MS_AD

5/27/2018 MS_AD

1/265

Alfamdia Redes:Solues Microsoft

Workgroup e AD

5/27/2018 MS_AD

2/265

Solues MicrosoftWorkgroup e AD

2

Todos os direitos reservados para Alfamdia Prow

AVISO DE RESPONSABILIDADEAs informaes contidas neste material de treinamento so distribudas NO ESTADO EM

QUE SE ENCONTRAM, sem qualquer garantia, expressa ou implcita. Embora todas asprecaues tenham sido tomadas na preparao deste material, a Alfamdia Prow no tmqualquer responsabilidade sobre qualquer pessoa ou entidade com respeito responsabilidade,perda ou danos causados, ou alegadamente causados, direta ou indiretamente, pelas instruescontidas neste material ou pelo software de computador e produtos de hardware aqui descritos.

01/2012

Alfamdia Prowhttp://www.alfamidia.com.br

5/27/2018 MS_AD

3/265


3

Unidade 1 Workgr oup ....................................................................................... 5

Unidade 2 I nstalao e Configurao I nicial de Windows 7 e Server 2008 .. 7

2.1 Instalao do Windows 7 ........................................................................................... 7

Configurao de r ede no Windows 7 ................................................................... 19

2.2 Instalao do Windows Server 2008 ...................................................................... 24

Vi so Geral do Windows Server 2008 ................................................................. 33

Roles e Featur es (Funes e Recursos) .............................................................. 35

Cr iao de usurios e grupos locais .................................................................... 41

Grupos locais: ....................................................................................................... 49

Configurao de compar ti lhamento local (pastas e impr essoras) ..................... 55

Acessando r ecursos atr avs da rede: ................................................................... 58

Unidade 3 Conceitos de Active Directory ....................................................... 77

3.1 O que Active Directory? ....................................................................................... 77

3.2 Roles do AD no Windows Server 2008 ................................................................... 77

3.3 O que Domain Services? ....................................................................................... 78

3.4 Estrutura lgica e fsica do ADDS .......................................................................... 79

Unidade 4 Nomenclatura LDAP ..................................................................... 80

4.1 Conhecimento adicional: como formar um nome LDAP................................. 80

Unidade 5 Cr iao de um Domnio de Active Directory ................................ 815.1 Configurao dos pr-requisitos da Role Active Directory Domain Services .... 81

5.2 Configurao do Windows Server como Controlador de Domnio (DomainController) ............................................................................................................................. 85

Unidade 6 Configurao e Administr ao dos Objetos do ADDS ............... 107

6.1 O que uma OU? ................................................................................................... 108

6.2 Planejamento e criao de OU .............................................................................. 108

Unidade 7 Configurao de usurios e grupos ............................................ 111

7.1

Criao de usurios ............................................................................................... 111

7.2 Administrao das contas de usurio ................................................................... 114

7.3 Configurao de propriedades ............................................................................. 119

7.4 Configurao do perfil ambulante ....................................................................... 129

Unidade 8 Cr iao de grupos ........................................................................ 133

8.1 Tipos e escopos de grupos ..................................................................................... 134

8.2 Adicionando membros ........................................................................................... 137

8.3 Configurao de outras propriedades .................................................................. 139

Unidade 9 Segurana dos Recur sos de Disco: Configurao decompar ti lhamento .............................................................................................. 145

5/27/2018 MS_AD

4/265


4

9.1 Compartilhamento de recursos ............................................................................ 145

Unidade 10 Segurana dos Recursos de Di sco: Configurao das permi ssesde segurana NTFS ............................................................................................ 149

10.1 Configurando Segurana NTFS ........................................................................... 14910.2 Dicas para facilitar a administrao dos recursos .............................................. 153

Unidade 11 Configurao de Group Pol icies (di retivas de grupo) ................ 155

Unidade 12 Tpicos Adi cionais ....................................................................... 171

12.1 Mestres de operao .............................................................................................. 171

12.2 Global Catalog........................................................................................................ 177

12.3 Adio de mais controladores de domnio e Criao de mais domnios ........... 179

12.4 Remoo de um controlador de domnio ............................................................. 180

12.5 Delegar tarefas administrativas no AD ................................................................ 18212.6 Servidor DHCP ...................................................................................................... 185

Unidade 13 Diretiva local e de grupo ............................................................ 197

13.1 Configurao de diretivas locais ........................................................................... 197

13.2 Configurao de Group Policies (diretivas de grupo) ........................................ 204

Unidade 14 ANEXOS ...................................................................................... 225

14.1 Configurao de rede e criao de rede domstica......................................... 225

14.2 Anexo 2 - Uso do MMC e dos Snap-ins ................................................................ 233

14.3 Anexo 3 - Backup e Restore do Active Directory ................................................ 235

14.4 Anexo 4 - Como criar uma mquina virtual usando o Hyper-V Manager: ..... 256

5/27/2018 MS_AD

5/265


5

Unidade 1Workgroup

1.1 O que uma rede Workgroup?

A Microsoft, hoje em dia, oferece duas solues de rede decomputadores: Workgroup e Domnio

Nesta parte inicial, nosso foco o workgroup.

Uma rede workgroup tambm pode ser chamada de grupo de trabalho,grupo domstico, rede domstica, entre outros nomes.

Neste tipo de rede, no temos um servidor responsvel pela seguranada rede. Nesta soluo, todos os computadores fazem a funo de clientee servidor ao mesmo tempo. Cada computador responsvel pelasegurana de seus recursos compartilhados na rede.

Isto significa que cada usurio que precise acessar um recurso em umcomputador, precisar ter um usurio vlido neste computador. Istoresulta que cada pessoa precisar lembrar vrios nomes de usurios esenhas diferentes, para acessar cada recurso necessrio para seutrabalho.

Uma rede workgroup pode ser formada apenas por sistemas operacionais

de cliente (Windows XP, Vista e 7) ou pode ter a presena de um ou maisWindows Server tambm.

Os sistemas operacionais de cliente podem ter apenas 10 conexessimultneas em seus recursos compartilhados, o que impede (uma dasprincipais razes!) que seja usada este tipo de rede em empresasmaiores, ou quando tiver uma grande quantidade de computadores.

Para implementar uma rede workgroup, precisamos ter pelo menos 2computadores, com algum tipo de conectividade de rede entre eles.

Podemos compartilhar uma impressora, uma conexo de internet, umrecurso de disco.

Normalmente usamos este tipo de rede em casa (rede domstica), empequenos escritrios e pequenas empresas, onde precisamoscompartilhar recursos, mas a segurana no um dos principais pr-requisitos ou onde temos poucos recursos e/ou um grau de conhecimentomenor.

Alm disto, se precisamos compartilhar recursos, e no temos a presenade um Windows Server, a rede workgroup a nica soluo.

Como conhecimento adicional, quando um usurio efetua seu logon emum computador membro de um grupo de trabalho, sua autenticao

feita na base de dados de segurana local SAM. Isto faz com que esteusurio tenha acesso aos recursos aos quais ele tenha permisso, que

5/27/2018 MS_AD

6/265


6

ele possa executar as tarefas s quais ele tenha direito, mas SOMENTEno computador no qual ele fez logon.

Caso este usurio solicite acesso a um recurso de outro computador, sersolicitado a ele uma nova credencial (nome de usurio e senha) vlido nocomputador onde se encontra o recurso solicitado.

5/27/2018 MS_AD

7/265


7

Unidade 2 Instalao e ConfiguraoInicial de Windows 7 e Server 2008

2.1 Instalao do Windows 7

A instalao do Windows 7, hoje, um procedimento extremamentesimples!

Quase todas as configuraes so feitas APS a instalao ter sidofinalizada com sucesso.

Existem vrias formas de instalar um Windows: Instalao manual localou por um compartilhamento de rede, instalao atravs de imagens, ...

O procedimento que iremos ver neste treinamento o da instalaomanual local, atravs da inicializao de um computador pelo DVD local.

Pr-requisitos:

CPU: 1Ghz ou maior

Memria RAM: 1Gb para sistemas em 32 bits, 2Gb para sistemas em 64bits

Vdeo: Compatvel com Aero

Disco: 16Gb para sistemas em 32 bits, 20Gb para sistemas em 64 bits

desejvel a presena de uma unidade de DVD

Atualizao:

O Windows 7 s pode ser atualizado a partir de um Windows Vista SP1ou posterior, da mesma linha.

Todos os outros Windows requerem que seja instalada uma nova versode Windows. Com isto no so mantidos softwares instalados nem dadose configuraes dos usurios. Para manter, necessrio migrar o perfil

ou fazer backup e restaurar aps, alm de ter que reinstalar todos ossoftwares do usurio.

O processo de instalao:

Durante o procedimento de instalao, poucas perguntas so feitas... Orestante configurado depois do Windows instalado.

Para uma instalao local, manual (formato que ser visto nestetreinamento), devemos colocar o DVD no drive e iniciar o computador. Seno houver nenhum sistema operacional instalado no computador, oprocesso de instalao inicia automaticamente. Se houver algum sistemaoperacional instalado, o computador apresentar uma mensagem,solicitando que seja pressionada uma tecla para iniciar pelo DVD. Deve

5/27/2018 MS_AD

8/265


8

ser feito isto, para que seja possvel fazer uma nova instalao (paraatualizao, o processo pode ser iniciado de dentro do prprio Windows,como a instalao de qualquer outro software).

Quando solicitado, escolha a opo de idioma e teclado, conforme telaabaixo:

Na tela seguinte, para iniciar a instalao, deve-se clicar em Instalaragora

5/27/2018 MS_AD

9/265


9

OBS: Nesta tela acima tambm apresentada a opo Reparar ocomputador. Esta opo oferece ferramentas para recuperar umainstalao do Windows.

O processo de instalao continua.

Na tela seguinte, marque a caixa para aceitar os termos da licena edepois clique em Avanar

5/27/2018 MS_AD

10/265


10

Nesta tela oferecida a escolha de que tipo de instalao fazer: Atualizarou instalar nova verso (Atualizao ou Personalizada). Nestetreinamento, veremos a opo Personalizada. Esta opo instala um novoWindows.

