Kranius Therebels MCSE70290

I www.juliobattisti.com.
br
M
I
C
R
O
S
O
F
T
Jlio Battisti
Guia de
Estudos Para o
MCSE 70-290
Site: www.juliobattisti.com.br
e-mail: webmaster@juliobattisti.com.br
C
e
r
t
i
f
i
c
a
o
Aprovado em 30 Exames de
Certicificao Microsoft:
MCP 2000 e 2003, MCP+I, MCSE +I,
MCSE 2000, MCSE 2003, MCSA 2000,
MCSA 2003, MCSD, MCDBA e MCDST
II www.juliobattisti.com.br
Nota sobre direitos autorais:
Este ebook de autoria de Jlio Battisti, sendo comercializado diretamente atravs do site
www.juliobattisti.com.br ou atravs do site de leiles Mercado Livre: www.mercadolivre.com.br, pelo
usurio GROZA. Nenhum outro usurio, pessoa ou site est autorizado a vender este ebook.
Ao adquirir este ebook voc tem o direito de l-lo na tela do seu computador e de imprimir quantas cpias
desejar. vetada a distribuio deste arquivo, mediante cpia ou qualquer outro meio de reproduo, para
outras pessoas. Se voc recebeu este ebook atravs do e-mail ou via ftp de algum site da Internet, ou
atravs de um CD de Revista, saiba que voc est com uma cpia pirata, no autorizada. A utilizao
de uma cpia pirata, no autorizada, crime de Violao de Direitos Autorais, sujeita a pena de
Cadeia.
O valor cobrado por este arquivo praticamente simblico, pelas horas e horas de trabalho que ele representa.
Novos e-books somente podero ser desenvolvidos pela honestidade de pessoas que adquirem o arquivo
do e-book e no o distribuem livremente para outras pessoas. Se voc recebeu uma cpia deste arquivo
sem t-la adquirido diretamente com o autor, seja honesto, entre em contato com o autor, atravs do e-mail
webmaster@juliobattisti.com.br, para regularizar esta cpia.
Ao regularizar a sua cpia voc estar remunerando, mediante uma pequena quantia, o trabalho do autor
e incentivando que novos trabalhos sejam disponibilizados.
Se voc tiver sugestes sobre novos cursos que gostaria de ver disponibilizados, entre em contato pelo e-
mail: webmaster@juliobattisti.com.br.
Visite periodicamente o site www.juliobattisti.com.br para ficar por dentro das novidades:
Cursos de informtica.
Artigos e dicas sobre Certificaes da Microsoft.
Artigos sobre Carreira e Trabalho.
Dicas de livros e sites sobre diversos assuntos.
Simulados gratuitos, em portugus, para os exames da Microsoft.
PIRATARIA CRIME, COM PENA DE CADEIA. EU AGRADEO
PELA SUA HONESTIDADE. SE VOC COMPROU UMA CPIA
DESTE CURSO, DIRETAMENTE COM O AUTOR, NO
DISTRIBUA CPIAS PARA OUTRAS PESSOAS. SE VOC
RECEBEU UMA CPIA ILEGAL DESTE ARQUIVO, NO
ADQUIRIDA DIRETAMENTE COM O AUTOR JLIO BATTISTI,
ENTRE EM CONTATO E REGULARIZE A SUA CPIA.
III www.juliobattisti.com.br
Agradecimentos
Escrever um manual detalhado para o Exame 70-290 parece fcil diante do momento de parar e escrever
algumas palavras de agradecimento. Sempre fica o medo de ter esquecido de algum, j que so tantas as
pessoas que, direta ou indiretamente, contribuem para que um trabalho como este se torne realidade.
Ningum conseguiria concluir um trabalho deste porte sem a ajuda, o incentivo e, principalmente, a
confiana de muitas pessoas. Inicialmente queria registrar o meu agradecimento pelo convite e pela
confiana do amigo e editor Ricardo. Principalmente pela sua insistncia e confiana no meu trabalho, em
momentos em que eu estive no to animado como de costume. Em seguida a equipe da Axcel que mais
uma vez aposta em um trabalho de minha autoria, passando pelos colegas de produo, edio, arte grfica,
reviso, enfim, uma equipe trabalhando muito para que mais este livro chegue s mos do amigo leitor.
A minha esposa Lu, pelo carinho, amor, dedicao, companheirismo e tolerncia. Por tantas e tantas horas
que ela teve que passar sozinha e eu, em frente ao computador. Pelos domingos em que ficamos em casa
ao invs de sairmos. Mas ela sabe que isso tudo faz parte de um projeto de vida de longo prazo e que
muitos resultados j esto presentes em nosso dia-a-dia.. Dividir o marido com os livros, com o trabalho
na Receita Federal, com dois sites na Internet e com uma rede de computadores em casa realmente no
uma tarefa fcil. Apenas com muito, mas muito mesmo, Amor e carinho. Querida Lu, o teu Amor e
carinho apenas me do mais e mais fora para seguir na luta, sempre na busca de um trabalho melhor, mais
simples e mais til para o amigo leitor. Que Deus te ilumine e ajude a realizar todos os teus sonhos. Cada
vez admiro mais a tua coragem diante dos obstculos da vida, sei que no foram e no esto sendo fceis
os momentos que passastes aps a tua cirurgia para recuperao da tua sade. Que Deus te d toda a sade
do mundo para que possamos criar nossos filhos que em breve viro a este mundo.
A dona Lucy, minha me, por sempre me apoiar e ser uma grande admiradora e incentivadora de tudo o
que fao. Por ter me dado como primeiro presente um livro, despertando em mim uma paixo ardente de
leitor, daqueles que sempre compra mais livros do que realmente pode ler. Por ter muito orgulho do meu
trabalho e por entender as vezes em que fica algumas semanas sem poder visit-la em minha terra natal, o
nosso bom e velho Boqueiro do Leo.
Aos amigos l do Boqueiro do Leo, minha querida terra Natal. No cito nomes para no cometer a
injustia de esquecer de algum. Agradeo imensamente pelos momentos de laser, de calma e serenidade,
quando nos reunimos para jogar um Bocha, tomar uma cerveja ou simplesmente para conversar. Saibam
que esto todos em meu corao. Est muito perto o dia em que poderemos passar mais tempo juntos,
simplesmente conversando e tomando um chimarro.
A meu Pai, em memria, pelo jeito simples e pacato, que me ensinou a parar e refletir nos momentos
difceis. Aos meus irmos agradeo pelos bons momentos que juntos passamos.
Aos leitores que leram os outros livros de minha autoria e sempre entram em contato via email, para
solucionar dvidas, enviar sugestes, crticas e elogios. Agradeo a todos. Este retorno muito importante
um grande motivador. Aos leitores que enviam email com dvidas e sugestes sobre o meu e sobre
Certificaes. A todos o meu mais sincero agradecimento.
A Deus por nos dar a inteligncia e a determinao na busca de cada vez fazer as coisas de uma maneira
melhor e mais simples, com o objetivo de ajudar mais e mais pessoas. E que o grande criador e arquiteto
de tudo o que existe, permita-me ainda muitos trabalhos, permita-me sempre ajudar mais e mais pessoas
a alcanar seus objetivos e a aprender um pouco mais sobre cada um dos assuntos sobre os quais escrevo.
IV www.juliobattisti.com.br
Conhea Outros Livros do Autor Jlio Battisti
Chega ao mercado editorial mais um aguardado lanamento da Axcel Books
Editora - Certificao Microsoft - Guia de Estudos Para o MCSE - Exame 70-
217, onde o autor Jlio Battisti descreve, de forma detalhada e com exemplos
passo-a-passo, todos os tpicos que fazem parte do programa oficial da Microsoft
para o exame de certificao 70-217. A obra apresenta e explica desde os
princpios bsicos, incluindo os fundamentos do Active Directory; passando
por servios tais como DNS, gerenciamento de compartilhamentos, Master Op-
erations, permisses NTFS, Grupos de Usurios, Unidades Organizacionais e
Group Policy Objects, os GPOs; alm de ainda tratar de questes como a
configurao de Auditoria de Objetos, o gerenciamento do Schema, entre outros.
Um curso completo de Active Directory para o Windows 2000 Server
Manual de Estudos Para o Exame 70-217 752 pginas
O livro ensina desde os fundamentos bsicos do Active Directory, passando
pela instalao do Windows Server 2003 e por dicas sobre o projeto,
implementao e migrao do Windows 2000 Server para o Windows Server
2003. Voc aprender, em detalhes, sobre os servios de compartilhamento
de arquivos e impressoras, segurana, como tornar o Windows Server 2003
um servidor Web, aprender sobre os servios de rede: DNS, DHPC, WINS,
RRAS, IPSec, Anlise de Segurana, Group Policy Objects e muito mais.
Confira, vale a pena.
Windows Server 2003 Curso Completo 1568 pginas
Manual de Estudos Para o Exame 70-216 712 pginas
Neste aguardado lanamento da Axcel Books Editora - Certificao Microsoft
- Guia de Estudos Para o MCSE - Exame 70-216, o autor Jlio Battisti descreve,
de forma detalhada e com exemplos passo-a-passo, todos os tpicos que fazem
parte do programa oficial da Microsoft para o exame de certificao. A obra
apresenta e explica desde os princpios bsicos, incluindo os fundamentos do
protocolo TCP/IP; passando por instalao, configurao e administrao do
DNS, DHCP, WINS e RRAS; alm de ainda tratar de questes quanto ao
roteamento, NAT, Certificados Digitais, IPSec, entre outros.
V www.juliobattisti.com.br
O novo mundo do Windows XP, que representa a nova era do sistema
operacional para usurios e administradores est reunido nesta obra. Jlio
Battisti apresenta a nova interface do sistema, completamente redesenhada e
com a experincia de um profissional certificado da Microsoft. Na obra, os
leitores iro aprender a implementar, configurar e utilizar o Windows XP,
desvendando as funcionalidades, alm das configuraes de segurana, de
desempenho e de estabilidade do sistema. O livro aborda ainda toda a parte
de Internet do Windows XP - conectando e usando a Internet; configurando
o firewall de conexo; alm dos novos recursos do correio eletrnico. Veja
tambm os detalhes sobre o Active Directory, as configuraes de rede e
protocolo TCP/IP, criptografia, registry do Windows, entre tantos outros
assuntos. O leitor ainda vai poder contar com um captulo exclusivo e um
simulado com 100 questes/respostas destinados aos interessados no exame
de Certificao 70-270 da Microsoft.
Windows XP Home & Professional 840 pginas
Conhea o ASP.NET, a mais nova verso do ASP, que representa uma mudana
no modelo de desenvolvimento de aplicaes Web. O livro traz todas as
informaes necessrias sobre o assunto, inclusive os detalhes da iniciativa
.NET, o CLR, o MSIL e o C#, a nova linguagem da Microsoft. Aprenda os
novos controles do ASP.NET e como utilizar o Visual Studio.NET para criar
pginas ASP.NET. Veja ainda como criar formulrios avanados para edio
de dados, configurar as opes de segurana do Windows 2000, do IIS e do
ASP.NET, alm de aprender como criar pginas ASP.NET para as mais
diversas funes.
ASP.NET: Uma Nova Revoluo Na Criao de Sites e Aplicaes Web 730 pginas
SQL Server 2000: Administrao & Desenvolvimento Curso Completo - 816 pginas
O lanamento destinado aos usurios/leitores da verso anterior do SQL
Server, o SQL 7, alm de redes de computadores em geral, Windows 2000
Server, TCP/IP, Bancos de Dados em geral, do Microsoft Access e do Visual
Basic. O leitor aprender na obra destinada do iniciante ao avanado detalhes
sobre o modelo de dados relacional, como instalar o SQL Server 2000 em
diferentes plataformas, alm da criao e administrao de bancos de dados,
tabelas e outros objetos. Aprenda ainda Como criar pginas ASP que acessam
os dados do SQL Server 2000.
VI www.juliobattisti.com.br
Sumrio
Captulo 1: Redes Baseadas no Windows 2003 Server 21
Introduo 21
Uma Nova Verso de Servidor Para o Windows? 23
Uma Breve Histria dos Windows 24
Os Windows Para Estaes de Trabalho e Computadores de Uso Residencial: 24
Os Windows Para Servidores: 26
A Quem se Destina Este Livro? 28
Equipamento e Software Necessrios 28
Hora de Comear 29
Introduo ao Windows Server 2003 29
Um Sistema Operacional Quatro Edies 32
Windows Server 2003 Standard Edition 32
Servios e/ou recursos no disponveis no Windows Server 2003 Standar Edition: 33
Windows Server 2003 Enterprise Edition 33
Windows Server 2003 Data Center Edition 34
Windows Server 2003 Web Edition 35
Comparao Entre as Diferentes Edies 35
Novidades do Windows Server 2003 37
Novidades no Active Directory 37
Novidades nos Servios de Compartilhamento de Arquivos e Impresso 39
Novidades na rea de segurana no Windows Server 2003 41
Novidades nos servios de rede e comunicao 41
Novidades nos servios de gerenciamento do Windows Server 2003 42
Novidades no suporte ao desenvolvimento de Aplicativos 44
Novidades em outras reas do Windows Server 2003: 45
Redes de computadores 45
No princpio, um modelo Centralizado baseado no Mainframe 45
Morte ao Mainframe, viva a descentralizao!!! 47
Modelo em 2 camadas 49
Aplicaes em 3 camadas. 51
Aplicaes em quatro camadas. 52
O Jlio ficou louco ou estamos voltando ao Mainframe? 53
Papel do Windows Server 2003 na rede da sua empresa 54
Onde entra o Windows Server 2003 neste histria? 54
O Protocolo TCP/IP 57
Uma viso geral do protocolo TCP/IP 57
Configuraes do protocolo TCP/IP para um computador em rede 58
VII www.juliobattisti.com.br
Configurao de IP do Windows 62
Sistema de numerao binrio 64
Como converter decimal para binrio: 66
Operador E: 67
Como o TCP/IP usa a mscara de sub-rede: 67
Como o TCP/IP usa a mscara de sub-rede e o roteador: 68
Endereamento IP Classes de Endereos 71
Redes Classe A: 71
Redes Classe B: 72
Redes Classe C: 73
Redes Classe D: 74
Redes Classe E: 74
Endereos Especiais: 75
O papel do Roteador em uma rede de computadores: 75
Como eu sei qual o Default Gateway que est configurado no meu computador com o Windows Server 2003 instalado? 76
Explicando Roteamento um exemplo prtico: 78
Executar um teste de compatibilidade antes da instalao do Windows Server 2003 80
Itens a serem verificados e/ou considerados antes de iniciar a instalao: 86
Instalando o Windows Server 2003 87
Instalando o Windows Server 2003 a partir do zero boot a partir do CD-ROM 88
Instalao no assistida e arquivo de respostas 93
O arquivo de respostas 94
Como utilizar o arquivo de respostas durante a instalao? 96
Concluso 97
Captulo 2: Active Directory Conceitos, Estrutura Lgica e Fsica e Componentes 101
Introduo 101
Conceito de Diretrio e Exemplos. 103
Senhas demais, por favor algum me ajude! 104
Um diretrio nico para todas as aplicaes. 105
Entendendo o conceito de Diretrios e Workgroups. 106
Domnios e Grupos de Trabalho (Workgroups): 106
Entendendo o funcionamento de uma rede baseada no modelo de Workgroups: 106
Entendendo o funcionamento de uma rede baseada no conceito de Diretrio Domnio: 107
Domnios, rvores de domnios e Unidades Organizacionais Conceitos. 109
Active Directory 110
rvore de domnios: 112
Unidades Organizacionais 113
Conhecendo os principais Objetos de um domnio. 113
VIII www.juliobattisti.com.br
Contas de usurios, computadores e grupos de usurios 114
Contas de usurios 114
Contas de Computador 115
Grupos de usurios 115
Atribuio de permisses em mltiplos domnios. 119
Uma rvore com sete domnios: 120
Um pouco sobre nomenclaturas de objetos no domnio, LDAP e caminhos UNC: 121
Estudo de caso 01: Exemplo de uso de Grupos Universais: 122
Estudo de caso 02: Analisando o escopo de grupos em relao a membros e permisses de acesso: 124
Entendendo as Unidades organizacionais. 125
Relaes de confiana e florestas. 127
Como eram as relaes de confiana na poca do NT Server 4.0? 127
E como so as relaes de confiana no Windows Server 2003? 129
Outros tipos de relaes de confiana: 129
Tipos padro de relaes de confiana: 129
Servidores de Catlogo Global (Global Catalogs) 132
Principais funes desempenhadas por um Servidor de Catlogo Global: 133
Replicao de informaes entre os Servidor de Catlogo Global: 134
Sites, replicao do Active Directory e estrutura fsica da rede. 135
Introduo e definio de sites. 135
Para que o Active Directory utiliza sites: 135
Definio de sites utilizando sub-redes: 136
A relao entre sites e domnios: 136
Replicao no Active Directory: 137
Replicao dentro do mesmo site Intrasite Replication 138
Replicao entre sites: 139
O Schema do Active Directory 139
Como os objetos do Active Directory so definidos no Schema: 140
Como o Schema armazenado no Active Directory: 140
Cache do Schema. 140
Nveis de funcionalidade de um domnio. 140
Fundamentos em: Preparao para a instalao do Active Directory. 141
Uma viso geral do DNS e de espao de nomes de um domnio. 142
Instalao do Active Directory Criao de um Novo Domnio 145
Modificaes feitas com a instalao do Active Directory. 152
Como rebaixar um DC de volta a Member Server. 154
Criar um novo DC em um domnio j existente. 158
Preparando um domnio do Windows 2000 Server para migrao. 163
Operaes diversas com o Active Directory. 163
Modos de funcionalidade do domnio e da floresta. 163
IX www.juliobattisti.com.br
Como configurar o nvel de funcionalidade de um domnio e de uma floresta: 165
Gerenciando relaes de confiana entre domnios. 167
Configurando um DC como Servidor de Catlogo Global. 168
Concluso 169
Captulo 3: Consoles de Administrao e Snap-in interface padro
para Administrao do Windows Server 2003 173
Introduo 173
Microsoft Management Console (MMC) e Snap-in Conceitos 174
Criando consoles personalizados 177
Consoles instalados com o Windows Server 2003. 183
Concluso 189
Captulo 4: Administrao de contas de usurios e grupos do Active Directory 190
Introduo 190
Contas de Usurios 191
Definindo um padro de nomes para as contas de usurios. 193
Observaes Sobre o Nome das Contas de Usurios 193
Questes relacionadas com a definio da senha do usurio 194
Criao e administrao de contas de usurios. 195
Criando uma nova conta de usurio no domnio: 195
Configurando uma conta de usurio 199
Configurando informaes gerais e de endereo para a conta do usurio: 199
Configurando informaes sobre a conta do usurio: 202
Definindo o horrio de logon e os computadores na qual a conta pode fazer o logon. 206
Limitando os computadores nos quais o usurio pode fazer o logon. 207
Criando e utilizando uma conta modelo 209
Comandos para trabalhar com contas de usurios. 211
O comando CSVDE: 211
O comando DSADD: 213
dsadd computer 213
dsadd group 214
dsadd ou 215
dsadd user 215
dsget user 217
Outros commandos disponveis: 220
O Conceito de Profiles 220
Vantagens de se Utilizar Profiles: 221
Tipos de User Profile: 221
Entendendo o contedo de uma User profile 223
X www.juliobattisti.com.br
A pasta All Users 224
Criando um Profile a ser aplicada a vrios usurios 226
Configurando uma profile no Perfil do usurio: 228
Conhecendo as chamadas Contas Built-in 230
Demais operaes com contas de usurios 232
Grupos de usurios: Conceitos, tipos e utilizao. 235
Classificao dos grupos quanto ao tipo: 236
Classificao dos grupos quanto ao Escopo: 237
Aes prticas com grupos de usurios. 239
Built-in Groups. 239
Criando novos grupos e adicionando novos membros a um grupo. 244
Fundamentos em: Conceito e utilizao de Unidades Organizacionais. 252
Aes prticas com Unidades Organizacionais (OUs). 253
Delegando tarefas administrativas a nvel de OU: 257
Propriedades e Permisses de Segurana em Unidades Organizacionais. 261
Contas de computadores Conceito e Prtica 262
Criando uma conta de computador no Active Directory. 264
Criando uma conta de computador com o console
Usurios e computadores do Active Directory: 264
Criando uma conta de computador usando o comando dsadd computer: 265
Configurando uma estao de trabalho, para fazer parte de um domnio 265
Polticas de Senha para o Domnio 271
Descrio das diretivas do grupo Diretivas de senha: No Windows Server 2003, por padro,
so definidas as seguintes polticas de segurana em relao as senhas de usurios: 273
Descrio das diretivas do grupo Diretivas de bloqueio de conta 276
Administrao do Schema do Active Directory. 278
Concluso 282
Captulo 5: Administrando discos e volumes no Windows Server 2003 283
Conceitos que Voc Precisa Conhecer 284
Disco fsico 284
Volumes lgicos 284
Armazenamento Bsico e Armazenamento Dinmico 285
Armazenamento bsico 285
Armazenamento dinmico 287
Operaes Prticas no Gerenciamento
de Discos e Volumes 289
Criando um console personalizado para gerenciamento de discos e volumes 289
Reativando discos que ainda no foram completamente
reconhecidos pelo Windows Server 2003 292
Acessando informaes sobre os discos do seu servidor 296
XI www.juliobattisti.com.br
Trabalhando com parties em um disco de armazenamento bsico 298
Eliminando um volume set, disk mirror, stripe set e
stripe set com paridade em discos de armazenamento bsico 302
Convertendo um disco de Armazenamento bsico para Armazenamento dinmico 302
Criando e expandindo um Volume simples 305
Criando um volume estendido 309
Criando um striped volume (volume distribudo) 311
Criando um volume RAID-5 314
Criando um volume espelhado 317
Restabelecendo um volume do tipo mirror (espelhado) 318
Restabelecendo um volume do tipo RAID-5 318
Configuraes e personalizaes do snap-in gerenciamento de discos 319
Ferramentas Para Manuteno de Discos e Volumes 321
O conceito de fragmentao 321
O utilitrio de desfragmentao 322
Algumas recomendaes sobre o processo de desfragmentao 324
O comando defrag 325
Verificando e reparando erros no sistema de arquivos e no disco rgido 326
Comandos para a verificao e correo de erros 327
O comando chkdsk 327
Usando chkdsk com arquivos abertos 330
O comando chkntfs 330
Outros comandos importantes para trabalhar com discos e volumes 331
O comando convert 331
O utilitrio DiskPart 332
O comando Fsutil: file 333
Criptografia de Arquivos em Parties NTFS 335
Criptografia definies e conceitos 335
Garantindo a recuperao dos dados 337
Criptografando arquivos e pastas 342
Operaes com Arquivos Criptografados (para o exame, no esquea destes detalhes) 345
Permitindo que outros usurios tenham acesso a arquivos e pastas que voc criptografou 346
Alterando a diretiva de recuperao do Computador local 347
Recomendaes sobre a criptografia de pastas e arquivos 348
O comando cipher 349
Concluso 350
Captulo 6: Criando e Administrando Pastas Compartilhadas e Permisses de acesso 352
Introduo 352
Pastas compartilhadas, Permisses de Compartilhamento e Permisses NTFS. 353
Restringindo o acesso s pastas compartilhadas. 354
XII www.juliobattisti.com.br
Entendendo as permisses de compartilhamento. 355
Quando um usurio pertence a mais de um grupo, como que fica a permisso efetiva do usurio?? 356
Orientaes para a criao de pastas compartilhadas: 358
Sistemas de arquivos e permisses NTFS conceito. 358
Compartilhando pastas, definindo permisses de compartilhamento e NTFS 363
O console para monitorao de compartilhamentos. 369
Criando e gerenciando compartilhamentos local e remotamente 370
Permisses NTFS. 374
Combinando permisses de compartilhamento e permisses NTFS estudo de casos. 382
Mapeando de unidades de rede. 384
Distributed File System - DFS 386
Entendendo o que o Distributed File System - DFS. 386
DFS Conceito e utilizaes 387
DFS: Modelo proposto e benefcios 388
Limitaes no Cliente e no Servidor 390
Implementando o DFS um exemplo prtico 391
O ambiente em uso nos exemplos 391
O Console DFS 392
Criando um root de domnio 393
Criando links para as pastas compartilhadas na rede: 395
Acessando a raiz DFS no cliente: 399
Definio de cotas em volumes e parties. 400
Configurando cotas de disco no Windows Server 2003. 400
Configurando cotas de disco em um volume NTFS. 401
Recomendaes sobre o uso de cotas de disco: 404
O comando fsutil quota. 405
Entendendo e Utilizando Pastas off-line 407
Pastas Off-line: conceito e utilizaes. 407
Configurando o computador dos usurios para que ele esteja apto a usar o recurso de arquivos off-line. 408
Configurando um compartilhamento para que os seus arquivos possam ser acessados off-line. 410
Definindo quais arquivos sero armazenados no cache, para acesso off-line. 411
O gerenciador de sincronizao. 412
Compactao de pastas e arquivos. 413
Compactao de arquivos e pastas. 413
Compactando e descompactando pastas e arquivos em volumes NTFS. 414
Arquivos compactados no padro .ZIP. 415
Trabalhando com pastas e arquivos compactados no padro .ZIP. 415
Gerando um arquivo compactado no padro .zip. 415
Concluso. 417
XIII www.juliobattisti.com.br
Captulo 7: Instalao, Configurao e Administrao de Impressoras 418
Introduo 418
O Sistema de Impresso do Windows Server 2003 Conceitos Tericos 419
Uma bela confuso de termos 420
Entendendo o servio de impresso no Windows Server 2003. 421
Alguns detalhes sobre o processo de impresso do Windows Server 2003 422
Padronizao de nomes e outros detalhes importantes para o uso de impressoras em rede. 424
Consideraes sobre o custo da impressora e o custo de impresso. 424
Instalao e Configurao de Impressoras - Prtica 426
Instalando uma nova impressora (instalando o driver da impressora) 426
Compartilhando uma impressora para uso atravs da rede. 432
net view \\srv-win2003 434
Atribuindo permisses de acesso para a impressora. 435
Acessando uma impressora compartilhada atravs da rede. 440
Administrando trabalhos enviados para uma impressora. 444
Configurando propriedades importantes e outras aes. 448
Administrando a impressora atravs do navegador. 450
Utilizando impressoras de rede. 451
Diferentes prioridades para diferentes grupos. 457
Criando um pool de impresso. 459
Comandos para o gerenciamento e administrao de compartilhamento de impressoras e pastas. 461
O comando net share 462
Compartilhando uma pasta usando o comando net share. 463
Modificando um compartilhamento usando o comando net share. 464
Excluindo um compartilhamento usando o comando net share. 464
O comando net use. 464
O comando net statistics 466
Pesquisando impressoras no Active Directory 467
Concluso 470
Captulo 8: Fazendo o Backup dos Dados e Agendando Tarefas 472
Introduo 472
O conceito de Tarefas agendadas 473
Questes de segurana, relacionadas com tarefas agendadas. 474
Criao e Administrao de Tarefas agendadas. 476
Exemplo: Criando e agendando uma tarefa para execuo automtica. 476
Alterando uma tarefa agendada. 481
Para executar uma tarefa imediatamente siga os passos indicados a seguir: 482
Para renomear uma tarefa agendada, siga os passos indicados a seguir: 482
Alterar a conta com a qual a tarefa executada. 482
XIV www.juliobattisti.com.br
Alterar o agendamento da tarefa. 483
Alterar opes avanadas do agendamento. 484
Criar mltiplos agendamentos. 486
Verificar o log do Agendador de tarefas. 487
Comandos at para agendamento de comandos. 489
Estratgias de backup e restore. 490
Definindo o tipo de Backup a ser utilizado. 491
Exemplos de estratgias de backup/restore. 493
Questes de segurana relacionadas ao Backup 494
Fazendo o backup e o restore de pastas e arquivos com o Windows Server 2003. 495
Introduo 495
Fazendo o backup de pastas e arquivos utilizando o modo assistente de backup. 497
Fazendo o backup de pastas e arquivos utilizando a interface completa. 505
Fazendo o restore das informaes a partir do backup. 508
O log do backup. 512
Definindo opes padro de backup e restore. 513
Fazendo o Backup e o Restore do Active Directory.. 516
Backup do Active Directory: 517
Restore do Active Directory 517
Fazendo o backup do Active Directory. 518
Fazendo o restore do Active Directory. 522
Efetuando um restore nonauthoritative, usando o utilitrio de backup. 523
Efetuando um authoritative restore. 524
Os comandos Ldifde e Dsadd. 526
Concluso 528
Captulo 9: Manuteno do Windows 2003 Server e Gerenciamento de Hardware 530
Introduo 530
Uma Introduo ao Terminal Services. 531
Como funciona o Terminal Services. 532
Recursos de hardware necessrios para o funcionamento do Terminal Services. 536
Implementao e Administrao do Terminal Services. 537
Utilizando o Terminal Services no modo de Compartilhamento de Aplicaes: 543
Instalando o servio Terminal Services. 543
Configurando o licenciamento para o Terminal Services. 546
Instalando aplicaes para uso no modo compartilhado. 548
Instalando o Office 2000 para uso atravs do Terminal Sevices. 551
Administrao do Terminal Services. 551
Gerenciando as conexes com o Gerenciador dos servios de terminal. 552
Configuraes do Terminal Server. 557
XV www.juliobattisti.com.br
O Recurso de Assistncia Remota. 568
Tipos de conexes de assistncia remota 569
Questes de segurana 569
Habilitando o recurso de Assistncia Remota 569
Enviando um convite de assistncia remota 571
O novo recurso de Shadow Copies. 572
Mais algumas observaes sobre o recurso de shadow copies. 573
O agendamento do recursos de shadow copies. 574
Habilitando o recurso de shadow copies em um volume: 574
Instalando o cliente de shadow copies. 576
Acessando as shadow copies: 577
Desabilitando o recurso de shadow copies em um volume: 578
Gerenciando shadow copies com o comando vssadmin. 579
Group Police Objects GPOs. 580
Introduo 580
Group Policy Objects Fundamentao Terica 581
Polticas de usurios e polticas de computador: 583
Novidades no Windows Server 2003. 584
Entendendo como feito o processamento e aplicao das GPOs. 585
Detalhando a ordem de processamento das GPOs. 588
O recurso de loopback. 589
Ordem de eventos quando o computador inicializado e o usurio faz o logon: 589
Entendendo como funciona o mecanismo de herana Policy inheritance 590
Exemplos prticos de uso das opes No Override (No substituir) e Block Policy inheritance (Bloquear herana de diretiva): 592
Situao 01: 592
Situao 02: 592
Implementao e Administrao de GPOs. 592
O console de administrao das GPOs. 593
Usando o console de configurao das GPOs. 594
Criando uma nova GPO e associando-a com uma unidade organizacional: 598
Configurando as Propriedades de uma GPO. 601
Gerenciamento de Hardware e de Drivers. 605
Adicionando, removendo e gerenciando o Hardware do computador. 605
O Gerenciador de Dispositivos 607
Assinatura de drivers 612
Concluso. 613
Captulo 10: Auditoria, Log de Eventos e Servios 614
Introduo 614
Log de Eventos e de Auditoria Conceito. 615
XVI www.juliobattisti.com.br
Trabalhando com o Log de Eventos. 618
Exemplo: Visualizando eventos e detalhes dos eventos. 618
Habilitando/configurando os eventos do log de segurana. 622
Recomendaes da Microsoft, para configuraes de auditoria. 630
Filtrando eventos nos logs de auditoria. 631
Exemplo - Para filtrar os eventos do log do sistema, pelo tipo de evento, siga os passos indicados a seguir: 631
Configurando as propriedades do log. 635
Exemplo - Para definir o tamanho mximo e o local onde o Log gravado, siga os passos indicados a seguir: 636
Definindo as propriedades dos logs de auditoria, usando as diretivas de segurana do domnio: 637
Mais configuraes do log e exportao dos eventos do log de auditoria. 640
Configurando a auditoria de acesso a arquivos, pastas e impressoras. 642
Gerenciando Servios no Windows Server 2003. 646
Acessando informaes sobre servios e administrando os servios instalados. 646
Concluso. 654
Captulo 11: Monitorao de Desempenho e Logs de Alerta 656
Introduo 656
Monitorao de desempenho conceitos bsicos. 657
Utilizao do console Desempenho 659
Monitorando o Processador e a Memria do seu Servidor. 659
Monitorando o acesso ao sistema de discos. 663
Contadores a serem monitorados em servidores. 665
Valores indicativos de limites de desempenho para contadores 667
Configurando o console Desempenho para capturar dados automaticamente. 670
Montando grficos de desempenho a partir de informaes de arquivos de log. 679
Utilizando Alertas para monitorar situaes limite. 683
Concluso 686
No tenho essa figura 686
Captulo 12: Ferramentas de recuperao a desastres 687
Introduo 687
Entendendo o processo de boot do Windows Server 2003 688
O arquivo Boot.ini e caminhos ARC 691
Entendendo a sintaxe dos caminhos ARC. 692
As chaves que podem ser utilizadas no arquivo Boot.ini. 693
Configuraes de inicializao atravs do utilitrio System (Sistema). 694
A Registry do Windows Server 2003. 701
Acessando e alterando informaes na Registry do Windows Server 2003. 702
O Modo Seguro, Last Know Good Configuration e Control Sets.. 709
Opes de inicializao do Windows Server 2003 e o Modo seguro. 709
XVII www.juliobattisti.com.br
Entendendo o Modo seguro de inicializao Safe mode. 710
Last know good configuration e Control Sets. 711
Outras opes de configurao do Menu de opes avanadas do Windows 712
Diversas ferramentas de recuperao a desastres. 712
O recurso ASR Automated System Recovery Disks 712
Criando um disquete de boot. 716
O Console de Recuperao. 717
A opo Roll Back Driver. 720
Concluso 721
Captulo 13: Internet Information Services 6.0 IIS 6.0 e Software Update Services SUS 722
Introduo 722
Instalao do IIS 6.0. 723
Preparando o seu computador para acompanhar os exemplos prticos de utilizao do IIS. 727
Criando a estrutura de pastas e subpastas. 728
Tornando a pasta exemplos parte dos servidor IIS criando uma pasta virtual. 728
Como so formados os endereos de acesso pginas do IIS? 732
Configurando opes do servidor de pginas e do servidor ftp. 734
Questes e configuraes de segurana com o IIS. 743
Porque devo me preocupar com segurana? 743
Autenticao de usurios com o IIS. 744
O acesso annimo. 745
Como definir a conta para acesso annimo no IIS. 746
SUS Software Update Services 748
Introduo ao SUS 748
Componentes do SUS: 749
Instalando o SUS 750
Administrando o SUS 755
Configurar os clientes para utilizar o SUS. 759
Configurando os clientes via GOP: 760
Opes da Registry relacionadas com o SUS: 765
Concluso 765
Captulo 14: Resumo Final O que voc no pode esquecer para o Exame 767
Introduo 767
Resumo para o exame 70-290. 767
Redes Baseadas no Windows 2003 Server 768
Uma breve histria dos Windows 768
Os Windows para estaes de trabalho e computadores de uso residencial: 768
Os Windows para Servidores: 771
XVIII www.juliobattisti.com.br
Definindo exatamente o papel do Windows Server 2003 772
O Protocolo TCP/IP 775
O papel do Roteador em uma rede de computadores: 775
Executar um teste de compatibilidade antes da instalao do Windows Server 2003 776
Itens a serem verificados e/ou considerados antes de iniciar a instalao: 776
Modos de Licenciamento do Windows Server 2003 778
Active Directory Conceitos, Estrutura Lgica e Fsica e Componentes 778
Entendendo o conceito de Diretrios e Workgroups 778
Domnios e Grupos de Trabalho (Workgroups): 778
Entendendo o funcionamento de uma rede baseada no modelo de Workgroups: 779
Entendendo o funcionamento de uma rede baseada no conceito de Diretrio Domnio: 780
Domnios, rvores de domnios e Unidades Organizacionais Conceitos. 781
Active Directory 783
rvore de domnios: 785
Unidades Organizacionais 786
Conhecendo os principais Objetos do Active Directory 786
Contas de Computador 788
Grupos de usurios 788
Atribuio de permisses em mltiplos domnios estudos de caso. 793
Uma rvore com sete domnios: 793
Um pouco sobre nomenclaturas de objetos no domnio, LDAP e caminhos UNC: 794
Estudo de caso 01: Exemplo de uso de Grupos Universais: 796
Estudo de caso 02: Analisando o escopo de grupos em relao a membros e permisses de acesso: 797
Entendendo as Unidades organizacionais. 798
Relaes de confiana e florestas. 800
Como eram as relaes de confiana na poca do NT Server 4.0? 800
E como so as relaes de confiana no Windows Server 2003? 802
Tipos padro de relaes de confiana: 803
Servidores de Catlogo Global (Global Catalogs) 805
Principais funes desempenhadas por um Servidor de Catlogo Global: 806
Replicao de informaes entre os Servidor de Catlogo Global: 807
O Schema do Active Directory. 808
Como os objetos do Active Directory so definidos no Schema: 808
Como o Schema armazenado no Active Directory: 809
Cache do Schema. 809
Nveis de funcionalidade de um domnio. 809
Preparao para a instalao do Active Directory. 810
Modificaes feitas com a instalao do Active Directory. 810
XIX www.juliobattisti.com.br
Dicas de sites com mais material de estudo sobre o Active Directory: 812
Administrao de contas de usurios e grupos do Active Directory. 813
Observaes sobre o nome das contas de usurios 816
Questes relacionadas com a definio da senha do usurio 816
Opes padro do console Usurios e Computadores do Active Directory: 817
Opes de configurao durante a criao de uma nova conta de usurio: 818
Configurando opes importantes da conta do usurio 818
Criando e utilizando uma conta modelo. 820
Comandos para trabalhar com contas de usurios. 821
O comando CSVDE: 821
O comando DSADD: 821
dsget user 822
Outros commandos disponveis: 822
O conceito de Profiles 822
Vantagens de se utilizar Profiles: 823
Tipos de User Profile: 823
Entendendo o contedo de uma User profile 825
A pasta All Users 827
Menu Acessrios 828
Opes de configurao da guia Perfil, das propriedades de uma conta de usurio: 828
Mais algumas observaes sobre contas de usurios: 829
Built-in Groups. 830
Delegando tarefas administrativas a nvel de OU: 836
Propriedades e Permisses de Segurana em Unidades Organizacionais. 836
Contas de computadores 838
Polticas de Senha para o Domnio 839
Descrio das diretivas do grupo Diretivas de senha: No Windows Server 2003,
por padro, so definidas as seguintes polticas de segurana em relao as senhas de usurios: 842
Descrio das diretivas do grupo Diretivas de bloqueio de conta 844
Gerenciamento de discos e Volumes no Windows Server 2003 844
Disco Fsico 844
Volumes Lgicos 845
Armazenamento Bsico e Armazenamento Dinmico 845
Armazenamento bsico 845
Armazenamento dinmico 848
Reativando discos que ainda no foram completamente reconhecidos pelo Windows Server 2003. 849
Convertendo um disco de Armazenamento bsico para Armazenamento dinmico 854
Restabelecendo um volume do tipo Mirror (Espelhado Raid-1): 855
Restabelecendo um volume do tipo RAID-5: 855
O comando Convert: 856
XX www.juliobattisti.com.br
Criptografia definies e conceitos 857
Garantindo a recuperao dos dados. 859
Operaes com arquivos criptografados (para o exame, no esquea destes detalhes). 860
Recomendaes sobre a criptografia de pastas e arquivos. 860
Alguns links com mais material d estudo: 861
Pastas compartilhadas, Permisses de Compartilhamento e Permisses NTFS. 861
Restringindo o acesso s pastas compartilhadas. 862
Entendendo as permisses de compartilhamento. 863
Quando um usurio pertence a mais de um grupo, como que fica a permisso efetiva do usurio? 865
Orientaes para a criao de pastas compartilhadas: 866
Sistemas de arquivos e permisses NTFS conceito. 867
Combinando permisses de compartilhamento e permisses NTFS estudo de casos. 871
Pastas Off-line: conceito e utilizaes. 873
Instalao, Configurao e Administrao de Impressoras. 874
Termos utilizados pelo sistema de impresso do Windows Server 2003: 874
Impresso atravs da Internet. 875
Padronizao de nomes e outros detalhes importantes para o uso de impressoras em rede. 876
Atribuindo permisses de acesso para a impressora. 876
O servio Spooler de Impresso: 878
Configurando propriedades importantes e outras aes. 879
Diferentes prioridades para diferentes grupos. 880
Tudo o que voc no pode esquecer sobre Backup e Restore 883
Criar mltiplos agendamentos. 883
Estratgias de backup e restore. 883
Definindo o tipo de Backup a ser utilizado. 883
Exemplos de estratgias de backup/restore. 885
Dados do estado do sistema: 886
O log do backup 887
Fazendo o Backup e o Restore do Active Directory.. 887
Backup do Active Directory: 888
Restore do Active Directory 888
Fazendo o restore do Active Directory. 890
Efetuando um restore nonauthoritative, usando o utilitrio de backup. 890
Terminal Services (Servios de Terminal): 891
Introduo 891
Como funciona o Terminal Services. 891
Algumas consideraes importantes sobre o Terminal Services: 895
Administrao do Terminal Services. 897
Configuraes do Terminal Services: 897
O novo recurso de Shadow Copies. 901
Mais algumas observaes sobre o recurso de shadow copies. 902
XXI www.juliobattisti.com.br
O agendamento do recursos de shadow copies. 902
Instalando o cliente de shadow copies. 902
Log de Eventos e de Auditoria Conceito. 902
Habilitando eventos de auditoria. 905
Configurando a auditoria de acesso a arquivos, pastas e impressoras. 911
Monitorao de desempenho 911
Monitorao de desempenho conceitos bsicos. 911
Contadores a serem monitorados em servidores. 913
Valores indicativos de limites de desempenho para contadores. 914
Configurando o console Desempenho para capturar dados automaticamente. 917
Mais um resumo de contadores, para voc no esquecer: 918
Ferramentas de recuperao a desastres. 919
O Modo Seguro, Last Know Good Configuration e Control Sets.. 919
Opes de inicializao do Windows Server 2003 e o Modo seguro. 920
Entendendo o Modo seguro de inicializao Safe mode. 920
Last know good configuration e Control Sets. 922
Outras opes de configurao do Menu de opes avanadas do Windows. 923
O recurso ASR Automated System Recovery Disks 923
Criando um disquete de boot. 925
O Console de Recuperao. 926
Internet Information Services 6.0 IIS 6.0 e Software Update Services SUS 928
Pontos importantes sobre o IIS, a serem lembrados para o exame: 928
SUS Software Update Services 929
Introduo ao SUS 929
Componentes do SUS: 930
Instalando o SUS 931
Administrando o SUS 936
Configurar os clientes para utilizar o SUS. 940
Configurando os clientes via GOP: 941
Opes da Registry relacionadas com o SUS: 946
Concluses finais e uma proposta de Plano de Estudos. 946
Captulo 15: Simulado para o Exame 70-290 60 Questes 948
Simulado para o Exame 70-290 60 questes respostas comentrios: 948
Concluso 1000
1 www.juliobattisti.com.br
INTRODUO
Introduo
Prezado leitor, este o terceiro livro, de uma srie de livros de minha autoria
sobre os exames de Certificao da Microsoft. Aps alguns anos trabalhando
com Certificaes Microsoft e aps a aprovao em 27 exames, sinto-me muito
vontade para escrever sobre este assunto e a orient-lo na obteno da to sonhada
aprovao nos Exames de Certificao. Meu principal objetivo passar uma srie
de dicas e um pouco da minha experincia prtica, para ajudar o amigo leitor a
obter sucesso nos exames de Certificao da Microsoft.
Este um livro especfico para o Exame 70-290: Managing and Mantaining a
Windows Server 2003 Environment (Mantendo e Gerenciando um Ambiente
baseado no Windows Server 2003). Neste livro abordarei os tpicos do exame, de
acordo com o programa oficial da Microsoft, o qual est descrito em: http://
www.microsoft.com/learning/exams/70-290.asp
Um bom estudo a todos. No deixem de conferir, periodicamente, novas dicas,
tutoriais, simulados e artigos, diretamente no site do autor: www.juliobattisti.com.br.
Voc tambm pode acessar o frum de discusso sobre Certificaes Microsoft e
trocar experincias com colegas de todo o Brasil. O endereo para acesso ao frum
o seguinte: www.juliobattisti.com.br/forum.
Um bom estudo a todos. No deixe de enviar suas opinies, crticas, elogios,
sugestes e relato de erros encontrados no livro, diretamente para o e-mail:
webmaster@juliobattisti.com.br
Uma viso geral sobre Certificaes Microsoft
Nesta introduo vou apresentar uma viso geral sobre o programa de Certificaes
da Microsoft. Vou iniciar o Captulo falando sobre as diferentes opes de certificao
para profissionais que trabalham com a administrao e gerncia de redes baseadas
no Windows Server 2003. Em seguida vou apresentar mais detalhes sobre a
certificao Microsoft Certified Systems Engineer MCSE, do qual faz parte o
exame 70-290 Managing and Mantaining a Windows Server 2003 Environment
(objeto de estudo deste livro e obrigatrio para o candidato que quer obter a
certificao MCSE-2003). Tambm tratarei da Certificao Microsoft Certified
Professional MCP que uma certificao, digamos, mais light. Para obter o
MCP basta que voc seja aprovado em um nico exame de produto Microsoft,
como por exemplo, o exame 70-210 (Windows 2000 Professional), exame 70-270
(Windows XP Professional) ou outro exame qualquer de produto Microsoft, no
necessariamente um exame do Windows 2000 Server ou Windows Server 2003.
Os objetivos e contedos que fazem parte do exame so definidos pela prpria
Microsoft. O Exame 70-290 tem a seguinte denominao Oficial, em Ingls:
Exam 70-290: Managing and Mantaining a Windows Server 2003 Environment.
Eu me arriscaria a traduzir como:
Exame 70-290: Mantendo e Gerenciando um Ambiente baseado no Windows
Server 2003
O exame inclui uma srie de tpicos relacionados a Administrao e Manuteno
de uma rede de grande porte, com servidores baseados no Windows Server 2003
e no Active Directory. Entenda-se uma rede de grande porte, como sendo uma
rede formada por escritrios em diversas localidades. Cada localidade com uma
rede local e as diversas redes locais conectadas atravs de links de WAN. Neste
cenrio existe uma srie de servios e funcionalidades disponibilizadas pelo Win-
dows Server 2003 e pelo Active Directory, tais como: Cadastro de Usurios e
Grupos, Gerenciamento de Pastas e Impressoras Compartilhadas, Gerenciamento
de Armazenamento de Arquivos, DNS, RIS, GPOs, Sites, replicao do Active
Directory e assim por diante. Estes so justamente os tpicos a serem abordados
neste livro. Por isso, segundo a Microsoft, no site oficial do exame 70-290 (http:/
/www.microsoft.com/learning/exams/70-290.asp), este exame indicado para
candidatos que tem experincia de, pelo menos, um ano, na implementao/
administrao/gerncia de redes de grande porte, baseadas em tecnologias Win-
dows e no Active Directory, ou seja, para profissionais que j tem uma experincia
com redes baseadas no Windows 2000 Server ou, preferencialmente, no Win-
dows Server 2003.
IMPORTANTE: A experincia
recomendada, no obrigatria. Ou
seja, o candidato no ter que compro-
var a experincia prtica para poder
fazer este exame. Embora a expe-
rincia no seja obrigatria (no sentido
de ter que ser comprovada),
altamente recomendada, pois somente
com uma boa experincia prtica, na
implementao/administrao/
gerncia de redes de grande porte,
que o candidato ter maiores chances
de ser aprovado neste exame.
O Exame 70-290 no dos exames mais difceis no caminho do candidato ao MCSE no Windows 2000. Em uma
escala de um a cinco, eu diria que ele tem um nvel de dificuldade trs e meio. Para quem j fez o exame 70-215,
para o MCSE-2000 (Administrao do Windows 2000 Server), poder comparar o nvel de dificuldade dos
exames, pois classifico o exame 70-215 com um nvel de dificuldade trs, em uma escala de um a cinco. O
Exame cobra um conhecimento detalhado dos principais servios e tarefas administrativas de um ambiente baseado
no Windows Server 2003.
Este exame recomendado para candidatos que trabalham na administrao e/ou gerencia de redes de tamanho
mdio para grande, as quais utilizam o Windows Server 2003 nos servidores e o Windows 2000 Professional ou
Windows XP Professional nas estaes de trabalho da rede. recomendado, porm no obrigatrio, que voc tenha,
no mnimo, um ano de experincia trabalhando em uma rede com as seguintes caractersticas/servios:
Entre 200 e 26.000 usurios;
Entre 5 e 500 localizaes fsicas: diferentes redes em diferentes localidades/escritrios da empresa;
Cinco ou mais Controladores de Domnio (DCs);
Compartilhamento de arquivos e impressoras;
Infra-estrutura baseada no Active Directory.
Servidores de banco de dados e de mensagens;
Servidores Web baseados no IIS;
Gerenciamento de estaes de trabalho (GPOs);
Ao passar no exame 70-290 voc obtm a certificao MCP, caso ainda no seja um MCP. O exame 70-290 tambm
um exame obrigatrio (Core) para a certificao MCSE- 2003 (veja mais detalhes sobre os exames necessrios ao
MCSE-2003, mais adiante, nesta introduo). Este exame tambm pode ser utilizado obrigatrio para as certificaes
MCDBA em SQL Server 2000 e MCSA em Windows Server 2003.
Este um exame (como o prprio ttulo sugere) que aborda diretamente a Administrao e Gerenciamento de um
ambiente de rede, baseado no Windows Server 2003. O candidato deve dominar os conceitos tericos dos diversos
servios e funcionalidades disponibilizadas por um servidor baseado no Windows Server 2003.
Uma dvida que muitos candidatos tem se realmente necessria a experincia prtica. Este um assunto que
posso falar com base em uma boa experincia pessoal. J fui aprovado em 27 Exames de Certificao da Microsoft,
com o que obtive as seguintes certificaes: MCP, MCP+I, MCSE, MCSE+I, MCDBA, MCSD e MCT (quando
este livro for publicado j terei feito mais dois exames, para aumentar um pouco mais esta estatstica). Para obter
esta valiosa sopa de letrinhas posso garantir que a experincia prtica foi de grande importncia. Trabalho como
Gerente do Ambiente Cliente Servidor na Delegacia da Receita Federal de Santa Maria RS. Durante muito tempo
atuei como Administrador de Rede, em um rede baseada, primeiro em clientes com Windows 9x e Servidores com
NT Server 4.0; depois com clientes baseados no Windows 2000 Professional e Servidores com Windows 2000
Server. Posso garantir que a experincia prtica ajuda muito na hora dos exames. Surgem questes que s a vivncia
prtica capaz de ajudar a resolver.
Uma viso geral do programa de certificao da Microsoft
A Microsoft tem um amplo e variado programa de Certificao, do qual fazem parte certificaes para diferentes
perfis de profissionais. Por exemplo, existe uma certificao para Engenheiros de Sistemas MCSE (Microsoft
Certified Systems Engineer), outra para Administradores de Banco de Dados MCDBA (Microsoft Certified Data-
base Administrator), outras duas para desenvolvedores de aplicativos MCSD e MCAD, outra para Administradores
de Rede MCSA, outra para Instrutores Certificados MCT e assim por diante.
O programa de certificao a maneira que a Microsoft tem para verificar as habilidades tcnicas dos candidatos
na utilizao, projeto e implementao de tecnologias Microsoft nas redes das empresas e para o desenvolvimento
de aplicaes.
Muitos leitores me questionam sobre o real valor das certificaes, para o Mercado de Trabalho. Esta uma questo
realmente difcil de responder. As certificaes atestam a capacidade tcnica do candidato ao emprego em uma
determinada rea de atuao. Porm as qualificaes tcnicas so apenas uma das habilidades necessrias para que o
candidato se coloque bem no mercado. Hoje em dia so muitos os requisitos que se exigem de um profissional e, a
maioria deles, no so tcnicos.
A seguir coloco uma cpia do artigo O Profissional Atual = Um Ser Humano Completo, de minha autoria, o qual foi
publicado no site da Revista Developers Magazine (www.developers.com.br), e que esteve na pgina principal do site
por quase 6 meses. Neste artigo abordo justamente as mltiplas aptides que o profissional atual deve dominar para se
colocar bem no mercado de trabalho. Leia e reflita com calma. Esta minha modesta contribuio na rea no tcnica,
para ajud-lo no direcionamento e na construo de uma carreira profissional.
*********************************************************************************************
*********************************************************************************************
Artigo: O Profissional Atual = um Ser Humano Completo
Introduo
Estamos vivendo a era da informao, da velocidade e da orientao para resultados. Muitas vezes, ficamos
atnitos com a rapidez com que as mudanas acontecem. J no basta mais sermos especialistas em informtica.
Precisamos entender do negcio, seno como poderemos aplicar nossos conhecimentos em benefcio da
empresa, ou em outras palavras: gerar resultados.
Muitos consultores e autores bem-sucedidos de livros de negcios e carreira dizem que estamos vivendo a era dos
multi-especialistas. Precisamos entender de muitos assuntos: administrao, finanas, informtica, outros idiomas,
pessoas (esta talvez seja a aptido mais importante e mais difcil), trabalho em equipe, etc.
Como dominar tantas competncias e, ao mesmo, tempo conciliar famlia, amigos, atividades fsicas e a presso
da empresa por resultados cada vez melhores e em menor tempo? Com certeza no fcil, mas possvel
crescer profissionalmente e, principalmente, com tica, sem abrir mo de uma vida pessoal com qualidade.
Conhecimentos tcnicos so e sempre sero indispensveis
Lembra do tempo em que era s pegar o diploma, esperar uma proposta de emprego, trabalhar por uns trinta
anos na mesma empresa e se aposentar? Essa poca simplesmente acabou. Hoje temos que nos manter em um
estado de aprendizagem contnuo e o mais difcil: temos que aprender a aprender. Educao e aprendizagem
no algo que tem data para terminar em um momento determinado, como logo aps a faculdade ou uma ps-
graduao. Para que o profissional possa manter-se no mercado necessrio estudar sempre, mantendo-se
atualizado com as mudanas tecnolgicas, aprendendo a utilizar as novas ferramentas, aprimorando o conhecimento
de outros idiomas e assuntos.
Precisamos conhecer uma infinidade de assuntos, dentro os quais poderia destacar os seguintes: conhecimentos
sobre finanas e investimentos, noes bsicas sobre contabilidade e economia, matemtica financeira, um ou
mais idiomas estrangeiros; preferencialmente ingls e espanhol, bom domnio da gramtica e das tcnicas de
redao, administrao, marketing, gerncia de projetos, trabalho em equipe e orientao para resultados.
Somente o estudo eficaz e continuado capaz de garantir o domnio de tantos assuntos. Por isso devemos nos
preocupar, em primeiro lugar, em melhorar o nosso rendimento nos estudos.
Alis, o princpio de educao pela vida inteira no nenhuma novidade dos tempos modernos. Os gregos j
defendiam um modelo de educao conhecido como paideia, em que um dos pilares deste modelo era uma
educao diferenciada e continuada, mesmo aps a idade adulta.
Em resumo: educao e estudo durante a vida inteira.
O primeiro dilema: mais estudo demanda mais tempo
Para exemplificar o dilema de arranjar tempo para estudar tudo o que julgamos necessrio ou que nos dizem
ser necessrio, vou utilizar o exemplo da pessoa que eu melhor conheo neste mundo: eu mesmo.
Em primeiro lugar, voc precisa entender que no d para estudar tudo o que acha ser importante ou nos dizem
(jornais, revistas e sites da moda) ser indispensvel para uma carreira de sucesso. Devemos ser capazes de definir
prioridades e segu-las risca.
Durante muito tempo comprei muito mais livros do que poderia ler. Cheguei a ter mais de 30 livros esperando na
fila. Constantemente, me preocupava pelo fato de no conseguir ler e estudar todos os assuntos que eu julgava
importantes. Uma simples pausa para assistir a um jogo de futebol na televiso era motivo para conscincia
pesada por no ter aproveitado melhor meu tempo. Onde que j se viu perder um jogo do meu Grmio?
Neste perodo, acabei me afastando dos amigos, da famlia e at minha esposa queixava-se, com a mais
absoluta razo, de que eu quase no ficava com ela. Muitas vezes eu me preocupava mais em ler um livro, do
que em fazer uma anlise sobre seu contedo e sobre o valor daquela leitura para mim como ser humano e para
a minha carreira profissional. O importante era diminuir a fila de livros no lidos, mesmo que isso significasse
cada vez menos horas de sono, menos horas de lazer e de atividades fsicas. Pouco importava se minha qualidade
de vida estava pssima e piorando dia a dia.
Talvez o amigo leitor jamais tenha chegado a esse ponto, mas no difcil concluir que no d pra estudar tudo.
O simples fato de o estudo ter se tornado uma carga muito pesada, mais uma obrigao do que um prazer, fez
com que meu rendimento e meu humor descessem a nveis preocupantes.
No d para aprender tudo ao mesmo tempo: Windows XP, Windows 2000, Linux, Novell, UNIX, VB, Delphi,
Java, JavaScript, ASP, ASP.NET, C, C++, C#, XML, segurana, finanas, economia, administrao, fazer um
MBA, uma ps... e, se voc ainda estiver vivo, quem sabe, uma cirurgia de ponte de safena.
Estudo e aperfeioamento contnuos so fundamentais sim, porm de forma organizada e, principalmente,
planejada. O foco deve estar na aplicao dos conhecimentos adquiridos. Jamais no conhecimento por si s.
Conhecimento no poder, ao que poder. Conhecimento no o que faz a diferena, o que faz a diferena
o que voc faz com o conhecimento que tem. No se esquea dos seguintes princpios bsicos: definio de
prioridades e foco na aplicao dos conhecimentos.
Parece e o bvio. Se cada vez temos mais assuntos para estudar, mais aptides para desenvolver e menos
tempo para tudo isso fundamental que formemos uma base bem slida para enfrentar os desafios atuais e os
que ainda esto por vir. Como base slida, considero o domnio de algumas tcnicas vitais para que o
profissional possa manter o seu desempenho em nveis sempre elevados e ao mesmo tempo ter tempo para viver,
para curtir a famlia, o laser e os amigos. Vamos falar um pouco sobre alguns tpicos que considero vitais:
Administrao do tempo:
Saber administrar de maneira racional o escasso tempo que dispomos de fundamental importncia.
Muitas pessoas queixam-se de que no tem tempo para nada, mas se observarmos com mais ateno
veremos que mesmo que o dia tivesse as to sonhadas 48 horas, essas pessoas no conseguiriam concluir
as suas tarefas, pelo simples motivo de que no administram corretamente o tempo. Estamos sem controle do
nosso tempo quando acumulamos mais informaes do que podemos absorver, quando trabalhamos de olho
no relgio, querendo cumprir uma carga de trabalho irreal, quando levamos uma vida sedentria com a
desculpa que no temos tempo para praticar uma atividade fsica ou quando enchemos nossa agenda com
atividades e compromissos que sabemos que no seremos capazes de cumprir.
Nos endereos a seguir voc encontra uma srie de artigos meus sobre Administrao do Tempo:
http://www.gabaritando.com.br/colunas/0310_batisti.asp
http://www.gabaritando.com.br/colunas/batisti_brigar_tempo2_27_01.asp
http://www.gabaritando.com.br/colunas/batisti_brigar_tempo3_1.asp
Sers organizado e no procrastinars:
No um mandamento mas deve ser encarado como tal. Sabe aquele histria que: na minha baguna eu me
acho? O profissional dos dias atuais tem que ser organizado, quer seja no trabalho, quer seja na sua vida
pessoal. No final de cada ano fazer um planejamento para o ano seguinte no faz mal a ningum. No planejamento
importante incluir quais novos conhecimentos voc deseja adquirir, onde voc ir aplicar estes conhecimentos
(lembre sempre: conhecimento sem ao no tem valor algum), as novas aptides que deseja desenvolver e,
principalmente, quais os objetivos deseja alcanar. Parece incrvel, mas muitas pessoas, no meio da correria, no
tem a noo exata de quais so seus objetivos. Como diz um ditado oriental: de que adianta correr se voc est
no caminho errado? Outra praga, que deve ser combatida com veemncia a procrastinao, o popular
empurrar com a barriga. Deixar para depois, comear amanh ou quem sabe na semana que vem? Nada
disso. Quanto antes iniciarmos nossas tarefas, com mais tranqilidade e qualidade poderemos complet-las, sem
apuros e improvisaes.
Trabalho em equipe e delegao de tarefas:
Voc admitido na empresa e mais do que normal que no seu primeiro emprego, seja alocado para realizar
algumas tarefas operacionais. Mas como todo mundo, voc quer evoluir, crescer, ser promovido. natural que
venha a ocupar, com o passar do tempo, um cargo de gerncia. Quem sabe um dia ser diretor, depois vice-
presidente e, por que no, presidente. No importa o cargo que voc ocupa, fundamental que saiba trabalhar
em equipe, em outras palavras: colaborao e cooperao. Isso no significa que no deva existir competio,
porm em doses saudveis. Mas o fato que somente o trabalho em equipe capaz de obter os resultados
exigidos atualmente. Pela milionsima vez vou citar o exemplo do time de futebol formado por onze craques,
porm sem esprito de equipe, onde cada um quer aparecer mais do que o outro. Com certeza este time ser
derrotado por uma equipe formada por onze jogadores medianos, porm com forte esprito de equipe, onde
todos colaboram na busca de um objetivo comum. Na medida em que voc vai ocupando cargos com caractersticas
mais gerenciais do que operacionais a delegao de tarefas torna-se um instrumento indispensvel. Se voc
chefia uma equipe fundamental que confie nela. Com isso possvel delegar tarefas e manter um nvel de
acompanhamento racional; pois de nada adianta delegar uma tarefa e depois acompanhar, passo-a-passo a
execuo. No endereo a seguir voc encontra um artigo meu sobre Delegao de Tarefas:
http://www.timaster.com.br/revista/artigos/main_artigo.asp?codigo=322
No basta ser competente, os outros tem que saber que voc competente:
importante que as pessoas saibam que voc um profissional competente, tico e em que assuntos voc pode
ser considerado uma referncia. No uma questo de ser metido ou se achar o mximo. Devemos cuidar da
nossa carreira da mesma maneira que cuidamos de uma empresa. Tom Peters, na excelente srie de livros
Reinventando o Trabalho, editora Campus, defende que o profissional deve cuidar da divulgao do seu
talento e habilidades, como se estivesse fazendo a divulgao do produto de uma empresa ele denomina esta
empresa de Voc AS.. Peters ainda defende a idia que devemos cuidar desde os aspectos bsicos com uma
boa aparncia, boa educao, at questes mais avanadas como fazer uma auto-avaliao do tipo: qual o
valor da marca seu nome para o mercado de trabalho. A idia bsica que voc torne-se um profissional
que as empresas necessitem e que seja capaz de fazer o seu marketing pessoal com eficincia.
Outra palavra que est bastante em moda netwoking. Esta palavra utilizada para fazer referncia nossa
rede de relacionamentos profissionais. Diversos autores so unnimes em afirmar que no devemos nos descuidar
da nossa rede de relacionamentos. De preferncia devemos ampli-la para incluir contato com profissionais das
mais diversas reas. Manter nossa lista de telefones e endereos de e-mail em dia de fundamental importncia.
Muitas vezes uma oportunidade surge na empresa onde um dos seus contatos/ amigos est trabalhando.
natural e tico que o seu contato/amigo indique voc para ocupar a vaga. Existem empresas que do prmios
em dinheiro, para funcionrios que indicam conhecidos que sejam aprovados e admitidos para ocupar uma
vaga na empresa. A simples indicao no garante o emprego, pois o candidato dever passar pelo processo
de avaliao da empresa. Alm disso, se voc no for competente, o seu amigo/contato no ir indic-lo, pois
ele no quer ser responsvel pela admisso de uma pessoa sem as competncias exigidas pela empresa ou pela
indicao de um candidato que certamente ser reprovado.
hora de construir uma carreira de sucesso
Agora que voc j conhece os fundamentos necessrios para criar uma carreira de sucesso, tais como administrar bem
o tempo e a sua lista de contatos, ser organizado e ter objetivos bem claros, hora de construir uma carreira slida e
de sucesso.
Parece bvio, mas devo reforar a idia de que o profissional de TI, quer seja em nvel operacional, gerencial ou
executivo, deve ter slidos conhecimentos tcnicos. Um ponto importante a destacar que conhecimentos
tcnicos significa o domnio de algumas tecnologias essenciais e no, necessariamente, de produtos especficos.
Este um erro que tenho observado, inclusive, em diversos cursos universitrios para a formao de profissionais
de TI, ou seja, ao invs de ensinar tecnologia, ensinam a utilizar determinados produtos. Claro que existem alguns
produtos especficos que, devido a grande aceitao pelo mercado, devem ser dominados pelo profissional de
TI. A seguir coloco uma lista das tecnologias e alguns produtos especficos que considero essenciais que o
profissional domine:
Sistemas operacionais, principalmente Windows (9x, 2000, NT e XP), Linux e UNIX
Redes de computadores (conceitos, arquiteturas, dispositivos de hardware, etc.).
TCP-IP e tecnologias relacionadas.
Orientao a objetos (para desenvolvedores e analistas de sistema).
Princpios de anlise e projeto de software.
Segurana (criptografia, firewall, gerenciamento, VPN, PKI, certificados digitais, etc.).
Banco de dados (modelo relacional, administrao, integrao com a Web, etc.).
Gerncia de projetos.
No mnimo uma ferramenta/linguagem de desenvolvimento.
Internet (arquitetura, utilizao, modelo de desenvolvimento para Web em trs ou mais camadas).
Pode parecer muita coisa, mas o domnio destes assuntos segue uma ordem natural e at intuitiva, mesmo nos
atuais dias de correria. A maioria dos profissionais de TI iniciou sua carreira aprendendo a utilizar um sistema
operacional. Em seguida, muito provavelmente, passou a estudar os princpios bsicos de lgica de programao
e uma linguagem para testar os conceitos aprendidos. Em seguida, chegou o momento de aprender a utilizar
algumas ferramentas, como por exemplo um redator de textos e uma planilha de clculos. E assim os conhecimentos
vo sendo adquiridos um a um. O problema est na velocidade com que novas tecnologias e produtos so
lanados. No adianta nos queixarmos, a atitude correta nos adaptarmos.
No incio da Revoluo Industrial, quando foram criados os primeiros teares, muitos empregados ficaram revoltados,
com medo de perder o emprego. Outros procuraram entender a mudana, aprendendo a operar as novas
mquinas. Estes ltimos souberam se adaptar a uma situao de mudana e mantiveram seus empregos. Penso
que atitude correta exatamente esta, ou seja, o profissional de TI precisa adaptar-se ao ritmo em que vivemos.
simplesmente uma questo de adaptar-se ou ficar para trs. Aqui quero mais uma vez tocar no ponto central, o
qual me levou a escrever este artigo: possvel acompanhar o ritmo das mudanas, mantendo-se atualizado,
sem perder em qualidade de vida e convvio com a famlia e os amigos.
Um aspecto bastante valorizado pelas empresas so as certificaes oficiais. Cada empresa tem o seu prprio
programa de certificao. Por exemplo, a certificao mais valorizada da Microsoft o ttulo de MCSE
Microsoft Certified Systems Engineer. As certificaes da Cisco, IBM, Sun e Oracle tambm so bastante valorizadas
no mercado. A certificao serve como uma espcie de atestado, o qual um indicativo das qualificaes do
profissional em um determinado produto ou tecnologia.
Aquele profissional que trabalhava exclusivamente fechado na sala de processamento de dados, sem um contato
mais direto com o restante da empresa, apenas realizando tarefas estritamente tcnicas, no existe mais. Hoje a
empresa quer um profissional completo, ou seja, um ser humano completo.
A Tecnologia da Informao fundamental como suporte para todas as atividades de uma empresa. Para que a
TI possa atender as expectativas da empresa, dos funcionrios e dos clientes, fundamental que os profissionais
de TI conheam a empresa, os funcionrios, os processos, os produtos, os clientes e o mercado. Em outras
palavras: conhecer o negcio. Por isso que alm dos conhecimentos tcnicos so importantes os conhecimentos
j citados anteriormente, tais como: finanas, administrao, marketing, contabilidade, economia, etc.
A alma de uma empresa formada por pessoas, idias e objetivos claros e definidos. Para que as pessoas
possam colocar suas idias na busca de seus objetivos pessoais e na busca dos objetivos da empresa funda-
mental que todos tenham boas capacidades de relacionamento inter e intra pessoal. A empresa espera que o
profissional seja tico, honesto, que tenha esprito de equipe. Neste ponto a alta direo e os executivos da
empresa desempenham um papel fundamental na criao de um bom ambiente de trabalho. A empresa tem que
saber que os funcionrios no ajudaro a empresa a alcanar seus objetivos se ela, a empresa, no ajudar o
funcionrio a realizar seus prprios sonhos.
Um bom ambiente de trabalho inclui uma estrutura sem grandes burocracias com infinitos nveis hierrquicos, com
dezenas de formulrios a serem preenchidos, os quais s atrapalham quem quer trabalhar e produzir, um
ambiente onde a criatividade sempre incentivada e no sufocada por normas sem sentido; uma poltica de
remunerao justa e transparente; desafios constantes e direitos iguais para todos. So pequenas coisas que
podem comear a minar o ambiente de trabalho. Pequenas regalias para a alta administrao, ineficincia na
comunicao interna, etc.
Dentro deste novo ambiente, o profissional deve ser capaz de se expressar com naturalidade e eficincia. O
domnio da gramtica e das tcnicas de redao e comunicao fundamental, para que voc possa expor suas
idias com clareza. Passamos uma parcela considervel do nosso tempo respondendo e-mails, elaborando
memorandos, relatrios, notas tcnicas e os mais variados tipos de documentos. O profissional que domina as
tcnicas de redao tem maiores chances de se destacar e ser lembrado para promoes. Alm da comunicao
escrita, tambm de grande importncia a habilidade para fazer apresentaes, quer seja para um pblico
interno (colegas de trabalho, chefes, etc.), quer seja para um pblico externo (clientes, fornecedores, etc.).
Todo este arsenal de conhecimentos e aptides de nada adianta se voc no for orientado para resultados.
Em outras palavras: a empresa no paga voc para trabalhar oito horas ou para realizar determinadas tarefas ou
para ter determinados conhecimentos; voc pago para obter resultados, para ao.
Para que voc possa obter os resultados esperados pela empresa, so fundamentais trs Cs: Conhecimento,
Contribuio e Comprometimento. Sobre a importncia dos conhecimentos e do trabalho em equipe (contribuio)
j falamos. Mas tudo isso no adianta se voc no estiver comprometido com suas idias, projetos e objetivos, estes
alinhados com os objetivos da empresa. Comprometer-se buscar os resultados, dando o mximo de si. Quando
um projeto est com problemas, se voc no estiver comprometido com o sucesso do projeto, comear a buscar
desculpas que justifiquem o possvel fracasso, ao invs de trabalhar intensamente na busca de solues. O
profissional dos dias atuais tem que estar comprometido com os objetivos da empresa e tambm com seus objetivos
pessoais, a isso chamo de tica pessoal e profissional. Esta uma questo de postura do profissional. Para detalhes
sobre este tpico consulte o meu artigo: Vencer uma questo de postura, disponvel no endereo a seguir:
http://www.gabaritando.com.br/colunas/Batisti_postura01_04_03.asp
A vida no somente trabalho
Leia esta pequena histria:
Uma vez um mestre fez uma experincia com seus alunos. Pegou um vaso e encheu-o com pedras grandes.
Depois, ergueu o vaso e perguntou aos alunos: o vaso est cheio?
A turma se dividiu, com alguns dizendo que sim e outros que no. O mestre ento, pegou algumas pedras
pequenas e colocou-as no vaso. As pedras pequenas se encaixaram entre as grandes, e o mestre ergueu o vaso,
novamente, perguntando: o vaso est cheio?
Desta vez a maioria dos alunos respondeu que sim. O mestre, ento, pegou um saco de areia e despejou dentro
do vaso. Depois, repetiu a pergunta.
A grande maioria respondeu que sim. O mestre, ento, pegou uma jarra de gua, derramou no vaso, e perguntou:
o vaso est cheio?
A turma finalmente chegou a um consenso. Todos responderam que sim. Ento o mestre falou: Este vaso como
a nossa vida. Se eu tivesse colocado as pedras pequenas, a areia ou a gua em primeiro lugar, no haveria
espao para as pedras grandes. As pedras grandes na nossa vida so: famlia, amigos, carreira, trabalho, f,
lazer e sade. fundamental que no descuidemos delas. No podemos perder muito tempo com coisas sem
importncia (as pedras pequenas), pois corremos o risco de no haver espao para as coisas que realmente so
importantes (as pedras grandes).
Para mim, foi vital entender que a carreira importante sim, principalmente em tempos de alta rotatividade e de
busca por profissionais cada vez mais qualificados. Mas ela no tudo. Uma carreira de sucesso sustentada por
muitos pilares e, sem dvida, famlia, lazer, amigos e sade fsica e mental so alguns dos que tm maior importncia.
Reservar um tempo para a famlia, programar horas de lazer ou de bate-papo com os amigos e realizar atividades
fsicas no podem, de maneira alguma, ser consideradas atividades que nos roubam tempo. s vezes,
importante uma simples parada para no fazer nada e refletir sobre a vida. A partir do momento em que
conseguimos equilibrar esses aspectos, passamos a ver as coisas com mais clareza e a produzir mais e melhor.
Planejamento e organizao mais um lembrete
Tambm no podemos descuidar de dois princpios bsicos para uma carreira de sucesso: organizao e
planejamento. A cada fim de ano planejo minha carreira para os 365 dias que vo comear e sempre penso nos
seguintes aspectos: novos conhecimentos que desejo adquirir e aonde vou aplic-los, provas e exames de
certificao que desejo fazer, projetos que pretendo implementar na minha empresa e projetos pessoais que
quero desenvolver (como escrever livros e artigos, ministrar palestras e treinamentos).
O planejamento precisa ser feito de maneira consciente. No adianta planejar uma carga de atividades que
com certeza voc no ter como cumprir. Tambm importante ter conscincia de que nem sempre as coisas
saem conforme o planejado. preciso ter criatividade e flexibilidade para contornar e solucionar imprevistos.
Melhorar a capacidade de organizao e de gerenciamento do tempo, tambm um aspecto importante.
Muitas vezes me pegava navegando na Internet horas a fio, saltando de um portal para o outro, maravilhado com
a quantidade de informaes, mas no chegava a ler sequer um artigo. Na verdade, nem mesmo lembrava do
assunto que me levou a acessar a Internet. claro que a Internet imprescindvel, porm devemos saber utiliz-la
a nosso favor, sem nos perdermos na imensido de informaes disponveis.
Tomar caf, assistir TV, ler um jornal a caminho do servio, outro no avio, assinar um monte de revistas; so
sintomas do que Richard Saul Wurman descreve como ansiedade de informao, no excelente livro com este
mesmo ttulo. Segundo o autor: informao aquilo que reduz a incerteza, a causa profunda da ansiedade. A
ansiedade da informao acontece quando voc sabe o que quer, mas no sabe como chegar l.
No comeo difcil. Diversas vezes, em meio a uma atividade de lazer, batia aquela dor na conscincia e eu
pensava que deveria estar estudando ou terminando um trabalho qualquer. Porm com o tempo, comecei a
perceber a importncia dessas atividades.
Posso usar o meu exemplo pessoal para mostrar o quanto importante no descuidar das pedras grandes
que fazem parte da nossa vida. Em 2001, consegui publicar dois livros (SQL Server 2000 Administrao
e Desenvolvimento Curso Completo e ASP.NET, Uma Nova Revoluo na Criao de Sites e Aplicaes
Web, ambos pela Axcel Books), em 2002 mais um livro (Windows XP Home & Professional pela Axcel
Books), criei e consegui tornar conhecido o meu site (www.juliobattisti.com.br) e viajei o Brasil inteiro
ministrando treinamentos em diversas reas, consegui estudar vrios assuntos que julguei prioritrios e fui
aprovado em oito exames de certificao da Microsoft. Isso no significou que tive que esquecer do lazer
e da famlia ou dos amigos.
Ainda no zerei a fila de livros que tenho para ler, nem dediquei todo o tempo que julgo necessrio para
minha vida pessoal, mas confesso que j consigo passar um domingo inteiro na beira da piscina, no clube,
sem ficar com a conscincia pesada. Este ano tambm tive momentos maravilhosos com minha famlia e
meus amigos. Sinto-me mais leve e produzindo mais do que antes; consigo valorizar coisas que antes
passavam despercebidas. At voltei a brincar com crianas, o que antes eu achava algo irritante e sem
graa. O caso era realmente srio!
Pare, viva. possvel crescer profissionalmente e obter sucesso, sem se isolar do mundo, sem sentir-se sufocado,
sem perder o foco no que realmente importante e nos faz feliz. Se voc, leitor, quiser trocar idias e sugestes,
ou simplesmente contar suas experincias, s entrar em contato comigo por e-mail (webmaster@juliobattisti.com.br).
Ser um grande prazer conversar com voc.
Referncias bibliogrficas:
Dawson, Roger. 13 Segredos para o Sucesso Profissional. Editora Futura.
Figueiredo, Jos Carlos. Como Anda Sua Carreira. Editora Infinito.
Jensen, Bill. Simplicidade. Editora Campus.
Kundtz, Dr. David. A Essencial Arte de Parar. Editora Sextante.
Levy, Pierry. A Conexo Planetria. Editora 34.
Minarelli, Jos Augusto. Empregabilidade. Editora Gente.
Oliveira, Marco A. E Agora Jos? Editora SENAC.
Peters, Tom. Srie Reinventando o Trabalho. Editora Campus.
Siegel, David. Futurize Sua Empresa. Editora Futura.
Shinyashiki, Roberto. Voc, a Alma do Negcio. Editora Gente.
Sterneberg, Robert J. Inteligncia Para o Sucesso Pessoal. Editora Campus.
Wurman, Richard Saul. Ansiedade de Informao. Cultura Editores Associados.
Autor: Julio Battisti
Site: www.juliobattisti.com.br e www.certificacoes.com.br
E-mail: webmaster@juliobattisti.com.br
*********************************************************************************************
*********************************************************************************************
Este artigo refora o meu ponto de vista de que, os conhecimentos tcnicos continuam sendo importantes, porm
as empresas esperam muito mais do que apenas conhecimentos tcnicos. Ao obter uma ou mais certificaes da
Microsoft, voc est comprovando os seus conhecimentos tcnicos e o domnio das tecnologias relacionadas aos
exames de certificao.
Conforme j descrito anteriormente, o exame 70-290 obrigatrio para quem quer obter a certificao MCSE, e
tambm conta para as certificaes MCSA e MCDBA. A seguir apresentarei alguns detalhes sobre a certificao
MCSE-2003, que a certificao indicada para profissionais que, alm de administrar redes baseadas no Windows
Server 2003, com clientes baseados no Windows 2000 Professional ou Windows XP Professional, tambm so
responsveis pelo planejamento, gerenciamento, implementao e expanso das respectivas redes.
Informaes completas sobre os diversos programas de certificao da Microsoft podem ser encontradas nos seguintes
endereos:
www.juliobattisti.com.br
www.microsoft.com/mcse
www.microsoft.com/mcsa
www.microsoft.com/mcdba
www.ucertify.com
www.certifiyorself.com
www.microsoft.com/traincert
www.microsoft.com/brasil/certifique
www.cramsession.com
www.examnotes.net
www.timaster.com.br (coluna Certificado de Garantia, de minha autoria).
www.certcities.com
www.certportal.com
www.mcmcse.com
www.2000tutor.com
www.mcpmag.com
www.msexpert.com
O programa de certificao Microsoft Certified Systems Engineer
MCSE-2003:
Introduo
Com a chegada do Windows Server 2003, em Abril de 2003, os candidatos estavam ansiosos em relao s mudanas
em relao as certificaes MCSA e MCSE, diretamente relacionadas com a Administrao, Projeto e Implementao
de Redes baseadas no Windows Server 2003. Alguns detalhes j foram revelados (conforme voc poder ver neste
tpico), porm alguns itens, tais como se ser e quando ser descontinuada a certificao MCSE-2000, ainda no
foram divulgados pela Microsoft.
A Microsoft anunciou em 19-02-2003 os requerimentos para obter o MCSE 2003, bem como as opes para quem j
MCSE no Windows 2000, obter a certificao MCSE 2003. A seguir apresento mais alguns detalhes sobre a nova
certificao MCSE 2003, para que os candidatos possam j ir se planejando e preparando seus estudos.
DVIDA MUITO IMPORTANTE: Muitos leitores entram em contato comigo, via e-mail, com a seguinte pergunta:
Com a chegada do Windows Server 2003 (antes batizado de Windows .NET Server 2003), vale a pena continuar
investindo na certificao para o Windows 2000?
Eu diria que esta uma resposta difcil de ser dada, neste momento (Janeiro de 2004). A migrao do NT Server 4.0
para o Windows 2000 Server foi em ritmo bem lento, sendo que muitas empresas ainda no migraram ou somente
agora esto iniciando projetos de migrao. Isso que as vantagens do Windows 2000 em relao ao NT 4.0 so
enormes. J com o Windows Server 2003 diferente, pois este representa apenas um conjunto de melhorias em
relao ao Windows 2000 (na minha opinio), no , nem de longe, uma mudana tecnolgica e de paradigma (basta
citar a introduo do Active Directory no Windows 2000) como foi do NT 4.0 para o Windows 2000. Com isso a ritmo
de migrao dever ser lento (na minha opinio). J passou a poca em que as empresas seguiam os modismos e
migravam s para estar em dia com a ltima tecnologia. Agora, as empresas vo analisar. Vale a pena migrar para o
Windows Server 2003? Que vantagens eu terei em relao ao dinheiro investido? O resultado disso tudo que o
Windows 2000 continuar dominando o mercado por muito tempo e, conseqentemente, continuar a haver necessidade
de profissionais certificados no Windows 2000. Porm pode acontecer de daqui um ms ou dois a Microsoft anunciar
a descontinuidade dos exames do MCSE-2000. Bem, pelos fatores expostos, infelizmente ainda no existe uma resposta
definitiva a esta dvida dos amigos leitores. S nos resta aguardar.
A quem se destina a certificao MCSE 2003:
A certificao MCSE-2003 destinada a profissionais responsveis pelo projeto e implementao de uma infra-
estrutura de rede baseada no Windows Server 2003. Tambm destinada aos profissionais responsveis pela migrao
de uma rede baseada no Windows 2000 Server, Windows NT Server ou outras tecnologias, para uma rede baseada no
Windows Server 2003. A idia que o profissional certificado com o MCSE 2003 seja capaz de planejar, projetar e
coordenar a implementao de uma infra-estrutura de rede baseada no Windows Server 2003. Uma tarefa e tanto, que
exige slidos conhecimentos e domnios das tecnologias do Windows Server 2003.
O candidato certificao MCSE 2003 ter que demonstrar os seus conhecimentos do Windows Server 2003, do Active
Directory (Projeto e Implementao), dos servios de rede (TCP/IP, DNS, DHCP, RRAS, IIS, IP-SEC e assim por
diante), da parte de segurana e da parte de projeto de uma infra-estrutura de rede, baseada no Windows Server 2003.
Quantos e quais os exames necessrios ao MCSE-2003?
Para obter a certificao MCSE 2003 o candidato deve ser aprovado em sete exames, sendo seis os chamados core
exames (obrigatrios) e um eletivo (que o candidato pode selecionar dentre as diversas opes disponveis). Os exames
core tem a ver diretamente com o Windows Server 2003. Desde exames mais voltados para a rea de redes, outro
especfico para implementao e Administrao do Active Directory, outro para projeto e design do Active Directory
e assim por diante, conforme descreverei mais adiante. O exame eletivo pode ser selecionado entre diversas opes,
conforme descreverei logo a seguir.
A seguir veremos quais as opes de exame disponveis para obter a certificao MCSE 2003. Os exames so divididos
em dois grupos: core (obrigatrios) e os eletivos. Para obter o MCSE-2003, o candidato:
Deve ser aprovado nos seis exames obrigatrios (core).
Deve escolher e ser aprovado em um dos diversos exames eletivos disponveis.
Exames Core (obrigatrios) para o MCSE - 2003 - 6 Exames:
Os seis exames obrigatrios esto divididos em trs grupos, conforme descrito a seguir:
Quatro exames de sistemas de redes.
Um exame de Sistema Operacional Cliente.
Um exame de Projeto (design).
Exames de Sistemas de redes: Voc deve, obrigatoriamente, passar nos quatro exames a seguir:
1. Exame 70-290: Managing and Maintaining a Microsoft Windows Server 2003 Environment. O Guia oficial, em
ingls, com os tpicos a serem estudados para esse exame est disponvel no seguinte endereo: http://
microsoft.com/traincert/exams/70-290.asp. Este livro um Manual de Estudos para o Exame 70-290.
2. Exame 70-291: Implementing, Managing, and Maintaining a Microsoft Windows Server 2003 Network Infra-
structure. O Guia oficial, em ingls, com os tpicos a serem estudados para esse exame est disponvel no seguinte
endereo: http://microsoft.com/traincert/exams/70-291.asp. Ainda no primeiro semestre de 2004, ser publicado
um livro de minha autoria, especfico para este exame.
3. Exame 70-293: Planning and Maintaining a Microsoft Windows Server 2003 Network Infrastructure. O Guia
oficial, em ingls, com os tpicos a serem estudados para esse exame est disponvel no seguinte endereo: http:/
/microsoft.com/traincert/exams/70-293.asp.
