Windows Server Update Services Servio de atualizaes de segurana para o domnio
32
Ambiente Definio
Ambiente: Baseado nos seus conhecimentos a verso selecionada foi o Windows Server 2008 Standard pois recomendado para pequenas e mdias empresas para suportar os principais servios de regras disponveis. Ela oferece a estabilidade dos sistemas que voc precisa mas com limitao de alguns recursos. Regras: As regras implementadas sero Active Directory para controle dos usurios, DNS para resolver nomes de mquinas, DHCP para distribuir IPs e File server para gerenciar os recursos de arquivos.
33
Ambiente Prtica 1
Na primeira prtica podemos escolher:
34
35
Ambiente Aperfeioamentos
possvel liberar o mesmo tamanho da memria de um servidor Windows Server 2008 com uma simples linha de comando, j que servidores no precisam ter a hibernao ativada (e a mesma ativada por padro) o comando o seguinte:
powercfg -h off
Reinicie o servidor e o espao estar disponvel.
36
Ambiente Prtica 2
Faremos a instalao da regra de Active Directory e seus recursos, assim como a promoo do primeiro servidor de domnio, chamado Domain Controller Cada servidor deve ser denominado assim:
Nome do servidor: DCBRBH01 Nome do domnio: MINHAEMPRESA.corp Usurio: Administrator Senha: Az12345 Caracteres invlidos: Acentuao: Caracteres: ,: / ? ~ [ { ( = + ! @ # $ % & * Espao:
37
Ambiente Soluo
O que j foi desenvolvido na soluo dos nossos problemas? 1- Desenhar um novo ambiente 2- Instalar um ou dois servidores 3- Denominar usurios de acesso para cada um 4- Criar grupos de controle de acesso 5- Criar um servidor de arquivos para controle de acesso 6- Aplicar regras de controle de acesso 7- Bloquear a ao de funcionrios mal intencionados
38
Ambiente Prtica 2
Faremos a instalao das regras de: - Active Directory (ADDS, Group Policies) - DNS - DHCP Com isso poderemos comear a comunicar no novo domnio e controlar o acesso dos usurios e mquinas.
39
Fundamentos
O Active Directory surgiu da necessidade de se ter um nico diretrio, ou seja, ao invs do usurio ter uma senha para acessar o sistema principal da empresa, uma senha para ler seus e-mails, uma senha para se logar no computador, e vrias outras senhas, com a utilizao do AD, os usurios podero ter apenas uma senha para acessar todos os recursos disponveis na rede. Podemos definir um diretrio como sendo um banco de dados que armazena as informaes dos usurios. O AD surgiu juntamente com o Windows 2000 Server. Objetos como usurios, grupos, membros dos grupos, senhas, contas de computadores, relaes de confiana, informaes sobre o domnio, unidades organizacionais, entre outros, ficam armazenados no banco de dados do AD. Alm de armazenar vrios objetos em seu banco de dados, o AD disponibiliza vrios servios, como: autenticao dos usurios, replicao do seu banco de dados, pesquisa dos objetos disponveis na rede, administrao centralizada da segurana utilizando GPO, entre outros servios. Esses recursos tornam a administrao do AD bem mais fcil, sendo possvel administrar todos os recursos disponveis na rede centralizadamente. Para que os usurios possam acessar os recursos disponveis na rede, estes devero efetuar o logon. Quando o usurio efetua logon, o AD verifica se as informaes fornecidas pelos usurios so vlidas e faz a autenticao, caso essas informaes sejam vlidas.