Escolha a unidade de disco (disco fsico e partio) onde deseja instalar oWindows 7. Clique em Avanar para continuar.

5/27/2018 MS_AD

11/265


11

OBS: Nesta parte da instalao possvel criar, excluir ou modificar asparties de disco, clicando na opo Opes de unidade da janelaacima

O procedimento de instalao continua.

5/27/2018 MS_AD

12/265


12

Aguarde at que esteja finalizado.

O processo pode demora vrios minutos, dependendo do equipamento.

Logo aps finalizar, o computador ser iniciado e a primeira tarefa a ser

executada a configurao do nome do usurio que ser o administrador(usurio principal) desta estao e o nome do computador.

5/27/2018 MS_AD

13/265


13

A prxima tela pede a configurao da senha do usurio inicial. Temosque digitaruma senha, digitar novamente na caixa de confirmao e, na

caixa da Dica de senha, podemos digitar uma frase ou lembrete queajude a recuperar a senha, em caso de esquecimento.

5/27/2018 MS_AD

14/265


14

Clique em Avanar.

Na tela sobre atualizaes automticas do Windows, oferecida a opo

de configurar para receber atualizaes automticas ou no.

5/27/2018 MS_AD

15/265


15

Na prxima tela, so oferecidos para ajuste as informaes sobre fusohorrio e data/hora. Se necessrio, aqui que fazemos estes ajustes.

Clique em Avanar.

5/27/2018 MS_AD

16/265


16

Prxima configurao a ser feita, se refere rede. Se for detectada apresena de uma placa de rede, oferecido para escolher o local darede, na verdade o tipo de rede, que pode ser domstica, trabalho ou

pblica. Clique no tipo de rede desejado para que seja configurado nestemomento.

5/27/2018 MS_AD

17/265


17

Aguarde at que a instalao tenha sido finalizada

O Windows finaliza o processo de instalao e inicia a rea de trabalho doWindows.

OBS: No esquea que, depois de instalado o Windows, necessrioativa-lo.

Veja a tela abaixo, bem na parte inferior, onde trata da ativao:

5/27/2018 MS_AD

18/265


18

possvel ativar o Windows de forma online ou pelo telefone, e trocar achave de instalao, caso isto seja necessrio, diretamente nesta janela.

Tambm por esta janela que temos acesso janela das propriedadesavanadas do sistema, onde podemos, por exemplo, trocar o nome docomputador, ou definir seu grupo de trabalho ou domnio.

5/27/2018 MS_AD

19/265


19

Para acessar esta janela, podemos clicar com o boto direito do mouse

diretamente na opo Computador do menu Iniciar e escolherPropriedades no menu que se abre, ou acessar o cone Sistema, peloPainel de Controle.

Configurao de rede no Windows 7

Logo depois de instalar o Windows 7, se foi detectada uma placa de rede,esta foi configurada para receber configuraes dinmicas.

Nem sempre teremos um servidor de DHCP disponvel na rede (veremosmais sobre este assunto no decorrer deste treinamento) ou poderemos

5/27/2018 MS_AD

20/265


20

usar as configuraes APIPA (veremos mais sobre APIPA no decorrerdeste treinamento).

Ento, pode ser necessrio configurar a placa de rede com umaconfigurao esttica de TCP-IP, pelo menos seu endereo e mscara desubrede.

Veja abaixo como fazer esta configurao:

A maneira mais rpida de acessar as configuraes da rede clicandocom o boto direito do mouse no cone de rede na rea de notificao:

Clique na opo para abrir a Central de Redes e Compartilhamento

Clique em Alterar as configuraes do adaptador e depois, clique na placade rede a ser configurada, com o boto direito do mouse, e escolha aopo Propriedades:

5/27/2018 MS_AD

21/265


21

Na caixa de dilogo das configuraes da placa de rede, role a lista eclique em Protocolo TCP/IP verso 4 (TCP/IPv4) e clique no botoPropriedades:

Inicialmente, estar configurado para obter endereo automaticamente:

5/27/2018 MS_AD

22/265


22

Mas, na falta de um servidor DHCP, e na impossibilidade de usar oAPIPA, deveremos configurar manualmente:

5/27/2018 MS_AD

23/265


23

OBS: Para usar nas redes locais, internas, no visveis na Internet,devemos escolher 1 entre os vrios endereos IP no propagveis (novlidos na Internet, ento de uso pblico) com os seguintes padres:

10.x.x.x

172.16.x.x

192.168.x.x

Qualquer um deles serve!

Ainda nas configuraes de rede, mas agora no em relao placa,precisamos configurar que o computador possa encontrar outros

computadores na rede, e que ele possa compartilhar seus recursos com arede.

Na janela da Central de Rede e Compartilhamento vista acima, clique naopo Alterar as configuraes de compartilhamento avanadas:

5/27/2018 MS_AD

24/265


24

Marque as opes que deseja ativar. E clique em Salvar alteraes.OBS:

Compartilhamento da Pasta Pblica:

Todo o computador com Windows 7 possui uma pasta pblica. Se no formarcada a opo para compartilhamento desta pasta, esta ser uma reade troca de informaes entre usurios locais do computador.

2.2 Instalao do Windows Server 2008

A instalao do Windows Server 2008, hoje, um procedimento muitosimples!

Quase todas as configuraes so feitas APS a instalao ter sidofinalizada com sucesso.

Existem vrias formas de instalar um Windows: Instalao manual localou por um compartilhamento de rede, instalao atravs de imagens, ...

O procedimento que iremos ver neste treinamento o da instalaomanual local, atravs da inicializao de um computador pelo DVD local.

Pr-requisitos:

5/27/2018 MS_AD

25/265


25

Requisitos de Sistema para instalao do Windows Server 2008 R2

Processador: Mnimo: 1.4 GHz (processador x64)

Observao: necessrio um processador Intel Itanium 2 para oWindows Server 2008 R2 for Itanium-based Systems

Memria (Mnimo): 512 MB RAM

Memria Mxima: 8 GB (Foundation) ou 32 GB (Standard) ou 2 TB (Enterprise,

Datacenter e Itanium-Based Systems)

Espao em Disco Mnimo: 32 GB ou mais

Observao: Computadores com mais de 16 GB de RAM precisam demais espao em disco para paginao, hibernao e armazenamento dearquivos

Monitor Super VGA (800600) ou monitor de maior resoluo Outros: Unidade de DVD, Teclado e Mouse (ou dispositivo apontador compatvel),

acesso Internet.

* Os requisitos reais variam com base na configurao de seu sistema enas aplicaes e recursos que voc decidir instalar. Espao em discodisponvel adicional pode ser necessrio se voc estiver instalando poruma rede e dependendo das funes a serem implementadas.

O processo de instalao:

Durante o procedimento de instalao, poucas perguntas so feitas... O

restante configurado depois do Windows instalado.Veja a seguir, o procedimento e o que precisa ser configurado durante oprocedimento de instalao:

Coloque o DVD na unidade. Inicie o computador... O processo deinstalao inicia automaticamente.

Quando solicitado, escolha a opo de idioma e teclado, conforme telaabaixo

5/27/2018 MS_AD

26/265


26

Na tela seguinte, clique em Instalar agora

O processo de instalao inicia

5/27/2018 MS_AD

27/265


27

Na prxima tela, devemos escolher na lista a verso de Windows quedesejamos instalar. Isto vai depender do que foi adquirido.

OBS:

Verses de Windows Server 2008:O Windows Server possui diversas verses, alm de poder ser instaladoem modo Core, ou seja, sem interface grfica.

As verses so: Standard, Enterprise e Datacenter.

O que difere estas verses so o suporte ao hardware e a possibilidadede trabalhar em cluster (a verso Standard no tem esta possibilidade).Datacenter uma verso especial ele no vem em caixinha, proprietrio de hardware, preparado especialmente por cada fornecedorde hardware, para seus modelos de equipamentos de servidores.

Marque a caixa para Aceitar os termos da licena e depois clique emAvanar

5/27/2018 MS_AD

28/265


28

Escolha que tipo de instalao deseja: Atualizar ou instalar nova verso(Atualizao ou Personalizada), clicando sobre a opo desejada. Naverso personalizada instalado um novo Windows, no guardandonada do que foi usado (software, configuraes) da verso atual, caso ela

exista.

5/27/2018 MS_AD

29/265


29

Escolha a unidade de disco (disco fsico e partio) onde deseja instalar oWindows 2008. Se o disco j estiver particionado, escolha a partiodesejada.

OBS: Se caso o disco do servidor no for reconhecido pelo Windows, ouse ele tiver um driver especial, neste momento que inserimos o driver dohd (da controladora, normalmente). Tambm nesta tela que podemoscriar, modificar ou excluir parties de disco. Vimos estas mesmas opesna instalao do Windows 7

Logo depois, o procedimento de instalao continua.

5/27/2018 MS_AD

30/265


30

Aguarde at que esteja finalizado.

O processo demora vrios minutos, dependendo do equipamento.

Logo aps finalizar, o computador ser iniciado e a primeira tarefa a serexecutada a configurao da senha do usurio Administrador. necessrio utilizar uma senha difcil, como Pa$$w0rd como senha, poiso Windows deve seguir sua poltica de senhas difceis.

OBS:

A poltica de senhas difceis da MS requer que a senha utilize:

Letras maisculas e minsculas

Caracteres especiais

Nmeros

Esta poltica (policy) pode ser desativada posteriormente.

5/27/2018 MS_AD

31/265


31

Assim que confirmada a alterao da senha do Administrador, oWindows finaliza o processo de instalao e inicia a rea de trabalho doWindows.

Logo que iniciar o trabalho com o Windows 2008, ser aberta a janela(automaticamente) das Tarefas de Configurao Iniciais.

Nesta tela temos atalhos para todas as configuraes iniciais desejadas. por ela que podemos trocar o nome do computador (o Windows geraum nome aleatrio durante a instalao e normalmente iremos troca-lopara um nome que defina melhor a funo do computador), definir se elefar parte de um workgroup ou de um domnio, configurar o endereo IP,atualizaes automticas, entre outras aes. Todas estas aes podemser executadas por outras ferramentas, mas por esta janela, temosacesso mais rpido.