4. Exame 70-294: Planning, Implementing, and Maintaining a Microsoft Windows Server 2003 Active Directory
Infrastructure. O Guia oficial, em ingls, com os tpicos a serem estudados para esse exame est disponvel no
seguinte endereo: http://microsoft.com/traincert/exams/70-294.asp
Exame de Cliente de Sistema Operacional: Dos dois exames descritos deste grupo, voc dever passar em um
deles, a sua escolha:
1. Exame 70-270: Installing, Configuring, and Administering Microsoft Windows XP Professional. Quem MCSE
2000 talvez j tenha passado neste exame e poder utiliz-lo para o MCSE 2003. O Guia oficial, em ingls, com
os tpicos a serem estudados para esse exame est disponvel no seguinte endereo: http://microsoft.com/traincert/
exams/70-270.asp.
2. Exame 70-210: Installing, Configuring, and Administering Microsoft Windows 2000 Professional. Quem MCSE
2000 talvez j tenha passado neste exame e poder utiliz-lo para o MCSE 2003. O Guia oficial, em ingls, com
os tpicos a serem estudados para esse exame est disponvel no seguinte endereo: http://microsoft.com/traincert/
exams/70-210.asp
Exame de Design: Dos dois exames descritos neste grupo, voc dever passar em um deles, a sua escolha:
1. Exame 70-297: Designing a Microsoft Windows Server 2003 Active Directory and Network Infrastructure. O
Guia oficial, em ingls, com os tpicos a serem estudados para esse exame est disponvel no seguinte endereo:
http://microsoft.com/traincert/exams/70-297.asp
2. Exame 70-298: Designing Security for a Microsoft Windows Server 2003 Network. O Guia oficial, em ingls,
com os tpicos a serem estudados para esse exame est disponvel no seguinte endereo: http://microsoft.com/
traincert/exams/70-298.asp
Exame Eletivo para o MCSE - 2003 - 1 Exame:
Da lista de exames a seguir voc deve passar em um deles:
1. Exame 70-086: Implementing and Supporting Microsoft Systems Management Server 2.0. O Guia oficial, em
ingls, com os tpicos a serem estudados para esse exame est disponvel no seguinte endereo: http://
microsoft.com/traincert/exams/70-086.asp.
2. Exame 70-227: Installing, Configuring, and Administering Microsoft Internet Security and Acceleration (ISA)
Server 2000, Enterprise Edition. O Guia oficial, em ingls, com os tpicos a serem estudados para esse exame
est disponvel no seguinte endereo: http://microsoft.com/traincert/exams/70-227.asp.
3. Exame 70-228: Installing, Configuring, and Administering Microsoft SQL Server 2000 Enterprise Edition. O
http://microsoft.com/traincert/exams/70-228.asp.
4. Exame 70-229: Designing and Implementing Databases with Microsoft SQL Server 2000 Enterprise Edition. O
5. Exame 70-232: Implementing and Maintaining Highly Available Web Solutions with Microsoft Windows 2000
Server Technologies and Microsoft Application Center 2000. O Guia oficial, em ingls, com os tpicos a serem
estudados para esse exame est disponvel no seguinte endereo: http://microsoft.com/traincert/exams/70-232.asp.
6. Exame 70-297: Designing a Microsoft Windows Server 2003 Active Directory and Network Infrastructure. O
7. Exame 70-298: Designing Security for a Microsoft Windows Server 2003 Network. O Guia oficial, em ingls,
com os tpicos a serem estudados para esse exame est disponvel no seguinte endereo: http://microsoft.com/
traincert/exams/70-298.asp.
Como fazer o Upgrade do MCSE 2000 para o MCSE 2003:
Quem j for certificado em MCSE 2000 ter que passar em apenas dois exames, para obter a certificao MCSE 2003.
IMPORTANTE: Os exames 70-
297 e 70-298 contam uma nica
vez. Por exemplo, se voc for
aprovado no Exame 70-297 ele
vlido ou para preencher o requisito
de obrigatrio para Design ou como
eletivo. Ele no pode contar
duplamente, ou seja, como exame
de Design e tambm como exame
eletivo. O mesmo vlido em
relao ao exame 70-298. Se voc
for aprovado nos dois, um contar
como Design e outro como Eletivo.
Exames de Upgrade: Quem j tiver a certificao MCSE 2000, basta passar nos
dois exames a seguir, para obter o MCSE 2003:
1. Exame 70-292: Managing and Maintaining a Microsoft Windows Server 2003
Environment for an MCSA Certified on Windows 2000. O Guia oficial, em
ingls, com os tpicos a serem estudados para esse exame est disponvel no
seguinte endereo: http://microsoft.com/traincert/exams/70-292.asp.
2. Exame 70-296: Planning, Implementing, and Maintaining a Microsoft Windows
Server 2003 Environment for an MCSE Certified on Windows 2000. O Guia
oficial, em ingls, com os tpicos a serem estudados para esse exame est
disponvel no seguinte endereo: http://microsoft.com/traincert/exams/70-296.asp.
Resumo sobre o MCSE-2003:
Na minha opinio a Microsoft aprendeu a lio e no repetiu os mesmos erros de
quando foi feita a migrao do NT Server 4.0 para o Windows 2000 Server. As
mudanas no so to acentuadas e o caminho de atualizao (upgrade), para
quem j certificado em Windows 2000 ficou bem mais suave. Com isso reforo a minha recomendao: Se voc est
estudando para os exames do Windows 2000, continue estudando e faa os exames normalmente. Depois para obter o
MCSE 2003 sero apenas dois exames. Bastante razovel.
No endereo a seguir voc encontra uma lista de perguntas/respostas mais freqentes, em ingls, sobre os exames do
Windows Server 2003:
http://microsoft.com/traincert/mcp/mcse/faq.asp
Em caso de dvidas, sobre o MCSE-2003, entre com contato atravs do e-mail: webmaster@juliobattisti.com.br.
Algumas observaes sobre os exames para o MCSE 2003:
Traduzindo a nota da Microsoft atravs de um exemplo: O exame 70-2297 pode
ser utilizado como um exame obrigatrio e tambm como um exame eletivo. Se
voc passar no exame 70-297, somente poder utiliz-lo como core ou como
eletivo e no contando para os dois casos. Se voc utilizar o exame 70-297, por
exemplo, como core, ter que passar em outro exame eletivo, pois ele no contar
tambm como eletivo.
Tpicos para o exame 70-290 Programa Oficial
da Microsoft.
Vamos apresentar o programa oficial da Microsoft para o exame 70-290 - Man-
aging and Mantaining a Windows Server 2003 Environment. Os tpicos que
descrevo a seguir so baseados no programa oficial da Microsoft, constante no
seguinte endereo:
http://www.microsoft.com/learning/exams/70-290.asp
Este livro aborda este programa, mais conceitos tericos e exemplos prticos que
julgo importantes para o candidato que est encarando o desafio do Exame 70-
290. Um desafio que exige estudo e muita dedicao, mas sem dvidas um desafio
possvel de ser vencido. No ltimo captulo do livro, apresento um simulado com
60 questes, com respostas e comentrios detalhados.
Tpicos para o exame 70-290, segundo o guia de estudos da
Microsoft.
Programa Oficial para o Exame 70-290:
1. Managing and Maintaining Physical and Logical Devices
Manage basic disks and dynamic disks.
Monitor server hardware. Tools might include Device Manager, the Hard-
ware Troubleshooting Wizard, and appropriate Control Panel items.
Optimize server disk performance.
Implement a RAID solution.
Defragment volumes and partitions.
Install and configure server hardware devices.
Configure driver signing options.
Configure resource settings for a device.
Configure device properties and settings.
2. Managing Users, Computers, and Groups
Manage local, roaming, and mandatory user profiles.
Create and manage computer accounts in an Active Directory environment.
Create and manage groups.
(*) NOTA DA MS: Os exames
bsicos (core) que tambm podem
ser usados como exames eletivos s
podem ser computados um vez para
cada certificao. Em outras
palavras, se um candidato receber
crdito por um exame bsico no
receber crdito pelo mesmo exame
como eletivo na mesma certificao.
NOTA: Os tpicos apresentados a
seguir so baseados no guia oficial
para o exame 70-290, o qual pode
ser acessado (em ingls), no seguinte
endereo: http://www.microsoft.
com/traincert/exams/70-290.asp.
Quando voc estiver se preparando
para o exame, consulte este endereo
regularmente, pois podem ser feitas
mudanas nos tpicos que fazem parte
do exame, conforme aviso contido no
site da Microsoft.
AVISO DA MS: This preparation
guide is subject to change at any
time without prior notice and at
Microsofts sole discretion. Microsoft
exams might include adaptive test-
ing technology and simulation
items. Microsoft does not identify
the format in which exams are pre-
sented. Please use the exam objec-
tives listed in this preparation guide
to prepare for the exam, regard-
less of its format. Learn more, and
download samples, on the Testing
Innovations page (http://
www.microsoft.com/learning/
m c p e x a m s / p o l i c i e s /
innovations.asp).
Identify and modify the scope of a group.
Find domain groups in which a user is a member.
Manage group membership.
Create and modify groups by using the Active Directory Users and Computers Microsoft Management Console
(MMC) snap-in.
Create and modify groups by using automation.
Create and manage user accounts.
Create and modify user accounts by using the Active Directory Users and Computers MMC snap-in.
Create and modify user accounts by using automation.
Import user accounts.
Troubleshoot computer accounts.
Diagnose and resolve issues related to computer accounts by using the Active Directory Users and Computers
MMC snap-in.
Reset computer accounts.
Troubleshoot user accounts.
Diagnose and resolve account lockouts.
Diagnose and resolve issues related to user account properties.
Troubleshoot user authentication issues.
3. Managing and Maintaining Access to Resources
Configure access to shared folders.
Manage shared folder permissions.
Troubleshoot Terminal Services.
Diagnose and resolve issues related to Terminal Services security.
Diagnose and resolve issues related to client access to Terminal Services.
Configure file system permissions.
Verify effective permissions when granting permissions.
Change ownership of files and folders.
Troubleshoot access to files and shared folders.
4. Managing and Maintaining a Server Environment
Monitor and analyze events. Tools might include Event Viewer and System Monitor.
Manage software update infrastructure.
Manage software site licensing.
Manage servers remotely.
Manage a server by using Remote Assistance.
Manage a server by using Terminal Services remote administration mode.
Manage a server by using available support tools.
Troubleshoot print queues.
Monitor system performance.
Monitor file and print servers. Tools might include Task Manager, Event Viewer, and System Monitor.
Monitor disk quotas.
Monitor print queues.
Monitor server hardware for bottlenecks.
Monitor and optimize a server environment for application performance.
Monitor memory performance objects.
Monitor network performance objects.
Monitor process performance objects.
Monitor disk performance objects.
Manage a Web server.
Manage Internet Information Services (IIS).
Manage security for IIS.
5. Managing and Implementing Disaster Recovery
Perform system recovery for a server.
Implement Automated System Recovery (ASR).
Restore data from shadow copy volumes.
Back up files and System State data to media.
Configure security for backup operations.
Manage backup procedures.
Verify the successful completion of backup jobs.
Manage backup storage media.
Recover from server hardware failure.
Restore backup data.
Schedule backup jobs.
O programa de certificao Microsoft Certified Systems Administrator - MCSA
A Microsoft no seu site define a certificao MCSA da seguinte maneira:
*********************************************************************************************
A certificao de Microsoft Certified Systems Administrator (MCSA) em Microsoft Windows 2003 foi desenvolvida
para profissionais que implementam, gerenciam e solucionam problemas em sistemas baseados no Windows 2000 e
Windows Server 2003.
As responsabilidades de implementao incluem a instalao e a configurao de componentes de sistemas. As
responsabilidades de gerenciamento incluem a administrao e o suporte a sistemas.
Como a credencial de MCSA em Microsoft Windows Server 2003 atende s suas necessidades...
A demanda por profissionais de administrao de rede tem crescido de modo significativo, e os candidatos, assim
como a indstria, demonstraram que necessria uma certificao para esse tipo de funo. Estudos mostram que
administradores de rede/projetistas tm muito mais oportunidades de crescimento em empresas de TI que a maioria
das outras categorias profissionais.
A credencial de MCSA em Windows Server 2003 oferece a profissionais de TI uma vantagem competitiva no atual
ambiente empresarial em constante transformao, atestando a experincia especfica necessria para a funo de
administrador de rede e sistemas. A certificao fornece aos empregadores um meio de identificar indivduos
qualificados com o conjunto de capacitaes apropriadas para desempenhar o trabalho com xito.
A certificao de MCSA em Windows Server 2003 apropriada para:
Administradores de rede
Engenheiros de rede
Administradores de rede
Profissionais de tecnologia da informao
Administradores de sistemas de informao
Tcnicos de rede
Especialistas em suporte tcnico
Um ambiente de computao tpico da credencial de MCSA...
A credencial de MCSA em Windows Server 2003 foi desenvolvida para profissionais de TI que trabalham no ambiente
de computao tipicamente complexo das organizaes de mdio a grande porte. Um candidato credencial de MCSA
em Windows Server 2003 deve ter de seis a doze meses de experincia na administrao de sistemas operacionais de
clientes e de rede em ambientes com as seguintes caractersticas:
Suporte para 200 a 26.000 ou mais usurios.
Suporte para dois a 100 locais fsicos.
Servios e recursos tpicos de rede incluem envio e recebimento de mensagens, banco de dados, arquivos e
impresso, servidor proxy ou firewall, Internet e intranet, acesso remoto e gerenciamento de computador cliente.
A conectividade precisa incluir a conexo de filiais e usurios individuais em locais remotos com a rede corporativa
e a conexo de redes corporativas com a Internet.
*********************************************************************************************
Eu diria que a diferena bsica entre o MCSE e o MCSA que o MCSE um profissional responsvel por planejar,
projetar e tambm implementar uma infra-estrutura de rede baseada no Windows Server 2003. J o MCSA trabalha
somente com a parte de implementao/administrao da infra-estrutura de rede projetada pelo MCSE. Quem j tem
a certificao MCSE, pode obter a certificao MCSA apenas passando em mais um exame eletivo. Caso voc j
tenha sido aprovado em um dos exames eletivos aceitos para o MCSA 2003, ao obter o MCSE 2003, voc estar
obtendo, tambm, o MCSA 2003.
Requisitos para obter a Certificao MCSA:
Candidatos a certificao MCSA em Windows 2000 tm que passar em 3 exames obrigatrios e 1 exame eletivo. A
seguir descrevo os exames que fazem parte de cada grupo.
Exames obrigatrios para a certificao MCSA:
1. Um exame de Sistema Operacional Cliente. Voc deve selecionar um dos dois exames indicados a seguir:
Exame 70-210: Installing, Configuring, and Administering Microsoft Windows 2000 Professional
Exame 70-270: Installing, Configuring, and Administering Microsoft Windows XP Professional
2. Dois exames de Sistema Operacional de Rede. Os dois exames a seguir so obrigatrios, isto , o candidato a
MCSA deve passar nos dois:
Exame 70-290: Managing and Maintaining a Microsoft Windows Server 2003 Environment
Exame 70-291: Implementing, Managing, and Maintaining a Microsoft Windows Server 2003 Network Infra-
structure
3. Um exame eletivo. Selecione um dos exames da lista a seguir:
Exam 70086: Implementing and Supporting Microsoft Systems Management Server 2.0
Exam 70-227: Installing, Configuring, and Administering Microsoft Internet Security and Acceleration (ISA)
Server 2000, Enterprise Edition
Exam 70-228: Installing, Configuring, and Administering Microsoft SQL Server 2000 Enterprise Edition
Exam 70-284: Implementing and Managing Microsoft Exchange Server 2003
Exam 70-299: Implementing and Administering Security in a Microsoft Windows Server 2003 Network
Alternativa aos exames eletivos citados acima: a seguinte combinao de certificaes podem substituir um exame
eletivo MCSA:
CompTIA A+ and CompTIA Network+
OU
IMPORTANTE: Se voc j um
MCSE-2000 ou um MCSA-2000, voc
no precisar fazer um dos exames
eletivos descritos anteriormente, pois
estas certificaes contam como um
exame eletivo para o MCSA-2003.
CompTIA A+ and CompTIA Server+
OU
CompTIA Security+
Upgrade para quem j um MCSA 2000:
O candidato que j tem a certificao MCSA-2000, ter que fazer um nico exame,
para obter o MCSE-2003. Para estes candidatos, basta passar no seguinte exame
de atualizao:
Exam 70-292: Managing and Maintaining a Microsoft Windows Server 2003 Environment for an MCSA Certi-
fied on Windows 2000
A quem se destina este livro?
Este um manual de estudos para os candidatos ao Exame de Certificao 70-290: Managing and Maintaining a
Microsoft Windows Server 2003 Environment. Este o foco deste livro, ser um manual de estudo para os candidatos
que iro fazer o exame 70-290.
Usurios interessados nos assuntos abordados tambm podero se beneficiar do texto deste livro, mesmo que no
tenham a inteno de fazer o exame 70-290. Conceitos como a definio de diretrio, a definio dos elementos do
Active Directory, a diviso lgica do Active Directory, a diviso fsica do Active Directory, conceito de sites, links,
instalao do Windows Server 2003, administrao de recursos, pastas compartilhadas, permisses de segurana,
gerenciamento de volumes e impressoras e assim por diante.
Pr-requisitos para o livro.
Neste manual no sero apresentados conceitos bsicos de utilizao da interface grfica do Windows e nem sero
apresentados conceitos bsicos tais como o que um cone ou o que uma pasta. Estes so conceitos bsicos que o
candidato a um exame de Certificao, j deve dominar, de longa data.
Ordem dos exames para obter o MCSE-2003
Os candidatos me perguntam se existe uma ordem obrigatria para passar nos sete exames do MCSE-2003. No, no
existe uma ordem obrigatria. Existe uma seqncia que a mais aconselhada, e que indico logo a seguir. Esta uma
seqncia, natural, ou seja, o candidato ao MCSE deve fazer os exames na seguinte ordem (esta ordem no obrigatria,
mas altamente recomendada):
1. Exame 70-210 ou 70-270
2. Exame 70-290
3. Exame 70-291
4. Exame 70-293
5. Exame 70-294
6. Um dos exames de Design
7. Um exame eletivo
hora de comear
Feitas as devidas apresentaes e esclarecimentos hora de iniciar o estudo para o exame 70-290. Embora este seja
um exame com um nvel de dificuldade um pouco maior do que os exames 70-210 e 70-215 (o equivalente ao 70-290,
s que para o Windows 2000 Server) perfeitamente possvel passar neste exame. Sugiro que voc estude este manual,
alm dos materiais que indicarei ao longo dos captulos do livro. No deixe de consultar as referncias indicadas nos
endereos da Internet, que apresentarei ao longo do livro. Em cada Captulo voc encontra questes prticas, comentadas
e no final do livro um simulado completo, com 60 questes.
Sugesto de plano de estudo
Vamos supor que voc disponha de trs semanas para se preparar para o exame 70-290. Voc precisa passar neste exame
para obter a certificao MCSE (contando que voc j passou nos demais exames necessrios para essa certificao).
Para isso voc est disposto a estudar quatro horas por dia, durante 20 dias. Com isso voc ter um total de 80 horas de
estudo. A questo a seguinte: Com o tempo disponvel possvel passar neste exame? A resposta um sonoro sim.
Eu at diria que voc tem tempo de sobra. Para tal sugiro o seguinte programa de estudo:
Material: Este livro. Tempo de estudo. Entre 30 horas e 35 horas.
Resumos: Disponveis nos sites www.cramsession.com e www.examnotes.net: 5 horas
Simulado dos sites indicados ao longo do livro: 10 horas.
Simulados da Transcender www.transcender.com: 15 horas
Reviso do livro e dos resumos. 10 horas
Reviso final: Principalmente dos simulados, dos resumos, para ser feita na vspera do exame. 5 horas
Total 80 horas
Para enviar as suas crticas e sugestes, basta entrar em contato atravs do e-mail: webmaster@juliobattisti.com.br.
Desejo a todos uma boa leitura e sucesso no exame 70-290.
Jlio Battisti,
MCP, MCP+I, MCSE NT 4, MCSE 2000, MCSE+I, MCSA, MCDBA e MCSD
Introduo
O objetivo deste captulo mostrar exatamente qual o papel do Windows Server
2003, como sistema operacional de servidores em uma rede. Este um captulo
que voc encontrar em todos os livros de minha autoria, sobre certificaes do
MCSE-2003. O objetivo fazer com que o candidato entenda, exatamente o que
o Windows Server 2003 e como utiliz-lo em uma rede.
Neste captulo apresentarei ao amigo leitor o Windows Server 2003. Ao terminar
este captulo voc ter uma viso geral do Windows Server 2003 e j poder
comear a formar a sua opinio sobre os novos recursos disponveis e a melhoria
nos recursos j existentes, em relao ao Windows 2000 Server.
Iniciarei o captulo fazendo uma breve introduo ao Windows Server 2003,
falando sobre o seu papel em uma rede de computadores. Em seguida falarei
sobre as diferentes edies do Windows Server 2003.
A exemplo do que ocorre com o Windows 2000 Server, o Windows Server 2003
tambm fornecido em diferentes edies. O que caracteriza cada edio so os
recursos disponveis e os limites de Hardware, tais como quantidade mxima de
memria RAM e nmero de processadores, alm do preo, claro. Vou iniciar o
captulo apresentando as diferentes edies do Windows Server 2003 e as
caractersticas de cada uma. Logo em seguida apresento uma tabela (baseada em
artigo publicado no site oficial do Windows Server 2003:
http://www.microsoft.com/windowsserver2003).
Conforme mostrarei neste captulo, esto disponveis quatro diferentes edies do
Windows Server 2003 Web Edition
Windows Server 2003 Standard Edition
Windows Server 2003 Enterprise Edition
Windows Server 2003 Data Center Edition
Para que a equipe de Tecnologia da Informao TI, de uma empresa resolva
investir e fazer a atualizao do Windows 2000 Server para o Windows Server
2003, preciso que esta equipe esteja convencida (e aps estar convencida, seja
capaz de convencer a Administrao a fazer os investimentos necessrios) de que
os benefcios oferecidos pelo Windows Server 2003, compensem o dinheiro a ser
investido. Em resumo, nada mais do que uma anlise baseada em uma relao
custos x benefcios.
Na seqncia vou apresentar um resumo das principais novidades e melhorias do
Windows Server 2003 em relao ao Windows 2000 Server. Com base nestas
informaes voc j pode comear a formar idias para tomar uma deciso se vale
a pena ou no a migrao do Windows 2000 Server para o Windows Server 2003.
Apresentarei as novidades de uma maneira resumida, salientando as novas
caractersticas e as melhorias disponveis. Ao longo dos demais captulos deste
livro irei detalhar as novidades diretamente relacionadas com o Exame 70-290.
C A P T U L O
1
Redes Baseadas no
Windows 2003 Server
No endereo a seguir, voc encontra uma descrio detalhada de todas as novidades do Windows Server 2003:
http://www.microsoft.com/windowsserver2003/evaluation/overview/technologies/default.mspx
Neste endereo voc encontra descrio completa de todas as novidades, divididas em categorias: Active Directory,
Servios de Aplicaes, Tecnologias de Cluster, Servios de impresso e arquivos, Servios Web, Segurana,
Gerenciamento, Servios de Mdia e assim por diante.
Em seguida ser a vez de apresentar os fundamentos tericos sobre os quais sero desenvolvidos os captulos restantes
do livro. Nesta parte mostrarei como formada uma infra-estrutura de rede baseada no Windows Server 2003.
Seguindo a exposio terica falarei com um pouco mais de detalhes sobre o conceito de uma rede baseada no modelo
Cliente/Servidor. Aqui importante no confundirmos o conceito de uma rede Cliente/Servidor, com os modelos de
desenvolvimento de aplicaes, onde temos os modelos em 2 camadas, conhecido como Cliente/Servidor e o modelo
Web, baseado em 3 ou mais camadas, embora estes conceitos tenha estreitos laos de ligao.
NOTA: Para uma descrio detalhada
dos modelos de desenvolvimento de
aplicaes em 2, 3 ou n camadas,
consulte o livro: ASP.NET: Uma Nova
Revoluo na Criao de Sites e
Aplicaes Web.
Uma vez apresentados os conceitos bsicos sobre redes de computadores, voc
aprender qual o papel do Windows Server 2003 em uma rede, que diferentes
funes um servidor baseado no Windows Server 2003 pode exercer e quais os
servios mais comuns que o Windows Server 2003 pode prestar na rede.
O entendimento dos diferentes papis que um servidor baseado no Windows Server
2003 pode exercer de fundamental importncia, para que voc possa planejar e
implementar uma infra-estrutura de rede baseada no Windows Server 2003, a qual
atenda a requisitos de desempenho, disponibilidade e segurana. Este entendimento
tambm de grande importncia para responder questes do tipo cenrio, onde
apresentado um problema prtico e voc deve apontar um conjunto de aes, dentre
vrias aes disponveis, capaz de solucionar o problema apresentado.
Nesta parte do captulo voc tambm aprender os conceitos bsicos sobre Grupos de Trabalho (Workgroups),
Diretrios e Domnios, conceitos estes (principalmente o conceito de Diretrio), que sero detalhados no
Captulo 2, onde voc aprender mais sobre o Active Directory, seus componentes e a diviso lgica e fsica
do Active Directory.
Seguindo nossa exposio neste captulo (que repito, apresenta conceitos tericos fundamentais para o acompanhamento
do restante do livro), vou apresentar os aspectos bsicos do protocolo TCP/IP. Voc entender exatamente o que um
protocolo e porque o TCP/IP o protocolo padro do Windows Server 2003.
Nos tpicos sobre TCP/IP, voc aprender ver detalhes tais como a definio de nmero IP, mscara de sub-rede,
clculos binrios envolvendo o nmero IP e a mscara de sub-rede, o conceito de endereamento IP, classes de
endereamento, roteamento e os utilitrios bsicos para trabalhar com o protocolo TCP/IP.
Voc ver como atravs de clculos binrios o protocolo TCP/IP consegue determinar se dois computadores
esto na mesma rede ou no. E tambm ver o que o TCP/IP faz, caso os dois computadores estejam em redes
diferentes, para permitir que as informaes possam ser transmitidas entre os dois computadores, mesmo estando
eles em redes diferentes.
Na parte final do captulo voc aprender a instalar o Windows Server 2003. Conforme mostrarei no exerccio prtico
sobre a instalao do Windows Server 2003, o processo de instalao muito semelhante ao processo de instalao do
Windows XP e tambm do Windows 2000 Server.
Voc pode fazer a instalao do Windows Server 2003 de diferentes maneiras:
Instalando o Windows Server 2003 em um servidor novo, no qual no existe nenhum sistema operacional
instalado: Neste caso basta ligar o servidor com o CD do Windows Server 2003 no drive de CD. O processo de
instalao inicia automaticamente, conforme descreverei neste captulo.
Atualizao de uma verso do Windows j existente: Por exemplo, voc pode querer atualizar um servidor
com o Windows 2000 Server ou NT Server para o Windows Server 2003. Neste caso com o servidor ligado
basta inserir o CD do Windows Server 2003 no drive de CD e seguir os passos do assistente de instalao.
Antes de iniciar a instalao recomendado que voc faa uma verificao para ver se existe alguma
incompatibilidade com o Windows Server 2003. As incompatibilidades podem ser de dois tipos: de hardware ou de
software. Uma incompatibilidade de hardware significa que algum componente de hardware do computador no
compatvel com o Windows Server 2003 e neste caso pode ocorrer de o respectivo dispositivo de Hardware no
funcionar aps a instalao do Windows Server 2003. Por exemplo, voc pode ter instalado uma placa de fax
modem, para a qual no est disponvel um driver no Windows Server 2003. Neste caso, a placa de fax modem
deixar de funcionar aps a instalao do Windows Server 2003. Caso algum dos programas instalados (no caso de
voc fazer uma atualizao de um servidor j existente) no seja compatvel com o Windows Server 2003, voc ter
uma incompatibilidade de software. O programa (ou os programas) no compatvel podero no executar ou executar
incorretamente no Windows Server 2003.
Para ajud-lo a identificar incompatibilidades de hardware e software, o Windows Server 2003 oferece um assistente
que faz a verificao de todos os componentes do computador e no final apresenta um relatrio de possveis
incompatibilidades.
Voc tambm pode fazer a instalao usando o comando winnt32.exe que est na pasta i386 do cd de instalao. Ao
utilizar este comando voc tem disposio uma srie de opes de linha de comando, as quais controlam diferentes
aspectos da instalao. Voc aprender a utilizar o comando winnt32 e as opes de linha de comando.
Existem outras formas de instalao do Windows Server 2003, tais como instalao no assistida, usando um arquivo
de respostas. Neste captulo voc aprender os conceitos bsicos sobre uma instalao no assistida e o uso de um
arquivo de respostas.
Novas ferramentas de suporte para o Windows Server 2003 so disponibilizadas periodicamente pela Microsoft.
Consulte regularmente o site oficial do Windows Server 2003 para fazer o download de novas ferramentas: http://
www.microsoft.com/brasil/windowsserver2003
Muito bem. Pode parecer um pouco chato, toda esta teoria. Mas posso garantir ao amigo leitor, que o entendimento
destes fundamentos tericos fundamental para que voc possa entender todos os demais tpicos prticos, que sero
abordados nos captulos subseqentes. A teoria apresentada neste captulo e no Captulo 2, a base sobre a qual todos
os demais captulos do livro iro se basear. Ento, mos a obra.
Uma Nova Verso de Servidor Para o Windows?
Sim, o Windows Server 2003 uma evoluo do Windows 2000 Server. Eu utilizo o termo evoluo ao invs de
revoluo, pois o Windows Server 2003 traz muitas melhorias em relao ao Windows 2000 Server, porm no representa
uma mudana to grande como a que ocorreu quando da migrao do NT Server 4.0 para o Windows 2000 Server. So
novidades em termos de desempenho, novos recursos e funcionalidades, novas ferramentas e comandos, enfim, uma
srie de melhorias.
Voc aprender a utilizar os novos recursos do Windows Server 2003, aprender a utilizar os principais recursos
disponveis para administrao de uma rede empresarial baseada em servidores com o Windows Server 2003.
Neste captulo tambm vou apresentar as diferentes verses do Windows Server 2003. Farei uma descrio das principais
novidades desta verso, em relao ao Windows 2000 Server.
Uma Breve Histria dos Windows
Observe bem o ttulo deste item dos Windows. No um erro de portugus que o autor cometeu e que a equipe de
reviso deixou passar. Com o termo dos Windows estou fazendo referncia as inmeras verses do Windows que
foram lanadas na ltima dcada.
Vou apresentar um histrico destas verses, de tal maneira que fique claro onde o Windows Server 2003 se encaixa
nesta histria. Vou iniciar apresentando o histrico das verses do Windows utilizadas em estaes de trabalho e nos
computadores pessoais residenciais. Uma historia que teve incio com o nosso bom e velho MS-DOS.
Os Windows Para Estaes de Trabalho e Computadores de Uso Residencial:
Neste tpico vou mostrar a evoluo que teve incio com o MS-DOS e tem como seu mais novo representante o
Windows XP (Home ou Professional). Uma nova verso do Windows, para estaes de trabalho, j est sendo
desenvolvida. Por enquanto ela tem o codinome de Longhorn e dever ser lanada, provavelmente, em 2005. Considere
o diagrama da Figura 1.1:
Windows Para Estaes de Trabalho
Linha para uso
Residencial
Windows 3.1 Windows 3.11
NT Workstation 3.5 NT Workstation 3.51
Windows 95
Windows 98 Windows 98
Windows Me
XP Home XP Professional
2000 Professional
Linha para uso
Empresarial
Tudo comeou
com o MS-DOS
???
Figura 1.1 A Famlia Windows para estaes de trabalho.
Farei alguns comentrios sobre o diagrama da Figura 1.1.
O incio de tudo foi o MS-DOS. Sem nenhuma dvida, independentemente das qualidades/mritos do produto, foi
o produto que transformou a Microsoft de uma empresa de garagem em uma empresa rumo a tornar-se a gigante
dos dias atuais. Muita gente, inclusive este que escreve este texto, tem saudade de algumas das caractersticas do
bom e velho MS-DOS. Para instalar programas, uma simplicidade: bastava copiar o diretrio do programa de uma
mquina para a outra e pronto. Uma interface a caractere, porm bastante rpida. Claro que gastvamos o teclado
digitando comandos e mais comandos: dir, type, copy, etc.
Como sucessor do MS-DOS, porm ainda dependente do MS-DOS, surge o Windows. As verses iniciais do Windows
pouco foram utilizadas no Brasil. Embora voc possa no acreditar (ou no possa imaginar como era), existiu um Windows
1.0, um Windows 2.0 e assim por diante. A primeira verso a tornar-se popular no Brasil foi o Windows 3.1. O Sistema
apresentava uma interface grfica onde tnhamos novidades como cones, atalhos e outros enfeites mais. Muitos classificavam
o Windows 3.1 como sendo apenas um Ambiente Operacional e no um Sistema Operacional, por ser este dependente do
MS-DOS para realizar uma srie de tarefas bsicas.
Com a disseminao das redes e a necessidade de compartilhamento de perifricos e de arquivos, foi lanado o
Windows 3.11, tambm conhecido como Windows for Workgroups. As diferenas bsicas em relao ao Windows 3.1
que o Windows for Workgroups, conforme o prprio nome sugere, fornecia um suporte melhorado para trabalho em
rede e um pouco mais de estabilidade em relao ao Windows 3.1. Esta foi a ltima verso do Windows baseada na
tecnologia de 16 Bits. Uma revoluo estava prestes a acontecer.
Em 25 de Agosto de 1995 deu-se a referida revoluo: Foi lanado o Windows 95. Um Sistema Operacional baseado
na tecnologia de 32 bits, com uma interface completamente nova em relao s verses anteriores do Windows. O
boto Iniciar, a barra de tarefas e tantos outros elementos que hoje so muito bem conhecidos, foram novidades
trazidas pelo Windows 95. Nesta mesma poca a Microsoft j disponibilizava verses do NT Workstation e do NT
Server (logo a seguir apresentarei o histrico das verses do Windows para Servidores, onde se encaixa o Windows
Server 2003). Segundo recomendaes da prpria Microsoft o NT Workstation era indicado para uso empresarial, isto
, nas estaes de trabalho das redes das empresas. O NT Workstation 3.5 e 3.51 tinham uma interface idntica a do
Windows 3.1/Windows 3.11 e tambm eram baseados na tecnologia de 16 bits.
Nesta poca iniciava-se a confuso. Por que ter duas linhas diferentes do Windows? Drivers que funcionavam no
Windows 3.1 ou 95 no funcionavam no NT. Instalar determinados dispositivos de Hardware no NT (Workstation
ou Server) era um verdadeiro suplcio. A linha Workstation, segundo a Microsoft, foi criada tendo como
fundamentos, a criao de um sistema mais estvel, com configuraes de segurana mais avanadas e com
suporte s tecnologias de rede existentes. Sem dvida um sistema para uso em redes empresariais. J para o
usurio domstico, a Microsoft no recomendava o uso do NT Workstation, principalmente pelo fato do NT
precisar de Hardware mais potente do que o Windows 3.11 ou 95. Outro motivo que muitos dispositivos de
Hardware no tinham driver para NT. Alm disso, muitos aplicativos que rodavam no Windows 3.11 ou 95 no
rodavam no NT, principalmente jogos.
Neste momento a Microsoft j falava em unificar, quem sabe um dia, as duas linhas do Windows, porm este era uma
promessa ainda distante. Uma nova verso do NT foi lanada: NT Workstation 4.0 e NT Server 4.0 (para servidores de
rede). Esta era a verso do NT baseada na tecnologia de 32 Bits e com cara de Windows 95. Melhorias substanciais
forma feitas em relao a verso anterior do NT. Neste momento muitas empresas comeam a adotar o NT Workstation
4.0 como Sistema Operacional para as estaes da rede. Embora o preo da licena do NT Workstation fosse um
pouco mais caro, os benefcios em termos de estabilidade e segurana compensavam. Cabe aqui ressaltar que o NT
Workstation 4.0 muitssimo mais estvel do que o Windows 95, 98 ou Me.
Logo aps o lanamento do NT 4.0 a Microsoft j comeava a falar no lanamento do NT 5.0. Muita expectativa havia
em relao a esta verso do NT. Porm uma srie de fatores fez com que o lanamento do NT 5.0 fosse atrasando mais
e mais. Na introduo do meu primeiro livro, Srie Curso Bsico & Rpido Microsoft Windows 2000 Server, eu
escrevi o seguinte:
Bem vindo ao Windows 2000 Server. Sem a menor sombra de dvidas o Sistema Operacional mais aguardado
de toda a histria da indstria da Informtica. Nunca falou-se e at mesmo especulou-se tanto sobre um Sistema
Operacional, como se fez a respeito do Windows 2000 Server. No incio do projeto este era chamado de Win-
dows NT Server 5.0. Aps diversos atrasos e adiamentos, o sistema foi rebatizado para Windows 2000 Server.
Finalmente a data oficial do lanamento est confirmada para o dia 17 de Fevereiro do ano 2000. O cdigo final
do produto foi enviado para produo no dia 15 de Dezembro de 1999, aps diversas verses de avaliao.
Atrasos e especulaes a parte, o fato que o Windows 2000 Server representa um grande esforo da Microsoft
em melhorar o seu Sistema Operacional para servidores de rede. Inmeros recursos novos foram acrescentados,
alm da melhoria dos recursos j existentes.
Conforme descrito no pargrafo anterior, o que seria o NT 5.0, devido a sucessivos atrasos, foi lanado somente em
Fevereiro de 2000, com o nome de Windows 2000. Neste meio tempo foi lanado o Windows 98, idntico ao Windows
95 apenas com algumas melhorias e um nmero muito pequeno de novidades. O Windows 2000, a exemplo do NT 4.0
tem a verso para servidor Windows 2000 Server e a verso para estao de trabalho Windows 2000 Professional.
Embora muitos duvidassem da aceitao do Windows 2000, o fato que a aceitao deste foi um grande sucesso e
muitas empresas adotaram a nova verso e muitas ainda esto em processo de migrao.
Observe que neste momento ainda temos duas linhas bem distintas. Uma com o Windows 9x/Me e outra com o Windows
2000. O objetivo inicial da Microsoft era que o Windows 2000 realizasse o sonho da unificao entre as duas linhas do
Windows. Algumas integraes j estavam acontecendo, como por exemplo, um modelo de Drivers para dispositivos de
Hardware comum s duas linhas, drivers estes baseados na tecnologia WDM Windows Driver Model, utilizada tanto no
Windows 98 quanto no Windows 2000.
Durante o ano de 2000 ainda foi lanado o Windows Me, que deveria ser o substituto do Windows 98. Como esta nova
verso apresentava poucas diferenas, com apenas algumas inovaes no muito significativas, o ritmo de adoo do
Windows Me foi e continua um pouco lento. Acredito que o sucesso do Windows 2000 tambm colaborou para a
adoo lenta do Windows Me.
Finalmente, em Outubro de 2001 foi lanado o Windows XP. Segundo a Microsoft XP de Experience. O Windows XP,
conforme visto na Figura 1.1, foi lanado em duas verses: Home e Professional. O Windows XP representa, agora
sim, um passo importante da Microsoft, rumo a unificao das duas linhas do Windows. O XP apresenta uma interface
completamente nova, combinando a facilidade do Windows 95/98/Me, com a estabilidade, confiabilidade e segurana
do Windows 2000.
Os Windows Para Servidores:
Neste tpico vou mostrar a evoluo que teve incio com as primeiras verses do Windows NT Server at a ltima
verso do Windows para Servidores: Windows Server 2003.
Considere o diagrama da Figura 1.2:
Figura 1.2 A Famlia Windows para servidores.
A Microsoft entrou na briga dos servidores de rede no incio dos anos 90, com o lanamento do NT Server. NT de
New Tecnolgoy. No incio, na minha opinio, as verses do NT no tinham os mesmos recursos e nvel de desempenho/
segurana do que concorrentes mais antigos, como Novell e as verses do UNIX. Porm o NT veio para concorrer em
um mercado ainda pouco explorado (e que poucos acreditavam que teria futuro): O mercado de Servidores baseados
em processadores padro Intel.
Porm a realidade que o NT Server teve uma boa aceitao. At a verso 3.51 o NT tinha a mesma interface do
Windows 3.11. A partir do NT Server 4.0, a interface era a do Windows 95. Com o NT Server 4.0, a participao da
Microsoft no mercado de servidores realmente decolou. Muitas empresas passaram a adotar o NT Server 4.0 como
Sistema Operacional para os seus servidores de rede.
Mas com tudo na vida tem dois lados, mais usurios significa mais exigncias, ou seja, rapidamente as deficincias do
NT Server 4.0 passaram a ser questionadas pelos usurios. A Microsoft em resposta comeou a anunciar o NT 5.0, o
qual conteria uma srie de novos recursos para solucionar os problemas do NT 4.0. Porm o projeto do NT 5.0
comeou a atrasar, conforme j descrito anteriormente (o que fez com que a concorrncia comeasse a chamar o NT
5.0 de Vaporware, em uma aluso a um sistema que no existe).
Finalmente em 17 de Fevereiro de 2000 a Microsoft lana a nova verso, agora rebatizada como Windows 2000
Server. A nova verso representou uma verdadeira revoluo em relao ao NT Server 4.0. Basta citar o Active Direc-
tory para exemplificar esta revoluo, esta verdadeira mudana de paradigma. Apesar das dvidas e da aposta da
concorrncia de que no haveria uma aceitao do Windows 2000 Server, o fato que este foi e continua sendo
amplamente adotado por empresas do mundo inteiro.
Hoje, a maioria dos servidores Intel que rodam alguma verso do Windows, so baseados no Windows 2000 Server.
Existem profissionais capacitados, farta literatura e fontes de referncia na Internet e o Windows 2000 Server tem-se
mostrado bastante estvel e seguro.
Windows Para Servidores de Rede
Windows NT Server 3.1, 3.51
Windows NT Server 4.0
Windows 2000 Server
Windows Server 2003
Windows Server 200?
Grande mudana,
com a introduo
do Active Directory
Se o Windows 2000 Server est to bom, ento porque uma nova verso? Porque, como sempre, com a utilizao por
milhes de usurios, novas demandas e funcionalidades so solicitadas. Em resposta a estas demandas e necessidades
de melhoria, a Microsoft apresenta o Windows Server 2003, lanado no dia 24 de Abril de 2003.
Neste Captulo farei uma breve apresentao sobre as novidades e melhorias do Windows Server 2003 em relao ao
Windows 2000 Server. Nos demais captulos do livro apresentarei os principais recursos de Administrao do Win-
dows Server 2003, recursos estes cobrados no Exame 70-290.
E o futuro? Bem, ainda cedo para especular. Mas provavelmente em 2005 saia uma nova verso do Windows para
estaes de trabalho, ou seja, o sucessor do Windows XP. E em 3 ou 4 anos, saia o sucessor do Windows Server 2003.
Mas so apenas especulaes que podem ou no se confirmar.
A Quem se Destina Este Livro?
O Windows Server 2003 a nova verso do Sistema Operacional para servidores de rede. Qualquer usurio interessado
em aprender a utilizar esta verso, quer j conhea o Windows 2000 Server ou seja iniciante na rea, poder utilizar os
assuntos apresentados neste livro para aprender a utilizar os principais recursos do Windows Server 2003.
Neste livro voc aprender exatamente qual o papel do Windows Server 2003 em uma rede de computadores e aprender
a Administrar os recursos que fazem parte do programa oficial do Exame 70-290. Em resumo, um Manual de
Estudos para o candidato que est se preparando para prestar o Exame 70-290.
Equipamento e Software Necessrios
Para acompanhar todos os exemplos propostos no livro, voc precisar de um computador onde est instalado uma das
seguintes verses do Windows Server 2003.
NOTA: Neste captulo voc aprender
sobre as caractersticas e os recursos
disponveis em cada uma das
diferentes edies do Windows Server
2003.
Para determinar uma configurao mnima para instalar o Windows Server
2003, temos que levar em considerao uma srie de fatores, sendo o prin-
cipal deles, a lista de aplicativos e servios que sero utilizados. A seguir
vou apresentar a configurao mnima, recomendada, para voc utilizar em
um computador para estudo. Para um servidor de rede, o hardware mnimo
dependo do papel que o servidor desempenha da rede, do nmero de usurios
e de uma srie de outros fatores.
Como equipamento para ser utilizado em casa, ou em um laboratrio de teste na
sua empresa, aconselho a seguinte configurao mnima:
Processador Pentium 900 ou superior.
382 MB de RAM, sendo 512 MB, altamente recomendveis.
10 GB de espao livro no Disco rgido.
Unidade de CD-ROM com capacidade de Boot pela unidade de CD.
Em cada um dos captulos, apresentarei uma srie de exemplos prticos. Com o
uso destes exemplos, voc poder entender melhor a aplicao dos conceitos
tericos apresentados. Em muitas situaes, a melhor maneira de entender um
determinado assunto, atravs da utilizao deste para resoluo de um problema
prtico do dia-a-dia. Muitos dos exemplos apresentados, principalmente na parte
relacionada com o uso do Windows Server 2003 em uma rede de computadores,
so baseados na minha experincia prtica como Administrador e depois como
Gerente de redes. So situaes que surgem no dia-a-dia da Administrao,
gerncia e suporte aos usurios da rede.
NOTA: Com menos de 256 MB de
RAM, o desempenho, mesmo para uma
mquina de testes fica muito compro-
metido, principalmente depois que voc
instala o Active Directory.
Hora de Comear
Ao escrever este livro procurei imaginar a seqncia lgica, iniciando pela instalao do Windows Server 2003 e pela
implementao da rede, passando pela administrao das tarefas mais comuns e finalizando com configuraes
sofisticadas de segurana e como os servios de Internet. Coloquei tpicos que vo da execuo de tarefas bsicas do
dia-a-dia, at a utilizao de ferramentas administrativas avanadas. o meu mais sincero desejo que este livro possa
ser seu companheiro inseparvel, enquanto se prepara para o Exame 70-290.
Caso voc tenha sugestes sobre tpicos que gostaria de ver includos em futuras edies deste livro, ou queira relatar
algum erro encontrado no livro, basta entrar em contato atravs do e-mail: webmaster@juliobattisti.com.br.
Desejo a todos uma boa leitura e tenho certeza que este trabalho ir ajud-los no entendimento e na utilizao do
Windows Server 2003. Uma boa leitura a todos.
Introduo ao Windows Server 2003
Neste item farei uma apresentao do Windows Server 2003. Os conceitos apresentados neste item, fornecem uma
viso geral dos elementos que compem uma rede baseada no Windows Server 2003.
O Windows Server 2003 um sistema operacional para ser instalado em servidores de uma rede. Em uma rede de
computadores temos, basicamente, dois tipos de equipamentos conectados (alm dos equipamentos responsveis pela
conectividade da rede, tais como hubs, switchs, roteadores, etc):
Estaes de trabalho
Servidores
Como o prprio nome sugere, um Servidor fornece servios para vrios clientes. Por exemplo, podemos ter um
servidor de arquivos onde ficam gravados arquivos, os quais podem ser acessados atravs da rede, por todos as estaes
da rede (estaes de trabalho), as quais so conhecidas como Clientes. Outro tipo bastante comum de servio uma
impressora compartilhada no servidor, para a qual diversos clientes podem enviar impresses. Poderamos citar uma
srie de servios que podem ser oferecidos por um servidor com o Windows Server 2003 instalado.
Com base na explicao acima, podemos apresentar um outro conceito, que certamente a maioria dos leitores j
conhece: O conceito da Arquitetura Cliente-Servidor. A Arquitetura Cliente-Servidor, de uma maneira simples, nada
mais do que uma rede de dispositivos, normalmente computadores, onde um nmero reduzido de equipamentos atua
como Servidor Disponibilizando recursos e servios para os demais e a maioria dos dispositivos atua como cliente,
acessando os recursos e servios disponibilizados pelos Servidores.
Um exemplo tpico, que com certeza utilizamos diariamente, o acesso Internet. Por exemplo, quando voc acessa
o site da Microsoft na Internet: http://www.microsoft.com. As informaes disponibilizadas no site, ficam gravadas
nos servidores da Microsoft, enquanto que o seu computador que est acessando estes recursos (informaes), est
atuando como um cliente. Neste caso o tipo de servio que est sendo disponibilizado so informaes em um servidor
Web, tambm conhecido como Servidor HTTP (que o protocolo mais utilizado para o transporte de informaes na
Internet). O Navegador que voc utiliza para acessar estas informaes, est atuando como Cliente.
Sob este ponto de vista, podemos afirmar que a Internet na verdade uma gigantesca rede Cliente-Servidor, de
alcance Mundial, com alguns milhes de servidores e com dezenas ou at centenas de milhes de clientes acessando
os mais variados recursos e servios disponibilizados pelos servidores.
Na Figura 1.3, apresento um diagrama de exemplo de uma rede Cliente-servidor, onde servios de Compartilhamento
de arquivos e de Impresso so oferecidos por dois servidores com o Windows Server 2003 instalado, recursos estes
que so acessados pelos Clientes da rede.
Figura 1.3 Um exemplo simples de uma rede Cliente-servidor.
Em uma rede de computadores (onde temos Servidores e Clientes, conforme descrito anteriormente), todos os
computadores precisam Falar a mesma lngua, para que possam ser trocadas informaes entre os computadores da
rede. Este Falar a mesma lngua, em termos de redes, significa que todos os computadores de uma rede precisam ter
o mesmo Protocolo de comunicao instalado e corretamente configurado.
Um protocolo de comunicao, nada mais do que um conjunto de regras e normas para que os computadores possam
trocar informaes. Dois computadores que no possuem um protocolo em comum, no conseguiro trocar informaes.
como um brasileiro que no sabe Chins, tentando falar com um Chins que no sabe Portugus. O dilogo (ou troca
de informaes), fica simplesmente impossvel.
Existem vrios protocolos de comunicao entre computadores e outros dispositivos de uma rede. O Windows Server
2003 fornece suporte a uma srie de protocolos, porm o mais utilizado o TCP-IP Transmission Control Protocol
Internet Protocol. Vrios so os motivos que tornaram o TCP-IP, o protocolo mais adotado, e por isso mesmo o
protocolo padro do Windows Server 2003, isto , o protocolo que adicionado durante a instalao do Windows
Server 2003. Um dos principais motivos para a ampla aceitao que o TCP-IP o protocolo utilizado na Internet, isto
Servidor de Arquivos Servidor de Arquivos Servidor de Arquivos
Cliente Cliente Cliente Cliente Cliente
Estaes de trabalho (clientes). acessando recursos dos Servidores
, para que um computador possa ter acesso a Internet ele precisa ter o protocolo
TCP-IP instalado e corretamente configurado. Outro motivo a forte aceitao
do Mercado em relao ao TCP-IP, uma vez que grande maioria dos Sistemas
Operacionais adota o TCP-IP como protocolo padro.
No diagrama da Figura 1.3 foram apresentados apenas exemplos de servidores
baseados no Windows Server 2003 atuando nos servios de compartilhamento de
arquivos e de impressoras. Porm o Windows Server 2003 podem desempenhar
diversos outros papis, tais como:
Servidor de Internet/Intranet, prestando servios de hospedagem de sites
(http), cpia de arquivos (ftp), envio de mensagens (SMTP), servidor de
aplicativos Web, hospedando pginas ASP ou ASP.NET, etc. No Captulo
13 voc aprender um pouco mais sobre a utilizao do IIS, que o servidor
Web disponibilizado com o Windows Server 2003.
Controlador de domnio DC (Domain Controller): Um servidor onde
est instalado o Active Directory, que o banco de dados onde ficam
gravados as contas de usurios e as senhas dos usurios, contas dos
computadores da rede, nome dos grupos de usurios e a lista de membros
de cada grupos e uma srie de outras informaes necessrias ao
funcionamento da rede. Um servidor com o Active Directory instalado
conhecido como DC Domain Controler. Neste captulo voc aprender
a transformar um servidor em DC, usando o comando dcpromo.
DICA: No Windows Server 2003 o
protocolo TCP/IP automaticamente
adicionado durante a instalao do
Sistema Operacional e no pode ser
desinstalado. Esta uma das
novidades do Windows Server 2003.
Fique atente a este ponto,
principalmente ao prestar os exames
de Certificao para o MCSE 2003
(Microsoft Certified Systems Engineer
no Windows Server 2003). Para
todos os detalhes sobre os exames
necessrios para obter o MCSE-2003,
consulte o endereo a seguir:
www.juliobattisti.com.br/
artigosw2k/mcse2003.asp
Servios de rede: Oferecendo servios de resoluo de nomes, tais como o DNS e WINS, servio de configurao
automtica do protocolo TCP/IP (DHCP), roteamento e acesso remoto (RRAS) e assim por diante.
Servidor de banco de dados: Um servidor com o Windows Server 2003 instalado e com o SQL Server 2000
(ou verso posterior) instalado. O SQL Server 2000 o banco de dados para uso empresarial, com suporte a
grande volume de acesso.
Servidor de correio eletrnico e de ferramentas de colaborao: Um servidor como Windows Server 2003 instalado
e com o Exchange 2000 (ou posterior) instalado. O Exchange uma plataforma para desenvolvimento de aplicaes
de Workflow, bem como um servidor de correio eletrnico. Com o Exchange voc pode, facilmente, desenvolver
aplicaes do tipo Workflow, como por exemplo, uma aplicativo para aprovao de despesas de viajem. O
funcionrios que vai viajar preenche um formulrios solicitando recursos para a viajem. O formulrio enviado,
automaticamente, para o e-mail do chefe. O chefe analisa a solicitao e aprova ou no. Uma vez aprovada a
solicitao, o pedido de liberao de recursos automaticamente enviada para o e-mail do responsvel pela
liberao e uma cpia enviada para o funcionrio. Uma vez liberados os recursos, o sistema avisa, via e-mail, o
funcionrio. Este tipo de aplicao, onde um documento eletrnico passa por diversas etapas e enviado para
diferentes pessoas, um exemplo tpico de aplicao do tipo Workflow.
Servidor de aplicao, Firewall, roteamento, etc. So muitas as funes que um servidor baseado no Windows Server
2003 pode exercer.
Para resumir este item posso dizer o seguinte: O Windows Server 2003 um Sistema Operacional para uso em
servidores de rede. Ele pode ser configurado para oferecer uma srie de servios aos clientes da rede. Possui novas
funcionalidades e caractersticas em relao ao Windows 2000 Server.
No prximo tpico voc aprender sobre as diferentes edies do Windows Server 2003 e sobre as caractersticas de
cada uma das edies.
Um Sistema Operacional Quatro Edies
O Windows Server 2003 disponibilizado em quatro diferentes edies:
O que diferencia uma edio da outra so as funcionalidades disponveis em cada edio, as necessidades mnimas de
Hardware e os limites mximos de Hardware suportados, tais como quantidade mxima de memria RAM, nmero de
processadores, nmero mximo de servidores em um Cluster e assim por diante. Logo em seguida apresento uma
descrio de cada uma das quatro edies do Windows Server 2003.
Esta edio indicada para ser utilizada em servidores de pequenas e mdias organizaes ou servidores departamentais
com um nmero mdio de usurios (10 a 100 usurios). Normalmente utilizado para servios tais como o
compartilhamento de arquivos e impressoras, gerenciamento centralizado das estaes de trabalho, servidor de Intranet
e servidor de conectividade com a Internet.
Se voc precisa de um servidor para um rede com um nmero de pequeno a mdio de usurios (eu diria at 100
usurios), para servioes bsicos, tais como autenticao de usurios, compartilhamento de arquivos e impresso e
servidor de Intranet, eu recomendo esta edio do Windows Server 2003.
O Windows Server 2003 Standard Edition apresenta as seguintes limitaes, quanto ao Hardware:
At quatro processadores
4 GB de memria RAM
Se voc precisa de um servidor com maior capacidade, que possa suportar mais do que 4 processadores e/ou mais do
que 4 GB de memria RAM, voc deve utilizar o Windows Server 2003 Enterprise Edition ou o Windows Server 2003
Data Center Edition.
Ao final deste item apresentarei uma tabela comparativa entre as quatro edies do Windows Server 2003. Esta tabela
baseada nas informaes do site da Microsoft, no seguinte endereo:
http://www.microsoft.com/windowsserver2003/evaluation/features/compareeditions.mspx
Alm dos limites de hardware apresentados anteriormente, o Windows Server 2003 Standard Editon tambm no
tem suporte ao sevio de Cluster Cluster Services. Com o servio de Cluster possvel configurar dois ou mais
servidores para atuar como se fossem um nico servidor. Para o usurio (cliente da rede) como se fosse um nico
servidor. Se um dos servidores do Cluster falhar, os outros continuam atendendo aos clientes normalmente. Caso
voc necessite de servios de Cluster, deve utilizar o Windows Server 2003 Enterprise Edition ou Windows Server
2003 Data Center Edition.
Voc pode estar perguntando: Se o Windows Server 2003 Enterprise Edition e Windows Server 2003 Data Center
Edition so as edies com o maior nmero de recursos, ento porque no utilizar diretamente estas edies. Obviamente
que maior nmero de recuros implica em preo mais elevado. Desta maneira importante que voc faa uma anlise
cuidadosa das suas necessidades e opte pela edio que atende estas necessidades, sem ter que pagar mais por isso. Por
exemplo, se as caractersticas do Windows Server 2003 Standard Edition atendem todas as necessidades da sua rede,
porque pagar mais por uma das edies com mais recursos, sendo que voc no ir utilizar estes recursos.
Servios e/ou recursos no disponveis
no Windows Server 2003 Standar Edition:
Suporte a mais do que 4 processadores.
Suporte a mais do que 4 GB de memria RAM.
Suporte a servio de Cluster.
Verso de 64 Bits para processadores Intel Itanium
Troca de memria sem desligar o servidor (somente disponvel nas edies
Enterprise e Data Center e depende de suporte do fabricante do Hardware
do servidor).
Suporte a servios de Metadiretrio
Windows System Resource Manager (WSRM): Este recurso permite a alocao de recursos de Hardware para
processos especficos. Por exemplo, em um servidor Web voc pode alocar mais recursos de hardware para os
processos do IIS (Internet Information Services), dando prioridade para estes processos em relao aos demais.
Esta uma edio mais robusta, com mais recursos do que a Standard Edition. recomendada para redes de porte de
mdio tendendo para grande. Eu diria que a partir de 100 usurios j preciso uma anlise mais detalhada para decidir
entre o Windows Server 2003 Standard Edition e o Windows Server 2003 Enterprise Edition. recomendado para
servidores que fornecem servios como: Roteamento, servidor de Banco de dados (SQL Server 2000, ORACLE, etc),
correio eletrnico e aplicativos de colaborao (Microsoft Exchange, Lotus Notes, etc), Sites de comrcio eletrnico
e outros aplicativos utilizados em redes de grande porte.
O Windows Server 2003 Enterprise Edition apresenta as seguintes limitaes, quanto ao Hardware:
Oito processadores na verso de 32 bits.
32 GB de memria RAM na verso de 32 bits.
Cluster com at oito servidores.
Com certeza o Windows Server 2003 Enterprise Edition atende s necessidades da maioria dos servidores de rede. As
funcionalidades a seguir, que no esto disponveis no Windows Server 2003 Standard Edition, esto disponveis no
Windows Server 2003 Enterprise Edition:
Suporte a servio de Cluster.
Verso de 64 Bits para processadores Intel Itanium
Troca de memria sem desligar o servidor (somente disponvel nas edies Enterprise e Data Center e depende
de suporte do fabricante do Hardware do servidor).
Suporte a servios de Metadiretrio
NOTA: A maioria destes recursos
esto disponveis nas edies Enter-
prise Edition e Data Center Edition.
Windows System Resource Manager (WSRM): Este recurso permite a alocao de recursos de
Hardware para processos especficos. Por exemplo, em um servidor Web voc pode alocar mais
recursos de hardware para os processos do IIS (Internet Information Services), dando prioridade
para estes processos em relao aos demais.
Esta a edio peso-pesado, ou seja, aquela que apresenta o maior nmero de recursos e a maior capacidade para
atender aplicaes com um grande nmero de usurios e com elevadas exigncias de desemepenho. O Windows
Server 2003 Data Center Edition indicado para as chamadas aplices de misso-crtica, ou seja, aquelas aplicaes
que no podem falhar em hipteses alguma. Quer alguns exemplos de aplicaes de misso crtica? Fcil:
As aplicaes que mantm em funcionamento uma bolsa de valores.
As aplicaes Web que mantm um site de comrcio eletrnico em funcionamento.
As aplicaes que mantm um banco em funcionamento.
Existem inmeros outros exemplos de aplicaes que so vitais para o funcionamento de uma empresa. Por exemplo,
nos ltimos anos, houve uma grande adoo dos chamados softwares de ERP Enterprise Resource Planning. Estes
softwares disponibilizam as mais variadas funcionalidades, desde um simples controle de estoque, passando por contas
a pagar e a receber, at o controle da produo na fbrica. Este um exemplo tpico de aplicao que precisa estar em
funcionamento sempre, que tem que atender a um grande nmero de usurios, que trata com um grande volume de
dados e assim por diantes. O Windows Server 2003 Data Center Edition o Sistema Operacional indicado para ser
utilizado em servidores que iro hospedar as chamadas aplicaes de misso crtica.
O Windows Server 2003 Data Center Edition apresenta as seguintes limitaes, quanto ao Hardware:
32 processadores na verso de 32 bits e at 64 processadores na verso de 64 bits, para servidores baseados no
processador Intel Itanium.
64 GB de memria RAM na verso de 32 bits e at 512 GB de RAM na versod e 64 bits, para servidores
baseados no processador Intel Itanium.
Cluster com at oito servidores.
Um detalhe importante que o Windows Server 2003 Data Center Edition no pode ser adquirido simplesmente
comprando licenas desta edio, o que possvel com todas as demais edies. O Windows Server 2003 Data Center
Edition somente est disponvel atravs do progrma conhecido como Windows Datacenter High Availability Pro-
gram. Para maiores detalhes sobre este programa, consulte o seguinte endereo:
http://www.microsoft.com/windowsserver2003/datacenter/dcprogram.mspx
O objetivo do Windows Datacenter High Availability Program fazer com que os fabricantes de hardware, que queiram
comercializar servidores com o Windows Server 2003 Data Center Edition, passem por uma srie de testes. O objetivo
destes testes garantir que o equipamento esteja de acordo com as especificaes da Microsoft, que seja completamente
compatvel com o Windows Server 2003 Data Center Edition e que atenda aos requisitos de desempenho e de
gerenciabilidade definidos no programa. Somente os fabricantes que passarem nos testes do Windows Datacenter
High Availability Program, tero permisso da Microsoft para comercializar servidores com o Windows Server 2003
Data Center Edition instalado.
Esta edio do Windows Server 2003 especificamente projetada para
servidores que prestaro servio de hospedagem de sites, de aplicaes Web,
e aplicaes baseadas na plataforma.NET, utilizando tecnologias como
ASP.NET, XML e Web Services.
O Windows Server 2003 Web Edition para o uso especfico em servidores Web ou
servidores da Intranet da empresa, na qual estaro hospedadas pginas e aplicaes
Web. Esta realmente uma edio com uma finalidade especfica. Para voc ter uma
idia, no possvel instalar o Active Directory no Windows Server 2003 Web Edi-
tion, transformando-o em um Controlador de Domnio, ou seja, ele foi especificamente
projetado para ser utilizado como um servidor de Internet/Intranet.
O Windows Server 2003 Web Edition apresenta os seguintes limites de Hardware:
Suporta, no mximo, dois processadores.
Suporta, no mximo, 2 GB de memria RAM.
Uma srie de servios e recursos disponveis nas outras edies, no esto
disponveis no Windows Server 2003 Web Edition, conforme voc poder conferir
na tabela de comparao entre as edies, no final deste item.
DICA: Para o exame, no esquea
de que no possvel instalar o Ac-
tive Directory no Windows Server
2003 Web Edition.
Comparao Entre as Diferentes Edies
A seguir apresento uma tabela comparativa entre as diferentes verses. Na tabela 1.1 apresento uma comparao entre
os recursos de hardware mnimos, exigidos por cada uma das diferentes edies. Claro que estes so valores definidos
na documentao oficial do produto, mas que no espelham a realidade de um servidor em produo, atendendo a um
grande nmero de usurios. Os recursos necessrios de Hardware so determinados por uma srie de fatores, tais
como o nmero de aplicaes que ir rodar no servidor, o nmero de usurios simultneos, o desempenho esperado e
assim por diante. Na tabela 1.2 apresento uma comparao exibida no site da Microsoft, onde so listados os recursos
disponveis em cada uma das edies.
NOTA: Para maiores detalhes
sobre a plataforma .NET, a criao
de aplicaes Web com ASP.NET e
uma introduo aos Web Services,
consulte o livro ASP.NET: Uma No-
va Revoluo na Criao de Sites e
Aplicaes Web, de minha autoria
e publicado pela editora Axcel
Books (www.axcel.com.br).
Tabela 1.1 Recursos mnimos de Hardware para as diferentes edies do Windows Server 2003.
Recurso Web Standard Enterprise Data Center
CPU mnima 133 MHZ 133 MHZ 133 MHZ p/x86 400 MHZ p/X86
733 MHZ p/Intel Itanium 733 MHZ p/Intel Itanium
CPU Recomendada 550 MHZ 550 MHZ 733 MHZ 733MHZ
RAM Mnima 128 MB 128 MB 128 MB 512 MB
RAM Recomendada 256 MB 256 MB 256 MB 1024 MB
Espao em Disco p/instalar 1,5 GB 1,5 GB 2,0 GB 2,0 GB
NOTA: Obviamente que estes so
valores mnimos para tirar o CD do
Windows Server 2003 da caixa e
instalar o sistema. A quantidade de
memria e processamento necessria
varia com diversos fatores, conforme
descrito anteriormente. Agora vamos
ser sinceros, mesmo sendo apontado
como valor mnimo, voc consegue
imaginar o Windows Server 2003 En-
terprise Edition, rodando em um
Pentium 133 com 128 MB de RAM?
Nem o Windows 2000 Professional
rodaria bem em um equipamento
destes. Ao invs de rodar eu gosto de
utilizar o termo girar lentamente. Na
empresa onde eu trabalho, sempre que
algum aplicativo apresenta problemas
de desempenho e algum pergunta:
Jlio, como est rodando o aplicativo
xyz?. Eu respondo: No est rodando,
est girando lentamente. Com isso os
colegas j sabem que eu estou queren-
do dizer que o aplicativo est com srios
problemas de desempenho.
NOTA: A verso de 64 bits do Win-
dows Server 2003 somente pode ser
instalada em servidores baseados
no processador Intel Itanium de 64
bits. No possvel instalar uma
verso de 64 bits, nos sistemas
baseados em processadores
Pentium de 32 bits.
Para voc ter uma idia um pouco melhor sobre esta questo de desempenho, o
computador que eu estou utilizando para escrever este livro, tem as seguintes
configuraes de Hardware:
Processador Pentium de 1 GHZ
512 MB de RAM
30 GB de disco rgido
A minha rede domstica tem dois computadores. O servidor onde est instalado o
Windows Server 2003 e mais uma estao de trabalho com o Windows 2000
Professional. O sistema est com um bom desempenho. Aps a instalao do
Active Directory j houve uma queda de desempenho. A questo agora : Quantos
usurios em rede este servidor seria capaz de atender, por exemplo, com servios
de compartilhamento de arquivos e impresso, mais servios Web (http, ftp, etc)?.
S simulando um ambiente onde o nmero de usurios aumentado pouco a
pouco, para determinar com preciso o limite de capacidade desta configurao.
No endereo a seguir, voc encontra uma comparao entre as diferentes edies
do Windows Server 2003 em termos dos recursos disponveis em cada edio. A
tabela apresentada no site da Microsoft Brasil, as funcionalidades esto divididas
por categorias, tais como: Tecnologias de Cluster, servios de diretrio, Servios
de arquivo e impresso e assim por diante.
Tabela comparativa entre as quatro edies do Windows Server 2003:
http://www.microsoft.com/brasil/windowsserver2003/compare.mspx
Na Figura 1.4 exibo um trecho da tabela disponvel no endereo informado, com
a comparao entre as diferentes edies.
Figura 1.4 Tabela comparativa entre as diferentes edies.
Novidades do Windows Server 2003
Neste tpico apresentarei uma breve descrio das novidades e novas
funcionalidades do Windows Server 2003, em relao ao Windows 2000 Server.
Vou fazer uma apresentao das novas funcionalidades, dividindo-as em categorias.
Por exemplo, quais as novidades do Active Directory, quais as novidades nos
servios de compartilhamento de arquivos e impresso, quais as novidades de
segurana e assim por diante.
Novidades no Active Directory
O Active Directory o componente principal do Windows Server 2003 (a exemplo
do que acontece no Windows 2000 Server). O Active Directory um banco de
dados no qual ficam armazenadas informaes sobre todos os componentes da
rede, tais como nomes de computadores, nomes de usurios e grupos e assim por
diante. No Captulo 2 voc estudar o Active Directory em detalhes.
IMPORTANTE: Existe uma incom-
patibilidade do Windows Server 2003
em trabalhar em sistemas com multi-
processadores que utilizam algumas
verses do Pentium Pro e do Pentium
II. Para um descrio completa deste
problema e da lista de processadores
incompatveis, consulte o seguinte en-
dereo:
http://support.microsoft.
com/default.aspx?scid=kb;
en-us;319091
No Windows Server 2003 ficou mais fcil administrar o Active Directory. Novas ferramentas e funcionalidades facilitam
a vida do Administrador. No Windows Server 2003 esto disponveis as seguintes novidades no Active Directory:
Active Directory Migration Tool - ADMT 2.0: Esta ferramenta ajuda na migrao das verses anteriores do
Windows (NT Server 4.0 e Windows 2000 Server) para uma estrutura baseada no Active Directory no Win-
dows Server 2003. Por exemplo, esta ferramenta permite fazer a migrao de todas as contas de usurios e as
respectivas senhas, de uma rede baseada no NT Server 4.0 para o Windows Server 2003 ou em uma rede
baseada no Windows 2000 Server para o Windows Server 2003.
Renomear um domnio: Com o Windows Server 2003 possvel renomear um domnio, o que no era possvel
no NT Server 4.0 ou no Windows 2000 Server. Para que seja possvel renomear um domnio, algumas condies
devem ser atendidas, conforme mostrarei no Captulo 2, onde falarei sobre o Active Directory.
Maior flexibilidade para o gerenciamento do Schema: O Schema (conforme detalharei no Captulo 2) a
definio da estrutura do banco de dados do Active Directory. Por exemplo, no esquema que est a definio
de quais campos formam um objeto do tipo usurio, qual o tipo de cada campo, quais campos so de
preenchimento obrigatrio e quais no so e assim por diante.
Active Directory in Application Mode (AD/AM): Esta uma novidade realmente interessante. possvel
instalar e configurar o Active Directory em um servidor, para que ele seja executado no modo de aplicao.
Quando configurado para rodar no modo de aplicao, o Active Directory roda como se no fosse um servio
do prprio sistema operacional e com isso no obrigatrio que o servidor seja um DC (Domain Controler
Controlador de domnio). Ao no rodar como um servio do Sistema Operacional, possvel ter mltiplas
instncias do Active Directory instaladas no mesmo servidor, cada uma sendo independente da outra, ou seja,
cada instncia contm o seu prprio conjunto de objetos. Esta funcionalidade est prevista para ser
disponibilizada como um componente separadamente do Windows Server 2003, ou seja, no ser lanado
juntamente com o Windows Server 2003. No existe ainda informao se ser um componente pago ou estar
disponvel para Download gratuito atravs do site da Microsoft na Internet.
Microsoft Group Policy Management Console (GPMC): Este um console para administrao de tarefas
relacionadas com a configurao e aplicao de Group Polices Objects (GPOs). Com este console ser possvel
fazer o gerenciamento da aplicao de GPOs em mltiplos domnios, voc poder arrastar polices de um
domnios para aplica-las em outro domnio. Voc poder fazer o backup, restore, cpia e relatrio das GPOs.
Com este console ficar muito mais fcil fazer o gerenciamento das GPOs. Esta funcionalidade est prevista
para ser disponibilizada como um componente separadamente do Windows Server 2003, ou seja, no ser
lanado juntamente com o Windows Server 2003. Segundo informaes da Microsoft este componente estar
disponvel para Download gratuito, atravs do site da Microsoft.
Melhorias nos consoles de administrao do Active Directory: No Windows Server 2003 esto disponveis
novas funcionalidades nos consoles de administrao do Active Directory, tais como: capacidade de arrastar-
e-soltar, seleo de mltiplos objetos e a capacidade de salvar e utilizar novamente pesquisas efetuadas no
Active Directory. Por exemplo, com a capacidade de arrastar-e-soltar, voc pode mover uma conta de usurio
de uma Unidade Organizacional para outra, simplesmente arrastando, a exemplo do que voc faz com arquivos
e pastas no Windows Explorer.
Melhorias na segurana do Active Directory: Em relao a segurana foram implementadas as seguintes
melhorias:
Cross-forest authentication: Este tipo de autenticao permite um acesso seguro aos recursos disponveis na
rede, quando a conta do usurio pertence a um domnio que est em uma floresta e a conta do computador
onde o usurio esta fazendo o logon, est em um domnio em uma outra floresta. Com esta funcionalidade
os usurios podem, de uma maneira segura, acessar recursos localizados em servidores de outras florestas,
sem a necessidade de ter uma conta de usurio em um domnio da floresta de destino.
Cross-forest authorization: Este recurso permite ao Administrador selecionar usurios e grupos de outra
floresta (com a qual existe uma relao de confiana), para incluso em grupos locais ou em uma lista de
permisso de acesso para arquivos, pastas ou impressoras.
Polticas para restrio de Software: Esta uma das novidades que eu mais aprecio. Com o uso desta
funcionalidade, o Administrador pode criar uma lista de Softwares permitidos, ou seja, de programas que
so autorizados a serem executados nas estaes de trabalho da rede da empresa. Os programas que fazem
parte da lista de software autorizado funcionaro normalmente. Se o usurio instalar um programa no
autorizado, as polticas de restrio de Software faro com que o programa no possa ser executado. Como
Administrador voc poder criar excees poltica de restrio de Software. Por exemplo, voc poderia
configurar as polticas de restrio para permitir que o DOOM fosse executado na sua estao de trabalho.
Brincadeiras parte, est uma funcionalidade realmente importante.
Facilidade de logon para usurios remotos: As informaes de logon de um usurio remoto so mantidas em
um cache, no controlador de domnio da rede onde o usurio est. Com isso, no existe a necessidade de
conexo com um servidor de Catlogo Global do domnio de origem do usurio. Assim, se por exemplo, a
conexo coma WAN da empresa for perdida, o usurio poder fazer o logon, utilizando as informaes que
esto no cache do servidor, sem a necessidade de conexo com um servidor de catlogo global do seu domnio
de origem. Isso reduz o trfego de rede e permite que o usurio faa o logon, mesmo quando no houver
conectividade com o seu domnio de origem.
Melhoria na replicao das alteraes feitas em grupos de usurios: No Windows 2000 Server, sempre que um
grupo for alterado (um novo usurio adicionado ou removido, ou o grupo for renomeado), todas as informaes
do grupo sero replicadas para os demais DCs do domnio. Com isso gerada uma boa quantidade de trfego
de rede, sempre que um ou mais grupos so alterados. No Windows Server 2003, sempre que um grupo for
alterado,somente as modificaes sero replicadas, o que reduz o trfego de rede e facilita a propagao das
alteraes feitas em um DC para todos os demais DCs do domnio.
Application Directory Partitions: Algumas informaes armazenadas no Active Directory no precisam
estar disponveis em todos os DCs do domnio. Por exemplo, voc pode armazenar informaes sobre o
DNS apenas nos servidores que esto atuando como servidores de DNS
e no para todos os DCs do domnio. Voc pode incluir as informaes
sobre o DNS em uma Application Directory Partitions (Partio de
Aplicao do Active Directory) e configurar para quais servidores estas
informaes devem ser replicadas. Com isso voc reduz o trfego na
rede e tem um controle maior sobre a replicao destas informaes.
Instalar uma rplica do Active Directory a partir de um CD, fita de backup
ou HD: Esta uma das novidades que eu mais gosto. Com o Windows
2000 Server quando voc instalava um novo DC, este precisava copiar a
base de dados completa do Active Directory, atravs da replicao. Em
domnios grandes, com um grande nmero de usurios e computadores, a
base do Active Directory chega facilmente a tamanhos como 2 GB ou
mais. Imagine replicar (ou seja transmitir) esta informao atravs de um link de WAN de 64 kbps. So dias e
dias at que a base do novo DC fique completa e funcional. Com o Windows Server 2003 voc pode fazer uma
cpia do Active Directory em CD, fita de backup ou HD. Quando voc instala um novo DC, voc carrega a
cpia do Active Directory que voc levou gravada e depois s preciso replicar as alteraes desde o momento
em que voc gerou a cpia at a instalao do novo DC. O que com certeza um volume de informaes bem
menor do que ter que replicar uma cpia completa do Active Directory. Esta funcionalidade especialmente
til quando voc tem que instalar um novo DC em escritrios da empresa, conectados com links de baixa
velocidade, tais como 64 kbps ou 128 kbps.
Novas ferramentas para o gerenciamento da replicao entre os DCs do domnio: Para o gerenciamento da
atualizao dos servidores de Catlogo Global e uma ferramenta para gerenciar e implementar uma topologia
de replicao entre sites, mais eficiente, o que permite um nmero maior de sites por domnio, do que no
Windows 2000 Server.
Novidades nos Servios de Compartilhamento de Arquivos e Impresso
Sem dvidas os servios mais utilizados so o compartilhamento de arquivos e de impressoras. Foi para prestar este
tipo de servio que os primeiros servidores foram projetados. O Windows Server 2003 fornece diversas novidades e
melhorias nos servios de compartilhamento de arquivos e de impressoras, conforme descrito a seguir:
Remote Document Sharing (WebDAV): Este um recurso que facilita o acesso a arquivos armazenados em servidores
HTTP, utilizando os mesmos comandos utilizados para acessar arquivos locais, do disco rgido, do CD-ROM ou de
um driver de rede. Esta funcionalidade facilita a criao de aplicativos que acessam dados em servidores HTTP.
Com o redirecionador WebDav, o programa enxerga os arquivos remotos como se fossem arquivos locais.
Automated System Recovery (ASR): Esta uma das funcionalidades que eu mais aprecio. Foi introduzida (de
maneira tmida) no Windows Me, est disponvel no Windows XP e agora no Windows Server 2003. Com este
recurso voc pode fazer um ou mais backups do estado do sistema configuraes de software e de hardware do
sistema. Quando houver algum problema, voc pode utilizar um determinado backup, para restaurar o sistema ao
estado em que ele estava, quando o respectivo backup foi efetuado. Por exemplo, voc faz um backup (criando um
Ponto de Restaurao) as 9:00 hs da manh. Logo aps voc instala uma nova verso do driver da placa de rede. Ao
reinicializar o servidor o sistema fica extremamente instvel. Voc pode utilizar o ponto de restaurao criado as
nove horas, para restaurar o sistema ao estado em que se encontrava as 9:00, ou seja, com a verso antiga do driver
e estvel. Eu considero uma ferramenta realmente de grande valor para o Administrador.
NOTA: Os conceitos de Controla-
dores de Domnio (DCs), servidores
de Catlogo Global e sites sero
detalhados no Captulo 2, onde o
Active Directory ser descrito em
detalhes.
Novos comandos para gerenciamento de discos e volumes: O Windows Server 2003 fornece uma srie de
novos comandos para o gerenciamento de discos e volumes no Windows Server 2003. Com estes comandos
fica bem mais fcil criar scripts para fazer o gerenciamento de discos e volumes no Windows Server 2003.
GUID Partition Table (GPT): As verses de 64 bits do Windows Server 2003 suportam um novo formato de
particionamento de disco conhecido como GPT. Neste novo formato, as informaes necessrias ao
funcionamento do disco so gravadas na prpria partio, ao invs de gravadas em setores ocultos ou espao
no particionado do disco, a exemplo do que ocorre com o padro MBR Master Boot Record. Com isso, ao
fazer o backup da partio, tambm feito o backup das informaes necessrias ao seu funcionamento. As
parties GPT tambm fornecem redundncia em relao a tabela de arquivos da partio, o que minimiza o
risco de perda de dados.
Utilitrio de desfragmentao: O utilitrio de desfragmentao do Windows Server 2003 mais rpido e
eficiente do que nas verses anteriores. No Windows 2000 Server aconselhvel que voc utilize um software
de terceiros para fazer a desfragmentao dos volumes. No Windows Server 2003 isso no necessrio, j que
o utilitrio de desfragmentao fornecido com o sistema operacional bem eficiente.
Enhanced Distributed File System (DFS): O DFS facilita a consolidao das diversas pastas compartilhadas
da rede em um nico ponto lgico de acesso. Tambm permite que sejam configuradas rplicas de uma pasta
compartilhada para prover redundncia no caso de falha de um servidor. Uma das principais melhorias do
DFS no Windows Server 2003 a possibilidade de criar mais de um DFS Root por servidor. No Captulo 5
voc aprender a configurar e a administrar o DFS.
DFS File Replication Services (FRS): Este servio trabalha em conjunto com o DFS para fornecer os servios
de replicao de contedo. No Windows Server 2003 voc pode configurar a topologia de replicao, o que
no era permitido no Windows 2000 Server. Esta facilidade permite que voc configure uma tecnologia levando
em conta as velocidades dos links de comunicao, definindo desta maneira, horrios de replicao que no
venham a sobrecarregar os links de comunicao durante o horrio de expediente.
Melhorias no sistema de criptografia de arquivos EFS: Tambm foram disponibilizadas novas APIs Appli-
cation Program Interfaces para facilitar a criao de software anti-vrus mais eficientes, os quais no interferem
no desempenho do servidor. Tambm foram introduzidas melhorias de performance no utilitrio CHKDSK.
Shadow Copies for Users: Esta uma funcionalidade que pode ser habilitada em cada pasta compartilhada. Ao
habilitar esta funcionalidade o Windows Server 2003 faz cpias das verses anteriores dos arquivos. Ou seja,
sempre que voc altera um arquivo e salva no disco, o Windows Server 2003 mantm uma cpia de um determinado
nmero de verses anteriores do arquivo. O usurio pode acessar, facilmente, qualquer uma das verses anteriores
disponveis. Para isso basta clicar com o boto direito do mouse no arquivo e utilizar as opes do menu para
acessar as verses anteriores. No endereo a seguir voc encontra uma demonstrao de como funciona este
recurso. Para acessar esta demonstrao voc precisa do Internet Explorer e do Player do Flash instalados. Se
voc no tiver o Player do Flash, este ser automaticamente copiado e instalado pela Internet.
http://www.microsoft.com/windowsserver2003/docs/VolumeShadowCopyService.swf
A seguir descrevo as novidades em relao ao sistema de impresso no Windows Server 2003:
Novos utilitrios de linha de comando para a execuo das principais tarefas de administrao de impressoras
e compartilhamento de impressoras.
Print Cluster Support (Enterprise Edition & Datacenter Edition only): Impresso em um cluster de servidores.
Quando voc instala um driver de impressora em um dos servidores do cluster, o Windows Server 2003
automaticamente instala este driver em todos os demais servidores que fazem parte do cluster. Esta caracterstica
facilita bastante a administrao de impressoras instaladas em um cluster.
Suporte a um grande nmero de novos drivers de impressoras: Para ser mais preciso, segundo a documentao
oficial do Windows Server 2003, fornecido suporte para cerca de 3800 novas impressoras.
Melhorias na performance da impresso e na deteco de dispositivos Plug and Play: Melhorias na performance
da impresso atravs da rede. As ferramentas de gerenciamento tambm ficaram mais fceis de utilizar, bem
como o gerenciamento de impresso atravs do navegador apresenta novas funcionalidades. Esto disponveis
uma srie de objetos e contadores para acompanhar os trabalhos de impresso atravs da rede, tais como o
nmero de pginas impressas por usurio, por impressora e assim por diante.
Novidades na rea de segurana no Windows Server 2003
Segurana um dos pontos mais importantes quando voc decide sobre qual sistema operacional utilizar nos servidores
da sua rede. No Windows Server 2003 foram feitas diversas melhorias para tornar o sistema ainda mais seguro.
Firewall de Conexo com a Internet (IFC - Internet Connection Firewall): Com o Windows XP Professional
fornecido um Firewall de Conexo com a Internet, o qual tambm disponibilizado com o Windows Server
2003. Este Firewall permite um primeiro nvel de proteo contra ataques vindos da Internet.
Suporte ao protocolo IEEE 802.1X: Este protocolo utilizado para a conexo de dispositivos Wireless (sem
fio) redes Ethernet. Com o suporte ao protocolo IEEE 802.1X, os dispositivos Wireless podem se conectar e
autenticar com um domnio baseado no Windows Server 2003.
Polticas para restrio de Software: Esta uma das novidades que eu mais aprecio, conforme j descrevi
anteriormente. Com o uso desta funcionalidade, o Administrador pode criar uma lista de Softwares permitidos,
ou seja, de programas que so autorizados a serem executados nas estaes de trabalho da rede da empresa. Os
programas que fazem parte da lista de software autorizado funcionaro normalmente. Se o usurio instalar um
programa no autorizado, as polticas de restrio de Software faro com que o programa no possa ser
executado. Como Administrador voc poder criar excees poltica de restrio de Software. Por exemplo,
voc poderia configurar as polticas de restrio para permitir que o DOOM fosse executado na sua estao de
trabalho. Brincadeiras parte, est uma funcionalidade realmente importante.
Configuraes padro de segurana do IIS 6.0: O IIS 6.0 instalado com as configuraes de segurana para
proteo mxima. Ou seja, a maioria dos recursos so restritos e protegidos. A medida que for necessrio o
Administrador vai alterando as configuraes de segurana para atender as necessidades do servidor. Desta
maneira a poltica utilizada tudo bloqueado, a medida que forem necessrios, os recursos vo sendo liberados.