40
Fundamentos
O AD organizado de uma forma hierrquica, com o uso de domnios. Caso uma rede utilize o AD, poder conter vrios domnios. Um domnio nada mais do que um limite administrativo e de segurana, ou seja, o administrador do domnio possui permisses somente no domnio, e no em outros domnios. As polticas de segurana tambm se aplicam somente ao domnio, e no a outros domnios. Resumindo: diferentes domnios podem ter diferentes administradores e diferentes polticas de segurana. Ao utilizar os domnios baseados no AD, temos os seguintes recursos: Logon nico : com esse recurso, o usurio necessita fazer apenas um logon para acessar os recursos em diversos servidores da rede, inclusive e-mail e banco de dados. Conta de usurio nica : os usurios possuem apenas um nome de usurio para acessar os recursos da rede. As contas de usurios ficam armazenadas no banco de dados do AD. Gerenciamento centralizado : com os domnios baseados no AD, temos uma administrao centralizada. Todas as informaes sobre contas de usurios, grupos e recursos da rede, podem ser administradas a partir de um nico local no domnio.
Escalonabilidade : os domnios podem crescer a qualquer momento, sem limite de tamanho. A forma de administrao a mesma para uma rede pequena ou grande.
41
Fundamentos
Nos domnios baseados no AD, podemos ter dois tipos de servidores: Controlador de Domnio (DC Domain Controller) : o computador que possui o AD instalado, ou seja, um servidor que possui uma cpia da base de dados do AD. Em um mesmo domnio podemos ter mais de um Controlador de Domnio. As alteraes efetuadas em um DC so replicadas para todos os outros DCs. So os DCs quem fazem a autenticao dos usurios de um domnio. Servidor Membro (Member Server) : um servidor que no possui uma cpia do AD, porm tem acesso aos objetos do AD. No fazem a autenticao dos usurios. Os domnios do Windows 2000 podem estar nos seguintes modos: Native (Nativo) : utilizado em domnios que possuem somente Controladores de Domnio (DC) Windows 2000. Mixed (Misto) : utilizado em domnios que possuem Controladores de Domnio (DC) Windows 2000 e Windows NT. Para a instalao do AD necessrio que o servio DNS esteja disponvel, ou seja, um pr-requisito para a instalao do AD. O AD utiliza o DNS para a nomeao de servidores e recursos, e tambm para resoluo de nomes. Caso o servio DNS no esteja disponvel na rede durante a instalao do AD, poderemos instal-lo durante a instalao do AD.
42
Fundamentos
Com a utilizao de domnios, podemos fazer com que nossa rede reflita a estrutura de uma empresa. Quando utilizamos vrios domnios temos o conceito de relao de confiana. A relao de confiana permite que os usurios de ambos os domnios acessem os recursos localizados nesses domnios. No Windows 2008, as relaes de confianas so bidirecionais e transitivas, ou seja, se o domnio X confia no domnio Y, e Y confia no domnio W, o domnio X tambm confia no domnio W.
Algumas caractersticas prprias de cada domnio: Um domnio armazena informaes somente dos objetos do prprio domnio. Um domnio possui suas prprias diretivas de segurana.
43
44
Fundamentos
DNS a abreviatura de Domain Name System. O DNS um servio de resoluo de nomes. Toda comunicao entre os computadores e demais equipamentos de uma rede baseada no protocolo TCP/IP (e qual rede no baseada no protocolo TCP/IP?) feita atravs do nmero IP. Nmero IP do computador de origem e nmero IP do computador de destino. Porm no seria nada produtivo se os usurios tivessem que decorar, ou mais realisticamente, consultar uma tabela de nmeros IP toda vez que tivessem que acessar um recurso da rede. Por exemplo, voc digita http://www.microsoft.com/brasil, para acessar o site da Microsoft no Brasil, sem ter que se preocupar e nem saber qual o nmero IP do servidor onde est hospedado o site da Microsoft Brasil. Mas algum tem que fazer este servio, pois quando voc digita http://www.microsoft.com/brasil, o protocolo TCP/IP precisa descobrir (o termo tcnico resolver o nome) qual o nmero IP est associado com o endereo digitado. Se no for possvel descobrir o nmero IP associado ao nome, no ser possvel acessar o recurso desejado. O papel do DNS exatamente este, descobrir, ou usando o termo tcnico, resolver um determinado nome, como por exemplo http://www.microsoft.com Resolver um nome significa, descobrir e retornar o nmero IP associado com o nome. Em palavras mais simples, o DNS um servio de resoluo de nomes, ou seja, quando o usurio tenta acessar um determinado recurso da rede usando o nome de um determinado servidor, o DNS o responsvel por localizar e retornar o nmero IP associado com o nome utilizado. O DNS , na verdade, um grande banco de dados distribudo em milhares de servidores DNS no mundo inteiro. O DNS passou a ser o servio de resoluo de nomes padro a partir do Windows 2000 Server. Anteriormente, com o NT Server 4.0 e verses anteriores do Windows, o servio padro para resoluo de nomes era o WINS Windows Internet Name Service . Verses mais antigas dos clientes Windows, tais como Windows 95, Windows 98 e Windows Me ainda so dependentes do WINS, para a realizao de determinadas tarefas. O fato de existir dois servios de resoluo de nomes, pode deixar o administrador da rede e os usurios confusos.