5/27/2018 MS_AD

32/265


32

OBS: Clicando na opo mostrada acima, abre-se a caixa de dilogo daspropriedades do sistema, onde podemos trocar o nome do computador.Veja tela abaixo:

Esta tela ir continuar aparecendo, at que marquemos a caixa deseleo, solicitando que no mais seja mostrada na inicializao docomputador.

Sempre que fecharmos esta janela, e depois quando iniciarmos o servidorsem a janela das Tarefas de Configurao Iniciais, a janela que se abre o Gerenciador de Servidores, ferramenta mais usada para administrar o

servidor.

5/27/2018 MS_AD

33/265


33

Viso Geral do Windows Server 2008

O Windows Server 2008 (atualmente na verso R2) a soluo Microsoftpara servidor de rede.

Ele oferece soluo para praticamente todas as necessidades de umarede corporativa, sendo soluo para redes de qualquer tamanho.

No final da instalao, que vimos na lio anterior, o Windows Serverainda no possui nenhuma funcionalidade e no est acessvel atravsda rede.

Ele vem com o firewall do Windows ativado, sem excees.

A medida que vamos dando funes ou adicionando recursos, o firewall

vai criando excees para permitir o uso destas funes e recursosatravs da rede.

Abaixo, temos a tela de configurao de excees do firewall, caso vocprecise efetuar alguma configurao manualmente.

possvel criar exceo para aplicativos, funes, portas.

5/27/2018 MS_AD

34/265


34

Para criar uma exceo, ou verificar as atuais (para modificar, se for ocaso), clique na opo Permitir um programa ou recurso pelo Firewall do

Windows, no lado direito superior da janela acima.

5/27/2018 MS_AD

35/265


35

Veremos mais sobre o Windows Server 2008 nas lies seguintes.

Roles e Features (Funes e Recursos)

Hoje em dia, logo depois de instalar o Windows, ele no possui nenhumafuncionalidade prpria. Para isto, devemos adicionar atravs de Funese Recursos (Roles e Features) o que desejamos que este servidoroferea rede.

Para isto, usamos o Gerenciador de Servidores:

5/27/2018 MS_AD

36/265


36

Para adicionar uma Funo, clique na opo Funes no menu daesquerda. Inicialmente, no haver nenhuma funo instalada.

Para adicionar funo, clique na opo Adicionar funes que aparece natela acima. Ser iniciado um assistente, onde podemos escolher a funodesejada.

5/27/2018 MS_AD

37/265


37

Dentro das roles mais usadas, aqui veremos duas:

File Services

Marcando a opo Servios de Arquivo, estamos possibilitando ao nossoservidor que compartilhe pastas com a rede, alm de outros servios quepodem ser adicionados com esta funo, como o DFS. Veja nas telasabaixo:

5/27/2018 MS_AD

38/265


38

Depois de adicionada esta funo, podemos usar o Gerenciador deServidores como ponto de partida para uma srie de aes referentes

esta funo:

5/27/2018 MS_AD

39/265


39

Veremos mais sobre a funo Servidor de Arquivos durante estetreinamento.

Print Services

Marcando a opo Servios de Impresso e Documentos, estamospossibilitando ao nosso servidor que compartilhe impressoras com a rede,alm de outros servios que podem ser adicionados com esta funo.Veja nas telas abaixo:

Depois de adicionada esta funo, podemos usar o Gerenciador deServidores como ponto de partida para algumas das tarefas desta funo.Veja:

5/27/2018 MS_AD

40/265


40

Featuresou Recursos:

Alm das roles (funes), temos tambm os recursos (features), que so

funcionalidades tambm que podemos adicionar ao servidor, mas queno so consideradas principais.

Logo que terminamos a instalao do Windows, tambm no temosfeatures configuradas. Elas sero adicionadas como pr requisitos defunes, ou manualmente, pelo assistente de adicionar recursos.

Na tela abaixo, a opo Recursos do Gerenciador de Servidores:

Clicando em Adicionar recursos, iniciado um assistente. Veja na telaabaixo algumas destas features que podemos adicionar com o assistente:

5/27/2018 MS_AD

41/265


41

Criao de usurios e grupos locais

Usurios Locais:

Para que possamos controlar quem pode ou no executar alguma aoou quem pode ou no acessar algum recurso, precisamos que cadausurio do computador (seja ele local, que vai usar a prpria mquina, ouremoto, que vai acessar um recurso atravs da rede) tenha umacredencial. esta credencial, damos o nome de conta de usurio.

O procedimento para criar uma conta de usurio bastante simples:

A ferramenta que usaremos inicialmente para criar usurios e grupos oGerenciamento do Computador. Veja tela abaixo:

5/27/2018 MS_AD

42/265


42

Para criar usurios ou grupos, expanda a opo Usurios e GruposLocais.

Clique em Usurios com o boto direito do mouse e escolha a opoNovo usurio (a primeira do Windows 7, a segunda do Server 2008):

Na janela que se abre, digite nome e senha para o usurio a ser criado eclique em Criar:

5/27/2018 MS_AD

43/265


43

Se desejar, possvel digitar nome completo, descrio, alm deconfigurar que o usurio deva ou no trocar a senha no prximo logon,que a conta seja criada desativada, que a senha nunca expira ou que ousurio no pode trocar a prpria senha.

Depois de criada a conta, possvel efetuar alteraes nesta conta,atravs da opo Propriedades do menu que se abre quando clicamoscom o boto direito do mouse no usurio a ser administrado. Veja abaixoalgumas das guias das propriedades da conta do usurio, no Windows 7:

5/27/2018 MS_AD

44/265


44

Abaixo, a tela com as propriedades de uma conta de usurio local noServer 2008:

5/27/2018 MS_AD

45/265


45

Outra forma de criar e gerenciar usurios no Windows 7 pelo Painel deControle. Abra o Painel de Controle pelo menu Iniciar.

Normalmente, ele inicia com a apresentao em categorias:

5/27/2018 MS_AD

46/265


46

Clique em Contas de Usurio e Segurana Familiar para ter acesso aositens de configurao de usurio.

Clique em adicionar ou remover contas de usurio

Para alterar uma conta, clique sobre ela.

Para criar uma nova conta, clique na opo Criar uma nova conta:

5/27/2018 MS_AD

47/265


47

Configure a conta dando a ela um nome e definindo se ela ser umaconta de usurio Administrador ou Usurio Padro. Clique em CriarConta.

As opes de gerenciamento que temos, so as que seguem:

Podemos tambm alterar o tipo de conta:

5/27/2018 MS_AD

48/265


48

Ou ainda definir caractersticas do UAC para conta do usurio logadoatualmente:

OBS: Saiba mais... O que UAC?

UAC significa UserAccountControl, e so estas mensagens que solicitamaprovao ou credencial do usurio cada vez que necessrio que eles

5/27/2018 MS_AD

49/265


49

seja administrador do computador. A Microsoft criou esta caractersticacomo forma de aumentar a segurana do sistema operacional, j que sabido pelo mercado que a maioria dos usurios Administrador do seucomputador, o que torna mais suscetvel a um ataque de vrus, por

exemplo.Grupos locais:

Para facilitar a tarefa de dar permisso ou direito aos usurios, criamosgrupos. Uma conta de usurio pode ser membro de diversos grupos.Pela mesma ferramenta,Gerenciamento do Computador, podemos criar egerenciar grupos.

Quando o Windows instalado, so criados diversos grupos internos, quevem com um conjunto de direitos pr- configurados. Podemos usar estesgrupos para dar direitos aos usurios, ou criar novos. Iremos ver mais

sobre os grupos internos um pouco mais adiante neste treinamento.Abaixo, os grupos internos do Windows 7:

E estes abaixo so os grupos internos do Windows Server 2008:

Estes grupos so administrados como outro qualquer, podendo inserir eremover membros conforme desejado.

5/27/2018 MS_AD

50/265


50

Para criar novos grupos, clique com o boto direito do mouse em Grupose escolha a opo Novo grupo.

Digite o nome do grupo e, se desejar, j insira novos membros ao grupo:

5/27/2018 MS_AD

51/265


51

5/27/2018 MS_AD

52/265


52

Posteriormente, podemos administrar estes grupos, clicando com o botodireito do mouse e escolhendo a opo que se aplica:

5/27/2018 MS_AD

53/265


53

Podemos adicionar ou remover membros atravs da opo Propriedades:

5/27/2018 MS_AD

54/265


54

Para mais conhecimento...

5/27/2018 MS_AD

55/265


55

Os grupos internos possuem uma srie de direitos pr definidos, como nocaso dos Administradores, Operadores de cpia, etc.

Estes direitos so configurados por policies (diretivas), na parte desegurana do computador local. Veremos mais sobre isto na lio sobreDiretivas (Policies) no andamento do treinamento.

Configurao de compartilhamento local (pastas eimpressoras)

Compartilhamento de Pastas:

Para que um recurso se torne disponvel para acesso via rede, ele deverser compartilhado.

Para compartilhar uma pasta (tambm podemos compartilhar umaunidade inteira, mas no podemos compartilhar um nico arquivo),

existem duas formas no Windows 7: Compartilhamento simples ouCompartilhamento avanado

Veja a seguir como fazer este compartilhamento:

Atravs do Windows Explorer, ou pelo item Computador do menu Iniciar,localize a pasta a ser compartilhada.

Se quiser fazer o compartilhamento simples, clique com o boto direito domouse na pasta e, no menu que se abre, escolha a opoCompartilhamento, escolha com quem quer compartilhar e est pronto!

Nesta opo, no podemos definir o nome do compartilhamento. O nome

ser o mesmo nome da pasta.

5/27/2018 MS_AD

56/265


56

Clicando em Pessoas especficas, voc pode definir exatamente comquem quer compartilhar e o nvel de permisso de compartilhamento

desejado:

5/27/2018 MS_AD

57/265


57

Para um maior controle do compartilhamento, principalmente se quiserdefinir um nome diferente de compartilhamento, tem que usar oCompartilhamento Avanado.