O IIS no instalado por padro, quando o Sistema Operacional instalado: Com o Windows 2000
Server, o IIS era instalado por padro e com conf iguraes de segurana no muito severas. No
Windows Server 2003 o IIS no instalado por padro, deve ser instalado usando a opo Adicionar
ou Remover Programas do Painel de controle.
Melhoria na performance de sites seguros que utilizam o protocolo SSL: Com o Windows Server 2003 houve
ume melhoria de at 35% na performance de aplicaes Web seguras, baseadas no protocolo SSL.
No endereo a seguir, voc encontra uma descrio completa das novidades na rea de segurana, no Windows Server 2003:
http://www.microsoft.com/windowsserver2003/evaluation/overview/technologies/security.mspx
Novidades nos servios de rede e comunicao
Alm de compartilhamento de arquivos e impressoras, um sistema operacional de rede deve fornecer uma srie de
outros servios. Desde servios para resoluo de nomes, tais como o DNS, at servios mais sofisticados de roteamento
e acesso remoto (como o RRAS). A seguir descrevo as principais novidades nos servios de rede e comunicao, no
Suporte ao IP v6: O IP verso 6 (IP v6) a nova verso do protocolo IP. Foi projetado para resolver problemas
de desempenho do IP v4 e, principalmente, o nmero reduzido de nmeros IP disponveis na verso 4. O
Windows Server 2003 fornece suporte completo ao IP v6, bem como opes para interconectar dispositivos
que utilizam as diferentes verses do protocolo IP.
Point-to-Point Protocol over Ethernet (PPPoE): Com o uso deste protocolo possvel a um cliente se conectar
a um servidor com suporte ao protocolo PPPoE, sem o uso de nenhum software adicional.
Network Bridging: Com esta funcionalidade um administrador pode conectar diferentes segmentos de rede
utilizando um servidor com o Windows Server 2003 instalado. Por exemplo, voc pode utilizar um computador
com o Windows Server 2003 instalado e com mltiplos adaptadores de rede (Ethernet, Wirelas e Dial-up),
para conectar diferentes segmentos de rede.
Utilizao do protocolo IPSec atravs de NAT: Esta era uma das dificuldades encontradas no Windows 2000
Server. No era possvel utilizar o protocolo IPSec atravs de um servidor RRAS com o NAT (Network
Address Translation) habilitado. No Windows Server 2003 esta limitao foi eliminada. Agora possvel fazer
com que uma conexo Layer Two Tunneling Protocol (L2TP) sobre IPSec ou uma conexo IPSec possa ser
utilizada juntamente com NAT.
Melhorias na Adminsitrao de Group Polices Objects, com o uso do Microsoft Group Policy Management
Console (GPMC). Tambm foram feitas novas adies de polices, como por exemplo polices que permitem
configurar opes do DNS no cliente. Por exemplo, no Windows Server 2003 voc pode configurar a lista de
prefixos DNS no cliente, o que no era possvel no Windows 2000 Server.
No endereo a seguir, voc encontra uma descrio completa das novidades na rea de redes e comunicao:
http://www.microsoft.com/windowsserver2003/evaluation/overview/technologies/networking.mspx
Novidades nos servios de gerenciamento do Windows Server 2003
Muitas melhorias foram introduzias nas ferramentas de gerenciamento do Windows Server 2003, em relao ao Win-
dows 2000 Server. Esta uma rea que tem que ser analisada detalhadamente, pois a melhoria nas ferramentas de
administrao e gerenciamento, implica em maior produtividade e maior controle por parte do Administrador, o que
tambm contribui para uma reduo do custo de administrao da rede.
Microsoft Group Policy Management Console (GPMC): Este um console para administrao de tarefas
relacionadas com a configurao e aplicao de Group Polices Objects (GPOs). Com este console ser possvel
fazer o gerenciamento da aplicao de GPOs em mltiplos domnios, voc poder arrastar polices de um
domnio para aplic-las em outro domnio. Voc poder fazer o backup, restore, cpia e relatrio das GPOs.
Com este console ficar muito mais fcil fazer o gerenciamento das GPOs. Esta funcionalidade est prevista
para ser disponibilizada como um componente separadamente do Windows Server 2003, ou seja, no ser
lanado juntamente com o Windows Server 2003. Segundo informaes da Microsoft este componente estar
disponvel para Download gratuito, atravs do site da Microsoft.
Resultant Set of Policy (RSoP): Esta ferramenta facilita o planejamento e a implementao das polticas de
segurana. Com o uso desta ferramenta o Administrador pode analisar os efeitos das alteraes nas polticas
de segurana, antes de aplic-las efetivamente. Com esta ferramenta o Administrador pode determinar qual
ser o conjunto de polticas efetivamente aplicadas a um usurio e/ou computador, antes mesmo de aplicar as
respectivas polticas. Com isso inconsistncias podem ser detectadas e evitadas.
Novas configuraes de polticas de segurana: Com o Windows Server 2003 esto disponveis cerca de 200
novas opes de configuraes para as polticas de segurana. Um exemplo de novas opes disponveis so
as opes para definir as configuraes do DNS nas estaes de trabalho.
A interface do editor das polticas de segurana foi bem melhorada. Por exemplo, quando voc clica em uma
das opes, um texto explicativo imediatamente exibido.
Filtros WMI (Windows Management Instrumentation): Voc pode criar filtros WMI com base em diversas
caractersticas dos computadores. Por exemplo, voc pode criar um filtro WMI para selecionar apenas os
computadores com processador Pentium II 350 ou superior, com 128 MB ou mais de memria RAM e com o
Windows 2000 Professional instalado. Depois voc pode aplicar um conjunto de polticas de segurana com
base em um filtro WMI. O filtro WMI seleciona apenas os computadores que atendam os critrios definidos
no filtro e as polticas sero aplicadas aos computadores selecionados.
Cross-Forest Support: Por padro GPOs somente podem ser aplicadas em um site, domnio ou unidade
organizacional. Com a funcionalidade de Cross-Forest Support, possvel, por exemplo, que um usurio da
floresta X, faa o logon em um computador da floresta Y, sendo que cada floresta possui um diferente conjunto
de GPOs aplicadas. Outro exemplo, as configuraes em uma poltica de distribuio de software pode fazer
referncia a um ponto de distribuio (pasta compartilhada com os arquivos para instalao do programa)
localizado em um servidor de outra floresta.
Polticas para restrio de Software: Esta uma das novidades que eu mais aprecio. Com o uso desta
funcionalidade, o Administrador pode criar uma lista de Softwares permitidos, ou seja, de programas que so
autorizados a serem executados nas estaes de trabalho da rede da empresa. Os programas que fazem parte da
lista de software autorizado funcionaro normalmente. Se o usurio instalar um programa no autorizado, as
polticas de restrio de Software faro com que o programa no possa ser executado. Como Administrador
voc poder criar excees poltica de restrio de Software. Por exemplo, voc poderia configurar as polticas
de restrio para permitir que o DOOM fosse executado na sua estao de trabalho. Brincadeiras parte, est
uma funcionalidade realmente importante.
Melhorias no servio de instalao remota RIS Remote Instalattion Services. Foram feitas melhorias que
melhoraram o desempenho do protocolo TFTP Trivial FTP, utilizado para a transferncia dos arquivos de
instalao do servidor RIS para o computador de destino.
Novos utilitrios de linha de comando. Dezenas de novos utilitrios de linha de comando foram disponibilizados. Isso
facilita a administrao e a automao de tarefas repetitivas atravs do uso de scripts. Os comandos apresentam uma
sintaxe padronizada. Por exemplo, para obter ajuda sobre a sintaxe de um comando basta digitar o nome do comando
e /?. Um arquivo de ajuda, com todos os detalhes sobre os diversos comandos: ntcmds.chm. Todos os novos comandos
tem suporte a execuo remota, utilizando a opo /S. Com esta opo o administrador pode fazer com que o comando
seja executado em qualquer servidor da rede, simplesmente disparando o comando a partir da sua estao de trabalho
e especificando o parmetro /S, juntamente com o nome do servidor onde o comando deve ser executado.
Microsoft Windows Update Services Catalog Site: O site de catlogo do Windows Update (http://
windowsupdate.microsoft.com/catalog), permite que o Administrador faa cpia dos arquivos de atualizaes do
sistema e aplique estas atualizaes utilizando uma ferramenta de distribuio de Software como o SMS 2.0
(System Management Server). Com isso os arquivos de atualizao so baixados da Internet uma nica vez e
depois aplicados em todas as estaes e servidores da rede. Este procedimento bem mais racional do que baixar
uma cpia dos arquivos para cada estao de trabalho e servidor onde as atualizaes devam ser aplicadas.
Windows Update Consumer Site: Este site utilizado para baixar e instalar atualizaes individualmente em
cada computador. O Administrador da rede pode definir, com o uso de Polices (GPOs), quais os usurios esto
autorizados a se conectar com o site de atualizao. O endereo deste site o seguinte: http://
windowsupdate.microsoft.com/
Microsoft Software Update Services: O Windows Update muito prtico, uma vez que o usurio pode conectar
diretamente com o site do Windows Update, baixar e instalar as novas atualizaes. Porm em um ambiente de
rede indicado que antes de instalar novas atualizaes, estas sejam testadas em um ambiente de teste, para
verificar se as atualizaes no iro introduzir novos problemas ou instabilidades no Windows Server 2003. O
Windows Server 2003 fornece um novo servio chamado Microsoft Software Update Services. Com este
servio o administrador pode configurar um servidor para atuar como servidor de atualizaes. As atualizaes
so baixadas da Internet para este servidor, so testadas e somente aps aprovadas, so distribudas para serem
aplicadas nos demais computadores da rede. Via Polices (GPOs), o Administrador pode definir quando aplicar
as atualizaes e em quais computadores elas devem ser aplicadas. O uso de um servidor de atualizaes
tambm evita que vrias cpias dos mesmos arquivos sejam feitas a partir da Internet. Com este servio, os
arquivos de atualizao so copiados uma nica vez da Internet para o servidor de atualizaes e aps
testados, so distribudos para os demais computadores da rede. O Microsoft Software Update Services
utilizado somente para a distribuio de atualizaes de segurana e atualizaes crticas. As demais categorias
de atualizaes so aplicadas via Windows Update. Com este servio tambm possvel formar uma hierarquia
de servidores de atualizao. Por exemplo, o servidor da matriz copia os arquivos de atualizao a partir da
Internet e em seguida distribui para um servidor de atualizao localizado em cada escritrio da empresa. A
partir do servidor de atualizao de cada escritrio, os computadores do escritrio so atualizados.
No endereo a seguir, voc encontra uma descrio completa das novidades na rea de Gerenciamento no Windows
Server 2003:
http://www.microsoft.com/windowsserver2003/evaluation/overview/technologies/mgmtsrvcs.mspx
Novidades no suporte ao desenvolvimento de Aplicativos
A grande novidade no mundo do desenvolvimento de aplicaes, baseadas em tecnologias Microsoft a Plataforma.NET,
com suas novas linguagens ASP.NET, VB.NET e C#. O Framework.NET j est disponvel desde o Windows 2000
Server. Nesta seo descreverei as melhorias introduzidas no Framewok.NET, pelo Windows Server 2003.
Suporte a Web Services baseados em XML, diretamente no sistema operacional: O Windows Server 2003
oferece suporte nativo aos protocolos que permitem o funcionamento de Web Services baseados em XML,
tais como: Simple Object Access Protocol (SOAP), Universal Description, Discovery and Integration (UDDI),
and Web Services Description Language (WSDL).
NOTA: Para detalhes sobro o Framework.NET e os seus elementos constitutivos, consulte o livro ASP.NET: Uma Nova Revoluo na
Criao de Sites e Aplicaes Web, Axcel Books, 2001.
Enterprise UDDI Services: Com este servio voc pode implementar uma infra-estrutura interna, na Intranet
da empresa, com suporte ao padro UUDI e Web Services, sem depender de componentes externos. Com base
neste servio pode ser criado um repositrio de Web Services, os quais podem ser utilizados pelas vrias
equipes de desenvolvimento da empresa. Com isso a reutilizao de cdigo torna-se mais fcil e integrada.
Framework.NET: O Framework.NET a base para o desenvolvimento de qualquer aplicao baseada no
modelo.NET. Com o Windows Server 2003 voc pode instalar o Framework.NET a partir do CD de instalao
do Windows Server 2003, sem ter que baix-lo, separadamente, a partir da Internet.
ASP.NET integrado com o Internet Information Services (IIS) 6.0: Com o IIS 6.0, o suporte a aplicaes
ASP.NET foi grandemente melhorado, principalmente em relao a segurana e desempenho. Cada aplicao
ASP.NET isolada das demais aplicaes ASP.NET e podem se comunicar diretamente com o servio HTTP,
que no Windows Server 2003 implementado com um driver a nvel do Kernel do Sistema Operacional. Com
estas novidades o nmero de processos que rodam no servidor IIS reduzido, o que melhora o desempenho e
evita que uma aplicao ASP.NET com problemas, interfira na execuo de outras aplicaes.
ASP.NET: Advanced Compilation: Esta nova funcionalidade contribui para uma melhoria na performance das
aplicaes ASP.NET. A primeira vez que uma pgina ASP.NET carregada, ela compilada como um objeto e
mantida na memria do servidor. Para atender novas solicitaes, o IIS utiliza a verso compilada. O IIS fica
monitorando a pgina para verificar se houve modificaes, sempre que houver modificaes, a nova verso da
pgina substituir a verso antiga, na memria do servidor. O resultado prtico disso uma melhoria considervel
no desempenho.
ASP.NET: Intelligent Caching: O modelo de programao do ASP.NET oferece classes que permitem ao
programador um controle refinado sobre como ser feito o cache das pginas ASP.NET no servidor. Isso permite
a otimizao do desempenho, atravs do uso de uma configurao de cache de pginas mais adequada a cada
aplicao.
No endereo a seguir, voc encontra uma descrio completa das novidades na rea de suporte ao desenvolvimento de
aplicativos no Windows Server 2003:
http://www.microsoft.com/windowsserver2003/evaluation/overview/technologies/appsrvcs.mspx
Novidades em outras reas do Windows Server 2003:
Novidades na tecnologia de Cluster:
http://www.microsoft.com/windowsserver2003/evaluation/overview/technologies/clustering.mspx
Novidades do Internet Information Services 6.0:
http://www.microsoft.com/windowsserver2003/evaluation/overview/technologies/iis.mspx
O IIS tambm ser detalhado na Parte 3 deste livro.
Novidades na rea de gerenciamento de armazenamento:
http://www.microsoft.com/windowsserver2003/evaluation/overview/technologies/storage.mspx
Novidades no Terminal Services:
http://www.microsoft.com/windowsserver2003/evaluation/overview/technologies/
terminalserver.mspx
Redes de computadores
Neste tpico apresentarei um histrico da evoluo das redes de computadores, desde a poca do Mainframe (o qual
continua mais vivo do que nunca), passando pelas redes Cliente/Servidor clssicas, at o modelo mais atual, baseado
em tecnologia de 3 ou mais camadas, como por exemplo a Internet, a maior de todas as redes.
No princpio, um modelo Centralizado baseado no Mainframe
Todos sabem que a evoluo em informtica bastante rpida. Sempre esto surgindo novos conceitos, programas e
servios. H algumas dcadas, quando a informtica comeou a ser utilizada para automatizar tarefas administrativas
nas empresas, tnhamos um modelo baseado nos computadores de grande porte, os chamados Mainframe.
Durante a dcada de 70 e at a metade da dcada de 80 este foi o modelo dominante, sem nenhum concorrente
para amea-lo. Os programas e os dados ficavam armazenados nos computadores de grande porte. Para acessar
estes computadores eram utilizados (na prtica sabemos que ainda hoje este modelo bastante utilizado, mas
isso discusso para daqui a pouco) os chamados terminais burros. Para falar um pouco mais sobre este modelo,
considere o diagrama da Figura 1.4:
Figura 1.4 O modelo baseado no Mainframe e no acesso via terminais burros.
O Mainframe um equipamente extremamente caro, na casa de milhes de dlares. Noramlmente uma empresa
prestadora de servios de informtica compra o Mainframe e hospeda neste equipamento, os sistemas e os dados de
diversas empresas. O Mainframe um equipamente que precisa de instalaes adequadas, nas quais existe controle de
temperatura, umidade do ar, alimentao eltrica estabilizada e assim por diante.
Os aplicativos e dados ficam armazenados no Mainframe. Vamos supor que a empresa X a dona do Mainframe,
no qual esto hospedados aplicativos e dados da empreza Y. Para ter acesso a estes dados, a empresa Y contrata uma
linha de dados (que at o incio da dcada de 90, aqui no Brasil, apresenava velocidades da ordem de 1 ou 2 kbps).
Na sede da empresa, a linha de dadados conectada a um Modem, o qual era conectado com um equipamente
chamado MUX. O papel do MUX permitir que mais de um terminal burro possa se comunicar com o Mainframe,
usando uma nica linha de dados. Os terminais burros eram ligados ao equipamento MUX, diretamente atravs da
cabos padro para este tipo de ligao.
Com isso os terminais so, na prtica, uma extenso da console do Mainframe, o qual permite que vrios terminais
estejam conectados simultaneamente, inclusive acessando diferentes sistemas. Este modelo ainda muito utilizado,
embora novos elementos tenham sido introduzidos. Por exemplo, os terminais burros foram praticamente extintos.
Agora o terminal simplesmente um software emulador de terminal, que fica instalada em um computador PC ligado
em rede. Mas muitos dos sistemas e dados empresariais, utilizados hoje em dia ainda esto hospedados no Mainframe.
Pegue a lista dos dez maiores bancos brasileiros (pblicos ou privados) e, no mnimo, cinco deles, ainda tem grande
parte dos dados no Mainframe. Um dos bancos do qual sou correntista mantm os dados no Mainframe. Quando eu
acesso meu extrato via Internet, com toda segurana, usando Certificado Digital, com uma interface grfica (tudo
muito moderno) estou na verdade acessando dados que esto no Mainframe. Tem alguma coisa de errado com isso?
Linha de
dados
Mainframe
Modem Multiplexer
Terminal burro
Terminal burro
Terminal burro
Terminal burro
Nada. Conforme voc mesmo poder concluir ao final deste tpico, o modelo baseado no Mainframe tem muitas
vantagens que foram desprezadas na dcada de 90, mas que hoje so mais valorizadas do que nunca.
O modelo baseado no Mainframe tem inmeras vantagens, dentre as quais destaco as listadas a seguir:
Gerenciamento e Administrao centralizada: Como os programas e os dados ficam instalados no mainframe,
fica mais fcil fazer o gerenciamento deste ambiente. A partir de um nico local o Administrador pode instalar
novos sistemas, atualizar as verses dos sistemas j existentes, gerenciar o espao utilizado em disco, gerenciar
as operaes de Backup/Restore, atualizaes do sistema operacional e configuraes de segurana.
Ambiente mais seguro: Com o gerenciamento centralizado mais fcil manter o ambiente seguro, uma vez
que um nmero menor de pessoas tem acesso ao ambiente. A segurana fsica tambm fica mais fcil de ser
mantida, pois existe um nico local a ser protegido.
Facilidade para atualizao dos sistemas: Como os sistemas so instalados em um nico local, centralizadamente
no Mainframe, fica muito simplificada a tarefa de instalar novos sistemas e fazer atualizaes nos sistemas
j existentes. Por exemplo, quando voc precisa atualizar um novo sistema, s instalar a nova verso no
Mainframe e pronto. A prxima vez que os usurios fizerem a conexo com o Mainframe, j tero acesso a
verso atualizada, sem que tenha que ser atualizado software em cada um dos terminais que iro acessar a
aplicao. Isso elimina grande parte do trabalho de administrao, implementao e suporte a aplicaes.
Claro que este modelo no era (e no ainda hoje), somente vantagens. Pois se assim fosse, no teriam surgidos novos
modelos, com propostas de descentralizao como foi o caso do modelo Cliente/Servidor (o qual descreverei logo a
seguir). Dentre as principais desvantagens do Mainframe, podemos destacar as seguintes:
O custo elevado, ou pelo menos as pessoas achavam que o custo era elevado, at descobrirem o chamado
TCO Total Cost Ownership, do modelo Cliente/Servidor. Mais adiante, quando for apresentado o modelo
Cliente/Servidor, voc entender melhor o que de ironia nesta frase.
As linhas de comunicao no Brasil apresentavam problemas serssimos de desempenho e custavam verdadeiras
fortunas (no que hoje esteja uma maravilha, mas convenhamos que melhorou bastante). Alm disso, a
dependncia da linha de comunicao era completa, ou seja, quando a linha ficasse fora do ar (o que acontecia
com uma freqncia espantosa no incio dos anos 90), ningum tinha acesso aos sistemas.
Na maioria dos casos, os sistemas e dados da empresa eram administrados por terceiros. O fato de os dados
vitais para o funcionamento da empresa estarem sob a guarda de terceiros comeou a ser questionado. As
empresas no tinham nenhuma garantia concreta de como estes dados estavam sendo manipulados, e sobre
quem tinha acesso aos dados e aos logs de auditoria de acesso aos dados. Neste momento comea surgir um
movimento pr descentralizao dos dados, em favor de trazer os dados para servidores dentro da empresa
ou sob o controle da empresa. Logo a seguir descrevo este e outros motivos que foram as grandes promessas
do modelo Cliente/Servidor, modelo este que seria o paraso (permitam-me um sorriso irnico) comparado
com o modelo centralizado, baseado no Mainframe.
Morte ao Mainframe, viva a descentralizao!!!
Normalmente quando comea a surgir um movimento de mudana, este apresenta caractersticas contrrias aos princpios
do modelo vigente. Foi mais ou menos o que aconteceu com o modelo Cliente/Servidor, em relao ao modelo
baseado no Mainframe.
No final da dcada de 80, incio dos anos 90, os computadores padro PC j eram uma realidade. Com o aumento das
vendas os custos comearam a baixar e mais e mais empresas comearam a comprar computadores padro PC. O
prximo estgio neste processo foi, naturalmente, a ligao deste computadores em rede. Desde as primeiras redes,
baseadas em cabos coaxiais, at as modernas redes, baseadas em cabeamento estruturado e potentes Switchs de 100
MB ou de 1GB, o computador padro PC continua sendo amplamente utilizado.
A idia bsica do modelo Cliente/Servidor era uma descentralizao dos dados e dos aplicativos, trazendo os dados
para servidores localizados na rede local onde os dados fossem utilizados e os aplicativos instalados nos computadores
da rede. Este movimento de um computador de grande porte Mainframe, em direo a servidores de menor porte
servidores de rede local, foi conhecido como Downsizing, que eu me atrevo a traduzir como Reduo de Tamanho.
A seguir apresento um diagrama para ilustrar o modelo Cliente/Servidor. Depois fao alguns comentrios para salientar
os elementos deste modelo e em seguida comento as vantagens e desvantagens.
No diagrama da Figura 1.5 temos um exemplo de uma rede baseada no modelo Cliente/Servidor:
Figura 1.5 O modelo Cliente/Servidor de duas camadas.
No modelo Cliente/Servidor temos um ou mais equipamentos de maior capacidade de processamento, atuando como
Servidores. Estes equipamentos normalmente ficam reunidos em uma sala conhecida como Sala dos Servidores.
So equipamentos com maior poder de processamento (normalmente com dois ou mais processadores), com grande
quantidade de memria RAM e grande capacidade de armazenamento em disco. Os servidores normalmente rodam
um Sistema Operacional especfico para servidor, como por exemplo um dos sistemas operacionais listados a seguir:
Alguma verso do UNIX: AIX, HP-UX, SCO, etc.
Novell
Linux
Windows NT Server (3.51, 4.0)
Windows 2000 Server
Windows Server 2003
Nos servidores ficam os recursos a serem acessados pelas estaes de trabalho da rede, como por exemplo pastas
compartilhadas, impressoras compartilhadas, pginas da Intranet da empresa, aplicaes empresariais, bancos de
Servidor de Arquivo Banco de dados Outros Servidores
Clientes Clientes Clientes Clientes Clientes
dados, etc. Como o prprio nome sugere, o servidor Serve recursos e servios que sero utilizados pelas estaes de
trabalho da rede, as quais so chamadas de estaes cliente ou simplesmente clientes.
Nas estaes de trabalho dos usurios (conhecidas como clientes), so instalados programas, que fazem acesso a
recursos disponibilizados pelos servidores. O exemplo mais tpico de aplicao Cliente/Servidor, uma aplicao
desenvolvida em Visual Basic ou Delphi, a qual acessa dados de um servidor SQL Server 2000, instalado em um
servidor da rede. No diagrama da Figura 1.5, temos um exemplo onde esto sendo utilizados trs servidores:
Servidor de arquivos
Servidor de banco de dados
Servidor para outras funes (autenticao de usurios, resoluo de nomes, Intranet, etc).
O modelo Cliente/Servidor pareceu, no incio, ser uma soluo definitiva em substituio ao modelo baseado no
Mainframe. Porm os problemas, que no foram poucos, comearam a aparecer, dentre eles o elevado custo de
administrao e manuteno de uma rede baseada neste modelo, conforme descreveremos mais adiante. Para entender
o porqu deste custo elevado, preciso falar um pouco sobre o modelo de aplicaes em duas camadas, tambm
conhecido como Cliente/Servidor clssico e todos os seus problemas.
Modelo em 2 camadas
No incio da utilizao do modelo Cliente/Servidor, as aplicaes foram desenvolvidas utilizando-se um modelo de
desenvolvimento em duas camadas. Neste modelo, os programas, normalmente desenvolvidos em um ambiente grfico
de desenvolvimento, como o Visual Basic, Delphi ou Power Builder, so instalados em cada estao de trabalho -
Cliente. Este programa acessa dados em um servidor de banco de dados, conforme ilustrado na Figura 1.6:
Figura 1.6 O Modelo de desenvolvimento em duas camadas.
Neste modelo,cada programa instalado na estao de trabalho Cliente. Programa esse que faz acesso ao banco de
dados que fica residente no Servidor de Banco de dados. Na maioria dos casos, a mquina do cliente um PC rodando
Windows, e a aplicao Cliente desenvolvida utilizando-se um dos ambientes conhecidos, conforme citado
anteriormente. Sendo a aplicao cliente, um programa para Windows (na grande maioria dos casos), esta deve ser
instalada em cada um das estaes de trabalho da rede. o processo de instalao normal, para qualquer aplicao
Windows. No modelo de 2 camadas, a aplicao Cliente responsvel pelas seguintes funes:
Apresentao: O Cdigo que gera a Interface visvel do programa, faz parte da aplicao cliente. Todos os
formulrios, menus e demais elementos visuais, esto contidos no cdigo da aplicao cliente. Caso sejam
necessrias alteraes na interface do programa, faz-se necessria a gerao de uma nova verso do programa,
e todos as estaes de trabalho que possuem a verso anterior, devem receber a nova verso, para que o usurio
possa ter acesso as alteraes da interface. A que comeam a surgir os problemas no modelo em 2 camadas:
Uma simples alterao de interface, suficiente para gerar a necessidade de atualizar a aplicao, em centenas
ou milhares de estaes de trabalho, dependendo do porte da empresa. O gerenciamento desta tarefa, algo
extremamente complexo e oneroso financeiramente.
Lgica do Negcio: As regras que definem a maneira como os dados sero acessados e processados, so conhecidas
como Lgica do Negcio. Fazem parte da Lgica do Negcio, desde funes simples de validao da entrada de
dados, como o clculo do digito verificador de um CPF ou CNPJ, at funes mais complexas, como descontos
escalonados para os maiores clientes, de acordo com o volume da compra. Questes relativas a legislao fiscal e
escrita contbil, tambm fazem parte da Lgica do Negcio. Por exemplo, um programa para gerncia de Recursos
Humanos, desenvolvido para a legislao dos EUA, no pode ser utilizado, sem modificaes, por uma empresa
brasileira. Isso acontece porque a legislao dos EUA diferente da legislao brasileira. Em sntese, as regras para
o sistema de Recursos humanos so diferentes. Alteraes nas regras do negcio so bastante freqentes, ainda mais
com as repetidas mudanas na legislao do nosso pas. Com isso, faz-se necessria a gerao de uma nova verso
do programa, cada vez que uma determinada regra de negcio muda, ou quando regras forem acrescentadas ou
retiradas. Desta forma, todos as estaes de trabalho que possuem a verso anterior, devem receber a nova verso,
para que o usurio possa ter acesso as alteraes. Agora temos mais um srio problema no modelo de 2 camadas:
Qualquer alterao nas regras do negcio (o que ocorre com freqncia), suficiente para gerar a necessidade de
atualizar a aplicao, em centenas ou milhares de computadores. O que j era complicado, piorou um pouco mais.
A outra camada, no modelo de 2 camadas, o Banco de dados, o qual fica armazenado no Servidor de banco de dados.
Por exemplo, um servidor com o Windows Server 2003 e com o SQL Server 2000, no qual esto os bancos de dados
utilizados pelos aplicativos Cliente/Servidor da empresa.
Com a evoluo do mercado e as alteraes da legislao, mudanas nas regras do negcio so bastante freqentes.
Com isso o modelo de duas camadas, demonstrou-se de difcil manuteno e gerenciamento, alm de apresentar um
TCO Total Cost Ownership (Custo Total de Propriedade) bastante elevado.
O TCO uma medida do custo total, anual, para manter uma estao de trabalho conectada a rede, e funcionando com
todos os programas que o usurio necessita, atualizados. Este custo leva em conta uma srie de fatores, tais como o
custo do Hardware, o custo das licenas de software, o custo do desenvolvimento de aplicaes na prpria empresa, o
custo das horas paradas em que o funcionrio no pode utilizar os sistemas por problemas na sua estao de trabalho
e assim por diante. Alguns clculos chegaram a apontar que o custo para manter um PC em rede, por ano, fica na casa
dos U$ 10.000 ( dlares mesmo).
Na prtica este custo mostrou-se impraticvel. Sempre que um determinado modelo apresenta problemas, aparentemente
intransponveis, a indstria de informtica parte para a criao de novos modelos. Em busca de solues para os problemas
do modelo de duas camadas, que surgiu a proposta do modelo de 3 camadas, conforme analisaremos a seguir.
Para que voc possa entender como a evoluo partiu do mundo baseado no Mainframe, para uma tentativa de um
mundo baseado completamente no modelo Cliente/Servidor e acabou por chegar a um modelo misto, vou detalhar o
modelo de aplicaes Web, baseado em 3 ou mais camadas.
Aplicaes em 3 camadas.
Como uma evoluo do modelo de 2 camadas, surge o modelo de trs camadas. A idia bsica do modelo de 3
camadas, retirar as Regras do Negcio, da aplicao Cliente e centraliz-las em um determinado ponto (as aplicaes
saram do Mainframe para as estaes de trabalho agora comeam a ser centralizadas novamente nos servidores da
rede), o qual chamado de Servidor de Aplicaes. O acesso ao banco de dados feito atravs das regras contidas no
Servidor de Aplicaes. Ao centralizar as Regras do Negcio em um nico ponto, fica muito mais fcil a atualizao
destas regras, as quais conforme descrito anteriormente, mudam constantemente. A Figura 1.7, nos d uma viso geral
do modelo em 3 camadas:
Figura 1.7 O Modelo de desenvolvimento em trs camadas.
Todo o acesso do cliente, aos dados do servidor de Banco de dados, feito de acordo com as regras contidas no
Servidor de Aplicaes. O cliente no tem acesso aos dados do servidor de Banco de dados, sem antes passar pelo
servidor de aplicaes. Com isso as trs camadas so as seguintes:
Apresentao: Continua a fazer parte do programa instalado no cliente. Alteraes na Interface do programa,
ainda iro gerar a necessidade de atualizar a aplicao em todos as estaes de trabalho da rede, onde a
aplicao estiver sendo utilizada. Porm cabe ressaltar, que alteraes na interface, so menos freqentes do
que alteraes nas regras do negcio.
Lgica: So as regras do negcio, as quais determinam de que maneira os dados sero utilizados e manipulados
pelas aplicaes. Esta camada foi deslocada para o Servidor de Aplicaes. Desta maneira, quando uma regra
do negcio for alterada, basta atualiz-la no Servidor de Aplicaes. Aps a atualizao, todos os usurios
passaro a ter acesso a nova verso, sem que seja necessrio reinstalar o programa cliente em cada um dos
computadores da rede. Vejam que ao centralizar as regras do negcio em um Servidor de Aplicaes, estamos
facilitando a tarefa de manter a aplicao atualizada. As coisas esto comeando a melhorar.
Dados: Nesta camada temos o servidor de banco de dados, no qual reside toda a informao necessria para o
funcionamento da aplicao. Cabe reforar, que os dados somente so acessados atravs do Servidor de
Aplicao, e no diretamente pela aplicao cliente. Esta uma caracterstica muito importante do modelo em
3 camadas, ou seja, a aplicao nunca faz acesso direto aos dados. Todo acesso aos dados feito atravs do
servidor de aplicaes, onde esto as regras do negcio.
Com a introduo da camada de Lgica, resolvemos o problema de termos que atualizar a aplicao, em centenas ou
milhares de estaes de trabalho, toda vez que uma regra do negcio for alterada. Porm continuamos com o problema
de atualizao da interface da aplicao, cada vez que sejam necessrias mudanas na Interface. Por isso que surgiram
os modelos de n-camadas.
No prximo tpico, vou falar um pouco sobre o modelo de 4 camadas.
Aplicaes em quatro camadas.
Como uma evoluo do modelo de trs camadas, surge o modelo de quatro camadas. A idia bsica do modelo de 4
camadas, retirar a apresentao do cliente e centraliz-las em um determinado ponto (agora est ainda mais parecido
com a poca do Mainframe, onde a aplicao ficava residente no mainframe e era acessada via terminal burro), o qual
na maioria dos casos um servidor Web. Com isso o prprio Cliente deixa de existir como um programa que precisa
ser instalado em cada computador da rede. O acesso a aplicao, feito atravs de um Navegador, como por exemplo,
o Internet Explorer ou o Netscape Navigator. A Figura 1.8, nos d uma viso geral do modelo em quatro camadas:
Figura 1.8 O Modelo de desenvolvimento em quatro camadas.
Para acessar a aplicao, o cliente acessa o endereo da aplicao, utilizando o seu navegador, como no exemplo a seguir:
http://intranet.minhaempresa.com/sistemas/vendas.aspx.
Todo o acesso do cliente ao Banco de dados, feito de acordo com as regras contidas no Servidor de aplicaes.
O cliente no tem acesso ao Banco de dados, sem antes passar pelo servidor de aplicaes. Com isso temos as
seguintes camadas:
Cliente: Nesta caso o Cliente o Navegador utilizado pelo usurio, quer seja o Internet Explorer, quer seja o
Netscape Navigator, ou outro navegador qualquer.
Apresentao: Passa a ser disponibilizada pelo Servidor Web. A interface pode ser composta de pginas HTML,
ASP, PHP, Flash ou qualquer outra tecnologia capaz de gerar contedo para o navegador. Com isso alteraes na
interface da aplicao, so feitas diretamente no servidor Web, sendo que estas alteraes estaro, automaticamente,
disponveis para todos os Clientes (parece ou no parece Mainframe, com o Navegador fazendo o papel do
terminal de acesso?). Com este modelo no existe a necessidade de reinstalar a aplicao em todos os computadores
da rede. Fica muito mais fcil garantir que todos esto tendo acesso a verso mais atualizada da aplicao. A
nica coisa que o cliente precisa ter instalado na sua mquina, o navegador. Com isso os custos de manuteno
e atualizao de aplicaes fica bastante reduzido, ou seja, baixa o TCO Total Cost Ownership.
Lgica: So as regras do negcio, as quais determinam de que maneira os dados sero utilizados. Esta camada
est no Servidor de Aplicaes. Desta maneira, quando uma regra do negcio for alterada, basta atualiz-la no
Servidor de Aplicaes. Aps a atualizao, todos os usurios passaro a ter acesso a nova verso, sem que
seja necessrio reinstalar o programa em cada estao de trabalho da rede. Vejam que ao centralizar as regras
do negcio em um Servidor de Aplicaes, estamos facilitando a tarefa de manter a aplicao atualizada.
Dados: Nesta camada temos o servidor de banco de dados, no qual reside toda a informao necessria para o
funcionamento da aplicao.
Com o deslocamento da camada de apresentao para um Servidor Web, resolvemos o problema de termos que
atualizar a aplicao, em centenas ou milhares de computadores, cada vez que uma a interface precisar de alteraes.
Neste ponto a atualizao das aplicaes uma tarefa mais gerencivel, muito diferente do que acontecia no caso do
modelo em 2 camadas.
Os servidores de Aplicao, Web e banco de dados, no precisam, necessariamente ser servidores separados, isto ,
uma mquina para fazer o papel de cada um dos servidores. O conceito de servidor de Aplicao, servidor Web ou
servidor de Banco de dados, um conceito relacionado com a funo que o servidor desempenha. Podemos ter, em um
mesmo equipamento, um Servidor de aplicaes, um servidor Web e um servidor de banco de dados. Claro que
questes de desempenho devem ser levadas em considerao.
Tambm podemos ter a funcionalidade do Servidor de Aplicaes distribuda atravs de vrios servidores, com cada
servidor tendo alguns componentes que formam parte das funcionalidades da aplicao. Este modelo onde temos
componentes em diversos equipamentos, conhecido como Modelo de Aplicaes Distribudas. Tambm podemos
colocar os componentes em mais do que um servidor para obter um melhor desempenho, ou redundncia, no caso de
um servidor falhar.
O Jlio ficou louco ou estamos voltando ao Mainframe?
Amigo leitor, nem uma, nem outra. Voc deve estar utilizando os seguintes passos de raciocnio, baseado no texto que
acabou de ler:
1. Na poca do Mainframe os aplicativos e os dados ficavam no Mainframe. O acesso era feito atravs de terminais,
conhecidos como terminais burros. A administrao era feita centralizadamente, o que facilitava a atualizao e
manuteno das aplicaes.
2. No modelo Cliente/Servidor clssico a aplicao e a lgica ficava no programa instalado na estao de trabalho
cliente e os dados no servidor de banco de dados. Isso gera dificuldades para atualizao das aplicaes e um
elevado custo para manter este modelo funcionando.
3. A nova tendncia portar as aplicaes para um modelo de n camadas, onde as aplicaes, a lgica e os dados
ficam em servidores (de aplicaes, Web e de banco de dados) e o acesso feito atravs de um Navegador.
4. Puxa, mas o modelo em n camadas praticamente o mesmo modelo do Mainframe, com aplicaes e dados no
servidor, administrao centralizada e reduo no custo de propriedade (TCO) em relao ao modelo Cliente/Servidor
tradicional? isso mesmo, este modelo muito prximo do modelo do Mainframe, porm com todas as vantagens da
evoluo da informtica nestas ltimas dcadas, tais como interfaces grficas, programas mais poderosos e por a vai.
Na prtica, o que est em uso nas empresas um modelo misto, onde algumas aplicaes rodam no PC do usurio e
outras so acessadas atravs da rede, mas rodam nos servidores da rede da empresa. O que se busca o melhor dos
dois mundos, ou seja os recursos sofisticados e aplicaes potentes com interfaces ricas do modelo Cliente/Servidor,
com a facilidade e baixo custo do modelo Centralizado da poca do Mainframe.
Posso citar o exemplo de um dos bancos com os quais trabalho. Quando vou ao banco renovar um seguro ou tratar
algum assunto diretamente com o gerente, vejo que ele tem na sua estao de trabalho, aplicativos de produo do dia-
a-dia, tais como o Microsoft Word, Microsoft Excel, um aplicativo de clculos e anlise de crdito e assim por diante.
Este mesmo gerente utiliza o site da empresa para fornecer informaes. Ele tambm utiliza a Intranet da empresa
para se manter atualizado. Alm disso ele utiliza alguns sistemas que ainda residem no bom e velho mainframe. Por
exemplo, quando eu peo que ele faa uma alterao no meu endereo de correspondncia, ela acessa a famosa telinha
verde, de um programa emulador de terminal, que acessa uma aplicao que est no Mainframe da empresa.
Este caminho me parece muito mais sensato, ou seja, no precisa ser um ou outro modelo, mas sim o melhor dos dois mundos.
Agora que voc j sabe sobre os modelos de redes e de desenvolvimento de aplicaes utilizados nas empresas, hora
de falar sobre o papel do Windows Server 2003 nestas redes.
Papel do Windows Server 2003 na rede da sua empresa
Onde entra o Windows Server 2003 neste histria?
O Windows Server 2003 foi projetado para ser o sistema operacional dos servidores da rede da empresa. Como
sistema operacional para servidor, ele capaz de ser configurado para desempenhar diferentes tipos de funes, desde
um simples servidor de arquivos e de impresso, at um sofisticado servidor de acesso remoto, com Firewall de
proteo contra ataques vindos da Internet. O que define o papel que um servidor baseado no Windows Server 2003
ir desempenhar , basicamente, a configurao e os servios instalados e configurados no servidor.
A seguir descrevo os principais papis que um servidor com o Windows Server 2003 pode desempenhar na rede da empresa:
Controlador de domnio: Conhecido resumidamente como DC Domain Controler, um servidor onde est
instalado o Active Directory. Nos DCs fica uma cpia do banco de dados com diversas informaes da rede,
tais como nomes de usurios, senhas, nomes de grupos, lista de membros de cada grupos, contas de
computadores, polticas de segurana e assim por diante. Nos prximos captulos voc estudar, em detalhes,
sobre Domnios e o Active Directory.
Servidor de arquivos e impresso: Esta um dos usos mais comuns para um servidor de rede. Os arquivos ficam
gravados em pastas compartilhadas no servidor e podem ser acessados por qualquer computador da rede, desde
que o usurio tenha as devidas permisses de acesso. O mesmo vlido em relao as impressoras. Posso ter, por
exemplo, uma impressora laser colorida, de alto desempenho e qualidade, instalada e compartilhada em um
servidor.
Servidor DNS, WINS e DHCP: O DNS e o WINS so servios para resoluo de nomes em uma rede. O DNS
que faz a traduo de um endereo como por exemplo www.juliobattisti.com.br, para o respectivo endereo
IP. O WINS utilizado por questes de compatibilidades com as verses do Windows mais antigas, tais como
Windows 95, 98 ou Me. O servio DHCP utilizado para fazer a configurao automtica do protocolo TCP/
IP nas estaes de trabalho da rede. No Captulo 16, do meu livro: Windows Server 2003 Curso Completo,
1568 pginas, voc aprende a instalar, configurar e a administrar os servios DNS, WINS e DHCP.
Servidor Web: Com o IIS 6.0 o Windows Server 2003 pode atuar como um poderoso servidor Web,
disponibilizando servios de hospedagem de pginas (http), cpia de arquivos (ftp) e hospedagem de aplicaes
baseadas em tecnologias como ASP ou tecnologias mais atuais, como Web Services e ASP.NET. Voc pode
utilizar o Windows Server 2003 e o IIS 6.0 para criar um servidor Web para a Intranet da empresa ou para
suportar o site da empresa na Internet. Com o Windows Server 2003 Data Center Edition e a tecnologia de
Cluster, voc pode utilizar o Windows Server 2003 para criar sites que suportam elevado nmero de acessos e
grande nmero de usurios simultaneamente. Como exemplo basta citar o site da Microsoft
(www.microsoft.com), um dos mais visitados do mundo, o qual grande parte baseado no Windows Server
2003 (algumas reas, no momento em que escrevo este livro, ainda esto baseadas no Windows 2000 Server).
Servidor de banco de dados: Neste caso temos um servidor com o Windows Server 2003 e o SQL Server 2000
instalados. O SQL Server 2000 o servidor de banco de dados relacionais da Microsoft. Oferece funcionalidades
avanadas como replicao de dados, stored procedures, acesso a diferentes fontes de dados, mltiplas instncias
em um nico servidor, mecanismo de segurana refinado e integrado com o Windows Server 2003, transaes
distribudas, etc. Podemos acessar os dados de um servidor SQL Server 2000, no formato XML, utilizando um
navegador, atravs do protocolo HTTP. O SQL Server 2000 projetado para ser instalado no Windows Server
2003, Windows 2000 Server ou NT Server 4.0.
Para maiores informaes sobre o SQL Server 2000, consulte as seguintes fontes:
http://www.microsoft.com/sql
Livro: SQL Server 2000 Administrao e Desenvolvimento: Curso Completo, de minha autoria, publicado
pela editora Axcel Books (www.axcel.com.br).
Servidor de e-mail: Neste caso alm do Windows Server 2003 deve ser instalado o Exchange Server 2000. O
Exchange Server 2000 um servidor de mensagens e correio eletrnico, alm de uma plataforma para
desenvolvimento de aplicaes do Workflow. Cada vez mais o Exchange vem ganhando mercado de concorrentes
como o Lotus Notes da IBM e o Novel Groupwise da Novel. O Exchange 2000 completamente integrado
com o Active Directory do Windows 2000 Server ou Windows Server 2003, o que facilita a criao e manuteno
de contas de usurios. O suporte ao padro de dados XML tambm foi introduzido nesta verso do Exchange.
Maiores informaes sobre Exchange podem ser encontradas nos seguintes endereos:
http://www.microsoft.com/exchange
http://www.swynk.com
Servidor de comunicao e acesso remoto: O Windows Server 2003 oferece o servio RRAS Routing and
Remote Access Service, o qual permite que o Windows Server 2003 atue como um servidor de acesso remoto,
para o qual usurios com notebooks ou outros dispositivos, equipados com modem, podem discar e se conectar
rede da empresa, tendo acesso aos recursos da rede, como se estivessem conectados localmente.
A seguir descrevo outros produtos da Microsoft que podem ser instalados em um servidor baseado no Windows
Server 2003 e que fazem com que o servidor assuma diferentes papis e funes na rede da empresa:
BizTalk Server 2000: Este talvez seja um dos produtos da Microsoft, menos conhecidos. Porm considero um
produto fundamental, principalmente para os profissionais que esto envolvidos em um projeto para a consolidao
das aplicaes da empresa. Com a consolidao do comrcio eletrnico, principalmente do chamado B2B Busi-
ness to Business, que o comrcio entre empresas, cada vez faz-se mais necessria a integrao entre sistemas de
informao de diferentes empresas. Um dos maiores problemas que estes diferentes sistemas de informao
utilizam diferentes formatos de dados (a repetio da palavra diferentes proposital, para enfatizar o conceito que
est sendo exposto). Durante muito tempo, uma das solues adotadas foi o EDI Exchange Data Interchange.
Porm o EDI apresenta algumas limitaes, alm de um custo elevado. Com o advento da Internet e do padro
XML, a troca de informaes entre empresas tem migrado para solues onde o XML o formato universalmente
aceito, o que facilita a troca de informaes. O Biztalk Server 2000 a soluo da Microsoft que facilita a criao,desde
o modelo conceitual at a implementao, de aplicaes baseadas em XML, para troca de informaes entre diferentes
empresas ou entre diferentes sistemas dentro da mesma empresa. Maiores informaes e uma verso de avaliao
para download podem ser encontradas no seguinte endereo:
http://www.microsoft.com/biztalk
Commerce Server 2000: O Commerce Server trabalha em conjunto com o IIS. Na verdade o Commerce Server
facilita a criao e o gerenciamento de uma site para comrcio eletrnico, quer seja B2C Business to Consumer,
quer seja B2B Business to Business. Atravs de uma srie de modelos prontos e atravs da utilizao de assistentes,
podemos rapidamente criar um site para comrcio eletrnico. Aps a criao, possvel personalizar o site de
acordo com as necessidades da empresa. Pode trabalhar integrado com os demais servidores.NET. Por exemplo,
voc pode utilizar o SQL Server 2000 para armazenar informaes sobre o catlogo de produtos, preos e estoque.
Maiores informaes e uma verso de avaliao para download podem ser encontradas no seguinte endereo:
http://www.microsoft.com/commerceserver
Application Center 2000: O Application Center 2000 a ferramenta da Microsoft para a implementao e
gerenciamento de Web sites que devero suportar uma elevada carga de acesso, com um grande nmero de
acessos simultneos. Tambm oferece ferramentas para a distribuio de um site entre diversos servidores,
com o objetivo de distribuir a carga entre diversos equipamentos. Com o uso do Application Center fica mais
fcil realizar tarefas como por exemplo manter sincronizado o contedo dos diversos servidores, bem como
fazer o gerenciamento e a distribuio de cargas.
Host Integration Server 2000: Esta a nova verso do antigo SNA Server da Microsoft, s que com o nome
alterado. O Host Integration Server possibilita a integrao de redes Windows com outros ambientes, como
por exemplo, Mainframes baseados na arquitetura SNA da IBM. Esta mais uma ferramenta que comprova
que hoje as empresas procuram utilizar o melhor dos dois mundos (Mainframe e Cliente/Servidor), integrando
as aplicaes Cliente/Servidor com as aplicaes no Mainframe. Maiores informaes e uma verso de avaliao
para download podem ser encontradas no seguinte endereo:
http://www.microsoft.com/hiserver
Internet Security and Acceleration Server 2000: De certa maneira o successor do Proxy Server 2.0 da Microsoft,
com algumas melhorias. utilizado para conectar a rede local da empresa, de uma maneira segura, Internet,
funcionando como um Firewall de proteo. Suas funes bsicas so as seguintes:
Firewall
Cache de pginas
http://www.microsoft.com/isaserver
Mobile Information 2001 Server: O Framework.NET (que faz parte do Windows Server 2003) no foi concebido
apenas para o desenvolvimento de aplicaes que sero acessadas atravs de PCs ligados em rede ou
computadores tradicionais. Com o Framework.NET, a Microsoft pretende fornecer uma slida plataforma de
desenvolvimento, tambm para os diversos dispositivos mveis existentes, tais como telefones celulares,
assistentes pessoais, Palm Pilots, etc. Dentro desta estratgia, o Mobile Information 2001 Server desempenha
um papel fundamental, fornecendo suporte ao protocolo WAP 1.1. Usando o Mobile Information 2001 Server
possvel, por exemplo, fazer com que as suas mensagens do Exchange sejam convertidas para o formato que
possam ser lidas por um celular ou qualquer outro dispositivo habilitado ao protocolo WAP
http://www.microsoft.com/servers/miserver/default.htm
O Protocolo TCP/IP
Neste captulo voc j aprendeu sobre redes, sobre o modelo Baseado no Mainframe, a evoluo em direo ao
Cliente/Servidor e os modernos modelos baseados em aplicaes de 3 ou mais camadas. Neste item vou apresentar os
princpios bsicos do protocolo TCP/IP. Os conhecimentos deste item sero importantes (e necessrios) em diversos
captulos deste livro e tambm para a resoluo de questes bsicas de rede, para o Exame 70-290.
Uma viso geral do protocolo TCP/IP
Vou iniciar fazendo uma apresentao do protocolo TCP/IP, de tal maneira que o leitor possa entender exatamente o
que o TCP/IP e como configurada uma rede baseada neste protocolo. Nos demais tpicos deste item, abordarei os
seguintes tpicos:
O Sistema Binrio de Numerao.
Converso de Binrio para Decimal.
Endereos IP e Mscara de sub-rede.
Classes de redes e Endereamento no protocolo IP
Aspectos bsicos de Roteamento.
Para que os computadores de uma rede possam trocar informaes necessrio que todos adotem as mesmas regras
para o envio e o recebimento de informaes. Este conjunto de regras conhecido como Protocolo de comunicao.
Falando de outra maneira podemos afirmar:
Para que os computadores de uma rede possam trocar informaes
entre si necessrio que todos estejam utilizando o mesmo protocolo.
No protocolo de comunicao esto definidas todas as regras necessrias para que o computador de destino, entenda
as informaes no formato que foram enviadas pelo computador de origem. Dois computadores com protocolos
diferentes instalados, no sero capazes de estabelecer uma comunicao e trocar informaes.
Antes da popularizao da Internet existiam diferentes protocolos sendo utilizados nas redes das empresas. Os mais
utilizados eram os seguintes:
TCP/IP
NETBEUI
IPX/SPX
Apple Talk
Se colocarmos dois computadores ligados em rede, um com um protocolo, por exemplo o TCP/IP e o outro com um
protocolo diferente, por exemplo NETBEUI, estes dois computadores no sero capazes de estabelecer comunicao
e trocar informaes. Por exemplo, o computador com o protocolo NETBEUI instalado, no ser capaz de acessar
uma pasta ou uma Impressora compartilhada no computador com o protocolo TCP/IP instalado.
medida que a Internet comeou, a cada dia, tornar-se mais popular, com o aumento
exponencial do nmero de usurios e de servidores ligados em rede, o protocolo
TCP/IP passou a tornar-se um padro de fato, utilizado no s na Internet, como
tambm nas redes internas das empresas, redes estas que comeavam a ser conectadas
Internet. Como as redes internas precisavam conectar-se Internet, tinham que
usar o mesmo protocolo da Internet, ou seja: TCP/IP.
Dos principais Sistemas Operacionais do mercado, o UNIX sempre utilizou o
protocolo TCP/IP como padro. O Windows d suporte ao protocolo TCP/IP desde
as primeiras verses, porm o TCP/IP somente tornou-se o protocolo padro a partir
do Windows 2000. No Windows Server 2003 o TCP/IP instalado automaticamente
e no pode ser desinstalado (esta uma das novidades do Windows Server 2003).
Ser o protocolo padro significa que o TCP/IP ser instalado durante a instalao
do Sistema Operacional, a no ser que um protocolo diferente seja selecionado. At
NOTA: Para pequenas redes, no
conectadas Internet, recomendada
a adoo do protocolo NETBEUI, devido
a sua simplicidade de configurao e
facilidade de administrao. Porm esta
uma situao muito rara, pois
dificilmente teremos uma rede isolada,
sem conexo com a Internet ou com
parceiros de negcios, como clientes e
fornecedores.
mesmo o Sistema Operacional Novell, que sempre foi baseado no IPX/SPX como protocolo padro, passou a adotar o
TCP/IP como padro a partir da verso 5.0.
O que temos hoje, na prtica, a utilizao do protocolo TCP/IP na esmagadora maioria das redes. Sendo a sua adoo
cada vez maior. Como no poderia deixar de ser, o TCP/IP o protocolo padro do Windows 2000, do Windows XP
e tambm do Windows Server 2003.
Agora passaremos a estudar algumas caractersticas do protocolo TCP/IP. Veremos que cada equipamento que faz
parte de uma rede baseada no TCP/IP tem alguns parmetros de configurao que devem ser definidos, para que o
equipamento possa comunicar-se com sucesso na rede e trocar informaes com os demais equipamentos da rede.
Configuraes do protocolo TCP/IP para um computador em rede
Quando utilizamos o protocolo TCP/IP como protocolo de comunicao em uma rede de computadores, temos alguns
parmetros que devem ser configurados em todos os equipamentos (computadores, servidores, hubs, switchs,
impressoras de rede, etc) que fazem parte da rede. Na Figura 1.9 temos uma viso geral de uma pequena rede baseada
no protocolo TCP/IP:
Figura 1.9 Uma rede baseada no protocolo TCP/IP.
No exemplo da Figura 1.9 temos uma rede local para uma pequena empresa. Esta rede local no est conectada a
outras redes ou Internet. Neste caso cada computador da rede precisa de, pelo menos, dois parmetros do protocolo
TCP/IP, configurados:
Nmero IP
Mscara de sub-rede.
O Nmero IP um nmero no seguinte formato:
x.y.z.w
NOTA: Voc entender o porqu
deste valor mximo, mais adiante
quando for explicado o sistema de
numerao binrio.
ou seja, so quatro nmeros separados por ponto. No podem existir duas
mquinas, com o mesmo nmero IP, dentro da mesma rede. Caso voc
configure, por engano, um novo equipamento com o mesmo nmero IP de
uma mquina j existente, ser gerado um conflito de Nmero IP e um dos
equipamentos, muito provavelmente o novo equipamento que est sendo
configurado, no conseguir se comunicar com a rede. O valor mximo para
cada um dos nmeros (x, y, z ou w) 255.
Uma parte do Nmero IP (1, 2 ou 3 dos 4 nmeros) a identificao da rede, a outra parte a identificao da
mquina dentro da rede. O que define quantos dos quatro nmeros fazem parte da identificao da rede e quantos
fazem parte da identificao da mquina a mscara de sub-rede (subnet mask). Vamos considerar o exemplo de um
dos computadores da rede da Figura 2.6:
Nmero IP: 10.200.150.1
Subrede: 255.255.255.0
As trs primeiras partes da mscara de sub-rede (subnet) iguais a 255 indicam que os trs primeiros nmeros representam
a identificao da rede e o ltimo nmero a identificao do equipamento dentro da rede. Para o nosso exemplo
teramos a rede: 10.200.150, ou seja, todos os equipamentos do nosso exemplo fazem parte da rede 10.200.150 ou, em
outras palavras, o nmero IP de todos os equipamentos da rede comeam com 10.200.150.
Neste exemplo, onde estou utilizando os trs primeiros nmeros para identificar a rede e somente o quarto nmero
para identificar o equipamento, temos um limite de 254 equipamentos que podem ser ligados neste rede. Observe que
so 254 e no 256, pois o primeiro nmero 10.200.150.0 e o ltimo 10.200.250.255 no podem ser utilizados como
nmeros IP de equipamentos da rede. O primeiro o prprio nmero da rede: 10.200.150.0 e o ltimo o endereo de
Broadcast: 10.200.150.255. Ao enviar uma mensagem para o endereo de Broadcast, todas as mquinas da rede
recebero a mensagem.
Com base no exposto possvel apresentar a seguinte definio:
Para se comunicar em uma rede baseada no protocolo TCP/IP, todo equipamento deve ter, pelo menos, um nmero IP
e uma mscara de sub-rede, sendo que todos os equipamentos da rede devem ter a mesma mscara de sub-rede.
No exemplo da figura 1.9 observe que o computador com o IP 10.200.150.7 est com uma mscara de sub-rede
diferente dos demais: 255.255.0.0. Neste caso como se o computador com o IP 10.200.150.7 pertencesse a outra
rede. Na prtica o que ir acontecer que este computador no conseguir se comunicar com os demais computadores
da rede, por ter uma mscara de sub-rede diferente dos demais. Este um dos erros de configurao mais comuns. Se
a mscara de sub-rede estiver incorreta, ou seja, diferente da mscara dos demais computadores da rede, o computador
com a mscara de sub-rede incorreta no conseguir comunicar-se na rede.
Na Tabela 1.3, a seguir temos alguns exemplos de mscaras de sub-rede e do nmero mximo de equipamentos em
cada uma das respectivas redes.
Tabela 1.3 Exemplos de mscara de sub-rede.
Quando a rede est isolada, ou seja, no est conectada Internet ou a outras redes externas, atravs de links de
comunicao de dados, apenas o nmero IP e a mscara de sub-rede so suficientes para que os computadores possam
se comunicar e trocar informaes.
A conexo da rede local com outras redes feita atravs de linhas de comunicao de dados. Para que essa comunicao
seja possvel necessrio um equipamento capaz de enviar informaes para outras redes e receber informaes
destas redes. O equipamento utilizado para este fim o Roteador. Todo pacote de informaes que deve ser enviado
para outras redes deve, obrigatoriamente, passar pelo Roteador. Todo pacote de informao que vem de outras redes
tambm deve, obrigatoriamente, passar pelo Roteador. Como o Roteador um equipamento de rede, este tambm ter
um nmero IP. O nmero IP do roteador deve ser informado em todos os demais equipamentos que fazem parte da
rede, para que estes equipamentos possam se comunicar com os redes externas. O nmero IP do Roteador informado
no parmetro conhecido como Default Gateway (Gateway Padro). Na prtica quando configuramos o parmetro
Default Gateway, estamos informando o nmero IP do Roteador.
Quando um computador da rede tenta se comunicar com outros computadores/servidores, o protocolo TCP/IP faz
alguns clculos utilizando o nmero IP do computador de origem, a mscara de sub-rede e o nmero IP do computador
de destino (veremos estes clculos em detalhes, mais adiante neste captulo). Se, aps feitas as contas, for concludo
que os dois computadores fazem parte da mesma rede, os pacotes de informao so enviados para o barramento da
rede local e o computador de destino captura e processa as informaes que lhe foram enviadas. Se, aps feitas as
contas, for concludo que o computador de origem e o computador de destino, fazem parte de redes diferentes, os
pacotes de informao so enviados para o Roteador (nmero IP configurado como Default Gateway) e o Roteador
o responsvel por achar o caminho (a rota) para a rede de destino.
Com isso, para equipamentos que fazem parte de uma rede, baseada no protocolo TCP/IP e conectada a outras redes
ou a Internet, devemos configurar, no mnimo, os seguintes parmetros:
Nmero IP
Mscara de sub-rede
Default Gateway
Em redes empresarias existem outros parmetros que precisam ser configurados. Um dos parmetros que deve ser
informado o nmero IP de um ou mais servidores DNS Domain Name System. O DNS o servio responsvel
pela resoluo de nomes. Toda a comunicao, em redes baseadas no protocolo TCP/IP feita atravs do nmero IP.
Por exemplo, quando vamos acessar um site: http://www.juliobattisti.com.br/, tem que haver uma maneira de encontrar
Mscara Nmero de equipamentos na rede
255.255.255.0 254
255.255.0.0 65.534
255.0.0.0 16.777.214
o nmero IP do servidor onde fica hospedado o site. O servio que localiza o
nmero IP associado a um nome o DNS. Por isso a necessidade de informarmos
o nmero IP de pelo menos um servidor DNS, pois sem este servio de resoluo
de nomes, muitos recursos da rede estaro indisponveis.
Existem aplicativos antigos que so baseados em um outro servio de resoluo
de nomes conhecido como WINS Windows Internet Name System. O Windows
NT Server 4.0 utilizava intensamente o servio WINS para a resoluo de nomes.
A partir do Windows 2000 Server, o servio utilizado o DNS, porm podem
existir aplicaes que ainda dependam do WINS. Nestes casos voc ter que instalar
e configurar um servidor WINS na sua rede e configurar o IP deste servidor em
todos os equipamentos da rede. No Windows Server 2003 o DNS tambm o
servio padro para a resoluo de nomes.
As configuraes do protocolo TCP/IP podem ser definidas manualmente, isto ,
configurando cada um dos equipamentos necessrios. Esta uma soluo razovel
para pequenas redes, porm pode ser um problema para redes maiores, com um grande
nmero de equipamentos conectados. Para redes maiores recomendado o uso do
servio DHCP Dynamic Host Configuration Protocol. O servio DHCP pode ser
instalado em um servidor com o Windows NT Server 4.0, Windows 2000 Server ou
Windows Server 2003. Uma vez disponvel e configurado, o servio DHCP fornece
todos os parmetros de configurao do protocolo TCP/IP para os equipamentos
conectados rede. Os parmetros so fornecidos quando o equipamento inicializado
e podem ser renovados em perodos definidos pelo Administrador. Com o uso do
DHCP uma srie de procedimentos de configurao podem ser automatizados, o que
facilita a vida do Administrador e elimina uma srie de erros.
NOTA: No Captulo 16 do livro:
Windows Server 2003 Curso
Completo, 1568 pginas, voc
aprende a instalar, configurar e
administrar o DNS.
NOTA: No Captulo 16 do livro:
Completo, 1568 pginas, voc
aprende a instalar, configurar e
administrar o DHCP.
O uso do DHCP tambm muito vantajoso quando so necessrias alteraes no nmero IP dos servidores DNS ou
WINS. Vamos imaginar uma rede com 1000 computadores e que no utiliza o DHCP, ou seja, os diversos parmetros
do protocolo TCP/IP so configurados manualmente em cada computador. Agora vamos imaginar que o nmero IP do
servidor DNS foi alterado. Neste caso o Administrador e a sua equipe tcnica tero que fazer a alterao do nmero IP
do servidor DNS em todas as estaes de trabalho da rede. Um servio e tanto. Se esta mesma rede estiver utilizando
o servio DHCP, bastar alterar o nmero do servidor DNS, nas configuraes do servidor DHCP. O novo nmero
ser fornecido para todas as estaes da rede, na prxima vez que a estao for reinicializada. Muito mais simples e
prtico e, principalmente, com menor probabilidade de erros.
Voc pode verificar, facilmente, as configuraes do protocolo TCP/IP que esto definidas para o seu computador
(Windows 2000, Windows XP ou Windows Server 2003). Para isso siga os seguintes passos:
1. Faa o logon.
2. Abra o Prompt de comando: Iniciar -> Todos os Programas -> Acessrios -> Prompt de comando.
3. Na janela do Prompt de comando digite o seguinte comando:
ipconfig/all
e pressione Enter
4. Sero exibidas as diversas configuraes do protocolo TCP/IP, conforme indicado a seguir, no exemplo obtido a
partir de um dos meus computadores da rede que eu utilizo em casa:
Configurao de IP do Windows
Nome do host...........: servidor01 Sufixo DNS primrio........: groza.com Tipo
de n............: hbrido Roteamento de IP ativado.....: no Proxy WINS
ativado........: no Lista de pesquisa de sufixo DNS..: groza.com
Adaptador Ethernet Conexo local:
Sufixo DNS especfico de conexo .: Descrio.............: Realtek RTL8139
Family PCI Fast Ethernet NIC Endereo fsico..........: 00-E0-7D-9F-6B-7C
DHCP ativado............: No Endereo IP............: 10.204.123.2
Mscara de sub-rede........: 255.255.255.0 Gateway padro...........:
10.204.123.100
Servidores DNS...........: 10.204.123.1 10.204.123.3 Servidor WINS
primrio.......: 10.204.123.1
O comando ipconfig exibe informaes para as diversas interfaces de rede instaladas placa de rede, modem, etc. No
exemplo anterior temos uma nica interface de rede instalada, a qual relacionada com uma placa de rede Realtek
RTL8139 Family PCI Fast Ethernet NIC. Observe que temos o nmero IP para dois servidores DNS e para um
servidor WINS. Outra informao importante o Endereo fsico, mais conhecido como MAC-Address ou endereo
da placa. O MAC-Address um nmero que identifica a placa de rede. Os seis primeiros nmeros/letras so uma
identificao do fabricante e os seis ltimos uma identificao da placa. No existem duas placas com o mesmo
MAC-Address, ou seja, este endereo nico para cada placa de rede.
No exemplo da listagem a seguir, temos um computador com duas interfaces de rede. Uma das interfaces ligada a placa de
rede (Realtek RTL8029(AS) PCI Ethernet Adapter), a qual conecta o computador a rede local. A outra interface ligada ao
fax-modem (WAN (PPP/SLIP) Interface), o qual conecta o computador Internet. Para o protocolo TCP/IP a conexo via
Fax modem aparece como se fosse mais uma interface de rede, conforme pode ser conferido na listagem a seguir:
Nome do host...........: servidor
Sufixo DNS primrio........: groza.com
Tipo de n............: Hbrida
Roteamento de IP ativado.....: No
Proxy WINS ativado........: No
Lista de pesquisa de sufixo DNS..: groza.com
Ethernet adaptador Conexo de rede local:
Sufixo DNS especfico de conexo.: groza.com
Descrio.............: Realtek RTL8029(AS) PCI Ethernet Adapter
Endereo fsico..........:00-00-21-CE-01-11
DHCP ativado...........: No
Endereo IP............: 10.204.123.1
Mscara de sub-rede........: 255.255.255.0
Gateway padro..........:
Servidores DNS..........: 10.204.123.1
Servidor WINS primrio......: 10.204.123.1
PPP adaptador TERRAPREMIUM:
Sufixo DNS especfico de conexo. :
Descrio.............: WAN (PPP/SLIP) Interface
Endereo fsico..........:00-53-45-00-00-00
DHCP ativado...........: No
Endereo IP............: 200.176.166.146
Gateway padro..........: 200.176.166.146
Servidores DNS..........: 200.176.2.10
200.177.250.10
NetBIOS por Tcpip.........: Desativado
Bem, estes so os aspectos bsicos do TCP/IP. Nos endereos a seguir, voc encontra tutoriais, em portugus, onde
voc poder aprofundar os seus estudos sobre o protocolo TCP/IP:
http://www.juliobattisti.com.br/tcpip.asp
http://www.guiadohardware.info/tutoriais/enderecamento_ip/index.asp
http://www.guiadohardware.info/curso/redes_guia_completo/22.asp
http://www.aprendaemcasa.com.br/tcpip1.htm
http://www.aprendaemcasa.com.br/tcpip2.htm (estes endereos vo at o tcpip46.htm, sendo um
curso gratuito OnLine sobre TCP/IP no Windows 2000).
http://www.vanquish.com.br/site/020608
http://unsekurity.virtualave.net/texto1/texto_tcpip_basico.txt
http://unsekurity.virtualave.net/texto1/tcpipI.txt
http://www.rota67.hpg.ig.com.br/tutorial/protocolos/amfhp_tcpip_basico001.htm
http://www.rota67.hpg.ig.com.br/tutorial/protocolos/amfhp_tcpip_av001.htm
http://www.geocities.com/ResearchTriangle/Thinktank/4203/doc/tcpip.zip
A seguir coloco um exemplo de questo tpica, envolvendo os conhecimentos bsicos do protocolo TCP/IP, que cai em
exames de Certificao da Microsoft e de outros fabricantes:
Questo de exemplo para os exames de Certificao:
Questo: A seguir esto as configuraes bsicos do TCP/IP de trs estaes de trabalho: micro01, micro02 e micro03.
Configuraes do micro01:
Nmero IP: 100.100.100.3
Mscara de sub-rede: 255.255.255.0
Gateway: 100.100.100.1
Nmero IP: 100.100.100.4
Gateway: 100.100.100.1
Nmero IP: 100.100.100.5
Gateway: 100.100.100.2
O micro 02 no est conseguindo comunicar com os demais computadores da rede. J o micro03 consegue comunicar-
se na rede local, porm no consegue se comunicar com nenhum recurso de outras redes, como por exemplo a Internet.
Quais alteraes voc deve fazer para que todos os computadores possam se comunicar normalmente, tanto na rede
local quanto com as redes externas?
a) Altere a mscara de sub-rede do micro02 para 255.255.255.0
Altere o Gateway do micro03 para 100.100.100.1
b) Altere a mscara de sub-rede do micro01 para 255.255.240.0
Altere a mscara de sub-rede do micro03 para 255.255.240.0
c) Altere o Gateway do micro01 para 100.100.100.2
Altere o Gateway do micro02 para 100.100.100.2
d) Altere o Gateway do micro03 para 100.100.100.1
e) Altere a mscara de sub-rede do micro02 para 255.255.255.0
Resposta certa: a
Comentrios: Pelo enunciado o computador micro02 no consegue comunicar com nenhum outro computador
da rede. Este um sintoma tpico de problema na mscara de sub-rede. exatamente o caso, o micro02 est com
uma mscara de sub-rede 255.255.240.0, diferente da mscara dos demais computadores. Por isso ele est isolado
na rede. J o micro03 no consegue comunicar-se com outras redes, mas consegue comunicar-se na rede local.
Este um sintoma de que a configurao do Default Gateway est incorreta. Por isso a necessidade de alterar a
configurao do Gateway do micro03, para que este utilize a mesma configurao dos demais computadores da
rede. Observe como esta questo testa apenas conhecimentos bsicos do TCP/IP, tais como Mscara de sub-rede
e Default Gateway.
Sistema de numerao binrio
Neste tpico apresentarei os princpios bsicos do sistema de numerao binrio. Tambm mostrarei como realizar
clculos simples e converses de Binrio para Decimal e vice-versa. Feita a apresentao das operaes bsicas com
nmeros binrios, mostrarei como o TCP/IP atravs de clculos binrios e, com base na mscara de sub-rede (subnet
mask), determina se dois computadores esto na mesma rede ou fazem parte de redes diferentes.
Vou iniciar falando do sistema de numerao decimal, para depois fazer uma analogia ao apresentar o sistema de
numerao binrio.Todos nos conhecemos o sistema de numerao decimal, no qual so baseados os nmeros que
usamos no nosso dia-a-dia, como por exemplo: 100, 259, 1450 e assim por diante. Voc j parou para pensar porque
este sistema de numerao chamado de sistema de numerao decimal?
No? Bem, a resposta bastante simples: este sistema baseado em dez dgitos diferentes, por isso chamado de
sistema de numerao decimal. Todos os nmeros do sistema de numerao decimal so escritos usando-se uma
combinao dos seguintes dez dgitos:
0 1 2 3 4 5 6 7 8 9
Dez dgitos = Sistema de numerao decimal.
Vamos analisar como determinado o valor de um nmero do sistema de numerao decimal. Por exemplo, considere
o seguinte nmero:
4538
O valor deste nmero formado, multiplicando-se os dgitos do nmero, de trs para frente (da direita para a esquerda),
por potncias de 10, comeando com 10. O ltimo dgito (bem direita) multiplicado por 10, o penltimo por 10
1
,
o prximo por 10
2
e assim por diante. o valor real do nmero a soma destas multiplicaes. Observe o esquema
indicado na Figura 1.10 que ser bem mais fcil de entender este conceito:
Figura 1.10 Como obtido o valor de um nmero no sistema decimal.
Observe que 4538 significa exatamente:
4 milhares (10
3
)
+ 5 centenas (10
2
)
+ 3 dezenas (10
1
)
+ 8 unidades (10
0
)
E assim para nmeros com mais dgitos teramos potncias 10
4
, 10
5
e assim por diante. Observe que multiplicando
cada dgito por potncias de 10, obtemos o nmero original. Este princpio aplicado ao sistema de numerao decimal
vlido para qualquer sistema de numerao. Se for o sistema de numerao Octal (baseado em 8 dgitos), multiplica-
se por potncias de 8: 8, 8
1
, 8
2
e assim por diante. Se for o sistema Hexadecimal (baseado em 10 dgitos e 6 letras)
multiplica-se por potncias de 16, s que a letra A equivale a 10, j que no tem sentido multiplicar por uma letra, a
letra B equivale a 11 e assim por diante.
Bem, por analogia, se o sistema decimal baseado em dez dgitos, ento o sistema binrio deve ser baseado em dois
dgitos? Exatamente. Nmeros no sistema binrios so escritos usando-se apenas os dois seguintes dgitos:
0 1
Isso mesmo, nmeros no sistema binrio so escritos usando-se apenas zeros e uns, como nos exemplos a seguir:
01011100
11011110
00011111
Tambm por analogia, se, no sistema decimal, para obter o valor do nmero, multiplicamos os seus dgitos, de trs
para frente, por potncias de 10, no sistema binrio fizemos esta mesma operao, s que baseada em potncias de 2,
ou seja: 2
0
, 2
1
, 2
2
, 2
3
, 2
4
e assim por diante.
Vamos considerar alguns exemplos prticos. Como fao para saber o valor decimal do seguinte nmero binrio:
11001110
Vamos utilizar a tabelinha indicada na Figura 1.11 para facilitar os nossos clculos:
Figura 1.11 Determinando o valor decimal do nmero binrio: 11001110
Ou seja, o nmero binrio 11001110 equivale ao decimal 206. Observe que onde temos 1 a respectiva potncia de 2
somada e onde temos o zero a respectiva potncia de 2 anulada por ser multiplicada por zero. Apenas para fixar um
pouco mais este conceito, vamos fazer mais um exemplo de converso de binrio para decimal.
Converter o nmero 11100010 para decimal. A resoluo est indicada na Figura 1.12:
NOTA: Nos exemplos deste tpico
vou trabalhar com valores de, no
mximo, 255, que so valores que
podem ser representados por 8
dgitos binrios, ou na linguagem do
computador 8 bits, o que equivale
exatamente a um byte. Por isso que
cada um dos quatro nmeros que
fazem parte do nmero IP, somente
podem ter um valor mximo de 255,
que um valor que cabe em um byte,
ou seja, 8 bits.
Figura 1.12 Determinando o valor decimal do nmero binrio: 11100010
Como converter decimal para binrio:
Bem, e se tivssemos que fazer o contrrio, converter o nmero 234 de decimal
para binrio, qual seria o binrio equivalente??
Existem muitas regras para fazer esta converso, eu prefiro utilizar uma bem
simples, que descreverei a seguir e que serve perfeitamente para o propsito
deste tpico.
Vamos voltar ao nosso exemplo, como converter 234 para um binrio de 8 dgitos?
Eu comeo o raciocnio assim. Primeiro vamos lembrar o valor de cada dgito:
128 64 32 16 8 4 2 1
Lembrando que estes nmeros representam potncias de 2, comeando, de trs
para frente, com 2
0
, 2
1
, 2
2
e assim por diante, conforme indicado logo a seguir:
128 64 32 16 8 4 2 1
2
7
2
6
2
5
2
4
2
3
2
2
2
1
2
0
Pergunto: 128 cabe em 234? Sim, ento o primeiro dgito 1. Somando 64 a 128
passa de 234? No, d 192, ento o segundo dgito tambm 1. Somando 32 a
192 passa de 234? No, d 224, ento o terceiro dgito tambm 1. Somando 16
a 224 passa de 234? Passa, ento o quarto dgito zero. Somando 8 a 224 passa
de 234? No, da 232, ento o quinto dgito 1. Somando 4 a 232 passa de 234?
Passa, ento o sexto dgito zero. Somando 2 a 232 passa de 234? No, d exatamente 234, ento o stimo dgito 1.
J cheguei ao valor desejado, ento todos os demais dgitos so zero. Com isso, o valor 234 em binrio igual a:
11101010
Para exercitar vamos converter mais um nmero de decimal para binrio. Vamos converter o nmero 144 para decimal.
Pergunto: 128 cabe em 144? Sim, ento o primeiro dgito 1. Somando 64 a 128 passa de 144? Sim, d 192, ento o
segundo dgito 0. Somando 32 a 128 passa de 144? Sim, d 160, ento o terceiro dgito tambm 0. Somando 16 a 128
passa de 144? No, d exatamente 144, ento o quarto dgito 1. J cheguei ao valor desejado, ento todos os demais
dgitos so zero. Com isso, o valor 144 em binrio igual a:
10010000
Bem, agora que voc j sabe como converter de decimal para binrio, est em condies de aprender sobre o operador
E e como o TCP/IP usa a mscara de sub-rede (subnet mask) e uma operao E, para verificar se duas mquinas
esto na mesma rede ou no.
Operador E:
Existem diversas operaes lgicas que podem ser feitas entre dois dgitos binrios, sendo as mais conhecidas as
seguintes: E, OU, XOR e NOT.
Para o nosso estudo interessa o operador E. Quando realizamos um E entre dois bits, o resultado somente ser 1, se
os dois bits forem iguais a 1. Se pelo menos um dos bits for igual a zero, o resultado ser zero. Na figura 1.13 temos
todos os valores possveis da operao E entre dois bits:
Figura 1.13 Operador lgico E.
Como o TCP/IP usa a mscara de sub-rede:
Considere a Figura 1.14, onde mostro a representao de uma rede local, ligada a uma outras redes atravs de um roteador.
apresentada uma rede que usa como mscara de sub-rede 255.255.255.0 (uma rede classe C. Ainda no
abordamos as classes de redes, o que ser feito mais adiante). A rede a 10.200.150, ou seja, todos os equipamentos
da rede tem os trs primeiras partes do nmero IP como sendo: 10.200.150. Veja que existe uma relao direta
entre a mscara de sub-rede a quantas das partes do nmero IP so fixas, ou seja, que definem a rede, conforme
foi descrito anteriormente.
A rede da Figura 1.14 uma rede bastante usual, onde existe um roteador ligado rede e o roteador est conectado a
um Modem, atravs do qual feita a conexo da rede local com a rede WAN da empresa, utilizando uma linha de
dados (link de comunicao).
Figura 1.14 Roteador ligando duas ou mais redes locais.
Como o TCP/IP usa a mscara de sub-rede e o roteador:
Quando dois computadores tentam trocar informaes em uma rede, o TCP/IP precisa, primeiro, calcular se os dois
computadores pertencem a mesma rede ou a redes diferentes. Neste caso podemos ter duas situaes distintas:
Situao 1: Os dois computadores pertencem a mesma rede: Neste caso o TCP/IP envia o pacote para o
barramento da rede local. Todos os computadores recebem o pacote, mas somente o destinatrio do pacote (o
destinatrio identificado pelo campo IP de destino, contido no pacote de informaes) que o captura e
passa para processamento pelo Windows e pelo programa de destino. Como que o computador sabe se ele
ou no o destinatrio do pacote? Muito simples, no pacote de informaes est contido o endereo IP do
destinatrio. Em cada computador, o TCP/IP compara o IP de destinatrio do pacote com o IP do computador,
para saber se o pacote ou no para o respectivo computador.
Situao 2: Os dois computadores no pertencem a mesma rede: Neste caso o TCP/IP envia o pacote para o
Roteador (endereo do Default Gateway configurado nas propriedades do TCP/IP) e o Roteador se encarrega
de fazer o pacote chegar rede de destino. Mais adiante mostrarei detalhes sobre como o Roteador capaz de
rotear pacotes de informaes at redes distantes.
Agora a pergunta que tem a ver com este tpico:
Como que o TCP/IP faz para saber se o computador de origem e o computador de destino pertencem a mesma rede?
Vou usar alguns exemplos prticos para explicar como o TCP/IP faz isso:
Exemplo 1: Com base na Figura 1.14, suponha que o computador cujo IP 10.200.150.5 (origem) queira enviar pacotes de
informaes para o computador cujo IP 10.200.150.8 (destino), ambos com mscara de sub-rede igual a 255.255.255.0.
O primeiro passo converter o nmero IP das duas mquinas e da mscara de sub-rede para binrio. Com base nas
regras que vimos anteriormente, teramos as converses indicadas na Figura 1.15:
Figura 1.15 Convertendo o IP de destino, IP de Origem e mscara de sub-rede para binrio.
Feitas as converses para binrio, vou mostrar que tipo de clculos o TCP/IP faz, para determinar se o computador de
origem e o computador de destino esto na mesma rede.
Em primeiro lugar feita uma operao E, bit a bit, entre o Nmero IP e a mscara de Sub-rede do computador de
origem, conforme indicado na Figura 1.16.
Figura 1.16 Operao E entre o nmero IP de origem e a mscara de sub-rede.
Em seguida feita uma operao E, bit a bit, entre o Nmero IP e a mscara de sub-rede do computador de destino,
conforme indicado na Figura 1.17.
Figura 1.17 Operao E entre o nmero IP de destino e a mscara de sub-rede.
Agora o TCP/IP compara os resultados das duas operaes. Se os dois resultados forem iguais, isto significa que os
dois computadores, origem e destino, pertencem a mesma rede local. Neste caso o TCP/IP envia o pacote para o
barramento da rede local. Todos os computadores recebem o pacote, mas somente o destinatrio do pacote que o
captura e passa para processamento pelo Windows e pelo programa de destino. Como que o computador sabe se ele
ou no o destinatrio do pacote? Muito simples, no pacote de informaes est contido o endereo IP do destinatrio.
Em cada computador, o TCP/IP compara o IP de destinatrio do pacote com o IP do computador, para saber se o
pacote ou no para o respectivo computador.
o que acontece neste exemplo, pois o resultado das duas operaes E igual: 10.200.150.0, ou seja, os dois
computadores pertencem a rede: 10.200.150.0
Como voc j deve ter adivinhado, agora vamos a um exemplo, onde os dois computadores no pertencem a mesma
rede, pelo menos devido s configuraes do TCP/IP.
Exemplo 2: Suponha que o computador cujo IP 10.200.150.5 (origem) queira enviar um pacote de informaes para
o computador cujo IP 10.204.150.8 (destino), ambos com mscara de sub-rede igual a 255.255.255.0.
O primeiro passo converter o nmero IP das duas mquinas e da mscara de sub-rede para binrio. Com base nas
regras que vimos anteriormente, teramos as converses indicadas na Figura 1.18:
Figura 1.18 Convertendo o IP de destino, IP de Origem e mscara de sub-rede para binrio.
Feitas as converses para binrio, vamos ver que tipo de clculos o TCP/IP faz, para determinar se o computador de
origem e o computador de destino esto na mesma rede.
Em primeiro lugar feita uma operao E, bit a bit, entre o Nmero IP e a mscara de Sub-rede do computador de
origem, conforme indicado na Figura 1.19
Agora feita uma operao E, bit a bit, entre o Nmero IP e a mscara de sub-rede do computador de destino,
conforme indicado na Figura 1.20
Agora o TCP/IP compara os resultados das duas operaes. Neste exemplo, os dois resultados so diferentes:
10.200.150.0 e 10.204.150.0. Nesta situao o TCP/IP envia o pacote para o Roteador (endereo do Default Gateway
configurado nas propriedades do TCP/IP) e o Roteador se encarrega de fazer o pacote chegar atravs do destino. Em
outras palavras o Roteador sabe entregar o pacote para a rede 10.204.150.0 ou sabe para quem enviar (um outro
roteador), para que este prximo roteador possa encaminhar o pacote. Este processo continua at que o pacote seja
entregue na rede de destino.
Observe que, na Figura 1.20, temos dois computadores que, apesar de estarem fisicamente na mesma rede, no
conseguiro se comunicar devido a um erro de configurao na mscara de sub-rede de um dos computadores. o
caso dos computador 10.200.150.4 (com mscara de sub-rede 255.255.250.0). Como este computador est com uma
mscara de sub-rede diferente dos demais computadores da rede ( os quais esto com mscara: 255.255.255.0), ao
fazer os clculos, o TCP/IP chega a concluso que este computador pertence a uma rede diferente, o que faz com que
ele no consiga se comunicar com os demais computadores da rede local.
Endereamento IP Classes de Endereos
Neste item vou falar sobre o endereamento IP. Mostrarei que, inicialmente, foram definidas classes de endereos IP.
Porm, devido a uma possvel falta de endereos, por causa do grande crescimento da Internet, novas alternativas
tiveram que ser buscadas, sendo uma delas a criao de uma nova verso do protocolo IP, o IP v6 (verso 6). O
Windows Server 2003 d suporte completo ao IP v6.