45
Fundamentos
Ao tentar acessar um determinado recurso, usando o nome de um servidor, como se o programa que voc est utilizando perguntasse ao DNS:
46
47
Fundamentos
O DHCP composto de diversos elementos. O servidor DHCP e os clientes DHCP. No servidor DHCP so criados escopos e definidas as configuraes que os clientes DHCP iro receber. A seguir apresento uma srie de termos relacionados ao DHCP. Estes termos sero explicados em detalhes at o final desta lio. Servidor DHCP: um servidor com o Windows 2000 Server ou com o Windows Server 2003, onde foi instalado e configurado o servio DHCP. Aps a instalao de um servidor DHCP ele tem que ser autorizado no Active Directory, antes que ele possa, efetivamente, atender a requisies de clientes. O procedimento de autorizao no Active Directory uma medida de segurana, para evitar que servidores DHCP sejam introduzidos na rede sem o conhecimento do administrador. O servidor DHCP no pode ser instalado em um computador com o Windows 2000 Professional, Windows XP Professional ou Windows Vista.
Cliente DHCP: qualquer dispositivo de rede capaz de obter as configuraes do TCP/IP a partir de um servidor DHCP. Por exemplo, uma estao de trabalho com o Windows 95/98/Me, Windows NT Workstation 4.0, Windows 2000 Professional, Windows XP, Windows Vista, uma impressora com placa de rede habilitada ao DHCP e assim por diante.
Escopo: Um escopo o intervalo consecutivo completo des endereos IP possveis para uma rede (por exemplo, a faixa de 10.10.10.100 a 10.10.10.150, na rede 10.10.10.0/255.255.255.0). Em geral, os escopos definem uma nica sub-rede fsica, na rede na qual sero oferecidos servios DHCP. Os escopos tambm fornecem o mtodo principal para que o servidor gerencie a distribuio e atribuio de endereos IP e outros parmetros de configurao para clientes na rede, tais como o Default Gateway, Servidor DNS e assim por diante.
48
Fundamentos
Superescopo: Um superescopo um agrupamento administrativo de escopos que pode ser usado para oferecer suporte a vrias subredes IP lgicas na mesma subrede fsica. Os superescopos contm somente uma lista de escopos associados ou escopos filho que podem ser ativados em conjunto. Os superescopos no so usados para configurar outros detalhes sobre o uso de escopo. Para configurar a maioria das propriedades usadas em um superescopo, voc precisa configurar propriedades de cada escopo associado, individualmente. Por exemplo, se todos os computadores devem receber o mesmo nmero IP de Default Gateway, este nmero tem que ser configurado em cada escopo, individualmente. No tem como fazer esta configurao no Superescopo e todos os escopos (que compem o Superescopo), herdarem estas configuraes. Intervalo de excluso: Um intervalo de excluso uma sequncia limitada de endereos IP dentro de um escopo, excludo dos endereos que so fornecidos pelo DHCP. Os intervalos de excluso asseguram que quaisquer endereos nesses intervalos no so oferecidos pelo servidor para clientes DHCP na sua rede. Por exemplo, dentro da faixa 10.10.10.100 a 10.10.10.150, na rede 10.10.10.0/255.255.255.0 de um determinado escopo, voc pode criar uma faixa de excluso de 10.10.10.120 a 10.10.10.130. Os endereos da faixa de excluso no sero utilizados pelo servidor DHCP para configurar os clientes DHCP.