Para isto, utilizamos a opo Propriedades do menu que se abre quandoclicamos com o boto direito do mouse na pasta e, na guiaCompartilhamento, escolhemos Compartilhamento Avanado

Na caixa de dilogo de Compartilhamento Avanado, marque a caixa decompartilhamento, defina um nome e escolha com quem quercompartilhar:

5/27/2018 MS_AD

58/265


58

As permisses de compartilhamento possveis so: Controle total,Alterao e Leitura.

No compartilhamento simples, a permisso padro "Controle totalsomente para o usurio que est configurando o compartilhamento".

No compartilhamento Avanado, a permisso padro "Todos, somenteLeitura".

Podemos modificar este comportamento padro pelas caixas de dilogo

vistas acima.Um usurio pode fazer parte de diversos grupos, por consequncia podereceber diferentes nveis de permisso. Entre estes nveis de permisso,inclusive uma "negao"

O que chamamos de permisso efetiva (a que fica valendo) a soma daspermisses permitidas, filtradas as permisses negadas.

Acessando recursos atravs da rede:

Para acessar recursos, podemos usar a digitao do caminho desejadono menu Iniciar, ou navegar pela rede, usando o Windows Explorer ouabrindo Computador no menu Iniciar.

Se formos digitar o caminho, ele deve seguir a regra de caminho UNC:

\\servidor\nome-do-compartilhamento

Ser solicitado que seja digitada um nome de usurio e senha vlidos nocomputador remoto (s no ser solicitado, se o compartilhamento e asegurana do recurso estiverem configurados para acesso para Todos ouAnnimo)
http://servidor/nome-do-compartilhamentohttp://servidor/nome-do-compartilhamentohttp://servidor/nome-do-compartilhamento

5/27/2018 MS_AD

59/265


59

Se voc no souber o nome do compartilhamento, pode digitar somente o\\servidor, que o Windows trar uma lista de recursos compartilhadosnaquele servidor aos quais voc possa acessar.

Permisses de Seguranaas permisses NTFS:

Clicando com o boto direito do mouse no nome de um arquivo ou pasta,e escolhendo a opo Propriedades, temos acesso s propriedades doarquivo/pasta em questo.

Uma das guias da caixa das propriedades a guia Segurana.

Pela guia Segurana, podemos ver e modificar quem tem algum tipo deprivilgio (permisso) sobre este item.

As permisses de segurana (tambm chamadas permisses NTFS)podem ser configuradas de forma "padro" ou personalizada.

Nas configuraes de permisso "padro", temos conjuntos depermisses definidas por aes que podem ser executadas por umusurio: Controle total, Modificar, Ler & executar, Listar contedo dapasta, Leitura, Gravar.

Para modificar uma permisso padro, clique no boto Editar. Na caixa de

dilogo seguinte, clique no boto Adicionar para selecionar usurios e/ougrupos para dar uma permisso; selecione na lista de nomes e clique em
http://servidor/http://servidor/http://servidor/

5/27/2018 MS_AD

60/265


60

Remover para retirar um usurio ou grupo da lista de permisses; oumodifique as permisses, clicando no usurio ou grupo na lista emarcando/desmarcando uma caixa de seleo de permisso/negao aolado do nome da permisso desejada. Clique em Ok quando pronto.

OBS: Caso no seja possvel modificar ou remover uma permisso,provavelmente ela uma permisso "herdada". Veremos logo em seguidao que uma permisso herdada (ela vai aparecer em cinza - esmaecido -caso seja herdada)

Nas configuraes personalizadas (Avanadas) podemos definirexatamente o que desejamos que o usurio execute no recurso, bemcomo que item (s) se refere a permisso.

Para modificar uma permisso de forma "Avanada", clique no botoAvanadas da guia Segurana. Na prxima caixa de dilogo, clique emAlterar Permisses.

5/27/2018 MS_AD

61/265


61

Logo em seguida, clique em Adicionar para escolher usurio e/ou grupopara dar uma permisso de "acesso especial".

Quando clicar em Ok, ser aberta uma nova caixa para escolher aspermisses desejadas e onde queremos aplica-las.

Para modificar uma permisso de acesso especial, clique no nome dousurio ou grupo a ser alterado, clique no boto Editar e modifiqueconforme o desejado.

5/27/2018 MS_AD

62/265


62

Em relao s permisses do NTFS, temos diversos conceitosimportantes para entender, de forma a trabalhar com elas de formacorreta e segura.

Herana de permisses:

Por padro, uma permisso de segurana configurada em uma pasta "herdada" por todos os arquivos e sub pastas contidos nesta pasta. possvel "remover a herana", caso seja preciso configurar de forma

diferente algum objeto abaixo (as permisses herdadas no podem sermodificadas, somente removidas ou copiadas, e depois alteradas).

Para remover a herana, clique com o boto direito do mouse na pastaem questo ( qual precisa receber alterao em uma permissoherdada) e escolha a opo Propriedades.

Clique na guia Segurana, e no boto Avanadas. Na prxima caixa dedilogo, clique no boto Alterar Permisses. Desmarque a caixa deseleo Incluir permisses herdveis provenientes do objeto pai desteobjeto. Na caixa que se abre, escolha a opo que melhor se aplica:Adicionar ou Remover.

V clicando em ok at fechar todas as caixas de dilogo.

Clique Cancelar, se desejar desistir das alteraes.

Depois de removida a herana, as permisses podero ser modificadascomo j visto.

Permisso "Explcita" e "Implcita":

5/27/2018 MS_AD

63/265


63

Uma permisso considerada explcita quando configurada diretamenteno objeto (o contrrio de permisso "herdada").

Um permisso implcita , na verdade, uma regra:

"O que no estiver explicitamente permitido, estar implicitamentenegado!"

Permisses Efetivas:

Um usurio pode fazer parte de diversos grupos, e assim, receberdiferentes nveis de permisso NTFS.

A permisso efetiva do usurio ser a "soma" das permisses permitidasrecebidas, menos as permisses negadas. Uma permisso "negada"sobrescreve uma permisso "permitida" (existe uma exceo: quando apermisso permitida for "explcita" e a permisso negada for "herdada",neste caso a permisso "permitida" fica efetiva).

A "negao" muito "forte", por isto deve ser usada e tratada comoexceo!

O Windows oferece uma maneira rpida de verificar a permisso efetivade segurana de um usurio ou grupo.

Clique com o boto direito do mouse no arquivo ou pasta desejado.Escolha a opo Propriedades. Clique na guia Segurana, depois noboto Avanadas e na guia Permisses Efetivas.

Clique no boto Selecionar para escolher qual usurio ou grupo a serverificado e clique em Ok.

5/27/2018 MS_AD

64/265


64

Pronto! Aparecer a permisso efetiva na caixa, para ser consultada.

REGRA: O que acontece com as permisses NTFS quando umaarquivo/pasta copiado ou movido?

A regra "herda a permisso do local de destino". Mas como toda regratem exceo, quando um arquivo/pasta movido DENTRO DA MESMA

UNIDADE, ele MANTM sua permisso original!Permisso de Compartilhamento x Permisso de Segurana NTFS

Bem, aprendemos que um usurio pode fazer parte de diversos grupos epor este motivo, receber diversos nveis de permisses diferentes.

Aprendemos tambm, que a permisso efetiva a soma destaspermisses, filtradas as negaes.

Mas este "clculo" feito "por tipo de permisso". Ou seja, calculamos apermisso efetiva de compartilhamento e a permisso efetiva desegurana.

Mas e se elas forem DIFERENTES, qual ficaria valendo?

Bem... a resposta : A MAIS RESTRITIVA!

DICA: Como fica valendo a mais restritiva e a permisso decompartilhamento s efetiva quando acessamos um recurso atravs darede (diferente da permisso NTFS, que vlida tanto em acessos locais,quanto atravs de um compartilhamento), devemos "abrir" nocompartilhamento e "fechar" na segurana. No necessrio configurarem ambos os locais.

Podemos compartilhar com o grupo TODOS ou USURIOS

AUTENTICADOS e atravs da segurana, definir exatamente quem podeou no (e o que pode) acessar no recurso.

Lembre-se: O que no explicitamente permitido, implicitamentenegado!

Compartilhamento de pastas Ferramenta Gerenciamentode Compartilhamento e Armazenamento:

Toda a informao vista acima, nesta lio, vlida tanto para Windows 7quanto para Windows Server 2008.

5/27/2018 MS_AD

65/265


65

Agora veremos outra forma de compartilhamento, exclusiva do WindowsServer 2008: a ferramenta Gerenciamento de Compartilhamento eArmazenamento.

Para criar um novo compartilhamento, clique com o boto direito domouse e escolha a opo Compartilhamento de Proviso

Siga o assistente:

Na primeira tela, digite ou localize a pasta a ser compartilhada

5/27/2018 MS_AD

66/265


66

Clique em Avanar. Na prxima tela, defina se precisa efetuar alteraesnas propriedades NTFS da pasta.

OBS: NTFS so as configuraes de segurana de arquivos do sistemade arquivos NTFS, padro do Windows, j tratadas anteriormente.

5/27/2018 MS_AD

67/265


67

Clique em Avanar. Escolha o protocolo a ser usado para o acesso. SMB o padro e normalmente o que ser usado.

5/27/2018 MS_AD

68/265


68

Clique em Avanar. Verifique as opes configuradas.

5/27/2018 MS_AD

69/265


69

Clique em Criar. Espere at o retorno da janela, de modo a garantir queesteja ok.

Pela mesma ferramenta, possvel efetuar configuraes posteriormente,pela opo Propriedadescomo na tela abaixo:

Para finalizar um compartilhamento por esta ferramenta, basta clicar como boto direito do mouse e escolher a opo Interrompercompartilhamento.

5/27/2018 MS_AD

70/265


70

Tudo que for referente a sistema de arquivos, compartilhamento, etc, fazparte da funo Servios de Arquivos (File Services). Esta funo (role)

tem mais recursos, que veremos mais adiante neste treinamento.Para saber mais...

possvel criar um "compartilhamento oculto", colocando o sinal de $ no final do

nome do compartilhamento.