Mostrei anteriormente que a mscara de sub-rede utilizada para determinar qual parte do endereo IP representa
o nmero da Rede e qual parte representa o nmero da mquina dentro da rede. A mscara de sub-rede tambm foi
utilizada na definio original das classes de endereo IP. Em cada classe existe um determinado nmero de redes
possveis e, em cada rede, um nmero mximo de mquinas.
Foram definidas cinco classes de endereos, identificadas pelas letras: A, B, C, D e E. Vou iniciar com uma descrio
detalhada de cada Classe de Endereos e, em seguida apresento um quadro resumo.
Redes Classe A:
Esta classe foi definida com tendo o primeiro bit do nmero IP (dos 32 bits, ou seja, quatro nmeros de 8 bits) como sendo
igual a zero. Com isso o primeiro nmero IP somente poder variar de 1 at 126 (na prtica at 127, mas o nmero 127 um
nmero reservado, conforme detalharei mais adiante). Observe, no esquema da Figura 1.21 (explicado anteriormente), que
o primeiro bit sendo 0, o valor mximo (quando todos os demais bits so iguais a 1) a que se chega de 127:
Figura 1.21 Redes classe A primeiro bit sempre igual a 0.
O nmero 127 no utilizado como rede Classe A, pois um nmero especial, reservado para fazer referncia ao
prprio computador. O nmero 127.0.0.1 um nmero especial, conhecido como localhost. Ou seja, sempre que um
programa fizer referncia a localhost ou ao nmero 127.0.0.1, estar fazendo referncia a si mesmo.
Por padro, para a Classe A, foi definida a seguinte mscara de sub-rede: 255.0.0.0. Com esta mscara de subrede
observe que temos 8 bits para o endereo da rede e 24 bits para o endereo das mquinas dentro da rede. Com base no
nmero de bits para a rede e para as mquinas, podemos determinar quantas redes Classe A podem existir e qual o
nmero mximo de mquinas por rede. Para isso utilizamos a frmula a seguir:
2
n
- 2
, onde n representa o nmero de bits utilizado para a rede ou para a identificao da mquina dentro da rede. Vamos
aos clculos:
Nmero de redes Classe A:
Nmero de bits para a rede: 7. Como o primeiro bit sempre zero, este no varia. Por isso sobram 7 bits (8-1) para
formar diferentes redes:
2
7
-2 -> 128-2 -> 126 redes Classe A
Nmero de mquinas (hosts) em uma rede Classe A:
Nmero de bits para identificar a mquina: 24.
2
24
-2 -> 128-2 -> 16.777.214 mquinas em cada rede classe A.
Na Classe A temos apenas um pequeno nmero de redes disponveis - 126, porm um grande nmero de mquinas em
cada rede 16.777.214.
Com isso voc pode concluir que este nmero de mquinas, na prtica, jamais ser instalado em uma nica rede. Com
isso observe que, com este esquema de endereamento, teramos poucas redes Classe A (apenas 126) e com um
nmero muito grande de mquinas em cada rede. Isso causaria desperdcio de endereos, pois se o endereo de uma
rede Classe A fosse disponibilizado para um empresa, esta utilizaria apenas uma pequena parcela dos endereos
disponveis e todos os demais endereos ficariam sem uso.
Redes Classe B:
Esta classe de rede foi definida com tendo os dois primeiros bits do nmero IP como sendo sempre iguais a 1 e 0. Com
isso o primeiro nmero do endereo IP somente poder variar de 128 at 191. Como o segundo bit sempre 0, o valor
do segundo bit que 64 nunca somado para o primeiro nmero IP, com isso o valor mximo fica em: 255-64, que
o 191. Observe, no esquema da Figura 1.22, explicado anteriormente, que o primeiro bit sendo 1 e o segundo sendo 0,
o valor mximo (quando todos os demais bits so iguais a 1) a que se chega de 191:
Figura 1.22 Redes classe B segundo bit sempre igual a 0.
Por padro, para a Classe B, foi definida a seguinte mscara de sub-rede: 255.255.0.0. Com esta mscara de sub-rede
observe que temos 16 bits para o endereo da rede e 16 bits para o endereo das mquinas dentro da rede. Com base
no nmero de bits para a rede e para as mquinas, podemos determinar quantas redes Classe B podem existir e qual o
nmero mximo de mquinas por rede. Para isso utilizamos a frmula a seguir:
2
n
- 2
aos clculos:
Nmero de redes Classe B:
Nmero de bits para a rede: 14. Como o primeiro e o segundo bit so sempre 10, fixos, no variam, sobram 14 bits
(16-2) para formar diferentes redes:
2
14
-2 -> 16.384-2 -> 16.382 redes Classe B
Nmero de mquinas (hosts) em uma rede Classe B:
Nmero de bits para identificar a mquina: 16.
2
16
-2 -> 65.536-2 -> 65.534 mquinas em cada rede classe B
Na Classe B temos um nmero razovel de redes Classe B, com um bom nmero de mquinas em cada rede.
O nmero mximo de mquinas, por rede Classe B j est mais prximo da realidade para as redes de algumas grandes
empresas tais como Microsoft, IBM, HP, GM, etc. Mesmo assim, para muitas empresas menores, a utilizao de um
endereo Classe B, representa um grande desperdcio de nmeros IP.
Redes Classe C:
Esta classe foi definida com tendo os trs primeiros bits do nmero IP como sendo sempre iguais a 1, 1 e 0. Com
isso o primeiro nmero do endereo IP somente poder variar de 192 at 223. Como o terceiro bit sempre 0, o
valor do terceiro bit que 32 nunca somado para o primeiro nmero IP, com isso o valor mximo fica em: 255-
32, que 223. Observe, no esquema indicado na Figura 1.23, explicado anteriormente, que o primeiro bit sendo
1, o segundo bit sendo 1 e o terceiro bit sendo 0, o valor mximo (quando todos os demais bits so iguas a 1) a
que se chega de 223.
Por padro, para a Classe C, foi definida a seguinte mscara de sub-rede: 255.255.255.0. Com esta mscara de sub-
rede observe que temos 24 bits para o endereo da rede e apenas 8 bits para o endereo da mquina dentro da rede.
Com base no nmero de bits para a rede e para as mquinas, podemos determinar quantas redes Classe C podem
existir e qual o nmero mximo de mquinas por rede. Para isso utilizamos a frmula a seguir:
2
n
- 2
aos clculos:
Nmero de redes Classe C:
Nmero de bits para a rede: 21. Como o primeiro, o segundo e o terceiro bit so sempre 110, ou seja:fixos, no variam,
sobram 21 bits (24-3) para formar diferentes redes:
2
21
-2 -> 2.097.152-2 -> 2.097.150 redes Classe C
Nmero de mquinas (hosts) em uma rede Classe C:
Nmero de bits para identificar a mquina: 8
2
8
-2 -> 256-2 -> 254 mquinas em cada rede classe C
Observe que na Classe C temos um grande nmero de redes disponvel, com, no mximo, 254 mquinas em cada rede.
o ideal para empresas de pequeno e mdio porte. Mesmo com a Classe C, pode existir um grande desperdcio de
endereos. Imagine uma pequena empresa com apenas 20 mquinas em rede. Usando um endereo Classe C, estariam
sendo desperdiados 234 endereos.
Figura 1.23 Redes classe C terceiro bit sempre igual a 0.
Redes Classe D:
Esta classe foi definida com tendo os quatro primeiros bits do nmero IP como sendo sempre iguais a 1, 1, 1 e 0. A
classe D uma classe especial, reservada para os chamados endereos de Multicast.
Redes Classe E:
Esta classe foi definida com tendo os quatro primeiros bits do nmero IP como sendo sempre iguais a 1, 1, 1 e 1. A
classe E uma classe especial e est reservada para uso futuro.
Na Figura 1.24, apresentado um quadro resumo das Classes de Endereo IP:
Figura 1.24 Quadro resumo das classes de redes.
Endereos Especiais:
Existem alguns endereos IP especiais, reservados para funes especficas e que no podem ser utilizados como
endereos de uma mquina da rede. A seguir descrevo estes endereos.
B= Endereos da rede 127.0.0.0: Este endereo utilizado como um alis (apelido), para fazer referncia a prpria
mquina. Normalmente utilizado o endereo 127.0.0.1, o qual associado ao nome localhost. Esta associao feita
atravs do arquivo hosts. No Windows 95/98/Me o arquivo hosts est na pasta onde o Windows foi instalado e no
Windows NT/2000/XP/2003, o arquivo hosts est no seguinte caminho: system32/drivers/etc, sendo que este caminho
fica dentro da pasta onde o Windows foi instalado.
Endereo com todos os bits destinados identificao da mquina, iguais a 0: Um endereo com zeros em
todos os bits de identificao da mquina, representa o endereo da rede. Por exemplo, vamos supor que voc
tenha uma rede Classe C. A mquina a seguir uma mquina desta rede: 200.220.150.3. Neste caso o endereo
da rede : 200.220.150.0, ou seja, zero na parte destinada a identificao da mquina. Sendo uma rede classe
C, a mscara de sub-rede 255.255.255.0.
Endereo com todos os bits destinados identificao da mquina, iguais a 1: Um endereo com valor 1 em
todos os bits de identificao da mquina, representa o endereo de broadcast. Por exemplo, vamos supor que
voc tenha uma rede Classe C. A mquina a seguir uma mquina desta rede: 200.220.150.3. Neste caso o
endereo de broadcast desta rede o seguinte: 200.220.150.255, ou seja, todos os bits da parte destinada
identificao da mquina, iguais a 1. Sendo uma rede classe C, a mscara de sub-rede 255.255.255.0. Ao enviar
uma mensagem para o endereo de broadcast, a mensagem endereada para todos as mquinas da rede.
O papel do Roteador em uma rede de computadores:
Neste item vou falar sobre Roteamento. Falarei sobre o papel dos roteadores na ligao entre redes locais (LANs) para
formar uma WAN. Mostrarei um exemplo bsico de roteamento.
Mostrei anteriormente que a mscara de sub-rede utilizada para determinar qual parte do endereo IP representa
o nmero da Rede e qual parte representa o nmero da mquina dentro da rede. A mscara de sub-rede tambm foi
utilizada na definio original das classes de endereo IP. Em cada classe existe um determinado nmero de redes
possveis e, em cada rede, um nmero mximo de mquinas. Com base na mscara de sub-rede o protocolo TCP/IP
determina se o computador de origem e o de destino esto na mesma rede local. Com base em clculos binrios, o
TCP/IP pode chegar a dois resultados distintos:
O computador de origem e de destino esto na mesma rede local: Neste caso os dados so enviados para o
barramento da rede local. Todos os computadores da rede recebem os dados. Ao receber os dados cada
computador analisa o campo Nmero IP do destinatrio. Se o IP do destinatrio for igual ao IP do computador,
os dados so capturados e processados pelo sistema, caso contrrio so simplesmente descartados. Observe
que com este procedimento, apenas o computador de destino que efetivamente processa os dados para ele
enviados, os demais computadores simplesmente descartam os dados.
O computador de origem e de destino no esto na mesma rede local: Neste caso os dados so enviados o
equipamento com o nmero IP configurado no parmetro Default Gateway (Gateway Padro). Ou seja, se
aps os clculos baseados na mscara de sub-rede, o TCP/IP chegar a concluso que o computador de destino
e o computador de origem no fazem parte da mesma rede local, os dados so enviados para o Default Gateway,
o qual ser encarregado de encontrar um caminho para enviar os dados at o computador de destino. Esse
encontrar o caminho tecnicamente conhecido como Rotear os dados at o destino. O responsvel por
Rotear os dados o equipamento que atua como Default Gateway o qual conhecido como Roteador. Com
isso fica fcil entender o papel do Roteador:
o responsvel por encontrar um caminho entre a rede onde est o computador
que enviou os dados e a rede onde est o computador que ir receber os dados.
Quando ocorre um problema com o Roteador, tornando-o indisponvel, voc consegue se comunicar normalmente
com os demais computadores da rede local, porm no conseguir comunicao com outras redes de computadores,
como por exemplo a Internet.
Como eu sei qual o Default Gateway que est configurado no meu computador com o Windows Server 2003
instalado?
Voc pode verificar as configuraes do TCP/IP de um computador com o Windows Server 2003 de duas maneiras:
com as propriedades da interface de rede ou com o comando ipconfig. A seguir descrevo estas duas maneiras:
Verificando as configuraes do TCP/IP usando a interface grfica:
1. Selecione Iniciar -> Painel de Controle - > Conexes de Rede. Clique com o boto direito do mouse na opo
Conexo de rede local.
2. No menu que exibido clique na opo Propriedades.
3. Ser exibida a janela de Propriedades da conexo de rede local, conforme indicado na Figura 1.25:
Figura 1.25 Janela de Propriedades da conexo de rede local.
4. Clique na opo Protocolo Internet (TCP/IP) e depois clique no boto Propriedades.
5. A janela de propriedades do TCP/IP ser exibida, conforme indicado na Figura 1.26. Nesta janela so exibidas
informaes sobre o nmero IP do computador, a mscara de sub-rede, o Gateway padro e o nmero IP dos
servidores DNS primrio e secundrio. Se a opo obter um endereo IP automaticamente estiver marcada, o
computador tentar obter todas estas configuraes a partir de um servidor DHCP, durante a inicializao. Neste
caso as informaes sobre as configuraes TCP/IP, inclusive o nmero IP do Roteador (Gateway Padro),
somente podero ser obtidas atravs do comando ipconfig, conforme descrevo logo a seguir.
6. Clique em OK para fechar a janela de Propriedades do protocolo TCP/IP.
Figura 1.26 Informaes sobre a configurao do TCP/IP.
Verificando as configuraes do TCP/IP usando o comando ipconfig:
Para verificar as configuraes do TCP/IP, utilizando o comando ipconfig, siga os seguintes passos:
1. Abra o Prompt de comando: Iniciar -> Todos os Programas -> Acessrios -> Prompt de comando.
2. Digite o comando ipconfig/all
3. Sero listadas as configuraes do TCP/IP, conforme exemplo da listagem a seguir:
Nome do host...........: MICRO080
Sufixo DNS primrio........: abc.com.br
Tipo de n............: Hbrida
Roteamento de IP ativado.....: No
Proxy WINS ativado........: No
Lista de pesquisa de sufixo DNS..: abc.com.br
vendas.abc.com.br
finan.abc.com.br
Ethernet adaptador Conexo de rede local:
Sufixo DNS especfico de conexo.: abc.com.br
Descrio.............: 3COM - AX 25
Endereo fsico..........: 04-02-B3-92-82-CA
DHCP ativado...........: Sim
Configurao automtica ativada..: Sim
Endereo IP............: 10.10.10.222
Gateway padro..........: 10.10.10.1
Servidor DHCP...........: 10.10.10.2
Servidores DNS..........: 10.10.10.2
Servidor WINS primrio......: 10.10.10.2
Explicando Roteamento um exemplo prtico:
Vou apresentar a explicao sobre como o roteamento funciona, atravs da anlise de um exemplo simples. Vamos
imaginar a situao de uma empresa que tem a matriz em SP e uma filial no RJ. O objetivo conectar a rede local da
matriz em SP com a rede local da filial no RJ, para permitir a troca de mensagens e documentos entre os dois escritrios.
Nesta situao o primeiro passo contratar um link de comunicao entre os dois escritrios. Em cada escritrio deve
ser instalado um Roteador. E finalmente os roteadores devem ser configurados para que seja possvel a troca de
informaes entre as duas redes. Na Figura 1.27, apresento a ilustrao desta pequena rede de longa distncia (WAN).
Em seguida vou explicar como funciona o roteamento entre as duas redes:
Figura 1.27 Interligando duas redes locais para formar a WAN da empresa.
Nesta pequena rede temos um exemplo simples de roteamento, mas muito a explicar. Ento vamos l.
Como est configurado o endereamento das redes locais e dos roteadores?
Rede de SP: Esta rede utiliza um esquema de endereamento 10.10.10.0, com mscara de sub-rede
255.255.255.0. Observe que embora, teoricamente, seria uma rede Classe A (primeiro nmero na faixa de 1 a
126), est sendo utilizada uma mscara de sub-rede classe C.
Rede de RJ: Esta rede utiliza um esquema de endereamento 10.10.20.0, com mscara de sub-rede 255.255.255.0.
Observe que embora, teoricamente, seria uma rede Classe A, est sendo utilizada uma mscara de sub-rede classe C.
Roteadores: Cada roteador possui duas interfaces. Uma a chamada interface de LAN (rede local), a qual
conecta o roteador com a rede local. A outra a interface de WAN (rede de longa distncia), a qual conecta o
roteador com o link de dados. Na interface de rede local, o roteador deve ter um endereo IP da rede interna.
No roteador de SP, o endereo 10.10.10.1. No obrigatrio, mas um padro normalmente adotado,
utilizar o primeiro endereo da rede para o Roteador. No roteador do RJ, o endereo 10.10.20.1
Rede dos roteadores: Para que as interfaces externas dos roteadores possam se comunicar, eles devem fazer
parte de uma mesma rede, isto , devem compartilhar um esquema de endereamento comum. As interfaces
externas dos roteadores (interfaces WAN), fazem parte da rede 10.10.30.0, com mscara de sub-rede
255.255.255.0.
Na verdade 3 redes: Com isso temos, na prtica trs redes, conforme resumido a seguir:
SP: 10.10.10.0/255.255.255.0
RJ: 10.10.20.0/255.255.255.0
Interfaces WAN dos Roteadores: 10.10.30.0/255.255.255.0
Na prtica como se a rede 10.10.30.0 fosse uma ponte entre as duas outras redes.
Como feita a interligao entre as duas redes?
Vou utilizar um exemplo prtico, para mostrar como feito o roteamento entre as duas redes.
Exemplo: Vou analisar como feito o roteamento, quando um computador da rede em SP, precisa acessar informaes
de um computador da rede no RJ. O computador SP-01 (10.10.10.5), precisa acessar um arquivo que est em uma
pasta compartilhada do computador RJ-02 (10.10.20.12). Como feito o roteamento, de tal maneira que estes dois
computadores possam trocar informaes?
Acompanhe os passos descritos a seguir:
1. O computador SP-01 o computador de origem e o computador RJ-02 o computador de destino. A primeira
ao do TCP/IP fazer os clculos para verificar se os dois computadores esto na mesma rede, conforme explicado
anteriormente. Os seguintes dados so utilizados para realizao destes clculos:
SP-01: 10.10.10.5/255.255.255.0
RJ-02: 10.10.20.12/255.255.255.0
2. Feitos os clculos, o TCP/IP chega a concluso de que os dois computadores pertencem a redes diferentes: SP-01
pertence a rede 10.10.10.0 e RJ-02 pertence a rede 10.10.20.0.
3. Como os computadores pertencem a redes diferentes, os dados devem ser enviados para o Roteador da rede
10.10.10.0, que a rede do computador de origem.
4. No roteador de SP chega o pacote de informaes com o IP de destino: 10.10.20.12. O roteador precisa consultar
a sua tabela de roteamento e verificar se ele conhece um caminho para a rede 10.10.20.0, ou seja, se ele sabe para
quem enviar um pacote de informaes, destinado a rede 10.10.20.0.
5. O roteador de SP tem, em sua tabela de roteamento, a informao de que pacotes para a rede 10.10.20.0 devem ser
encaminhados pela interface 10.10.30.1. isso que ele faz, ou seja, encaminha os pacotes atravs da interface de
WAN: 10.10.30.1.
6. Os pacotes de dados chegam na interface 10.10.30.1 e so enviados, atravs do link de comunicao, para a
interface 10.10.30.2, do roteador do RJ.
7. No roteador do RJ chega o pacote de informaes com o IP de destino: 10.10.20.12. O roteador precisa consultar
a sua tabela de roteamento e verificar se ele conhece um caminho para a rede 10.10.20.0.
8. O roteador do RJ tem, em sua tabela de roteamento, a informao de que pacotes para a rede 10.10.20.0 devem ser
encaminhados pela interface 10.10.20.1, que a interface que conecta o roteador a rede local 10.10.20.0. O
pacote enviado, atravs da interface 10.10.20.1, para o barramento da rede local. Todos os computadores recebem
os pacotes de dados e os descartam, com exceo do computador 10.10.20.12 que o computador de destino.
9. Para que a resposta possa ir do computador RJ-02 para o computador SP-01, um
caminho precisa ser encontrado, para que os pacotes de dados possam ser roteados
do RJ para SP (o caminho de volta no nosso exemplo). Para tal todo o processo
executado novamente, at que a resposta chegue ao computador SP-01.
10. A chave toda para o processo de roteamento o software presente nos
roteadores, o qual atua com base em tabelas de roteamento.
O exemplo mostrado na Figura 1.27 um exemplo simples, onde mostrei como
feito o roteamento entre duas redes ligadas atravs de um link de WAN. O princpio
bsico o mesmo, para redes maiores at para a maior das redes que a Internet.
Executar um teste de compatibilidade antes da
instalao do Windows Server 2003
Antes de fazer a instalao do Windows Server 2003 recomendvel que voc
faa execute um teste de verificao de compatibilidade, para detectar se existe
alguma incompatibilidade de Hardware ou de Software.
NOTA: Voc encontra um curso bem
detalhado sobre TCP/IP, com mais
detalhes sobre endereamento IP,
tabelas de roteamento e classes de
redes, nos livros TCP/IP Internet
Protocolos & Tecnologias 3 Edio.
Nmero de pginas: 362. ISBN: 85-
7323-150-5; InternetWorking
Manual de Tecnologias, diversos au-
tores, Editora Campus; Interliga-
o em Rede com TCP/IP, Douglas
E. Comer, Editora Campus. e TCP/
IP: a Bblia MRIDULA PARIHAR
PAUL LASALLE ROB CRIMGER ET
AL., Editora Campus.
Se voc for instalar o Windows Server 2003 em um servidor novo, basta ligar o servidor com o cd do Windows Server
2003 j no drive de CD. Em uma das primeiras telas do processo de instalao, ser exibida uma opo para voc
executar um teste de compatibilidade.
A seguir mostro os passos para que voc execute um teste de compatibilidade em um servidor que j est com o
Windows 2000 Server instalado e que voc pretende atualizar para o Windows Server 2003:
1. Inicialize o servidor e faa o logon com uma conta com permisso de Administrador.
2. Insira o CD do Windows Server 2003 no drive de CD.
3. Ser exibida a tela inicial do assistente de instalao do Windows Server 2003, conforme indicado na Figura 1.28:
Figura 1.28 A tela inicial do assistente de instalao
4. Clique na opo Checar compatibilidade do sistema (Check System Compatibility).
5. Ser exibida uma segunda tela com trs opes: Checar o sistema automaticamente (Check my system automati-
cally), Visitar o Web site de compatibilidade (Visit Web site compatibility) ou voltar. Clique na opo Checar o
sistema automaticamente.
6. Ao final exibido um tela com informaes resumidas. No exemplo da Figura 1.29, nenhuma incompatibiliade
foi verificada.
Figura 1.29 Nenhuma incompatibiliade foi verificada.
7. Clique em Concluir (Finish) para fechar o teste de compatibilidade.
8. Caso alguma incompatibilidade tenha sido detectada, a lista de incompatibilidades ser exibida na tela final do
sistema. Voc pode clicar em uma das incompatibilidades e depois no boto Detalhes (Details), para ver uma
explicao sobre a incompatibilidade selecionada e recomendaes para solucionar a incompatibiliade.
9. Clique no boto Salvar como (Save As), para salvar o relatrio de incompatibilidades em um arquivo.txt. Por
padro o assistente sugere o nome upgrade.txt. Selecione a pasta e o nome do arquivo e clique em salvar.
10. Na listagem 1.1, voc encontra um exemplo do relatrio de incompatibilidades gerado em um computador com o
Windows 2000 Server e o Active Direcotory Instalados. A avaliao foi feita em um computador com o Windows
2000 Server em Ingls e o Active Directory instalados.:
Listagem 1.1 Exemplo de um relatrio de incompatibilidades, gerado com o comando winnt32/checkupgradeonly
********************************************************************
Windows Upgrade Compatibility
********************************************************************
The Windows 2000 Active Directory forest and domain need to be prepared for Windows.NET
======================================================================
Setup has detected that the Active Directory forest and domain need to be prepared for
Windows.NET Server 2003.
Description:
-The forest and domains are prepared by using the adprep command on the schema operations
master and infrastructure operations master, respectively.
-This domain controller is the schema operations master.
-To prepare the Active Directory forest and domains, perform the following procedures in the
order provided.
To prepare an Active Directory forest for Windows.NET Server 2003:
1. To exit Setup, click Next, click Finish, and then click Exit.
2. At a command prompt, change to the \I386 directory on the installation media and then type:
adprep /forestprep
When prompted, type C, and then press ENTER to begin forest preparation, or type any other
key, and then press ENTER to cancel.
3. After the forest preparation data has replicated throughout the forest, prepare the domains
for Windows.NET Server 2003 as described below. The domain preparation operation must be per-
formed on the infrastructure operations master of each domain in the forest.
To prepare an Active Directory domain for Windows.NET Server 2003:
1. On the domain controller holding the infrastructure operations master role, insert or con-
nect to the installation media.
2. If the splash screen opens, click Exit.
3. At a command prompt, change to the \I386 directory on the installation media, and then
type:
adprep /domainprep
If the command is run on a domain controller other than the current operations master, the
name of the current operations master is displayed. In this case, repeat steps 1 through 3 on
the current operations master.
4. After the domain preparation data has replicated throughout the domain, upgrade the domain
controller by running Windows.NET Server 2003 Setup (I386\winnt32.exe on the installation
media).
Notes:
-You cannot upgrade domain controllers in a forest without first preparing the forest and
domains by using adprep on the schema and infrastructure operations masters, respectively.
-Depending on the replication schedule for your organization, the time it takes to propagate
preparation data will vary.
IIS World Wide Web Publishing Service (W3SVC) will be disabled during upgrade
=============================================================================
IIS World Wide Web Publishing Service (WWW service) Is Disabled During Upgrade
To protect your server from attacks by malicious users, the World Wide Web Publishing Service
(WWW service) will be disabled during upgrade. Microsoft Windows 2000 Server installs
Internet Information Services (IIS) by default, and requires administrators to secure IIS to
prevent attacks.
The IIS Lockdown Wizard has not been run on this Windows 2000 server. If you do not want to
allow the WWW service to be disabled, you must download and run the IIS Lockdown Wizard, or
add the override registry key. Otherwise, you may continue with the upgrade and re-enable the
WWW service after the upgrade has completed.
Important: If you use the World Wide Web Publishing Service (WWW service), we strongly recom-
mend that you run the IIS Lockdown Wizard before upgrading to a product in the Windows.NET
Server 2003 family. The IIS lockdown Wizard will help secure your computer by disabling or
removing unnecessary features that are present in your Windows 2000 Server installation. These
features would otherwise have remained on your machine after upgrading, leaving your server
vulnerable to attacks. Using the IIS Lockdown Wizard instead of using the override registry
key or re-enabling the WWW service after installation allows you to fine-tune the level of
security to your particular needs.
When upgrading to a member of the Windows.Net Server 2003 family, the WWW service will NOT be
disabled if any of the following conditions are present:
-You have already run the IIS Lockdown Wizard on your Windows 2000 server before starting the
upgrade process. The IIS Lockdown Wizard reduces surface attack by disabling unnecessary fea-
tures, and it allows you to decide which features to enable for your site. The IIS Lockdown
Wizard is available at IIS Lockdown Tool (http://go.microsoft.com/fwlink/?LinkId=8599).
-The registry key RetainW3SVCStatus has been added to the registry under
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC. Under RetainW3SVCStatus you can
add any value and then assign a DWORD value to it. For example, you can create the key
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\RetainW3SVCStatus\do_not_disable
with the DWORD value of 1.
-In the unattended install case, an entry DisableWebServiceOnUpgrade = false exists in the
unattended install script.
After the upgrade is completed, you can enable the WWW service using either IIS Manager or the
Services snap-in.
To start the World Wide Web Publishing Service after upgrade
In IIS Manager:
From the Start menu, point to Administrative Tools, and click Internet Information Services
(IIS) Manager.
Expand the local computer, and then expand the Web Sites folder.
Right-click the Web site you want to start, and click Start.
Click Yes to enable the WWW service and start the Web site.
In the Services snap-in:
Click Start, point to Administrative Tools, and click Services.
In the list of services, right-click World Wide Web Publishing Service, and then click Proper-
ties.
On the General tab, in the Startup type list, click Automatic, and then click OK.
In the list of services, right-click World Wide Web Publishing Service, and then click Start.
Windows 2000 Administration Tools
=================================
Setup has detected Windows 2000 Administration Tools on your computer. Windows 2000 Adminis-
tration Tools are incompatible with Windows.NET Server 2003 family operating systems. Do one
of the following:
*) Cancel this upgrade, uninstall Windows 2000 Administration Tools, and then restart the
upgrade.
*) Complete this upgrade, and then install Windows.NET 2003 Administration Tools Pack by run-
ning the adminpak.msi Windows Installer package file. Adminpak.msi is located in the \i386
directory of your Windows.NET Server 2003 compact disc.
For more information about Windows.NET 2003 Administration Tools Pack installation require-
ments, see Microsoft Knowledge Base article Q304718 or visit http://www.microsoft.com
To remotely administer Server Services and Applications from a computer running Windows XP
Professional or Windows.NET Server 2003, use Remote Desktop.
For a list of software supported by the Windows.NET Server 2003 family operating systems or
Windows XP, see the list of compatible software on the Microsoft Web site at http://
go.microsoft.com/fwlink/?LinkId=9946.
Fax Services
============
This version of Windows Fax will be installed as part of this upgrade, since an existing oper-
ating system Fax component is currently installed on this computer.
If you do not plan to use Fax, then for best security practice it is recommended that you
uninstall it after the upgrade. You can remove the Fax component using Add or Remove Programs,
Add\Remove Windows Components in the Control Panel.
For a list of software supported by this version of Windows, see the Microsoft Windows Compat-
ibility List at http://go.microsoft.com/fwlink/?LinkId=9946.
Windows 95 and Windows NT 4.0 interoperability issues (Read Details!)
=====================================================================
Windows 95 and Windows NT 4.0 interoperability issues.
SUMMARY
Windows.NET Server 2003 Domain Controllers implement default security settings that help pre-
vent Domain Controller communications from being hijacked or otherwise tampered with. Certain
downlevel machines are not capable of meeting these security requirements and thus cannot
communicate with.NET Domain Controllers without administrative intervention.
Affected machines include Windows for Workgroups, Windows 95 machines that do not have the DS
client pack installed, and Windows NT 4.0 machines prior to Service Pack 4.
SMB SIGNING
By default, Windows.NET Server 2003 Domain Controllers require that all clients digitally sign
SMB-based communications. The SMB protocol is used to provide file sharing, print sharing,
various remote administration functions, and logon authentication for some downlevel clients.
Windows for Workgroups, Windows 95 machines without the DS Client Pack, and Windows NT 4.0
machines prior to Service Pack 3 are not capable of performing SMB signing and therefore can-
not connect to.NET Domain Controllers by default. If such clients cannot be upgraded to a
current operating system or upgraded to meet the minimum requirements described above, then
the SMB signing requirement can be removed by disabling the following security policy in the
Default Domain Controller GPO on the domain controllers OU:
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security
Options\Microsoft Network Server: Digitally sign communications (always)
Detailed instructions on how to modify this setting are provided below.
Warning: Disabling this security setting exposes all of your Domain Controller communications
to man in the middle types of attacks. Therefore it is highly recommended that you upgrade
your clients rather than disabling this security setting. The DS Client Pack, necessary for
Windows 95 clients to perform SMB signing, can be obtained from the \clients\win9x sub-direc-
tory of the Windows 2000 Server CD.
SECURE CHANNEL SIGNING
By default, Windows.NET Server 2003 Domain Controllers require that all secure channel commu-
nications be either signed or encrypted. Secure channels are used by Windows NT-based ma-
chines for communications between domain members and domain controllers as well as between
domain controllers that have a trust relationship. Windows NT 4.0 machines prior to Service
Pack 4 are not capable of signing or encrypting secure channel communications. If Windows NT
4.0 machines prior to SP4 must join this domain, or this domain must trust other domains that
contain pre-SP4 Domain Controllers, then the secure channel signing requirement can be removed
by disabling the following security policy in the Default Domain Controller GPO:
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security
Options\Domain Member: Digitally encrypt or sign secure channel data (always)
Detailed instructions on how to modify this setting are provided below.
Warning: Disabling this security setting exposes secure channel communications to man in the
middle types of attacks. Therefore it is highly recommended that you upgrade your Windows NT
4.0 machines rather than disabling this security setting.
MODIFYING THE DEFAULT DOMAIN CONTROLLER GPO
To ensure all domain controllers are enforcing the same SMB and secure channel signing require-
ments, define the corresponding security settings in the Default Domain Controller GPO as follows:
1. Log on to a machine that has the Active Directory Users and Computers Snap-in installed.
2. Start > Run > DSA.MSC
3. Expand the Domain that contains your.NET Domain Controllers.
4. Right-click on the Domain Controllers OU and then click Properties.
5. Click the Group Policy tab, select the Default Domain Controller Policy, and then click Edit.
6. Expand Computer Configuration, Windows Settings, Security Settings, Local Policies,
Security Options
7. In the result pane, double click the security option you want to modify. For example,
Microsoft Network Server: Digitally sign communications (always) or Domain Member: Digitally
encrypt or sign secure channel data (always).
8. Check the Define this policy setting box.
9. Disable or Enable the security setting as desired and select OK.
WinZip 6.3-8.0
==============
WinZip 6.3-8.0 has a known compatibility issue with this version of Windows. For an update
that is compatible with this version of Windows, contact Nico Mak Computing.
WinZip Computing, Inc. Web site: http://www.winzip.com
WinZip 6.3-8.0
==============
WinZip 6.3-8.0 has a known compatibility issue with this version of Windows. For an update
that is compatible with this version of Windows, contact Nico Mak Computing.
WinZip Computing, Inc. Web site: http://www.winzip.com
*****************************************************************************
Observe que alm da lista de incompatibilidades, o relatrio aponta solues, inclusive indicando o que deve ser feito
passo-a-passo. Por exemplo, no incio do relatrio informado que o Active Directory precisa ser preparado para a
migrao, conforme exemplificado no trecho inicial do relatrio:
The Windows 2000 Active Directory forest and domain need to be
prepared for Windows.NET
======================================================================
Setup has detected that the Active Directory forest and domain
need to be prepared for Windows.NET Server 2003.
Description:
-The forest and domains are prepared by using the adprep command
on the schema operations master and infrastructure operations
master, respectively.
-This domain controller is the schema operations master.
-To prepare the Active Directory forest and domains, perform the
following procedures in the order provided.
To prepare an Active Directory forest for Windows.NET Server
2003:
1. To exit Setup, click Next, click Finish, and then click Exit.
...
NOTA: Voc tambm pode
executar o teste de compatibilidade,
utilizando o comando winnt32.exe,
da pasta i386 do CD de instalao
do Windows Server 2003, com a
opo /chekupgradeonly,conforme
exemplo a seguir: winnt32/
checkupgradeonly
Itens a serem verificados e/ou considerados antes de iniciar a instalao:
Antes de iniciar a instalao do Windows Server 2003 voc deve fazer uma espcie de inventrio de alguns fatores. O
primeiro deles o teste de compatibilidade explicado anteriormente. Em seguida voc deve verificar se o hardware
atende os requisitos mnimos para o servidor onde ser instalado o Windows Server 2003. Os requisitos mnimos
dependem de uma srie de fatores, tais como aplicaes e servios que sero executados no servidor, nmero de
usurios simultneos, volume de informaes que ser acessada e assim por diante.
Os requisitos mnimos de hardware foram apresentados no incio deste captulo. Mas lembre que estes so requisitos
mnimos e no requisitos reais, que levam em conta a carga de trabalho a qual ser submetida o servidor, uma vez que
este seja colocado em operao.
Em seguida voc deve decidir se ser feita uma nova instalao ou se ser feita a atualizao de uma verso anterior do
Windows j instalada, como o Windows 2000 Server ou o NT Server 4.0.
A vantagem de uma nova instalao que voc tem a certeza de partir com uma instalao sem problemas, sem arquivos
corrompidos, sem comportamentos imprevistos e tantos outros problemas que podem surgir em uma instalao j existente.
Ao fazer uma nova instalao recomendado que voc formate o Disco Rgido onde ser feita a instalao (sempre lembrando
de fazer um backup dos dados, se houver dados importantes no disco rgido que ser formatado, pois este processo exclui
toda a informao existente no disco rgido). Isso para o caso de voc fazer uma nova instalao em um servidor j existente.
A desvantagem de fazer uma nova instalao que todos os programas instalados e configuraes sero perdidas.
Voc ter que reinstalar todos os programas e fazer as configuraes novamente. Se voc estiver fazendo a instalao
de um novo servidor, esta a nica opo disponvel.
Para servidores que j tem o Windows 2000 Server ou o NT Server 4.0 instalado, voc pode optar por fazer uma atualizao
da verso atual para o Windows Server 2003. Ao fazer o upgrade, todos os programas e configuraes sero mantidos.
Porm se houver problemas de sistemas no funcionando direito, com configuraes incorretas ou arquivos corrompidos,
estes problemas tambm estaro presentas aps a atualizao (upgrade) para o Windows Server 2003. A vantagem deste
mtodo que no necessria a reinstalao de todos os programas. Mesmo que voc v fazer um upgrade, sempre
recomandvel (eu diria at obrigatrio), que voc faa um bakcup completo do servidor. Caso haja algum problema
durante o processo do upgrade, sempre possvel utilizar o backup para restaurar a verso anterior do sistema operacional.
Voc somente consegue fazer o upgrade para o Windows 2000 Server, das verses de servidor do Windows. Por
exemplo, no possvel fazer um upgrade do Windows 2000 Professional ou do Windows XP Professional para o
Windows Server 2003. Na Tabela 1.4, voc tem uma relao dos caminhos de atualizao de outras verses do Win-
dows para o Windows Server 2003.
Tabela 1.4 Caminhos para a atualizao para o Windows Server 2003
Verso anterior Pode atualizar para o Windows Server 2003?
Windows NT 3.51 ou anterior No. Primeiro voc deve fazer a atualiao do Windows NT 3.51 ou anterior para o
Windows NT Server 4.0, com Service Pack 5.0 ou superior.
Windows NT 4.0 Server Sim, porm deve estar instalado o Service Pack 5.0 ou superior.
Windows 2000 Server Sim
Windows 2000 Adv. Server Sim
Outra deciso que voc deve tomar se o servidor que est sendo instalado ser
um controlador de domnio ou um servidor para prestar outros servios, como
compartilhamento de arquivos, servidor Web, servidor de banco de dados e assim
por diante. No caso de voc estar fazendo uma atualizao, provvel que o
servidor continue a excercer as funes que estava excercendo antes.
Tambm recomendado que voc reuna as informaes sobre as configuraes
de rede que sero utilizadas no servidor. Por exemplo:
NOTA: Para maiores detalhes sobre
a instalao do Active Directory,
domnios e a criao de Controladores
de Domnio, consulte o Captulo 2.
O servidor far parte de um domnio ou de um Workgroup? (maiores detalhes sobre domnios e workgroups
no Captulo 2)
Qual o nome do servidor? Sempre lembrando que no pode haver dois servidores com o mesmo nome, no
mesmo domnio.
Configuraes do protocolo TCP/IP. Sero automticas, obtidas a partir de um servidor DHCP? Ou sero
configuradas manualmente. No caso de serem configuradas manualmente, voc deve obter as seguintes
informaes com o administrador da rede: Nmero IP, mscara de sub-rede, nmero IP do Default Gateway,
nmero IP de um ou mais servidores DNS, nmero IP de um ou mais servidores WINS (se existir servidores
WINS na sua rede), nome de host e domnio DNS.
Eu tambm poderia iniciar uma discusso sobre o sistema de arquivos que deve ser utilizado na partio onde o
Windows Server 2003 ser instalado. Esto disponveis os sistemas de arquivo FAT32 e NTFS, os quais sero
detalhadamente esplicados no Captulo 5. Porm so tantas as vantagens do sistema de arquivos NTFS, que nem
vale a pena discutir. Servidor com o Windows Server 2003? Utilize NTFS. No Captulo 5 voc ver o porqu
desta recomendao.
Antes de iniciar a instalao voc tambm deve estar de posse do nmero de licena, o qual normalmente vem impresso
em uma etiqueta colada na caixa do CD de instalao do Windows Server 2003.
Levantadas as informaes necessrias e feito o teste de compatibiliade, voc j est pronto para fazer a instalao do
Windows Server 2003. No prximo item voc acompanhar, passo-a-passo, a instalao do Windows Server 2003
Standard Edition em um novo computador, ou seja, uma instalao feita a partir do zero.
Instalando o Windows Server 2003
Neste item voc acompanhar todas as etapas da instalao do Windows Server 2003 em um novo servidor. O computador
que estou utilizando, para este exemplo (e para a maioria dos exemplos deste livro), tem as seguintes caractersticas:
Pentium de 1 GHz
512 MB de RAM
Disco Rgido de 20 GB
Windows 2000 Professional No
Windows XP Professional No
Nmero IP: 10.10.100.50 (informado manualmente durante a instalao. Voc deve utilizar as configuraes
do TCP/IP de acordo com o padro da rede onde o servidor est sendo instalado. Para mais detalhes sobre os
padres de TCP/IP da sua rede, entre em contato com o Administrador da rede)
Nome: MCSE70-290
Instalando o Windows Server 2003 a partir do zero boot a partir do CD-ROM
Agora vou fazer uma instalao do Windows Server 2003 Standard Edition a partir do zero, em um computador novo,
onde ainda no existe nenhuma verso do Windows instalada. Utilizarei um dos mtodos de instalao mais simples, que
consiste em inicializar o sistema a partir do CD-ROM. Hoje em dia praticamente todos os computadores tem a capacidade
de inicializar o sistema (ou, utilizando um termo popular na informtica: dar o boot) a partir do CD-ROM, somente
computadores mais antigos de quatro ou cinco anos atrs que no tem a capacidade de inicializar pelo CD-ROM.
Dependendo da quantidade de memria e da velocidade do processador a instalao pode demorar entre trinta e
noventa minutos. Estou utilizando um computador com 512 MB de RAM, com um processador Pentium III de 1 GHZ.
Agora vamos aprender, passo a passo, a fazer a instalao do Windows Server 2003.
NOTA: O procedimento para fazer a
instalao das demais edies do Win-
dows Server 2003 praticamente o
mesmo.
NOTA: Em alguns computadores, a
opo para dar o boot a partir CD-
ROM no est automaticamente
habilitada. Nestes casos voc precisa
entrar no Setup do sistema e
configurar a opo para habilitar o
boot pelo CD-ROM. Para entrar no
Setup do sistema, basta pressionar
vrias vezes a tecla Del, logo aps ter
ligado o computador. Para orientaes
sobre a configurao do Setup,
consulte o manual da placa me do
seu equipamento, pois a configurao
do Setup diferente para cada tipo/
modelo de placa me.
Para instalar o Windows Server 2003 Standard Edition, em um computador novo,
faa o seguinte:
1. Ligue o computador, insira o CD-ROM do Windows Server 2003 no drive e
desligue o computador.
2. Agora ligue novamente o computador, desta vez o CD-ROM do Windows
Server 2003 j deve estar no drive.
3. Aguarde at que o sistema seja inicializado a partir do CD-ROM. Em alguns
computadores surge uma mensagem pedindo para que seja pressionada qualquer
tecla para fazer a inicializao a partir do CD-ROM. Fique atento a esta mensagem
e se necessrio pressione qualquer tecla para iniciar o boot a partir do CD-ROM.
4. O Windows Server 2003 comea a ser carregado a partir do CD-ROM.
5. Surge uma tela azul com a mensagem Instalao do Windows. Esta a
fase chamada de fase DOS ou fase de caractere, pois nestas etapas iniciais
o programa de instalao ainda no est em modo grfico.
6. Aguarde alguns instantes at que os arquivos necessrios instalao sejam
lidos do CD-ROM e copiados para uma pasta temporria no disco rgido do
computador.
7. Surge uma tela com o ttulo Instalao do Windows Server 2003, Verso do
Windows. No computador que estou utilizando, vou instalar o Windows
Server 2003 Standard Edition, com isso exibido o seguinte ttulo: Win-
dows Server 2003, Standard Edition.
8. Nesta tela temos a opo de pressionar ENTER para continuar a instalao
ou pressionar F3 para cancelar o processo de instalao.
9. Pressione ENTER para continuar com a instalao. apresentada uma tela com
trs Opes: Enter para continuar, pressionar R para Reparar uma instalao com
problemas ou pressionar F3 para cancelar a instalao. Pressione Enter.
10. O programa de instalao faz algumas verificaes e em seguida exibe uma tela com o Contrato de Licena de
Usurio Final. Neste contrato esto os direitos e deveres do usurio, definidos pela licena do Windows Server
2003 que voc adquiriu.
11. Para ler todo o contrato voc pode utilizar a tecla Page Down para rolar o texto na tela.
12. Pressione a tecla F8 para aceitar o Contrato de Licena e seguir com a instalao.
13. Em seguida ser exibida uma relao com todas as parties disponveis no seu computador. Se for um computador
novo ser exibido apenas uma Partio ainda no formatada, com o espao total do disco rgido. Nesta etapa
temos as seguintes opes:
Voc pode selecionar uma das parties que est sendo exibida e pressionar ENTER para instalar o Windows
Server 2003 nesta partio.
Selecionar uma partio no formatada (aparece com a descrio espao no particionado Unpartitioned
Space) e pressionar a letra C para criar uma partio nova, onde ser instalado o Windows Server 2003.
Selecionar uma partio e pressionar a letra D para excluir a partio. Fique atento, pois ao excluir uma
partio, todos os dados desta partio sero excludos.
14. Como estou instalando o Windows Server 2003 em um computador novo, o qual tem somente uma partio, a
qual ocupa o tamanho total do disco rgido, basta selecionar esta partio e pressionar Enter.
15. O Windows Server 2003 ser instalado na partio selecionada na pasta \WinNT, normalmente no drive C:, na
pasta C:\WinNT.
16. Se a partio escolhida ainda no estiver formatada voc tem a opo de format-la. Neste momento voc tem
quatro opes:
NTFS (Rpido)
FAT (Rpido)
NTFS
FAT
17. O sistema de arquivos FAT vem desde a poca do MS-DOS e somente aconselhvel caso voc queira utilizar
verses antigas do Windows, em conjunto com o Windows Server 2003, em uma mquina Multi-boot. Em
equipamentos servidores no recomendado o uso do sistema de arquivos FAT. No Captulo 5 voc aprender
sobre as diversas vantagens do sistema de arquivos NTFS, em relao ao sistema de arquivos FAT.
18. Para poder utilizar as configuraes de segurana do Windows Server 2003, tais como permisses de acesso e
criptografia, voc precisa do sistema de arquivos NTFS.
19. A diferena entre (Rpido) e sem o Rpido quanto a maneira que o disco formatado. A opo (Rpido), como
era de se esperar, demora bem menos do que a outra opo.
20. Selecione a opo NTFS (Rpido) e pressione Enter.
21. Inicia o processo de formatao da partio escolhida. Aguarde alguns instantes, pois dependendo do tamanho do
disco rgido pode demorar alguns minutos.
22. Aps a formatao feita uma anlise da partio para verificar se no existem problemas com ela, tais como
danos fsicos no disco rgido.
23. Aps a anlise inicia um processo de cpia de arquivos do CD-ROM para o disco rgido. Neste momento so
copiados os arquivos que daro suporte a prxima fase da instalao, a qual ser iniciada aps o encerramento da
fase atual, quando o computador e inicializado novamente e ento inicia a fase grfica da instalao.
24. Ao final do processo de cpia surge uma mensagem avisando que o computador ser reinicializado em 15 segundos.
Se voc no quiser aguardar os 15 segundos, basta pressionar Enter que o Computador ser reinicializado
imediatamente.
25. Aps a reinicializao comea a parte grfica do processo de instalao.
26. O processo de instalao continua trabalhando por conta.
27. A janela dividida em duas partes. No painel da esquerda so exibidas as etapas da instalao j cumpridas
(Coletando informaes, Atualizao dinmica, Preparando a instalao) e as etapas restantes (Instalando o Win-
dows, Finalizando a instalao), bem como uma estimativa do tempo restante para finalizar a instalao.
28. No painel da direita so exibidas mensagens sobre as novas caractersticas/funcionalidades do Windows Server 2003.
29. Durante esta fase so detectados e instalados os vrios dispositivos de Hardware, e efetuadas as diversas
configuraes necessrias para o funcionamento do Windows Server 2003.
30. Aguarde at que as etapas sejam executadas at que surja a janela Opes regionais e de idiomas. Nesta tela
definimos as configuraes de idioma do Windows Server 2003. As configuraes do idioma definem uma srie
de aspectos do Windows Server 2003. Por exemplo, o smbolo da moeda, o formato da data, se o relgio do
sistema de 12 ou de 24 horas e assim por diante. Estas configuraes podem ser alteradas aps a instalao do
Windows Server 2003, utilizando o cone Opes regionais e de idioma, do Painel de controle.
31. Defina as configuraes Regionais e de Teclado adequadas ao equipamento e ao idioma que ser utilizado.
32. D um clique no boto Avanar, seguindo para a prxima etapa da instalao.
33. Surge a janela Personalizar o software, pedindo que voc digite o seu Nome e o nome da sua empresa.
34. Preencha os campos Nome e Organizao e d um clique no boto Avanar, seguindo para a prxima etapa da
instalao.
35. Em seguida exibida a janela Chave do produto (Product Key), na qual voc deve digitar a chave de 25 dgitos
que aparece na etiqueta do CD de instalao do Windows Server 2003.
36. Digite a chave solicitada e d um clique no boto Avanar, seguindo para a prxima etapa da instalao.
37. Ser exibida a janela Modo de Licenciamento, na qual voc deve informar o modo de Licenciamento, a qual pode
ser: Por servidor (Per Server) ou Por dispositivo ou por usurio (Per Device or Per User), de acordo com as
licenas que voc adquiriu.
A seguir descrevo as diferenas entre os dois modos de licenciamento:
Por Servidor: Esta forma de licenciamento mais indicado para pequenas empresas, nas quais existe um nico
servidor com o Windows Server 2003 instalado. Com este tipo de licenciamento, o nmero de licenas define
o nmero mximo de usurios conectados simultaneamente ao servidor. Se o nmero mximo de conexes for
atingido e mais um usurio tentar acessar um recurso no servidor, este ltimo usurio no conseguir fazer a
conexo e receber uma mensagem de erro. O nmero de licenas (e conseqentemente de conexes simultneas)
definido pelo nmero de CAL Client Access Licences que voc adquiriu, Ao comprar o Windows Server
2003 este j vem com um determinado nmero de licenas. Se voc precisar de um nmero maior de licenas,
dever adquirir mais CALs, de acordo com o nmero de licenas que for necessrio.
Por dispositivo ou por usurio): Neste modo de licenciamento, uma CAL necessria para cada estao de trabalho
que faz a conexo com o servidor, independentemente de quantas conexes esta estao de trabalho venha a estabelecer
com o servidor. Os clientes podem ser estaes de trabalho baseadas no Windows ou em outro sistema operacional,
como por exemplo um aplicativo em uma estao de trabalho Linux, acessando dados de um banco de dados SQL
Server, em um servidor com o Windows Server 2003. Por exemplo, se a rede da sua empresa tem 1000 mquinas,
voc deve adquirir 1000 CALs, uma para cada estao de trabalho. O preo de uma CAL para este modo de
licenciamento maior do que para o Per Server, mas em compensao com uma nica CAL, a estao de trabalho
pode acessar recursos em qualquer servidor que esteja utilizando o licenciamento Per Device
38. Informe o modo de licenciamento e o nmero de licenas e d um clique no boto Avanar, seguindo para a
prxima etapa da instalao.
39. Surge a janela Nome do computador e senha do administrador.
40. Se voc estiver instalando o Windows Server 2003 em um computador residencial ou em uma pequena rede que
voc mesmo administra, voc pode selecionar o nome do computador sem maiores problemas. Se voc est
instalando o Windows Server 2003 em uma estao de trabalho de uma rede corporativa, consulte o Administrador
da rede para saber se existe algum padro de nomes para as estaes de trabalho e para os servidores da rede. O
nome do computador importante pois atravs do nome que acessamos os recursos compartilhados, tais como
pastas e impressoras, do computador.
41. Para nome digite MCSE70-290 (ou outro nome que voc ir utilizar em sua rede).
42. Tambm solicitada uma senha para o usurio Administrador. Ao instalar o Windows Server 2003, automaticamente,
criada uma conta chamada Administrador (na verso em Portugus, Administrator na verso em Ingls). Esta
conta tem permisso para realizar qualquer operao no computador: instalar e desinstalar dispositivos de Hard-
ware, instalar e desinstalar programas e at mesmo formatar o disco rgido. Por isso importante a definio de
uma senha para a conta Administrador, pois se deixarmos a senha em branco, qualquer usurio poder fazer o
logon como Administrador e ter acesso a todos os recursos do computador.
43. Digite a seguinte senha: senhaXYZ ou outra senha qualquer que voc for utilizar. importante definir uma senha
que no seja fcil de ser descoberta. Falarei mais sobre a definio de senhas no Captulo 4.
44. Digite novamente a senha escolhida no campo Confirmar senha.
45. D um clique no boto Avanar seguindo para a prxima etapa da instalao. Pode ser exibida uma janela informando
que a senha selecionada no atende a critrios de segurana. O Windows Server 2003 sugere que voc utilize uma
senha de, no mnimo, 6 caracteres, que sejam utilizados caracteres no alfanumricos (;, / * e assim por diante).
Clique em Sim para aceitar a senha digitada anteriormente.
46. Se voc tiver um modem conectado ao computador, o Windows Server 2003 detecta o modem e abre uma janela
para que voc selecione em qual pas regio voc est, qual o cdigo DDI do seu pas, se necessrio digitar um
nmero para ter acesso a uma linha externa e o tipo de discagem: De tom ou de pulso.
47. Preencha as informaes sobre discagem, caso voc tenha um modem conectado.
48. D um clique no boto Avanar seguindo para a prxima etapa da instalao.
49. Surge uma janela para que voc confira a data, a hora e o fuso horrio. Verifique se as informaes esto corretas
e altere o que for necessrio.
51. Caso exista uma placa de rede conectada ao micro, ser iniciado o processo de instalao da rede.
52. Temos duas opes para a configurao de rede:
Configuraes tpicas: Esta opo utilizada quando voc instala o Windows Server 2003 em uma estao de
trabalho de uma rede corporativa. Com esta opo as configuraes de rede so carregadas, a partir de um
servidor DHCP (veja Captulo 16 do livro Windows Server 2003 Curso Completo, 1568 pginas), toda vez
que o computador ligado. No utilizada em redes que no tenham servidores de rede. Se o Servidor que
voc est instalando deve ser um controlador de domnio (DC), ele dever ter um nmero IP fixo. Neste caso
ele no poder utilizar esta opo.
Configuraes personalizadas: Com esta opo aberta uma janela para que sejam informados diversos
parmetros para configurao da rede. Por padro, instalado o protocolo TCP/IP. Para que dois computadores
possam trocar informaes, ambos devem ter instalado o mesmo protocolo para comunicao na rede. O
protocolo mais utilizado, que o padro no Windows Server 2003 o protocolo TCP/IP, o qual tambm
utilizado na Internet.
53. Selecione a opo Configuraes personalizadas.
55. Nesta etapa exibida a marca/modelo da placa de rede que foi detectada pelo Windows Server 2003. Vamos
alterar alguns parmetros do protocolo TCP/IP.
56. D um clique na opo Protocolo TCP/IP e depois d um clique no boto Propriedades.
57. Surge a janela de propriedades do protocolo TCP/IP. Marque a opo Usar o seguinte endereo IP.
58. Preencha os seguintes campos com os seguintes valores (ou substitua por valores que voc estiver utilizando em
sua rede):
Endereo IP: 10.100.100.50
Mscara de rede: 255.255.255.0
Default Gateway: 10.100.100.1
Preferred DNS Server: 10.100.100.5
NOTA: Estes so valores que utilizo
em uma rede residencial. Consulte o
Administrador de rede sobre os valores
que voc deve utilizar para as
configuraes do protocolo TCP/IP
59. D um clique no boto OK.
61. Surge uma janela perguntando se o computador far parte de um grupo de
trabalho (Workgroup) ou de um domnio. Grupos de trabalhos so utilizados
para pequenas redes, de at 5 computadores, onde no existem servidores
com o Windows 2000 Server ou Windows Server 2003 instalado. Domnios
so utilizados em redes empresariais, com um grande nmero de
equipamentos, onde existem servidores com o Windows 2000 Server ou
Windows Server 2003 instalado. Falaremos mais sobre Workgroup e Domnios
no Captulo 2.
62. Selecione a opo No, o computador no est em uma rede ou est em uma rede sem um domnio. Tornar este
computador um membro do seguinte grupo de trabalho:.
63. No campo para digitao do nome do grupo de trabalho digite GROZA ou outro nome qualquer que voc for
utilizar para a sua instalao.
65. A instalao do Windows Server 2003 continua, automaticamente com mais algumas etapas: cpia de arquivos,
registro de componentes, configuraes do menu Iniciar e assim por diante.
66. Ao final desta etapa o computador automaticamente reinicializado.
67. O computador reinicializa, a nova tela do Windows Server 2003 j exibida. A primeira inicializao demora um
pouco mais do que o normal, pois so feitas diversas configuraes necessrias para o funcionamento do Win-
dows Server 2003.
68. Uma pequena animao com o logotipo do Windows Server 2003 exibida e logo em seguida exibida a tela de
Logon. Pressione Ctrl+Alt+Del e faa o logon com a conta Administrador e a senha definida durante a instalao.
Pronto, o Windows Server 2003 est instalado e voc j fez o primeiro logon. Ao fazer o primeiro logon o aplicativo
Configure o seu Servidor (Manage Your Server) ser exibido. Feche este aplicativo. Agora vamos ativar o Windows.
69. Selecione o comando Iniciar -> Todos os programas -> Acessrios -> Ferramentas do sistema -> Ativar o Win-
dows. Se voc tiver conectado Internet a ativao pode ser feita automaticamente, caso contrrio voc ter que
fazer a ativao por telefone. Se voc no fizer a ativao o Windows Server 2003 somente funcionar por 14
dias, ao final deste perodo o sistema deixa de funcionar.
70. Ser exibido o Assistente para Ativao. Marque a primeira opo Sim, Ativar o Windows Atravs da Internet
Agora. Clique no boto Avanar, seguindo para a prxima etapa do assistente de ativao.
71. Nesta etapa marque a segunda opo, indicando que voc quer somente ativar o Windows, sem fazer o registro
junto Microsoft, neste instante e clique no boto Avanar, seguindo para a prxima etapa do assistente.
72. Surge uma tela para configurao da sua conexo com a Internet. Nesta tela informamos se a conexo ser feita
por Modem, por um servio baseado em DSL (assinante de linha digital) ou atravs de uma rede local.
73. Vamos fazer uma conexo via Modem/linha discada.
74. Selecione a opo Discagem usando um Modem. D um clique no boto Avanar, seguindo para a prxima etapa
da configurao.
75. Surge uma tela informando que o Windows Server 2003 far uma discagem para ativar o Windows. Clique em
Avanar para iniciar a discagem.
76. O Windows Server 2003 disca para um servidor de ativao da Microsoft, conecta e faz a ativao do Windows.
Ao final uma mensagem de que a ativao foi efetuada com sucesso exibida.
77. Clique em OK e pronto, o Windows Server 2003 foi ativado, a rea de trabalho do Windows Server 2003
exibida e estamos pronto para utiliz-lo.
Instalao no assistida e arquivo de respostas
Voc pode automatizar a instalao do Windows Server 2003 utilizando um arquivo de respostas. O arquivo de respostas
um arquivo.txt, com um padro bem definido. No arquivo de respostas esto contidas as respostas as telas de
instalao do Windows Server 2003. Com o uso do arquivo de respostas, a instalao do Windows Server 2003 segue,
passo-a-passo, sem a necessidade de interveno do usurio (por isso que chamada de instalao no assistida). As
informaes necessrias em cada etapa da instalao so lidas a partir do arquivo de respostas, no qual podemos
inserir informaes tais como:
Chave do Produt (Product Key)
Nome da empresa
Nome do computador
Configuraes do protocolo TCP/IP
Quais componentes do Windows Server 2003 devem ser instalados
Pasta de instalao
Pasta onde esto os arquivos de instalao
Domnio ou Workgroup do qual o servidor far parte, dentre outros.
Uma vez criado o arquivo de respostas, voc utiliza um parmetro de linha de comando, ao iniciar a instalao, para
informar o caminho e o nome do arquivo de respostas. Uma vez localizado o arquivo de respostas, a instalao inicia,
todas as informaes de cada etapa so lidas a partir do arquivo de respostas, sem que seja necessria a interveno do
usurio. Este processo pode ser automatizado, onde os arquivos de respostas so colocados em uma pasta compartilhada
na rede e a instalao ou upgrade dos servidores pode ser automatizada atravs do uso de scripts. A seguir detalho os
passos para fazer uma instalao no assistida do Windows Server 2003.
O arquivo de respostas
Para facilitar o arquivo de respostas, voc encontra um modelo deste tipo de arquivo, no CD de instalao do Windows
Server 2003.
Para acessar o modelo de arquivo de respostas, siga os seguintes passos:
1. Insira o CD de instalao do Windows Server 2003 no drive.
2. O Assistente de instalao ser aberto. Feche-o.
3. Abra o Meu computador, clique com o boto direito do mouse no drive de CD e, no menu que exibido, clique
em Explorar.
4. O Windows Explorer ser aberto e as pastas do CD de instalao sero exibidas.
5. Acesse a pasta i386 do CD de instalao. Nesta pasta localize o arquivo unattended.txt e d um clique duplo nele.
O arquivo ser aberto, e o contedo indicado a seguir ser exibido:
; Microsoft Windows
; (c) 1994 - 2001 Microsoft Corporation. All rights reserved.
;
; Sample Unattended Setup Answer File
;
; This file contains information about how to automate the installation
; or upgrade of Windows so the Setup program runs without requiring
; user input. You can find more information in the ref.chm found at
; CD:\support\tools\deploy.cab
;
[Unattended]
Unattendmode = FullUnattended
OemPreinstall = NO
TargetPath = *
Filesystem = LeaveAlone
[GuiUnattended]
; Sets the Timezone to the Pacific Northwest
; Sets the Admin Password to NULL
; Turn AutoLogon ON and login once
TimeZone = 004
AdminPassword = *
AutoLogon = Yes
AutoLogonCount = 1
[LicenseFilePrintData]
; For Server installs
AutoMode = PerServer
AutoUsers = 5
[GuiRunOnce]
; List the programs that you want to lauch when the machine is logged into for the first
time
[Display]
BitsPerPel = 16
XResolution = 800
YResolution = 600
VRefresh = 70
[Networking]
[Identification]
JoinWorkgroup = Workgroup
[UserData]
FullName = Your User Name
OrgName = Your Organization Name
ComputerName = *
ProductKey = XXXXX-YYYYY-ZZZZZ-99999-00000
**************************************************************************
O arquivo de respostas dividido em sees. Em cada seo esto respostas para uma etapa
da instalao. No exemplo da seo a seguir, definido o modo de licenciamento e o nmero
de licenas:
[LicenseFilePrintData]
; For Server installs
AutoMode = PerServer
AutoUsers = 5
Esta seo serve como resposta para a etapa onde voc deve informar o tipo de licena e o nmero de licenas
adquiridas etapa 37 do processo de instalao descrito no item anterior.
O formato do arquivo unattended.txt bastante descritivo. Voc encontra uma descrio completa sobre todas as
sees e todos os parmetros que podem ser definidos em um arquivo de respostas (arquivo este que pode ter qualquer
nome, no obrigatoriamente unattended.txt), no arquivo de ajuda ref.chm, o qual esta contido no arquivo compactado
deploy.cab. O arquivo deploy.cab encontra-se na pasta support\tools, do CD de instalao do Windows Server 2003. A
seguir descrevo como extrair o arquivo ref.chm para a pasta Meus documentos e depois abr-lo.
Para extrair o arquivo ref.chm, siga os seguintes passos:
1. Insira o CD de instalao do Windows Server 2003 no drive.
2. O Assistente de instalao ser aberto. Feche-o.
3. Abra o Meu computador, clique com o boto direito do mouse no drive de CD e, no menu que exibido, clique
em Explorar.
4. O Windows Explorer ser aberto e as pastas do CD de instalao sero exibidas.
5. Acesse a pasta \support\tools.
6. D um clique duplo no arquivo deploy.cab. O contedo do arquivo deploy.cab ser exibido no painel da direita do
Windows Explorer.
7. Clique com o boto direito do mouse no arquivo ref.chm.
8. No menu que exibido clique na opo Extrair (Extract).
9. Na janela que exibida clique em Meus documentos.
10. Clique em OK.
11. Clique em Extrair (Extract).
12. Abra a pasta Meus documentos.
13. D um clique duplo no arquivo ref.chm.
14. O arquivo de ajuda Microsoft Windows Preinstallation Reference ser aberto. No painel da esquerda d um
clique duplo na opo Unattend.txt. Sero exibidas todas as possveis sees de um arquivo de respostas.
15. D um clique duplo em uma das sees. Sero exibidos todos os possveis parmetros desta seo. Ao clicar em
um parmetro ser exibida a sintaxe de utilizao e um exemplo, conforme indicado na Figura 1.30, onde foi
aberta a opo Display e esto sendo exibidas informaes sobre a opo BitsPerPel (que no difcil de concluir
que o parmetro que define a resoluo do vdeo Bits Por Polegada).
16. Feche o arquivo ref.chm
Figura 1.30 Utilizando o arquivo ref.chm.
Com base no arquivo de respostas de modelo unattended.txt e no arquivo de ajuda ref.chm, voc pode criar arquivos
de respostas personalizado, para fazer as instalaes no assistidas, nos servidores da rede. Este mtodo particularmente
til se voc estiver instalando ou fazendo a atualizao de um grande nmero de servidores.
Como utilizar o arquivo de respostas durante a instalao?
Aps ter criado o arquivo de respostas, voc pode utilizar o comando winnt32.exe (que est na pasta i386 do cd de
instala do Windows Server 2003), para iniciar a instalao. Para informar o caminho e o nome do arquivo de
respostas, voc utiliza o parmetro /unattend:[answer_file], como no exemplo a seguir, onde estou utilizando o arquivo
de respostas respostas.txt, na pasta instala do drive C:
Winnt32 /unattended:C:\instala\respostas.txt
Este comando inicia a instalao do Windows Server 2003 e utiliza o arquivo C:\instala\respostas.txt como um arquivo
de respostas, durante a instalao.
Nota: Alm do arquivo de respostas de exemplo e do arquivo de ajuda ref.chm, o Windows Server 2003 tambm
oferece um assistente para a criao de um arquivo de respostas. Voc inicia o assistente e, em cada etapa vai preenchendo
informaes, como o nome do computador, senha do Administrador, Chave do produto, nome do domnio e assim por
diante. Ao final do processo, o assistente gera um arquivo.txt, no padro de um arquivo de respostas e utilizando as
informaes que voc forneceu nas diversas etapas do assistente. Este assistente para criao de um arquivo de respostas,
est contido no arquivo deploy.cab da pasta \support\tools do cd de instalao do Windows Server 2003. Acesse o
arquivo deploy.cab, conforme descrito anteriormente e copie todos os arquivos contidos no deploy.cab para uma pasta
no disco rgido. Depois v para esta pasta e execute o arquivo Setupmgr.exe. Agora s seguir as etapas do assistente
para criar uma arquivo de respostas com base nas informaes que voc fornecer para o assistente.
Alm da opo /unattended, o comando winnt32.exe tem vrias outras opes de linha de comando, opes estas que
afetam a maneira como a instalao do Windows Server 2003 realizada. Para ver uma tela de ajuda, com a descrio
completa de todas as opes do comando winnt32.exe, execute o seguinte comando: Winnt32/?
Concluso
Um longo captulo, sem dvidas. Mas necessrio, igualmente, sem dvidas. Este captulo serviu como uma espcie de
Apresentao do Windows Server 2003. Na parte inicial do Captulo apresentei uma viso geral de uma rede baseada
no Windows Server 2003. Falei sobre o conceito de uma rede Cliente/Servidor e sobre o Protocolo TCP/IP
Em seguida voc foi apresentado as quatro edies do Windows Server 2003:
Falei sobre as principais caractersticas de cada edio, destacando as limitaes de Hardware de cada uma das edies.
Voc aprendeu que cada uma das diferentes edies utilizada em situaes diferentes. Por exemplo, o Windows
Server 2003 Standard Edition recomendado para o uso como um servidor de arquivos e impresso ou um controlador
de domnios para redes de pequenas empresas ou redes departamentais de porte de pequeno para mdio. J o Windows
Server 2003 Data Center Edition a edio peso-pesado, indicada para o uso em servidores de aplicaes de misso
crtica, os quais devem atender a um grande nmero de usurios, garantindo um desempenho, disponibilidade e um
nvel de segurana satisfatrios.
Apresentei uma tabela com os requisitos de Hardware mnimos e recomendados, para cada edio. Claro que os
requisitos mnimos so apenas para constar nos manuais. A quantidade de memria e processamento necessria varia
com diversos fatores, tais como o nmero de aplicativos, servios e usurios que devero ser atendidos pelo servidor.
Agora vamos ser sinceros, mesmo sendo apontado como valor mnimo, voc consegue imaginar o Windows Server
2003 Enterprise Edition, rodando em um Pentium 133 com 128 MB de RAM? Nem o Windows 2000 Professional
rodaria bem em um equipamento destes.
Na seqncia apresentei uma srie de novidades do Windows Server 2003. As novidades foram divididas em categorias,
para facilitar o acompanhamento. Voc encontra uma descrio detalhada, de todas as novidades do Windows Server
2003, em uma das seguintes fontes:
Internet: http://www.microsoft.com/windowsserver2003/evaluation/overview/technologies/default.mspx
Livro: Introducing Microsoft Windows Server 2003, Microsoft Press (http://www.microsoft.com/mspress/
books/5869.asp)
Neste captulo voc tambm encontrou uma srie de termos que talvez voc ainda no conhea. Se voc j trabalha
com o Windows 2000 Server, termos como Active Directory, Group Polices Objects (GPOs), DNS, WINS, DHCP e
tantos outros, j devem ser conhecidos. Se voc nunca trabalhou com o NT Server 4.0 ou com o Windows 2000 Server,
ento a maioria destes termos provavelmente no so conhecidos para voc. Mas no se preocupe, ao longo deste livro
voc aprender sobre os principais recursos do Windows Server 2003, relacionados ao Exame 70-290. Aprender a
instalar os principais recursos, configur-los e administr-los.
Este foi um captulo quase que totalmente terico. Foram apresentados conceitos importantes para que o leitor possa
entender a parte prtica que ser apresentada no restante do livro. Por exemplo, impossvel entender e administrar
servios como o DNS e DHCP, sem conhecer os princpios bsicos do TCP/IP apresentados neste captulo.
Iniciei com a apresentao do que vem a ser uma rede de computadores. Neste item fiz um retrospectiva desde a poca em
que o nico modelo disponvel era o modelo do Mainframe, at os modernos modelos baseados em aplicativos de n camadas.
Nesta parte apresentei com um pouco mais de detalhes o conceito de uma rede baseada no modelo Cliente/Servidor.
O trecho a seguir resumo o que foi apresentado neste item:
servidor, administrao centralizada e reduo no custo de propriedade (TCO) em relao ao modelo Cliente/
Servidor tradicional? isso mesmo, este modelo muito prximo do modelo do Mainframe, porm com todas as
vantagens da evoluo da informtica nestas ltimas dcadas, tais como interfaces grficas, programas mais
poderosos e por a vai.
Este mesmo gerente utiliza o site da empresa para fornecer informaes. Ele tambm utiliza a Internet da empresa
Este caminho me parece muito mais sensato, ou seja, no precisa ser um ou outro modelo, mas sim o melhor dos
dois mundos.
Seguindo a exposio terica, falei sobre os papis que os servidores baseados no Windows Server 2003 podem
desempenhar em uma rede. Tambm mostrei outros produtos da Microsoft que so projetados para trabalhar em
conjunto com o Windows Server 2003, como por exemplo o SQL Server 2000 que o servidor de banco de dados da
Microsoft, o Exchange Server 2000 que o servidor de correio eletrnico e plataforma para desenvolvimento de
aplicaes de colaborao e Workflow.
Seguindo, tratei de um assunto extremamente importante: O protocolo TCP/IP.
Apresentei os conceitos bsicos do protocolo, iniciando pela definio de protocolo e pelo papel do TCP/IP em uma
rede de computadores. Em seguida falei sobre os parmetros do TCP/IP que devem estar configurados em um
computador, tais como:
Nmero IP
Mscara de sub-rede
Default Gateway
Servidor DNS
Voc tambm aprendeu um pouco sobre sistemas de numerao, mais especificamente sobre o sistema de numerao
decimal e o sistema de numerao binrio. Aprendeu a fazer alguns clculos bsicos. Em seguida mostrei como o
TCP/IP utiliza a aritmtica binria para determinar se dois computadores esto na mesma rede ou em redes diferentes.
Encerrei o tpico sobre TPC/IP apresentando os conceitos bsicos sobre Roteamento e apresentando um exemplo
detalhadamente explicado, com os passos envolvidos no roteamento de informaes entre duas redes distantes, ligadas
atravs de um link de WAN.
No prximo passo voc aprendeu a instalar o Windows Server 2003. Antes de fazer a instalao voc aprendeu sobre
quais as informaes que devem ser averiguadas e como fazer um teste de verificao de compatibilidade.
Antes de instalar o Windows Server 2003 voc tambm deve decidir se far uma instalao nova, a partir do zero ou se
far uma atualizao (upgrade) de um servidor j existente. Uma nova instalao tem a vantagem de partir do zero,
sem os problemas que uma instalao mais antiga pode apresentar, em compensao, aps uma nova instalao, todos
os programas tero que ser reinstalados e as configuraes refeitas. J uma atualizao mantm todos os programas e
configuraes, porm pode herdar problemas que j existiam com a verso anterior do Windows, tais como arquivos
corrompidos ou problemas de configurao.
O processo de instalao, conforme voc pode conferir, extremamente simples. Basicamente seguir os passos de
um assistente em duas etapas: uma etapa no modo caractere e outra no modo grfico.
Tambm possvel fazer uma instalao sem a interveno do usurio, conhecida como instalao no assistida. Para
fazer uma instalao no assistida, voc precisa de um arquivo de respostas. O arquivo de respostas um arquivo.txt
com um padro bem definido. Para criar uma arquivo de respostas, o Windows Server 2003 fornece algumas ferramentas:
um arquivo de respostas de exemplo unattended.txt; um arquivo de referncia ref.chm e um assistente para a
criao de arquivos de respostas personalizados Setupmgr.exe. Uma vez criado o arquivo de respostas, basta iniciar
a instalao usando o comando winnt32 /unattended:[caminho e nome do arquivo de respostas].
A seguir coloco alguns endereos no site da Microsoft, onde voc encontra mais informaes sobre a instalao do
Windows Server 2003 e sobre a criao de instalaes automatizadas mediante o uso de arquivos de respostas:
http://www.microsoft.com/windows/reskits/default.asp
http://www.microsoft.com/windowsserver2003/techinfo/reskit/deploykit.mspx
http://www.microsoft.com/downloads/details.aspx?familyid=aaf0a7a4-71c1-4ee9-b974-
66214651a23b&displaylang=en
http://download.microsoft.com/download/8/e/c/8ec3a7d8-05b4-440a-a71e-ca3ee25fe057/rktools.exe
(arquivo com diversas ferramentas do Resource Kit para o Windows Server 2003).
Sei que um captulo terico sempre, digamos, mais chato de acompanhar. Porm tenha certeza amigo leitor, os
conceitos apresentados neste captulo iro ajud-lo a entender melhor a parte prtica dos demais captulos deste livro.
Caso tenha ficado alguma dvida sobre algum conceito deste captulo, peo que voc volte ao ponto onde est a
dvida e leia novamente. muito importante que voc entenda os conceitos aqui apresentados, antes de seguir adiante.
Introduo
O Active Directory foi, sem dvidas, a grande novidade do Windows 2000 Server
em relao ao Windows NT Server 4.0. No Windows Server 2003 o Active Direc-
tory tambm o elemento central, fundamental, sobre o qual planejada e
implementada uma infra-estrutura de rede.
Neste captulo farei um estudo terico, detalhado do Active Directory. Desde a
definio e as vantagens de se usar um servio de diretrios, passando pela
definio dos componentes do Active Directory, da estrutura lgica e fsica, at a
apresentao de conceitos mais elaborados como por exemplo o controle de
replicao entre os Controladores de Domnio (abreviados como DC).
Eu poderia, ao longo do livro, ir mostrando como trabalhar com os diversos
elementos do Active Directory. Por exemplo, no Captulo 4, quando falarei sobre
usurios, eu poderia citar que usurio um dos principais tipos de objetos do
Active Directory. Porm considerei importante a colocao de um captulo terico
como este, no qual apresento e explico os diversos elementos que compem o
Active Directory. Com isso o amigo leitor pode ter uma viso ampla e completa
do que exatamente o Active Directory, de quais os principais elementos que o
compem e da sua estrutura fsica e lgica.
Vou iniciar o captulo falando sobre o conceito de diretrio. Mostrarei o que
exatamente um diretrio (talvez o termo mais adequado, em Portugus, fosse
Catlogo ao invs de Diretrio), porque hoje encontramos mltiplos diretrios na
rede da empresa. Tambm mostrarei os problemas advindos do fato de se ter
mltiplos diretrios e de como este fato cria problemas para o desenvolvimento
de aplicaes e para a integrao dos sistemas informatizados de uma empresa.
Em seguida vou fazer uma introduo ao Active Directory no Windows Server
2003. Mostrarei o seu papel em uma rede com servidores baseados no Windows
Server 2003 e o que deve ser feito para que o Active Directory seja instalado em
um servidor, tornando o servidor um DC.
Feitas as devidas apresentaes e conceituaes hora de apresentar os elementos
que compem e mantm em funcionamento o Active Directory. Vou iniciar pelos
elementos individuais, apresentando conceitos tais como:
Domnios
rvores
Florestas
Relaes de confiana
Objetos do Active Directory
Unidades Organizacionais
Schema
Estes elementos compem a chamada estrutura lgica do Active Directory, ou
seja, a maneira como o Active Directory apresentado ao Administrador e aos
usurios, quando estes utilizam as ferramentas de administrao e pesquisa do
Active Directory.
C A P T U L O
2
Active Directory Conceitos,
Estrutura Lgica e Fsica e
Componentes
A estrutura lgica pode ser diferente (e normalmente ) da estrutura fsica. A estrutura fsica determina onde so
armazenadas as informaes do Active Directory, como as informaes so sincronizadas entre os diferentes DCs do
domnio (chamamos este processo de replicao). Tambm sero apresentados e explicados os conceitos de sites,
replicao inter sites e intra sites.
Acredite amigo leitor, pode parecer um pouco chato, toda esta teoria sobre o Active Directory. Mas posso garantir
que conhecendo os conceitos apresentados neste captulo, ser muito mais fcil planejar, implementar e administrar
uma infra-estrutura de rede baseada no Windows Server 2003 e no Active Directory. Tambm ser muito mais fcil
entender a utilizao das ferramentas administrativas que sero descritas nos demais captulos do livro a sim, a
parte prtica, baseada nos conceitos tericos, aqui apresentados.
Na seqncia do captulo voc aprender a instalar o Active Directory, transformando um servidor em Controlador de
Domnio (DC Domain Controller). Existem diferente situaes em que voc cria um DC e todas sero discutidas
neste captulo.
Por exemplo, pode ser que voc esteja instalando o primeiro DC de um domnio. Nesta situao o domnio, na verdade,
nem sequer ainda existe. Ele passar a existir quando o primeiro DC for instalado. O primeiro DC de um domnio
assume uma srie de funes especiais, funes estas que existem em apenas um dos DCs dos domnios. Os servidores
que executam esta funo so conhecidos como FSMO (Flexible Single Master of Operators). Neste captulo falarei
sobre os FSMOs e suas funes.
Existem algumas aes que devem ser realizadas antes da instalao do Active Directory. Estas aes variam, dependendo
se voc est atualizando o Active Directory do Windows 2000 Server ou se voc est criando um novo domnio.
Mostrarei quais as aes de preparao necessrias em cada caso.
Tambm apresentarei um exemplo prtico de como instalar o Active Directory e criar um novo domnio. Voc ver que
o assistente para instalao do Active Directory extremamente simples de ser utilizado, desde que voc conhea os
conceitos apresentados no Captulo 5, tais como: domnios, rvores de domnios e assim por diante.
Voc tambm pode executar o assistente de instalao do Active Directory para desinstalar o Active Directory, fazendo
com que um DC volte a ser um Member Server (se pertencer a um domnio) ou um Stand Alone Server, se pertencer
a um workgroup. A operao de desinstalar o Active Directory conhecida como Rebaixar o DC e a operao de
instalar o Active Directory, conhecida como promover o member server (ou stand alone server).
Aps a instalao do Active Directory, uma srie de alteraes sero efetuadas no servidor. Novos arquivos sero
criados (com a base de dados do Active Directory), novas ferramenta administrativas estaro disponveis e assim por
diante. Analisarei as alteraes feitas pela instalao do Active Directory.
Conforme prometido no Captulo 1, neste captulo apresentarei mais detalhes sobre os modos de funcionalidade
disponveis para domnios e florestas, apresentando as caractersticas e limitaes em cada um dos modos. Tambm
mostrarei como alterar o modo de funcionalidade de um domnio.
Em seguida ser a vez de apresentar as principais ferramentas de administrao do Active Directory. Estas ferramentas
so instaladas pelo assistente de instalao do Active Directory. Por exemplo, um novo console, chamado Usurios e
Computadores do Domnio (Active Directory Users and Computers) instalada. Este um dos consoles que o
administrador mais utiliza no seu dia-a-dia (Veja o Captulo 4). Este console utilizado para criar constas de usurios,
grupos e computadores. Tamb utilizado para criar Unidades Organizacionais, incluir ou retirar usurios de grupos
e para mover objetos entre diferentes OUs. Mostrarei as novas funcionalidades que esto disponveis neste e em outros
consoles de administrao do Active Directory no Windows Server 2003, em relao ao Windows 2000 Server.
Conceito de Diretrio e Exemplos.
No Captulo 1 fiz um histrico dos modelos de redes e aplicaes desde a poca do Mainframe (que continua mais
vivo do que nunca), passando pelo modelo Cliente/Servidor tradicional, at chegar ao modelo Web, baseado no
desenvolvimento de aplicaes em 3 ou mais camadas.
Cada fase deixou suas caractersticas impressas na rede da empresa, no conjunto de aplicaes que utilizado para
manter a empresa funcionando. O que ocorre na prtica, que hoje, na empresa, existem, ao mesmo tempo, aplicaes
rodando no Mainframe, aplicaes Cliente/Servidor tradicionais e aplicaes baseadas no modelo Web.
A Figura 2.1 ilustra bem este mix de aplicaes, onde um usurio a partir da sua estao de trabalho, acessa aplicaes
em diferentes ambientes, para poder realizar o seu trabalho dirio:
Figura 2.1 Aplicaes em diferentes ambientes e baseadas em diferentes modelos.
Voc pode pensar que dificilmente isso aconteceria na prtica. justamente o contrrio. Esta a situao na qual
encontram-se a maioria das empresas, ou seja: Uma variedade de aplicaes no integradas, em diferentes plataformas
e modelos. Falando de uma maneira mais simples, uma verdadeira salada-de-fruta, ou de outras formas: salada de
aplies e modelos.
No exemplo descrito na Figura 1.1, o usurio, para realizar o seu trabalho dirio, tem que acessar aplicaes e servios
em diferentes plataformas e modelos:
No Mainframe: Alguns sistemas da empresa (muitas vezes a maioria dos sistemas) ainda esto no Mainframe, com
acesso atravs de aplicativos Emuladores de Terminal, instalados na estao de trabalho do usurio. Estes aplicativos
mantm a interface a caractere, tpica da poca do Mainframe. A to famosa telinha preta com letras verdes. Por
exemplo, pode ser que o sistema de RH (controle de frias, curriculum, treinamentos, etc) ainda esteja no Mainframe.
Estao de trabalho
Aplicao no Mainframe
Aplicao de banco
de dados no modelo
Cliente/Servidor
Servidor de email
Autenticao na rede - DC Servidor de ERP, CRM, etc.
Em aplicaes cliente/servidor de 2 camadas: A medida que houve uma migrao do Mainframe em direo
ao cliente/servidor, muitas aplicaes do Mainframe foram substitudas por aplicaes Cliente/Servidor
tradicionais, conforme descrito no Captulo 1. Por exemplo, podemos ter uma situao onde o sistema de
vendas foi migrado do Mainframe para uma aplicao cliente/servidor de duas camadas. Os dados esto em
um ou mais servidores da rede e a aplicao cliente instalada na estao de trabalho do usurio.
Sistema de email e Intranet da empresa: praticamente impossvel que a sua empresa no tenha um sistema de
email instalado. Com isso voc utiliza mais um aplicativo (o cliente de email), para acessar o seu correio
eletrnico. Voc tambm utiliza o navegador para acessar a Intranet da empresa. Se a sua empresa j evolui
bastante no uso da Tecnologia da Informao, provvel que voc use o navegador para acessar o Portal
Corporativo da empresa.