Pool de endereos: Aps definir um escopo DHCP e aplicar intervalos de excluso, os endereos remanescentes formam o pool de endereos disponveis dentro do escopo. Endereos em pool so qualificados para atribuio dinmica pelo servidor para clientes DHCP na sua rede. No nosso exemplo, onde temos o escopo com a faixa 10.10.10.100 a 10.10.10.150, com uma faixa de excluso de 10.10.10.120 a 10.10.10.130, o nosso pool de endereos formado pelos endereos de 10.10.10.100 a 10.10.10.119, mais os endereos de 10.10.10.131 a 10.10.10.150.
49
Fundamentos
Concesso: Uma concesso um perodo de tempo especificado por um servidor DHCP durante o qual um computador cliente pode usar um endereo IP que ele recebeu do servidor DHCP (diz-se atribudo pelo servidor DHCP). Uma concesso est ativa quando ela est sendo utilizada pelo cliente. Geralmente, o cliente precisa renovar sua atribuio de concesso de endereo com o servidor antes que ela expire. Uma concesso torna-se inativa quando ela expira ou excluda no servidor. A durao de uma concesso determina quando ela ir expirar e com que frequncia o cliente precisa renov-la no servidor. Reserva: Voc usa uma reserva para criar uma concesso de endereo permanente pelo servidor DHCP. As reservas asseguram que um dispositivo de hardware especificado na subrede sempre pode usar o mesmo endereo IP. A reserva criada associada ao endereo de Hardware da placa de rede, conhecido como MAC Address. No servidor DHCP voc cria uma reserva, associando um endereo IP com um endereo MAC. Quando o computador (com o endereo MAC para o qual existe uma reserva) inicializado, ele entre em contato com o servidor DHCP. O servidor DHCP verifica que existe uma reserva para aquele MAC Address e configura o computador com o endereo IP associado ao MAC Address. Caso haja algum problema na placa de rede do computador e a placa tenha que ser substituda, mudar o MAC Address e a reserva anterior ter que ser excluda e uma nova reserva ter que ser criada, utilizando, agora, o novo Mac-Address. Tipos de opo: Tipos de opo so outros parmetros de configurao do cliente que um servidor DHCP pode atribuir aos clientes. Por exemplo, algumas opes usadas com frequncia incluem endereos IP para gateways padro (roteadores), servidores WINS (Windows Internet Name System) e servidores DNS (Domain Name System). Geralmente, esses tipos de opo so ativados e configurados para cada escopo. O console de Administrao do servio DHCP tambm permite a voc configurar tipos de opo padro que so usados por todos os escopos adicionados e configurados no servidor. A maioria das opo predefinida atravs da RFC 2132, mas voc pode usar o console DHCP para definir e adicionar tipos de opo personalizados, se necessrio.
50
51
52
Ambiente Soluo
O que j foi desenvolvido na soluo dos nossos problemas? 1- Desenhar um novo ambiente 2- Instalar um ou dois servidores 3- Denominar usurios de acesso para cada um 4- Criar grupos de controle de acesso 5- Criar um servidor de arquivos para controle de acesso 6- Aplicar regras de controle de acesso 7- Bloquear a ao de funcionrios mal intencionados
53
Agenda
Definio de problemas do ambiente de TI Fundamentos Apresentao do ambiente de solues Administrao do domnio Active Directory Administrao do domnio Aplicao de Regras Gerenciamento de Recursos Servidor de Arquivo Gerenciamento de Recursos Regras de Quotas Gerenciamento de Recursos Group Policies
30 30 45 90 90 90
90
90 30
Entrega do ambiente
54
Quando iniciarmos a criao de polticas de controle das mquinas, temos que ter OUs separadas e organizadas.