Quando instalamos o Windows, ele cria alguns compartilhamentos "administrativos",

entre eles:

C$, D$, etc: compartilha de forma "oculta" o raiz de cada unidadeformatada com o sistema de arquivos NTFS, somente para osadministradores

Admin$: Compartilhamento da pasta Windows, usado para permitir aadministrao remota

Print$: Compartilhamento usado para instalar impressoras compartilhadasautomaticamente, quando um usurio se conecta a ela a primeira vez(desde que o driver esteja disponvel!)

Compartilhamento de impressoras:

Para poder compartilhar uma impressora, logicamente que ela precisaestar instalada!

Siga o procedimento de instalao de uma impressora, j efetuando ocompartilhamento dela diretamente:

Em primeiro lugar, abra a ferramenta Dispositivos e Impressoras.

5/27/2018 MS_AD

71/265


71

Clique em Adicionar uma impressora, e siga o assistente:

5/27/2018 MS_AD

72/265


72

OBS: Se a impressora estiver ligada no computador na hora da instalaoe for plug-and-play, ela ser detectada automaticamente. Se o Windowstiver o driver para ela, instala de forma automtica.

5/27/2018 MS_AD

73/265


73

5/27/2018 MS_AD

74/265


74

Depois de instalada com sucesso, podemos efetuar manuteno egerenciamento desta impressora tanto pela ferramenta Dispositivos eImpressoras , quanto pela ferramenta Gerenciamento de Impresso.

Na tela abaixo, vemos opes de gerenciamento pela ferramentaDispositivos e Impressoras:

Abaixo, as opes das propriedades da impressora:

5/27/2018 MS_AD

75/265


75

J na prxima tela, vemos opes gerenciamento pela ferramentaGerenciamento de Impresso. Nesta ferramenta, tem uma das grandesnovidades do sistema de gerenciamento de impressoras no WindowsServer 2008 a possibilidade de instalar impressoras por policies. Poraqui, possvel, inclusive, de criar a policy automaticamente por estaferramenta.

Final da primeira parte:

5/27/2018 MS_AD

76/265


76

At aqui, tratamos de instalao, configurao inicial e uso de redeworkgroup. Tudo o que foi visto at aqui seria o suficiente para configuraruma rede simples. Apenas o que poderia ainda ser usado seriam asdiretivas locais (que ainda no foram vistas, mas que sero item da parte

relativa a diretivas de grupo).A partir de agora, veremos o outro tipo de rede MS - o Domnio de ActiveDirectory.

Os conceitos abordados at aqui continuam valendo para o domnio,como o caso das permisses de compartilhamento e segurana.

5/27/2018 MS_AD

77/265


77

Unidade 3Conceitos de Active Directory

3.1 O que Active Directory?

A Microsoft, hoje em dia, oferece duas solues de rede decomputadores: Workgroup e Domnio

Neste treinamento, nosso foco o Domnio.

A soluo de domnio da Microsoft chama-se "Servio de Domnio Active

Directory"O Active Directory um repositrio centralizado, onde so mantidas asinformaes da rede. No AD so mantidas as contas de usurio, grupo,computador, entre outros objetos.

A base de dados do AD formada por vrias parties. Nestas partiesso mantidas as informaes relativas rede, e estas parties sosincronizadas entre os controladores de domnio atravs da replicao.

As parties so: Domnio, Configurao, Esquema e Aplicativo

Entre as vantagens do uso do Active Directory esto:

Gerenciamento centralizado da segurana da rede Aplicao de Diretivas de Grupo

Delegao de tarefas administrativas

Uma floresta uma "instncia" do Active Directory. Os domnios de umamesma floresta compartilham o mesmo Catlogo Global, o mesmoEsquema e possuem relaes de confiana entre eles.

Por "Catlogo Global" entende-se a lista de TODOS os objetos de umafloresta de Active Directory, com uma parte de seus atributos.

Por "Esquema" entende-se a definio de todos os tipos de objetos etodas as propriedades destes objetos.

"Relao de Confiana" a ligao entre os domnios, para possibilitar,por exemplo, que usurios de um domnio acessem recursos de outrodomnio.

3.2 Roles do AD no Windows Server 2008

Em verses anteriores, o Windows se referia aos servios de domniocomo Active Directory simplesmente. Eram quase como se fossem

sinnimos.

5/27/2018 MS_AD

78/265


78

Na verso 2008, Active Directory se tornou um conceito mais amplo. OActive Directory agora est dividido em 5 funes:

Active Directory Domain Services - Servios de Diretrio, segurana darede

Active Directory Certificate Services - Criao e gerenciamento da soluode certificados digitais

Active Directory Rights Management Services - Controle de propriedadeintelectual, controle de aes sobre dados da empresa, controle sobreaes como Imprimir, copiar, que trabalham junto s permisses do NTFSe outros controles de acesso

Active Directory LDS - Possibilidade de criar e administrar bases de dadosLDAP (por exemplo, para autenticao de usurios de aplicativos)

Active Directory Federation Services - Suporte a aplicativos baseados naWEB, para interligar florestas diferentes e at mesmo outras plataformasde sistemas operacionais

Neste treinamento, nosso foco em Active Directory Domain Services.

OBS: Quer saber mais sobre as outras funes do Active Directory?Consulte os links abaixo:

ADCS:http://technet.microsoft.com/pt-br/dd448615.aspx

ADFS:http://technet.microsoft.com/pt-br/dd448613.aspx

ADLDS:http://technet.microsoft.com/pt-br/dd448612.aspx

ADRMS:http://technet.microsoft.com/pt-br/dd448611.aspx

3.3 O que Domain Services?

O que sempre costumamos chamar de Active Directory, agorachamamos de Active Directory Domain Services (Servios de DomnioActive Directory).

O Servio de Diretrio do Active Directory fornece um diretrio (base dedados) centralizado para gerenciamento e autenticao de usurios ecomputadores em uma rede baseada em Windows Server

O que chamamos de Domnio do Active Directory , na verdade, umagrupamento lgico de objetos, que compartilham a mesma base dedados de segurana. Em Active Directory, um domnio considerado a"unidade de administrao" e a "unidade de replicao"

Como conhecimento adicional, quando um usurio efetua seu logon emum computador membro de um domnio, escolhendo a credencial dodomnio, sua autenticao feita na base de dados de segurana dodomnioSAM. Isto faz com que este usurio tenha acesso aos recursosaos quais ele tenha permisso, que ele possa executar as tarefas s
http://technet.microsoft.com/pt-br/dd448615.aspxhttp://technet.microsoft.com/pt-br/dd448615.aspxhttp://technet.microsoft.com/pt-br/dd448615.aspxhttp://technet.microsoft.com/pt-br/dd448613.aspxhttp://technet.microsoft.com/pt-br/dd448613.aspxhttp://technet.microsoft.com/pt-br/dd448613.aspxhttp://technet.microsoft.com/pt-br/dd448612.aspxhttp://technet.microsoft.com/pt-br/dd448612.aspxhttp://technet.microsoft.com/pt-br/dd448612.aspxhttp://technet.microsoft.com/pt-br/dd448611.aspxhttp://technet.microsoft.com/pt-br/dd448611.aspxhttp://technet.microsoft.com/pt-br/dd448611.aspxhttp://technet.microsoft.com/pt-br/dd448611.aspxhttp://technet.microsoft.com/pt-br/dd448612.aspxhttp://technet.microsoft.com/pt-br/dd448613.aspxhttp://technet.microsoft.com/pt-br/dd448615.aspx

5/27/2018 MS_AD

79/265


79

quais ele tenha direito, em todos os computadores do domnio no qual elefez logon.

3.4 Estrutura lgica e fsica do ADDSA estrutura lgica do ADDS formada pelos domnios, seusrelacionamentos e suas relaes de confiana.

Quando "criamos" um domnio, definimos o seu posicionamento dentro dafloresta do Active Directory pela sua nomenclatura. Ser criado umrelacionamento "pai-filho" com o domnio que tiver nomenclatura"contgua". Automaticamente, so criadas as relaes de confiana entre"pai e filho" para que eles possam acessar recursos, trocar informaes,etc.

A estrutura fsica do ADDS formada pelos sites e pelo posicionamentodos controladores de domnio

Criamos sites baseados nas conexes (lentas, de longa distncia,normalmente) e nas "sub-redes de IP". Cada sub-rede de IP s pode estarligada a um site. Mas um site pode ter mais de uma sub-rede de IP.

Para fins de Active Directory, s til a criao de sites se tivermos pelomenos um controlador de domnio em cada sub-rede. O site s afeta ologon do usurio (tenta localizar controladores de domnio no mesmo"site" do usurio), a consulta ao AD (mesmo caso, ou seja, tenta localizarum Servidor de Catlogo Global no mesmo site do usurio) e o trfego de

replicao entre os controladores de domnioIMPORTANTE: A estrutura fsica e lgica do ADDS so totalmenteindependentes. Ou seja, podemos ter um domnio dividido em mltiplossites, um site que tenha a presena de mais de um "domnio" (na verdade,tendo a presena de controladores de domnio de mais de um domnio damesma floresta de Active Directory) ou qualquer combinao destes.

5/27/2018 MS_AD

80/265


80

Unidade 4 Nomenclatura LDAP

4.1 Conhecimento adicional: como formar um nomeLDAP

Toda a base do Active Directory padro LDAP. Qualquer ferramentaque utilize este padro poderia ser usada acessar, consultar, administrara base do AD.

Todo o script ou linha de comando que se use para executar alguma aona base do AD, direciona o seu objeto pelo caminho LDAP.

Um caminho LDAP formado hierarquicamente, da direita para aesquerda, com os seguintes componentes:

DC: Partes do nome completo do domnio do Active Directory

OU: Unidades organizacionais, posicionadas do primeiro nvel em diante.Por OU, entende-se objetos que podem ter sub (filhos) e nos quaispodemos aplicar policies

CN: Objetos filho, nos quais no se pode criar sub, nem aplicar policy.Usurios, grupos, computadores so objetos CN

Sempre a informao mais esquerda do nome chamamos de nome

distinto relativo, e onde estaremos efetuando a ao da linha decomando em questo.