Alm desta variedade de aplicaes voc tambm precisa acesso aos recursos bsicos da rede, tais como
pastas e impressoras compartilhadas. Para ter acesso a estes recursos voc deve estar identificado na rede, para
que o servidor onde esto os recursos a serem acessados, possa liberar o acesso, dependendo de voc ter ou
no as permisses adequadas. Ou seja, o seu nome de usurio na rede e a respectiva senha, devem estar
cadastrados em uma base de dados. Logo voc descobrir que base esta.
Bem apresentado a provvel ambiente atual no qual encontra-se a rede da sua empresa, vou salientar um dos principais
problemas deste ambiente, problema este que est diretamente relacionado ao conceito de Diretrio e tambm com o
Active Directory.
Senhas demais, por favor algum me ajude!
No cenrio descrito anteriormente, onde o usurio tem que acessar sistemas em diferentes ambientes, necessrio um
logon e senha para cada ambiente. Por exemplo, no sistema de grande porte o logon pode ser a matrcula do funcionrio
e uma senha por ele escolhida. Na rede o logon a primeira parte do seu email, por exemplo jsilva e uma senha por ele
escolhida. No sistema de email mais uma senha. Em cada aplicao Cliente/Servidor mais uma senha e assim por diante.
Para piorar um pouco a situao, a senha do Mainframe expira, por exemplo, a cada 30 dias e ele no pode repetir as
ltimas cinca senhas. A da rede expira a cada 60 dias e ele no pode repetir as ltimas treze. A do email expira a cada
45 dias e ele no pode repetir as ltimas 10. A do sistema xyz expira a cada 40 dias e ele no pode repetir as ltimas 6.
Meu Deus, voc deve estar pensando, a estas alturas o nosso usurio j deve estar maluco.
Na verdade maluco ele no est, mas acaba fazendo algo pior do que estivesse maluco: Ou seleciona senhas que
facilmente so descobertas ou anota as senhas e guarda o papel na gaveta. A culpa do usurio? Obviamente que no,
mas sim de um ambiente onde existem mltiplas aplicaes, com uma senha diferente para cada uma.
Mas espere a um pouco. O que tem a ver este monte de senhas com o conceito de Diretrio. Tem muito a ver. Observe
que em cada ambiente existe um banco de dados para cadastro do nome do usurio, senha e outras informaes, como
por exemplo seo, matrcula e assim por diante. Este banco de dados com informaes sobre os usurios da rede um
exemplo tpico de Diretrio.
Ento no Mainframe, onde existe um cadastro de usurios, senhas e perfil de acesso de cada usurio, existe um
Diretrio. Na rede, onde existe um cadastro de usurios, senha, nome, seo, matrcula, etc, temos mais um diretrio.
No sistema de email, onde est cadastrado o email do usurio, senha, grupos, etc, temos um terceiro diretrio e
assim por diante. Observe que para cada diretrio (o que implica cadastro em um determinado sistema), o usurio
tem uma senha.
Ento um diretrio nada mais do que um cadastro, ou melhor ainda, um banco de dados com informaes sobre
usurios, senhas e outros elementos necessrios ao funcionamento de um sistema, quer seja um conjunto de aplicaes
no Mainframe, um grupo de servidores da rede local, o sistema de email ou outro sistema qualquer.
Saindo do mundo da computao, uma lista telefnica com o cadastro do nome do usurio, telefone e endereo, um
exemplo tpico de diretrio. O termo Diretrio no muito conhecido para ns, no idioma Portugus. Talvez um termo
mais adequado fosse Cadastro, Banco de dados do sistema ou algo parecido. Mas o termo j consagrado no idioma
Ingls e acabou sendo adotado tambm no idioma Portugus (no sei se oficialmente, mas na prtica, pelos profissionais
de TI).
O Active Directory, introduzido inicialmente com o Windows 2000 Server e agora presente no Windows Server 2003
tambm um exemplo tpico de diretrio. No Active Directory ficam gravadas informaes sobre contas de usurios,
senhas, grupos de usurios, membros de cada grupo, contas de computadores, informaes sobre o Domnio, Relaes
de confiana, Unidades organizacionais, enfim, todas as informaes necessrias ao funcionamento de uma rede
baseada no Windows Server 2003.
NOTA: No decorrer deste captulo
voc aprender em detalhes sobre
os diversos elementos do Active Di-
rectory, tais como Unidades
organizacionais, sites, relaes de
confiana e assim por diante.
Um diretrio nico para todas as aplicaes.
Porm o projeto do Active Directory bem mais ambicioso do que simplesmente
ser mais um diretrio para conter informaes dos elementos de uma rede baseada
no Windows Server 2003. Ele foi projetado para tornar-se, com o tempo, o nico
diretrio necessrio na rede da empresa.
Mas como seria esta migrao da situao atual, catica, com mltiplos diretrios
e senhas, para uma situao mais gerencivel, com um nico diretrio e senha: O
TO SONHADO LOGON NICO??
A proposta da Microsoft que aos poucos as aplicaes sejam integradas com o Active Directory. O que seria uma
aplicao Integrada com o Active Directory? Seria uma aplicao que, ao invs de ter o seu prprio cadastro de
usurios, senhas e grupos (seu prprio diretrio), fosse capaz de acessar as contas e grupos do Active Directory e
atribuir permisses de acesso diretamente as contas e grupos do Active Directory. Por exemplo, vamos supor que voc
utilize o Exchange 2000 como servidor de email. Este um exemplo de aplicao que j integrada com o Active
Directory. Ao instalar o Exchange 2000, este capaz de acessar a base de usurios do Active Directory e voc pode
criar contas de email para os usurios do Active Directory. Com isso quando o usurio faz o logon na rede, ele tambm
est sendo autenticado com o Exchange e poder ter acesso a sua caixa de correio sem ter que fornecer um login e
senha novamente.
Chegar o dia do logon nico quando todas as aplicaes forem ou diretamente integradas com o Active Directory, o
forem capazes de acessar a base de usurios do Active Directory e atribuir permisses de acesso aos usurios e grupos
do Active Directory. Esta abordagem de um diretrio nico tem inmeras vantagens. A mais saliente o logon nico,
o que implica em uma nica senha. Outra vantagem o fato de que atualizaes feitas no diretrio j so refletidas,
automaticamente, em todas as aplicaes, uma vez que o diretrio nico.
Quando o diretrio no nico, as alteraes devem ser feitas em todos os diretrios, seno ficaro desatualizadas.
Vamos voltar um pouco ao ambiente de mltiplos diretrios. Vamos supor que um usurio foi transferido de setor e o
seu nmero de telefone foi atualizado no diretrio do Mainframe. Se este nmero no for tambm atualizado (e isto
tem que ser feito pelo administrador de cada sistema) em todos os demais diretrios, corre-se o risco de algum
pesquisar um dos diretrios que no foi atualizado e obter o nmero de telefone antigo. Agora considere essa situao
em uma empresa grande, onde esto em uso 5 ou 6 diretrios diferentes e multiplique isso por 4 ou 5 mil funcionrios,
voc ter uma idia do problema que manter sempre atualizados os diversos diretrios em uso na empresa.
Por isso que a proposta do diretrio nico interessante e muito bem vinda. claro que no se faz a migrao de um
ambiente baseado em vrios diretrios para um ambiente de diretrio nico, da noite para o dia. um trabalho longo,
que envolve um inventrio das aplicaes em uso. Uma anlise do que prioritrio, do que pode ser integrado e do que
dever ser reescrito e assim por diante. Mas um trabalho que vale a pena, sob risco de chegar-se a um ambiente
catico, com inmeros de diretrios, ambiente este praticamente impossvel de gerenciar ou gerencivel a um custo
muito elevado.
Entendendo o conceito de Diretrios e Workgroups.
Nesta item mostrarei as diferenas entre uma rede baseada no modelo de Workgroup e uma rede baseada no modelo de
diretrios.
Voc entender porque uma rede baseada no conceito de Workgroup (Grupo de trabalho) somente indicada para
redes muito pequenas, entre cinco e dez usurios. E porque para redes maiores seria praticamente impossvel administrar
um modelo de redes baseado em Grupos de Trabalho ao invs de domnios.
Domnios e Grupos de Trabalho (Workgroups):
Um rede baseada no Windows Server 2003 pode ser criada utilizando-se dois conceitos diferentes, dependendo da
maneira com que os Servidores Windows Server 2003 so configurados. Os servidores podem ser configurados para
fazerem parte de um Domnio ou de um Grupo de Trabalho, mais comumente chamado de Workgroup, termo que
utilizarei de agora em diante.
Entendendo o funcionamento de uma rede baseada no modelo de Workgroups:
Em uma rede baseada no modelo de Workgroups cada servidor independente do outro. Em outras palavras, os
servidores do Workgroup no compartilham uma lista de usurios, grupos e outras informaes. Cada servidor tem a
sua prpria lista de usurios e grupos, conforme indicado no diagrama da Figura 2.2:
Figura 2.2 Uma rede baseada no conceito de Workgroup.
Servidor 01
Base de usurios 01:
jsilva
maria
pedro
paulo
zeze
mjose
ana
Servidor 02
Base de usurios 02:
jsilva
maria
mauro
zeze
mjose
ana
Servidor 03
Base de usurios 03:
jsilva
maria
cassio
laura
zeze
mjose
ana
O diagrama demonstra uma rede baseada no modelo de Workgroup. Na rede de exemplo temos trs servidores, onde
cada servidor tem a sua prpria base de usurios, senhas e grupos. Conforme pode ser visto no diagrama, as bases no
esto sincronizadas, existem contas de usurios que foram criadas em um servidor mas no foram criadas nos demais.
Por exemplo, a conta paulo somente existe no Servidor 01, a conta mauro s existe no Servidor 02 e a conta cassia s
existe no servidor 03.
Agora imagine o usurio paulo, que est utilizando a sua estao de trabalho. Ele tenta acessar um recurso (por
exemplo uma pasta compartilhada) no Servidor 01. Uma janela de logon exibida. Ele fornece o seu nome de usurio
e senha e o acesso (desde que ele tenha as devidas permisses) liberado.
Agora este mesmo usurio paulo, tenta acessar um recurso no Servidor 02. Novamente uma tela de logon exibida
e ele fornece o seu nome de usuro e senha. O acesso negado, com uma mensagem de usurio invlido. E o usurio
paulo fica sem entender o que est acontecendo. Or, isso acontece porque o usurio paulo somente est cadastrado no
Servidor 01; para o Servidor 02 e para o Servidor 03 como se o usuro paulo no existisse (usurio invlido). Para
que o usurio paulo possa acessar recursos dos servidores 02 e 03, o Administrador deveria criar uma conta chamada
paulo nestes dois servidores.
Mas a confuso pode ser maior ainda. Imagine que o usurio paulo foi cadastrado pelo administrador com a conta
paulo e senha: abc123de. Muito bem, o administrador fez o cadastro do usurio paulo nos trs servidores: Servidor 01,
Servidor 02 e Servidor 03. Agora, cerca de 30 dias depois, o usurio paulo resolveu alterar a sua senha. Vamos supor
que ele estava conectado ao Servidor 01, quando fez a alterao da sua senha para: xyz123kj. Agora o usurio paulo
est na situao indicada a seguir:
Servidor Usurio Senha
Servidor 01 paulo abc123de
Servidor 03 paulo xyz123kj
Na concepo do usurio, a partir de agora vale a nova senha, independentemente do servidor que ele esteja acessando.
Pois para o usurio interessa o recurso que ele est acessando. Para o usurio no interessa se o recurso est no
servidor 01, 02 ou outro servidor qualquer. Agora vamos ver o que acontece com o usurio paulo.
O usurio paulo, que est utilizando a sua estao de trabalho. Ele tenta acessar um recurso (por exemplo uma pasta
compartilhada) no Servidor 01. Uma janela de logon exibida. Ele fornece o seu nome de usurio e a nova senha e o
acesso (desde que ele tenha as devidas permisses) liberado.
e ele fornece o seu nome de usuro e a nova senha e a surpresa: O acesso negado, com uma mensagem de falha na
autenticao. A o usurio fica pensando: mas como possvel, eu recm troquei a senha. Ele trocou a senha no
Servidor 01. Para os demais servidores continua valendo a senha antiga. A nica maneira de ele conseguir alterar a
senha fazendo o logon com a senha antiga e alterando para a nova senha, em todos os servidores da rede. Agora
imagine o problema em uma rede de grandes propores, com dezenas de servidores e milhares de funcionrios. Fica
fcil concluir que o modelo de Workgroup ficaria insustentvel, impossvel de ser implementado na prtica.
Eu somente recomendaria modelo de Workgroup para redes pequenas, com um nico servidor e com um nmero de,
no mximo, 10 usurios.
Entendendo o funcionamento de uma rede baseada no conceito de Diretrio Domnio:
Agora vou apresentar o modelo de rede baseado em um diretrio. Vamos iniciar considerando o diagrama da
Figura 2.3:
Figura 2.3 Uma rede baseada no conceito de Diretrio - Domnio.
No modelo baseado em diretrio, nos temos uma base de usurios nica, ou seja, todos os servidores da rede
compartilham a mesma base de usurios. O que acontece, na prtica, no que existe uma nica base, armazenada em
um determinado servidor, e todos os demais servidores acessam esta base. No, no isso. O que ocorre na prtica,
que todos os servidores contm uma cpia da base de informaes do diretrio. Alteraes efetuadas em um dos
servidores so repassadas para os demais servidores da rede, para que todos fiquem com uma cpia idntica da base
de dados do diretrio. Esta sincronizao entre os servidores do domnio conhecida como Replicao do Active
Directory.
O que caracteriza uma rede baseada em diretrio o fato de todos os servidores terem acesso a mesma base de dados,
ou seja, todos compartilham o mesmo diretrio, as mesmas informaes sobre usurios, grupos, servidores e recursos.
Mais adiante ser apresentado o conceito de domnio, floresta, relao de confiana, etc. Estes so outros elementos
relacionados com o diretrio e que permitem a criao de redes de grande extenso geogrfica, como por exemplo
redes de uma grande empresa com escritrios no mundo inteiro (Microsoft).
No modelo baseado em diretrio, a vida do Administrador fica bem mais fcil. Vamos supor que o usurio paulo
queira acessar um recurso em um dos servidores da rede. Sem problemas, qualquer servidor tem uma cpia da base de
dados do diretrio. Com isso a conta do usurio paulo estar disponvel em qualquer servidor. Com isso ele poder
acessar recursos em qualquer um destes servidores. H, mas se o usurio paulo alterar a sua senha. Isso ser feito na
cpia do banco de dados do diretrio de um dos servidores. Correto? Correto, porm em pouco tempo esta alterao
ser replicada para todos os demais servidores e a senha do usurio paulo estar sincronizada em todos os servidores.
O modelo baseado em diretrios (e no conceito de domnios, florestas, etc) bem mais fcil para administrar e
permite a implementao de redes de grandes propores, tanto geogrficas quanto em nmeros de usurios. Na
empresa onde eu trabalho, temos uma rede baseada no Active Directory. A rede se estende por todos os estados do
territrio nacional e tem cerca de 22.000 usurios. Uma rede e tanto. Seria literalmente impossvel manter uma rede
destas propores sem utilizar o modelo baseado em diretrios.
Servidor 01
Base de usurios nica:
jsilva
maria
pedro
paulo
zeze
mjose
ana
Servidor 02 Servidor 03
Domnios, rvores de domnios e Unidades Organizacionais Conceitos.
Agora que voc j conhece bem a diferena entre um modelo de rede baseada em Workgroup e outro de rede baseada
em diretrios, hora de avanar um pouco mais e ns aproximar da terminologia do Active Directory. Neste item vou
apresentar o conceito de diretrio. No um conceito formal, como o apresentado no incio do captulo, mas sim o
conceito de diretrio que utilizado em redes baseadas no Active Directory e no Windows Server 2003 (ou Windows
2000 Server).
No Windows Server 2003 (e tambm no Windows 2000 Server), o conjunto de servidores, estaes de trabalho, bem
como as informaes do diretrio que formam uma unidade conhecida como Domnio. Todos os servidores que
contm uma cpia da base de dados do Active Directory, fazem parte do domnio. As estaes de trabalho podem ser
configuradas para fazer parte do domnio. No caso de estaes de trabalho com o NT Workstation 4.0, Windows 2000
Professional ou Windows XP Professional, cada estao de trabalho que faz parte do domnio, tem uma conta de
computador criada no domnio. A conta de computador tem o mesmo nome do computador. Por exemplo, a estao de
trabalho micro-cont-001, tem uma conta de computador, na base de dados do Active Directory, com o nome de micro-
cont-001.
Um domnio pode tambm ser definido com um limite administrativo e de segurana. Ele um limite administrativo,
pois as contas de Administrador tem permisses de acesso em todos os recursos do domnio, mas no em recursos de
outros domnios. Ele um limite de segurana porque cada domnio tem definies de polticas de segurana que se
aplicam as contas de usurios e demais recursos dentro de domnio e no a outros domnios. Ou seja, diferentes
domnios podem ter diferentes polticas e configuraes de segurana. Por exemplo, no domnio A, posso ter uma
poltica de segurana que define um tamanho mnimo de senha como 8 caracteres. Esta poltica ser vlida para todas
as contas de usurio do domnio A. Um segundo domnio B, pode ter uma poltica de segurana diferente, a qual
define um tamanho mnimo de senha de 12 caracteres. Esta poltica ser vlida para todas as contas de usurios do
domnio B.
Um Domnio simplesmente um agrupamento lgico de contas e recursos, os quais compartilham polticas de segurana.
As informaes sobre os diversos elementos do domnio (contas de usurios, contas de computador, grupos de usurios,
polticas de segurana, etc), esto contidas no banco de dados do Active Directory.
Em um domnio baseado no Active Directory e no Windows Server 2003 possvel ter dois tipos de servidores
Controladores de Domnio (DC Domain Controlers)
Servidores Membro (Member Servers).
Falarei um pouco mais sobre Controladores de Domnio e Servidores Membro no final deste tpico.
A criao de contas de usurios, grupos de usurios e outros elementos do Active Directory, bem como alteraes nas
contas de usurios, nas polticas de segurana e em outros elementos do Active Directory, podem ser feitas em qualquer
um dos Controladores de Domnio. Uma alterao feita em um DC ser automaticamente repassadas (o termo tcnico
replicada) para os demais Controladores de Domnio. Por isso se voc cria uma conta para o usurio jsilva e
cadastra uma senha para este usurio, essa conta passa a ser vlida em todo o domnio, sendo que o usurio jsilva pode
receber permisses para acessar recursos e servios em qualquer servidor do Domnio, seja em um Controlador de
Domnio ou em um Servidor Membro.
Por isso que o Domnio transmite a idia de um agrupamento lgico de Contas de Usurios e Grupos, bem como de
polticas de segurana, uma vez que todo o Domnio compartilha a mesma lista de Usurios, Grupos e polticas de
segurana. A criao de domnios facilita enormemente a administrao de uma rede baseada no Windows Server
2003, sendo altamente recomendada para qualquer rede de maior porte seja criada com base em um ou mais domnios
(dependendo do porte da rede).
Nos Servidores Membros podem ser criadas contas de usurios e grupos, as quais somente sero vlidas no Servidor
Membro onde foram criadas. Embora isso seja tecnicamente possvel, essa uma prtica no recomendada, uma vez
que isso dificulta enormemente a administrao de um Domnio. Voc pode atribuir permisses para os Recursos de
um Servidor Membro, contas de Usurios e Grupos do domnio, sem a necessidade de criar esses usurios ou grupos
localmente. Por exemplo, um usurio jsilva, que pertence ao domnio, pode receber permisses de acesso em uma
pasta compartilhada de um Servidor Membro. Com isso voc pode concluir que um Servidor Membro, um servidor
que embora no mantenha uma cpia da lista de usurios e grupos do Active Directory, este tem acesso a essa lista.
Com isso que podem ser atribudas permisses nos recursos do Servidor Membro (tais como pastas compartilhadas,
impressoras, etc ) para as contas e grupos do Domnio.
Em um Domnio todos os Controladores de Domnio, compartilham uma lista de usurios, grupos e polticas de
segurana, alm de algumas outras caractersticas que falarei no tpico sobre o Active Directory. Alm disso alteraes
feitas em um dos Controladores de Domnio, so automaticamente replicadas para os demais. DCs
Os DCs tambm so responsveis por fazer a autenticao dos usurios na rede. Por exemplo, vamos supor que o
usurio jsilva trabalha em uma estao de trabalho com o Windows XP Professional instalado. Esta estao foi
configurada para fazer parte do domnio. Quando o usurio jsilva liga a estao de trabalho e o Windows inicializado,
apresentada a tela de logon para que ele fornea o seu nome de usurio e senha. O Windows precisa verificar se o
nome de usurio e senha esto corretos. A Windows tenta localizar um DC na rede. no DC que a verificao feita,
comparando as informaes digitadas pelo usurio, com as informaes da base de dados do Active Directory. Se as
informaes esto OK o logon liberado, o usurio autenticado e a rea de trabalho do Windows exibida. A partir
deste momento, toda vez que o usurio tentar acessar um recurso do domnio, ser apresentada a sua autenticao,
com base nas informaes de logon apresentadas, para provar a identidade do usurio para a rede. Isso evita que o
usurio tenha que entrar com o seu logon e senha cada vez que for acessar um recurso em um servidor diferente (que
justamente o que acontece no modelo baseado em Workgroup, conforme descrito anteriormente).
Como os Servidores Membro no possuem uma cpia da lista de usurios e grupos,
estes no efetuam a autenticao dos clientes e tambm no armazenam
informaes sobre as polticas de segurana para o Domnio as quais tambm
so conhecidas por GPO Group Polices Objects.
Quando os servidores Windows Server 2003 so configurados para trabalhar com
um Workgroup, no existe o conceito de domnio e nem de Controlador de
Domnio. Cada servidor mantm uma lista separada para contas de usurios, grupos
e polticas de segurana, conforme descrito anteriormente. Com isso se um usurio
precisa acessar recursos em trs servidores, por exemplo, ser necessrio criar
uma conta para esse usurio nos trs servidores diferentes. Um Workgroup somente
recomendado para redes extremamente pequenas, normalmente com um nico
servidor Windows Server 2003 e no mais do que 10 estaes clientes, conforme
descrito anteriormente.
Active Directory
Lembro de j ter escrito a seguinte frase, em um dos captulos deste livro:
O Active Directory , sem dvidas, a mudana mais significativa includa no
Windows 2000 Server e que tambm faz parte do Windows Server 2003.
NOTA: Estaes de trabalho com o
Windows XP Home, no podem ser
configuradas para fazer parte de um
domnio. Estaes de trabalho com o
Windows 95/98/Me podem ser
configuradas para fazer parte de um
domnio. Para ter acesso a maioria dos
recursos do Active Directory, tambm
preciso instalar o Active Directory Cli-
ent, nas estaes de trabalho com o
Windows 95/98/Me. Uma estao de
trabalho com o NT Workstation 4.0
tambm pode ser configurada para
fazer parte de um domnio baseado
no Active Directory e no Windows
Server 2003.
Mas de uma maneira simples, o que o Active Directory ?
O Active Directory o servio de diretrios do Windows Server 2003. Um Servio de Diretrios um servio de
rede, o qual identifica todos os recursos disponveis em uma rede, mantendo informaes sobre estes dispositivos
(contas de usurios, grupos, computadores, recursos, polticas de segurana, etc) em um banco de dados e torna estes
recursos disponveis para usurios e aplicaes.
Pode parecer que o Active Directory , na verdade um banco de dados. Mas no s isso. Alm do banco de dados
com informaes sobre os elementos (tecnicamente conhecidos como objetos) que compem o domnio, o Active
Directory tambm disponibiliza uma srie de servios que executam as seguintes funes:
Replicao entre os Controladores de domnio.
Autenticao
Pesquisa de objetos na base de dados
Interface de programao para acesso aos objetos do diretrio
Pela descrio formal, possvel inferir que o Active Directory um servio de rede, no qual ficam armazenadas
informaes sobre dados dos usurios, impressoras, servidores, grupos de usurios, computadores e polticas de
segurana. Cada um desses elementos so conhecidos como objetos.
O Active Directory alm de armazenar uma srie de informaes sobre os objetos disponveis no domnio (contas de
usurios, grupos de usurios, servidores, computadores, etc), torna fcil para o administrador localizar e fazer alteraes
nos objetos existentes, bem como criar novos objetos ou excluir objetos que no sejam mais necessrios. Em resumo,
com o conjunto de servios oferecidos pelo Active Directory, a administrao da rede fica bem mais fcil.
Os recursos de segurana so integrados com o Active Directory, atravs do mecanismo de logon e autenticao. Todo
usurio tem que fazer o logon (informar o seu nome de usurio e senha), para ter acesso aos recursos da rede. Durante
o logon o Active Directory verifica se as informaes fornecidas pelo usurio esto corretas e ento libera o acesso aos
recursos para os quais o usurio tem permisso de acesso.
Os recursos disponveis atravs do Active Directory , so organizados de uma
maneira hierrquica, atravs do uso de Domnios. Uma rede na qual o Active
Directory est instalado, pode ser formada por um ou mais Domnios. Com a
utilizao do Active Directory um usurio somente precisa estar cadastrado em
um nico Domnio, sendo que este usurio pode receber permisses para acessar
recursos em qualquer um dos Domnios, que compem a rvore de domnios da
empresa.
A utilizao do Active Directory simplifica em muito a administrao, pois fornece
um local centralizado, atravs do qual todos os recursos da rede podem ser
administrados. Todos os Controladores de Domnio (DCs), possuem o Active
Directory instalado. A Maneira de criar um domnio instalar o Active Directory
em um Member Server e informar que este o primeiro Controlador de Domnio.
Depois de criado o domnio (a parte prtica da criao de domnios ser vista na
parte final do captulo.) voc pode criar DCs adicionais, simplesmente instalando
o Active Directory outros servidores.
O Active Directory utiliza o DNS (Domain Name System) como servio de
nomeao de servidores e recursos e de resoluo de nomes. Por isso um dos pr-
requisitos para que o Active Directory possa ser instalado e funcionar perfeitamente
que o DNS deve estar instalado e corretamente configurado.
Novidade: No Windows Server
2003, o assistente de instalao do
Active Directory capaz de instalar
e configurar o DNS, caso ele no
encontre um servidor DNS
adequadamente configurado na
rede. Esta no chega a ser
exatamente uma novidade. O que
ocorre na prtica, que o assistente
de instalao do Active Directory, no
Windows Server 2003, consegue na
maioria das vezes configurar o DNS
corretamente, o que no ocorria no
Windows 2000 Server.
O Agrupamento de objetos em um ou mais Domnios permite que a rede de computadores reflita a organizao da sua
empresa. Para que um usurio cadastrado em um domnio, possa receber permisses para acessar recursos em outros
domnios, o Windows Server 2003 cria e mantm relaes de confiana entre os diversos domnios. As relaes de
confiana so bidirecionais e transitivas. Isso significa se o Domnio A confia no Domnio B, o qual por sua vez
confia em um Domnio C, ento o Domnio A tambm confia no Domnio C. Isso bastante diferente do que
acontecia at o NT Server 4.0, uma vez que as relaes de confiana tinham que ser criadas e mantidas pelos
administradores dos domnios, uma a uma. Era um trabalho e tanto, o que dificultava a implementao de relaes de
confiana em uma rede com muitos domnios.
Todo Domnio possui as seguintes caractersticas:
Todos os objetos de uma rede (contas de usurios, grupos, impressoras, polticas de segurana, etc) fazem
parte de um nico domnio. Cada domnio somente armazena informaes sobre os objetos do prprio domnio.
Cada domnio possui suas prprias polticas de segurana.
rvore de domnios:
Quando existem diversos domnios relacionados atravs de relaes de confiana, criadas e mantidas automaticamente
pelo Active Directory, temos uma rvore de domnios. Uma rvore nada mais do que um agrupamento ou arranjo
hierrquico de um ou mais domnios do Windows Server 2003, os quais compartilham um espao de nome.
Vou explicar em detalhes o que significa a expresso compartilham um espao de nome. Primeiramente observe a
Figura 2.4.
Figura 2.4 Todos os domnios de uma rvore compartilham um espao de nomes em comum.
Observe que exibida uma rvore com 7 domnios. Mas o que significa mesmo compartilham um espao de nome?
Observe que o domnio inicial, tambm conhecido como domnio pai ou domnio root, microsoft.com. Os domnios
seguintes so: vendas.microsoft.com e suporte.microsoft.com. Quando formada uma hierarquia de domnios,
compartilhar um espao de nomes, significa que os nomes dos objetos filho (de segundo nvel, por exemplo:
vemdas.microsoft.com e suporte.microsoft.com), contm o nome do objeto pai (microsoft.com). Por exemplo,
vendas.microsoft.com contm microsoft.com. Descendo mais ainda na hierarquia, voc pode observar que este fato
continua verdadeiro. Por exemplo o objeto filho sistemas.vendas.microsoft.com contm o nome do objeto Pai
vendas.microsoft.com.
Com isso uma rvore de diretrios deste tipo forma um espao de nomes contnuo, onde o nome do objeto filho
sempre contm o nome do objeto pai.
Voc pode ainda dividir um Domnio em Unidades Organizacionais. Uma Unidade Organizacional uma diviso lgica
do domnio, a qual pode ser utilizada para organizar os objetos de um determinado domnio em um agrupamento lgico para
efeitos de administrao. Isso resolve uma srie de problemas que existiam em redes baseadas no NT Server 4.0.
No Windows NT Server 4.0 se um usurio fosse adicionado ao grupo Administradores (grupo com poderes totais
sobre qualquer recurso do domnio), ele poderia executar qualquer ao em qualquer servidor do domnio. Com a
utilizao de Unidades Organizacionais, possvel restringir os direitos administrativos apenas a nvel da Unidade
Organizacional, sem que com isso o usurio tenha poderes sobre todos os demais objetos do Domnio.
Cada domnio pode implementar a sua hierarquia de Unidades Organizacionais, independentemente dos demais
domnios, isto , os diversos domnios que formam uma rvore, no precisam ter a mesma estrutura hierrquica de
unidades organizacionais.
No exemplo da Figura 2.4, o domnio vendas.microsoft.com, poderia ter uma estrutura hierrquica de Unidades Organizacionais,
projetada para atender as necessidades do domnio vendas. Essa estrutura poderia ser completamente diferente da estrutura do
domnio suporte.microsoft.com, a qual ser projetada para atender as necessidades do domnio suporte. Com isso tem-se uma
flexibilidade bastante grande, de tal forma que a rvore de domnios e a organizao dos domnios em uma hierarquia de
Unidades Organizacionais, possa atender perfeitamente as necessidades da empresa. A utilizao de Unidades Organizacionais
no obrigatria, porm altamente recomendada,conforme mostrarei em alguns exemplos mais adiante.
Utilize Unidades Organizacionais quando:
Voc quiser representar a estrutura e organizao da sua companhia em um domnio. Sem a utilizao de
Unidades Organizacionais, todas as contas de usurios so mantidas e exibidas em uma nica lista, independente
da localizao, departamento ou funo do usurio.
Voc quiser delegar tarefas administrativas sem para isso ter que dar poderes administrativos em todo o Domnio.
Com o uso de Unidades Organizacionais, voc pode dar permisses para um usurio somente a nvel da
Unidade Organizacional.
Quiser facilitar e melhor acomodar alteraes na estrutura da sua companhia. Por exemplo, muito mais fcil
mover contas de usurios entre Unidades Organizacionais do que entre domnios, embora no Windows Server
2003 seja bem mais fcil mover uma conta de um domnio para outro, do que era no Windows 2000 Server.
Com a apresentao destes conceitos, voc j est habilitado a estudar os elementos do Active Directory em mais detalhes.
Conhecendo os principais Objetos de um domnio.
At aqui apresentei os conceitos bsicos sobre diretrios, domnios, unidades organizacionais e rvores de diretrios.
A partir deste item passarei a descrever os objetos que fazem parte do Active Directory. Na seqncia falarei sobre os
servios que do suporte ao Active Directory, tais como os servios de replicao e o conceito de relaes de confiana
entre diretrios.
Contas de usurios, computadores e grupos de usurios
Contas de usurios
Todo usurio que quer ter acesso aos recursos dos computadores do domnio (pastas compartilhadas, impressoras
compartilhadas, etc) deve ser cadastrado no Active Directory. Cadastrar o usurio, significa criar uma conta de usurio
e uma senha. Ao cadastrar um usurio, outras informaes tais como seo, nome completo, endereo, telefone, etc,
podem ser cadastradas, conforme veremos no Captulo 4.
Uma conta de usurio um objeto do Active Directory, o qual contm diversas informaes sobre o usurio, conforme
descrito anteriormente. importante salientar que a conta somente precisa ser criada uma vez, em um dos Controladores
de domnio. Uma vez criada, a conta ser replicada para todos os demais DCs do domnio.
Voc tambm pode criar contas nos servidores membros e nas estaes de trabalho com Windows 2000 Professional ou
Windows XP Professional. As contas criadas nestes computadores so ditas contas locais, ou seja, somente existem no
computador onde foram criadas. Vamos imaginar que voc est trabalhando em uma estao de trabalho com o Windows
XP Professional instalado. Esta estao foi configurada para fazer parte do domnio abc.com.br. Como a estao de
trabalho faz parte do domnio, voc ter acesso a lista de usurios e grupos do domnio. Com isso voc poder, por
exemplo, atribuir permisso de acesso para um usurio do domnio (ou um grupo de usurios) em uma pasta compartilhada
na sua estao de trabalho. Nesta mesma estao voc tambm poder criar contas de usurios e grupos locais, os quais
ficam gravados na base de usurios local e s existe neste computador. Estes usurios e grupos (criados localmente),
somente podem receber permisses de acesso para os recursos do computador onde foram criados. Voc no conseguir
atribuir permisso de acesso em uma pasta compartilhada no servidor, para um usurio local da sua estao de trabalho.
Embora seja tecnicamente possvel a criao de usurios e grupos locais, nos Servidores Membros e nas estaes de
trabalho, esta prtica no recomendada. Quando voc trabalha em um domnio, o ideal que contas de usurios e
grupos sejam criadas somente no domnio, isto , nos DCs.
IMPORTANTE: O Administrador pode utilizar o recurso de GPOs Group Polices Objects para impedir que os usurios possam
criar contas de usurios e grupos locais, em suas estaes de trabalho. O assunto GPOs abordado, em detalhes, no Captulo 18 do
Livro: Windows Server 2003 Curso Completo, 1568 pginas.
Algumas recomendaes e observaes sobre contas de usurios:
Todo usurio que acessa a rede deve ter a sua prpria conta. No recomendado que dois ou mais usurios
compartilhem a mesma conta. A conta a identidade do usurio para a rede. Por exemplo, quando o usurio
jsilva faz o logon no domnio, a sua conta a sua identidade para o sistema. Todas as aes realizadas pelo
usurio esto associadas a sua conta. O Windows Server 2003 tem um sistema de auditoria de segurana, no
qual o Administrador pode configurar quais aes devem ser registradas no Log de auditoria. Por exemplo, o
administrador pode definir que toda tentativa de alterar um determinado arquivo seja registrada no log de
auditoria. Se o usurio jsilva tentar alterar o referido arquivo, ficar registrado no logo de auditoria que o
usurio jsilva, no dia tal, hora tal, tentou alterar o arquivo tal. Se dois ou mais usurios esto compartilhando
a mesma conta, fica difcil identificar qual o usurio que estava logado no momento. Para o sistema o jsilva.
Agora quem dos diversos usurios que utilizam a conta jsilva que estava logado e tentou alterar o referido
arquivo? Fica difcil saber. Por isso a recomendao para que cada usurio seja cadastrado e tenha a sua
prpria conta e senha.
Com base nas contas de usurios e grupos, o administrador pode habilitar ou negar permisses de acesso
aos recursos da rede. Por exemplo, o administrador pode restringir o acesso a pastas e arquivos
compartilhados na rede, definindo quais usurios podem ter acesso e qual o nvel de acesso de cada
usurio leitura, leitura e alterao, excluso e assim por diante. Mais um bom motivo para que cada
usurio tenha a sua prpria conta e senha.
Outro detalhe que voc deve observar, a utilizao de um padro para o nome das contas de usurios. Voc deve
estabelecer um padro para a criao de nomes, pois no podem existir dois usurios com o mesmo nome de logon
dentro do mesmo Domnio. Por exemplo se existir no mesmo Domnio, dois Jos da Silva e os dois resolverem
utilizar como logon jsilva, somente o primeiro conseguir, o segundo ter que se conformar em escolher um outro
nome de logon. Para isso importante que seja definido um padro e no caso de nomes iguais deve ser definido uma
maneira de diferenci-los. Por exemplo poderamos usar como padro a primeira letra do nome e o ltimo sobrenome.
No caso de nomes iguais, acrescenta-se nmeros. No nosso exemplo o primeiro Jos da Silva cadastrado ficaria como
jsilva, j o segundo a ser cadastrado ficaria como jsilva1. Caso no futuro tivssemos mais um Jos da Silva dentro da
mesma Unidade Organizacional, este seria o jsilva2 e assim por diante.
Quando for criar nomes de logon para os usurios, leve em considerao os seguintes detalhes:
Nomes de Usurios do Domnio devem ser nicos dentro do Domnio.
Podem ter no mximo 20 caracteres.
Os seguintes caracteres no podem ser utilizados: / \ : ; [ ] | = , + * ? < >
Sempre que voc for cadastrar um usurio tambm deve ser cadastrada uma senha para o usurio. Conforme mostrarei
no Captulo 4, o administrador pode especificar um nmero mnimo de caracteres aceito para a senha. O nmero
mximo de caracteres da senha 128.
Contas de Computador
Estaes de trabalho que rodam o Windows NT Workstation 4.0, Windows 2000
Professional ou Windows XP Professional e que fazem parte do domnio, devem
ter uma conta de computador no Active Directory. Servidores, quer sejam Mem-
ber Servers ou DCs, rodando Windows NT Server 4.0, Windows 2000 Server ou
Windows Server 2003, tambm tem contas de computador no Active Directory.
A conta de computador pode ser criada antes da instalao do computador ser
adicionado ao domnio ou no momento em que o computador configurado para
fazer parte do domnio. A conta do computador deve ter o mesmo nome do
computador na rede. Por exemplo, um computador com o nome de microxp01,
ter uma conta no Active Directory, com o nome: microxp01.
Grupos de usurios
Um grupo de usurios uma coleo de contas de usurios. Por exemplo, podemos
criar um grupo chamado Contabilidade, do qual faro parte todos os usurios do
departamento de Contabilidade (todas as contas de usurios dos funcionrios do
departamento de Contabilidade).
IMPORTANTE: Para as senhas, o
Windows Server 2003 distingue
letras maisculas de minsculas. Por
exemplo a senha Abc123
diferente da senha abc123.
NOTA: Computadores rodando Win-
dows 95/98/Me, mesmo tendo acesso
a lista de usurios e grupos do domnio,
no tero contas de computador criadas
no Active Directory.
A principal funo dos grupos de usurios facilitar a administrao e a atribuio de permisses para acesso a
recursos, tais como: pastas compartilhadas, impressoras remotas, servios diversos, etc.
Ao invs de dar permisses individualmente, para cada um dos usurios que necessitam acessar um determinado
recurso, voc cria um grupo, inclui os usurios no grupo e atribui permisses para o grupo. Para que um usurio tenha
permisso ao recurso, basta incluir o usurio no grupo, pois todos os usurios de um determinado grupo, herdam as
permisses dos grupos aos quais o usurio pertence.
Quando um usurio troca de seo, por exemplo, basta trocar o usurio de grupo. Vamos supor que o usurio jsilva
trabalha na seo de contabilidade e pertence ao grupo Contabilidade. Com isso ele tem acesso a todos os recursos
para os quais o grupo Contabilidade tem acesso. Ao ser transferido para a seo de Marketing, basta retirar o usurio
jsilva do grupo Contabilidade e adicion-lo ao grupo Marketing. Com isso o jsilva deixa de ter as permisses atribudas
ao grupo Contabilidade e passa a ter as mesmas permisses que tem o grupo Marketing. Este exemplo simples j
consegue demonstrar o quanto a utilizao de grupos pode facilitar a administrao de atribuio de permisses.
Vamos analisar mais um exemplo. Suponha que exista um sistema chamado SEAT, para o qual somente um nmero
restrito de usurios deve ter acesso, sendo que so usurios de diferentes sees. A maneira mais simples de definir as
permisses de acesso ao sistema SEAT criar um grupo chamado Seat e dar permisses para esse grupo. Assim cada
usurio que precisar acessar o sistema SEAT, deve ser includo no grupo Seat. Quando o usurio no deve mais ter
acesso ao sistema SEAT, basta remov-lo do grupo Seat. Simples, fcil e muito prtico.
Na Figura 2.5 apresento uma ilustrao para o conceito de Grupo de usurios. O Grupo Contabilidade possui direito
para um recurso compartilhado, o qual pode ser acessado atravs da rede. Todos os usurios que pertencem ao grupo
contabilidade, tambm possuem permisso para o recurso compartilhado, uma vez que os usurios de um grupo,
herdam as permisses do grupo.
Figura 2.5 O Usurio herda as permisses do grupo.
Quando estiver trabalhando com grupos de usurios, considere os fatos a seguir:
Grupos so uma coleo de contas de usurios.
Os membros de um grupo, herdam as permisses atribudas ao grupo.
Os usurios podem ser membros de vrios grupos
Grupos podem ser membros de outros grupos.
Contas de computadores podem ser membros de um grupo (novidade do Windows Server 2003).
Agora vou falar sobre os tipos de grupos existentes no Windows Server 2003. Os grupos
so classificados de acordo com diferentes critrios, tais como: tipo, escopo e visibilidade.
Podemos ter dois tipos de grupos no Windows Server 2003 : Grupos de segurana
( Security Groups) e Grupos de distribuio (Distribution Groups).
Classificao dos grupos quanto ao tipo:
Grupos de segurana: Normalmente utilizado para atribuir permisses de
acesso aos recursos da rede. Por exemplo, ao criar um grupo Contabilidade,
o qual conter todas as contas dos funcionrios do departamento de
contabilidade, o qual ser utilizado para atribuir permisses de acesso a
uma pasta compartilhada, devo criar este grupo como sendo do tipo Grupo
de segurana. Um grupo de segurana tambm pode ser utilizado como
um grupo de distribuio, embora essa no seja uma situao muito
comum. Esses grupos, assim coma as contas de usurios so armazenados
no Banco de dados do Active Directory.
Grupos de distribuio: So utilizados para funes no relacionadas com
segurana ( atribuio de permisses) . Normalmente so utilizados em
conjunto com servidores de e-mail, tais como o Exchange 2000, para o
envio de e-mail para um grupo de usurios. Uma das utilizaes tpicas
para um Grupo de distribuio o envio de mensagens de e-mail para um
grupo de usurios de uma s vez. Somente programas que foram
programados para trabalhar com o Active Directory, podero utilizar
Grupos de distribuio (como o caso do Exchange 2000 citado
anteriormente). Provavelmente as novas verses dos principais sistemas
de correio eletrnico estaro habilitadas para trabalhar com o Active
Directory. No possvel utilizar grupos de distribuio para funes
relacionadas com segurana.
NOTA: importante lembrar que,
neste captulo, esto sendo
apresentados os conceitos tericos
do Active Directory. A parte prtica
ser vista nos demais captulos. Por
exemplo, no Captulo 4 voc
aprender a criar usurios, grupos
de usurios e a adicionar contas de
usurios como membro de um ou
mais grupos.
NOTA: possvel converter um
grupo do tipo Segurana para
distribuio e vice-versa. Para tal
preciso que o domnio esteja, pelo
menos, no modo Windows 2000
Nativo. Para domnios que ainda
estejam no modo Windows 2000
Mixed, esta converso no ser
possvel. Mais adiante falarei sobre
Modos de um Domnio e Modos de
uma rvore de Domnios.
Classificao dos grupos quanto ao Escopo:
Quando criamos um grupo de usurios, devemos selecionar um tipo (descrito anteriormente) e um escopo. O Escopo
permite que o grupo seja utilizado de diferentes maneiras para a atribuio de permisses. O escopo de um grupo,
determina em partes do domnio ou de uma floresta de domnios, o grupo visvel, ou seja, pode ser utilizado para
receber permisses de acesso aos recursos da rede.
Existem trs escopos para grupos de usurios, conforme descrito a seguir: Universal, Global e Local do domnio.
Vamos apresentar as diversas caractersticas e usos de cada tipo de grupo.
Grupos universais (Universal group):
Como o prprio nome sugere so grupos que podem ser utilizados em qualquer parte de um domnio ou da rvore de
domnios e podem conter como membros, grupos e usurios de quaisquer domnios. Em resumo:
Pode conter: Contas de usurios, outros grupos universais, e grupos globais de qualquer domnio.
Pode ser membro de: Grupos locais do domnio ou grupos universais de qualquer domnio.
Pode receber permisses para recursos localizados em qualquer domnio.
Conforme detalharei mais adiante, um domnio baseado no Active Directory pode estar em diferentes modos (Win-
dows 2000 Nativo, Misto ou Windows Server 2003). Para cada modo existem diferentes possibilidades em relao aos
grupos Universais:
Quando o nvel de funcionalidade do Domnio est configurado como Windows 2000 Nativo ou Windows
Server 2003, os seguintes elementos podem ser includos como membros de um grupo universal: Usurios,
grupos Globais e grupos Universais de qualquer domnio da floresta.
Quando o nvel de funcionalidade do Domnio est configurado como Windows 2000 Misto, no possvel
criar grupos Universais.
Server 2003, um grupo Universal pode ser colocado como membro de um outro grupo Universal e permisses
podem ser atribudas em qualquer domnio.
Um grupo pode ser convertido de Universal para Global ou de Universal para Local do domnio. Nos dois
casos esta converso somente pode ser feita se o grupo Universal no tiver como um de seus membros, outro
grupo Universal.
IMPORTANTE: Os grupos
Universais devem ser muito bem
planejados. No devem ser feitas
alteraes freqentes nos membros
de um grupo Universal, uma vez
que este tipo de ao causa um vol-
ume elevado de replicao no Ac-
tive Directory. Mais adiante quando
for apresentado o conceito de
Catlogo Global e de replicao no
Active Directory, voc ver o quo
justificada esta recomendao.
Quando devemos utilizar grupos universais:
Quando voc deseja consolidar diversos grupos globais. Voc pode fazer isso
criando um grupo Universal e adicionando os diversos grupos globais como
membros do grupo Universal.
Grupo global:
Um grupo Global global quanto aos locais onde ele pode receber permisses
de acesso, ou seja, um grupo Global pode receber permisses de acesso em recursos
(pastas compartilhadas, impressoras, etc) de qualquer domnio. Em resumo,
considere as afirmaes a seguir:
Pode conter: Contas de usurios e grupos globais do mesmo domnio, ou
seja, omente pode conter membros do domnio no qual o grupo criado.
Pode ser membro de: Grupos universais e Grupos locais do domnio, de
qualquer domnio.
Grupos globais do mesmo domnio.
Conforme detalharei mais adiante, um domnio baseado no Active Directory pode estar em diferentes modos
(Windows 2000 Nativo, Misto ou Windows Server 2003). Para cada modo existem diferentes possibilidades
em relao aos grupos Globais:
Server 2003, os seguintes elementos podem ser includos como membros de um grupo Global: contas de
usurios e grupos globais do mesmo domnio. Por exemplo, se voc cria um grupo global chamado WebUsers,
no domnio abc.com.br, este grupo poder conter como membros, grupos globais do domnio abc.com.br e
usurios do domnio abc.com.br
Quando o nvel de funcionalidade do Domnio est configurado como Windows 2000 Misto, somente contas
de usurios do prprio domnio que podem ser membros de um grupo Global.
Por exemplo, se voc cria um grupo global chamado WebUsers, no domnio abc.com.br e este domnio est no
modo Misto, ento somente contas de usurios do domnio abc.com.br que podero ser membros do grupo
WebUsers.
Um grupo pode ser convertido de Global para Universal, desde que o grupo Global no seja membro de
nenhum outro grupo Global.
Quando devemos utilizar grupos globais:
Os grupos Globais devem ser utilizados para o gerenciamento dos objetos que sofrem alteraes constantemente,
quase que diariamente, tais como contas de usurios e de computadores. As alteraes feitas em um grupo Global so
replicadas somente dentro do domnio onde foi criado o grupo Global e no atravs de toda a rvore de domnios. Com
isso o volume de replicao reduzido, o que permite a utilizao de grupos Globais para a administrao de objetos
que mudam freqentemente.
Grupos locais do domnio (Domain local group):
So grupos que somente podem receber permisses para os recursos do domnio onde foram criados, porm podem
ter como membros, grupos e usurios de outros domnios. Em resumo:
Pode conter membros de qualquer domnio.
Somente pode receber permisses para o domnio no qual o grupo foi criado.
Pode conter: Contas de usurios, grupos universais e grupos globais de qualquer domnio.
Outros grupos Locais do prprio domnio.
Pode ser membro de: Grupos locais do prprio domnio.
Conforme detalharei mais adiante, um domnio baseado no Active Directory pode estar em diferentes modos
(Windows 2000 Nativo, Misto ou Windows Server 2003). Para cada modo existem diferentes possibilidades
em relao aos grupos Globais:
Server 2003, os seguintes elementos podem ser includos como membros de um grupo Local: contas de usurios,
grupos universais e grupos globais de qualquer domnio. Outros grupos locais do prprio domnio.
Um grupo pode ser convertido de Local para Universal, desde que o grupo no tenha como seu membro um
outro grupo Local.
Quando devemos utilizar grupos Locais:
Os grupos Locais so utilizados para atribuir permisses de acesso aos recursos da rede. Conforme discutirei mais
adiante, a Microsoft recomenda uma estratgia baseada nos seguintes passos:
Criar as contas de usurios.
Adicionar as contas de usurios a grupos Globais (confere com o que foi dito anteriormente, onde falei que os
grupos Globais so utilizados para gerenciar os objetos do dia-a-dia, tais como contas de usurios).
Adicione os grupos globais ou Universais (se for o caso) como membros dos grupos Locais.
Atribua permisses de acesso para os grupos Locais.
Atribuio de permisses em mltiplos domnios.
Neste tpico vou analisar um exemplo de uma rede onde existe uma rvore de domnios, ou seja, vrios domnios
formando uma rvore de domnios. Com base no diagrama apresentado na Figura 2.6, apresento alguns estudos de
caso logo em seguida.
Figura 2.6 Uma rvore de domnios.
Uma rvore com sete domnios:
No diagrama proposto na Figura 2.6, exibida uma rvore com sete domnios. O domnio principal, tambm conhecido
como domnio root tem o nome DNS: abc.com. Um domnio tem normalmente dois nomes:
O nome DNS, que o nome completo, no padro do DNS. No nosso exemplo temos os domnios: abc.com,
vendas.abc.com, prod.abc.com e assim por diante.
O nome NETBIOS do domnio, que normalmente a primeira parte do nome DNS. No nosso exemplo temos
os domnios: ABC, VENDAS, PROD, EURO e assim por diante.
Observe que a rvore forma um espao contnuo de nomes, conforme descrito anteriormente. Cada domnio filho
contm o nome completo do domnio pai. Veja a descrio a seguir:
Domnio root principal:
abc.com
Domnios de segundo nvel, filhos do abc.com contm abc.com no nome:
vendas.abc.com
prod.abc.com
Domnios de terceiro nvel, filhos dos domnios de segundo nvel contm o nome do domnio de segundo nvel:
Filhos do vendas.abc.com:
euro.vendas.abc.com
asia.vendas.abc.com
Filhos do prod.abc.com:
amer.prod.abc.com
eua.prod.abc.com
NOTA: Estas so apenas sugestes
de nomes. Eu procurei utilizar
nomes que identificassem que o
grupo do tipo Global, a qual
domnio ele pertence e qual a sua
finalidade.
abc.com
vendas.abc.com prod.abc.com
euro.vendas.abc.com asia.vendas.abc.com amer.prod.abc.com eua.prod.abc.com
Neste exemplo temos uma rvore com sete domnios. Este um exemplo de rvore de domnios perfeitamente possvel de ser
implementada com o uso do Windows Server 2003 e do Active Directory. Nesta rvore o primeiro domnio a ser instalado deve
ser o domnio root: abc.com. Em seguida um dos domnios filhos, por exemplo vendas.abc.com e assim por diante.
Um pouco sobre nomenclaturas de objetos no domnio, LDAP e caminhos UNC:
O Active Directory alm de uma base de dados e um conjunto de servios, tambm interage e dependo de vrios
outros servios e padres para o seu completo funcionamento. J citamos anteriormente que o DNS o servio de
resoluo de nomes no qual se baseia o Active Directory. O Active Directory foi projetado baseado em padres de
diretrios, definidos por entidades internacionais de padronizao.
Entidades internacionais tais como a Internactional Telecommunication Union (ITU), International Organization for
Standardization (ISSO) e o Internet Enginnering Task Force (IETF) trabalham em conjunto ou em colaborao para
definir uma srie de padres que do suporte a servios de diretrios.
Um padro de uso genrico o X.500. Este padro apesar de sua grande abrangncia bastante complexo e acabou
por no ser adotado na sua ntegra como um padro de mercado para a criao de servios de diretrios. Um padro
mais light e que efetivamente tornou-se um padro de mercado o LDAP Lightweight Directory Access Protocol.
O protocolo LDAP fornece mecanismos de acesso aos objetos do Active Directory, de tal maneira que qualquer
programa ou sistema habilitado ao padro LDAP, seja capaz de acessar as informaes do Active Directory, desde que
devidamente identificado e tendo as devidas permisses. No incio do captulo, quando falei sobre diretrios, mltiplas
senhas e afirmei que a viso de futuro da Microsoft uma empresa onde todos os sistemas sejam integrados com o
Active Directory, eu estava pensando no padro LDAP. Com o uso deste padro, possvel desenvolver sistemas
integrados com o Active Directory.
O padro LDAP define um sistema de nomeao hierrquico, atravs do qual possvel referenciar qualquer objeto do
Active Directory. Voc deve estar pensando que o LDAP e o DNS esto sendo utilizados para a mesma funo. No
exatamente isso. Sem entrar nas especificaes tcnicas de cada protocol, arrisco a fazer as seguintes colocaes:
O DNS o sistema de resoluo de nomes utilizado pelos clientes para localizar recursos na rede, tais como o
nome de um servidor ou uma pasta compartilhada em um servidor.
O LDAP um padro para acesso e referncia aos objetos do Active Directory. Com base neste padro possvel
criar APIs (Application Program Interfaces) que facilitam a criao de aplicaes integradas ao Active Directory.
Um nome LDAP formato pelo caminho completo do objeto, partindo do domnio raiz, at chegar ao objeto
referenciado. Nesta nomenclatura hierrquica so utilizados algumas abreviaturas, conforme descrito a seguir:
CN: common name: por exemplo, o nome da conta de um usurio, grupo ou computador.
OU: faz referncia a uma unidade organizacional.
DC: um componente de domnio. Normalmente o nome de um domnio.
O: Nome da organizao. Normalmente representado pelo nome do domnio Root.
C: Country: Identificao de pas. No normalmente utilizado.
Para entender como formado um nome LDAP, melhor analisarmos alguns exemplos. Considere os exemplos a
seguir:
CN=jsilva,OU=contabilidade,DC=vendas,DC=abc.com -> Este nome representa o usurio jsilva, cuja conta
est contida na unidade organizacional contabilidade, no domnio vendas.abc.com (observe que juntamos os
dois componentes de domnio).
CN=maria,OU=auditoria,OU=financas,DC=euro,DC=vendas,DC=abc.com -> Este nome representa o usurio
maria, cuja conta est contida na unidade organizacional auditoria, a qual est contida dentro da unidade
organizacional financas do domno euro.vendas.abc.com.
Conforme j descrito anteriormente, os nomes LDAP e o protocolo LDAP so importantes para quem pretende desenvolver
aplicaes integradas com o Active Directory. Para efeitos de localizao de recursos e identificao de objetos da rede,
interessa mais o nome DNS e a nomenclatura de objetos do domnio, conforme descreverei logo a seguir.
A nomenclatura para localizao de recursos em um servidor segue o padro UNC Universal Naming Convention.
Neste padro um recurso identificado pelo nome do servidor, separado do nome do recurso por uma barra. Considere
os exemplos a seguir:
\\server01.vendas.abc.com\documentos
Este o caminho para uma pasta compartilhada com o nome de compartilahmento documentos, no servidor server01
do domnio vendas.abc.com. Ao invs do nome DNS do servidor tambm poderia ser utilizado o nmero IP do
servidor, como no exemplo a seguir:
\\10.10.20.5\documentos
Outro exemplo:
\\pr-server.prod.abc.com\laser01
Este o caminho para uma impressora compartilhada com o nome de compartilhamento laser01, no servidor pr-
server do domnio prod.abc.com. Ao invs do nome DNS do servidor tambm poderia ser utilizado o nmero IP do
\\10.10.30.5\laser01
Outro ponto que convm ser abordado neste momento a nomenclatura simplificada de identificao dos usurios.
Considere o exemplo a seguir:
vendas.abc.com\jsilva
Este nome faz referncia ao usurio jsilva do domnio vendas.abc.com. Outra forma de referncia seria utilizar apenas
o nome NETBIOS do domnio, ao invs do nome DNS completo, como no exemplo a seguir:
VENDAS\jsilva
O padro NomeDoDomnio\NomeDoObjeto.
Agora que j apresentei os aspectos bsicos de nomeao de objetos e recursos no Active Directory, hora de apresentar
alguns estudos de casos, para que voc possa entender, na prtica, os escopos de grupos (Universal, Global e Local) e como
feita a utilizao de grupos para simplificar o processo de atribuio de permisses de acesso aos recursos da rede.
Estudo de caso 01: Exemplo de uso de Grupos Universais:
Para este primeiro estudo de caso vamos imaginar a rvore de domnios indicada na Figura 2.7, onde todos os domnios
esto no modo Windows Server 2003, o que implica que possvel a utilizao de grupos Universais.
Neste exemplo, existe uma aplicao Web no servidor srv01.abc.com. Esta aplicao exige que o usurio seja autenticado
antes de ter acesso a aplicao. Esta exigncia para que possa ser registrado no log do servidor, as aes realizadas
por cada usurio. Em cada domnio, apenas alguns usurios, de diferentes sees, devero ter permisso de acesso a
esta aplicao. Qual a soluo recomendada para simplificar a administrao deste sistema de permisses de acesso?
Figura 2.7 Uso de grupos Universais.
Soluo proposta: Este um exemplo tpico para o uso de uma combinao de Grupos Universais e Grupos Globais.
Como os domnios esto no modo Windows Server 2003, possvel a criao de Grupos Universais (o que tambm
seria possvel se os domnios estivessem no modo Windows 2000 Nativo). Em cada domno voc cria um grupo
Global. aconselhvel que o nome do grupo seja descritivo do seu objetivo. Voc adiciona os usurios que devem ter
acesso a aplicao Web, como membros do grupo Global do seu respectivo domnio. No domnio abc.com voc cria
um grupo Universal e, adiciona como membros deste grupo, o grupo global de cada domnio, grupos estes criados
anteriormente e aos quais foram adicionados os usurios que devem ter acesso a aplicao Web. No servidor
srv01.abc.com voc atribui as permisses necessrias ao grupo Universal criado no domnio abc.com (do qual so
membros os respectivos grupos globais de cada domnio).
Ao atribuir as permisses necessrias ao grupo universal do domnio abc.com, os grupos globais que so membros
deste grupo iro herdar as mesmas permisses, as quais sero herdadas pelos membros do grupo. Observe que o efeito
de atribuir a permisso ao grupo universal no domnio abc.com que esta permisso propaga-se at os usurios em
seus respectivos domnios.
Dando nome aos grupos e dividindo a soluo em etapas, poderamos descrever a soluo proposta da seguinte maneira:
Criar um grupo global em cada um dos domnios, conforme sugesto a seguir:
Domnio Nome do Grupo Global
abc.com G-Glob-abc-com-AcessoWeb
vendas.abc.com G-Glob-vendas-abc-com-AcessoWeb
euro.vendas.abc.com G-Glob-euro-vendas-abc-com-AcessoWeb
asia.vendas.abc.com G-Glob-asia-vendas-abc-com-AcessoWeb
prod.abc.com G-Glob-prod-abc-com-AcessoWeb
amer.prod.abc.com G-Glob-prod-amer-abc-com-AcessoWeb
eua.prod.abc.com G-Glob-prod-eua-abc-com-AcessoWeb
Em cada domnio voc inclui os usurios que devem ter acesso aplicao Web, ao grupo global do respectivo
domnio, criado no passo anterior.
abc.com
Crio um grupo Universal no domnio abc.com:
Domnio Nome do Grupo Universal
abc.com G-Univ-abc-com-AcessoWeb
Incluo os grupos globais criados na primeira etapa como membros do grupo Universal:
Membros do grupo G-Univ-abc-com-AcessoWeb:
G-Glob-abc-com-AcessoWeb
G-Glob-vendas-abc-com-AcessoWeb
G-Glob-euro-vendas-abc-com-AcessoWeb
G-Glob-asia-vendas-abc-com-AcessoWeb
G-Glob-prod-abc-com-AcessoWeb
G-Glob-prod-amer-abc-com-AcessoWeb
G-Glob-prod-eua-abc-com-AcessoWeb
Pronto, est implementada a soluo para definio das permisses de acesso a aplicao Web no servidor
srv01.abc.com. Com esta soluo, sempre que um usurio precisar de acesso aplicao Web, basta inclu-lo
no grupo global do seu respectivo domnio. Se o usurio no deve mais ter acesso aplicao, basta retir-lo
do respectivo grupo global. Observe que a administrao das permisses fica bem simplificada. uma simples
questo de incluir ou retirar o usurio de um determinado grupo.
Estudo de caso 02: Analisando o escopo de grupos em relao
a membros e permisses de acesso:
Para este estudo de caso vou continuar considerando a rvore de domnios da Figura 5.6. Vamos colocar algumas
questes para anlise:
Questo 01: Vamos supor que voc crie um grupo Global chamado AcessoFinana, no domnio vendas.abc.com.
Considere os itens a seguir:
O grupo AcessoFinana pode ter usurios e grupos de que domnio(os) como membros do grupo?
Como o grupo AcessoFinana Global e foi criado no domnio vendas.abc.com, ele somente pode conter como
membros, usurios e outros grupos globais do prprio domnio vendas.abc.com. Esta uma das caractersticas
dos grupos Globais, ou seja, somente podem conter como membros, usurios e outros grupos globais do seu
prprio domnio.
Em qual ou quais domnios o grupo AcessoFinana pode receber permisses de acesso?
Um grupo Global pode receber permisses de acesso a recursos em qualquer domnio na rvore de domnios.
Normalmente para atribuir permisses a um grupo Global, em outro domnio, basta colocar o grupo Global
como membro de um grupo Local do domnio de destino (onde est localizado o recurso) e atribuir permisso
para o grupo Local. Este o procedimento recomendado pela Microsoft. Por exemplo, vamos supor que o
grupo global AcessoFinana, do domnio vendas.abc.com, precise de acesso a uma pasta compartilhada em
um servidor do domnio prod.abc.com. O processo recomendado pela Microsoft incluir o grupo global
AcessoFinana, do domnio vendas.abc.com, como membro de um grupo local do domnio prod.abc.com e
atribuir as permisses necessrias para este grupo local. Com isso o grupo global herda as permisses e todos
os usurios do grupo Global tamb herdam as permisses.
Questo 02: Vamos supor que voc crie um grupo Local chamado UsuriosMemo, no domnio vendas.abc.com.
O grupo UsuriosMemo pode ter usurios e grupos de que domnio(os) como membros do grupo?
Como o grupo UsuriosMemo Local, ele pode ter como membros, usurios e grupos do seu prprio domnio
e tambm usurios e grupos de outros domnios. Por exemplo, posso incluir um grupo global do domnio
prod.abc.com, como membro de um grupo local do domnio vendas.abc.com.
Em qual ou quais domnios o grupo UsuriosMemo pode receber permisses de acesso?
Como o grupo Local ele somente pode receber permisse de acesso a recursos localizados em servidores do
seu prprio domnio, ou seja, a recursos localizados em servidores do domnio vendas.abc.com, onde o grupo
UsuriosMemo foi criado.
Questo 03: Vamos supor que voc crie um grupo Universal chamado AcessoWeb, no domnio abc.com. Considere os
itens a seguir:
O grupo AcesspWeb pode ter usurios e grupos de que domnio(os) como membros do grupo?
De qualquer domnio, pois ele um grupo Universal.
Em qual ou quais domnios o grupo Acesso Web pode receber permisses de acesso?
Em qualquer domnio, pois ele um grupo Universal.
Agora chegado o momento de analisar mais alguns elementos que formam a infra-estrutura que permite o
funcionamento do Active Directory. Vou falar um pouco mais sobre Unidades organizacionais. Na seqncia falarei
sobre Relaes de confiana e florestas.
Entendendo as Unidades organizacionais.
O conceito de Unidade organizacional foi introduzido no Windows 2000 Server, juntamente com o Active Directory
e veio para solucionar um problema srie de Administrao existente no Windows NT Server 4.0.
Com o NT Server 4.0, no havia como atribuir permisses de acesso apenas a uma parte do domnio. Ou voc atribua
permisses de Administrador no domnio inteiro ou no tinha como atribuir permisses de administrador para um
usurio. Imagine uma empresa que tem uma rede, com filiais em todos os estados brasileiros. Por questes de
simplicidade vamos supor que a rede composta de seis domnios, sendo que em cada domnio esto as filiais de 4 ou
mais estados. Vamos supor que um dos domnios seja composto pelas redes das filiais do RS, SC, PR e SP. Com o NT
Server 4.0, voc no teria como definir que um usurio tivesse permisses de Administrador somente nos servidores
da filial do RS. Uma vez que voc atribuia permisses de Administrador, o usurio teria estas permisses em todos os
recursos do domnio. No nosso exemplo, o usurio seria Administrador nos servidores das filiais do RS, SC, PR e SP,
ou seja, em todos os servidores do domnio.
Esta situao gerava inconvenientes (e noites de sono perdidas) muito srios. Era comum a situao onde um domnio
tinha 10 ou mais contas de usurios com permisso de Administrador. Ora, eram 10 ou mais contas com permisses
total em todos os servidores do domnio. Nada bom.
Com a disponibilidade de Unidades Organizacionais, a partir do Windows 2000 Server, este problema foi minimizado.
Agora voc pode criar, dentro do domnio, vrias Unidades organizacionais. Em seguida voc desloca para dentro de
cada unidade organizacional, as contas de usurios e computadores, de acordo com critrios geogrficos ou funcionais.
Em seguida voc pode delegar tarefas administrativas a nvel de Unidade organizacional (OU Organizational Unit).
Vamos considerar o exemplo anterior, onde tnhamos um domnio formado pelas redes das filiais do RS, SC, PR e SP.
Neste exemplo, o Administrador do domnio poderia criar quatro unidades organizacionais:
RS
SC
PR
SP
Em seguida ele move as contas de usurios e computadores e contas de grupos para as respectivas OUs. O ltimo
passo atribuir permisses de administrao em cada OU. Por exemplo, para o Administrador da filial do RS, seriam
delegadas permisses de administrao na OU RS, para o Administrador da filial de SC, seriam delegadas permisses
de administrao na OU SC e assim por diante. O diagrama da Figura 2.8 ilustra a diviso de um domnio em OUs.
Figura 2.8 Diviso de um domnio em OUs.
No diagrama est representada a diviso do domnio regiao-01.abc.com.br em OUs. Dentro de uma OU possvel
criar outras OUs. Por exemplo, dentro da Unidade Organizacional RS, o administrador poderia criar outras unidades
organizacionais, tais como: Usurios,Grupos e Computadores. Em seguida, todas as contas de usurios da filial do
RS, seriam deslocadas para a OU Usurios, dentro da OU RS; todas as contas dos computadores da filial do RS seriam
deslocadas para a OU Computadores, dentro da OU RS e asism por diante.
Observem que, basicamente, a utilizao de OUs facilita a descentralizao das tarefas administrativas, atravs
da delegao de tarefas para pores especficas de um domnio. A utilizao de OUs tambm desempenha um
papel importante no gerenciamento das polticas de segurana, atravs do uso de Group Polices Objects (GPOs).
Para um estudo completo de GPOs, consulte o Captulo 18 do livro Windows Server 2003 Curso Completo,
1568 pginas.
Domnio formado pelas redes dos escritrios do RS, SC, PR e SP
regiao-01.abc.com.br
Server Computer Computer
regiao-01.abc.com/RS
OU = RS
regiao-01.abc.com/SC
OU = SC
regiao-01.abc.com/PR
OU = PR
Diviso do domnio em Unidades Organizacionais (OU). Com isso possvel definir permisses
administrativas a nvel de OU, o que facilita a descentralizao das tarefas administrativas.
Relaes de confiana e florestas.
atravs do uso de relaes de confiana entre domnios, que possvel que um usurio de um domnio possa fazer
o logon com sua conta de usurio e senha, mesmo utilizando um computador de um outro domnio. Por exemplo, o
usurio jsilva est cadastrado no domnio A e viaja para a filial da empresa, a qual pertence ao domnio B. O usurio
jsilva est utilizando um computador que faz parte do domnio B. Durante o processo de logon ele informa o seu nome
de usurio, senha e seleciona o domnio no qual ele quer fazer o logon (no exemplo o domnio A) e consegue fazer o
logon normalmente.
Como foi possvel ao domnio B (mais especificamente a um DC do domnio B), verificar as credenciais do usurio
(logon e senha) e permitir o logon? Isso foi possvel graas ao mecanismo de relaes de confiana existente no
Windows Server 2003, o qual muito semelhante ao que existe no Windows 2000 Server, porm completamente
diferente do que acontecia no Windows NT Server 4.0. Neste item apresentarei em mais detalhes, o mecanismo de
relaes de confiana entre domnios no Windows Server 2003.
Como eram as relaes de confiana na poca do NT Server 4.0?
As relaes de confiana no NT Server 4.0 so definidas por trs caractersticas principais:
So unilaterais: Se o domnio A confia no domnio B, isso no significa que o domnio B confia no domnio
A automaticamente. Para que haja essa confiana recproca preciso criar duas relaes de confiana: uma
para definir que o domnio A confia no domnio B e outra para definir que o domnio B confia no domnio A.
A Figura 2.9, da ajuda do Windows Server 2003, ilustra este conceito:
Figura 2.9 Relao de confiana unilateral.
Neste exemplo do Dom A confia no Dom B. Isso significa que as contas do Dom B so visveis no Dom A, ou seja,
possvel atribuir permisses de acesso para as contas do Dom B, em recursos do Dom A. O contrrio no verdadeiro,
ou seja, no possvel atribuir permisses de acesso para as contas do Dom A, em recursos do domnio B. Para que
isso fosse possvel teria que ser criada mais uma relao de confiana, agora com o Dom B confiando nas contas do
Dom A. Isso tudo acontece porque as relaes de confiana no NT Server 4.0 so unilaterais.
No so transitivas: Se o Dom A confia no Dom B e o Dom B confia no domnio C, isso no implica que o
Dom A tambm confia no Dom C. Para que o Dom A confie no Dom C, uma relao de confiana entre os
dois domnios tem que ser manualmente criada pelo Administrador.
Devem ser criadas manualmente pelos Administradores: As relaes de confiana no so criadas
automaticamente e devem ser criadas pelos Administradores de cada domnio. O processo bem trabalhoso.
Para que o Dom A possa confiar no Dom B, primeiro o Administrador do Dom B tem que fazer uma configurao
dizendo que ele aceita que o Dom A confie no Dom B. O prximo passo o Administrador do Dom A
estabelecer a relao de confiana com o Dom B. Para que o Dom B tambm possa confiar no Dom A, todo o
processo (s que na direo inversa) tem que ser repetido.
Para uma rede com 10 domnios, para que todos possam confiar em todos os outros, so necessrias 90 relaes de
confiana. O nmero de relaes de confiana, com base no nmero de domnios, pode ser calculada pela frmula a
seguir:
n*(n-1)
onde n o nmero de domnios.
Para 10 domnios teremos:
10*(10-1)
10*9
90
A Figura 2.10, obtida do Resource Kit do Windows 2000 Server, mostra como seria uma rvore de domnios no NT
Server 4.0, onde foram implementadas relaes de confianas entre todos os domnios:
Figura 2.10 Relaes de confiana unidirecionais, no transitivas do NT Server 4.0.
E como so as relaes de confiana no Windows Server 2003?
No Windows Server 2003 (bem como no Windows 2000 Server) as relaes de confiana so criadas automaticamente
entre os domnios de uma rvore de domnios. As relaes so bi-direcionais, ou seja, se o Dom A confia no Dom A,
isso significa que o Dom B tambm confia no Dom A. As relaes de confiana so transitivas, ou seja se o Dom A
confia no Dom B, o qual confia no Dom C, ento o dom A tambm confia no Dom C e vice-versa. A Figura 2.11
ilustra as relaes de confiana no Windows Server 2003.
Figura 2.11 Relaes de confiana bi-direcionais e transitivas do Windows Server 2003.
Outros tipos de relaes de confiana:
As relaes de confiana criadas automaticamente, entre os domnios de uma rvore no Windows Server 2003,
apresentam as caractersticas descritas anteriormente: Automaticamente criadas, bi-direcionais e transitivas.
Porm existem situaes em que pode ser necessria a criao de outros tipos de relaes de confiana. Por exemplo,
pode ser necessria a criao de uma relao de confiana entre um dos domnios da sua rede, com um domnio
baseado no Windows NT Server da rede de um fornecedor ou parceiro de negcio. Ou pode ser necessria a criao de
uma relao de confiana entre um domnio da sua rede (baseado no Windows Server 2003) com um domnio da rede
de outra empresa, tambm baseado no Windows Server 2003. Neste caso voc teria que criar uma relao de confiana
com um domnio em outra rvore de domnios. A seguir vou analisar e exemplificar os tipos de relaes de confiana
que existem.
Tipos padro de relaes de confiana:
Existem dois tipos padro de relao de confiana, conforme descrito a seguir:
Transitiva bi-direcional entre um Domnio pai e um Domnio filho: Quando o Administrador cria um domnio
filho, uma relao de confiana bi-direcional e transitiva criada, automaticamente, pelo assistente de instalao
do Active Directory. Por exemplo, se voc tem um domnio root chamado abc.com e cria um domnio filho
chamado vendas.abc.com, o assistente de instalao do Active Directory, automaticamente cria durante a
criao do domnio vendas.abc.com, uma relao de confiana bi-direcional e transitiva entre os dominios
abc.com e vendas.abc.com.
Transitiva bi-direcional entre uma rvore de domnios e o domnio root de uma floresta: Voc pode juntar
vrias rvores de domnios para formar um floresta. Este tipo de relao de confiana automaticamente
criado, quando voc cria um novo domnio em uma floresta j existente. A relao estabelecida.
Existem outros tipos padro de relao de confiana, conforme descrito a seguir:
Externa, no transitiva, unidirecional ou bi-direcional: Este tipo de relacionamento criado com um domnio
externo, baseado no Windows NT Server 4.0 ou com um domnio baseado no Windows Server 2003 ou Windows
2000 Server, localizado em outra floresta. Se o domnio for baseado no NT Server 4.0 a relao ser unidirecional,
caso contrrio ser bi-direcional.
O exemplo da Figura 2.12 ilustra bem as situaes onde pode ser criada uma relao de confiana deste tipo:
Figura 2.12 Relaes de confiana externas unidirecional ou bi-direcional.
Realm, transitiva ou no transitiva, unidirecional ou bi-direcional: Este tipo de relao criado entre um
domnio baseado no Windows Server 2003 e outros domnios, tambm baseados no protocolo Kerberos, como
por exemplo o UNIX. O protocolo Kerberos um padro de fato que fornece, dentre outros, servios de
autenticao em um domnio do Windows 2000 Server ou Windows Server 2003. Outros sistemas operacionais
tambm utilizam o Kerberos. Este tipo de relacionamento poderia ser utilizado, por exemplo, para que as
contas de um domnio baseado no UNIX, pudessem receber permisses de acesso em recursos de um domnio
baseado no Windows Server 2003.
Entre florestas, transitiva, unidirecional ou bi-direcional: Este tipo de relacionamento criado entre os domnios
root de duas florestas. Pode ser do tipo unidirecional ou bi-direcional Se for do tipo bi-direcional, os usurios de
uma floresta podem acessar recursos nos domnios da outra floresta e vice-versa. Um exemplo prtico de uso
deste tipo de relao de confiana seria quando feita a fusod e duas empresas e voc precisa permitir que os
usurios de uma empresa possam acessar recursos nos servidores da rede da outra empresa e vice-versa.
Shortcut, transitiva, unidirecional ou bi-direcional: Este tipo de relao de confiana utilizado para melhorar
o tempo de logon entre dois domnios, em uma floresta. Considere o exemplo da Figura 2.13:
Figura 2.13 Relaes de confiana do tipo Shortcut (atalho).
Neste exemplo foram criadas trs relaes de confiana do tipo Shortcuot:
Entre os domnios B e D.
Entre os domnios A e 1.
Entre os domnios D e 2.
O principal objetivo deste tipo de relao de confiana otimizar os tempos de
logon. No exemplo da Figura 2.13, vou analisar o que acontece quando um usurio
do Dom B precisa acessar um recurso no Dom D. O primeiro passo autenticar o
usurio. Se no houver a relao do tipo Shortcut entre B e D, o Windows Server
2003 precisa percorrer o caminho de relaes de confiana na rvore (De B para
A e da A para D), para poder autenticar o usuro do domnio D. J com a relao
do tipo shortcut entre B e D, existe um caminho direto entre estes dois domnios,
o que diminui o tempo de logon/autenticao. Quanto mais afastados (quanto
maior o caminho e o nmero de relaes de confiana a ser percorrido), mais ser
reduzido o tempo de logon entre os domnios, se o Administrador criar uma relao
de confiana do tipo Shortcut.
IMPORTANTE: S faz sentido criar
este tipo de relao de confiana, se
for comum usurios de um domnio
acessarem recursos do outro domnio
e se o tempo de logon estiver apre-
sentando tempos muito elevados.
Servidores de Catlogo Global (Global Catalogs)
Pelo que foi visto at aqui, possvel perceber que o Active Directory no Windows Server 2003 bastante flexvel,
permitindo que usurios de um domnio acessem recursos em servidores de outro domnio ou at mesmo outra floresta,
sem ter que entrar novamente com o seu login e senha. Para que isso seja possvel, o Active Directory mantm uma
base com algumas informaes sobre objetos de todos os domnios. Esta base de informaes mantidas em
Controladores de Domnio (DCs), configurados para atuar como Servidores de Catlogo Global (Global Catalog
Servers). Nem todo DC um Global Catalog, mas para ser Global Catalog tem que ser um DC, no pode ser um
Member Server. Neste item vou apresentar informaes detalhadas sobre os Servidores de Catlogo Global.
Um Servidor de Catlogo Global armazena uma cpia de todos os objetos do Active Directory, de todos os domnios
em uma ou mais rvores de domnios de uma floresta. No Servidor de Catlogo Global fica uma cpia completa de
todos os objetos do prprio domnio do servidor e uma cpia parcial de todos os objetos dos demais domnios. Esta
estrutura indicada na Figura 2.14:
Figura 2.14 Informaes armazenadas em um Servidor de Catlogo Global.
Observe que um servidor que DC mas no est configurado como Servidor de Catlogo Global, contm uma cpia
completa de todos os objetos do seu domnio, mas no tem cpia de objetos de outros domnios. J um DC habilitado
como Servidor de Catlogo Global, tem, alm da cpia completa dos objetos do seu prprio domnio, cpias parciais
de todos os objetos dos demais domnios. Quando se fala em cpias parciais, significa que o Servidor de Catlogo
Global mantm cpia de todos os objetos, mas no de todos os atributos de um objeto de outro domnio. Por exemplo,
o Servidor de Catlogo Global tem cpia de todos os usurios de outros domnios, mas para cada usurio apenas
alguns atributos (nome, senha, etc) so armazenados no Catlogo Global e no todos os atributos.
Os atributos de cada objeto que so copiados para o Catlogo Global so aqueles atributos mais utilizados para a
realizao de pesquisas no Active Directory. Por exemplo nome do usurio, nome de compartilhamento e tipo da
impressora e assim por diante. A definio de quais atributos so armazenados no Catlogo Global e quais no so
feita no Schema. Conforme mostrarei mais adiante o Schema como se fosse (na prtica eu considero que ) a
definio da estrutura do banco de dados do Active Directory. Falarei mais sobre Shcema no prximo item.
Ao armazenar os atributos mais utilizados no Catlogo Global, o Windows Server 2003 aumenta o desempenho das
pesquisa no Active Directory. Se no houvesse um Catlogo Global, as pesquisas teriam que percorrer todo o caminho
da rede, da origem, at encontrar um servidor (um DC) no domnio de destino e os resultados percorrer o caminho
inverso. Em redes maiores, com mais domnios, isso representaria um srio problema de desempenho, alm de gerar
um excessivo trfego de rede. Evidentemente que a manuteno do Catlogo Global atualizado em todos os Servidor
de Catlogo Global, gera trfego de replicao, mas o resultado final um ganho de performance e reduo do trfego
de rede, em comparao se no existisse o Catlogo Global.
Quando um domnio criado, com a instalao do primeiro DC do domnio, este DC automaticamente configurado
com Servidor de Catlogo Global. Os prximos DCs do domnio no sero automaticamente configurados como
Servidor de Catlogo Global, mas voc poder configur-los posteriormente.
Principais funes desempenhadas por um Servidor de Catlogo Global:
Um Servidor de Catlogo Global desempenha importantes funes, dentre as quais podemos destacar as indicadas a
seguir:
Pesquisa de objetos no Active Directory: Com o uso de Servidor de Catlogo Global, o usurio capaz de
pesquisar objetos em todos os domnios de uma floresta. A velocidade das pesquisas melhora bastante, uma
vez que a pesquisa feita no Servidor de Catlogo Global mais prximo do usurio, no seu prprio domnio e
no no servidor de destino ou no caso de uma pesquisa genrica (por exemplo, pesquisar silva no campo
Sobrenome dos objetos usurios) em todos os servidores de todos os domnios.
Fornece autenticao para nomes de usurios de outro domnio: O Catlogo Global utilizado para a resoluo
de nomes de usurios (ou de outros objetos do Active Directory), quendo o DC que autenticou o usurio no tem
informaes sobre a referida conta. Por exemplo, se o usurio jsilva do domnio vendas.abc.com precisa fazor o
logon como jsilva@vendas.abc.com em um computador pertencente ao domnio prod.abc.com, o DC do domnio
prod.abc.com no ser capaz de localizar o usurio jsilva@vendas.abc.com (pois o DC do domnio prod.abc.com
tem informaes somente sobre os usurios do seu prprio domnio e no dos demais domnios. Estas informaes
esto nos Servidores de Catlogo Global). O DC no domnio prod.abc.com ir contatar um Servidor de Catlogo
Global para poder completar o processo de logon do usurio jsilva@abc.com, com sucesso.
Disponibiliza informaes sobre os membros dos grupos universais, em um ambiente com mltiplos domnios:
As informaes sobre os membros dos grupos locais so armazenadas apenas no domnio onde o grupo
criado. Por isso que um grupo local somente pode receber permisses de acesso aos recursos do domnio onde
o grupo foi criado. J as informaes sobre os membros dos grupos Universais so armazenadas somente nos
Servidor de Catlogo Global. Por isso que recomenda-se que sejam inseridos como membros dos grupos
Universais, apenas outros grupos e no usurios individualmente. Se forem inseridos usurios individualmente,
cada vez que um usurio for adicionado ou excludo de um grupo universal, todas as informaes do grupo
Universal sero replicadas entre todos os Servidor de Catlogo Global da floresta. Por exemplo, quando um
usurio que pertence a um grupo universal faz o logon em um domnio configurado para o modo Windows
2000 Nativo ou Windows Server 2003, o Catlogo Global fornece informaes sobre a quais grupos universais
a conta do usurio pertence.
Se no estiver disponvel um Servidor de Catlogo Global, o computador no qual o usurio fez o logon ir utilizar as
informaes armazenadas no cache do computador, caso o usuro j tenha feito um logon anterior neste computador.
Se for o primeiro logon do usurio neste computador e no estiver disponvel um Servidor de Catlogo Global, o
usurio no conseguir fazer o logon no domnio. Ele conseguir fazer o logon apenas localmente no computador,
usando uma das contas locais ao invs de uma conta do domnio.
Existe uma exceo esta regra, que quando a conta do usurio pertence ao grupo Administradores do Domnio
(Domain Admins). Neste caso, o usurio conseguir fazer o logon, mesmo que um Servidor de Catlogo Global no
esteja disponvel e mesmo que seja o seu primeiro logon no computador.
NOTA: Quando a rede formada por
um nico domnio, no necessrio
que os usurio obtenham informaes
sobre os grupos Universais durante o
logon, a partir de um Servidor de
Catlogo Global. Isso acontece porque
quando existe um nico domnio, o
Active Directory capaz de detectar
que no existem outros domnios e
que no necessria uma pesquisa
no Catlogo Global (uma vez que a
pesquisa pode ser feita no prprio DC
que est autenticando o usurio)
Validao de referncias a objetos em uma floresta: O Catlogo Global
utilizado pelos DCs para validar referncias a objetos de outros domnios
de uma floresta. Quando um DC trata com um objeto onde um dos seus
atributos contm referncias a um objeto em outro domnio, esta referncia
validada pelo Catlogo Global. Mais uma vez importante salientar o
papel dos Servidores de Catlogo Global em melhorar o desempenho do
Active Directory. Nesta situao, se no existisse o Catlogo Global, a
validao da referncia ao objeto teria que ser feito por um DC do domnio
do objeto referenciado. S nestas situaes (muito comuns na utilizao
diria da rede), imagine quanto trfego de validao seria gerado atravs
dos links de WAN da rede. Sem contar tambm a demora adicional at
que a validao fosse feita atravs da rede, no domnio de destino e a
resposta retornasse.