55
56
Senha
Nice123 Nice123 Nice123 Nice123 Nice123 Nice123 Nice123 Nice123 Nice123 Nice123
Nome do grupo
S-SOCIOS-RW S-SOCIOS-RO S-FINAN-RW S-FINAN-RO S-USERS-RW S-USERS-RO S-TODOS-RW
Membros
SOCIO1, SOCIO2 SOCIO3 FINAN1, FINAN2 FINAN3 USER1, USER2 USER3 Seu usurio
57
58
Ambiente Prtica 3
Inserir computador no domnio: Para inserir um computador no domnio, faa logon no cliente (XP) com a conta administrativa abaixo e siga as instrues para inseri-lo.
Usurio: administrador Senha: Az12345 Nome: PC01 Domnio: MINHAEMPRESA.CORP Caracteres invlidos: Acentuao: Caracteres: ,: / ? ~ [ { ( = + ! @ # $ % & * Espao:
59
60
61
Ambiente Aperfeioamentos
Por padro um domnio Windows 2000/2003/2008 colocam todos os usurios criados e computadores que se juntam ao domnio nos containers Users e Computers, respectivamente. Se voc quiser implantar polticas de grupo, isto um problema, j que Conteiners no suportam a aplicao de polticas de grupo. Polticas de grupo s podem ser aplicadas Unidades Organizacionais. Como vimos no artigo sobre polticas de grupo, no saudvel aplicar politicas de grupo para o domnio inteiro. Sendo assim, ou voc move, manualmente ou via script, os usurio e computadores para a OU em que a poltica est aplicada ou usa os comandos:
* redircmp para mudar o conteiner padro onde novos computadores so criados. Sintaxe: redircmp ou=nome_da_ou,dc=dominio,dc=meu
* redirusr para mudar o conteirner padro onde novos usurios so criados. Sintaxe: redirusr ou=nome_da_ou,dc=dominio,dc=meu
Observaes: * Este comando s para a partir do Windows Server 2003. * O Active Directory deve estar com o Domain Functional Level como Windows Server 2003
62
Ambiente Aperfeioamentos
63
Ambiente Definio
O que j foi desenvolvido na soluo dos nossos problemas? 1- Desenhar um novo ambiente 2- Instalar um ou dois servidores 3- Denominar usurios de acesso para cada um 4- Criar grupos de controle de acesso 5- Criar um servidor de arquivos para controle de acesso 6- Aplicar regras de controle de acesso 7- Bloquear a ao de funcionrios mal intencionados
64
Agenda
Definio de problemas do ambiente de TI Fundamentos Apresentao do ambiente de solues Administrao do domnio Active Directory Administrao do domnio Aplicao de Regras Gerenciamento de Recursos Servidor de Arquivo Gerenciamento de Recursos Regras de Quotas Gerenciamento de Recursos Group Policies
30 30 45 90 90 90
90
90 30
Entrega do ambiente
65
66
Agenda
Definio de problemas do ambiente de TI Fundamentos Apresentao do ambiente de solues Administrao do domnio Active Directory Administrao do domnio Aplicao de Regras Gerenciamento de Recursos Servidor de Arquivo Gerenciamento de Recursos Regras de Quotas Gerenciamento de Recursos Group Policies
30 30 45 90 90 90
90
90 30
Entrega do ambiente
67
File Services
Os servidores de arquivos baseiam-se em duas gerncias: Gerncia de compartilhamento
Quando compartilhamos uma pasta, estamos permitindo que o seu contedo seja acessado atravs da rede. Quando uma pasta compartilhada, os usurios podem acess-la atravs da rede, bem como o todo o contedo da pasta que foi compartilhada. Por exemplo, poderamos criar uma pasta compartilhada onde seriam colocados documentos, orientaes e manuais, de tal forma que estes possam ser acessados por qualquer estao conectada a rede.