Exemplos:

OU=testeOU,DC=treinamento,DC=local

CN=usuarioA,OU=depto1,OU=Deptos,DC=treinamento,DC=local

Exceo:

Todos os domnios de Active Directory possuem Users e Computerscriadas automaticamente... Mas Users e Computers no so OUs! A eles,no podemos ligar policies, no podemos criar sub... Ento, socontineres, portanto seu caminho LDAP o seguinte:

CN=Users,DC=treinamento,DC=local

CN=Computers,DC=treinamento,DC=local

5/27/2018 MS_AD

81/265


81

Unidade 5Criao de um Domnio de Active

Directory

Para criar uma floresta ou um domnio de Active Directory, na verdadecriamos Controladores de Domnio! atravs da presena erelacionamento entre os controladores de domnio que temos os domnioe a floresta.

Quando criamos o primeiro controlador de domnio do primeiro domniode uma floresta de AD, estamos neste momento criando o domnio raiz daFloresta e a floresta em si.

A partir da criao do segundo controlador de domnio, definimos seestamos criando um controlador adicional de um domnio j existente, umcontrolador de domnio de uma floresta j existente mas de um novodomnio, e assim por diante.

Depois da criao do primeiro domnio, o que define o relacionamentoentre estes domnio (pai-filho) a nomenclatura contgua. Se casodefinirmos pela criao de um novo domnio, numa floresta existente, mas

definirmos a nomenclatura em padro diferente, estaremos criando umanova rvore em uma floresta existente. Esta nova rvore ainda sermembro da floresta, ainda estar abaixo do domnio raiz (primeirodomnio da floresta), mas seu nome seguir padres diferenciados.

A criao de um controlador de domnio um procedimento bastantesimples! Por conseqncia, a criao dos domnios e da floresta tambm!

Veremos, a seguir, este processo.

5.1 Configurao dos pr-requisitos da Role ActiveDirectory Domain Services

Normalmente, um controlador de domnio usa IP esttico. Para a funoControlador de Domnio, isto no obrigatrio. Mas como muitas vezeso controlador de domnio tambm um servidor DNS, a configurao doIP esttico se torna obrigatria.

Para verificar as configuraes do adaptador de rede e, se necessrio,modificar, siga o procedimento abaixo:

Pela Central de Rede e Compartilhamento, clique em Alterar as

configuraes do adaptador

5/27/2018 MS_AD

82/265


82

Clique com o boto direito do mouse no Adaptador

Clique em Propriedades

5/27/2018 MS_AD

83/265


83

Clique em Protocolo TCP/IP Verso 4 (TCP/IPv4) e em Propriedades

5/27/2018 MS_AD

84/265


84

Configure conforme for necessrio, com IP esttico e o endereo do

servidor de DNS desejado.O servidor de DNS o qual est configurado no adaptador de rede docontrolador de domnio que est sendo criado que ser usado para criara zona equivalente ao domnio do Active Directory criado junto com ocontrolador de domnio.

OBS: Se o controlador de domnio que est sendo criado um adicionala um domnio j existente, o endereo do servidor de DNS que estiver naconfigurao da placa de rede dever possuir a zona equivalente aodomnio ao qual ele estiver sendo anexado.

A funo DNS Server pr-requisito obrigatrio. Sem DNS, umcontrolador de domnio no inicia sua funo, os usurios no fazemlogon, no pesquisam no AD. Podemos adicionar a funo DNS antes dafuno Active Directory Domain Services (Servios de Domnio do ActiveDirectory), ou durante a criao do controlador de domnio, atravs doassistente DCPromo. Aqui, veremos a instalao do DNS durante aexecuo do DCPromo.

Quando adicionamos a funo Servios de Domnio do Active Directory, oassistente de instalao verifica a presena do .NET Framework, pr-requisito, e se encarrega de instal-lo, bastando aceitar quando eleoferece para instalar o pr-requisito.

5/27/2018 MS_AD

85/265


85

Veja a sequncia a seguir, com o passo-a-passo da instalao da funoActive Directory Domain Services

5.2 Configurao do Windows Server comoControlador de Domnio (Domain Controller)

O processo de criao de um Controlador de Domnio efetuado em 2partes: a adio da funo Servios de Domnio Active Directory e aexecuo do aplicativo DCPromo

2.1.1 Adio da Role ADDS

O primeiro processo a adio da role ADDS. Para isto, utilizamos oServer Manager (Gerenciador de Servidores). Na tela inicial doGerenciador de Servidores, clique na opo Funes.

No painel da direita, ou clicando com o boto direito do mouse emFunes, escolha a opo Adicionar Funes

5/27/2018 MS_AD

86/265


86

Clique em Prximo

5/27/2018 MS_AD

87/265


87

Escolha a opo Servios de Domnio Active Directory clicando na caixade seleo ao lado desta funo e clique em Prximo

OBS: O assistente testa a presena dos pr-requisitos e, se necessrio,solicita alguma instalao. Normalmente, ele solicita a adio do recurso.NET Framework 3.5.1, conforme tela acima. Se isto ocorrer, clique noboto Adicionar Recursos Necessrios a fim de que o pr-requisito sejadevidamente instalado.

5/27/2018 MS_AD

88/265


88

Clique em Prximo

5/27/2018 MS_AD

89/265


89

Clique novamente em Prximo para iniciar efetivamente a instalao dafuno

Clique em Instalar

5/27/2018 MS_AD

90/265


90

Aguarde at finalizar o processo

Quando pronto, verifique se finalizou com sucesso e clique em Fechar

5/27/2018 MS_AD

91/265


91

Logo depois de finalizada a adio da funo, sua tela ficar como nafigura acima.

2.1.2 Execuo do DCPromo

Para finalizar a criao do controlador de domnio (e neste caso, a criaoda nossa floresta do Active Directory e seu primeiro domnio domnioraiz da floresta), iremos executar DCPromo

No menu iniciar, digite DCPromo

5/27/2018 MS_AD

92/265


92

Clique em DCpromo, ou ainda, se voc tiver digitado atravs da opoExecutar do menu Iniciar, clique em OK

Ir iniciar o assistente de criao de controlador de domnio do ActiveDirectory

Clique em Avanar

5/27/2018 MS_AD

93/265


93

Leia a mensagem de compatibilidade e clique novamente em Avanar

5/27/2018 MS_AD

94/265


94

Na tela acima, voc tem 2 opes: Conectar em uma floresta existente,ou Criar um novo domnio em uma nova floresta. Como este o primeirocontrolador de domnio de uma nova floresta de Active Directory, cliquena opo Criar um novo domnio em uma nova floresta e clique em

Avanar

Digite o nome completo do domnio que deseja criar e clique em Avanar

OBS: Lembre-se... quando criamos o primeiro controlador de domnio deum novo domnio quando CRIAMOS efetivamente o domnio. Se for odomnio raiz de uma nova floresta, neste momento que estaremos

criando toda a floresta do Active Directory

5/27/2018 MS_AD

95/265


95

Escolha o nvel funcional da floresta (lembre-se que o nvel funcional satinge os controladores de domnio! Mas o nvel funcional da florestaatinge todos os domnios daquela floresta, que devero ser no mnimo nomesmo modo funcional da floresta ou posteriores) e clique em Avanar

OBS: O nvel funcional s pode ser AUMENTADO, nunca poder serretrocedido. Ento, na dvida escolha o mais antigo que voc acha quepode ser a verso de Windows de um controlador de domnio.Posteriormente, se necessrio, o nvel funcional poder ser elevadofacilmente

5/27/2018 MS_AD

96/265


96

Escolha o nvel funcional do domnio (lembre-se que o nvel funcional dodomnio no afeta diretamente o nvel funcional da floresta. Ele se referesomente s verses de controladores de domnio suportadas por estedomnio. S no poder ser anterior ao nvel funcional da floresta)

5/27/2018 MS_AD

97/265


97

Selecione a opo desejada. Neste caso, o servidor j vem com a opoCatlogo Global selecionado pois ele ser o primeiro controlador dedomnio da floresta. A partir do segundo, esta opo poder ou no serselecionada.

O mesmo acontece com a opo Servidor DNS. Se a funo DNS existeem outro servidor da rede, esta opo poder ser desmarcada. Se noexiste, ou se quisermos que este servidor execute TAMBM a funoServidor DNS, marque esta caixa de seleo.

Por ser o primeiro controlador de domnio do domnio que est sendo

criado, ele no pode ser Read Only, ento esta opo est indisponvelpara seleo.

OBS: Neste momento, verificado se a funo DNS est instalada nestecomputador. Se estiver, o assistente criar a zona equivalente ao nomedo domnio. Se no estiver instalado, o assistente dar mensagem de erroe perguntar o que deve fazer:

5/27/2018 MS_AD

98/265


98

Clique em Sim

Selecione onde deseja armazenar os arquivos do AD, e clique emAvanar

OBS: Normalmente, aceitamos o que o assistente oferece

5/27/2018 MS_AD

99/265


99

Digite e confirme a senha do Administrador para o modo de recuperaodo Active Directory (lembre-se desta senha, pois o processo de troca ereset dela bem trabalhoso e somente por linha de comando!). Estasenha ser usada em caso de ser necessrio iniciar o servidor em Modode Recuperao do Active Directory, onde a base do AD no estarmontada e este ser o nico usurio que estar disponvel para logon (semelhante a um administrador local).

5/27/2018 MS_AD

100/265


100

Clique em Avanar

Aguarde at que o assistente finalize a instalao

5/27/2018 MS_AD

101/265


101

Depois de pronto, clique em Concluir

Se for possvel, clique em Reiniciar agora. Se no, reinicie assim quepossvel o servidor. Enquanto ele no for reiniciado, a funo Servios deDomnio Active Directory no estar disponvel.