Replicao de informaes entre os Servidor de Catlogo Global:
Conforme descrito anteriormente, o Catlogo Global contm informaes
completas sobre todos os objetos do seu domnio e informaes parciais sobre
todos os objetos dos demais domnios. Alteraes so efetuadas diariamente em
diversos objetos da rede. Por exemplo, usurios so renomeados, novos grupos
criados, usurios so adicionados ou retirados de grupos e assim por diante.
Todas estas alteraes tem que ser replicadas entro os vrios Servidores de Catlogo Global de todos os domnios,
para que estes estejam sempre atualizados. A estrutura de replicao do Catlogo Global criada e gerenciada
automaticamente por um processo do Active Directory, conhecido como Knowledge Consistency Checker (KCC). O
KCC repsonsvel por determinar a melhor topologia de replicao do Global Catalog, de tal maneira que a rede
no seja sobrecarregada com trfego exessivo devido replicao.
Algumas consideraes devem ser feitas em relao a replicao dos grupos Universais. Os grupos Universais e
informaes sobre os seus membros esto contidas somente no Catlogo Global, conforme descrito anteriormente.
Grupos Globais e Locais so tambm listados no Catlogo Global, porm no Catlogo Global no so armazenadas
informaes sobre os membros dos grupos Globais e Locais. Com isso o tamanho do Catlogo Global reduzido,
bem como o trfego de replicao associado com a atualizao do Catlogo Global. Para recursos e objetos que
sofrero alteraes constantes, aconselhvel que voc utilize grupos Globais e Locais para a definio de permisses,
pois com isso voc reduzir o trfego de replicao, comparativamente se voc utilizasse grupos Universais. Como as
informaes sobre os membros dos grupos Universais so armazenadas no Catlogo Global, sempre que houver uma
alterao na lista de membros de um grupo Universal, ser necessrio replicar esta informao para todos os Servidores
de Catlogo Global de todos os domnios. Isso justifica a recomendao feita anteriormente, de somente adicionar
grupos como membros de grupos Universais e no usurios.
Alm da replicao do Catlogo Global tambm temos a replicao do Active Directory, onde alteraes feitas em um
DC, devem ser repassadas para todos os demais DCs do domnio. Porm antes de tratar sobre Replicao do Active
Directory, voc deve entender o conceito de Site. Este ser o assunto do prximo item.
Vamos ver esta questo da replicao com mais detalhes.
Sites, replicao do Active Directory e estrutura fsica da rede.
Introduo e definio de sites.
Florestas, rvores, domnios e unidades organizacionais representam a diviso lgica do Active Directory, normalmente
definida com base em critrios administrativos, ou seja, visando facilitar a administrao dos recursos e usurios da
rede. O Active Directory tem tambm um elemento conhecido como site, o qual utilizado para representar a diviso
fsica da rede e muito importante para a implementao de um sistema de replicao otimizado das informaes do
Active Directory entre os diversos DCs de um domnio.
Um site no Active Directory utilizado para representar a estrutura fsica da rede da empresa. As informaes
sobre a topologia da rede, contidas nos objetos site e link entre sites, so utilizadas pelo Active Directory para a
criao de configuraes de replicao otimizadas, sempre procurando reduzir o mximo possvel o trfego
atravs dos links de WAN.
Um site normalmente definido com uma ou mais redes conectadas por um caminho de alta velocidade. O termo alta
velocidade um pouco vago. Na prtica, um site est intimamente ligado a uma localizao fsica, ou seja, uma ou
mais redes locais no mesmo prdio ou em prdios de um Campus, interligadas atravs de um barramento de 10 MBps,
100 MBps (mais comum hoje em dia) ou de 1GBps (menos comum). Ou seja, um site definido por um endereo IP
e uma mscara de sub-rede, isto : por uma rede local. No Captulo 1 voc aprendeu que uma rede definida pelo
nmero IP da rede (por exemplo 10.10.20.0) e por uma mscara de sub-rede (por exemplo 255.255.255.0). Um site
formado por um ou mais conjuntos de nmero de rede/mscara de sub-rede. Em outras palavras, um site um conjunto
de uma ou mais redes locais conectadas por um barramento de alta velocidade.
Para que o Active Directory utiliza sites:
A utilizao de sites e links entre sites facilita a implementao de vrias atividades no Active Directory, dentre as
quais destaco as listadas a seguir:
Replicao: Esta sem dvidas a principal utilizao dos sites. O Active Directory procura equilibrar a
necessidade de manter os dados atualizados em todos os DCs, com a necessidade de otimizar o volume de
trfego gerado devido a replicao. A replicao entre os DCs de um mesmo site ocorre mais freqentemente
do que a replicao entre DCs de sites diferentes. Isso faz sentido, pois os DCs de um mesmo site esto dentro
da mesma rede local, conectados por um barramento de alta velocidade. Por isso possvel fazer a replicao
mais freqentemente. J os DCs de sites diferentes esto conectados atravs de links de WAN de baixa velocidade
(quando comparada com a velocidade do barramento de uma rede local), por isso a replicao deve ocorrer em
intervalos maiores, para evitar um excesso de trfego e um sobrecarga nos links de WAN da rede. Voc tambm
pode atribuir diferentes custos para os links entre sites, de tal maneira que a replicao atravs de links de
baixa velocidade, ocorre em intervalos maiores do que a replicao atravs de links de maior velocidade.
Todas estas possibilidades de configurao so sempre pensando na otimizao do trfego de WAN gerado
pela replicao.
Autenticao: A informao sobre sites auxilia o Active Directory a fazer a autenticao dos usurios de uma
maneira mais rpida e eficiente. Quando o usurio faz o logon no domnio, o Active Directory primeiro tenta
localizar um DC dentro do site definido para a rede do usurio. Com isso, se houver um DC no site do usurio,
na maioria das vezes, este DC ser utilizado para autenticar o logon do usurio no domnio, evitando que
trfego de autenticao seja gerado, desnecessariamente, no link de WAN.
Definio de sites utilizando sub-redes:
Conforme descrito anteriormente, para o Active Directory, um site um grupo de computadores bem conectados,
onde bem conectado significa conectado atravs de um barramento de alta velocidade, tal como uma Rede Local com
barramento de 100 Mbps. Normalmente um site associado a uma rede local de um escritrio da empresa. Um site
definido por uma ou mais sub-redes. Uma rede definida pelo endereo de rede mais a mscara de sub-rede, conforme
descrito no Captulo 1. A figura 2.15 ilustra a utilizao de uma sub-rede para a definio de um site:
Figura 2.15 Definio de um site.
No Active Directory voc pode criar objetos do tipo sub-rede e do tipo site,
utilizando o console Active Directory Sites and Services. Aps criar objetos do
tipo sub-rede, voc cria um objeto do tipo site, associando uma ou mais sub-redes
com o objeto site que est sendo criado.
A relao entre sites e domnios:
Conforme descrevi anteriormente, o domnio representa uma das divises lgicas
da rede e do Active Directory, j sites representam a estrutura fsica da rede. Com
isso possvel ter computadores de diferentes domnios dentro do mesmo site, ou
diferentes sites dentro do mesmo domnio e outras combinaes possveis.
NOTA: 172.16.32.0/19, significa
19 bits para a mscara de sub-rede,
o mesmo que escrever
172.16.32.0/255.255.224.0
Repetindo para fixar bem: No Active Directory, sites esto relacionados com a estrutura fsica da rede, j domnios
esto relacionados com a estrutura lgica da rede. Esta separao traz alguns benefcios, dentre os quais destaco os
indicados a seguir:
possvel manter o design da estrutura lgica, independente da estrutura fsica. Ou seja, alteraes em uma das
estruturas no iro implicar, necessariamente, alteraes na outra estrutura. Com isso voc pode ter computadores
de mais de um domnio no mesmo site ou mais de um site no mesmo domnio e assim por diante.
A nomeao dos domnios absolutamente independente da estrutura fsica/geogrfica da rede, o que facilita
alteraes na estrutura fsica, sem que isso implique em um reestruturao lgica de toda a rede.
Voc pode instalar DCs de mltiplos domnios no mesmo site ou voc pode colocar DCs do mesmo domnio
em diferentes sites ou uma combinao destas duas configuraes, conforme ilustrado na Figura 2.16:
Figura 2.16 Flexibilidade na definio de sites e domnios.
Replicao no Active Directory:
A base de dados do Active Directory, com informaes completas sobre todos os objetos do Active Directory
armazenada nos DCs do domnio. Alteraes podem ser efetuadas em qualquer DC. Estas alteraes devem ser replicadas
para todos os demais DCs do domnio, de tal maneira que todos os DCs estejam sincronizados e com uma cpia
idntica da base de dados do Active Directory. Este processo ocorre o tempo todo, pois alteraes no Active Directory
so feitas diariaemnte. Claro que existe um tempo entre o momento em que uma alterao feita em um DC, at que
esta alterao tenha sido replicada para todos os demais DCs do domnio. A replicao um processo contnuo.
O Active Directory procura determinar, automaticamente, qual a melhor configurao de replicao, procurando
obter o menor tempo possvel para atualizao dos DCs do domnio, mas balanceando com o volume de trfego
gerado na rede, de tal maneira que o trfego gerado pela replicao no venha a sobrecarregar os links de WAN.
As configuraes de replcao do Active Directory so feitas, automaticamente, pelo processo conhecido como Knowl-
edge Consistency Checker (KCC), que um processo que roda em todos os DCs. O KCC automaticamete identifica
as configuraes de replicao mais eficientes, com base nas configuraes de sites do Active Directory (estrutura
fsica da rede). Por exemplo, a replicao entre DCs dentro do mesmo site so feitas mais frequentemente do que entre
DCs de sites diferentes. O KCC regularmente recalcula a topologia de replicao para ajustar o processo para quaisquer
alteraes que tenham ocorrido na estrutura fsica da rede, como a criao de novos sites ou a insero de novas sub-
redes em um site existente.
Replicao dentro do mesmo site Intrasite Replication
Conforme j descrito anteriormente, o KCC trata a replicao dentro do mesmo site, de uma maneira diferente do que
a replicao entre sites. Isso devida a diferena da velocidade de conexo dentro do mesmo site e entre sites (normalmente
conectados atravs de links de WAN).
O KCC define a topologia de replicao dentro de um mesmo site, no formato de um anel bi-direcional. O KCC forma
um anel bi-direcional entre os vrios DCs dentro de um mesmo site. A replicao intrasite otimizada para velocidade
e as atualizaes feitas em um DC do site so automaticamente repassadas para os demais DCs, com base em um
mecanismo de notificao. As informaes de replicao dentro do site no so compactadas, diferentemente do que
acontece com a replicao entre sites diferentes, onde toda a informao de replicao compactada antes de ser
enviada atravs do link de WAN.
Como o KCC configura a replicao intrasite:
O KCC, rodando em cada DC do site, foi projetado para criar uma topologia de replicao intrasite o mais eficiente
possvel, baseada em um anel bidirecional. Para criar o anel bi-direcional, o KCC tenta criar pelo menos duas conexes
de replicao entre cada DC (para tolerncia a falhas, caso uma das conexes esteja indisponvel). O KCC tambm
procura evitar que haja mais do que trs DCs no caminho entre dois servidores quaisquer (tecnicamente dizemos que
o KCC procura evitar que haja mais do que trs hops entre dois DCs quaisquer). Para evitar mais do que trs hops,
a topologia de replicao pode incluir conexes do tipo atalho entre dois DCs. O KCC fica atualizando a topologia de
replicao regularmente, buscando sempre a melhor eficincia e a menor latncia (menor intervalo de atualizao
entre os DCs).
Determinando quando a replicao intrasite ocorre:
Alteraes feitas no Active Directory tem um impacto direto nos usurios localizados no prprio site, por isso a
replicao intrasite otimizada para a velocidade (menor tempo de latncia). Por exemplo, quando voc altera a senha
de um usurio em um DC do site, importante que esta alterao seja replicada, rapidamente, para todos os demais
DCs do site. A replicao entre os DCs de um site ocorre automaticamente, com base em um mecanismo de notificao.
A replicao Intrasite inicia quando uma alterao feita em um objeto do Active Directory em um dos DCs do site.
Por padro, o DC onde foi feita a alterao aguarda 15 segundos e ento envia uma notificao de atualizao para o
seu parceiro de replicao mais prximo (o DC que est mais prximo dele, no anel bi-direcional criado pelo KCC).
Se o DC onde foi feita a alterao tiver mais do que um parceiro de replicao, as notificaes subseqentes sero
enviadas, por padro, em intervalos de 3 segundos. Aps receber uma notificao de alterao, um parceiro de replicao
envia uma requisio de atualizao do Active Directory para o DC onde foi feita a alterao. O DC onde foi feita a
alterao responde requisio feita pelo seu parceiro de replicao, enviando os dados sobre a alterao. O intervalo
de 3 segundos entre o envio das notificaes de alterao importante para evitar que um mesmo DCs receba mltiplas
notificaes de alterao, simultaneamente.
Algumas alteraes so conhecidas como atualizaes crticas. Para as atualizaes crticas no observado o intervalo
de 15 segundos antes que o DC onde houve a alterao envie uma notificao de alterao. Alteraes como bloqueio
de contas, alteraes nas polticas de bloqueio de contas, alteraes nas polticas de senha do domnio e alteraes de
senha so consideradas atualizaes crticas e devem ser replicadas imediatamente.
Replicao entre sites:
O Active Directory trata a replicao entre sites (intersites) de maneira da replicao dentro do mesmo site (intrasite),
pois a velocidade de conexo entre sites geralmente bem menor do que dentro do mesmo site.
O KCC cria a topologia de replicao intersite sempre procurando otimizar a utilizao dos links de WAN. A replicao
intersite configurada com base em um agendamento definido pelo KCC. As informaes de replicao so compactadas
antes de serem envidas atravs dos links de WAN, para reduzir o trfego nos links de WAN.
Como a topologia de replicao intersite criada pelo KCC:
A topologia de replicao intersite criada pelo KCC, com base nas informaes sobre sites e links entre sites que o
Administrador cria. Em cada site um DC o responsvel pela definio da topologia de replicao intersite. Este DC
conhecido como Intersite Topology Generator. O tempo de replicao intersite pode ser controlado com base nas
informaes fornecidas quando o Administrador cria os objetos de links entre sites, utilizando o console Active Direc-
tory Sites and Services.
Quando a replicao intersite ocorre:
Para reduzir a utilizao dos links de WAN, a replicao intersite ocorre de acordo com um agendamento prvio e no
instantaneamente (ou com base em notificaes de alterao) como no caso da replicao intrasite. Por padro, a
replicao intersite ocorre, em cada link, a cada 3 horas (180 minutos). O Administrador pode alterar este agendamento
para adatar a replicao a velocidade dos links de WAN da sua rede. O Administrador tambm pode defnir em que
horrios do dia os links entre sites estaro disponveis para que a replicao acontea. Por exemplo, para escritrios
conectados por links de WAN de baixa velocidade, como por exemplo 64 Kbps, voc pode ajustar o link de replicao
para estar disponvel apenas noite, aps o expediente. Por padro um link est configurado para estar disponvel 24
horas por dia, 7 dias por semana.
O Schema do Active Directory
A definio de todos os objetos do Active Directory e demais informaes est contida no que conhecido como
Schema do Active Directory. O Active Directory utiliza um modelo de banco de dados hierrquico, diferente do
Modelo Relacional de Dados com o qual estamos mais habituados. Mas, me permitam esta analogia, o Schema
como se fosse (na verdade ) a definio da estrutura do banco de dados do Active Directory. Por exemplo, a definio
do objeto usurio, quais atributos tem este objeto, o tipo de cada atributo e demais informaes sobre o objeto usurio,
esto todas contidas no Schema. A definio de cada objeto, de cada atributo, est contida no Schema.
O Schema contm a definio para todos os objetos do Active Directory. Quando voc cria um novo objeto, as
informaes fornecidas so validadas com base nas definies contidas no Schema, antes que o objeto seja salvo na
base de dados do Active Directory. Por exemplo, se voc preencheu um atributo do tipo nmero, com valores de texto,
o Active Directory no ir gravar o objeto no Active Directory e uma mensagem de erro ser exibida.
O Schema feito de objetos, classes e atributos. O Schema definido por padro com o Active Directory, contm um
nmero de classes e atributos, os quais atendem as necessidades da maioria das empresas. Porm o Schema pode ser
modificado, o Administrador pode modificar as classes existentes ou adicionar novas classes ou atributos. Qualquer
alterao no Schema deve ser cuidadosamente planejada, pois alteraes feitas no Schema afetam toda a rvore de
domnios. Todos os domnios de uma rvore tem que utilizar o mesmo Schema, ou seja, no podem ser utilizados
diferentes esquemas para os diferentes domnios de uma rvore de domnios.
Como os objetos do Active Directory so definidos no Schema:
No Schema, uma classe de objetos representa uma categoria de objetos do Active Directory, como por exemplo contas de
usurios, contas de computadores, impressoras ou pastas compartilhadas publicadas no Active Directory e assim por diante.
Na definio de cada classe de objetos do Active Directory, est contida uma lista de atributos que podem ser utilizadas para
descrever um objeto da referida classe. Por exemplo, um objeto usurio contm atributos de nome, senha, validade da conta,
descrio, etc. Quando um novo usurio criado no Active Directory, o usurio torna-se uma nova instncia da classe User
do Schema e as informaes que voc digita sobre o usurio, tornam-se instncias dos atributos definidos na classe user.
Como o Schema armazenado no Active Directory:
Cada floresta pode conter um nico Schema, ou seja, o Schema tem que ser nico ao longo de todos os domnios de
uma floresta. O Schema armazenado nas parties de schema do Active Directory. A partio de schema do Active
Directory, bem como a partio de definio do Active Directory, so replicadas para todos os DCs da floresta. Porm
um nico DC controla a estrutura do Schema, DC este conhecido como Schema Master. Ou seja, somente no DC
configurado como Schema Master que o Administrador poder fazer alteraes no Schema.
Cache do Schema.
Cada DC mantm uma cpia do Schema na memria do servidor (bem como uma cpia em disco), para melhorar a
performance das operaes relacionadas ao Schema, tais como validao de novos objetos. A verso armazenada no
Cache do servidor automaticamente atualizada (em intervalos de tempos definidos) cada vez que o Schema atualizado
(o que no ocorre como freqncia, na verdade muito raro fazer alteraes no Schema).
Nveis de funcionalidade de um domnio.
comum a rede da empresa conviver com diferentes verses do Windows. Isso aconteceu na migrao do NT
Server 4.0 para o Windows 2000 Server, onde durante um bom tempo ainda existiam (na prtica sabemos que ainda
existem) servidores com o NT Server 4.0 em utilizao na rede.
O Windows Server 2003 (a exemplo do que acontecia com o Windows 2000 Server), tem diferentes nveis de
funcionalidade, com base nos tipos de DCs instalados na rede. Neste tpico vou descrever os nveis de funcionalidade
disponveis e as diferentes funcionalidades que esto disponveis em cada nvel de funcionalidade.
Com o Windows Server 2003 foi introduzido o nvel de funcionalidade da floresta, o que no existia com o Windows
2000 Server.
O nvel de funcionalidade do domnio determina quais caractersticas esto ou no disponveis.
Existem quatro nveis de funcionalidade no Windows Server 2003: Windows 2000 mixed, Windows 2000 native,
Windows Server 2003 interim, and Windows Server 2003.
Por padro selecionado o nvel de funcionalidade Windows 2000 mixed. Muitos dos recursos mais avanados, tais
como grupos Universais, somente esto disponveis nos demais nveis de funcionalidade: Windows 2000 native,
Windows Server 2003 interim ou Windows Server 2003.
O nvel de funcionalidade da floresta uma novidade do Windows Server 2003. Existem trs nveis de funcionalidade
da floresta disponveis: Windows 2000, Windows Server 2003 interim, and Windows Server 2003. Por padro
selecionado o nvel Windows 2000. Muitas das novidades do Windows Server 2003 em relao ao Active Directory
somente esto disponveis nos nveis mais avanados: Windows Server 2003 interim ou Windows Server 2003.
Para que o nvel de funcionalidade da floresta seja configurado para Windows Server 2003, todos os DCs de todos os
domnios devem estar com o Windows Server 2003 instalado. Somente neste nvel que estaro disponveis todos os
recursos do Active Directory, incluindo a maioria das novidades introduzidas com o Windows Server 2003.
O que define se possvel ou no utilizar um determinado nvel de funcionalidade a existncia ou no de DCs com
verses anteriores do Windows, tais como o Windows 2000 Server e o Windows NT Server 4.0.
A seguir descrevo quais as verses do Windows que podem ser utilizadas nos DCs, para cada um dos modos de
funcionalidade de domnio:
Windows 2000 mixed: Suporta DCs com o Windows NT Server 4.0, Windows 2000 Server ou Windows
Server 2003. Neste nvel de funcionalidade no possvel a utilizao de grupos Universais.
Windows 2000 native: Suporta DCs com o Windows 2000 Server ou com o Windows 2003 Server. Neste nvel
de funcionalidade so suportados grupos Universais.
Windows Server 2003 interim: Suporta DCs com o NT Server 4.0 ou com o Windows Server 2003. Este nvel
de funcionalidade utilizado quando voc est em processo de migrao de uma rede baseada no Windows
NT Server 4.0 para o Windows Server 2003.
Windows Server 2003: Somente DCs com o Windows Server 2003. Este o nvel onde esto disponveis todos
os recursos e novidades do Active Directory.
Muito bem, j vimos um bocado de teoria sobre o Active Directory. Nos prximos
tpicos voc aprender a instalar o Active Directory, transformando um Member
Server em DC e tambm aprender sobre as modificaes introduzidas pela
instalao do Active Directory.
Fundamentos em: Preparao para a instalao
Para que o Active Directory possa ser instalado, transformando um Member Server
em Controlador de Domnio, dois pr-requisitos bsicos devem ser atendidos:
Um volume formatado com NTFS
Um servidor DNS padro Windows 2000 Server ou Superior
NOTA: Quando voc altera de um
modo de funcionalidade para o
outro, no ser mais possvel criar
DCs com verses no suportadas
do Windows. Por exemplo, quando
voc passa do modo Windows
2000 mixed para o modo Win-
dows 2000 Native, no ser mais
possvel inserir DCs com o NT
Server 4.0 e nem ser voltar para
o nvel de funcionalidade anterior.
O volume NTFS necessrio para gravar os arquivos da base de dados do Active Directory. Se no houver um volume
com NTFS, o assistente de instalao do Active Directory ser cancelado. Coloco esta recomendao apenas para
deixar registrada esta exigncia, mas muito pouco provvel que algum utilize FAT ou FAT 32 em parties de um
servidor. No Captulo 5 falarei sobre as diferenas entre os sistemas de arquivo FAT/FAT 32 e NTFS. Voc ver que,
principalmente, em relao a segurana, a nica escolha recomendada NTFS.
Uma viso geral do DNS e de espao de nomes de um domnio.
O DNS o servio de resoluo de nomes no qual se baseia o Active Directory. Por exemplo, quando o usurio faz o
logon em uma estao de trabalho da rede, o DNS que consultado para informar o nmero IP de um controlador de
domnio, para que possa ser feita a validao do nome e senha fornecidos pelo usurio.
Todo o computador que utiliza o protocolo TCP-IP, identificado por um nmero e por um nome. O nmero
conhecido como Nmero IP ou Endereo IP, o qual formado por quatro nmeros separados por um ponto.
Exemplo de um nmero IP:
10.200.300.1
No podem existir dois computadores com o mesmo Nmero IP, pois caso isso acontea, haver um conflito de
Endereo IP e um dos computadores deixar de se comunicar com a rede.
Alm de um nmero IP, os computadores possuem um nome, conhecido como host name , ou nome de host. Por
exemplo, o computador com o IP 10.200.300.1, pode ter o nome contab-01. Alm disso uma rede baseada no TCP/IP
dividida em domnios DNS, como por exemplo: abc.com, vendas.abc.com, marketing.abc.com.
Porm a utilizao de um nico nome para cada computador, torna difcil a
localizao dos milhes de computadores disponveis na Internet, ou at mesmo
dos milhares de computadores disponveis em uma rede de uma grande empresa.
Para que tenhamos um sistema de nomeao mais organizado e de fcil localizao,
foram criados os domnios, onde alm do nome de host, o nome do domnio
tambm faz parte do nome completo que identifica o computador.
Alguns exemplos de nomes completos, tambm conhecidos como Full Qualified
Domain Name (FQDN) Nomes de Domnios completamente qualificados:
NOTA: No Captulo 16, do livro Win-
dows Server 2003 Curso Completo,
1568 pginas, apresento uma
discusso completa sobre o DNS.
www.certificacoes.com.br
www.axcel.com.br
www.ufsm.br
www.altavista.digital.com
www.microsoft.com
server1.microsoft.com
ftp.microsoft.com
contab-01.abc.com
marketing-02.marketing.abc.com
A parte mais esquerda do nome (o nome que aparece antes do primeiro ponto) o host name, a parte restante o
Domnio. Embora cada computador de uma rede possua um nome, de tal forma que seja mais fcil identific-los, toda
a comunicao do protocolo TCP/IP feita atravs do Endereo IP.
Por exemplo, quando voc acessa o site da Microsoft (www.microsoft.com), na verdade toda a comunicao do protocolo
TCP-IP, est sendo feita atravs do endereo IP e no do nome www.microsoft.com.
Mas que mgica essa ? Eu digito o nome www.microsoft.com , porm a comunicao feita atravs do endereo
IP. Quem que faz essa mgica de descobrir qual o endereo IP correspondente ao nome www.microsoft.com?
No mgica nenhuma, este trabalho de descobrir o endereo IP associado com um determinado nome, feito por um
servio denominado DNS Domain Name System, ou traduzindo Sistema de Nomeao de Domnios. O DNS
amplamente utilizado na Internet para que possa ser descoberto o endereo IP associado com um determinado nome.
Quando voc est utilizando o Navegador (Browser) e digita na linha de endereos: www.juliobattisti.com.br, quem
descobre o endereo IP associado com esse nome o DNS. Isso faz com que a comunicao seja possvel.
Existem na Internet diversos Servidores DNS, os quais fazem este trabalho de traduo. Caso a rede da sua empresa
esteja ligada a Internet, ele necessita de um servidor DNS, ou precisa ter acesso ao servidor DNS do Provedor de
acesso a Internet, pois sem DNS, a comunicao fica praticamente impossvel, pois ao invs do nome, voc teria que
utilizar os endereos IP, o que invivel na prtica. J imaginou tendo que decorar milhares de endereos IP, uma para
cada site que voc tenta acessar na Internet?
O Windows 2000 Server e agora o Windows Server 2003, oferecem um servidor DNS que pode ser facilmente
instalado e configurado, de tal forma que um servidor com o Windows Server 2003 possa atuar como um Servidor
DNS interno da empresa.
Voc j deve ter notado que existe uma certa hierarquia na formao dos nomes. Por exemplo, empresas comerciais
normalmente possuem nomes na forma www.nome-da-empresa.com. Ou se for uma empresa comercial do Brasil, o
nome fica www.nome-da-empresa.com.br. Isso acontece porque o domnio .com foi reservado para empresas comerciais.
J rgos do governo, normalmente possuem nomes da seguinte forma: www.nome-do-orgao.gov, ou no caso do
Brasil, www.nome-do-orgao.gov.br. Isso acontece porque o domnio .gov foi reservado para rgos governamentais.
Esses domnios mais conhecidos so chamados de Top-level-domains . Os mais conhecidos so os seguintes:
Tabela 2.1 Top-level-domains
Existem organismos internacionais que administram o registro de nomes. Por exemplo, se voc possui uma empresa
chamada abc123 e deseja criar um site chamado www.abc123.com.br, primeiro de tudo voc precisa registrar este
nome de domnio junto aos rgos responsveis. No caso do Brasil, voc pode registrar nomes DNS no seguinte
endereo: www.registro.br.
Caso o nome que voc est tentando registrar j tenha sido registrado, voc ter que escolher outro nome. Quando a
Internet comeou a crescer, existiram casos em que alguns espertinhos, registraram nomes de empresas conhecidas.
Com o crescimento da Internet, quando a empresa tentou registrar o nome DNS junto s entidades competentes, o
nome j estava registrado. Em alguns casos, os espertinhos se deram bem, e ganharam um bom dinheiro para liberar
o nome registrado, em outros casos a empresa entrou na justia e recuperou o direito sobre o nome DNS.
Top-level-domain Descrio
com Organizaes comerciais
gov Organizaes governamentais
edu Instituies educacionais
org Organizaes no comerciais
net Diversos
br Cdigo de pas para o Brasil
au Cdigo de pas para a Austrlia.
Mas os nomes DNS formam uma hierarquia. Por exemplo, quando a Microsoft resolveu entrar na Internet, ele registrou
o domnio: microsoft.com. Dizemos que microsoft.com um subdomnio do domnio com. Dentro do domnio
microsoft.com, poderiam ser criados outros subdomnios, conforme a necessidade. Por exemplo poderamos criar
subdomnios para as sees de vendas, marketing e suporte. A teramos os seguintes subdomnios:
vendas.microsoft.com
marketing.microsoft.com
suporte.microsoft.com
Dentro de departamento de vendas, poderamos ter diversos computadores, alguns atuando como servidores e outros como
Clientes. Cada um destes computadores precisa ter um host name e um endereo IP. Poderamos ter os seguintes exemplos:
server1.vendas.microsoft.com
server2.vendas.microsoft.com
cliente1.vendas.microsoft.com
cliente2.vendas.microsoft.com
ftp.vendas.microsoft.com
Assim como a Microsoft pode ter os seus subdomnios, qualquer empresa pode fazer o mesmo, dependendo de suas
necessidades e de sua estrutura interna. Observe nos exemplos anteriores, que o host name, conforme citado
anteriormente, a parte mais a esquerda do nome, sendo a parte mais a direita, o Top-level-domain.
Uma pergunta que voc pode estar se fazendo porque a grande maioria dos sites comea com www. Este um padro
que foi adotado no incio da era de Interface Grfica para a Internet e continuou sendo utilizado. WWW significa
World Wide Web Teia mundial. Por isso que muitas vezes a Internet chamada simplesmente de Web. Pelo fato de
ter se tornado um padro, comum que um usurio ao procurar pelo site de uma empresa, digite www.nome-da-
empresa.com ou www.nome-da-empresa.com.br no caso do Brasil.
Na Figura 2.17, exibida uma representao da hierarquia de nomes do DNS.
Figura 2.17 Estrutura Hierrquica do DNS.
Apresentei esta viso geral do DNS, porque de fundamental importncia entender os princpios bsicos do DNS.
Essas noes sobre DNS sero necessrias para o entendimento da nomeao de domnios e do espao de nomes de
uma rvore de domnios do Active Directory. Voc ver, no exemplo prtico, que ao criar um domnio, durante a
instalao do Active Directory, voc dever fornecer o nome DNS do domnio. Por exemplo, ao criar o domnio root
da empresa ABC Ltda, voc, provavelmente iria utilizar um nome como abc.com ou abc.com.br.
De uma forma resumida, o DNS um sistema hierrquico de nomeao. O DNS mantm um banco de dados com a
associao entre nomes FQDN (Nomes de domnio completamente qualificados) e os respectivos endereos IP. De tal
forma que muito mais fcil lembrarmos de um nome como www.microsoft.com, do que termos que decorar um
endereo IP para acessar o site da Microsoft. Quem faz esse meio-campo o DNS, que uma vez digitado um endereo
do tipo www.microsoft.com, o DNS consegue identificar o endereo IP associado e estabelecer a comunicao.
O DNS tambm um pr-requisito para que voc possa instalar o Active Directory em um servidor, promovendo-o de
member server para controlador de domnio. No obrigatrio que o DNS esteja instalado no mesmo servidor onde o
Active Directory est sendo instalado, pode ser em um outro servidor da rede.
<body text>Importante: Nem mesmo precisa ser um servidor DNS baseado o Windows 2000 Server ou Windows
Server 2003, basta que seja uma verso do DNS BIND 8.1.2 ou superior. Por exemplo, se voc tiver um servidor
UNIX, com uma verso do DNS BIND 8.1.2 ou superior, este servidor poder ser utilizado durante a instalao do
Active Directory.
Voc pode ter o servidor DNS j previamente configurado ou pode fazer com que o assistente de instalao do
Active Directory instale e configure o DNS automaticamente. No caso de estar criando um novo domnio, voc
pode deixar tudo por conta do assistente de instalao do Active Directory. J no caso de estar instalando um DC
adicional, em um domnio existente, voc pode deixar que o assistente de instalao do Active Directory, tente
acessar um servidor DNS j existente.
Em seguida farei alguns exemplos prticos de utilizao do assistente de instalao do Active Directory.
Instalao do Active Directory Criao de um Novo Domnio
Neste tpico vou mostrar como instalar o Active Directory em um servidor com o Windows Server 2003, servidor este
que ser o primeiro DC do domnio. Na prtica ao instalar o primeiro DC voc est, efetivamente, criando o domnio.
Existem outras situaes em que voc pode usar o assistente de instalao do Active Directory:
Para criar um novo DC em um domnio j existente.
Para criar um novo DC em um novo domnio de uma rvore j existente.
Para rebaixar um DC de volta a member server.
Neste captulo voc aprender a executar algumas destas operaes.
No Windows Server 2003 existem duas maneiras de iniciar o assistente de instalao do Active Directory:
Executando o comando dcpromo
Usando a ferramenta Gerenciar o servidor (Iniciar -> Todos os programas -> Ferramentas administrativas ->
Gerenciar o servidor).
Ao executar o comando dcpromo, o assistente do Active Directory iniciado automaticamente. Ao abrir a ferramenta
Gerenciar o servidor, voc deve clicar na opo Adicionar ou remover funo, conforme destacado na Figura 2.18. Nos
exemplos prticos, vou deixar que o assistente de instalao do Active Directory faa a instalao e configurao do DNS.
No Captulo 16 do livro Windows Server 2003 Curso Completo, 1568 pginas o DNS ser apresentado em detalhes.
Exemplo 01: Instalao do Active Directory no primeiro DC criao de um novo domnio usando o comando
dcpromo: Neste exemplo voc acompanhar os passos para criao de um novo domnio. Vou instalar o Active Direc-
tory em um member server (srv70-290) para transform-lo no primeiro DC do domnio abc.com, que ser criado com
a instalao deste primeiro DC.
Para criar o domnio abc.com, siga os passos indicados a seguir:
1. Faa o logon com a conta Administrador ou com uma conta com permisso de administrador.
Figura 2.18 A ferramenta Gerenciar o servidor.
2. Selecione o comando Iniciar -> Executar.
3. Na linha Abrir digite dcpromo, conforme indicado na Figura 2.19 e clique em OK.
Figura 2.19 O comando dcpromo.
4. O assistente de instalao do Active Directory ser aberto. A primeira tela
apenas informativa, descrevendo a funo do assistente e fornecendo um link
para a documentao sobre Active Directory, na Ajuda do Windows Server 2003.
5. Clique em Avanar, para seguir para a prxima etapa do assistente.
6. Na terceira etapa voc deve informar se esta sendo instalado um DC para um
novo domnio, ou seja, o primeiro DC e a criao do domnio, ou se voc est
instalando um DC adicional para um domnio j existente. Para o nosso
exemplo selecione a opo Controlador de domnio para um novo domnio,
conforme indicado na Figura 2.20:
Na qurta etapa so disponibilizadas trs diferentes opes, conforme indicado na
figura a seguir:
Domnio em uma nova floresta: Esta opo utilizada quando voc est
criando o primeiro domnio da empresa. Ou seja, ainda no existe uma
rvore de domnios e voc est criando o primeiro domnio, tambm
conhecido como domnio root.
IMPORTANTE: Na segunda etapa
informado que clientes rodando
o Windows 95 ou o Windows NT 4.0,
com Service Pack 3.0 ou inferior,
no sero capazes de fazer parte
de um domnio baseado no Win-
dows Server 2003. Esta etapa
tambm apenas informativa.
NOTA: Se o Terminal Server estiver
instalado no servidor que est sendo
promovido a DC, voc receber uma
mensagem de alerta. Esta mensagem
informa que a partir da instalao do
Active Directory, somente contas com
permisso de Administrador do
domnio, podero fazer o logon
remotamente usando o terminal
server. Para dar permisses de logon,
via terminal server, para outras contas,
voc ter que alterar as polticas de
segurana local do servidor, conforme
mostrarei no Captulo 4, no item sobre
direitos de contas de usurio. Para
continuar com a instalao do Active
Directory, clique em OK para fechar a
mensagem de aviso.5.Clique em
Avanar, para seguir para a
prxima etapa do assistente.
Figura 2.20 Criando um novo domnio.
Domnio filho em uma rvore de domnio existente: Selecione esta opo se voc estiver criando um novo
domnio em uma rvore de domnios j existente. Por exemplo, se voc o administrador de uma unidade
regional da empresa e est criando um domnio para a sua unidade, domnio esse que far parte da rvore de
domnios da empresa.
rvore de domnio em uma floresta existente: Selecione esta opo se voc est criando uma nove rvore de
domnios, a qual ser integrada a uma ou mais rvores j existentes, para formar uma floresta.
8. Para o nosso exemplo, vamos criar o primeiro domnio de uma rvore de domnios. Para isso certifique-se de que
a opo Domnio em uma nova floresta esteja selecionada, conforme indicado na Figura 2.21:
Figura 2.21 Criando o primeiro domnio de uma nova rvore de domnios.
11. Nesta etapa voc deve informar o nome DNS do domnio que est sendo criado. No campo Nome DNS completo
para o novo domnio, digita abc.com e clique em Avanar para seguir para a prxima etapa do assistente.
Figura 2.22 Informando o nome NetBIOS do domnio.
12. Em seguida solicitado o nome NetBIOS do domnio. O nome NetBIOS e uma espcie de apelido, de nome curto
para o domnio. Normalmente utilizada a primeira parte do nome DNS, no nosso exemplo o nome DNS
abc.com, o nome NetBIOS ser ABC. Observe que o campo Nome NetBIOS do domnio, j vem preenchido
com o nome ABC. O nome NetBIOS importante por questes de compatibilidade, para aplicaes e clientes
mais antigos, os quais no utilizam o DNS, mas sim o WINS (Windows Internet Name Service). O servio WINS
continua disponvel no Windows Server 2003 por questes de compatibilidade.
13. Certifique-se de que o campo Domain NetBIOS name esteja preenchido com o valor ABC, conforme indicado na
Figura 8.8.
15. Nesta etapa voc informa as pastas onde sero gravadas as informaes sobre o Active Directory. Por padro so
utilizadas duas pastas, uma para a base de dados do Active Directory e outra para o log do Active Directory. Por
padro o assistente sugere a mesma pasta para a base de dados e para o log e sugere uma pasta chamada NTDS,
dentro da pasta onde est instalado o Windows Server 2003. recomendado que estas informaes sejam gravadas
em um volume formatado com o sistema de arquivos NTFS, por questes de segurana. Aceite as sugestes do
assistente de instalao, conforme indicado na Figura 2.23:
Figura 2.23 Informando a pasta onde sero gravadas as informaes do Active Directory.
17. Nesta etapa solicitado que voc informe a pasta onde ser criada a pasta SYSVOL, a qual contm uma srie de
informaes fundamentais para o funcionamento do Active Directory, bem como para a implementao das polticas
de segurana (GPOs). Esta pasta, obrigatoriamente, tem que estar em um volume formatado com o sistema de
arquivos NTFS. Por padro o assistente de instalao sugere a pasta SYSVOL, dentro da pasta onde est instalado
o Windows Server 2003. Aceite a sugesto do assistente de instalao.
Figura 2.24 Permitindo que o assistente configure o DNS.
21. Nesta etapa voc precisa selecionar qual o tipo de permisso padro ser utilizada para os objetos usurios e
grupos. Os diferentes tipos de permisso tm a ver com os diferentes modos de funcionalidade do domnio e da
floresta, conforme descreverei mais adiante. A primeira opo Permisses compatveis com verses de sistemas
operacionais de servidor anteriores ao Windows 2000, deve ser selecionada se voc ainda tem programas que
rodam em servidores com verses anteriores ao Windows 2000 Server ou se existem servidores Windows Server
2003, os quais so membros de um domnio baseado no NT Server 4.0 ou anterior. Com esta opo ser permitido
o acesso annimo aos programas que rodam no servidor. A segunda opo Permisses compatveis somente
com os sistemas operacionais de servidor Windows 2000 ou Windows Server 2003, deve ser selecionada se todos
os programas que rodam no servidor esto em servidores com o Windows 2000 Server ou Windows Server 2003.
Com esta opo somente usurios autenticados podero acessar os programas que rodam nos servidores. Certifique-
se de que a segunda opo Permisses compatveis somente com os sistemas operacionais de servidor Windows
2000 ou Windows Server 2003 esteja selecionada.
23. Nesta etapa solicitado que voc defina uma senha que ser solicitada quando voc inicializar o servidor no
modo de restaurao do Active Directory. Em algumas situaes pode ser necessria a inicializao do servidor
19. Nesta etapa, o assistente informa que no pode localizar um servidor DNS para o domnio abc.com e oferece a
opo de voc deixar que o assistente instale e configure o DNS no servidor que est sendo promovido a DC.
Certifique-se de que a opo Instalar e configurar o servidor DNS..., esteja selecionada, conforme indicado na
Figura 2.24:
neste modo. Esta senha pode ser diferente da senha da conta Administrador, porm voc deve lembrar desta
senha, seno no ser possvel fazer a inicializao no modo de restaurao do Active Directory. Informe a senha
duas vezes para confirmao.
25. Nesta etapa exibido um resumo de todas as informaes que voc forneceu para o assistente de instalao do
Active Directory. Caso voc tenha que fazer alguma alterao s clicar no boto Voltar para fazer as alteraes
necessrias.
26. Clique em Avanar e o assistente comear a fazer todas as alteraes necessrias para instalar o Active Directory
e criar o domnio abc.com, transformando o servidor no primeiro DC do domnio abc.com. Esta etapa pode
demorar vrios minutos. Uma tela exibida informando a etapa que est sendo executada, conforme indicado na
Figura 2.25:
Figura 2.25 O assistente de instalao do Active Directory trabalhando.
NOTA: Durante a instalao do Ac-
tive Directory poder ser solicitado
que voc insira o CD do Windows
Server 2003 no drive, conforme
indicado na Figura 2.26. Se esta
mensagem for exibida, insira o cd
do Windows Server 2003 no drive
e clique em OK.
Figura 2.26 Mensagem solicitando o cd de instalao do Windows Server 2003.
27. O processo de instalao ser concludo e uma mensagem ser exibida,
informando que a isntalao foi concluda com sucesso.
28. Clique em Concluir.
29. Surge uma mensagem informando que o servidor tem que ser
reinicializado, conforme indicado na Figura 2.27:
Figura 2.27 Mensagem informando que o computador deve ser reinicializado.
30. Clique em Reiniciar agora.
31. O servidor ser reinicializado e no prximo logon, voc j ir fazer o logon no domnio abc.com, conforme
indicado na Figura 2.28. Observe que no campo Log on to, exibido o nome NetBIOS do domnio: ABC.
Figura 2.28 Fazendo o logon no domnio ABC.
Muito bem, instalado o Active Directory, agora hora de analisar quais modificaes foram feitas no servidor (alm
de ele ter sido transformado em um DC), aps a instalao do Active Directory.
Modificaes feitas com a instalao do Active Directory.
A primeira e mais bvia modificao o fato do servidor ter sido promovido de Member Server para Controlador
de Domnio (Domain Controler -DC). Tambm foram criadas as pastas NTDS e SYSVOL, dentro da pasta onde
o Windows Server 2003 est instalado. Na pasta NTDS so gravados os arquivos com a base de dados do Active
Directory e com o log de transaes desta base de dados. Na Figura 2.29 esto indicados os arquivos que so
criados na pasta NTDS:
Figura 2.29 A pasta NTDS.
Tambm criada a pasta SYSVOL e, dentro desta pasta, uma estrutura de outras pastas que do suporte a uma srie de
atividades do Active Directory, tais como scripts de logon, aplicaes de Poltcias de segurana e assim por diante.
Alm destas alteraes, novas ferramentas de administrao so instaladas. Estas novas ferramentas esto disponveis
no menu Ferramentas Administrativas, do menu Iniciar. A seguir descrevo, brevemente, as novas ferramenas
administrativas que so instaladas quando o Active Directory instalado:
Domnios e relaes de confiana do Active Directory: Este console utilizado para o gerenciamento das
relaes de confiana entre os domnios (relaes que so criadas explicitamente pelo Administrador e no as
relaes de confiana criadas automaticamente pelo Windows Server 2003), para configurar o nvel de
funcionalidade do domnio (conforme descreverei mais adiante) e para gerenciar o sufixo que utilizado pelas
contas dos usurios. Por exemplo, o usurio jsilva, do domnio abc.com, pode fazer o logon como usurio
jsilva@abc.com. Onde abc.com o sufixo deste usurio.
Servios e sites do Active Directory: Este console utilizado para gerenciar a replicao de dados do Active
Directory. Com este console voc cria sites e links entre sites, para implementar uma poltica de replicao
otimizada.
Usurios e computadores do Active Directory: Este um dos consoles mais utilizados pelo Administrador.
Com este console possvel gerenciar contas de usurios e grupos de usurios, criar unidades organizacionais
e mover usurios e grupos para dentro de uma unidade organizacional. Utilizaremos bastante este console no
Captulo 4 e nos demais captulos do livro.
Diretiva de segurana do controlador de domnio: Este console utilizado para administrar as polticas de
segurana que sero aplicadas ao controlador de domnio com o qual o console est conectado, normalmente
o servidor local. As polticas definidas com este console no tero efeito em todo o domnio, mas somente no
servidor onde foram configuradas.
Diretiva de segurana do domnio: Este console utilizado para configurar as polticas de segurana que sero
aplicados em todos os servidores e estaes de trabalho do domnio.
No exemplo do item anterior, quando deixamos a cargo do assistente a
instalao do DNS, foi instalado e configurado o DNS no prprio DC. Com
isso mais uma modificao foi feita (a instalao do DNS) e mais um console
est disponvel, que o console de administrao do DNS: Inicar ->
Ferramentas Administrativas -> DNS.
Neste exemplo foi criada uma zona direta no DNS, com o mesmo nome do domnio,
ou seja: abc.com, conforme indicado na Figura 2.30. Este fato ressalta bem a
dependncia entre o DNS e o Active Directory, conforme descrito no Captulo 6.
O nome do domnio tambm o nome da zona DNS direta.
NOTA: Para um estudo completo
sobre GPOs, consulte o Captulo 18
do livro Windows Server 2003
Curso Completo, 1568 pginas, de
minha autoria, publicado pela Axcel
Books.
NOTA: No Captulo 16 do livro Win-
dows Server 2003 Curso
Completo, 1568 pginas voc
aprende todos os detalhes sobre o
DNS, sobre zonas diretas e inversas.
Estes tpicos no so abordados
neste livro, pois no fazem parte
do programa oficial do Exame 70-
290.
Figura 2.30 A zona DNS direta abc.com.
Outras mudanas, menos visveis tambm so feitas com a instalao do Active
Directory. Novos contadores so disponibilizados no console de monitorao de
desempenho (Captulo 11), uma nova opo adicionada no menu de inicializao
avanada (Captulo 12) e assim por diante.
Como rebaixar um DC de volta a Member Server.
Na poca do NT Server 4.0 existiam dois tipos de servidores capazes de fazer a autenticao de usurios do domnio:
Primary Domain Controller (PDC) e um ou mais Backup Domain Controller. Em cada domnio existia um nico PDC
e vrios BDCs. Uma caracterstica no NT Server 4.0 que uma vez que um servidor tivesse sido configurado como
PDC ou BDC, no seria possvel rebaix-lo novamente a Member Server. O nico jeito seria formatando e reinstalando
o NT Server 4.0.
A partir do Windows 2000 Server existem apenas DCs, no existe mais o conceito de PDC e BDCs. Outra novidade
que possvel configurar o servidor para que ele deixe de ser um DC e volte a ser um Member Server, sem que ter que
formatar e reinstalar o Windows 2000 Server ou o Windows Server 2003. Esta possibilidade tambm existe no Win-
dows Server 2003 e ser o objeto de estudo deste item. Mostrarei um exemplo prtico, onde rebaixarei um DC de volta
a Member Server. Ento vamos ao exemplo prtico.
Exemplo: Como rebaixar um DC de volta a Member Server:
1. Faa o logon como Administrador ou com uma conta com permisso de administrador.
3. Na linha Abrir (Open) digite dcpromo.
4. O assistente de instalao do Active Directory ser aberto. A primeira tela apenas informativa, descrevendo a
funo do assistente e fornecendo um link para a documentao sobre Active Directory, na Ajuda do Windows
Server 2003. Observe que esta mensagem informa que o Active Directory j est instalado neste servidor e que
voc pode usar o assistente para desinstalar o Active Directory, rebaixando o servidor a member server (ainda
pertencente ao domnio) ou um stand alone server, conforme indicado na Figura 2.31:
Figura 2.31 Mensagem informando que o Active Directory j est instalado.
Figura 2.32 Mensagem de advertncia.
Se o DC que est sendo rebaixado for o nico DC do domnio, exibida uma
mensagem informando que se voc rebaixar o ltimo DC o domnio deixar de
existir. A mensagem tambm informa que todas as contas de usurios do domnio
sero excludas, que todas as chaves de criptografia sero excludas. Antes de
excluir o domnio, voc dever exportar as chaves de criptografia para um
disquete, seno as pastas que foram criptografadas com contas do domnio estaro
inacessveis aps a excluso do domnio. Nem mesmo criando o domnio
novamente e recriando as contas com o mesmo nome e senha, ser possvel
descriptografar estas pastas. Por isso que voc deve exportar as chaves de
NOTA: Se o servidor que voc est
rebaixando for um Servidor de
Catlogo Global, surgir uma
mensagem de advertncia, informando
que pelo menos um Servidor de
Catlogo Global deve estar disponvel
no domnio, seno os usurios no
conseguiro fazer o logon no domnio.
Esta mensagem est indicada na Figura
2.32. Clique em OK para fechar esta
mensagem.
criptografia, antes de excluir o domnio. No Captulo 6 voc aprender sobre a exportao de chaves de criptografia.
A mensagem de aviso est indicada na Figura 2.33:
Figura 2.33 Aes a serem executadas antes de excluir um domnio.
6. Se o servidor for o ltimo DC do domnio, marque a opo Este servidor o ltimo controlador de domnio no
domnio, caso contrrio deixe esta opo desmarcada.
8. A prxima mensagem informa sobre as configuraes do DNS relacionadas com o Active Directory. Nesta etapa
so listadas as configuraes que sero excludas com a desinstalao do Active Directory.
9. Aceite as configuraes sugeridas pelo assistente e clique em Avanar, para seguir para a prxima etapa do
assistente.
10. Surge mais uma mensagem pedindo que voc informe se deseja que o assistente exclua as parties de aplicao
do Active Directory, as quais foram criadas durante a instalao do Active Directory. Marque a opo Excluir
todas as parties de diretrio de aplicativos deste controlador de domnio.
12. Nesta etapa solicitado que voc informe a senha que ser atribuda a conta Administrador, conta esta que ser
uma conta local depois que o Active Directory for desinstalado. Digite a senha duas vezes, conforme indicado na
Figura 2.34:
Figura 2.34 Informando a senha para a conta Administrador (Administrator).
14. Ser exibida a tela final do assistente com um resumo das opes selecionadas. Voc pode utilizar o boto Voltar,
para voltar a uma determinada etapa do assistente e fazer alteraes. Clique no boto Avanar.
15. O processo de desinstalao do Active Directory inicia, conforme indicado na Figura 2.35. Esta etapa pode
demorar alguns minutos.
Figura 2.35 Desinstalando o Active Directory.
16. Ao final do processo exibida uma mensagem informando que o Active Directory foi desinstalado. Clique em
Concluir.
17. Ser exibida uma mensagem informando que o servidor precisa ser reinicializado para que o processo de
desinstalao esteja completo. Clique em Reinicializar Agora. O servidor ser reinicializado e agora ele j um
member server (ou um stand alone server, caso o servidor tenha sido configurado para no pertencer a um domnio).
Aps a desinstalao do Active Directory as ferramentas de administrao do Active Directory deixam de estar
disponveis. Tambm podem ser perdidas algumas configuraes (cones da rea de trabalho e atalhos da barra de
inicializao rpida), as quais tero que ser refeitas.
Criar um novo DC em um domnio j existente.
Neste item voc acompanhar a utilizao da ferramenta administrativa Gerenciar o servidor. Utilizarei esta ferramenta
para criar um novo DC em um domnio j existente. Vou promover um member server a DC de um domnio j
existente.
Exemplo: Para criar um novo DC em um domnio j existente, usando a ferramenta administrativa Gerenciar o servidor,
siga os passos indicados a seguir:
1. Faa o logon como Administrador ou com uma conta com permisso de administrador no servidor que ser
promovido a DC.
2. Selecione o comando Iniciar -> Ferramentas Administrativas -> Gerenciar o Servidor.
3. Ser aberta a janela Gerenciar o servidor.
4. Clique na opo Adicionar ou remover uma funo.
5. Ser aberto o assistente de configurao do servidor. A primeira etapa do assistente apenas informativa.
6. Clique no boto Avanar. O assistente inicia uma fase de deteco das configuraes de rede do seu servidor,
Figura 2.36Deteco das conexes de rede.
7. Em seguida exibida uma lista de funcionalidades (role) informando quais esto instaladas e quais ainda no
esto instaladas no servidor. Marque a opo Controlador de domnio (Active Directory), conforme indicado na
Figura 2.37:
Figura 2.37 Marcando o Active Directory para instalao.
NOTA: Se o Terminal Server estiver
instalado no servidor que est sendo
promovido a DC, voc receber uma
mensagem de alerta. Esta
mensagem informa que a partir da
instalao do Active Directory,
somente contas com permisso de
Administrador do domnio, podero
fazer o logon remotamente usando
o terminal server. Para dar
permisses de logon, via terminal
server, para outras contas, voc ter
que alterar as polticas de segurana
local do servidor, conforme
mostrarei no Captulo 5, no item
sobre direitos de contas de usurio.
Para continuar com a instalao do
Active Directory, clique em OK para
fechar a mensagem de aviso.
9. Ser exibida uma lista das opes que voc selecionou, no nosso exemplo somente
a instalao do Active Directory.
10. Clique em Avanar que ser lanado o assistente do Active Directory, para
que voc possa instalar o Active Directory.
4. O assistente de instalao/desinstalao do Active Directory ser aberto. A
primeira tela apenas informativa, descrevendo a funo do assistente e
fornecendo um link para a documentao sobre Active Directory, na Ajuda
do Windows Server 2003.
Na segunda etapa informado que clientes rodando o Windows 95 ou o
Windows NT 4.0, com Service Pack 3.0 ou inferior, no sero capazes de
fazer parte de um domnio baseado no Windows Server 2003. Esta etapa
tambm apenas informativa.
7. Na terceira etapa voc deve informar se esta sendo instalado um DC para um
novo domnio, ou seja, o primeiro DC e a criao do domnio, ou se voc est
instalando um DC adicional para um domnio j existente (que o caso do nosso
exemplo). Para o nosso exemplo selecione a opo Controlador de domnio
adicional para um domnio j existente, conforme indicado na Figura 2.38:
Figura 2.38 Criando um novo DC em um domnio j existente.
9. Nesta etapa voc tem que informar uma conta de usurio, uma senha e o nome do domnio. A conta informada
tem que ter privilgios de administrador no domnio para o qual est sendo criado um novo DC. Informe os dados
para uma conta de administrador do domnio. No exemplo da Figura 2.39, estou informando os dados de uma
conta com permisso de administrador no domnio groza.com (que o domnio que uso na rede em minha casa).
Neste instante o servidor deve ter acesso a um servidor DNS do domnio groza.com. O nmero IP do servidor
DNS pode ser configurado nas propriedades de rede do TCP/IP.
Figura 2.39 Informando uma conta com permisso de administrador e o nome do domnio.
10. Insira as informaes de conta, senha e domnio e clique em Avanar, para seguir para a prxima etapa do assistente.
Figura 2.40 Selecionando o domnio.
12. Ao clicar em OK voc estar de volta ao assistente de instalao e o nome do domnio selecionado j estar no
campo Nome do domnio.
14. Nesta etapa voc informa as pastas onde sero gravadas as informaes sobre o Active Directory. Por padro so
utilizadas duas pastas, uma para a base de dados do Active Directory e outra para o log do Active Directory. Por
padro o assistente sugere a mesma pasta para a base de dados e para o log e sugere uma pasta chamada NTDS,
dentro da pasta onde est instalado o Windows Server 2003. recomendado que estas informaes sejam gravadas
em um volume formatado com o sistema de arquivos NTFS, por questes de segurana. Aceite as sugestes do
assistente de instalao, conforme indicado na Figura 2.41.
11. Nesta etapa voc deve fornecer o nome DNS completo do domnio no qual voc deseja criar o novo DC. Voc
pode clicar no boto Procurar..., para exibir uma lista dos domnios disponveis. Neste exemplo clique no boto
Procurar... e depois no domnio groza.com, conforme indicado na Figura 2.40:
IMPORTANTE: Por questes de
desempenho, a Microsoft recomenda
que o arquivo de dados e o arquivo
de log sejam gravados em parties
localizadas em discos rgidos diferntes,
de preferncia at mesmo discos em
controladores diferentes.
16. Nesta etapa solicitado que voc informe o caminho onde ser criada a pasta
SYSVOL, a qual contm uma srie de informaes fundamentais para o
funcionamento do Active Directory, bem como para a implementao das
polticas de segurana (GPOs). Esta pasta, obrigatoriamente, tem que estar
em um volume formatado com o sistema de arquivos NTFS. Por padro o
assistente de instalao sugere a pasta SYSVOL, dentro da pasta onde est
instalado o Windows Server 2003. Aceite a sugesto do assistente de
instalao.
18. Nesta etapa solicitado que voc defina uma senha que ser solicitada quando
voc inicializar o servidor no modo de restaurao do Active Directory. Em
algumas situaes pode ser necessria a inicializao do servidor neste modo. Esta senha pode ser diferente da
senha da conta Administrador, porm voc deve lembrar desta senha, seno no ser possvel fazer a inicializao
no modo de restaurao do Active Directory. Informe a senha duas vezes para confirmao.
Figura 2.41 Informando a pasta onde sero gravadas as informaes do Active Directory.
20. Nesta etapa exibido um resumo de todas as informaes que voc forneceu para o assistente de instalao do
Active Directory. Caso voc tenha que fazer alguma alterao s clicar no boto Voltar para fazer as alteraes
necessrias.
NOTA: Durante a instalao do Ac-
tive Directory poder ser solicitado
que voc insira o CD do Windows
Server 2003 no drive. Se esta
mensagem for exibida, insira o cd
do Windows Server 2003 no drive
e clique em OK.
21. Clique em Avanar e o assistente comear a fazer todas as alteraes
necessrias para instalar o Active Directory e criar um novo DC no domnio
groza.com, transformando em um DC adicional do domnio groza.com. Esta
etapa pode demorar vrios minutos. Uma tela exibida informando cada
etapa do processo
22. O processo de instalao ser concludo e uma mensagem ser
exibida,informando que a isntalao foi concluda com sucesso.
23. Clique em Concluir.
24. Surge uma mensagem informando que o servidor tem que ser reinicializado
25. Clique em Reinicializar agora.
32. O servidor ser reinicializado e no prximo logon, voc j ir fazer o logon
no domnio groza.com. Pronto, voc acaba de adicionar mais um DC ao
domnio groza.com
A seguir voc aprender mais alguns detalhes sobre o Active Directory, bem como aprender a utilizar algumas das
ferramentas administrativas do Active Directory.
Preparando um domnio do Windows 2000 Server para migrao.
Antes de migrar um domnio baseado no Windows 2000 Server para o Windows Server 2003, existem algumas etapas
de preparao que devem ser executadas. Estas etapas fazem alteraes, principalmente, no Schema do Active Direc-
tory, preparando-o para o Windows Server 2003.
Se voc for migrar uma rvore inteira de domnios ou at mesmo um floresta, existem comandos que deve ser executados
para fazer a preparao da floresta e das rvores de domnios, para que possa ser feita a migrao para o Windows
Server 2003.
Para obter um relatrio completo sobre a compatibilidade do Windows Server 2003 e as aes de preparao necessrias,
voc pode executar um teste de verificao de compatibilidade, executando o comando winnt32/checkupgradeonly,
conforme exemplificado no Captulo 1, quando da instalao do Windows Server 2003.
Para preparar uma floresta de domnios do Windows 2000 Server, para migrao para o Windows Server 2003, voc
utiliza o seguinte comando:
adprep /forestprep
este comando ir fazer alteraes no Schema do Active Directory, preparando-o para a migrao para o Windows
Server 2003. Estas alteraes devem ser replicadas (o que feito automaticamente) entre todos os domnios e rvores
da floresta.
Feita a preparao da floresta voc pode fazer a preparao de cada domnio individualmente, usando o comando a
seguir:
adprep /domainprep
O comando adprep est disponvel na pasta I386 do CD de instalao do Win-
dows Server 2003. No ser possvel atualizar um DC com o Windows 2000
Server para o Windows Server 2003 ou adicionar novos DCs rodando o Windows
Server 2003 em um domnio baseado no Windows 2000 Server, at que o comando
adprep tenha sido utilizado para preparar a floresta e o domnio para a migrao.
Operaes diversas com o Active Directory.
A partir de agora passarei a mostrar uma srie de operaes que podem ser
executadas no Active Directory e nos DCs. Estas operaes so executadas usando
as ferramentas administrativas que so instaladas juntamente com o Active Di-
rectory, conforme descrito anteriormente. Para acompanhar e entender os que
mostrarei a seguir importante que voc tenha entendido bem todos os conceitos
tericos sobre Active Directory, apresentados no Captulo 1.
NOTA: Para uma referncia
completa a todas as opes do
comando adprep, execute o seguinte
comando: adprep/?
Modos de funcionalidade do domnio e da floresta.
comum a rede da empresa conviver com diferentes verses do Windows em seus servidores. Isso aconteceu na
migrao do NT Server 4.0 para o Windows 2000 Server, onde durante um bom tempo ainda existiam (na prtica
sabemos que ainda existem) servidores com o NT Server 4.0 em utilizao na rede, juntamente com os servidores com
o Windows 2000 Server. Agora com o Windows Server 2003, provvel que, no mesmo domnio, tenhamos servidores
com o NT Server 4.0, Windows 2000 Server e Windows Server 2003. Dependendo de existir apenas servidores com o
Windows Server 2003 ou uma mescla com outras verses (NT Server 4 e Windows 2000 Server), existem diferentes
nveis de funcionalidade para um domnio e para a floresta como um todo. Em cada nvel de funcionalidade esto
disponveis/habilitadas diferentes funcionalidades.
funcionalidade, com base nos tipos de DCs (com NT Server 4.0, com Windows 2000 Server, com Windows Server
2003 ou uma mescla destas verses) instalados na rede. Neste tpico vou descrever os nveis de funcionalidade
disponveis e as diferentes funcionalidades que esto disponveis em cada nvel.
2000 Server.
Existem quatro nveis de funcionalidade do domnio no Windows Server 2003:
Windows 2000 mixed
Windows 2000 native
Windows Server 2003 interim
Windows Server 2003
da floresta disponveis: Windows 2000, Windows Server 2003 interim e Windows Server 2003. Por padro selecionado
o nvel Windows 2000. Muitas das novidades do Windows Server 2003 em relao ao Active Directory somente esto
disponveis nos nveis mais avanados: Windows Server 2003 interim ou Windows Server 2003.
Server 2003. Neste nvel de funcionalidade no possvel a utilizao de grupos Universais e no possvel
renomear um DC (ao invs disso o DC tem que ser rebaixado a member server, faz-se a renomeao e promove-
se o servidor novamente a DC),
Windows 2000 native: Suporta DCs com o Windows 2000 Server ou com o Windows Server 2003. Neste nvel
de funcionalidade so suportados grupos Universais. Neste nvel possvel utilizar os grupos Universais
porm no possvel renomear DCs sem antes rebaixa-los de volta a member server.
Windows Server 2003: Somente DCs com o Windows Server 2003. Este o
nvel onde esto disponveis todos os recursos e novidades do Active Directory.
Agora vou falar sobre os nveis de funcionalidade da floresta e as caractersticas
de cada nvel. Esta uma das novidades do Windows Server 2003, ou seja, o
conceito de nvel de funcionalidade da floresta. Conforme descrito anteriormente,
esto disponveis trs diferentes nveis de funcionalidade de floresta, conforme
detalhado a seguir:
Windows 2000: Este o nvel de funcionalidade padro. Neste nvel podem
coexistir DCs com o NT Server 4.0, Windows 2000 Server e Windows
Server 2003. Normalmente utilizado durante a fase de migrao de uma
rede baseada no NT Server 4.0 para o Windows Server 2003. Neste nvel,
a maioria das novidades do Active Directory no Windows Server 2003
esto desabilitadas, como por exemplo: melhorias na replicao do catlogo
global (somente estaro disponveis na replicao entre dois servidores
de catlogo global baseados no Windows Server 2003), relao de
confiana entre florestas, renomeao de domnio, melhorias na replicao
do Active Directory, dentre outros.
Windows Server 2003 interim: Este nvel de funcionalidade da floresta
utilizado quando da migrao de uma rede baseada no NT Server 4.0
diretamente para o Windows Server 2003. Suporta DCs baseados no NT
Server 4.0 e no Windows Server 2003. A maioria das novidades do Active
Directory no esto disponveis neste nvel de funcionalidade:
Windows Server 2003: Este nvel de funcionalidade da floresta utilizado
quando a migrao j foi completada e somente existem DCs com o
Windows Server 2003. Somente suporta DCs baseados no Windows Server
2003. neste nvel que esto disponveis todas as novidades do Active
Directory no Windows Server 2003.
Quando voc configura o nvel de funcionalidade mais alto, no podero ser
introduzidos DCs com as verses anteriores do Windows. Por exemplo, quando o
nvel de funcionalidade da floresta configurado como Windows Server 2003,
no ser mais possvel criar novos DCs baseados no NT Server 4.0 ou no Win-
dows 2000 Server.
Como configurar o nvel de funcionalidade de um domnio e de
uma floresta:
Os nveis de funcionalidade do domnio e da floresta so configurados com o
console Domnios e relaes de confiana do Active Directory, o qual acessado
atravs do menu Ferramentas administrativas.
Configurando o nvel de funcionalidade do domnio:
1. Faa o logon como Administrador ou com uma conta com permisso de
administrador no domnio.
IMPORTANTE: Quando voc altera
de um modo de funcionalidade para
o outro, no ser mais possvel criar
DCs com verses no suportadas do
Windows. Por exemplo, quando voc
passa do modo Windows 2000 mixed
para o modo Windows 2000 Native,
no ser mais possvel inserir DCs com
o NT Server 4.0 e nem ser voltar para
o nvel de funcionalidade anterior.
2. Abra o console Domnios e relaes de confiana do Active Directory: Iniciar -> Ferramentas administrativas ->
Domnios e relaes de confiana do Active Directory.
3. Ser exibido o console Domnios e relaes de confiana do Active Directory, onde exibida a rvore de diretrios
da sua rede, conforme exemplo da Figura 2.42:
Figura 2.42 O console Active Directory Domains and Trusts.
4. Clique com o boto direito no domnio a ser configurado e no menu que exibido clique em Aumentar nvel
funcional do domnio...
5. Ser exibida a janela Aumentar nvel funcional do domnio, indicada na Figura 2.43. Selecione o nvel de
funcionalidade desejado e clique em Aumentar. Surgir uma mensagem informando que estas alteraes afetaro
todo o domnio. Clique em OK para fechar a mensagem e definir o nvel de funcionalidade do domnio e que voc
no poder voltar ao nvel anterior. Por exemplo, quando voc altera do nvel Windows 2000 Mixed para o nvel
Windows 2000 Native, no ser possvel voltar ao nvel Windows 2000 Mixed novamente.
Figura 2.43 A janela Aumentar nvel funcional do domnio.
6. Surge uma mensagem informando que o nvel de funcionalidade do domnio foi alterado. Clique em OK. Voc
estar de volta ao consolo Active Directory Domain and Trusts.
7. Feche o console.
Agora vou mostrar os passos para configura o nvel de funcionalidade da floresta. Para executar esta operao voc
deve fazer o logon com uma conta com permisso de Enterprise Admin., ou seja, uma conta pertencente ao grupo
Administrao de empresa.
Configurando o nvel de funcionalidade da floresta:
1. Faa o logon com uma conta com permisso de Enterprise Admin.
3. Ser exibido o console Domnios e relaes de confiana do Active Directory, onde exibida a rvore de diretrios
da sua rede.
4. Clique com o boto direito na raiz da rvore a ser configurada e no menu que exibido clique em Aumentar nvel
funcional da floresta...
5. Ser exibida a janela Aumentar nvel funcional da floresta, indicada na Figura 2.44. Selecione o nvel de
funcionalidade desejado e clique em Aumentar. Surgir uma mensagem informando que estas alteraes afetaro
todos os domnios. Clique em OK para fechar a mensagem e definir o nvel de funcionalidade da floresta e voc
no poder voltar ao nvel anterior. Por exemplo, quando voc altera do nvel Windows 2000 para o nvel Win-
dows Server 2003, no ser possvel voltar ao nvel Windows 2000 novamente.
Figura 2.44 A janela Aumentar nvel funcional da floresta.
Gerenciando relaes de confiana entre domnios.
Conforme descrito no Captulo 1, o Windows Server 2003 (a exemplo do Windows 2000 Server) cria e gerencia,
automaticamente, as relaes de confiana entre os domnios de uma rvore de domnios. Porm em determinadas
situaes, pode ser necessria a criao de relaes de confiana, manualmente, pelo Administrador. Para criar relaes
de confiana manualmente (Trusts), o administrador utiliza console Domnios e relaes de confiana do Active
Directory. A seguir descrevo os passos para acessar a janela para criao de relaes de confiana manualmente.
Configurando relaes de confiana manualmente:
1. Faa o logon como Administrador ou com uma conta com permisso de administrador no domnio.
3. Ser exibido console Domnios e relaes de confiana do Active Directory, onde exibida a rvore de diretrios
da sua rede.
4. Clique com o boto direito no domnio a ser configurado e no menu que exibido clique em Propriedades.
5. Na janela de Propriedades d um clique na guia Relaes de confiana. Nesta guia, indicada na Figura 2.45, o
administrador pode criar relaes de confiana com outros domnios e definir as caractersticas desta relao de
confiana.
Figura 2.45 A guia Relaes de confiana da janela de propriedades do domnio.
Configurando um DC como Servidor de Catlogo Global.
Para que um usurio possa fazer o logon e ser autenticado na rede, ele precisa contatar um Servidor de Catlogo
Global, conforme descrito no Captulo 1. Por padro, o primeiro DC de um domnio , automaticamente, configurado
como Servidor de Catlogo Global. A recomendao da Microsoft que voc tenha, pelo menos, um Servidor de
Catlogo Global em cada site, para reduzir o tempo necessrio para o logon e evitar trfego adicional nos links de
Wan. A seguir mostrarei os passos necessrios para configurar um DC como Servidor de Catlogo Global.
Como configurar um DC como Servidor de Catlogo Global:
1. Faa o logon com uma conta com permisso de Enterprise Admin.
2. Abra o console Servios e sites do Active Directory: Iniciar -> Ferramentas administrativas -> Servios e sites do
Active Directory.
3. Ser exibido o console Servios e sites do Active Directory, onde exibida a rvore de sites da sua rede. Lembrando,
do Captulo 1, que os sites representam a diviso fsica da rede e so utilizados para otimizar e gerenciar o trfego
de replicao entre os DCs de um domnio.
4. Acesse o site onde est o servidor que voc quer configurar como Servidor de Catlogo Global, conforme exemplo
da Figura 2.46, onde foi selecionado o servidor MCSE70-290.
Figura 2.46 Selecionando o DC a ser configurado como Servidor de Catlogo Global.
5. Abaixo do nome do servidor, clique com o boto direito do mouse na opo NTDS Settings. No menu que
exibido clique em Propriedades.
6. Ser exibida a janela NTDS Settings com a guia Geral selecionada. Para transformar o DC selecionado em um
Servidor de Catlogo Global, marque a opo Catlogo Global, conforme exemplo da Figura 2.47.
7. Clique em OK e pronto, o DC MCSE70-290 ser configurado como Servidor de Catlogo Global e, alm da
cpia completa de todos os objetos do seu prprio domnio, passar a ter uma cpia parcial (somente alguns
atributos), de todos os objetos dos demais domnios, conforme explicado no Captulo 1.
Concluso
Neste captulo voc foi apresentado aos principais conceitos do Active Directory. Este conhecimento terico funda-
mental e serve de suporte para todos os demais captulos deste livro, onde sempre irei utilizar conceitos apresentados
neste captulo. Entender os fundamentos tericos do Active Directory fundamental. Sem isso voc at pode seguir
uma receita de bolo, passo-a-passo, mas dificilmente entender exatamente o que est fazendo.
Figura 2.47 Transformando o DC selecionado em um Servidor de Catlog Global.
Voc aprendeu que o Active Directory, basicamente, uma base de dados e um conjunto de servios. Na base de dados do
Active Directory esto informaes sobre todos os objetos da rede, tais como: usurios, grupos, computadores, impressoras,
servidores, domnios, unidades organizacionais e assim por diante. Os servios do Active Directory permitem a manuteno,
atualizao e replicao desta base de dados, alm de fornecer servios de pesquisa de objetos.
Iniciei o captulo apresentando o conceito de diretrio. Voc aprendeu que at mesmo uma lista telefnica pode ser
considerada um exemplo de diretrio. Voc tambm ficou sabendo que, na prtica, existem vrios diretrios na rede
das empresas. Por isso que o usurio obrigado a utilizar diferentes senhas para acessar os deferentes sistemas da
empresa. De uma maneira simplificada, para cada diretrio existente na rede, uma senha.
Tambm falei sobre as diferenas entre uma rede baseada no conceito de Workgroup e uma rede baseada em diretrios.
A rede baseada em Workgroup difcil de administrar, sendo recomendada somente para pequenas redes, onde existe
um nico servidor e no mais do que 10 estaes de trabalho. J redes baseadas em diretrios podem crescer e atender
a milhares de usurios e dezenas, at mesmo centenas ou milhares de servidores.
Neste momento mostrei o papel do Windows Server 2003 dentro de uma rede baseada em domnios. Um servidor
baseado no Windows Server 2003 pode assumir o papel de DC (Domain Controler Controlador de domnio). No DC
fica uma cpia integral da base de dados do Active Directory. Esta base pode sofrer alteraes, as quais devem ser
replicadas para os demais DCs do domnio.
Em seguida, j tratando sobre o Active Directory, apresentei o conceito de Domnio. Voc aprendeu que um domnio,
basicamente, uma diviso lgica da rede. Um domnio consiste tambm em uma diviso administrativa e de segurana.
Um domnio pode conter diversos objetos, tais como usurios, grupos de usurios, contas de computadores e assim
por diante. Todas estas informaes ficam armazenadas na base de dados do Active Directory.
A utilizao de Unidades Organizacionais ajuda a eliminar alguns problemas de Administrao existentes no NT
Server 4.0. Com o uso de Unidades Organizacionais possvel fazer uma diviso lgica do domnio, diviso esta
baseada em critrios geogrficos ou funcionais. Com o uso de Unidades Organizacionais possvel delegar
permisses administrativas a nvel da Unidade Organizacional e no somente no nvel de domnio, como ocorria
com o NT Server 4.0.
Voc tambm aprendeu sobre os tipos de grupos existentes no Active Directory. Mostrei que, quanto ao tipo, os grupos
so divididos em Grupos de distribuio e Grupos de segurana. Somente grupos de segurana podem ser utilizados
para atribuir permisses de acesso a recursos tais como pastas compartilhadas, impressoras compartilhadas, etc. Os
grupos de distribuio so utilizados para envio de mensagens de e-mail para todos os membros do grupo.
Os grupos tambm so classificados quanto ao escopo, em: Universais, Globais e Locais. Um grupo Universal pode
conter membros e outros grupos de qualquer domnio e pode receber permisses de acesso em recursos de qualquer
domnio. Os grupos Globais podem ter como membros somente objetos do prprio domnio, porm podem receber
permisses de acesso em objetos de outros domnios. Os grupos locais podem conter membros de outros domnios,
mas somente podem receber permisses de acesso a recursos do prprio domnio. Em seguida apresentei vrios
estudos de caso para fixao dos conceitos de grupos, principalmente em relao ao escopo de grupos: Universal,
Global e Local.
Voc pode dividir a rede da sua empresa em vrios domnios, criando assim uma rvore de domnios. Mostrei que
dentro da rvore deve ser utilizado um espao de nomes contnuo, no qual o nome do objeto filho deve conter todo o
nome do objeto pai.
Seguindo o estudo do Active Directory, apresentei o importante conceito de Catlogo Global. Pelo menos um DC de
cada domnio atua tambm como Servidor de Catlogo Global. No DC est a cpia completa da base de dados do
domnio do DC. No Servidor de Catlogo Global est a cpia completa da base de dados do domnio do Servidor de
Catlogo Global e uma cpia parcial (somente alguns atributos) da base de dados de todos os demais domnios da
floresta. O Servidor de Catlogo Global ajuda a reduzir o trfego de rede e a agilizar as pesquisas realizadas no Active
Directory. O Administrador pode configurar mais DCs do domnio para que tambm atuem como Servidores de
Catlogo Global.
Avanando um pouco mais, voc aprendeu que possvel reunir duas ou mais rvores de domnios para formar uma
floresta. O que caracteriza uma rvore de domnios o espao de nomes contnuo, conforme descrito anteriormente.
possvel juntar duas ou mais rvores para formar uma floresta de domnios.
Outro conceito muito importante o de relaes de confiana. Neste tpico fiz um pequeno histrico sobre como
eram as relaes de confiana na poca do NT Server 4.0. Voc aprendeu que no NT Server 4.0, as relaes de
confiana eram unidirecionais, no transitivas e tinham que ser criadas e mantidas manualmente pelo administrador.
J no Windows 2000 Server e no Windows Server 2003, as relaes de confiana so criadas automaticamente, so
transitivas e so bi-direcionais.
Em seguida foi o momento de falar sobre a diviso fsica do Active Directory e sobre replicao. Domnios, rvores,
florestas, etc, constituem a estrutura e a diviso lgica do Active Directory. O conceito de sites representa a estrutura
e a diviso fsica do Active Directory. O principal objetivo de dividir a rede em sites para que o KCC (servio do
Active Directory responsvel por determinar um esquema de replicao otimizado) possa determinar qual o melhor
esquema de replicao a ser utilizado, mantendo um equilbrio entre o tempo de atualizao dos DCs e a quantidade
de informaes de replicao a ser gerada nos links de WAN.
Voc tambm aprendeu um pouco sobre os nveis de funcionalidade de um domnio e tambm da floresta.
Repito, os conceitos tericos vistos neste captulo so fundamentais e sero necessrios em todos os demais captulos
do livro. Se voc ficou com dvida sobre um dos conceitos, peo que voc volte e releia o referido conceito. muito
importante que voc entenda os diversos elementos que compem o Active Directory, tanto em sua estruturao
lgica, quanto em sua estruturao fsica.
Em seguida partimos para a prtica. Voc aprendeu a instalar o Active Directory, usando o comando dcpromo e
tambm a ferramenta administrativa Gerenciar o servidor. Inicialmente foi feito um exerccio onde foi criado um novo
domnio, chamado abc.com. Em seguida voc aprendeu a rebaixar um DC de volta a member server. Em seguida
mostrei como criar um novo DC em um domnio j existente.
Tambm mostrei quais as mudanas feitas pelo assistente de instalao do Active Directory, quando um servidor
promovido a DC.
O prximo passo foi aprender um pouco mais sobre os nveis de funcionalidade de domnio e de floresta. Para finalizar
o captulo apresentei a parte prtica para algumas aes do Active Directory, tais como:
Definir o nvel de funcionalidade do domnio.
Definir o nvel de funcionalidade da floresta.
Configurar relaes de confiana manualmente.
Definir um servidor como Servidor de Catlogo Global.
A partir do prximo captulo passarei a apresentar as ferramentas de administrao do Windows Server 2003. A partir
do Captulo 4 voc aprender a utilizar as diversas ferramentas administrativas do Windows Server 2003.
Introduo
Nos Captulos 1 e 2, apresentei uma srie de fundamentaes tericas. Desde
uma retrospectiva da poca do modelo baseado em mainframe, passando pela
evoluo do modelo Web, chegando em redes baseadas em diretrios. Tambm
apresentei uma descrio completa dos elementos que compem o Active Direc-
tory (Captulo 2).
Voc tambm aprendeu a instalar o Windows Server 2003. Agora j est mais do
que na hora de comear a trabalhar e a aprender a utilizar os recursos de
administrao do Windows Server 2003, cobrados no Exame 70-290. isso que
mostrarei para voc a partir deste captulo, ou seja, a parte prtica, a famosa mo
na massa.
No Windows Server 2003, a exemplo do que j acontecia no Windows 2000 Server,
todas as ferramentas administrativas so baseadas em uma interface padro e em
um conjunto de tecnologias comuns. Toda ferramenta administrativa conhecida
como Console. Assim temos:
Console para administrao de contas de usurios e grupos.
Console para administrao de sites.
Console para administrao do Schema.
Console para monitoramento de desempenho.
Console para acessar os logs de auditoria e assim por diante.
Todos os consoles tem uma interface semelhante. A interface das ferramentas
administrativas muito parecida com a interface do Windows Explorer. Temos
um painel a esquerda, onde esto disponveis as diversas opes relacionadas
com o console que est sendo utilizado. Ao selecionar uma opo no painel da
esquerda, so exibidas as opes relacionadas no painel da direita. Na Figura 3.1
voc tem um exemplo do console de administrao de pastas compartilhadas em
um servidor:
Consoles de Administrao e
Snap-in - interface padro para
Administrao do Windows
Server 2003
3
C A P T U L O
Figura 3.1 Exemplo de um console de administrao.
As ferramentas administrativas so baseadas em dois elementos. O primeiro o
MMC Microsoft Managament Console. O MMC o programa no qual so
carregadas as diferntes ferramentas administrativas, isto , os diferentes consoles de administrao. Porm o MMC
sozinho no serve para absolutamente nada, ou seja, no tem funcionalidade nenhuma. Para que o MMC se torne
til deve ser carregado um Snap-in. O Snap-in o elemento que contm a definio de todas as funcionalidades de
um console administrativo. O que diferencia um console de outro o Snap-in que carregado. De uma maneira
simples at poderia dizer que: Console = MMC + Snap-in, ou em outras palavras: Um console igual a um Snap-
in carregado no MMC.
Neste captulo vou explorar o conceito de MMC, Snap-in e consoles, atravs de exemplos prticos. O objetivo deste
captulo apresentar estes conceitos e ensinar a trablhar com a interface de um console administrativo. Tambm
mostrarei como criar consoles personalizados, definir nveis de acesso a estes consoles e envi-los para outros
administradores.
Microsoft Management Console (MMC) e Snap-in Conceitos
O MMC foi criado para servir como uma interface unificada para a administrao e gerenciamento dos mais variados
recursos do Windows 2000, est presente no Windows XP e tambm a base das ferramentas administrativas do
Windows Server 2003 (na realidade o IIS 4.0, no NT Server 4.0 j utilizava o MMC) . Em verses anteriores do
Windows, como por exemplo o Windows NT Server 4.0 e 3.51, cada ferramenta administrativa apresentava uma
interface diferente. Por exemplo a interface do User Manager for Domains (o qual utilizado para criar contas e
grupos de usurios em um servidor no NT Server 4.0) era completamente diferente da interface de outras ferramentas
administrativas, tais como o Disk Manager (utilizado para gerenciar os discos rgidos e parties). Com isso o
administrador precisava aprender a utilizar uma srie de interfaces diferentes.
O MMC resolve esse problema, fornecendo uma interface padro para todas as ferramentas administrativas. Na verdade
o MMC vem sendo utilizado em alguns programas h algum tempo, como o Internet Information Server 4.0 (servidor
Web da Microsoft) , Proxy Server 2.0 (Firewal para proteo da rede interna ), Microsoft SQL Server 7.0 e 2000 (
servidor de Banco de dados da Microsoft), dentre outros programas da Microsoft. Com o Windows Server 2003
disponibilizada a verso 2.0 do MMC.
Na prtica o MMC por si s no oferece nenhuma funcionalidade. O MMC fornece uma maneira padronizada para
a criao de ferramentas administrativas. Toda a funcionalidade do MMC fornecida por aplicaes de gerenciamento
e administrao chamadas Snap-Ins, o MMC funciona simplesmente como um hospedeiro para os diversos Snap-
Ins. Conforme mostrarei nos exemplos prticos a seguir, ao abrir o MMC, nenhuma funcionalidade estar disponvel,
at que seja carregado um Snap-In. Por exemplo, quando voc acessa uma ferramenta administrativa, como o
Gerenciamento do computador, na prtica est carregando o MMC e, dentro dele, uma Snap-In projetado para
realizar um conjunto de funes administrativas. O conjunto MMC + Snap-In conhecido como Console ou Con-
sole de administrao.
Um console composto por uma janela dividida em dois painis, muito semelhante janela do Windows Explorer. O
painel da esquerda exibe a rvore de console, com as diversas opes do Snap-in carregado atualmente, idntica a
rvore de pastas e subpastas do Windows Explorer. A rvore de console mostra os itens que esto disponveis em um
determinado console. O painel da direita contm o painel de detalhes. O painel de detalhes mostra as informaes e
funes relativas ao item que est selecionado no painel da esquerda. Quando voc clica em diferentes itens da rvore
de console, as informaes no painel de detalhes so alteradas. O painel de detalhes pode exibir vrios tipos de
informaes, como pginas da Web, elementos grficos, grficos, tabelas e colunas.