Gerncia de segurana
Uma das principais vantagens de se utilizar segurana que ele permite que sejam definidas permisses de acesso para arquivos e pastas, isto , posse ter arquivos em uma mesma pasta, com permisses diferentes para usurios diferentes. Alm disso, as permisses NTFS tm efeito localmente, isto , mesmo que o usurio faa o logon no computador onde um determinado arquivo existe, se o usurio no tiver as permisses NTFS necessrias, ele no poder acessar o arquivo. Isso confere um alto grau de segurana, desde que as permisses NTFS sejam configuradas corretamente.
68
IMPORTANTE: As permisses definem o que o usurio pode fazer com o contedo de uma pasta compartilhada, desde somente leitura, at um controle total sobre o contedo da pasta compartilhada.
Acima est uma pasta compartilhada atravs da figura de uma "mozinha" , segurando a pasta. Importante: Permisses de compartilhamento, no impedem o acesso ao contedo da pasta localmente, isto , se um usurio fizer o logon no computador onde est a pasta compartilhada, este usurio ter acesso a todo o contedo da pasta, a menos que as "Permisses NTFS" estejam configurados de acordo. Permisses NTFS assunto para daqui a pouco. Vamos falar de um jeito diferente: Permisses de compartilhamento somente tem efeito quando o usurio est acessando a pasta atravs da rede, para acesso local, no prprio computador onde est a pasta, as permisses de compartilhamento no tem nenhum efeito, como se no existissem. Ao criarmos um compartilhamento em uma pasta, por padro o Windows 2008 Server atribui a permisso "Controle total" para o grupo "Todos", que conforme o nome sugere, significa qualquer usurio com acesso ao computador, seja localmente, seja pela rede. Por isso ao criar um compartilhamento, j devemos configurar as permisses necessrias, a menos que estejamos compartilhando uma pasta de domnio pblico, onde todos os usurios possam ter Controle total sobre os arquivos e subpastas da pasta compartilhada.
69
O que acontece quando um usurio pertence a mais de um grupo?? Quando um usurio pertence, por exemplo, a dois grupos e os dois grupos recebem permisso para acessar um compartilhamento, sendo que os dois grupos possuem permisses diferentes, por exemplo, um tem permisso de Leitura e o outro de Alterao, como que ficam as permisses do usurio que pertence aos dois grupos? Para responder a esta questo, considere o seguinte: "Quando um usurio pertence a mais de um grupo, cada qual com diferentes nveis de permisses para uma pasta compartilhada, o nvel de permisso para o usurio que pertence a mais de um grupo, a combinao das permisses atribudas aos diferentes grupos". No nosso exemplo, o usurio pertence a dois grupos, um com permisso de somente leitura e outro com permisso de alteraes. A nvel de permisso do usurio de alteraes, pois a soma das permisses dos dois grupos
71
Negar tm precedncia sobre quaisquer outras permisses: Vamos considerar o exemplo do usurio que pertence a trs grupos. Se em um dos grupos ele tiver permisso de leitura e em outro grupo permisso de alterao. Mas se para o terceiro grupo, for "negado" o acesso pasta compartilhada, o usurio ter o acesso negado, uma vez que "Negar" tem precedncia sobre quaisquer outras permisses, conforme indicado
72
Uma das principais vantagens do NTFS que ele permite que sejam definidas permisses de acesso para arquivos e pastas, isto , posse ter arquivos em uma mesma pasta, com permisses diferentes para usurios diferentes. Alm disso, as permisses NTFS tm efeito localmente, isto , mesmo que o usurio faa o logon no computador onde um determinado arquivo existe, se o usurio no tiver as permisses NTFS necessrias, ele no poder acessar o arquivo. Isso confere um alto grau de segurana, desde que as permisses NTFS sejam configuradas corretamente.