Depois de reiniciar, abra a opo Funes do Gerenciador de Servidorese verifique se as duas funes esto adicionadas, conforme tela abaixo:

5/27/2018 MS_AD

102/265


102

Depois de adicionada a funo Servios de Domnio Active Directory, soadicionadas as ferramentas de administrao do AD nas ferramentasadministrativas. Veja abaixo:

5/27/2018 MS_AD

103/265


103

Depois de instalado o Controlador de domnio, neste procedimento quevimos acima, foi criada a zona do DNS que equivale ao domnio do AD.Veja na figura abaixo, uma tela com o DNS e a zona (domnio) criada:

5/27/2018 MS_AD

104/265


104

Conhecimento adicional:

Modo funcional do Domnio e da Floresta:

Durante esta lio, falamos sobre escolher o modo funcional da Floresta

e escolher o modo funcional do Domnio.MODO FUNCIONAL define quais so as verses de Windows Server quepodem ser CONTROLADORES DE DOMNIO nos domnios de umafloresta de Active Directory.

Para que possamos adicionar um controlador de domnio da verso 2008ou 2008 R2, o modo funcional da floresta tem que ser no mnimoWindows 2000 (significa que todos os controladores do domnio edomnios da Floresta tem que ser no mnimo Windows Server 2000) e omodo funcional do domnio tem que ser no mnimo Windows Server2003 (significa que todos os controladores de domnio tero que terverso Windows Server 2003 ou posterior).

O modo funcional s pode ser elevado, nunca retrocedido. Em caso dedvida, sempre escolha o nvel mais antigo, pois podemos elevar depoissem muito trabalho ou risco.

Para verificar o nvel funcional de um domnio ou de uma floresta, usamosa ferramenta Domnios e Relaes de Confiana do Active Directory

Para verificar o nvel funcional de um domnio, e elev-lo, se for o caso,clicamos com o boto direito do mouse no nome do domnio eescolhemos a opo Aumentar nvel funcional do domnio

5/27/2018 MS_AD

105/265


105

Na janela de configurao, consulte ou altere, conforme a necessidade:

Para verificar o nvel funcional de uma floresta, e elev-lo, se for o caso,clicamos com o boto direito do mouse em Domnios e Relaes deConfiana do Active Directory e escolhemos a opo Aumentar nvelfuncional da floresta

5/27/2018 MS_AD

106/265


106

Na janela de configurao, consulte ou altere, conforme a necessidade:

5/27/2018 MS_AD

107/265


107

Unidade 6Configurao e Administrao dos

Objetos do ADDS

Logo aps a criao do domnio (e por consequncia, do controlador dedomnio), precisamos criar os objetos principais de segurana do domnio:Usurios, Grupos e Computadores.

A ferramenta principal que usamos para esta tarefa a console Usuriose Computadores do Active Directory.

Mas antes de efetivamente criarmos os objetos, precisamos definir comoiremos organiz-los no domnio.

Por padro, quando criamos um domnio de Active Directory, umaestrutura de containers e OUs criada. Veja a figura abaixo:

5/27/2018 MS_AD

108/265


108

Por padro, todos os novos computadores so criados no containerComputers, todos os novos usurios seriam criados em Users e todos osDomain Controllers na OU Domain Controllers.

Seria possvel criarmos todos os objetos em um mesmo local dentro do

AD, usando a estrutura bsica do AD e mantendo o padro descritoacima, mas isto faria com que muito cedo ficasse bastante complicado etrabalhoso administrar estes objetos.

Para facilitar, ento, a administrao e manuteno destes objetos desegurana, criamos OUs personalizadas.

6.1 O que uma OU?

Para entender o que uma Unidade Organizacional (OU), podemos fazer

uma analogia bem simples: Se imaginarmos o AD como sendo um discorgido (HD), as OUs seriam as pastas.

Usamos as OUs para melhor organizar os objetos do AD, de forma afacilitar a administrao, aplicar policies, delegar tarefas administrativas.

necessrio, muitas vezes, desenvolver um projeto para a criao dasOUs... Da boa poltica de criao das OUs poderemos ter um domniofcil ou complicado para ser gerenciado.

No existe uma forma certa ou errada para a criao das OUs, desde quesejam criadas com propsitos definidos e mantido o propsitoposteriormente.

6.2 Planejamento e criao de OU

O procedimento de criao de OUs extremamente simples!

Depois de definida a regra para criao das OUs, seus propsitos enomenclatura, execute o procedimento abaixo:

Abra a ferramenta administrativa Usurios e Computadores do ActiveDirectory. Na posio onde deseja criar a OU, clique com o boto direitodo mouse. Aponte para Novo e clique em Unidade Organizacional,conforme figura abaixo:

5/27/2018 MS_AD

109/265


109

Na tela acima, est sendo criada uma OU logo abaixo do nome dodomnio (OU de primeiro nvel). Ir abrir uma janela:

Digite o nome desejado para a OU e clique em OK.

OBS: Nesta tela temos uma opo a ser marcada/desmarcada: Proteger

continer contra excluso acidental. Esta uma opo de segurana,

5/27/2018 MS_AD

110/265


110

pois se excluirmos uma OU, todos os objetos existentes dentro dela soexcludos tambm.

OBS2: Tambm possvel criar OUs por linha de comando, mas esteprocedimento est alm do escopo deste treinamento.

5/27/2018 MS_AD

111/265


111

Unidade 7Configurao de usurios e grupos

7.1 Criao de usurios

O procedimento de criao de um usurio bastante simples. Mas antesprecisamos definir alguns padres.

O primeiro em relao nomenclatura. Precisamos definir um padro.

Por exemplo, nome.sobrenome um padro muito usadoO segundo em relao senha. Cada empresa cria suas prpriasregras para senhas, e precisamos desta regra definida e conhecida nacriao da conta. Normalmente, criamos uma senha padro (Pa$$w0rd,por exemplo) e solicitamos que o usurio troque no primeiro logon.

Mas podemos ter empresas onde o usurio no deve alterar a senha, um administrador que faz esta troca. Ou ainda podemos ter usurios emque a senha nunca expira (normalmente contas de usurios criadospara logon de servios tem esta caracterstica) e isto normalmente deveser definido j na criao do usurio.

Crie e defina suas regras o mais cedo possvel na administrao do AD, ena regra de nomenclatura defina tambm o que fazer em caso de Nomesduplicados. Siga a regra definida!

Se caso desejarmos criar a conta e digitar a senha depois, muitoimportante criar a conta DESABILITADA para evitar falhas de segurana!

Veja o assistente de criao de conta de usurio a seguir:

Clique com o boto direito do mouse na OU onde deseja criar a conta deusurio

5/27/2018 MS_AD

112/265


112

Escolha a opo Novo e aponte para Usurio

Digite os nomes conforme definido na regra e clique em Avanar

5/27/2018 MS_AD

113/265


113

Digite e confirme a senha e marque as opes de senha/conta conformedesejado e clique em Avanar

Clique em Concluir para finalizar a criao da conta do usurio.

5/27/2018 MS_AD

114/265


114

7.2 Administrao das contas de usurio

Depois de criadas as contas de usurio, existem diversas tarefas quepodem ser necessrias no dia-a-dia da administrao do AD.

Para as tarefas de manuteno de conta de usurio, clicamos com oboto direito do mouse na conta a ser administrada.

No menu de contexto que se abre, temos acesso a estas tarefas. As queno estiverem disponveis diretamente no menu, use a opoPropriedades e mude conforme o necessrio.

Para alterar o nome da conta, use a opo Renomear.

Digite o nome novo de exibio e tecle Enter

5/27/2018 MS_AD

115/265


115

Na caixa que se abre, configure o restante da alterao dos nomes daconta do usurio. Clique Ok quando pronto.

Para resetar a senha, clique na opo Redefinir senha...

Se desejar, clique na caixa de seleo para o usurio alterar a senha noprximo logon do usurio e, se necessrio, nesta mesma caixa possvelDesbloquear a conta do usurio

Para adicionar a conta do usurio a um grupo, clique na opo Adicionara um grupo.

5/27/2018 MS_AD

116/265


116

Digite o nome do grupo e clique em Verificar nomes.

Se houver mais de um grupo que seja equivalente a informao digitada,escolha o grupo desejado e clique em Ok.

5/27/2018 MS_AD

117/265


117

Clique em Ok para finalizar a Adio ao grupo.

A tela acima confirma a ao executada.

Para habilitar uma conta de usurio desabilitada, clique na opo Habilitarconta (se caso a conta estiver habilitada, esta opo ser Desabilitarconta)

5/27/2018 MS_AD

118/265


118

Uma conta de usurio quando desabilitada aparece como na tela abaixo:

Para mover uma conta de usurio entre OUs, clique na opo Mover

5/27/2018 MS_AD

119/265


119

E escolha a OU de destino. Clique em Ok.

Para excluir uma conta de usurio, clique em Excluir

Confirme a excluso clicando em Sim.

O que no pudermos fazer diretamente pelo menu, configuramos peloitem Propriedades. Veremos as guias e opes das Propriedadesabaixo.

7.3 Configurao de propriedadesDepois de criada a conta do usurio, ela est praticamente pronta paraser usada.

Mas temos diversas opes de propriedades de conta que podemosgerenciar.

Para obter acesso s propriedades de conta de usurio, clique com oboto direito do mouse sobre a conta do usurio em questo e clique naopo Propriedades. Temos as propriedades divididas em guias:

5/27/2018 MS_AD

120/265


120

Veja nas telas a seguir, algumas das guias mais usadas:

Na guia Geral configuramos algumas caractersticas de nomenclatura dousurio, telefone principal, endereo de email, entre outras informaes

Na guia Endereo configuramos as informaes sobre o endereo dousurio

5/27/2018 MS_AD

121/265


121

Na guia Conta executamos configuraes referentes ao nome de logon,desbloqueio de conta, vencimento da conta, e opes (principalmentereferentes opes de senha, como se o usurio pode ou no alterar suaprpria senha, senha que nunca expira, entre outras)

5/27/2018 MS_AD

122/265


122

Ainda na Guia Conta, temos os botes Horrio de logon... (onde podemosrestringir horrios no qual o usurio pode fazer seu logon no domnio)

5/27/2018 MS_AD

123/265


123

E Fazer logon em... (onde podemos restringir estaes nas quais ousurio pode fazer logon)

Na guia Perfil configuramos perfil ambulante (mvel), script de logon ecaminho para a pasta base (pessoal) do usurio

5/27/2018 MS_AD

124/265


124

Na guia Telefone so configurados, como sugerido pelo nome, osnmeros de telefone do usurio.