Na Figura 3.2, mostro um exemplo de um console do MMC, no qual exibido o console Gerenciamento do computador.
Observe a diviso em dois painis, muito parecida com a janela do Windows Explorer. Tambm observe que existe
Figura 3.2 O console Gereneciamento do computador.
uma opo Usurios e grupos locais, a qual utilizada para fazer o gerenciamento/administrao de contas de
usurios e de grupos em um Member Server ou em um servidor que no faz parte de um domnio.
NOTA: Para a administrao de
contas de usurios e grupos, em
servidores configurados como DCs,
utilizado o console Usurios e
Computadores do Active Directory.
NOTA: Os consoles que foram
criados com as verses anteriores
do MMC (verses 1.1 e 1.2) podem
ser lidos pelo MMC 2.0. No entanto,
para salvar ou modificar os consoles
antigos, o usurio ser solicitado a
fazer a converso para o formato
utilizado pelo MMC 2.0.
Cada console possui seus prprios menus e sua prpria barra de ferramentas,
separados dos menus e da barra de ferramentas da janela principal do MMC, que
ajudam o usurio a executar tarefas.
O Windows Server 2003 j vem com uma srie de consoles pr-configurados, os
quais esto disponveis atravs da opo Ferramentas administrativas: Iniciar ->
Ferramentas administrativas. As opes disponveis no menu Ferramentas
administrativas variam dependendo do servidor ser um DC ou no. Por exemplo,
quando voc instala o Active Directory, transformando um member server em um
DC, novas opes so instaladas no menu Ferramentas administrativas, conforme
descrito no Captulo 2. Quando voc instala um novo servio, como por exemplo
o DHCP, uma nova opo adicionada ao menu Ferramentas administrativas.
Esta nova opo o console de administrao do servio DHCP.
Voc pode utilizar o MMC para uma srie de atividades, tais como:
Realizar a maioria das tarefas administrativas do dia-a-dia, tais como
administrao de contas de usurios, grupos e computadores,
gerenciamento dos logs de segurana, monitorao de desempenho,
administrao do Active Directory e assim por diante.
Fazer o gerenciamento e a administrao de uma maneira centralizada,
usando o MMC para conectar-se as ferramentas administrativas de outros
servidores, remotamente atravs da rede. Por exemplo, voc pode utilizar
o console Gerenciamento do computador para conectar-se a qualquer
computador da rede, desde que voc tenha as devidas permisses. Com
isso voc pode administrar uma srie de tarefas remotamente.
Fazer administrao e gerenciamento remoto, desde que voc possua as permisses para isso. Veja item anterior.
Criar consoles personalizados e definir permisses para delegar funes para um ou mais usurios.
Quando voc abre o console para administrao de contas de usurios e grupos, na verdade esta abrindo o MMC e
carregando o Snap-In especialmente projetado para realizar as tarefas administrativas relativas a administrao de
contas de usurios e Grupos. possvel ter um ou mais Snap-In carregados, simultaneamente, no MMC, de tal forma
que em uma mesma janela, seja possvel realizar as mais variadas tarefas administrativas.
Vou apresentar alguns exemplos prticos de uso do MMC e de alguns consoles de administrao.
Exemplo 01: Abrir o MMC sem nenhum Snap-In carregado. Conforme voc poder conferir na prtica, o MMC
em si, no oferece nenhuma funcionalidade. Usarei este exerccio apenas para mostrar, para reforar a idia de
que o MMC em si no oferece funcionalidade nenhuma. Funcionalidades so fornecidas pelos Snap-Ins que so
carregados no MMC.
Para abrir o MMC sem nenhum Snap-In Carregado, faa o seguinte:
1. Faa o logon como Administrador ou com uma conta com permisso de Administrador.
3. Na janela que surge, no campo Abrir digite mmc e d um clique em OK.
4. Ser aberta uma janela do MMC com um novo console chamado Console 1, conforme indicada na Figura 3.3.
Esta janela mostra o MMC sem nenhum Snap-In Carregado.
Figura 3.3 MMC sem nenhum Snap-In carregado.
5. Feche o MMC aberto anteriormente.
Agora voc ir abrir o MMC com alguns Snap-Ins j carregados. Tambm ir analisar a interface dos consoles abertos.
Exemplo 2: Para abrir o MMC para Gerenciamento do Computador, siga os passos indicados a seguir:
1. Se no estiver logado, faa o logon com uma conta com permisso de Administrador.
2. Abra o console Gerenciamento do computador: Iniciar -> Ferramentas administrativas -> Gerenciamento
do computador.
3. Ser aberto o console Gerenciamento do computador, indicado anteriormente na Figura 3.2.
A maneira de utilizar e navegar na janela de um console do MMC exatamente igual utilizada no Windows
Explorer. Agora voc ir navegar atravs do painel da esquerda e quando um elemento do painel da esquerda for
selecionado, o seu contedo/detalhes ser exibido no painel da direita.
Alm disso os menus e botes da barra de ferramentas vo se modificando, dependendo do elemento selecionado.
Isso porque as aes que podem ser executadas, por exemplo, quando uma conta de usurio est selecionada, so
diferentes das aes que podem ser executadas quando est selecionado um objeto do tipo grupo. Essa mudana
nos menus e na barra de ferramentas serve para refletir quais as aes so possveis em relao ao objeto selecionado.
4. Para abrir a pasta Compartilhamentos, conforme indicado na Figura 3.4, d um clique no sinal de + ao lado da
opo Ferramentas do sistema. Nas opes que so abertas clique no sinal de + ao lado de Pastas compartilhadas.
5. Para ver uma listagem dos compartilhamentos disponveis, clique em Compartilhamentos, abaixo de Pastas
compartilhadas. Ser exibida a lista de compartilhamentos disponveis no servidor, conforme indicado na Figura 3.4:
Figura 3.4 Listagem de compartilhamentos.
6. Feche o MMC para Gerenciamento do Computador.
Um MMC com um ou mais Snap-Ins carregados chamado de um Console . Quando voc instala o Windows
Server 2003, diversos consoles administrativos so adicionados para que o administrador possa executar as
tarefas administrativas mais comuns. Nos demais captulos deste livro, voc utilizar os consoles pr-
configurados, para realizar operaes tais como verificar o desempenho do computador e acessar o log de
eventos do Windows Server 2003.
Criando consoles personalizados
Alm dos consoles pr-configurados, voc tambm pode criar consoles personalizados, os quais podem ser salvos
em arquivos com a extenso .MSC. Depois para abrir um console pr-configurado basta abrirmos o respectivo
arquivo .msc.
A criao de consoles personalizados especialmente til, quando o Administrador tem que delegar tarefas para um
outro usurio. Vamos supor que voc queira criar um console onde somente seja adicionado o Snap-In para gerenciar
usurios e grupos. Depois de criado este console, voc envia o arquivo .msc para um usurio responsvel pelo
gerenciamento de usurios e grupos. Mostrarei que possvel criar o console de tal maneira que o usurio que vai
utiliz-lo no possa modific-lo, adicionando ou excluindo Snap-Ins. O resultado prtico que o usurio responsvel
pela administrao de usurios e grupos, recebe um console personalizado, somente com as opes relacionadas
administrao de usurios e grupos.
Exemplo 01: Vamos supor que voc queira criar um console somente para administrar discos e volumes. Neste exemplo
voc abrir o MMC sem nenhum Snap-In. Depois ir carregar apenas o Snap-In para administrao de Discos e
volumes. O prximo passo salvar este console em um arquivo com a extenso .msc. Para este exemplo, o console
ser salvo com o nome de administra_discos.msc na rea de trabalho do usurio.
Para abrir o MMC sem nenhum Snap-In Carregado, siga os seguintes passos:
1. Faa o logon com uma conta com permisso de Administrador.
3. Na janela que surge, no campo Abrir, digite mmc e d um clique em OK.
4. Ser aberto o MMC sem nenhum Snap-In Carregado.
Para carregar apenas o Snap-In para administrao de contas de discos e volumes, siga os seguintes passos:
5. Com o MMC carregado anteriormente, selecione o comando Arquivo -> Adicionar/remover snap-in .. (File ->
Add/remove snap-in...). Ser exibida a janela Adicionar/remover snap-in. Observe que no existe nenhum snap-
in adicionado e a lista est vazia.
6. Na janela Adicionar/remover snap-in, d um clique no boto Adicionar.
7. Ser exibida a janela Adicionar snap-in autnomo. Nesta janela exibida uma listagem com todos os snap-ins
disponveis, isto , instalados no computador.
8. Localize na listagem o seguinte snap-in: Gerenciamento de disco, conforme indicado na Figura 3.5 e d um
clique sobre ele para selecion-lo.
Figura 3.5 Adicionando o snap-in Gerenciamento de disco.
9. D um clique no boto Adicionar.
10. Surge a janela Escolher mquina de destino. Essa janela permite que voc defina em qual computador voc quer
gerenciar as contas de usurios e grupos. Neste momento voc pode gerenciar usurios e grupos de um computador
remoto, desde que voc tenha permisso para isso.
11. Por padro vem selecionada a opo Computador local. Aceite a opo padro e d um clique no boto Concluir.
12. Voc estar de volta a janela Adicionar snap-in autnomo. Caso voc queira ser possvel adicionar outros snap-
ins. Como no ser adicionado mais nenhum snap-in, d um clique no boto Fechar.
13. Voc estar de volta janela Adicionar / remover snap-in. Observe que o snap-in Usurios e grupos locais (local)
j aparece na listagem, conforme indicado na Figura 3.6.
Figura 3.6 Snap-in Gerenciamento de disco, j adicionado.
NOTA: O local entre parnteses
indica o computador local.
14. D um clique em OK para fechar a janela Adicionar/remover snap-in.
15. Voc estar de volta ao MMC, agora com o snap-in Gerenciamento de disco
j carregado, conforme indicado pela Figura 3.7.
Figura 3.7 Console com um snap-in
Gerenciamento de disco.
Agora hora de salvar o console com o nome de administra_disco.msc. O console ser salvo na rea de trabalho do
usurio logado.
Para salvar o console com o nome de administra_usuarios.msc, faa o seguinte:
16. Selecione o comando Arquivo -> Salvar.
17. Ser aberta a janela Salvar como. Nesta janela existe uma barra de atalhos, no lado esquerdo da janela. Nesta
barra esto disponveis os seguintes atalhos: Documentos recentes, Desktop, Meus documentos, Meu computador
e Meus locais de rede. Para acessar a rea de trabalho, d um clique no atalho Desktop. no campo nome do
arquivo digite: administra_disco.msc. A janela Salvar como deve estar conforme indicado na Figura 3.8.
Figura 3.8 Salvando o console recm criado, na rea de trabalho.
18. D um clique no boto Salvar.
Agora voc ir definir as configuraes de segurana para o console recm criado. Ao criar um novo console,
possvel definir diferentes modos de operao para o console. A cada modo de operao est associada um conjunto
de operaes permitidas. Ao criar um console personalizado, como o console administra_disco.msc , que recm foi
criado, voc pode atribuir a ele uma de duas opes gerais de acesso: modo de autor ou modo de usurio. Existem, por
sua vez, trs nveis de modo de usurio, de forma que existem quatro opes para acesso padro a um console:
Modo de autor: Concede aos usurios acesso completo a toda a funcionalidade do MMC, inclusive a
capacidade de adicionar ou remover snap-ins, criar novas janelas, modos de exibio e exibir todas as
partes da rvore de console.
Modo de usurio - acesso completo: Concede ao usurio acesso completo a todos os comandos de gerenciamento
de janelas e rvore de console fornecida. Impede os usurio de adicionar ou remover snap-ins ou alterar as
propriedades do console.
Modo de usurio acesso limitado, vrias janelas: Concede ao usurio acesso somente s reas da rvore de
console visveis quando o console foi salvo. O usurio pode criar novas janelas, mas no podem fechar as
existentes.
Modo de usurio acesso limitado, janela nica: Concede acesso ao usurio somente s reas da rvore de
console visveis quando o console foi salvo. Impede que o usurio abra novas janelas.
Estas opes so acessveis atravs do comando Arquivo -> Opes.
Voc pode atribuir o modo de autor a um console para conceder acesso completo a todos os recursos do MMC,
incluindo a capacidade de adicionar ou remover snap-ins, criar novas janelas, criar exibies de painel de tarefas e
tarefas, adicionar itens lista Favoritos e exibir todas as partes da rvore de console. Ao selecionar uma das opes do
modo de usurio, os recursos de criao que provavelmente no sero necessrios a um usurio sero eliminados. Por
exemplo, se voc atribuir a opo Modo de usurio - acesso completo a um console, todos os comandos de gerenciamento
de janelas e o acesso completo rvore de console sero fornecidos, mas o usurio estar impedido de adicionar ou
remover snap-ins ou alterar as propriedades do console.
As alteraes feitas nos consoles que estiverem no modo de autor e nos consoles que estiverem no modo de usurio
sero salvas de maneira diferente. Se voc estiver trabalhando com um console no modo de autor, ser solicitado a
salvar suas alteraes ao fech-lo. No entanto, se voc estiver trabalhando com um console no modo de usurio e tiver
desmarcado a caixa de seleo No salvar alteraes neste console, disponvel quando se clica em Opes no menu
Arquivo, as alteraes sero automaticamente salvas quando voc fechar o console.
Se uma das seguintes condies se aplicar, o modo padro de um console ser ignorado e um console ser aberto no
modo de autor:
O MMC j est aberto quando um console aberto.
Um console aberto atravs do comando de menu de atalho Autor.
Um console aberto no prompt de comando com a opo /a.
O acesso ao modo de autor do MMC desnecessrio para usurios que no precisam criar ou alterar os consoles do
MMC. Um administrador de sistema pode definir configuraes de perfil de usurio para impedir que os usurios
abram o MMC no modo de autor. Para isso, ele deve inibir a opo /a ou a opo do menu de atalho.
Para configurar o modo de acesso para o console administra_usuarios.msc, criado anteriormente, siga os passos
indicados a seguir:
1. Selecione o comando Arquivo -> Opes.
2. Ser aberta a janela opes. D um clique na guia Console.
3. Na lista Modo de console, selecione a opo: Modo de usurio acesso limitado, janela nica. Observe que as
opes No salvar alteraes neste console e Permitir que o usurio personalize opes foram habilitadas,
sendo que voc pode marc-las ou desmarc-las de acordo com as necessidades de cada caso.
No salvar alteraes neste console: Se esta opo estiver marcada, o usurio no poder fazer alteraes no
console, tais como adicionar ou remover snap-ins.
Permitir que o usurio personalize opes: Especifica se os usurios podem adicionar janelas cujas razes se encontram
em itens do console. Ou seja, clicar em um item do painel da esquerda e selecionar a opo Nova janela a partir
daqui. Esta uma opo interessante. Por exemplo, se o usurio clicar com o boto direito do mouse em uma opo
do console e, no menu que exibido, clicar na opo Nova janela a partir daqui, ser aberto um novo console,
somente com a opo selecionada. Esta uma maneira de criar consoles com opes ainda mais especficas. Se esta
opo estiver desmarcada, a opo Nova janela a partir daqui no estar disponvel.
Figura 3.9 Definindo opes de Modo de console.
6. Salve o console novamente, usando o comando Arquivo -> Salvar.
7. Feche o MMC.
Agora voc ira abrir o console administra_disco.msc, criado anteriormente e testar as novas configuraes.
Para verificar se o Windows Server 2003 criou um atalho para o console administra_usuarios.msc, na rea de trabalho
faa o seguinte.
1. Minimize quaisquer janelas que voc tiver abertas.
2. Localize, na rea de trabalho, um atalho para administra_disco.msc.
3. D um clique duplo no atalho para abri-lo.
4. Clique no menu Arquivo. Observe que uma srie de opes foram retiradas, isto acontece porque este console foi
configurado o console para funcionar no modo: Modo de usurio - acesso limitado, janela nica, o qual con-
cede acesso aos usurios somente s reas da rvore de console visveis quando o console foi salvo, impede que
os usurios abram novas janelas e tambm impede que sejam adicionados ou removidos snap-ins. No menu
Arquivo esto disponveis apenas dois comandos: Opes e Sair.
Existem muitas aplicaes prticas para a criao de consoles personalizados. Por exemplo, caso um funcionrio seja
responsvel apenas pelo gerenciamento de usurios e grupos, voc pode criar um console personalizado somente com
4. Marque as duas opes descritas anteriormente. Sua janela deve estar conforme indicado na Figura 3.9
o snap-in necessrio. Isso facilita o trabalho, uma vez que a interface fica mais simples e impede o acesso a operaes
que no fazem parte das atribuies do funcionrio.
Consoles instalados com o Windows Server 2003.
Ao instalar o Windows Server 2003, instalado um conjunto de consoles pr-configurados, os quais so
utilizados para uma variedade de tarefas administrativas. Neste tpico descreverei brevemente os consoles
instalados com o Windows Server 2003 e indicarei o captulo onde as funes associadas com cada console
sero estudadas em mais detalhes.
Todos os consoles de administrao, instalados com o Windows Server 2003, esto disponveis atravs do menu
Iniciar -> Ferramentas administrativas, conforme indicado na Figura 3.10:
Figura 3.10 Consoles instalados durante a instalao do Windows Server 2003.
A seguir apresento uma breve descrio dos principais consoles:
Autoridade de Certificao: Este console utilizado para gerenciar servidores com o Microsoft Certification
Services instalado. Com o Microsoft Certification Services, as empresas podem criar e gerenciar seus prprios
certificados digitais, sem depender de uma autoridade certificadora externa. O Microsoft Certification Serv-
ices fornece todos os recursos necessrios para a implementao de uma estrutura de segurana baseada em
certificados digitais. O uso de certificados digitais recomendado para ambientes altamente seguros, onde
questes como autenticao de usurios so fatores preponderantes.
Administrador de cluster: Um cluster um conjunto de dois ou mais servidores que atuam em conjunto,
aparecendo para os usurios como se fossem um nico servidor. Cluster de servidores so utilizados para
fornecer redundncia (quando um dos servidores fica fora do ar, os servios continuam sendo disponibilizados
pelos demais servidores do cluster) e tambm para balanceamento de carga, onde as requisies dos clientes
so distribudas entre os servidores do cluster para obter um bom desempenho.
Servios de componentes: Este console utilizado para o registro e gerenciamento de componentes de soft-
ware. Toda a estrutura e o modelo do Framework .NET baseado na criao de programas baseados em
componentes. Por exemplo, um componente de software pode ser criado com o fim especfico de fazer a
validao de nmeros de carto de crdito. Este componente pode ser registrado no servidor e utilizado por
quaisquer programas que precisem da funcionalidade de validao de nmeros de carto de crdito. Isso evita
que a mesma funcionalidade tenha que ser codificada repetidas vezes, em cada aplicao onde ela for necessria.
Isso tambm simplifica a atualizao dos componentes. Os puristas de orientao a objetos que me perdoem,
mas isso reaproveitamento de cdigo na prtica, um dos pilares fundamentais da orientao a objetos. No
Framework .NET, recomendada a utilizao dos chamados Web Services, como infra-estrutura para
disponibilizao e utilizao de componentes de software. No Captulo 25 do livro Windows Server 2003
Curso Completo, 1568 pginas, eu falo sobre o Framework .NET, Web Services e o desenvolvimento de
aplicaes no Windows Server 2003.
Gerenciamento do computador: Este um dos consoles mais completos e
oferece acesso a uma srie de opes de configuraes do computador.
Vou descrever as opes deste console separadamente.
Ferramentas do sistema: Visualizador de eventos: Esta opo fornece
acesso aos logs de auditoria do sistema. Nos logs de auditoria ficam uma
srie de informaes, tais como quem fez o logon no computador, quis
servios foram iniciados corretamente. Se houve erros na iniciao de
um ou mais servios tambm gravado um evento no log de auditoria.
Alguns eventos so salvos automaticamente e outros precisam ser
configurados pelo administrador, para que sejam gravados no logo de
auditoria. Por exemplo, o acesso a pastas e arquivos no gravado, por
padro, nos logs de auditoria. O administrador pode configurar para que
o acesso a determinadas pastas e/ou arquivos seja auditado. Por padro
esto disponveis trs categorias de log: Application, Security e System.
Descreverei os logs de auditoria em detalhes no Captulo 10.
NOTA: Para informaes detalhadas
sobre o Framework .NET, seus
elementos, o conceito de Web Serv-
ices e o desenvolvimento de aplicaes
Web baseadas na linguagem ASP.NET,
consulte o livro: ASP.NET: Uma Nova
Revoluo na Criao de Sites e
Aplicaes Web.
Ferramentas do sistema: Pastas compartilhadas: Esta opo utilizada para administrar as pastas compartilhadas
no servidor. Voc tem opo de exibir os compartilhamentos existentes, quais sees foram estabelecidas com
cada pasta compartilhada e quais os arquivos esto abertos no momento. Voc tambm tem opo de desconectar
os usurios, enviar um aviso aos usurios conectados, etc. Voc aprender a utilizar esta opo no Captulo 6.
Ferramentas do sistema: Usurios e grupos locais: Esta opo d acesso a lista de contas de usurios e grupos
locais do computador. Para computadores configurados como DCs, esta lista no estar acessvel. Para DCs
somente est acessvel a lista de contas de usurios e grupos do domnio ao qual pertence o DC. Para
computadores configurados como Member Servers ou como Standalone Servers (servidores que no fazem
parte de um domnio), estar disponvel uma lista de usurios e grupos locais, lista esta que administrada
atravs das opes da pasta Local Users and Groups.
Ferramentas do sistema Logs e alertas de desempenho: Com esta opo voc pode coletar dados sobre a
desempenho do servidor local ou de um servidor remoto, atravs da rede. possvel visualizar os dados
obtidos usando o Monitor do Sistema (System Monitor), o qual estudaremos no Captulo 11. Os dados tambm
podem ser exportados para uma planilha de dados como o Excel ou para um banco de dados como o Microsoft
Access, o que facilita a criao de relatrios personalizados.
Ferramentas do sistema Gerenciador de dispositivos: Esta opo o mesmo Gerenciador de Dispositivos,
utilizado para o gerenciamento dos dispositivos de Hardware do computador. Voc pode utilizar esta opo
para resolver problemas com drivers que no esto funcionando, para desabilitar/habilitar determinados
dispositivos e para fazer com que o Windows Server 2003 faa uma nova deteco de Hardware, na busca de
novos dispositivos que tenham sido instalados.
Armazenamento Armazenamento removvel: Esta opo fornece facilidades para que o administrador possa
fazer o gerenciamento das mdias de armazenamento, tais como fitas de backup e discos pticos, bem como o
gerenciamento das bibliotecas de armazenamento em hardware, tais como jukeboxes. Com o uso desta opo
possvel fazer com que mltiplos programas que precisam de acesso aos dados, compartilhem as mesmas
mdias de armazenamento, o que reduz custos e simplifica a administrao.
Armazenamento Desfragmentador de disco: Esta opo d acesso ao utilitrio de desfragmentao de discos
e volumes. A medida que arquivos vo sendo gravados e excludos em um volume, comea um processo
conhecido como fragmentao. No processo de fragmentao, partes do mesmo arquivo so gravadas em
pontos diferentes do disco rgido. O resultado prtico a medida que a fragmentao aumenta que o desempenho
do volume como um todo comea a cair. Com o utilitrio de desfragmentao possvel reduzira a fragmentao
em um volume, melhorando novamente o desempenho. Voc aprender a utilizar este utilitrio no Captulo 5.
Armazenamento Gerenciamento de discos: Esta opo utilizada para fazer o gerenciamento de discos e
volumes. Com esta opo possvel criar novos volumes, formata-los. Tambm possvel criar volumes com
redundncia falhas, como por exemplo volumes espelhados e volumes do tipo Raid-5. No Captulo 5 voc
aprender sobre os diferentes tipos de volumes existentes no Windows Server 2003 e aprender a utilizar esta
opo para criar novos volumes, gerenciar os volumes existentes, formatar volumes e excluir volumes.
Servios e aplicativos Telefonia: O Windows Server 2003 fornece uma API (Application Program Interface)
para integrao entre o computador e sistemas de telefonia. Esta API conhecida como TAPI - Telephony Appli-
cation Programming Interface. Atravs da opo Services and Applications Telephony, o administrador pode
gerenciar as configuraes da TAPI no servidor local ou em um servidor remoto. Atravs desta opo voc
tambm pode gerenciar os dispositivos de comunicao instalados no servidor, como por exemplo uma placa da
fax-modem.
Servios e aplicativos Servios: Esta opo fornece acesso aos servios instalados no computador. Um servio
um programa que fica ativo na memria do servidor, normalmente com a funo de atender requisies dos
clientes. Por exemplo, o IIS fornece um servio de hospedagem de pginas Web, o qual aps inicializado, fica
respondendo a requisies dos clientes para acesso a pginas Web. Existe um servio que permite o
compartilhamento de arquivos (pastas compartilhadas), outro que permite a resoluo de nomes (DNS ou WINS)
e assim por diante. Atravs desta opo voc pode configurar os diversos servios instalados no computador. Por
exemplo, um servio pode ser configurado para inicializar automaticamente uma vez que o servidor seja ligado.
Com isso mesmo que no seja feito o logon no servidor, o servio ser inicializado automaticamente e responder
s requisies dos clientes. Em diversos captulos deste livro voc utilizar as opes de gerenciamento de
servios.
Servios e aplicativos Controle WMI: Windows Management Instrumentation (WMI) um servio disponvel
no Windows Server 2003, o qual utilizado para disponibilizar informaes sobre os computadores da rede.
Estas informaes so utilizadas, normalmente, para funes de gerenciamento e administrao remota. Um
exemplo de inovao do Windows Server 2003 em relao ao padro WMI, a possibilidade de aplicar polticas
de segurana (GPOs), com base em filtros WMI. Por exemplo, voc pode usar um filtro WMI para obter a lista
de estaes de trabalho da sua rede, as quais tem processador inferior a Pentium de 350 Mhz e menos de 128
MB de RAM. Com base no resultado do filtro WMI voc pode aplicar um conjunto de polticas de segurana
para este conjunto de computadores.
Servios e aplicativos Servio de indexao: Esta opo permite que voc faa o gerenciamento do servio de
indexao do Windows Server 2003 Indexing Service. Este servio extrai informaes de um conjunto de
documentos e organiza estas informaes para que seja fcil pesquisar o conjunto de documentos, com base nas
informaes extradas pelo servio de indexao. As pesquisas podem ser feitas usando a opo Iniciar -> Pesquisar,
pode ser um formulrio de pesquisa do servio de indexao ou uma pgina Web, criada em ASP ou ASP.NET,
programada para pesquisar um conjunto de documentos. As pesquisas podem ser feitas com base no contedo
dos documentos ou com base em informaes tais como data de alterao, nome do autor, etc. Aps a criao do
ndice voc pode pesquisar os documentos com base em palavras, expresses, frases ou propriedades dos
documentos. Por exemplo, voc pode pesquisar todos os documentos que contenham a expresso Access 97 ou
que contenham as palavras Macros e Excel. O servio de indexao retorna uma lista dos documentos que
atendem aos critrios pesquisados. Para abrir um deste documentos basta dar um clique duplo no respectivo
documento.
Assistente para configurar o servidor: Esta opo abre um assistente para configurao do seu servidor.
Este assistente utilizado para definir um conjunto de configuraes, com base no papel que o servidor for
desempenhar na rede. Por exemplo, as configuraes definidas para um servidor Web so diferentes das
configuraes definidas para um servidor que atuar como servidor de arquivos e de impresso. Para cada
funo que o servidor ir desempenhar existe um conjunto de configuraes otimizadas para a respectiva
funo. Este assistente define, automaticamente, o conjunto de configuraes ideais, com base na funo
que o servidor ir desempenhar. As funes mais comuns que um servidor Windows Server 2003 pode
desempenhar em uma rede, esto descritas a seguir:
Controlador de Domnio DC
Servidor de arquivos
Servidor de impresso
Servidor de aplicaes
Servidor de e-mail
Servidor de banco de dados
Servidor de Terminal Services
Servidor de Acesso Remoto e VPN
Servidor DNS
Servidor DHCP
Servidor WINS
Servidor de contedo de mdia
Servidor Web
Fontes de dados (ODBC): Esta opo utilizada para o gerenciamento de fontes de dados ODBC. O padro
ODBC foi e continua sendo muito utilizado. uma maneira de facilitar o acesso dos programas a diferentes
fontes de dados. O Administrador cria uma fonte ODBC e os programas se comunicam com a fonte ODBC e
no diretamente com a fonte de dados. Este padro vem sendo menos utilizado, aps o lanamento do padro
OLE-DB, o qual o padro recomendado pela Microsoft e padro oficial no Framewor .NET. Com a opo
Data Sources (ODBC), o administrador pode criar novas fontes ODBC, alterar as fontes existentes e excluir
fontes que no sejam mais necessrias.
Sistema de arquivos distribudos: O DFS (Distributed File System) utilizado para simplificar e consolidar o
acesso a mltiplas pastas compartilhas na rede. Com o DFS possvel atravs de um nico drive de rede, ter
acesos a diversos compartilhamentos, localizados em diferentes servidores. Tambm possvel criar uma ou
mais rplicas de um compartilhamento para fornecer redundncia. As configuraes do DFS so feitas atravs
desta opo e sero vistas no Captulo 6.
Visualizar eventos: Esta opo fornece acesso aos logs de auditoria do sistema. Nos logs de auditoria ficam
uma srie de informaes, tais como quais usurios fizeram o logon no computador, quais servios foram
iniciados corretamente e assim por diante. Se houve erros na iniciao de um ou mais servios tambm
gravado um evento no log de auditoria. Alguns eventos so salvos automaticamente e outros precisam ser
configurados pelo administrador, para que sejam gravados no logo de auditoria. Por exemplo, o acesso a
pastas e arquivos no gravado, por padro, nos logs de auditoria. O administrador pode configurar para que
o acesso a determinadas pastas e/ou arquivos seja auditado. Por padro esto disponveis trs categorias de
log: Application, Security e System. Descreverei os logs de auditoria em detalhes no Captulo 10. Este o
mesmo console acessado atravs da opo Ferramentas do sistema Visualizador de eventos do console
Gerenciamento do Computador.
Licenciamento: Este console utilizado para gerenciamento das licenas e do tipo de licenciamento utilizado
pelo servidor. Esto disponveis os tipos de licenciamento Per Server e Per Device. A seguir descrevo as
diferenas entre os dois modos de licenciamento:
Per Server (Por Servidor): Esta forma de licenciamento mais indicado para pequenas empresas, nas quais
existe um nico servidor com o Windows Server 2003 instalado. Com este tipo de licenciamento, o nmero de
licenas define o nmero mximo de usurios conectados simultaneamente ao servidor. Se o nmero mximo
de conexes for atingido e mais um usurio tentar acessar um recurso no servidor, este ltimo usurio no
conseguir fazer a conexo e receber uma mensagem de erro. O nmero de licenas (e conseqentemente de
conexes simultneas) definido pelo nmero de CAL Client Access Licencio que voc adquiriu, Ao comprar
o Windows Server 2003 este j vem com um determinado nmero de licenas. Se voc precisar de um nmero
maior de licenas, dever adquirir mais CALs, de acordo com o nmero de licenas que for necessrio.
Per Device (Por Dispositivo): Neste modo de licenciamento, uma CAL necessria para cada estao de
trabalho que faz a conexo com o servidor, independentemente de quantas conexes esta estao de trabalho
venha a estabelecer com o servidor. Os clientes podem ser estaes de trabalho baseadas no Windows ou em
outro sistema operacional, como por exemplo um aplicativo em uma estao de trabalho Linux, acessando
dados de um banco de dados SQL Server, em um servidor com o Windows Server 2003. Por exemplo, se a
rede da sua empresa tem 1000 mquinas, voc deve adquirir 1000 CALs, uma para cada estao de trabalho.
O preo de uma CAL para este modo de licenciamento maior do que para o Per Server, mas em compensao
com uma nica CAL, a estao de trabalho pode acessar recursos em qualquer servidor que esteja utilizando
o licenciamento Per Device.
Diretivas de segurana locais: Esta opo no est disponvel em DCs. Este console utilizado para definir as
configuraes das polticas de segurana locais do servidor. Se o servidor fizer parte de um domnio, ele
receber as polticas de segurana do domnio e tambm as polticas de segurana locais. Pode at haver
conflito entre as duas polticas. Neste caso, qual poltica ir prevalecer, depende das configuraes feitas nas
polticas de segurana do domnio. As polticas de segurana local permitem a definio de uma srie de
configuraes de segurana, tais como: quais contas de usurio podem fazer o logon localmente, quais contas
de usurio podem acessar o computador atravs da rede, se o boto Desligar deve estar habilitado ou no
durante o logon, quais contas de usurio podem acessar o drive de disquete e assim por diante. So centenas de
configuraes, as quais sero vistas no decorrer deste livro.
Gerenciar o servidor: Este um verdadeiro centro de configurao. Atravs desta opo voc pode configurar
diversos servios do seu servidor. Esta opo aberta, automaticamente, no primeiro logon aps a instalao
do Windows Server 2003 e continua sendo aberta a menos que voc marque a opo No mostrar esta pgina
durante o logon (Dont display this page at logon). Nesta pgina voc tem acesso a configuraes de impresso,
de terminal services, voc pode adicionar novas funes ao servidor. Voc tambm tem acesso aos links de
ajuda e suporte via Internet do Windows Server 2003.
Configurao do Microsoft .NET Framework 1.1 e Assistente do Microsoft .NET Framework 1.1: Estas opes
so utilizadas para configurao e administrao do Framework .NET. O Framework .NET que d suporte ao
desenvolvimento de aplicaes .NET, baseadas em conceitos tais como Web Services.
Gerenciador de equilbrio de carga de rede: Este console utilizado para configurar o Software de balanceamento
de cargas da Microsoft. Este software normalmente utilizado em um cluster de servidores para distribuir as
requisies dos clientes de uma maneira uniforme entre os diversos servidores do cluster.
Desempenho: Este console utilizado para coletar dados sobre o desempenho dos elementos de hardware e
software do servidor. Por exemplo, posso fazer medidas para saber a taxa de ocupao dos processadores, da
memria RAM, do arquivo de paginao, das interfaces de rede e assim por diante. Os dados coletados podem
ser exibidos na forma de relatrios e grficos. Voc aprender a utilizar este console no Captulo 11.
reas de trabalho remotas: Com este console o administrador pode criar conexes para mltiplos servidores e
administra-los remotamente. As conexes podem ser criadas via Terminal Services (Windows 2000 Server e
Windows Server 2003) ou utilizando a funcionalidade de Desktop Remoto (Windows Server 2003). Com o
uso de Desktop Remoto, o administrador tem acesso a rea de trabalho (Desktop) de um servidor remotamente.
Roteamento e acesso remoto: Este console permite a administrao de um servidor no qual est instalado o
servio Routing and Remote Access (RRAS). Com o uso do RRAS voc pode transformar um servidor com o
Windows Server 2003 em servidor de comunicao remota. Um usurio com um Notebook e uma linha
telefnica pode discar para o servidor RRAS, fazer o logon no domnio e ter acesso a todos os recursos da
rede, apenas com a diferena que a velocidade de conexo definida pela linha que o usurio utilizou para
fazer a discagem. No Captulo 17 do livro Windows Server 2003 Curso Completo, 1568 pginas, voc
aprende mais detalhes sobre a instalao, configurao e administrao do RRAS. O RRAS no ser abordado
neste livro, pois no faz parte do programa oficial para o Exame 70-290.
Servios: Esta opo fornece acesso aos servios instalados no computador. Um servio um programa que
fica ativo na memria do servidor, normalmente com a funo de atender requisies dos clientes. Por exemplo,
o IIS fornece um servio de hospedagem de pginas Web, o qual aps inicializado, fica respondendo a requisies
dos clientes para acesso a pginas Web. Existe um servio que permite o compartilhamento de arquivos (pas-
tas compartilhadas), outro que permite a resoluo de nomes (DNS ou WINS) e assim por diante. Atravs
desta opo voc pode configurar os diversos servios instalados no computador. Por exemplo, um servio
pode ser configurado para inicializar automaticamente uma vez que o servidor seja ligado. Com isso mesmo
que no seja feito o logon no servidor, o servio ser inicializado automaticamente e responder s requisies
dos clientes. Em diversos captulos deste livro voc utilizar as opes de gerenciamento de servios.
Licenciamento do Terminal Server, Configurao dos servios de terminal e Gerenciador de Servios de
terminal: Estes consoles so utilizados para administrao e gerenciamento do Terminal Services. Somente
estaro disponveis se o Terminal Services estiver instalado. No Captulo 9 voc ir estudar o terminal
services em detalhes.
A medida que voc instala novos servios, novos consoles so adicionados a opo Administrative tools (Ferramentas
administrativas). Por exemplo, quando voc instala o DNS, um console DNS adicionado, quando voc instala o
DHCP, um console para gerenciamento do DHCP instalado e assim por diante.
Se voc trabalha seguidamente com um determinado console, voc pode facilmente adicionar um atalho para o referido
console na sua rea de trabalho. Para isso siga os seguintes passos:
1. Clique em Iniciar -> Ferramentas Administrativas.
2. Clique com o boto direito do mouse no console desejado.
3. No menu de opes que exibido clique em: Enviar para -> rea de trabalho (Criar atalho).
Concluso
Neste captulo apresentei o conceito de MMC e Snap-in. Mostrei que o MMC o padro utilizado pela Microsoft para
as ferramentas administrativas do Windows Server 2003, a exemplo do que j acontecia com o Windows 2000 Server.
Com o uso de um padro possvel manter todas as ferramentas administrativas com uma interface e com funcionalidades
semelhantes. Isso simplifica o trabalho do administrador e reduz o tempo de aprendizagem.
O MMC em si apenas um hospedeiro (um container falando tecnicamente), no qual so abertos os chamados
Snap-ins. O MMC sozinho no tem funcionalidade (para no dizer utilidade) alguma. O MMC somente torna-se til
quando nele for carregado um Snap-in.
O administrador pode criar consoles personalizados e salva-los como arquivos .msc. O administrador tambm pode
configurar diferentes nveis de acesso que o usurio do console personalizado ter. Aps ter criado o console
personalizado s enviar o arquivo .msc para o usurio que ir utilizar o console para executar as tarefas administrativas
relacionadas com as funcionalidades do console.
Para finalizar o captulo apresentei uma breve descrio de vrios consoles e opes administrativas que esto disponveis
no menu Ferramentas administrativas.
Introduo
Neste captulo voc aprender sobre os seguintes assuntos:
O conceito de contas de usurios, contas de computadores e grupos de usurios.
Criao e administrao de contas de usurios e de computadores.
Criao e administrao de grupos de usurios.
Criao e administrao de Unidades Organizacionais.
O modelo de permisses do Windows Server 2003.
Ferramentas para executar outras tarefas no Active Directory.
Quando voc trabalha na rede da empresa, o Windows Server 2003 precisa de
uma maneira para poder identificar quem o usurio logado e quais aes ele
est realizando. O Windows Server 2003 tambm precisa identificar cada usurio
para liberar ou no o acesso a recursos protegidos por permisses de acesso. Por
exemplo, suponha que voc tem uma pasta compartilhada chamada Docs, no
servidor SRV01. Nesta pasta o Administrador configurou as permisses de acesso,
de tal maneira que somente o usurio Jos da Silva, logon jsilva, possa acessar
esta pasta. O Windows Server 2003 precisa saber quem o usurio que est
tentando acessar a pasta. Se for o Jos da Silva, o Windows Server 2003 libera
o acesso, caso contrrio o acesso negado.
O Windows Server 2003 identifica cada usurio pelas informaes de logon. Quem
informaes so essas? Um nome com o qual o usurio foi cadastrado na rede e a
respectiva senha. Por exemplo, o nosso usurio Jos da Silva poderia ser cadastrado
como jsilva, j a Maria Aparecida poderia ser cadastrada como mariaap, e assim
por diante. Ou seja, o primeiro passo para que um usurio possa ter acesso aos
recursos da rede cadastrar o usurio. Cadastrar o usurio significa criar uma
conta de usurio e um senha no Active Directory. Na primeira parte deste captulo
voc aprender sobre contas de usurios. Inicialmente apresentarei alguns detalhes
tericos sobre contas de usurio e aps a teoria, mostrarei a parte prtica, ou seja,
como criar e administrar contas de usurios.
Uma vez entendido o conceito de usurios, voc aprender sobre grupos de
usurios. Mostarei que existem diferentes tipos de grupo e com diferentes escopos
de utilizao. No Captulo 2 fiz uma discusso terica (de fundamental importncia
para a eficiente administrao das permisses de acesso aos recursos) sobre as
estratgias de utilizao de grupos de usurios, para atribuio de permisses aos
recursos da rede: pastas e impressoras compartilhadas, aplicativos Web, bancos
de dados e assim por diante. Neste captulo voc aprender a parte prtica de
criao de grupos. Nos Captulo 6 voc aprender a utilizar a estratgia explicada
no Captulo 2.
Entendidos os conceitos de contas de usurios e grupos de usurios, hora de
aprender sobre unidades organizacionais. Vou mostrar o que uma Unidade
organizacional, como ela difere de um domnio, quando usar Unidades
Organizacionais e quando utilizar domnios. Tambm mostrarei a parte prtica de
criao e administrao de Unidades Organizacionais, bem como operaes de
mover contas de usurios e grupos de uma unidade organizacional para outra.
Administrao de contas de
usurios e grupos do Active
Directory
4
C A P T U L O
Para encerrar o captulo apresentarei mais uma ferramentas de administrao do Active Directory: a ferramenta para
gerenciamento do Schema (lembrando do Captulo 2, o Schema a definio da estrutura do banco de dados do
Active Directory). Falarei da importncia e da funo do Schema e irei ressaltar que toda e qualquer alterao no
Schema deve ser cuidadosamente (eu diria cuidadosamente ao quadrado) planejada e testada em laboratrio, antes de
ser implementada em um ambie`nte de produo. Erros nas alteraes do Schema podem causar verdadeiros desastres.
Com os conceitos apresentados neste captulo, voc ter avanado mais um passo no entendimento do Active Direc-
tory e dos diversos elementos que o compem.
Contas de Usurios
Quando voc trabalha em uma rede de computadores, segurana um dos itens de maior importncia. O Administrador
deve ser capaz de permitir que cada usurio somente tenha acesso aos recursos sejam eles arquivos, impressoras ou
servios os quais sejam necessrios para a realizao do seu trabalho. Por exemplo, um usurio que trabalha no
departamento de bagagem no deve ser capaz de acessar informaes sobre salrios contidas nos arquivos de um
Computador do departamento de Recursos Humanos.
No Captulo 1 voc aprendeu sobre redes de computadores e os diferentes papis que o Windows Server 2003 pode
desempenhar em uma rede. Mostrei que, em uma configurao tpica, o Windows Server 2003 pode estar configurado
como um servidor de arquivos, onde existem pastas compartilhadas que os usurios acessam atravs da rede.
No Captulo 2 voc aprendeu sobre o conceito de Domnio. Quando voc cria um domnio, os servidores e tambm as
estaes de trabalho dos usurios, devem ser configuradas para fazer parte do domnio. Quando um usurio liga a sua
estao de trabalho (quer ele esteja configurada com o Windows 95/98/Me, 2000, NT Workstation ou XP Profes-
sional), o Windows inicializado e em seguida apresentada a tela de logon no domnio, conforme indicado na Figura
4.1, onde temos o exemplo do usurio jsilva fazendo o logon no domnio ABC.
Figura 4.1 A tela de logon no domnio.
As informaes sobre as contas de usurios e grupos ficam gravadas na base de dados do Active Directory, nos
servidores configurados como DCs do domnio. Quando o usurio liga a sua estao de trabalho e digita o seu nome
de usurio e senha, estas informaes so repassadas para um DC do domnio, onde as informaes so verificadas.
Se o nome de usurio existir, a senha estiver correta e a conta do usurio no estiver bloqueada, o logon ser liberado
e a rea de trabalho do Windows ser carregada. Uma vez que o usurio fez o logon no domnio, ele passou a estar
identificado, ou seja, todas as aes que o usurio executar estaro associadas com a sua conta de usurio. Por exemplo,
se o usurio jsilva fizer o logon no domnio ABC e tentar acessar um arquivo para o qual ele no tem permisso, ficar
registrado nos logs de auditoria do servidor as seguintes informaes (isso se o administrador configurou a auditoria
de acesso a pastas e arquivos, conforme mostrarei no Captulo 10):
Identificao do usurio no exemplo jsilva.
Data e hora da tentativa de acesso.
Nome do arquivo e/ou pasta que o usurio tentou acessar.
Observe que a conta do usurio utilizada como a sua identidade na rede.
Em um domnio, alm de servidores configurados como DCs, voc pode ter servidores configurados como Member
Servers. Um member server no tem o Active Directory instalado e, portanto, no tem uma cpia de toda a lista de
usurios e grupos do domnio e nem das demais informaes contidas no Active Directory. Um member server
normalmente um servidor que desempenha um papel especfico, tal como servidor de arquivos, servidor de impresso,
servidor de acesso remoto, servidor Web e assim por diante.
Como o servidor faz parte do domnio (member server), as contas de usurios e grupos do domnio podem receber
permisses para acessar os recursos disponibilizados pelo member server. Um detalhe interessante que possvel
criar uma lista de usurios e grupos de usurios no prprio member server. Estas contas somente so vlidas para o
logon localmente no servidor onde foram criadas e so conhecidas como contas locais.
Por exemplo, ao instalar o Windows Server 2003 em um member server, automaticamente criada a conta Administrador,
com permisses de administrador em todos os recursos do member server. As contas e grupos locais, criados em um
member server, somente podem receber permisses de acesso aos recursos do servidor onde foram criadas, j que estas
contas no so visveis em outro servidor que no o prprio onde foram criadas. Embora seja possvel criar contas e
grupos locais, esta no uma prtica recomendada. Sempre que possvel voc deve utilizar as contas e grupos do domnio.
Uma exceo a conta local Administrador, a qual criada automaticamente com a instalao do Windows Server 2003.
Esta conta tem permisses totais em todos os recursos do servidor. Um procedimento normalmente adotado definir a
mesma senha para todas as contas Administrador de todos os member servers do domnio. Normalmente esta senha de
conhecimento apenas dos administradores do domnio. A conta local Administrador pode ser utilizada para fazer
configuraes no servidor quando, por algum motivo, no for possvel fazer o logon no domnio.
IMPORTANTE: Uma conta pode
ser criada em um DC situao em
que a conta vlida e reconhecida
em todo o domnio; ou a conta pode
ser criada em um member server
situao em que a conta somente
vlida e reconhecida no member
server onde ela foi criada.
Contas criadas em um DC so chamadas de Domain User Accounts (Contas de
Usurios do Domnio). Essas contas permitem que o usurio faa o logon em
qualquer computador do domnio e receba permisses para acessar recursos em
qualquer computador do domnio.
Contas criadas em um Servidor Membro so chamadas de Local User Accounts
(Contas de Usurios Locais). Essas contas somente permitem que o usurio faa
o logon e receba permisses para acessar recursos do servidor onde a conta foi
criada. Sempre que possvel evite criar Contas Locais em servidores que fazem
parte de um domnio. Utilizar as contas do Domnio, as quais ficam armazenadas
no Active Directory, torna a administrao bem mais fcil.
Quando exibida a tela de logon em um member server, o usurio pode escolher entre fornecer uma conta e senha do
domnio ou uma conta e senha local. Na lista Log on to o usurio seleciona o nome do domnio no qual ele quer fazer o
logon ou o nome do servidor local, para fazer o logon com uma conta local. A criao e administrao de contas de
usurios e grupos locais feita utilizando-se o console Gerenciamento do Computador (Computer Management), descrito
no Captulo 7. As etapas para a criao e administrao de contas e grupos locais so semelhantes as etapas para a criao
e administrao de contas do Active Directory. Nos exemplos deste captulo utilizarei contas e grupos do domnio. A
nica diferena para as contas locais que para estas haver um nmero menor de campos disponveis quando da criao
da conta e as ferramentas utilizadas so diferentes. Para contas locais o console Gerenciamento do Computador e para
contas do domnio, o console Computadores e Usurios do Domnio (Active Directory Users and Computers).
No Windows Server 2003, possvel limitar os recursos aos quais cada usurio tem acesso, atravs do uso de permisses
de acesso . Por exemplo, o administrador pode definir uma lista de usurios com acesso a uma pasta compartilhada,
podendo definir, inclusive, nveis de acesso diferentes. Um determinado grupo tem acesso completo (leitura, gravao
e excluso), j um segundo tem acesso mais restrito (leitura e gravao) e um terceiro grupo tem acesso ainda mais
restrito (leitura). Para que seja possvel atribuir permisses, cada usurio deve ser cadastrado no domnio. Cadastrar o
usurio significa criar uma Conta de Usurio. Com uma conta o usurio pode efetuar o logon e receber permisses
para acessar os mais variados recursos disponibilizados na rede.
Reunindo esta histria toda, cada usurio deve ser cadastrado. Cadastrar o usurio significa criar uma conta de usurio
no Active Directory (veja exemplos prticos mais adiante). Uma vez que a conta foi criada, o usurio pode utiliza-la
para fazer o logon em qualquer computador da rede. Antes de partir para a parte prtica, apresentarei mais algumas
recomendaes e detalhes relacionados com contas de usurios:
Definindo um padro de nomes para as contas de usurios.
Outro detalhe que voc deve observar, a utilizao de um padro para o nome das contas de usurios. Voc deve
estabelecer um padro para a criao de nomes, pois no podemos existir dois usurios com o mesmo nome de
logon dentro do mesmo domnio. Por exemplo se existir no mesmo Domnio, dois funcionrios com o nome Jos da
Silva e os dois resolverem utilizar como logon jsilva, o administrador ter um problema para resolver, pois no
possvel ter dois usurios com o mesmo nome de logon, no mesmo domnio. Para isso importante que seja
definido um padro e no caso de nomes iguais deve ser definido uma maneira de diferenci-los. Por exemplo voc
poderia usar como padro a primeira letra do nome e o ltimo sobrenome. No caso de nomes iguais, acrescentam-
se nmeros. No exemplo citado, o primeiro Jos da Silva cadastrado ficaria como jsilva, j o segundo a ser cadastrado
ficaria como jsilva1. Caso no futuro houvesse mais um Jos da Silva dentro do mesmo domnio, este seria o jsilva2
e assim por diante.
Observaes Sobre o Nome das Contas de Usurios
Quando o administrador cria nomes de logon para os usurios, devem ser levados em considerao os seguintes fatos:
O nome de logon deve ser nico no domnio. Veja o exemplo do item anterior, onde mostrei que no seria
possvel criar dois usurios com nome de logon jsilva, no mesmo domnio.
O nome de logon tambm no pode ser igual ao nome de um grupo do domnio. Por exemplo, se j existe um
grupo chamado Contabilidade, voc no poder criar uma conta de usurio com o campo nome de logon
preenchido como Contabilidade.
O nome de logon pode conter espaos em branco e pontos, porm no pode ser formado somente por espaos
e pontos. conveniente evitar o uso de espaos em branco, pois contas com espaos em branco no nome, tero
que ser escritas entre aspas, quando voc utiliza scripts para administrao do Windows Server 2003.
O Windows Server 2003 no diferencia entre maisculas e minsculas para o nome de logon. Por exemplo,
para o Windows Server 2003 jsilva, JSILVA ou Jsilva representa o mesmo usurio.
Questes relacionadas com a definio da senha do usurio
Sempre que voc for cadastrar um usurio tambm deve ser cadastrada uma senha para ele. No Windows 2000 Server,
por padro, era aceito que o administrador definisse uma senha em branco. Caso fosse necessrio, o administrador
poderia definir um nmero mnimo de caracteres para as senhas dos usurios. No Windows Server 2003, a preocupao
com a segurana est presente desde o momento da instalao. No Windows Server 2003.
No Windows Server 2003, por padro, so definidas as seguintes polticas de segurana em relao as senhas de
usurios:
Quando o usurio vai trocar a senha, no pode ser utilizada uma senha igual as 24 ltimas (haja criatividade
para inventar senhas).
A senha expira (isto , deve ser alterada) a cada 42 dias.
O tempo mnimo de vida de senha um dia. Ou seja, voc trocou a senha hoje, no poder troc-lo novamente
daqui a uma ou duas horas, somente aps um dia.
Tamanho mnimo de sete caracteres.
A opo A senha deve atender critrios de complexidade (Password must meet complexity requirementes)
habilitada por padro.
A senha no pode conter parte ou todo o nome da conta. Por exemplo,
se o nome da conta for jsilva, a senha no poder conter a slaba sil ou
a palavra silva.
Ter pelo menos seis caracteres. O nmero mnimo de caracteres pode ser
aumentado, configurando-se as polticas de segurana para senhas,
conforme mostrarei mais adiante.
Deve conter caracteres de pelo menos trs dos quatro grupos a seguir:
letras maisculas de A at Z, letras minsculas de a at z, dgitos de 0 a 9
ou caracteres especiais (:, !, @, #, $, %, etc.).
Estes requisitos de complexidade so verificados quando a senha criada pela
primeira vez, durante o cadastramento do usurio e toda vez que a senha for
alterada. Com os requisitos de complexidade habilitados, as senhas a seguir
seriam vlidas:
AbCsenha1
AbcSenha#
Abc123
Abc;;senha
J as senhas a seguir no seriam vlidas:
abcsenha123: Contm somente caracteres de dois dos quatro grupos (letras
minsculas e nmeros).
IMPORTANTE: Com a
opo A senha deve atender
critrios de complexidade
(Password must meet
complexity requirementes)
habilitada por padro, uma
srie de requisitos devem ser
atendidos para que a senha
seja aceita.
IMPORTANTE: Para as
senhas, o Windows Server
2003 distingue letras
maisculas de minsculas. Por
Agora que a teoria sobre as contas de usurios e senhas j foi apresentada, vou
mostrar como criar e administrar contas de usurios. Voc aprender as diversas
tarefas relacionadas com a administrao das contas de usurios em um domnio
abc;senha: Contm somente caracteres de dois dos quatro grupos (letras minsculas e caracteres especiais).
NOTA: Mais no final deste captulo,
voc aprender a configurar as
definies das polticas de segurana
para senhas do domnio.
Criao e administrao de contas de usurios.
Neste item voc aprender as aes prticas para a criao e administrao de contas de usurios de um domnio.
Voc aprender a criar novas contas, configurar as diversas propriedades das contas j existentes, ativar e desativar
contas, desbloquear contas, excluir e renomear contas. Todas estas aes so executadas com o console Usurios e
computadores do Active Directory (Active Directory Users and Computers). Vamos iniciar os exemplos pela criao
de uma nova conta.
Criando uma nova conta de usurio no domnio:
Para criar uma nova conta de usurio no Active Directory, siga os passos indicados a seguir:
1. Faa o logon como Administrador ou com uma conta pertencente ao grupo
Opers. de contas (Account Operators).
2. Abra o console Usurios e computadores do Active Directory: Iniciar ->
Ferramentas Administrativas -> Usurios e computadores do Active Directory.
3. Ser aberto o console Usurios e computadores do Active Directory, indicado
na Figura 4.2:
IMPORTANTE: O grupo Opers. de
contas criado automaticamente
durante a instalao do Active Di-
rectory. Membros deste grupo
podem realizar tarefas relacionadas
a criao e administrao de contas
de usurios no domnio. Mais
adiante, no item sobre Grupos,
descreverei os grupos que so
criados automaticamente quando
da instalao do Active Directory, os
chamados Built-in Groups.
Figura 4.2 O console Usurios e computadores do Active Directory.
4. Clique no sinal de + ao lado do nome do domnio no qual voc ir criar a
conta.
5. Abaixo do nome do domnio exibida uma lista de opes criadas automaticamente quando o Active Directory
instalado:
Builtin: Nesta opo esto os chamados grupos Builtin, ou seja, aqueles grupos criados automaticamente quando
o Active Directory instalado. Estes grupos so utilizados para funes de administrao do domnio. Por exemplo,
os membros do grupo Administradores (Administrators) tem permisses administrativas em todo o domnio, j
membros do grupo Opers. de contas (Account Operators) tem permisses para criar e administrar contas de
usurios no domnio e assim por diante. Os grupos que ficam nesta opo so grupos Locais do domnio. Mais
adiante neste captulo, descreverei as diferenas entre grupos Locais, Globais e Universais.
Computers (Computadores): Nesta opo ficam as contas de todos os computadores do domnio, a no ser que
tenham sido criadas outras unidades organizacionais e contas tenham sido movidas para estas unidades
organizacionais. importante lembrar que somente computadores com o Windows NT 4.0, Windows 2000,
Windows Server 2003 ou Windows XP Professional, possuem conta de computador. Computadores com o
Windows 95/98/Me no tem contas de computador no domnio.
Domain Controllers (Controladores de domnio): Nesta opo ficam as contas de computadores dos DCs
do domnio.
ForeignSecurityPrincipals: Nesta opo ficam objetos relacionados a relaes de confiana criadas manualmente
pelo administrador.
Users: Nesta opo ficam as contas que foram criadas automaticamente pelo Active Directory, bem como os
grupos Globais criados automaticamente. Um exemplo de conta criada automaticamente a conta Administrador
(Administrator), a qual tem permisses de administrador em todos os recursos de todos os servidores do
domnio. Por padro nesta opo que criamos novas contas de usurios. Conforme mostrarei mais adiante
voc tambm pode criar novas unidades organizacionais e criar contas de usurios dentro destas unidades
organizacionais, o que tambm ser visto neste captulo.
6. Clique na opo Users para seleciona-la. Sero exibidas as contas e grupos globais criados automaticamente
durante a instalao do Active Directory, conforme exemplo da Figura 4.3:
Figura 4.3 A opo Users.
7. Para criar um novo usurio voc pode utilizar uma das seguintes opes:
Clicar com o boto direito do mouse em Users e, no menu que exibido clicar em Novo -> Usurio.
Selecionar o comando Ao -> Novo -> Usurio.
Clicar no boto New User (Novo Usurio) (Fig 9-4.TIF) Captulo 9, pg 353 do livro do 2003.
8. Usando qualquer uma das opes indicadas a seguir, ser aberta a janela Novo Objeto Usurio, na qual voc
deve preencher o nome, sobrenome, nome completo, User name logon (Nome de logon do usurio) e User
logon name (pr-windows 2000), conforme exemplo da figura 4.4. O nome de logon (User logon name) o
nome que o usurio utiliza para efetuar o logon no domnio (jsilva, maria, etc.). J User logon name (pr-
Windows 2000) o nome que o usurio utiliza para efetuar o logon em computadores com verses mais antigas
do Windows, tais como o Windows NT Server 4.0. Por simplicidade estes dois nomes devem ser iguais, observe
Figura 4.4 Criando a conta jsilvap.
9. Nesta etapa voc tem que definir a senha e configurar algumas caractersticas da conta. Lembre que, por padro,
os requisitos de complexidade para senha esto habilitados, conforme descrito anteriormente. No campo Senha,
informe uma senha que atenda aos requisitos de complexidade descritos anteriormente. Digite a senha novamente
no campo Confirmar a senha.
10. Alm da senha voc pode configurar uma das quatro opes descritas a seguir:
O usurio deve alterar a senha no prximo logon : Se esta opo estiver marcada, a primeira vez que o usurio
fizer o logon, ser solicitado que ele altere a sua senha. Esta opo utilizada para que o usurio possa colocar
uma senha que somente ele conhece. Quando o usurio cadastrado, a senha digitada pelo Administrador, o
qual fica sabendo a senha do usurio. No prximo logon o usurio obrigado a alterar a senha de tal maneira
que somente ele saiba qual a senha est definida para a sua conta.
O usurio no pode alterar a senha: Se esta opo estiver marcada, a senha somente pode ser alterada pelo
Administrador. Normalmente utilizada para empregados temporrios e para estagirios. Para as contas utilizadas
pelos funcionrios da empresa, esta opo normalmente desabilitada.
A senha nunca expira: Ao marcar esta opo, independente das polticas de segurana do domnio, o usurio
nunca precisar trocar a sua senha. Caso contrrio de tempos em tempos (conforme configurado nas polticas
de segurana do domnio ), o usurio deve trocar a senha.
Conta desativada: O Administrador marca esta opo para desativar/bloquear a conta de um usurio. Usurios
com a conta bloqueada no podem mais efetuar logon e, consequentemente, no podem mais acessar recursos
da rede. Esta opo normalmente utilizada para desativar, temporariamente, a conta de empregados que
esto em frias. Quando o empregado retorna ao servio, o Administrador libera a sua conta, simplesmente
desmarcando esta opo.
que a medida que voc digitar o primeiro, o segundo ser automaticamente preenchido. Preencha os dados da
nova conta e clique em Avanar.
Figura 4.5 Defininda a senha e as opes da nova conta.
12. Clique em Avanar para seguir para a prxima etapa.
13. Esta etapa apenas informativa. Voc pode utilizar o boto Voltar para voltar a uma determinada etapa e fazer
alteraes. Clique em Concluir.
14. A conta jsilvap ser criada e j ser listada na opo Users. Observe que o que aparece na listagem o nome
completo do usurio. No nosso exemplo est sendo exibido o usurio Jos da Silva Pereira, conforme indicado na
Figura 4.6. Nesta figura eu ativei o modo de visualizao cones grandes. Para tal utilizei o comando Exibir ->
cones Grandes do console Usurios e computadores do Active Directory.
11. Defina as opes para a conta que est sendo criada, conforme exemplo da Figura 4.5:
Figura 4.6 O usurio j exibido na lista de usurios.
Muito bem, agora o usurio Jos da Silva Pereira foi cadastrado com o nome de logon jsilvap e poder fazer o logon
nas estaes de trabalho do domnio. Por padro, quando uma nova conta de usurio criada, ela no tem permisso
para fazer logon localmente nos member servers e nem nos DCs do domnio. Ou seja, o usurio poder fazer o logon
nas estaes de trabalho do domnio, mas no poder fazer o logon diretamente nos servidores, quer DCs, quer
member servers, do domnio. A permisso para fazer o logon localmente nos servidores do domnio um direito que
por padro somente atribudo a alguns grupos especiais, tais como Administradores, Opers. de contas e assim por
diante. Em um dos prximos itens voc aprender a configurar os direitos de usurios e a atribuir estes direitos para
uma ou mais contas ou grupos de usurios.
Configurando uma conta de usurio
Durante a criao de uma conta de usurio, apenas algumas propriedades da conta so configuradas. Depois que a
conta criada, voc pode acessar as propriedades da conta para configurar dezenas de outras propriedades. Por exemplo,
voc pode definir em que horas durante o dia permitido que seja feito o logon com a respectiva conta, em quais
computadores a conta pode ser utilizada para fazer o logon, qual o script de logon associado a conta e assim por diante.
Neste item descreverei as principais propriedades que podem ser configuradas para uma conta de usurio do domnio.
Vou dividir as configuraes em etapas. Em cada etapa mostrarei como configurar determinadas propriedades
relacionadas com um tpico especfico. Por exemplo, como configurar as horas de logon, como configurar as
informaes pessoais e assim por diante. Em todos os exemplos, ser solicitado que voc acesse as propriedades da
conta. Para acessar as propriedades de uma conta, voc deve seguir os passos que indico logo a seguir. Nos demais
exemplos, no irei repetir estes passos, apenas usarei a expresso Acesse as propriedades da conta a ser configurada.
Para acessar as propriedades da conta a ser configurada siga os passos indicados a seguir:
1. Faa o logon como Administrador, com uma conta com permisso de Administrador ou com uma conta pertencente
ao grupo Opers. de contas (Account Operators).
2. Abra o console Usurios e computadores do Active Directory: Iniciar -> Ferramentas Administrativas -> Usurios
e computadores do Active Directory.
3. Ser aberto o console Usurios e computadores do Active Directory.
4. Clique no sinal de + ao lado do nome do domnio da conta a ser configurada.
5. Abaixo do nome do domnio exibida uma lista de opes criadas automaticamente quando o Active Directory
instalado. Clique na opo Users (ou na Unidade Organizacional onde a conta est contida, caso a conta esteja em
uma Unidade Organizacional).
6. Para acessar as propriedades da conta basta dar um clique duplo no nome da conta. A janela de propriedades da
conta ser exibida, com a guia Geral selecionada, conforme exemplo da Figura 4.7:
7. Observe que esto disponveis uma srie de guias, com diversas propriedades em cada guia. Aps ter
configurado as propriedades da conta, clique em OK. Nos exemplos a seguir mostrarei como configurar
diversas destas propriedades.
Configurando informaes gerais e de endereo para a conta do usurio:
A seguir voc acompanhar um exemplo prtico sobre a configurao das propriedades da guia Geral, Endereo,
Telefones e Organizao. Estas guias servem como um cadastro, com os dados do funcionrio na empresa. Qualquer
aplicao desenvolvida na empresa, pode fazer acesso aos dados do Active Directory, como dados de cadastro dos
funcionrios. Este o princpio bsico de uso de um nico diretrio, como repositrio central de informaes, ao invs
de uma diversidade de diretrios, espalhados pela rede da empresa, conforme descrito no incio do Captulo 2.
Figura 4.7 A janela de propriedades de uma conta de usurio do domnio.
Para configurar informaes gerais e de endereo para uma conta de usurio, siga os passos indicados a seguir:
1. Acesse as propriedades da conta a ser configurada.
2. A guia Geral ser exibida por padro. Nesta guia, alm das informaes de nome, sobrenome e nome completo,
definidas durante a criao da conta, voc pode preencher uma descrio para o usurio (Descrio), informaes
sobre a seo/ou empresa (Escritrio), bem como informaes de telefone de contato (Telefone), E-mail e site
(Pgina Web), conforme exemplo da Figura 4.8:
Figura 4.8 Definindo propriedades da guia General (Geral).
Figura 4.9 Inserindo mais nmeros de telefone.
3. Para preencher os campos sobre o endereo do usurio, clique na guia
Endereo. Preencha os campos conforme exemplo da Figura 4.10:
NOTA: Voc pode informar mais
do que um nmero de telefone ou
de pgina Web. Para isso basta
clicar no boto Outros..., ao lado
do respectivo campo. Ser aberta
uma j anel a onde voc pode
adi ci onar novos val ores. No
exemplo da Figura 4.9, foram
adicionados mais trs nmeros de
telefone. Para adicionar um novo
nmero basta digit-lo no campo
Novo valor e depois clicar no boto
Adicionar. Repita estes passos para
cada novo nmero a ser
adi ci onado. Para fi nal i zar a
entrada de novos nmeros s
clicar no boto OK. Para alterar um
nmero cl i que no respecti vo
nmero e depois no boto Editar.
O nmero a ser editado ser
selecionado. Faa as alteraes
desejadas e clique no espao em
branco abaixo do ltimo nmero.
As alteraes sero efetuadas.
Para remover um nmero clique
no nmero a ser excludo e depois
no boto Remover. Fei tas as
configuraes desejada clique em
OK para fechar a janela para
entrada de novos valores.
Figura 4.10 Inserindo informaes do endereo do usurio.
Figura 4.11 Inserindo informaes dos telefones de contato.
5. Para preencher os campos com dados da empresa, clique na guia Organizao. Preencha os campos conforme
exemplo da Figura 4.12.
6. Preenchida as informaes e clique em OK para salva-las.
As informaes das guias Geral, Endereo, Telefones e Organizao so utilizadas como uma espcie de cadastro, de
banco de dados dos usurios cadastrados na rede. Embora no seja obrigatrio, recomendado que sejam preenchidas
estas informaes. Isso facilita a pesquisa no Active Directory. Por exemplo, possvel fazer uma pesquisa para
localizar todos os usurios da seo de Tecnologia da Informao, ou todos os usurios de uma determinada cidade e
assim por diante. Mais adiante voc aprender a utilizar a ferramenta de pesquisa no Active Directory.
Configurando informaes sobre a conta do usurio:
Na guia Conta voc tem acesso a uma srie de opes relacionadas com a conta do usurio. Por exemplo, nesta guia
tem uma opo para bloquear/desbloquear a conta do usurio, outra opo para definir um prazo de expirao para a
conta, os horrios em que o usurio pode fazer o logon, em quais computadores ele pode fazer o logon e assim por
diante. Voc aprender a utilizar as opes desta guia, no exemplo prtico a seguir:
4. Para preencher os campos com dados sobre telefones de contato do usurio, clique na guia Telefones. Preencha os
campos conforme exemplo da Figura 4.11:
Figura 4.12 Inserindo informaes da empresa.
Para configurar informaes da guia Conta, siga os passos indicados a seguir:
2. D um clique na guia Conta. Nesta guia esto disponveis uma srie de configuraes, conforme indicado na
Figura 4.13.
Na parte de cima da janela exibido o nome de logon do usurio, o domnio no qual o usurio foi cadastrado e o nome
de logon pr-windows 2000. Observe que para o Windows 2000 Server e para o Windows Server 2003, o nome de
logon completo do usurio composto pelo nome DNS do domnio e a conta do usurio, como no exemplo a seguir:
abc.com\jsilvap. J para verses anteriores, como o NT Server 4.0, que so baseadas no WINS para a resoluo de
nomes, usado o nome NetBIOS do domnio, como no exemplo a seguir: ABC\jsilvap. Observe que em ambos os
casos o padro o nome do domnio (nome DNS no Windows 2000 ou Windows Server 2003 e nome NetBIOS no NT
Server 4.0) uma barra invertida e o nome de logon do usurio.
A opo A conta est bloqueada: Por padro, definido no domnio, um nmero
mximo de tentativas de logon sem sucesso que o usurio pode fazer, dentro de
um perodo de tempo. Se este limite for ultrapassado, a conta ser bloqueada
automaticamente. Por exemplo, pode ser definido que se o usurio fizer trs
tentativas de logon sem sucesso, dentro de 20 minutos, a conta fique bloqueada
por 24 horas. Ou tambm possvel definir que, uma vez bloqueada, a conta
NOTA: As opes Horrio de
logon... e Fazer logon em..., sero
explicadas no prximo item.
Figura 4.13 Opes de configurao da guia Account (Conta).
Na lista Opes da conta, o administrador pode configurar uma srie de opes, descritas a seguir:
O usurio deve alterar a senha no prximo logon: Se esta opo estiver marcada, a prxima vez que o usurio
somente possa ser desbloqueada pelo administrador. Estas configuraes fazem parte das diretivas de segurana do
domnio e sero explicadas mais adiante. Quando uma conta est bloqueada, a opo Conta bloqueada aparece
habilitada e marcada. Para desbloquear a conta, basta que o administrador desmarque esta opo. O Administrador
no pode bloquear uma conta. Ele pode desativar a conta, conforme veremos mais adiante, mas a nica maneira de
bloquear uma conta o usurio fazer o nmero definido de tentativas de logon sem sucesso, dentro do perodo
configurado no domnio.
A senha nunca expira: Ao marcar esta opo, independente das polticas
de segurana do domnio, o usurio nunca precisar trocar a sua senha.
Caso contrrio de tempos em tempos (conforme configurado nas polticas
Gravar senha c/ criptografia reversvel: Esta opo somente deve ser
marcada se o usurio precisa fazer o logon no domnio, a partir de estaes
de trabalho padro Apple.
Conta desativada: O Administrador marca esta opo para desativar a conta de
um usurio. Usurios com a conta desativada no podem mais efetuar o logon
no domnio e, consequentemente, no podem mais acessar recursos da rede.
Esta opo normalmente utilizada para desativar, temporariamente, a conta
de empregados que esto em frias. Quando o empregado retorna ao servio, o
Administrador libera a sua conta, simplesmente desmarcando esta opo.
Carto inteligente necess. p/ logon interativo: Se esta opo estiver marcada,
o usurio somente poder fazer o logon se estiver utilizando um Smart card.
O uso de Smart card aumenta bastante a segurana no logon, uma vez que
mesmo de posse da senha do usurio, outra pessoa no conseguir fazer o
logon se no tiver tambm o Smart card do usurio. um nvel de segurana
adicional. Um dos fatores que impedem (ou esto atrasando) o uso em larga
escala de Smart card o custo dos leitores de Smart card.. Quando esta opo
for utilizada, a senha da conta do usurio automaticamente e aleatoriamente
criada pelo Windows Server 2003, usando requisitos de complexidade e a
opo Password never expires (A senha nunca expira) selecionada.
Conta sensvel segurana no pode ser deleg.: Esta uma opo que deve
ser utilizada com muito cuidado, pois pode gerar problemas em relao
segurana. Com esta opo marcada, um hacker poderia tentar fazer se
passar por um servio vlido para executar em nome da conta. Com isso o
falso servio teria todas as permisses atribudas a conta. J imaginou se
isso acontecesse com a conta Administrador? O falso servio simplesmente
teria permisses totais em todo o domnio, ou seja, um verdadeiro desastre.
Use tipos de criptografia DES p/ esta conta: Habilita suporte para o tipo de
criptografia conhecido como DES, o qual suporta diversos nveis de
criptografia, incluindo MPPE Standard (40-bit), MPPE Standard (56-bit),
MPPE Strong (128-bit) IPSec DES (40-bit), Ipsc 56-bt DES e IPSec Trible
DES (3DES). Falarei mais sobre criptografia e os mecanismos de autenticao
do Windows Server 2003, na parte sobre segurana, nos Captulos 19 e 20.
No exige pr-autenticao Kerberos: O Kerberos um protocole de
autenticao. Ao marcar esta opo voc permite que a conta seja
autenticada por servidores utilizando diferentes verses e implementaes
do protocolo Kerberos.
IMPORTANTE: Na parte de baixo
da janela voc pode definir se a
conta nunca expira (Nunca) ou se
a conta deve expirar em um
determinada data. Expirar significa
que a partir da data de expirao,
no ser mais possvel utilizar a
conta que expirou para fazer o
logon no domnio, a no ser que o
administrador acesse as
propriedades da conta e defina uma
nova data de expirao. Um
exemplo prtico onde voc utiliza
esta opo para contas utilizadas
por estagirios. Vamos supor que
voc contrata os estagirios por
perodos definidos. Com isso voc
pode cadastrar o estagirio e j
configurar esta conta para que ex-
pire na data de encerramento do
estgio. Com isso exatamente no
dia do encerramento do estgio a
conta ser desativada. Agora vamos
supor que um novo estagirio tenha
sido contratado para substituir o que
saiu. Basta ativar novamente a
conta, renome-la. Informe a conta
renomeada para o estagirio. Com
isso no preciso reconfigurar as
permisses de acesso, uma vez que
a conta a mesma (apenas foi
renomeada), o estagirio que chega
tem exatamente as mesmas
permisses de acesso do que o que
saiu. O que faz sentido, j que ele
est substituindo o anterior.
3. Selecione as opes desejadas.
4. Para definir um prazo de expirao para a conta clique na opo Ao final do dia. A lista ao lado desta opo ser exibida.
Abra esta lista. Ser exibido um calendrio com o ms corrente. Voc pode clicar no boto com a seta para a esquerda
para voltar um ms e no boto com a seta para a direita para avanar um ms, conforme destacado na Figura 4.14:
Figura 4.14 Definindo a data de expirao da conta.
5. Para selecionar uma data de expirao basta clicar na respectiva data. A data na qual voc clicou exibida na lista
ao lado do campo Ao final do dia.
6. Feitas as configuraes desejadas s clicar em OK para aplica-las.
Definindo o horrio de logon e os computadores na qual a conta pode fazer o logon.
Por padro, ao criar uma conta, permitido que ela seja utilizada para fazer o logon nas 24 horas do dia, nos sete dias
da semana. Tambm permitido que ele faa o logon em qualquer estao de trabalho. Conforme descrevi anteriormente,
por padro, as contas de usurios no tem permisso para fazer o logon em servidores e DCs do domnio, a menos que
pertenam a um grupo que tem estas permisses. Neste item mostrarei como definir o horrio em que uma conta pode
fazer o logon, bem como limitar os computadores nos quais a conta pode fazer o logon. Por exemplo, vamos supor que
voc tem um estagirio (sempre os estagirios) que somente deve poder fazer o logon das 8:00 as 12:00, de segunda a
sexta-feira e somente em duas estaes de trabalho da seo na qual ele trabalha. Voc pode configurar estas limitaes,
facilmente, atravs das propriedades da conta de usurio do estagirio.
Para limitar o horrio em que uma conta pode fazer o logon, siga os passos indicados a seguir:
2. D um clique na guia Conta.
3. Clique no boto Horrio de logon...
4. Ser exibida a janela Horrio de logon para [nome da conta]. Conforme indicado na Figura 4.15. Por padro
permitido o logon nas 24 horas do dia e nos sete dias da semana.
Figura 4.15 A janela para definir o horrio de logon para a conta.
5. Quadradinho azul indica horrio permitido e quadradinho branco, horrio no permitido. Para alterar a cor de um
faixa de horrio, basta clicar na primeira hora da faixa, manter o boto esquerdo do mouse pressionado e ir
arrastando para selecionar um ou mais quadradinhos. A medida que voc vai arrastando os quadradinhos vo
sendo selecionados. Depois de selecionados basta dar um clique na opo desejada: Logon permitido ou Logon
Negado, que o Windows Server 2003 altera a cor do quadradinho de acordo com a opo escolhida.
6. Utilize a tcnica de arrastar, para configurar os horrios permitidos conforme exemplo da Figura 4.16, onde foi
habilitado o logon somente no perodo das 8:00 as 12:100, de segunda sexta-feira. Neste exemplo voc pode
primeiro clicar na palavra domingo. Todas as horas do domingo sero selecionadas. Depois clique em Logon
denied para negar o logon em todas as horas do domingo. Repita a operao para o sbado. Em seguida voc pode
marcar a faixa de horrio das 13 as 24 horas de segunda sexta-feira e depois clicar em Logon Denied. Com isso
voc est limitando o logon somente ao horrio proposto, ou seja, de segunda sexta-feira, das 8:00 as 12:00.
Figura 4.16 Logon permitido somente de segunda sexta-feira, das 8:00 s 12:00 hs.
7. D um clique no boto OK para aplicar as alteraes. Voc estar de volta a guia Conta. Clique em OK para fechar
a janela de propriedades da conta. Pronto, agora esta conta somente poder fazer o logon nos horrios configurados
pelo Administrador.
NOTA: Para selecionar um dia todo,
por exemplo domingo, basta clicar no
boto domingo. Isso muito mais fcil
do que arrastar o mouse sobre todos
os quadradinhos do domingo. O mesmo
vlido para o boto das horas. Se voc
clicar no boto 8, voc selecionar o
quadradinho correspondente as 8 horas
de todos os dias.
Limitando os computadores nos quais o usurio pode fazer o logon.
Agora voc aprender a limitar os computadores nos quais o usurio pode efetuar
o logon. Esse procedimento normalmente adotado com empregados temporrios
ou estagirios, de tal forma que o Administrador possa controlar em quais
computadores esses usurios podem efetuar o logon. Por padro, ao ser criada
uma conta, no aplicada restrio em relao as estaes de trabalho da rede na
qual a conta pode fazer o logon. Neste item voc limitar as estaes nas quais
uma conta pode fazer o logon
Figura 4.17 Logon permitido, por padro, em todas as estaes de trabalho.
5. Clique na opo Os seguintes computadores. No campo Nome do computador digite o nome da estao de
trabalho e clique no boto Adicionar. Repita estes passos para adicionar os demais computadores para os quais a
conta ter permisso de logon, conforme exemplo da Figura 4.18, onde foi dada permisso de logon em trs
computadores: micro01, micro02 e micro03.
Para definir em quais estaes uma conta pode fazer o logon, siga os passos indicados a seguir:
3. Clique no boto Fazer logon em...
4. Ser exibida a janela Estaes de trabalho de logon, conforme indicado na Figura 4.17, por padro permitido o
logon em todas as estaes de trabalho (Todos os computadores).
6. Aps ter inserido o nome dos computadores em que a conta ter permisso
de logon, clique em OK.
7. Voc estar de volta a guia Conta. Clique em OK para fechar a janela de
propriedades da conta e salvar as alteraes. Pronto, agora esta limitada a
fazer o logon somente nos computadores listados na janela Logon
Workstations.
A seguir mostrarei como criar vrios contas de usurios, simultaneamente, usando
o conceito de modelo de objeto.
NOTA: Para remover um
computador da lista basta cliar no
nome do computador para
selecion-lo e em seguida clicar no
boto Remover. Para alterar o nome
de um computador clique no nome
a ser alterado, clique no boto
Editar, digite o novo nome e clique
em qualquer espao em branco.
Figura 4.18 Definindo permisso de logon em trs computadores.
Criando e utilizando uma conta modelo
As contas de usurios de uma mesma seo, normalmente, compartilham algumas propriedades em comum. Por
exemplo, todas as contas dos funcionrios da seo de contabilidade (ou a maioria das contas), ter campos em
comum, tais como nmero de telefone, escritrio, grupos aos quais a conta pertence e assim por diante.
Nestas situaes, indicado que voc crie uma conta modelo. Por exemplo, voc poderia criar uma conta chamada
Modelo_Contabilidade. Ao criar a conta modelo contabilidade, voc define as propriedades que sero comuns a todas as
contas da seo de contabilidade. Depois voc pode usar este modelo, para criar novas contas. As novas contas j iro vir
com as propriedades da conta modelo e voc s precisar definir as propriedades que so diferentes para cada conta, tais
como senha e nome de logon. A vantagem do uso de um modelo de conta que a criao de novas contas facilitada e
voc consegue manter um padro, para as propriedades que so comuns a todas as contas. A desvantagem que no
mantido um vnculo entre as contas criadas a partir de um modelo e o respectivo modelo. Por exemplo, se voc alterar a
conta modelo, as contas que foram criadas a partir do modelo, no iro ser atualizadas com as alteraes feitas na conta
modelo. Talvez em uma prxima verso do Windows, tenhamos este mecanismo de herana implementado.
Para criar uma conta modelo voc usa os passos descritos nos exemplos prticos anteriores, ou seja, a conta modelo
uma conta normal, como qualquer outra.
No exemplo prtico a seguir, mostro como criar uma nova conta, a partir de uma conta modelo.
Exemplo: Para criar uma nova conta, tomando como modelo uma conta j existente, siga os passos indicados a seguir:
1. Faa o logon como Administrador, com uma conta com permisso de Administrador ou com uma conta pertencente
ao grupo Opers. de contas (Account Operators).
6. Preencha as informaes da nova conta e clique em Avanar.
7. Nesta etapa voc deve definir uma senha para a nova conta e configurar as opes disponveis, tais como se o
usurio deve ou no trocar a senha no prximo logon, conforme descrito anteriormente.
8. Preencha as informaes e clique no boto Avanar.
9. Ser exibida a tela final do assistente. Voc pode utilizar o boto Voltar, para alterar alguma das configuraes
feitas nas etapas anteriores. Para criar a conta clique em Concluir.
10. Pronto, a nova conta foi criada e herdou uma srie de propriedades da conta utilizada como modelo.
A seguir descrevo quais propriedades, uma nova conta herda da conta modelo:
Guia Geral: Nenhuma propriedade herdada do modelo.
Guia Endereo: Todas as propriedades so herdadas, com exceo do campo Rua.
Guia Conta: Todas as propriedades so herdadas, com exceo dos campos Nome de logon do usurio e Nome
de logon do usurio (anterior ao Windows 2000).
IMPORTANTE: Como a conta
modelo ser usada para a criao de
novas contas, a partir dela, a conta
modelo deve estar com a opo
Conta desativada, marcada. Isso
porque a conta modelo no deve ser
usada para fazer o logon no domnio.
Por isso, para impedir que a conta
possa ser usada para fazer o logon
no domnio, que voc deve marcar
a opo Conta desativada.
Ferramentas Administrativas -> Usurios e computadores do Active Direc-
tory.
3. Localize a conta a ser utilizada como modelo e clique na conta para selecion-
la.
4. Selecione o comando Ao -> Copiar...
5. Ser aberta a janela Copiar objeto Usurio, na qual voc deve informar os
dados para a nova conta, tais como nome de logon e nome completo, conforme
exemplo da Figura 4.19:
Figura 4.19 Definindo propriedades da nova conta.
Guia Perfil: Todas as propriedades so copiadas, porm so adaptadas para refletir o nome de logon do usurio
que est sendo criado. Por exemplo, se a Pasta base do modelo est em: \\servidor\profiles\modelocont, e est
sendo criado um usurio chamado jsilva2, a pasta base do usurio que est sendo criado, ser:
\\servidor\profiles\jsilva2.
Guia Telefones: Nenhuma propriedade copiada.
Guia Organizao: Todas as propriedades so copiadas, com exceo do
campo Ttulo.
Guia Membro de: Todas as informaes so copiadas, ou seja, a nova
conta, criada a partir de um modelo, pertencer exatamente aos mesmos
grupos aos quais pertence a conta modelo.
NOTA: Mais adiante neste captulo
voc aprender sobre o conceito de
Profiles e sobre como gerenci-las.
Guias Discagem, Ambiente, Sesses, Controle remoto, Perfil de servios de terminal e COM+: Nenhuma
informao copiada destas guias, do modelo para a nova conta que est sendo criada.
Comandos para trabalhar com contas de usurios.
Alm da interface grfica, usando o console Usurios e computadores do Active
Directory, o Administrador tem acesso a uma srie de comandos, os quais esto
diretamente relacionados com a criao, edio e administrao de contas de
usurios, bem como a Administrao do Active Directory. Estes comandos,
normalmente, so utilizados em scripts, para executar uma srie de tarefas
repetitivas, em um grande nmero de contas no Active Directory.
A seguir descrevo os principais comandos relacionados ao gerenciamentos de
contas de usurios e ao gerenciamento do Active Directory.