74
Permite ao usurio listar as pastas e arquivos dentro da pasta, permite que sejam exibidas as permisses, donos e atributos. Permite ao usurio criar novos arquivos e subpastas dentro da pasta, alterar os atributos da pasta e visualizar o dono e as permisses da pasta.
Contedo de pastas Permite ao usurio ver o nome dos arquivos e subpastas Permite ao usurio navegar atravs das subpastas para chegar a outras pastas e arquivos, mesmo que o usurio no tenha permisso de acesso s pastas pelas quais est navegando, alm disso possui os mesmos direitos que as permisses Leitura e Listar Contedo de pastas. Permite ao usurio eliminar a pasta, mais todas as aes permitidas pela permisso Gravar e pela permisso Ler e executar. Permite que sejam alteradas as permisses, permite ao usurio tornar-se dono da pasta, eliminar subpastas e arquivos, mais todas as aes permitidas por todas as outras permisses NTFS.
Ler e executar
75
Nvel de Acesso
Permite ao usurio ler o arquivo, permite que sejam exibidas as permisses, dono e atributos. Permite ao usurio gravar um arquivo com o mesmo nome sobre o arquivo, alterar os atributos da pasta e visualizar o dono e as permisses da pasta. Permite ao usurio executar aplicativos (normalmente programas .exe, .bat ou .com), mais todas os direitos da permisso Leitura. Permite ao usurio modificar e eliminar o arquivo, mais todas as aes permitidas pela permisso Gravar e pela permisso Ler e executar. Permite que sejam alteradas as permisses, permite ao usurio tornar-se dono do arquivo, mais todas as aes permitidas por todas as outras permisses NTFS.
76
Permisses NTFS para um arquivo tm prioridade sobre permisses NTFS para pastas: Por exemplo se um usurio tm permisso NTFS de escrita em uma pasta, mas somente permisso NTFS de leitura para um arquivo dentro desta pasta, a sua permisso efetiva ser somente a de leitura, pois a permisso para o arquivo tem prioridade sobre a permisso para a pasta.
Negar uma permisso NTFS tem prioridade sobre permitir: Por exemplo, se um usurio pertence a dois grupos diferentes. Para um dos grupos foi dado permisso de leitura para um arquivo e para o outro grupo foi Negada a permisso de leitura, o usurio no ter o direito de leitura, pois Negar tem prioridade sobre Permitir. Agora que j vimos a teoria necessria, vamos praticar um pouco. Nos prximos tpicos iremos aprender a compartilhar pastas, atribuir permisses de compartilhamento. Iremos aprender a acessar pastas compartilhadas atravs da rede. Depois vamos trabalhar um pouco com as permisses NTFS.
77
78
Agenda
Definio de problemas do ambiente de TI Fundamentos Apresentao do ambiente de solues Administrao do domnio Active Directory Administrao do domnio Aplicao de Regras Gerenciamento de Recursos Servidor de Arquivo Gerenciamento de Recursos Regras de Quotas Gerenciamento de Recursos Group Policies
30 30 45 90 90 90
90
90 30
Entrega do ambiente
79
Aplicao de Quotas
Para gerenciar o crescimento vegetativo de um servidor de arquivos preciso controlar o quanto pode-se crescer e quais os tamanhos disponveis para os departamentos, usurios e servios. Para isso, possvel criar regras para gerenciar os espaos utilizados por cada entidade.