5/27/2018 MS_AD

125/265


125

A guia Organizao usada para configurar informaes referentes aousurio na empresa: Cargo, Departamento, Empresa e Gerente (estegerente somente informao, o usurio aqui configurado como gerenteno recebe nenhum direito especial sobre a conta do usurio em questo)

Na caixa Supervisiona so listados usurios aos quais este usurioconsta como gerente.

5/27/2018 MS_AD

126/265


126

A guia Membro de usada para ver e modificar a lista de grupos aosquais o usurio faz parte.

5/27/2018 MS_AD

127/265


127

Para adicionar a um grupo, clique no boto Adicionar...

Digite o nome do grupo e clique em Verificar nomes.

5/27/2018 MS_AD

128/265


128

Selecione, se necessrio o grupo (caso tenha mais que um que encaixeno padro digitado, abrir uma janela de seleo. Marque o desejado eclique em Ok).

Se necessrio, repita o procedimento para quantos grupos quiser inserir ousurio. Clique em Ok quando pronto.

Alm das guias vistas nas figuras acima, temos as abaixo:

Discagem Usada para configurar permisses de acesso Dial-up ouVPN

AmbienteUsada para configurar a inicializao dos Servios de reade Trabalho Remota (se quiser iniciar um programa automaticamente, por

exemplo)SessesUsada para configurar limites de sesso de Servios de reade Trabalho Remota (tempo para encerrar sesso desconectada, porexemplo)

Controle RemotoUsada para configurar se permite ou no, e demaisconfiguraes, Controle Remoto de sesso de Servios de rea deTrabalho Remota

rea de Trabalho Remota Pessoal VirtualUsada para configurar sedeseja atribuir mquina virtual especfica para ser usada como rea de

trabalho virtual pessoal

5/27/2018 MS_AD

129/265


129

COM+- Usada para definir se o usurio membro de algum conjunto departies COM+

Perfil dos Servios de rea de Trabalho Remota Usada paraconfigurar perfil de usurio desejado, para quando este usurio estiverusando Servios de rea de Trabalho Remota

7.4 Configurao do perfil ambulante

Toda vez que um usurio faz logon em um computador com Windows, criado para ele um perfil local, onde ficam todas as informaes relativasao usurio, suas preferncias, seus documentos. A partir do segundologon no mesmo computador, todas as suas preferncias que esto

mantidas no seu perfil local, so carregadas e ele mantm a mesmacara.

Mas se o usurio trocar de computador, novo perfil criado. Mas aspreferncias dele, da estao anterior, no so mantidos.

Atravs da criao do perfil ambulante, podemos ter o mesmo perfil deusurio independente da estao ao qual o usurio fizer seu logon.

Primeiro, crie uma pasta compartilhada em um servidor, e compartilhepara o grupo TODOS, com a permisso CONTROLE TOTAL.

Agora, precisamos configurar a conta do usurio para o perfil ambulante...

Para isto, configuramos a opo perfil mvel nas propriedades da contado usurio, na guia e opo abaixo:

5/27/2018 MS_AD

130/265


130

Na caixa Caminho do perfil, digite o caminho para o compartilhamentocriado para armazenar os perfis mveis dos usurios, seguido da varivel%USERNAME%. (ex: \\servidor\compart\%USERNAME%). O Windowsautomaticamente substitui a varivel pelo nome de logon do usurio e criaa pasta onde ser armazenado o perfil do usurio.

Na prxima vez que o usurio fizer seu logon, o perfil dele, da mquinalocal, ser copiado para o servidor, no caminho digitado na caixaCaminho do perfil. E, a partir deste momento, independente da mquinaque o usurio utilizar para fazer seu logon, o perfil ser sempre o mesmo.

Criao e configurao de Script de Logon

Quando o usurio faz seu logon, uma srie de configuraes sonecessrias. Hoje em dia, a maioria das configuraes podem e devemser feitas por diretivas de grupo. Mas algumas destas configuraespodemos no conseguir fazer por policy. Entre elas, temos o mapeamentode pastas como um dos itens mais configurados para usurios, duranteseu logon, atravs de um script chamado script de logon.

Este script executado a cada vez que o usurio faz logon.
http://servidor/compart/%25USERNAME%25http://servidor/compart/%25USERNAME%25http://servidor/compart/%25USERNAME%25

5/27/2018 MS_AD

131/265


131

Ele deve ser armazenado no compartilhamento NETLOGON de umdomain controller (ele ser automaticamente replicado a todos os outroscontroladores de domnio, uma vez estando neste compartilhamento) edirecionado nas propriedades do usurio, na guia Perfil:

Na caixa Script de logon, digite o nome do script para o usurio emquesto.

O script pode ser em qualquer linguagem de script reconhecida peloWindows, ou em arquivos .BAT ou .CMD.

Como falado acima, o mapeamento de unidades de rede um dosprocedimentos mais configurados por scripts de logon.

Em arquivos .BAT ou .CMD, para mapear unidades de rede, usamos alinha abaixo:

NET USE L:\\SERVIDOR\COMPARTILHAMENTO

Por L devemos substituir pela letra desejada para o mapeamento da

unidade.
http://servidor/COMPARTILHAMENTOhttp://servidor/COMPARTILHAMENTOhttp://servidor/COMPARTILHAMENTOhttp://servidor/COMPARTILHAMENTO

5/27/2018 MS_AD

132/265


132

Para desfazer um mapeamento, digitamos a linha abaixo:

NET USE L: /DELETE

Onde L a letra da unidade que desejamos desconectar.

5/27/2018 MS_AD

133/265


133

Unidade 8 Criao de grupos

Para criar grupos, usamos o mesmo aplicativo Usurios e Computadoresdo Active Directory.

O procedimento bastante semelhante ao que vimos para a criao deusurios.

Abra a ferramenta acima, localize a OU desejada (onde quer criar ogrupo) e clique com o boto direito do mouse. Aponte para Novo e cliqueem Grupo

Digite o nome do grupo e o nome para sistemas pr Windows 2000.

5/27/2018 MS_AD

134/265


134

Escolha o escopo e o tipo de grupo desejado e clique em Ok.

Abaixo, uma explicao sobre Escopo e Tipo de Grupo.

8.1 Tipos e escopos de grupos

Por tipo de grupo, temos 2 possibilidades:

Segurana

Distribuio

Grupos de segurana so os grupos usados para dar permisses edireitos aos seus membros

Grupos de distribuio so os grupos usados como lista dedistribuio de email

Por escopo de grupo, temos 3 possibilidades:

Global

Domnio Local

Universal

Veja abaixo caractersticas dos 3 escopos:

Grupo Global: s pode ter como membros usurios e outros grupos

globais do mesmo domnio onde ele foi criado. Ele pode vir a ser membro

5/27/2018 MS_AD

135/265


135

de qualquer grupo Domnio Local ou Universal, de qualquer domnio daFloresta. visvel em qualquer domnio da Floresta

Grupo Domnio Local: pode ter como membro usurios e grupos globaisde qualquer domnio da Floresta. ele, s pode ser dada permisso emrecursos do domnio onde ele reside (domnio onde ele foi criado)

Grupo Universal: grupo diferenciado, pois ele reside somente emcontroladores de domnio que tenham a funo Global Catalog Server(servidor de catlogo global). Ele pode ter como membros usurios egrupos globais de qualquer domnio de uma floresta. Ele pode sermembro de qualquer grupo Domnio Local (ou at mesmo de outrosgrupos Universais) de qualquer domnio da Floresta.

Polticas MS para grupos e dicas de uso

A Microsoft indica que devemos usar grupos como forma de facilitar aadministrao da rede.

Segundo as polticas MS, devemos usar grupos do escopo Global paraorganizar usurios de mesma caracterstica. Devemos usar gruposDomnio Local para dar permisses e direitos aos membros deste grupo.E grupos do escopo Universal para organizar grupos Globais de mesmacaracterstica, em redes de mltiplos domnios, onde temos recursoscentralizados.

Dentro das polticas acima, seguimos a seguinte regra:

Colocamos usurios semelhantes em grupos globais;

Criamos grupos Domnio Local de acordo com os recursos e suasnecessidades de acesso;

Colocamos grupos globais dentro de grupos domnio local, de forma queos usurios recebam as permisses (veremos como dar permisses deacesso um pouco mais adiante neste treinamento)

Ainda sobre grupos... Se caso a rede da empresa usar Exchange, asListas de distribuio de email so criadas sob forma de GRUPOSUNIVERSAIS.

Aes administrativas e manuteno de grupos

Para modificar e manter grupos, clicando com o boto direito do mouseno grupo em questo, temos um menu de contexto com as opes degerenciamento disponveis:

5/27/2018 MS_AD

136/265


136

Para mover um grupo para outra OU, clique na opo Mover e escolha aOU de destino

5/27/2018 MS_AD

137/265


137

8.2 Adicionando membros

Um usurio pode ser membro de diversos grupos. E um grupo pode serinserido em outros grupos ( isto, chamamos de aninhamento de grupo).

Para inserirmos um usurio a um grupo, podemos fazer pelaspropriedades do usurio, como j vimos, mas tambm pelas propriedadesde um grupo, na guia Membros.

Clique com o boto direito do mouse no grupo desejado e clique emPropriedades. Clique na guia Membros.

Clique no boto Adicionar... para adicionar membros a este grupo:

5/27/2018 MS_AD

138/265


138

Para colocarmos um grupo dentro de um grupo, podemos usar a guia

Membro de, para colocar este grupo como membro de outro grupo. Estaguia tambm acessamos pelas Propriedades do grupo. Ou tambm aopo do menu de contexto Adicionar a um grupo como fizemos com ascontas de usurio.

Clique em Adicionar para selecionar o grupo do qual queremos que estegrupo se torne membro.

5/27/2018 MS_AD

139/265


139

8.3 Configurao de outras propriedadesAlm dos membros de grupo, ta

MS_AD

Documents

Transcript of MS_AD