80
81
Agenda
Definio de problemas do ambiente de TI Fundamentos Apresentao do ambiente de solues Administrao do domnio Active Directory Administrao do domnio Aplicao de Regras Gerenciamento de Recursos Servidor de Arquivo Gerenciamento de Recursos Regras de Quotas Gerenciamento de Recursos Group Policies
30 30 45 90 90 90
90
90 30
Entrega do ambiente
82
Fundamentos
Temos um componente muito importante no Windows 2008 quando falamos em segurana. So as diretivas de segurana, as quais utilizamos para proteger a rede em um ambiente corporativo. Com as diretivas de segurana podemos definir o que um usurio poder fazer em seu computador e na rede. As diretivas de segurana de domnio so aplicadas a usurios, computadores, Member Servers (Servidores Membros) e Domain Controller (Controladores de Domnio). Um detalhe importante que a GPO s pode ser aplicada em computadores que utilizam o Windows 2000, Windows XP, Windows 2003, Vista, Windows 2008 ou 7 (Seven). As verses mais antigas do Windows (95, 98, ME e NT) no podem utilizar este recurso. No Windows NT foi introduzido o recurso Police Editor, com o qual era possvel definir vrias configuraes das estaes de trabalho centralizadamente. Porm esse recurso era bem limitado. Com a chegada das GPOs no Windows 2000, a administrao do domnio se tornou bem mais fcil. Observe que em um domnio no qual os clientes so Windows 9x e Windows 2000, deveremos utilizar ambos os recursos: Police Editor para configurar os clientes anteriores ao Windows 2000 e a GPO para configurarmos os clientes Windows 2000.
83
Fundamentos
As GPOs possuem configuraes que podem ser aplicadas tanto em nvel de usurio como em nvel de computador: Usurio: as GPOs aplicadas aos usurios sero carregadas em todos os computadores em que o usurio efetuar logon. Essas polticas so aplicadas no momento em que o usurio efetuar logon. Computador: as GPOs aplicadas aos computadores sero aplicadas no computador, independente do usurio que efetuar logon. Essas polticas so aplicadas no momento em que o computador for inicializado.
84
Group Policies
Cada uma das polticas subdividida na inicializao da seguinte forma:
Diretivas de computadores: reconhecida durante a inicializao do computador, aplicada antes do logon do usurio ou aps o log off do mesmo.
Diretiva de usurios: reconhecida durante o processo de log on do usurio, aps o logon a mquina comunica com o servidor requisitando as alteraes necessrias.
85
86
Ambiente Entrega
O que j foi desenvolvido na soluo dos nossos problemas? 1- Desenhar um novo ambiente 2- Instalar um ou dois servidores 3- Denominar usurios de acesso para cada um 4- Criar grupos de controle de acesso 5- Criar um servidor de arquivos para controle de acesso 6- Aplicar regras de controle de acesso 7- Bloquear a ao de funcionrios mal intencionados
87
Agenda
Definio de problemas do ambiente de TI Fundamentos Apresentao do ambiente de solues Administrao do domnio Active Directory Administrao do domnio Aplicao de Regras Gerenciamento de Recursos Servidor de Arquivo Gerenciamento de Recursos Regras de Quotas Gerenciamento de Recursos Group Policies
30 30 45 90 90 90
90
90 30
Entrega do ambiente
88
Ambiente Entrega
O que j foi desenvolvido na soluo dos nossos problemas? 1- Desenhar um novo ambiente 2- Instalar um ou dois servidores 3- Denominar usurios de acesso para cada um 4- Criar grupos de controle de acesso 5- Criar um servidor de arquivos para controle de acesso 6- Aplicar regras de controle de acesso 7- Bloquear a ao de funcionrios mal intencionados
89
Ambiente - Entrega
Agora devemos publicar as novidades para a empresa a fim de mostrar as qualidades de projetos desenvolvidos com competncia, qualidade, escalabilidade e controle.
90
Obrigado!
Guilherme Lima
MCITP Enterprise Administrator / MCITP Server Administrator 5x MCTS / MCSA / MCDST / MCP / TCF / Auditor ISO 20000
www.solucoesms.com www.twitter.com/guilhermelima
91