O comando CSVDE:
Este comando utilizado para importar e exportar dados do Active Directory
usando arquivos que armazenam dados no formato de valores separados por vrgula
(CSV). Voc tambm pode oferecer suporte a operaes em lotes no padro do
formato de arquivo CSV. Um arquivo no formato CSV, apresenta um registro em
cada linha e os campos de cada registro so separados por vrgula.
IMPORTANTE: Quando voc cria
uma nova conta, a partir de um modelo,
a nova conta pertencer aos mesmos
grupos aos quais pertence a conta
modelo.Com isso, a nova conta, herdar
as permisses de acesso, que forem
atribudas a estes grupos. Porm,
permisses que tenham sido atribudas
diretamente a conta modelo, no sero
herdadas pela nova conta, criada a
partir da conta modelo. Fique atento a
este detalhe, pois ele pode ser a
diferena entre acertar e errar uma ou
mais questes no exame.
Sintaxe para o comando CSVDE:
csvde [-i] [-f NomeDoArquivo] [-s NomeDoServidor] [-c Seqncia1 Seqncia2] [-v] [-j Caminho]
[-t NmeroDaPorta] [-d NDBase] [-r FiltroLDAP] [-p Escopo] [-l ListaDeAtributosLDAP] [-o
ListaDeAtributosLDAP] [-g] [-m] [-n] [-k] [-a NomeDistintoDoUsurio Senha] [-b NomeDoUsurio
Domnio Senha]
A seguir a descrio das opes do comando CSVDE:
-i : Especifica o modo de importao. Se no for especificado, o modo padro ser o de exportao.
-f NomeDoArquivo: Identifica o nome do arquivo de importao ou de exportao.
-s NomeDoServidor: Especifica o controlador de domnio que executar a operao de importao ou de exportao.
-c Seqncia1 Seqncia2: Substitui todas as ocorrncias de Seqncia1 por Seqncia2. Em geral, usado
quando os dados so importados de um domnio para outro e o nome distinto do domnio de exportao
(Seqncia1) precisa ser substitudo pelo do domnio de importao (Seqncia2).
-v: Define o modo detalhado.
-j Caminho: Define o local do arquivo de log. O padro o caminho atual.
-t NmeroDaPorta: Especifica o nmero da porta LDAP. A porta LDAP padro 389. A porta de catlogo
global 3268.
-d NDBase: Define o nome distinto da base de pesquisa para exportar dados.
-r FiltroLDAP: Cria um filtro de pesquisa LDAP para exportar dados.
-p Escopo: Define o escopo da pesquisa. As opes de escopo de pesquisa so Base, OneLevel (um nvel) ou
SubTree (subrvore).
-l ListaDeAtributosLDAP: Define a lista de atributos a serem apresentados nos resultados de uma consulta de
exportao. Se esse parmetro for omitido, sero apresentados todos os atributos.
-o ListaDeAtributosLDAP: Define a lista de atributos a serem omitidos dos resultados de uma consulta de
exportao. Normalmente, essa opo usada quando os objetos so exportados do Active Directory e, em
seguida, importados para outro diretrio compatvel com LDAP. Se no houver suporte a atributos em outro
diretrio, voc poder omiti-los do conjunto de resultados usando essa opo.
-g: Omite pesquisas paginadas.
-m: Omite os atributos que se aplicam somente aos objetos do Active Directory como, por exemplo, os atributos
ObjectGUID, objectSID, pwdLastSet e samAccountType.
-n: Omite a exportao de valores binrios.
-k: Ignora erros durante a operao de importao e continua o processamento. So os seguintes os erros
ignorados: Objeto j existe, Violao de restrio e Atributo ou valor j existe.
-a NomeDistintoDoUsurio Senha: Define o comando a ser executado usando o NomeDistintoDoUsurio e a
Senha fornecidos. Por padro, o comando ser executado usando as credenciais do usurio conectado rede
no momento.
-b NomeDoUsurio Domnio Senha: Define que o comando seja executado como NomeDoUsurio Domnio
Senha. Por padro, o comando ser executado usando as credenciais do usurio conectado rede no momento.
-?: Exibe uma tela de ajuda sobre o comando.
Aplicativos como o Microsoft Excel so capazes de ler e salvar dados no formato CSV. Alm disso, as ferramentas de
administrao do Microsoft Exchange Server tambm podem importar e exportar dados usando o formato CSV, assim
como outras ferramentas que no foram desenvolvidas pela Microsoft.
O formato CSV consiste em uma ou mais linhas de dados, com cada valor separado por uma vrgula. A primeira linha
(algumas vezes chamada de cabealho) do arquivo CSV deve conter os nomes de cada atributo na mesma ordem que
os dados de todas as linhas seguintes primeira. Por exemplo:
NC,Nome,Sobrenome,Descrio
NomeDeLogonDoPrimeiroUsurio,NomeDoPrimeiroUsurio,SobrenomeDoPrimeiroUsurio,Gerente
NomeDeLogonDoSegundoUsurio,NomeDoSegundoUsurio,SobrenomeDoSegundoUsurio,Presidente
Voc pode usar csvde -r para criar um filtro de pesquisa LDAP para exportar dados. Por exemplo, o filtro a seguir
exporta todos os usurios com determinado sobrenome:
csvde -r (and(objectClass=Usurio)(sn=Sobrenome))
O comando DSADD:
Este comando utilizado para adicionar tipos especficos de objetos ao Active Directory, tais como usurios, grupos,
etc. A seguir descrevo as diferentes opes do comando DSADD
dsadd computer
utilizado para adicionar um nico computador ao diretrio.
Sintaxe:
dsadd computer NDComputador [-samid NomeSAM] [-desc Descrio] [-loc Local] [-memberof
NDGrupo ...] [{-s Servidor | -d Domnio}] [-u NomedoUsurio] [-p {Senha | *}] [-q] [{-uc | -
uco | -uci}]
Os parmetros deste comando so os seguintes:
NDComputador: Obrigatrio. Especifica o nome distinto do computador a ser adicionado. Se o nome distinto
for omitido, ele ser retirado da entrada padro (stdin).
-samid NomeSAM: Determina a utilizao do nome SAM como nico nome de conta SAM para este
computador (por exemplo, TESTPC2$). Se este parmetro no for especificado, um nome de conta SAM ser
obtido a partir do valor do atributo nome comum utilizado em NDComputador.
-desc Descrio: Especifica a descrio do computador a ser adicionado.
-loc Local: Especifica o local do computador a ser adicionado.
-memberof NDGrupo ...: Especifica os grupos nos quais voc deseja o computador como membro.
{-s Servidor | -d Domnio}: Conecta o computador com um servidor ou domnio especificado. Por padro, o
computador conectado com o controlador de domnio no domnio de logon.
-u NomeDoUsurio: Especifica o nome de usurio utilizado para logon em um servidor remoto. Por padro, -
u utiliza o nome de usurio com o qual o usurio fez logon. Qualquer um dos formatos a seguir pode ser
utilizado para especificar um nome de usurio:
nome de usurio (por exemplo, Raquel)
domnio\nome de usurio (por exemplo, widgets\Raquel)
UPN (nome principal do usurio) (por exemplo, Raquel@widgets.microsoft.com)
-p {Senha | *}: Especifica o uso de uma senha ou de um * para fazer logon em um servidor remoto. Se voc
digitar *, dever fornecer uma senha.
-q: Elimina toda a sada para a sada padro (modo silencioso).
{-uc | -uco | -uci}: Especifica que os dados de sada ou de entrada sero formatados em Unicode. A tabela a
seguir lista e descreve cada formato, conforme indicado a seguir:
-uc:Especifica um formato Unicode para entrada de um pipe ou sada para um pipe (|).
-uco Especifica um formato Unicode para sada para um pipe (|) ou para um arquivo.
-uci Especifica um formato Unicode para entrada de um pipe (|) ou para um arquivo.
/?: Exibe ajuda no prompt de comando.
Se voc no fornecer um objeto de destino no prompt de comando, ele ser obtido na sada padro (stdin). Os dados de
stdin podem ser aceitos a partir do teclado, de um arquivo redirecionado ou como sada em pipe de outro comando.
Para marcar o fim dos dados stdin a partir do teclado ou em um arquivo redirecionado, use o caractere de fim de
arquivo (CTRL+Z).
Se o valor fornecido contiver espaos, utilize o texto entre aspas (por exemplo, CN=DC 2,OU=Controladores
domnio,DC=Microsoft,DC=Com).
Se voc fornecer diversos valores para um parmetro, use espaos para separ-los (por exemplo, uma lista de nomes
distintos).
dsadd group
Este comando utilizado para adicionar um nico grupo ao diretrio.
Sintaxe:
dsadd group NDGrupo [-secgrp {yes | no}] [-scope {l | g | u}] [-samid NomeSAM] [-desc
Descrio] [-memberof Grupo ...] [-members Membro ...] [{-s Servidor | -d Domnio}] [-u
NomeDoUsurio] [-p {Senha | *}] [-q] [{-uc | -uco | -uci}]
Descrio dos parmetros utilizados pelo comando dsadd group:
NDGrupo: Obrigatrio. Especifica o nome distinto do grupo a ser adicionado. Se o nome distinto for omitido,
ser obtido da entrada padro (stdin).
-secgrp {yes | no}: Especifica se o grupo a ser adicionado um grupo de segurana (yes) ou um grupo de
distribuio (no). Por padro, o grupo adicionado como grupo de segurana (yes).
-scope {l | g | u}: Especifica se o escopo do grupo a ser adicionado domnio local (l), global (g), ou universal
(u). Se o domnio estiver no modo misto, no haver suporte a escopo universal. Por padro, o escopo do grupo
definido como global.
-samid NomeSAM: Especifica a utilizao do nome SAM como o nico nome de conta SAM para este grupo
(por exemplo, operadores). Se este parmetro no for especificado, ser gerado a partir do nome distinto relativo.
-desc Descrio: Especifica a descrio do grupo a ser adicionado.
-memberof Grupo ... : Especifica os grupos aos quais este novo grupo dever ser adicionado.
-members Membros ...: Especifica os membros a serem adicionados ao novo grupo.
{-s Servidor | -d Domnio}: Estabelece conexo com um servidor ou domnio remoto especificado. Por padro,
o computador fica conectado ao controlador de domnio no domnio de logon.
-u NomeDoUsurio: Especifica o nome usado pelo usurio para fazer logon em um servidor remoto. Por
padro, -u utiliza o nome de usurio com o qual o usurio fez logon. Qualquer um dos formatos a seguir pode
ser utilizado para especificar um nome de usurio:
nome do usurio (por exemplo, Raquel)
domnio\nome do usurio (por exemplo, widgets\Raquel)
seguir lista e descreve cada formato:
-uc Especifica um formato Unicode para entrada de um pipe ou sada para um pipe (|).
dsadd ou
Este comando utilizado para adicionar uma nica unidade organizacional ao diretrio.
Sintaxe:
dsadd ou NDUnidadeOrganizacional [-desc Descrio] [{-s Servidor | -d Domnio}] [-u
NomeDoUsurio] [-p {Senha | *}] [-q] [{-uc | -uco | -uci}]
Parmetros utilizados pelo comando dsadd ou:
NDUnidadeOrganizacional: Obrigatrio. Especifica o nome distinto da unidade organizacional a ser adicionada.
Se o nome distinto for omitido, ser obtido da entrada padro (stdin).
-desc Descrio: Especifica a descrio da unidade organizacional a ser adicionada.
padro, utilizado o nome do usurio que fez logon. possvel especificar um nome de usurio usando um
dos seguintes formatos:
seguir lista e descreve cada formato:
dsadd user
Adiciona um usurio nico ao diretrio.
Sintaxe:
dsadd user NDUsurio [-samid NomeSAM] [-upn UPN] [-fn Nome] [-mi Inicial] [-ln Sobrenome] [-
display NomeParaExibio] [-empid IdentificaoFuncional] [-pwd {Senha | *}] [-desc Descrio]
[-memberof Grupo ...] [-office Escritrio] [-tel Telefone] [-email Email] [-hometel
TelefoneResidencial] [-pager Pager] [-mobile Celular] [-fax Fax] [-iptel TelefoneIP] [-webpg
PginaDaWeb] [-title Cargo] [-dept Departamento] [-company Empresa] [-mgr Gerente] [-hmdir
DiretrioBase] [-hmdrv LetraDaUnidade:] [-profile CaminhoDoPerfil] [-loscr CaminhoDoScript] [-
mustchpwd {yes | no}] [-canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-pwdneverexpires
{yes | no}] [-acctexpires NmeroDeDias] [-disabled {yes | no}] [{-s Servidor | -d Domnio}] [-
u NomeDoUsurio] [-p {Senha | *}] [-q] [{-uc | -uco | -uci}]
Parmetros utilizados pelo comando dsadd user:
NDUsurio: Obrigatrio. Especifica o nome distinto do usurio a ser adicionado. Se o nome distinto for
omitido, ser obtido da entrada padro (stdin).
-samid NomeSAM: Determina o nome SAM como nico nome de conta SAM para este usurio (por exemplo,
Raquel). Se no for especificado, o dsadd tentar criar um nome de conta SAM utilizando (no mximo) os 20
primeiros caracteres do valor nome comum (CN) do NDUsurio.
-upn UPN: Especif ica o nome principal do usurio a ser adicionado, (por exemplo,
Linda@widgets.microsoft.com).
-fn Nome: Especifica o nome do usurio a ser adicionado.
-mi Inicial: Especifica a letra inicial central do usurio a ser adicionado.
-ln Sobrenome: Especifica o sobrenome do usurio a ser adicionado.
-display NomeParaExibio: Especifica o nome para exibio do usurio a ser adicionado.
-empid IdentificaoFuncional: Especifica a identificao funcional do usurio a ser adicionado.
-pwd {Senha | *}: Especifica a senha do usurio a ser definida como Senha ou *. Se for definida como *, voc
ser solicitado a fornecer uma senha de usurio.
-desc Descrio: Especifica a descrio do usurio a ser adicionado.
-memberof NDGrupo ...: Especifica os nomes distintos dos grupos nos quais voc deseja incluir o usurio
como membro.
-office Escritrio: Especifica o local do escritrio do usurio a ser adicionado.
-tel Telefone: Especifica o nmero do telefone do usurio a ser adicionado.
-email Email: Especifica o endereo de email do usurio a ser adicionado.
-hometel TelefoneResidencial: Especifica o nmero do telefone residencial do usurio a ser adicionado.
-pager Pager: Especifica o nmero do pager do usurio a ser adicionado.
-mobile Celular: Especifica o nmero do telefone celular do usurio a ser adicionado.
-fax Fax: Especifica o nmero do fax do usurio a ser adicionado.
-iptel TelefoneIP: Especifica o nmero do telefone IP do usurio a ser adicionado.
-webpg PginaDaWeb: Especifica a URL de pgina da Web do usurio a ser adicionado.
-title Cargo: Especifica o cargo do usurio a ser adicionado.
-dept Departamento: Especifica o departamento do usurio a ser adicionado.
-company Empresa: Especifica as informao sobre a empresa do usurio a ser adicionado.
-mgr NDGerente: Especifica o nome distinto do gerente do usurio a ser adicionado.
-hmdir DiretrioBase: Especifica o local do diretrio base do usurio a ser adicionado. Se o DiretrioBase for
apresentado como um caminho UNC, voc dever especificar uma letra de unidade a ser mapeada at esse
caminho utilizando o parmetro -hmdrv.
-hmdrv LetraDaUnidade: Especifica a letra de unidade do diretrio base (por exemplo, E:) do usurio a ser adicionado.
-profile CaminhoDoPerfil: Especifica o caminho do perfil do usurio a ser adicionado.
-loscr CaminhoDoScript: Especifica o caminho do script de logon do usurio a ser adicionado.
-mustchpwd {yes | no}: Especifica se os usurios devero alterar suas senhas no prximo logon (yes) ou no
(no). Por padro, o usurio no precisa mudar a senha (no).
-canchpwd {yes | no}: Especifica se os usurios podero alterar suas senhas (yes) ou no (no). Por padro, permitido
ao usurio mudar a senha (yes). O valor desse parmetro dever ser yes se o valor do parmetro -mustchpwd for yes.
-reversiblepwd {yes | no}: Especifica se a senha do usurio dever ser armazenada utilizando criptografia
reversvel (yes) ou no (no). Por padro, o usurio no pode utilizar a criptografia reversvel (no).
-pwdneverexpires {yes | no}: Especifica se a senha do usurio nunca expira (yes) ou expira (no). Por padro,
a senha do usurio expira (no).
-acctexpires NmeroDeDias: Especifica o nmero de dias a partir da data atual para expirao da conta do
usurio. Um valor 0 define a expirao para o final do dia de hoje. Um valor positivo define a expirao no
futuro. Um valor negativo define a expirao no passado. O valor never define que a conta nunca dever
expirar. Por exemplo, um valor 0 far a conta perder a validade no final do dia de hoje. Um valor -5 indica que
a conta j expirou h cinco dias e define uma data de validade no passado. Um valor 5 define a expirao da
conta para daqui a cinco dias.
-disabled {yes | no}: Especifica se a conta de usurio ser desativada para o logon (yes) ou no (no). Por
padro, a conta do usurio fica habilitada para logon (no).
padro, -u utiliza o nome de usurio com o qual o usurio fez logon. Qualquer um dos formatos a seguir pode
ser utilizado para especificar um nome de usurio:
seguir lista e descreve cada formato.
-ucoEspecifica um formato Unicode para sada para um pipe (|) ou para um arquivo.
O smbolo especial $username$ (sem diferenciao de maisculas ou minsculas) pode substituir o nome de conta
SAM no valor dos parmetros -email, -hmdir, -profile e -webpg. Por exemplo, se um nome de conta SAM for Denise,
o parmetro -hmdir poder ser escrito num dos seguintes formatos:
-hmdir\usuarios\Denise\base
-hmdir\usuarios\$username$\base
O uso de senhas de alta segurana em todas as contas de usurio ajuda a minimizar os riscos de segurana. Para obter
mais informaes sobre senhas de alta segurana, consulte Tpicos relacionados.
dsget user
Este comando utilizado para exibir as vrias propriedades de um usurio no diretrio. Esse comando dispe de duas
variaes. A primeira permite exibir as propriedades de vrios usurios. A segunda permite exibir as informaes de
participao em um grupo de um usurio nico.
Sintaxe:
dsget user NDUsurio ... [-dn] [-samid] [-sid] [-upn] [-fn] [-mi] [-ln] [-display] [-empid] [-
desc] [-office] [-tel] [-email] [-hometel] [-pager] [-mobile] [-fax] [-iptel] [-webpg] [-
title] [-dept] [-company] [-mgr] [-hmdir] [-hmdrv] [-profile] [-loscr] [-mustchpwd] [-
canchpwd] [-pwdneverexpires] [-disabled] [-acctexpires] [-reversiblepwd] [{-uc | -uco | -uci}]
[-part ND_da_partio [-qlimit] [-qused]]
dsget user ND_do_usurio [-memberof] [-expand] [{-uc | -uco | -uci}]
Parmetros:
NDUsurio ...: Obrigatrio. Especifica os nomes distintos dos objetos de usurio a serem exibidos. Se algum
valor for omitido, ele ser obtido atravs da entrada padro (stdin) para oferecer suporte ao pipe de sada de
outro comando para entrada deste comando. Compare com NDUsurio na prxima variao de comando.
-dn: Exibe os nomes distintos dos usurios.
-samid: Exibe os nomes de conta SAM dos usurios.
-sid: Exibe as identificaes de segurana do usurio (SIDs).
-upn: Exibe os nomes principais dos usurios.
-fn: Exibe os nomes dos usurios.
-mi: Exibe as iniciais centrais dos usurios.
-ln: Exibe os sobrenomes dos usurios.
-display: Exibe os nomes para exibio dos usurios.
-empid: Exibe as identificaes funcionais dos usurios.
-desc: Exibe as descries dos usurios.
-full: Exibe os nomes completos dos usurios.
-office: Exibe a localizao dos escritrios dos usurios.
-tel: Exibe os nmeros de telefone dos usurios.
-email: Exibe os endereos de email dos usurios.
-hometel: Exibe os nmeros de telefone residencial dos usurios.
-pager: Exibe os nmeros de pager dos usurios.
-mobile: Exibe os nmeros de telefone celular dos usurios.
-fax: Exibe os nmeros de fax dos usurios.
-iptel: Exibe os nmeros de telefone IP dos usurios.
-webpg: Exibe as URLs das pginas na Web dos usurios.
-title: Exibe os cargos dos usurios.
-dept: Exibe os departamentos dos usurios.
-company: Exibe as informaes sobre a empresa dos usurios.
-mgr: Exibe os gerentes dos usurios.
-hmdir: Exibe a letra de unidade qual o diretrio base do usurio est mapeado se o caminho desse diretrio
for UNC.
-hmdrv: Exibe a letra de unidade da base do usurio se o diretrio base for um caminho UNC.
-profile: Exibe os caminhos dos perfis de usurio.
-loscr: Exibe os caminhos dos scripts de logon dos usurios.
-mustchpwd: Exibe informaes que especificam se os usurios devem alterar suas senhas no prximo logon
(yes) ou no (no).
-canchpwd: Exibe informaes que especificam se os usurios podem alterar suas senhas (yes) ou no (no).
-pwdneverexpires: Exibe informaes que especificam se as senhas de usurio nunca expiram (yes) ou expiram (no).
-disabled: Exibe informaes que especificam se as contas de usurio so desabilitadas para logon (yes) ou no (no).
-acctexpires: Exibe datas indicando quando as contas de usurio expiram. Se as contas nunca expirarem, ser
exibido never.
-reversiblepwd: Exibe informaes que especificam se as senhas de usurio podem ser armazenadas com uso
de criptografia reversvel (yes) ou no (no).
NDUsurio: Obrigatrio. Especifica o nome distinto do usurio a ser exibido.
-memberof: Exibe a lista de grupos imediatos dos quais o usurio membro.
-expand: Exibe a lista expandida em modo recursivo dos grupos dos quais o usurio membro. Esta opo
obtm a lista de grupos imediatos dos quais o usurio membro e, em seguida, expande de forma recursiva
cada grupo da lista para determinar seus membros e tambem chegar a um conjunto final completo dos grupos.
{-uc | -uco | -uci}: Especifica que os dados de sada ou de entrada sejam formatados em Unicode. A tabela a
seguir lista e descreve cada formato.
-part NDPartio: Faz conexo com a partio de diretrio com o nome distinto de NDPartio.
-qlimit: Exibe a cota efetiva do usurio na partio de diretrio especificada.
-qused: Exibe quanto da cota o usurio usou na partio de diretrio especificada. Valor Descrio
/?: exibe ajuda no prompt de comando.
O -canchpwd uma estimativa sobre a questo do usurio ter permisso para alterar sua senha. Essa estimativa tem a
ver com o modo como as ACLs (listas de controle de acesso) no objeto so interpretadas a fim de chegar a uma
resposta afirmativa ou negativa. A certeza quanto capacidade do usurio de mudar uma senha s poder ser conhecida
mediante a tentativa. Essa resposta no-autorizada no especfica desta ferramenta de linha de comando, mas
tambm inerente caixa de dilogo Propriedades do usurio em Usurios e computadores do Active Directory no
Console de gerenciamento Microsoft (MMC).
Quando nenhum parmetro de propriedade especfico for definido para o comando dsget user, o conjunto padro de
propriedades do usurio a ser exibido incluir o seguinte: nome distinto, nome da conta SAM e descrio.
Quando o parmetro -memberof especificado, ele cancela todos os outros parmetros e somente a lista de participao
do usurio exibida.
Exemplos:
Para localizar todos os usurios em determinada unidade organizacional cujos nomes comeam com jon e exibir
suas descries, digite:
dsquery user OU=Test,dc=ms,dc=tld -name jon* | dsget user -desc
Para exibir a lista de grupos, expandida de modo recursivo, qual pertence o usurio Mike Danseglio, digite:
dsget user CN=Mike Danseglio,CN=users,dc=ms,dc=tld -memberof -expand
Outros commandos disponveis:
A seguir apresenta uma lista de outros comandos disponveis. Voc encontra informaes detalhadas sobre estes
comandos, na Ajuda do Windows Server 2003, digitando o nome do comando, no campo de pesquisa da Ajuda.
dsmod: utilizado para modificar atributos selecionados de um objeto existente no Active directory. Por
exemplo, pode ser utilizado para modificar informaes sobre um usurio, grupo ou unidade organizacional
dsquery: utilizado para localizar objetos no Active Directory, de acordo com um ou mais critrios de pesquisa,
especificados.
dsmove: utilizado para mover um objeto de seu local atual para um novo local pai.
dsrm: utilizado para remover um objeto, a subrvore completa abaixo de um objeto no diretrio, ou ambos.
Muito bem, feita a apresentao dos principais comandos para gerenciamento de objetos no Active Directory, a seguir
falarei sobre o conceito de Profile e mostrarei como configurar a profile associada a um usurio, atravs das propriedades
da conta do usurio.
O Conceito de Profiles
O Windows Server 2003 (a exemplo do que ocorre no Windows 2000 e no Windows XP), mantm configuraes de
ambiente separadas para cada usurio. Por exemplo, o usurio jsilva faz o logon e cria um cone na rea de trabalho.
Este cone no ser exibido na rea de trabalho de outros usurios, quando estes fizerem o logon no computador. O
Windows tambm mantm diversas outras configuraes separadamente para cada usurio, como por exemplo: papel
de parede, opes do menu iniciar, configuraes do Internet Explorer e do Outlook Express, associao de extenses
de arquivos, configuraes da barra de tarefas e assim por diante. A pasta Meus documentos tambm individualizada
para cada usurio. O Windows Server 2003 mantm estas configuraes separadamente para cada usurio, atravs de
uma estrutura de pastas e subpastas, dentro da pasta C:\Documents and settings. Dentro desta pasta o Windows Server
2003 cria uma pasta para cada usurio, pasta esta com o nome de logon do usurio.
Por exemplo, todas as configuraes do usurio jsilvap so gravadas e mantidas em uma estrutura de subpastas, dentro
de C:\Documents and settings\jsilvap; todas as configuraes do usurio pedro2 so gravadas e mantidas em uma
estrutura de subpastas, dentro de C:\Documents and settings\paulo2 e assim por diante.
Este conjunto de configuraes, que define o ambiente de trabalho de cada usurio, conhecido como Profile do
usurio (User Profile). Quando voc trabalha em um ambiente de rede, baseado em um domnio do Windows
2000 Server ou do Windows Server 2003, possvel salvar as configuraes da Profile de cada usurio em
pastas em um servidor da rede. Este tipo de Profile conhecido como Roaming Profile (eu me arriscaria a
traduzir como Profile Viajante).
O Roaming significa que a Profile acompanha (viaja com) o usurio atravs da rede. Ou seja, independente da estao
de trabalho que o usurio estiver utilizando, ele receber as configuraes de sua Profile, as quais sero carregadas a
partir da rede. Com a combinao do recurso de User Profiles com a distribuio de Software via GPO (assunto
abordado em detalhes no Captulo 18 do livro: Windows Server 2003 Curso Completo, 1568 pginas), possvel
fazer com que os programas e as configuraes sigam o usurio atravs da rede, ou seja, em qualquer estao de
trabalho que o usurio faa o logon, ele ter a mesma rea de trabalho, com o mesmo conjunto de cones, atalhos e
programas. Neste tpico voc aprender sobre Profiles.
Vantagens de se Utilizar Profiles:
Vrios usurios podem utilizar o mesmo computador, sem que as configuraes feitas por um dos usurios,
afetem o ambiente de trabalho dos demais usurios. Quando o usurio faz o logon ele recebe exatamente o
mesmo ambiente de trabalho que ele deixou, quando fez o ltimo log off.
User profiles podem ser gravadas em uma pasta compartilhada em um servidor, de tal maneira que as
configuraes sigam o usurio atravs da rede. Esta opo est disponveis para computadores rodando o
Windows NT, Windows 2000, Windows XP ou Windows Server 2003. No est disponvel para o Windows
95/98/Me. O uso de User Profiles uma ferramenta de grande auxlio para o administrador, principalmente
para a padronizao do ambiente de trabalho dos usurios. O administrador pode utilizar o conceito de User
Profiles para executar, dentre outras, as seguintes configuraes:
Criar uma profile padro e distribuir esta profile para um grupo de usurios da rede. Esta opo til para
usurios que devam ter acesso restrito as opes de personalizao do windows. Por exemplo, posso usar uma
profile para definir, automaticamente, os cones da rea de trabalho para um grupo de usurios.
Voc pode criar as chamadas Mandatory user profile. Este tipo de profile no permite que o usurio faa
alteraes nas configuraes definidas na profile. O usurio at consegue alterar o seu ambiente de trabalho,
mas no momento em que for feito o log off, as alteraes no sero salvas. Ao fazer o prximo logon, o usurio
receber as configuraes definidas na profile, sem as alteraes que ele fez, mas que no foram salvas. As
configuraes so copiadas para o computador do usurio cada vez que este faz o logon. Quando o usurio faz
alteraes, estas so feitas na sua cpia local da profile. Ao fazer o logoff, estas alteraes no so repassadas
para a profile que est gravada no servidor. No prximo logon esta profile que est no servidor (sem alteraes)
que novamente copiada para a estao de trabalho do usurio, sobrescrevendo as alteraes que por ventura
ele tenha feito. O resultado prtico que sempre que o logon feito, so carregadas as configuraes definidas
na profile do tipo Mandatory, armazenada no servidor e para a qual somente o Administrador tem permisso
para fazer alteraes.
Tipos de User Profile:
Local user profile (profile de usurio local): Este tipo de profile criada a primeira vez que o usurio faz o
logon em um computador com o Windows NT 4.0 (Server ou Workstation), com o Windows 2000 (Server ou
Professional), com o Windows XP (Home ou Professional) ou com o Windows Server 2003. A profile criada
dentro de uma pasta com o mesmo nome do usurio, em C:\Documents and settings. Por exemplo, a primeira
vez que o usurio jsilva fizer o logon no comutador, a sua profile ser criada em C:\Documents and settings\jsilva.
Dentro de jsilva sero criadas diversas pastas onde esto as configuraes do usurio jsilva. Um profile local
especfica para o computador onde ela foi criada. Por exemplo, se o usurio jsilva faz o logon no computador
micro01 e faz alteraes em sua profile local, estas alteraes no estaro presentes quando ele fizer o logon
no micro02. Cada micro tem a sua prpria profile local para o usurio jsilva.
Roaming user profile: Este tipo de profile criada pelo administrador e depois armazenada em um servidor. Por
exemplo, o administrador faz o logon em uma estao de trabalho e faz as configuraes padro para a profile.
Vamos supor que o administrador fez o logon com a conta Administrator (Administrador). A sua profile ser
armazenada em C:\Documents and settings\Administrator. Se for uma conta do domnio, o nome do domnio
anexado ao nome da conta por um ponto. Por exemplo, a profile para o usurio Administrator, do domnio ABC,
seria gravada na pasta C:\Documents and settingszAdministrator.Abc, do computador onde o administrador fez
o logon. O administrador faz as alteraes necessrias. Estas so salvas na sua profile local. Em seguida o
administrador pode fazer uma cpia desta profile padro para o servidor. Por exemplo, pode ser criada uma pasta
compartilhada chamada Profiles, no servidor srv01. Neste caso o caminho para esta pasta seria: \\srv01\profiles.
Dentro da pasta profiles pode ser criada uma pasta para cada usurio, por exemplo: \\srv01\profiles\jsilva,
\\srv01\profiles\maria, \\srv01\profiles\Pedro e assim por diante. Para copiar a profile da sua mquina local para
a rede, basta que o administrador copie todo o contedo da pasta C:\Documents and settings\Administrator para
a pasta de cada usurio. Depois o administrador deve definir as permisses de acesso em cada profile criada no
compartilhamento profiles. Por exemplo, na pasta \\srv01\profiles\jsilva, somente o usurio jsilva deve ter permisso
de acesso, na pasta \\srv01\profiles\maria, somente o usurio maria deve ter permisso de acesso e assim por
diante. O passo final, para que o usurio possa utilizar esta profile armazenada no servidor, informar nas
propriedades da conta do usurio, o caminho para a respectiva profile. Isso feito na guia Perfil, das propriedades
da conta do usurio. Por exemplo, nas propriedades da conta do usurio jsilva o administrador informa o caminho
\\srv01\profiles\jsilva, nas propriedades da conta do usurio maria o administrador informa o caminho
\\srv01\profiles\maria e por a vai (veremos como fazer estas configuraes logo a seguir). Feito isso, sempre que
o usurio fizer alteraes em suas configuraes do ambiente de trabalho do Windows, estas alteraes sero
salvas na profile armazenada no servidor. Por exemplo, quando o usurio jsilva faz alteraes nas configuraes
do ambiente de trabalho, estas alteraes so salvas em \\srv01\profiles\jsilva. Quando o usurio jsilva fizer o
logon em uma outra estao de trabalho da rede (diferente da estao na qual ele fez as alteraes), as suas
configuraes sero carregadas (durante o logon), a partir de \\srv01\profiles\jsilva, em qualquer computador do
domnio, onde o usurio faa o logon. Com isso as alteraes que ele fez em uma estao de trabalho, estaro
disponveis em quaisquer estao da rede na qual ele fizer o logon, pois estas configuraes so copiada a partir
do servidor e seguem (viajam com Roaming) o usurio em qualquer estao de trabalho na qual ele fizer o
logon. Combinando o uso de Roaming Profiles com GPOs (Captulo 18 do livro: Windows Server 2003 Curso
Completo, 1568 pginas), possvel que o ambiente de trabalho do usurio siga o usurio atravs da rede.
Mandatory user profile: Este tipo de profile uma profile do tipo somente leitura. As alteraes feitas pelo
usurio no sero salvas na profile. Quando o usurio fizer o logon, ele obtm sempre o mesmo ambiente de
trabalho, independente das alteraes que ele fez durante o seu ltimo logon (alteraes estas que so abandonadas).
Este tipo de profile no permite que o usurio faa alteraes nas configuraes definidas na profile. O usurio
at consegue alterar o seu ambiente de trabalho, mas no momento em que ele fizer o log off, as alteraes no
sero salvas. Ao fazer o prximo logon, o usurio receber as configuraes definidas na profile que est no
servidor, sem as alteraes que ele fez, mas que no foram salvas. As configuraes so copiadas para o computador
do usurio cada vez que este faz o logon. Quando o usurio faz alteraes, estas so feitas na sua cpia local da
profile. Ao fazer o log off, estas alteraes no so repassadas para a profile que est gravada no servidor. No
prximo logon esta profile que est no servidor (sem alteraes) que novamente copiada para a estao de
trabalho do usurio, sobrescrevendo as alteraes que por ventura ele tenha feito. O resultado prtico que
sempre que o logon feito, so carregadas as configuraes definidas na profile do tipo Mandatory, armazenada
no servidor e para a qual somente o Administrador tem permisso para fazer alteraes. Este tipo de profile
utilizado para manter ambientes altamente padronizados, onde os usurios no devem poder fazer alteraes nas
configuraes do seu ambiente de trabalho. Somente o administrador pode fazer alteraes na profile do tipo
Mandatory, armazenada no servidor. Na prtica, a maioria das configuraes de uma profile esto em um arquivo
chamada NTuser.dat. Para tornar uma profile do tipo Mandatory, basta renomear este arquivo para NTuser.man.
Temporary user profile: Uma profile temporria ser criada sempre que algum erro ocorrer durante o logon
do usurio, erro este que impea que uma profile seja carregada, quer seja uma profile local, quer seja uma
profile carregada a partir de um servidor. Alteraes feitas nesta profile temporria (enquanto o usurio est
logado) sero descartadas quando o usurio fizer o log off.
Entendendo o contedo de uma User profile
Neste item descreverei em detalhes as configuraes e o contedo que salva em um profile de usurio. Conforme
descrito anteriormente, todas as informaes de configurao contidas na Profile do usurio so gravadas em um
conjunto de arquivos e pastas dentro de uma pasta com o nome de logon de usurio, no caminho C:\Documents and
settings. Por exemplo, as configuraes da profile local para o usurio jsilva so gravadas em um conjunto de arquivos
e pastas dentro de C:\Documents and settings\jsilva.
A primeira vez que o usurio faz o logon em um computador, o Windows Server 2003 (ou Windows 2000 ou NT 4 ou
XP) cria a profile do usurio, baseada na profile Default User (C:\Documents and settings\Default User). A maioria
das configuraes da profile esto contidas no arquivo NTuser.dat. Por exemplo, para o usurio jsilva as configuraes
esto no arquivo C:\Documents and settings\jsilva\NTuser.dat. As configuraes do menu Todos os programas (All
programs) so copiadas da profile All Users (C:\Documents and settings\All Users\Start Menu\Programs. Ou seja, os
atalhos que esto dentro desta pasta, automaticamente sero copiados para a nova profile que criada, a primeira vez
que o usurio faz o logon no computador. No Captulo 4 eu mostrei que para criar um atalho que aparea para qualquer
usurio logado, este atalho deve ser criado em All Users.
Dentro da pasta onde fica a profile de cada usurio, existem uma srie de subpastas. Por exemplo, dentro da pasta
C:\Documents and settings\Administrator existem diversas outras pastas, conforme indicado na Figura 4.20. Cada
uma tem uma funo especfica.
Figura 4.20 Subpastas da profile de usurio.
A seguir descrevo o contedo destas pastas:
Application Data (Dados de Aplicativo): Nesta pasta ficam configuraes dos programas utilizados no
computador. Por exemplo, configuraes do Outlook Express, do Office, tais como modelos e dicionrios
personalizados criados pelo usurio e assim por diante.
Cookies: Informaes do usurio referentes a sites que ele visitou. Por exemplo, existem sites no qual voc
deve fazer um cadastro para fazer compras. A maioria dos sites de livrarias online, por exemplo, exige o
cadsatro. Voc faz o cadastro e preenche um formulrio. Algumas destas informaes so gravadas em pequenos
arquivos conhecidos como Cookies. Futuramente, quando voc visita o site novamente, voc surpreendido
com uma mensagem Bem vindo fulano de tal. Mas como que o site sabe que voc o fulano de tal? Ele leu
as informaes no Cookie que ele havia gravado anteriormente. Os cookies gravados pelos diversos sites que
voc visita ficam gravados na pasta Cookies, dentro da profile do usurio.
Desktop: Esta pasta contm os atalhos, arquivos, pastas e demais itens que so exibidos na rea de trabalho do
usurio.
Favoritos: Contm a estrutura de Favoritos do Internet Explorer.
Configuraes locais: Configuraes de aplicativos locais, o histrico de navegao na Internet e arquivos
temporrios. Estas informaes viajam com o usurio, isto , acompanham o usurio pela rede quando este
est utilizando Roaming Profiles.
Meus documentos: Esta a pasta padro para gravao dos arquivos de dados do usurio. Por exemplo, quando
voc executa o comando Arquivo -> Salvar, no Word, por padro selecionada a pasta Meus documentos.
Documentos Recentes: Contm atalhos para os documentos recentemente utilizados pelo usurio. Estes atalhos
facilitam a abertura de documentos e pastas que o usurio est utilizando seguidamente.
Ambiente de rede: Contm atalhos para os itens contidos na opo Meus locais de rede.
Ambiente de impresso: Atalhos para as impressoras instaladas pelo usurio.
SendTo: Contm atalhos para os itens que aparecem quando voc clica com o boto direito do mouse em um
arquivo ou pasta e seleciona o comando Enviar para. Por exemplo, se voc quer que aparea no menu Enviar
para o nome de uma pasta onde voc faz cpias de Backup, basta adicionar um atalho para esta pasta, dentro
da pasta SendTo, na profile do usurio.
Menu Iniciar: Esta pasta contm uma subpasta chamada Programas. Esta subpasta contm todos os itens do
menu Todos os programas.
Modelos: Arquivos de modelos do Office, utilizados pelo usurio.
A profile do usurio tambm contm o arquivo NTuser.dat: O arquivo NTuser.dat contm a parte das
configuraes que so armazenadas na Registry do sistema (para mais detalhes sobre a Registry consulte o
Captulo 12. Enquanto o usurio est logado e faz alteraes em suas configuraes, estas so feitas diretamente
na Registry (mais especificamente na chave HKEY_CURRENT_USER). Quando o usurio faz o log off, o
Windows grava as alteraes feitas pelo usurio no arquivo NTuser.dat. Com isso na prxima vez que o usurio
fizer o logon, o Windows l as configuraes a partir do arquivo NTuser.dat e carrega-as novamente na Registry.
O efeito prtico que as alteraes so mantidas e o usurio recebe o mesmo ambiente de trabalho de quando
ele fez o log off pela ltima vez.
A pasta All Users
Dentro da pasta Documents and Settings, existe uma profile chamada All Users. As configuraes desta pasta definem
itens do menu programas e atalhos da rea de trabalho, os quais estaro disponveis para qualquer usurio que fizer o
logon no computador. Por exemplo, se voc quer que um atalho para uma determinada pasta seja exibida na rea de
trabalho, independentemente do usurio logado. s colocar este atalho na pasta Desktop da profile All Users. Quando
o usurio faz o logon, o Windows utiliza as configuraes da profile do prprio usurio, mais os atalhos da rea de
trabalho, do menu Todos os programas e da barra de tarefas da profile All Users.
A profile All Users contm atalhos para os chamados programas comuns, ou seja, programas que esto disponveis
para todos os usurios que fizerem o logon no computador. Os atalhos para programas individuais ou privativos, ou
seja, somente disponveis para um determinado usurio, so gravados na profile do respectivo usurio.
Em um computador com o Windows Server 2003, somente usurios
com permisso de administrador tero permisso para modificar a pasta
All Users. Neste caso, se voc deseja instalar um programa cujo atalho
deve estar disponveis para todos os usurios do computador, voc deve
estar logado com uma conta com permisso de administrador, para fazer
a instalao do programa. Se a instalao for feita com uma conta que
no tem permisso de administrador, o atalho ser criado somente na
profile da conta logada. Quando outros usurios fizerem o logon, o
respectivo atalho no estar disponvel. Este um dos erros mais comuns
e que geram muitas chamadas do suporte. Do outro lado da linha o
usurio diz:O Programa X no est instalado na minha mquina. Na
verdade o programa X est instalado, o que acontece que no foi criado
o atalho para o programa.
A seguir descrevo quais as configuraes que so gravadas na profile
de cada usurio e, portanto, so individualizadas para cada usurio que
faz o logon no computador.
Configuraes feitas no Windows Explorer, tais como Opes
de pasta, de visualizao e assim por diante.
Arquivos da pasta Meus documentos. A pasta Meus documentos
individualizada para cada usurio.
IMPORTANTE: Por padro
algumas pastas da profile do usurio
so marcadas como pastas ocultas e
no sero exibidas no Windows Ex-
plorer, a no ser que voc configure
o Windows para exibir pastas e
arquivos ocultos. Por padro as
seguintes pastas so ocultas:
Ambiente de rede, Ambiente de
impresso, Configuraes locais,
Arquivos recentes e Modelos. Para
exibir os arquivos e pastas ocultas
abra o Windows Explorer, selecione
o comando Ferramentas -> Opes
de pasta, clique na guia Exibir e
marque a opo Exibir pastas e
arquivos ocultos. Clique em OK.
Minhas figuras: Esta pasta fica dentro da pasta Meus documentos e a pasta padro para gravao de figuras.
Por exemplo, quando voc usa o comando Arquivo -> Salvar no Paint Brush, por padro j vem selecionada a
pasta Minhas figuras.
Favoritos do Internet Explorar. A lista de favoritas tambm individual, ou seja, fica gravada na profile de
cada usurio.
Drives de rede mapeados via script de logon ou manualmente mapeados pelo usurio.
Informaes da pasta Meus locais de rede, a qual contm atalhos para outros computadores e recursos da rede.
Os itens da rea de trabalho.
Configuraes do vdeo.
Configuraes de aplicativos (tais como Office, Outlook Express, Internet Explorer, etc.)
Configuraes de impressoras.
Conexes de rede.
Configuraes feitas atravs das opes do Painel de controle
Menu Acessrios
Outros programas instalados e que tenham sido programados para manter configuraes separadas para cada
usurio e salvar estas configuraes na profile do usurio. Os programas que tem o logo do Windows Server
2003, ou seja, aprovados para uso no Windows Server 2003, devem ser capazes de gravar configuraes
separadas para cada usurio.
Atalhos colocados como favoritos na documentao do Windows Server 2003, tambm so individualizados
por usurio.
Criando um Profile a ser aplicada a vrios usurios
Em determinadas situaes voc pode ter a necessidade de criar uma profile com um determinado conjunto de
configuraes (atalhos na rea de trabalho, configuraes, atalhos no menu Todos os programas e assim por diante),
depois copiar esta profile para um servidor e aplic-la a um grupo de usurios.
O processo de criao de uma profile padro bastante simples. Para criar uma profile padro voc deve seguir os
passos indicados a seguir:
1. Instale o Windows Server 2003 em um computador. Faa uma instalao nova, a partir do zero.
2. Faa o logon com uma conta que tenha permisses para fazer as configuraes desejadas para a Profile.
3. Faa as configuraes desejadas em termos de criao de atalhos, configuraes do ambiente e assim por diante.
4. Todas as configuraes efetuadas sero gravadas na profile local, do usurio logado. Por exemplo, se voc estiver
logado como jsilva, todas as configuraes sero gravadas na pasta C:\Documents and Settings\jsilva.
6. Faa o logof do usurio jsilva e faa o logon como Administrador, ou com
uma conta com permisso de administrador.
5. Feitas as configuraes desejadas, hora de copiar a profile para uma pasta
compartilhada, em um servidor da rede, para que esta profile possa ser
associada a outros usurios, conforme mostrarei no prximo item.
6. Para copiar uma profile, clique com o boto direito do mouse em Meu
computador e, no menu de opes que exibido clique em Propriedades.
7. Na janela de propriedades que exibida clique na guia Avanado. Nesta
guia, clique no boto Configuraes, abaixo de Perfis de usurio, indicado
na Figura 4.21:
IMPORTANTE: As configuraes
armazenadas em um Profile, se
referem a configuraes do ambiente,
tais como cones na rea de trabalho,
configuraes do Painel de controle e
assim por diante. Na Profile no ficam
informaes sobre os programas
instalados no computador. Por exemplo,
se voc copiar a Profile de um
computador onde o Office est
instalado, para outro onde o Office no
est instalado, isso no far como que
o Office esteja disponvel no
computador de destino.
Figura 4.21 O boto Copiar Perfis de usurio.
8. Ser aberta a janela Perfis de usurio, com uma lista dos perfis disponveis no computador. Clique na profile a ser
copiada, para selecion-la. No nosso exemplo, vou clicar na profile do usurio jsilva.
9. Clique no boto Copiar para.
10. Ser aberta a janela Copiar para. No campo Copiar o perfil para, voc informa o caminho para onde a profile
dever ser copiada. Conforme descrito anteriormente, normalmente um caminho para uma pasta compartilhada,
em um servidor da rede. No exemplo da Figura 4.22, estou copiando para uma pasta chamada contabilidade, do
compartilhamento profiles, no computador chamado servidor.
Figura 4.22 Infomando o caminho para copiar a profile.
11. Voc pode usar o boto Alterar, abaixo de uso permitido, para definir as permisses NTFS na profile que ser
copiada para o servidor. Por exemplo, se a profile que est sendo copiada, deve ser acessada apenas pelos membros
do grupo Contabilidade, voc pode usar o boto Alterar, para der permisses de acesso apenas a este grupo.
12. Clique no boto alterar e, na janela que exibida, digite o nome dos usurios e grupos que devero ter acesso
profile. Se houver mais de um usurio e/ou grupo, os nomes devem ser separados por ponto-e-vrgula, como no
exemplo da Figura 4.23, onde estou dando permisso para os grupos Contabilidade e Finanas:
Figura 4.23 Definindo as permisses de acesso profile.
13. Clique em OK. Voc estar de volta janela Copiar para. Clique em OK. Dependendo do tamanho da profile, a
cpia poder demorar alguns minutos.
14. Aps a cpia ter sido encerrada, voc estar de volta janela Perfis de usurios. Clique em OK para fech-la.
Voc estar de volta a janela de propriedades do Meu computador. Clique em OK para fech-la.
15. Muito bem, a profile modelo j foi copiada para uma pasta compartilhada em um servidor da rede e as permisses
NTFS devidamente definidas (para mais detalhes sobre permisses NTFS, consulte o Captulo 6. O prximo
passo configurar as propriedades da conta de todos os usurios que devam ter acesso profile. Desta maneira
vamos criar uma Roaming profile, conforme descrito anteriormente. Os passos para configurar a conta de um
usurio, para que este passe a utilizar uma Roaming profile, esto descritos no prximo item.
Configurando uma profile no Perfil do usurio:
Agora que voc j sabe bastante sobre profiles de usurios, hora de aprender como configurar uma Roaming Profile
para a conta do usurio. A seguir apresento um exemplo prtico sobre estas configuraes.
Exemplo: Como associar uma profile em um servidor (Roaming Profile), com uma conta de usurio:
2. D um clique na guia Perfil.
3. No campo Caminho do perfil, informe o caminho completo onde est gravada a profile do usurio, conforme
Figura 4.24 Informando onde est gravada a profile do usurio.
Na guia Profile voc pode informar mais algumas configuraes, conforme descrito a seguir:
Script de logon: Neste campo voc informa o nome do script de logon (normalmente um arquivo .bat ou .cmd),
que ser executado quando o usurio fizer o logon. O script de logon normalmente um arquivo .bat e deve ser
gravado em uma pasta especfica nos controladores de domnio. Em todo DC do domnio existe um
compartilhamento chamado Netlogon. neste compartilhamento que deve ser gravado um ou mais arquivos que
sero utilizados como script de logon. O prximo passo informar, no campo Script de logon, o nome do script
associado com a conta do usurio. Durante o logon, o Windows Server 2003 procura, no compartilhamento
Netlogon, do DC que est autenticando o usurio, um arquivo com o nome informado no campo Script de logon.
Se o arquivo for encontrado e for um arquivo com comandos vlidos, os comando sero executados. Neste script
devem ser colocados comandos que devem ser executados automaticamente quando o usurio faz o logon, como
por exemplo comandos para mapear unidades de rede, atulizar o anti-vrus e assim por diante. O contedo do
compartilhamento Netlogon replcado, automaticamente, pelo Active Directory, entre todos os DCs do domnio.
Pasta base (Home folder) : Neste grupo o administrador pode informar um caminho local, como por exemplo
c:\documentos ou um drive de rede por exemploX:, associado com o caminho \\srv01\home\jsilva. O conceito de
pasta base pode ser utilizado para consolidar os arquivos de dados dos usurios em um ou mais servidor da rede.
Isso traz muitas vantagens, sendo a principal delas a possibilidade de fazer o backup dos dados dos usurios de
uma maneira centralizada. Ao invs de gravar os dados no prprio computador, o usurio pode salv-los em sua
pasta base, diretamente no servidor. A grande vantagem que o usurio ter acesso a esta pasta em qualquer
computador da rede onde ele fizer o logon e no apenas no seu prprio computador. A desvantagem que se o
usurio estiver sem acesso a rede, ele perder acesso a estes dados (este problema pode ser minimizado com o uso
de Pastas Off-line, conforme mostrarei no Captulo 6). Para montar uma estrutura de pastas base, o administrador
deve reservar espao em um volume em um dos servidores da rede. Em seguida ele cria uma pasta, por exemplo
ele pode criar uma pasta chamada homeusers. Dentro desta pasta o administrador cria uma subpasta para cada
usurio que ir utilizar uma pasta base. Por exemplo, ele cria uma subpasta jsilva, a qual ser a pasta base da conta
de logon jsilva, cria uma subpasta maria, a qual ser a pasta base da conta de logon maria e assim por diante. Cada
pasta individual compartilhada, com o nome de compartilhamento igual ao nome de logon. Por exemplo, a
pasta jsliva compartilhada como jsliva, a pasta maria compartilhada como maria e assim por diante. Com isso
o caminha da pasta base dos usurios jsila e maria fica conforme exemplo a seguir:
\\srv01\homeusers\jsilva
\\srv01\homeusers\maria
O prximo passo definir as permisses de acesso em cada pasta. Por padro
deve ser definido que apenas o prprio usurio deve ter permisso de acesso a sua
pasta base. Dependendo das polticas de segurana da empresa, pode ser necessrio
definir permisso de acesso tambm para o grupo Administradores do domnio.
Criada a estrutura de pastas em um dos servidores da rede, agora s informar no
campo Conectar, a letra do drive que ser associado a pasta base do usurio. No
campo a, o administrador informa o caminho de rede para a pasta base do
usurio. No exemplo da Figura 4.25 est sendo associado o drive X, com a pasta
base \\srv01\homeusers\jsilva. Neste exemplo, toda vez que o usurio jsilva fizer
o logon, em qualquer computador da rede, ser disponibilizado um drive X:, o
qual est associado com o caminho \\srv01\homeusers\jsilva.
\\srv01\homeusers\%username%
Ao salvar as alteraes, o Windows Server 2003 substitui %username% pelo nome
de logon do usurio, o que reduz erros devido a erros de digitao no nome de
logon do usurio.
4. Aps ter definido as configuraes da guia Perfil, clique em OK para fechar
a janela de propriedades e salvar as alteraes.
IMPORTANTE: Ao invs de
informar o nome do usurio, no
caminho da pasta base, voc pode
utilizar a varivel %username%.
Figura 4.25 Informando o caminho da pasta base e da profile do usurio.
Conhecendo as chamadas Contas Built-in
Ao criar um domnio, algumas contas so criadas automaticamente. Estas contas so conhecidas como Built-in ac-
counts. A seguir descrevo as contas criadas automaticamente no Active Directory:
Administrador (Administrator): Esta conta pertence a diversos grupos do domnio. O resultado prtico que
a conta Administrator tem poderes totais em todos os computadores do domnio, ou seja, a conta com o mais
alto nvel de permisses no domnio. Esta conta pertence, automaticamente, aos seguintes grupos: Administrators
(Administradores), Domain Admins (Admins. do Domnio), Domain Users (Usurios do Domnio), Enterprise
Admins (Administradores de empresa este um exemplo de uma das tantas tradues indecifrveis que
voc encontra na verso em Portugus do Windows Server 2003), Group Police Creator Owners (Proprietrios
criadores de diretivas de grupo mais um bela traduo) e Schema Admins (Administradores de esquemas
outra maravilha na traduo, como pode existir esquemas se o esquema nico em toda a rvore de
domnios?). Na Figura 4.26 exibida a lista de grupos ao qual pertence a conta Administrador, por padro.
Esta lista obtida a partir da guia Membro de, da janela de propriedades da conta Administrador.
Figura 4.26 Grupos aos quais pertence a conta Administrador.
Como a conta Administrator a conta com o maior nveis de permisses do domnio, algumas recomendaes adicionais
de segurana so necessrias:
Defina uma senha forte para esta conta. Senha forte significa uma senha com 10 ou mais caracteres e que de
preferncia utiliza caracteres dos quatro grupos: maisculas, minsculas, dgitos e caracteres especiais.
recomendado que voc renomeie a conta Administrator. Com isso, se algum quiser fazer o logon como
administrador, alm da senha desta conta ter tambm que tentar descobrir o novo nome. Ao renomear a conta
administrador, voc dificulta a vida de um hacker, ao fazer com que ele tenha que descobrir o nome e tambm
a senha da conta com permisses de administrador.
recomendado que o administrador do domnio tenha tambm uma conta de usurio comum, com permisses
limitadas. Somente quando for necessrio realizar tarefas administrativas que este usurio deve fazer o logon
como administrador. Isso reduz a possibilidades de erros de operao, os quais podem ser desastrosos se
cometidos quando o usurio est logado como administrador do domnio.
Conta Convidado (Guest): Esta conta criada automaticamente e por padro est bloqueada, ou seja, no est
habilitada para ser usada para logon no domnio. Esta conta normalmente utilizada por pessoas de fora da
empresa, que esto na empresa prestando um servio especfico ou participando de uma reunio e precisam,
por algum motivo, fazer o logon na rede. A conta Convidado pode ter senha em branco e por padro tem acesso
bastante limitado aos recursos da rede, por questes de segurana. Esta conta pertence ao grupo Domain
Guests (Convidados do Domnio), ao grupo Local do Domnio Guests (Convidados) e ao grupo global Domain
Users (Usurios do domnio). A conta Guest (Convidado) somente deve ser utilizadas em ocasies especficas,
onde um usurio no cadastrado precisa fazer o logon no domnio. A conta Guest (Convidado) pode receber
permisses de acesso a recursos do domnio, como outra conta qualquer.
Esta uma questo fundamental e um erro comum que Administradores com pouca
experincia podem cometer. Me explico melhor. Quando voc cria uma conta de
usurio (quer seja uma conta local quer seja uma conta no domnio), voc atribui
um nome de logon para a conta, por exemplo: jsilva. Alm do nome, o Windows
Server 2003 cria um SID Security Identifier (Identificador de segurana) para
cada objeto do Active Directory. Para o Windows Server 2003 o que vale, na prtica,
o SID do objeto. Agora imagine que voc criou o usurio jsilva, incluiu ele em
diversos grupos e atribuiu permisses de acesso para este usurio. Internamente, o
que o Windows Server 2003 usa para identificar o usurio jsilva o SID associado
a conta jsilva. O erro que muitos administradores cometem o seguinte:
IMPORTANTSSIMO: Por que
nomes i guai s no si gni fi cam
contas iguais?
Vamos supor que, por engano, a conta jsilva foi excluda. Voc pode raciocinar assim: no tem problema, s criar a
conta jsilva novamente, definir a mesma senha e inclu-la nos mesmos grupos de antes que automaticamente a conta
jsilva ter todas as permisses de acesso que tinha antes. Certo? Nada disso, absolutamente errado. Ao excluir a conta
e cria-la novamente, um novo SID ser gerado para a conta jsilva. Embora o nome de logon seja o mesmo, para o
Windows Server 2003 como se fossem contas completamente diferentes. Porm, nos recursos da rede, est a permisso
de acesso para o SID antigo. Por isso que a nova conta, mesmo com o mesmo nome, no consegue acessar os recursos
que a antiga acessava, pois so SIDs diferentes. Na prtica o que tem que ser feito excluir a conta jsilva das listas de
permisso de todos os recursos e inclu-la novamente, para que seja utilizado o novo SID. Veja que um trabalho e
tanto, mas existem motivos relacionados segurana, para que seja utilizado um SID associado com cada objeto do
Active Directory, conforme descreverei na parte de segurana, mais adiante.
Ento no esquea: Ao excluir uma conta e cria-la novamente, com o mesmo nome e a mesma senha, para o Windows
Server 2003 no a mesma conta, porque um novo SID foi gerado quando a conta criada novamente.
Demais operaes com contas de usurios
Neste item descreverei os passos para executar uma srie de operaes bsicas com as contas de usurios, tais como:
renomear conta, bloquear/desbloquear conta, desativar conta, excluir conta e assim por diante. Descreverei cada uma
destas aes atravs de exemplos prticos.
Para Renomear uma conta de usurio siga os passos indicados a seguir:
3. No campo Nome de logon do usurio digite o novo nome de logon para a
conta. Se necessrio altere tambm o valor do campo Nome de logon do
usurio (anterior ao Windows 2000).
4. Clique em OK para salvar as alteraes.
Pronto, a partir de agora o usurio j pode utilizar o novo nome de logon.
Para Excluir uma conta de usurio siga os passos indicados a seguir:
1. Faa o logon com uma conta com permisso para alterar contas de usurios
(Administrador ou pertencente ao grupo Opers. de contas).
Ferramentas Administrativas -> Usurios e computadores do Active Di-
rectory.
IMPORTANTE: Renomear, neste
caso, significa alterar o nome de
logon do usurio e no o nome
completo.
IMPORTANTE: Uma confuso que
pode existir quando voc clica com o
boto direito do mouse na conta do
usurio, na lista de contas, e seleciona
a opo Renomear. Ao digitar um novo
nome voc ir alterar o nome completo
do usurio e no o nome de logon, o
qual deve ser alterado atravs da janela
Propriedades da conta, na guia
Conta,conforme descrito anteriormente.
3. Clique na opo Users ou acesse a Unidade Organizacional onde est a conta a ser excluda (voc aprender sobre
Unidades Organizacionais mais adiante, neste captulo).
4. Clique com o boto direito do mouse na conta a ser excluda.
5. No menu de opes que exibido clique em Excluir.
6. O Windows Server 2003 exibe uma mensagem pedindo confirmao, conforme indicado na Figura 4.27
Figura 4.27 Confirmando a excluso da conta.
7. Clique em Sim para confirmar a excluso.
O administrador pode desabilitar uma conta de usurio. Ao desabilitar uma conta, o usurio no poder mais fazer o
logon com esta conta. Existem diversas situaes prticas onde o administrador pode ter que desabilitar uma conta.
Por exemplo, se um funcionrio est sob investigao, respondendo a um processo administrativo, o administrador
pode desabilitar a conta deste usurio para que ele no tenha acesso a rede. Quando o processo for concludo, se o
usurio for absolvido, a conta pode ser habilitada novamente. Se o usurio for condenado a conta pode ser excluda.
Outro exemplo de uso desta opo com estagirios. Vamos supor que um estagirio est deixando a empresa e outro
ir assumir as suas funes dentro de 15 dias. Quando o primeiro deixa a empresa, o administrador desabilita a conta
que ele utilizava. Quando o novo estagirio assume, o administrador habilita e renomeia a conta, de acordo com o
nome de logon escolhido pelo novo estagirio. Como a conta foi apenas renomeada, o novo estagirio, automaticamente,
ter acesso aos mesmos recursos que o anterior tinha, o que bastante coerente, j que o novo estagirio ir desempenhar
as mesmas funes do anterior. Se a conta do antigo estagirio fosse excluda, ao invs de ser apenas bloqueada, uma
nova conta teria que ser criada para o novo estagirio e todas as permisses de acesso teriam que ser reconfiguradas.
Um bom trabalho adicional.
Para desabilitar uma conta de usurio siga os passos indicados a seguir:
1. Faa o logon com uma conta com permisso para alterar contas de usurios (Administrador ou pertencente ao
grupo Account Operators).
3. Clique na opo Users ou acesse a Unidade Organizacional onde est a conta a ser desabilitada (voc aprender
sobre Unidades Organizacionais mais adiante, neste captulo).
4. Clique com o boto direito do mouse na conta a ser desabilitada.
5. No menu de opes que exibido clique em Desativar conta.
6. A conta desativada ser marcada com um x, conforme indicado na Figura 4.28:
Figura 4.28 Conta desabilitada.
Outra situao que pode acontecer simplesmente o usurio esquecer a senha da
sua conta. Situao que comum em ambientes de redes com mltiplos diretrios,
o que sinnimo de mltiplas senhas para lembrar, conforme descrito no Captulo
2. Quando o usurio esquece a senha, o administrador pode definir uma nova
senha para a conta do usurio. O administrador deve definir a nova senha, informa-
la ao usurio usando os procedimentos definidos nas polticas de segurana da
empresa e deve configurar a conta do usurio para que seja solicitada a troca da
senha no primeiro logon. Esta ltima opo importante para que o usurio possa
trocar a sua senha, de tal maneira que somente ele saiba a senha de sua conta (e de
preferncia no esquea mais).
Para redefinir a senha de uma conta de usurio, siga os passos indicados a seguir:
1. Faa o logon com uma conta com permisso para alterar contas de usurios
(Administrador ou pertencente ao grupo Account Operators).
Ferramentas Administrativas -> Usurios e computadores do Active Direc-
tory.
3. Clique na opo Users ou acesse a Unidade Organizacional onde est a conta
a ter a senha redefinida (voc aprender sobre Unidades Organizacionais
mais adiante, neste captulo).
4. Clique com o boto direito do mouse na conta a ter a senha redefinida.
5. No menu de opes que exibido clique na opo Redefinir Senha...
6. Ser exibida a janela Redefinir senha. Digite a nova senha duas vezes e marque
a opo O usurio deve alterar a senha no prximo logon, conforme indicado
na Figura 4.29.
7. Clique em OK. A nova senha ser definida e uma mensagem de aviso ser
exibida, informando que a senha foi redefinida com sucesso. Clique em OK
para fechar a janela de aviso.
IMPORTANTE: Desabilitar diferente
de bloquear. Uma conta bloqueada,
automaticamente, quando o usurio
tenta fazer o logon sem sucesso (por
exemplo, digitou a senha
incorretamente), um determinado
nmero de vezes (por padro trs
vezes) dentro de um perodo
determinado (por padro uma hora).
Nesta situao o Active Directory
bloqueia a conta automaticamente. O
administrador pode acessar as
propriedades de uma conta bloqueada,
clicar na guia Conta e desmarcar a
opo A conta est bloqueada, para
desbloquear a conta. Por padro a conta
ser desbloqueada, automaticamente,
dentro de 24 horas, caso o
administrador no a tenha
desbloqueado manualmente.
Figura 4.29 Definindo uma nova senha para a conta do usurio.
Sobre contas de usurios, isso. Voc deve ter notado que existem outras guias na janela de propriedades das contas de
usurio. Estas guias esto relacionadas a servios especficos, tais como Terminal Services e Acesso Remoto via
RRAS. Estas guias sero estudadas quando os respectivos servios forem estudados, em captulos especficos deste
livro. Agora hora de estudarmos, em detalhes, os grupos de usurios.
Grupos de usurios: Conceitos, tipos e utilizao.
Um grupo de usurios uma coleo de contas de usurios. Por exemplo, podemos criar um grupo chamado
Contabilidade, do qual faro parte todos os usurios do departamento de Contabilidade (todas as contas de usurios
dos funcionrios do departamento de Contabilidade).
recursos, tais como: pastas compartilhadas (Captulo 6), impressoras de rede (Captulo 7) e configuraes de acesso a
servios diversos.
permisso de acesso ao recurso, basta incluir o usurio no grupo, pois todos os usurios de um determinado grupo,
herdam as permisses dos grupos aos quais o usurio pertence.
Quando um usurio troca de seo, por exemplo, basta trocar o usurio de grupo.
Vamos supor que o usurio jsilva trabalha na seo de contabilidade e pertence ao
grupo Contabilidade. Com isso ele tem acesso a todos os recursos para os quais o
grupo Contabilidade tem acesso. Ao ser transferido para a seo de Marketing,
basta retirar o usurio jsilva do grupo Contabilidade e adicion-lo ao grupo Mar-
keting. Assim o usurio jsilva deixa de ter as permisses atribudas ao grupo
Contabilidade e passa a ter as mesmas permisses que tem o grupo Marketing.
Este exemplo simples j suficiente para demonstrar o quanto a utilizao de
grupos pode facilitar a atribuio de permisses. No Captulo 6 apresentarei um
estudo completo sobre o uso de grupos para atribuir permisses de acesso a recursos
de diferentes domnios.
IMPORTANTE: O usurio herda as
permisses dos grupos aos quais ele
pertence. Caso ele pertena a mais de
um grupo, as permisses sero
cumulativas, conforme ser detalhado
e exemplificado mais adiante.
restrito de usurios deve ter acesso, sendo que so usurios de diferentes sees (ou at mesmo de diferentes
domnios). A maneira mais simples de definir as permisses de acesso ao sistema SEAT criar um grupo chamado
SEAT (poderia ser um outro nome qualquer, tais como Usurios do SEAT, Permisso ao SEAT, etc) e dar permisses
de acesso a esse grupo. Assim cada usurio que precisar acessar o sistema SEAT, deve ser includo no grupo SEAT.
Quando o usurio no deve mais ter acesso ao sistema SEAT, basta remov-lo do grupo SEAT. Simples, fcil e
muito prtico.
IMPORTANTE: Quando estiver
trabalhando com grupos de usurios,
considere os fatos a seguir.
Contas de computadores podem ser membros de um grupo (novidade do
Windows Server 2003).
Agora vou falar sobre os tipos de grupos existentes no Windows Server 2003. Os
grupos so classificados de acordo com diferentes critrios, tais como: tipo, escopo
e visibilidade.
Podemos ter dois tipos de grupos no Windows Server 2003 : Grupos de segurana ( Security Groups) e Grupos de
distribuio (Distribution Groups).
Grupos de segurana: Normalmente utilizados para atribuir permisses de acesso aos recursos da rede. Por
exemplo, ao criar um grupo Contabilidade (que conter todas as contas dos funcionrios do departamento de
contabilidade) o qual ser utilizado para atribuir permisses de acesso a uma pasta compartilhada, devo criar
este grupo como sendo do tipo Grupo de segurana. Um grupo de segurana tambm pode ser utilizado como
um grupo de distribuio, embora essa no seja uma situao muito comum. Esses grupos, assim coma as
contas de usurios so armazenados no Banco de dados do Active Directory.
Grupos de distribuio: So utilizados para funes no relacionadas com segurana (no relacionadas a
atribuio de permisses) . Normalmente so utilizados em conjunto com servidores de e-mail, tais como o
Exchange Server 2003, para o envio de e-mail para um grupo de usurios. Uma das utilizaes tpicas para um
Grupo de distribuio o envio de mensagens de e-mail para um grupo de usurios de uma s vez. Somente
programas que foram programados para trabalhar com o Active Directory, podero utilizar Grupos de distribuio
(como o caso do Exchange Server 2003 citado anteriormente). Provavelmente as novas verses dos principais
sistemas de correio eletrnico estaro habilitadas para trabalhar com o Active Directory. No possvel utilizar
grupos de distribuio para funes relacionadas com segurana.
Quando o administrador cria um grupo de usurios, ele deve selecionar um tipo
(descrito anteriormente) e um escopo. O Escopo permite que o grupo seja utilizado
de diferentes maneiras para a atribuio de permisses. O escopo de um grupo,
determina em que partes do domnio ou de uma floresta de domnios, o grupo
visvel, ou seja, pode ser utilizado para receber permisses de acesso aos recursos
da rede e quais tipos de objetos (grupos e usurios), podem ser inseridos como
membros do grupo.
Existem trs escopos para grupos de usurios, conforme descrito a seguir: Uni-
versal, Global e Local do domnio. Vamos apresentar as diversas caractersticas e
usos de cada tipo de grupo.
IMPORTANTE: possvel
converter um grupo do tipo
Segurana para distribuio e vice-
versa. Para tal preciso que o
domnio esteja, pelo menos, no
modo Windows 2000 Nativo. Para
domnios que ainda estejam no
modo Windows 2000 Mixed, esta
converso no ser possvel.
Como o prprio nome sugere so grupos que podem ser utilizados em qualquer parte de um domnio ou da rvore de
domnios e podem conter como membros, grupos e usurios de quaisquer domnios. Em resumo:
Pode ser membro de: Grupos locais de qualquer domnio ou grupos universais de qualquer domnio.
Quando o nvel de funcionalidade do Domnio est configurado como
Windows 2000 Nativo ou Windows Server 2003, os seguintes elementos
podem ser includos como membros de um grupo universal: Usurios,
Windows 2000 Misto, no possvel criar grupos Universais.
Windows 2000 Nativo ou Windows Server 2003, um grupo Universal
pode ser colocado como membro de um outro grupo Universal e
permisses podem ser atribudas em qualquer domnio.
Um grupo pode ser convertido de Universal para Global ou de Universal
para Local do domnio. Nos dois casos esta converso somente pode ser
feita se o grupo Universal no tiver como um de seus membros, outro
grupo Universal. No esquea deste detalhe.
IMPORTANTE: Conforme detalhado
anteriormente, um domnio baseado no
Active Directory pode estar em
diferentes modos de funcionalidade
(Windows 2000 Nativo, Misto ou Win-
dows Server 2003). Para cada modo
existem diferentes possibilidades em
relao aos grupos Universais.
Quando devem ser utilizados grupos universais:
Quando voc deseja consolidar diversos grupos globais. Voc pode fazer isso criando um grupo Universal e adicionando
os diversos grupos globais como membros do grupo Universal.
Grupo global:
Um grupo Global global quanto aos locais onde ele pode receber permisses
de acesso, ou seja, um grupo Global pode receber permisses de acesso em recursos
(pastas compartilhadas, impressoras, etc) de qualquer domnio. Em resumo,
considere as afirmaes a seguir:
Pode conter: Contas de usurios e grupos globais do mesmo domnio, ou
seja, somente pode conter membros do domnio no qual o grupo criado.
Pode ser membro de: Grupos universais e Grupos locais, de qualquer domnio.
IMPORTANTE: Os grupos Universais
devem ser muito bem planejados. No
devem ser feitas alteraes freqentes
nos membros de um grupo Universal,
uma vez que este tipo de ao causa
um volume elevado de replicao no
Active Directory.
Conforme detalhado anteriormente, um domnio baseado no Active Directory pode estar em diferentes modos (Win-
grupos Globais:
de usurios do prprio domnio que podem ser membros de um grupo Global. Por exemplo, se voc cria um
grupo global chamado WebUsers, no domnio abc.com.br e este domnio est no modo Misto, ento somente
contas de usurios do domnio abc.com.br que podero ser membros do grupo WebUsers.
nenhum outro grupo Global.. No esquea deste detalhe.
Quando devem ser utilizados grupos Globais:
replicadas somente dentro do domnio onde foi criado o grupo Global e no atravs de toda a rvore de domnios (que
o que acontece com os grupos Universais. Por isso que no devemos fazer modificaes, constantemente, nos
grupos Universais). Com isso o volume de replicao reduzido, o que permite a utilizao de grupos Globais para a
administrao de objetos que mudam freqentemente.
Grupos locais do Domnio(Domain local group):
Somente pode receber permisses para recursos em servidores do domnio no qual o grupo foi criado.
Conforme detalhado anteriormente, um domnio baseado no Active Directory pode estar em diferentes modos (Win-
grupos Globais:
outro grupo Local. No esquea deste detalhe.
Quando devem ser utilizados grupos Locais:
Os grupos Locais so utilizados para atribuir permisses de acesso aos recursos da rede. Conforme discutirei,
em detalhes, no Captulo 6, a Microsoft recomenda uma estratgia baseada nos seguintes passos, resumidos pela
sigla AGLP:
Criar as contas de usurios (A = Accounts).
Adicionar as contas de usurios a grupos Globais, confere com o que foi dito anteriormente, onde falei que os
grupos Globais so utilizados para gerenciar os objetos do dia-a-dia, tais como contas de usurios (G= Global).
Adicione os grupos globais ou Universais (se for o caso) como membros dos grupos Locais (L = Local).
Atribua permisses de acesso para os grupos Locais (P = Permissions).
Bem, feitas as apresentaes tericas sobre grupos, agora voc aprender a executar
as operaes bsicas com grupos, tais como criar um novo grupo, adicionar
usurios, remover usurios do grupo, renomear grupos, excluir grupos e con-
verter um grupo de um tipo para outro.
IMPORTANTE: Lembre da dica
AGLP Accounts -> Global Groups
-> Local Groups -> Permissions.
Aes prticas com grupos de usurios.
Neste item voc aprender sobre os chamados Built-in Groups (Grupos Built-in), que so os grupos criados
automaticamente pelo Active Directory quando o domnio criado. Tambm aprender a executar uma srie de aes
prticas, relacionadas com grupos.
Built-in Groups.
Quando um domnio criado (com a instalao do Active Directory no primeiro DC do domnio), uma srie de grupos
so criados. Estes grupos podem ser acessados usando o console Usurios e computadores do Active Directory. Na
opo Builtin so exibidos os grupos locais do domnio, criados automaticamente durante a criao do domnio,
Figura 4.31 Grupos locais do domnio, criados automaticemente.
Outros grupos tambm so criados automaticamente. Estes grupos ficam na opo Users. Nesta opo so criados
grupos Locais, Globais e universais, conforme indicado na Figura 4.32:
Figura 4.32 Grupos locais, globais e universais, criados automaticemente na opo Users.
A seguir descrevo os diversos grupos que so criados automaticamente pelo Active Directory, os chamados Built-in
groups.
Grupos locais criados na opo Builtin:
Account Operators (Opers. de conta): Membros deste grupo podem criar, modificar e excluir contas de usurios,
grupos e computadores localizadas nas opes Users e Computers e tambm localizadas em Unidades
organizacionais do domnio. A exceo so as contas de DCs localizadas na opo Domain Controllers, para
as quais somente membros do grupo Administradores tem permisso. Membros do grupo Account Operators
no podero modificar a conta Administrator (Administrador) e nem o grupos Domain Admins (Adminis. do
Domnio). Tambm no tem permisso para modificar as contas que pertencem ao grupo Domain Admins.
Observe que o objetivo impedir que membros deste grupo possam se incluir no grupo Adminis. ou modificar
uma conta que j est neste grupo (por exemplo alterando a senha de uma destas contas), para poder fazer o
logon com permisso de administrador. Os membros deste grupo podem fazer o logon local nos DCs do
domnio e tambm tem permisso para desligar estes servidores. Membros deste grupo tem um nvel de
permisso elevado, principalmente pelo fato de poder alterar contas de usurios, por isso a administrador deve
ter cuidado ao adicionar membros a este grupo. Por padro os membros deste grupo tambm tem os seguintes
direitos de usurio: Allow log on locally; Shut down the system.
Administrators (Administradores): Podem tudo dentro do domnio.
Membros deste grupo tem controle e permisso total, em todos os DCs
do domnio. Por padro, o grupo Domain Admins (Adminis. do Domnio)
e o grupo Enterprise Admins (maravilhosamente traduzido como
Administradores de empresa), so membros do grupo local Administrators.
A conta Administrator (Administrador) tambm membro deste grupo,
por padro. Por padro os membros deste grupo tambm tem os seguintes
direitos de usurio: Access this computer from the network; Adjust memory
quotas for a process; Back up files and directories; Bypass traverse
checking; Change the system time; Create a pagefile; Debug programs;
Enable computer and user accounts to be trusted for delegation; Force a
shutdown from a remote system; Increase scheduling priority; Load and
unload device drivers; Allow log on locally; Manage auditing and security
log; Modify firmware environment values; Profile single process; Profile
system performance; Remove computer from docking station; Restore
files and directories; Shut down the system; Take ownership of files or
other objects. Como os membros deste grupo tem controle total em todos
os DCs do domnio, seja cuidadoso e somente adicione novos membros a
este grupo quando realmente for necessrio.
IMPORTANTE: Os direitos de
usurios so uma srie especial de
permisses (tais como fazer o
l ogon l ocal mente, desl i gar o
servidor, incluir um computador no
domnio e assim por diante), as
quais so atribudas a grupos e
usurios. O administrador pode
atribuir diferentes direitos para
grupos e usurios.
Backup Operators (Operadores de Cpia): Os membros deste grupo podem fazer o backup de pastas e arquivos,
mesmo que no tenham permisso de acesso (permisses NTFS Captulo 6) as pastas e arquivos. Isso
permite que a administrao das cpias de segurana (backup) seja realizada centralizadamente, sem que
tenha que ser atribuda permisso de acesso para o administrador do backup, em todos os recursos que fazem
parte do backup. Por padro este grupo no tem nenhum membro. O administrador dever adicionar membros
a este grupo. Por padro os membros deste grupo tambm tem os seguintes direitos de usurio: Back up files
and directories; Allow log on locally; Restore files and directories; Shut down the system
Guests (Convidados): Por padro, o grupo Domain Guests (Convidados do Domnio) e a conta Guest
(Convidado) so membros deste grupo. Por padro nenhum direito de usurio atribudo a este grupo.
Incoming Forest Trust Builders (Criadores de confiana de floresta de entrada): Membros deste grupo tem
permisso para criar relaes de confiana one-way (unilateral) com domnio root de outras florestas. Por
exemplo, membros deste grupo, pertencente a um domnio da floresta A, podem criar uma relao de confiana
one-way (unilateral) com um domnio pertencente a uma floresta X, de tal maneira que as contas do domnio
na floresta A, podem receber permisses de acesso aos recursos do domnio na floresta X, ou seja, o domnio
na floresta X, passou a confiar nas contas do domnio da floresta A. Este grupo, por padro, no tem nenhum
membro e tambm no tem nenhum direito de usurio atribudo ao grupo.
Network Configuration Operators (Operadores de Configuraes de Rede): Membros deste grupo podem
fazer alteraes nas configuraes do TCP/IP nos DCs do domnio e tambm podem usar o comando ipconfig/
renew e o comando ipconfig/release. Por padro este grupo no tem nenhum membro e nenhum direito de
usurio atribudo a este grupo.
Performance Monitor Users (Usurios do monitor de Desempenho): Membros deste grupo tem permisso
para usar o Console de Desempenho para monitorar os contadores de desempenho dos DCs, tanto localmente
quanto a partir de uma estao de trabalho da rede. Estas permisses, por padro, so atribudas a este grupo
e aos grupos Administrators (Administradores) e Performance Log Users (Usurios dos log de desempenho).
Por padro este grupo no tem nenhum membro e nenhum direito de usurio atribudo a este grupo.
Performance Log Users (Usurios dos log de desempenho): Membros deste grupo tem permisso para usar o
Console de Desempenho para monitorar os contadores e logs de desempenho, bem como alertas de desempenho
nos DCs, tanto localmente quanto a partir de uma estao de trabalho da rede. Estas permisses, por padro,
so atribudas a este grupo e aos grupos Administrators (Administradores) e Performance Log Users (Usurios
de log de desempenho). Por padro este grupo no tem nenhum membro e nenhum direito de usurio
atribudo a este grupo.
Pre-Windows 2000 Compatible Access (Acesso compatvel com verses anteriores ao Windows 2000): Membros
deste grupo tem permisso de acesso de leitura (Read) em todos os objetos do tipo usurios e grupos do
domnio. Este grupo disponibilizado por questes de compatibilidade com estaes de trabalho rodando o
Windows NT 4.0 ou verso anterior. Por padro, o objeto Everyone (Todos) membro deste grupo. Somente
adicione usurios a este grupo, se eles estiverem utilizando uma estao de trabalho com o NT 4.0 ou verso
anterior. Por padro os membros deste grupo tambm tem os seguintes direitos de usurio: Access this computer
from the network; Bypass traverse checking.
Print Operators (Operas. de Impresso): Membros deste grupo tem permisso para gerenciar, criar, compartilhar
e excluir impressoras conectadas em DCs do domnio. Eles tambm tem permisso para gerenciar impressoras
que foram publicadas no Active Directory (No Captulo 7 voc aprender a publicar e a pesquisar impressoras
no Active Directory). Os membros deste grupo tambm tem permisso para fazer o logon localmente e para
desligar os DCs do domnio. Por padro este grupo no tem nenhum membro. Por padro os membros deste
grupo tambm tem os seguintes direitos de usurio: Allow log on locally; Shut down the system..
Remote Desktop (Usurios da rea de trabalho remota): Membros deste grupo tem permisso para fazer o
logon remotamente nos DCs do domnio. a mesma funcionalidade de desktop remoto, introduzida inicialmente
no Windows XP. Voc aprender a utilizar esta funcionalidade no Captulo 12. Por padro este grupo no tem
nenhum membro e nenhum direito de usurio atribudo a este grupo.
Replicator (Duplicadores): Este grupo d suporte as funcionalidades de replicao do Active Directory e
utilizado pelo servio de replicao de arquivos que roda nos DCs do domnio. No adicione usurios a este
grupo. Por padro este grupo no tem nenhum membro e nenhum direito de usurio atribudo a este grupo.
Server Operators (Opers. De Servidores): Os membros deste grupo podem realizar uma srie de operaes
nos DCs do domnio, tais como: logar localmente, criar e deletar compartilhamentos, inicializar e parar servios,
fazer o backup e o restore de arquivos, formatar um disco rgido e desligar o servidor. Por padro este grupo
no tem nenhum membro. Por padro os membros deste grupo tambm tem os seguintes direitos de usurio:
Back up files and directories; Change the system time; Force shutdown from a remote system; Allow log on
locally; Restore files and directories; Shut down the system.
Users (Usurios): Os membros deste grupo tem permisso para executar as tarefas mais comuns do dia-a-dia,
tais como: executar programas,usar impressoras locais e da rede e bloquear o servidor. Por padro os seguintes
grupos so membros deste grupo: Domain Users (Usurios do domnio), Authenticated Users (Usurios
autenticados) e Interactive (Interativo este um grupo especial interno do Windows Server 2003, o qual no
exibido no console Active Directory Users and Computers). Com isso qualquer conta do domnio far parte
deste grupo. Por padro nenhum direito de usurio atribudo a este grupo.
A seguir descrevo os grupos que so criados, automaticamente, na opo Users. Nesta opo so criados grupos
locais, globais e universais, dependendo do modo de funcionalidade do domnio.
Grupos criados na opo Users:
Cert Publishers (Editores de certificados): Grupo local. Membros deste grupo tem permisses para publicar
certificados para contas de usurios e computadores. Por padro este grupo no tem nenhum membro e nenhum
direito de usurio atribudo ao grupo.
DnsAdmins (em Portugus o nome do grupo tambm DnsAdmins): Grupo local. Este grupo somente
criado quando o DNS instalado no servidor. Membros deste grupo tem acesso administrativo ao servidor
DNS, ou seja, podem executar quaisquer aes nas configuraes do servidor DNS. Por padro este grupo no
tem nenhum membro e nenhum direito de usurio atribudo ao grupo.
DnsUpdateProxy (em Portugus o nome tambm DnsUpdateProxy): Grupo global. Este grupo somente
criado quando o DNS instalado no servidor. Membros deste grupo so clientes DNS que podem fazer
atualizaes dinmicas em nome de outros clientes, como por exemplo um servidor DHCP. Por padro este
grupo no tem nenhum membro e nenhum direito de usurio atribudo ao grupo.
Domain Admins (Admins. do domnio): Grupo global. Membros deste grupo
tem controle total nos recursos do domnio. Por padro, este grupo membro
do grupo local Administrators (Administradores) em todos os DCs, em todas
as estaes de trabalho e em todos os member servers do domnio. Esta
incluso feita, automaticamente, quando a estao de trabalho ou o mem-
ber server configurado para fazer parte do domnio. Por padro a conta
Administrator (Administrador) faz parte deste grupo. Tenha cuidado ao
incluir uma nova conta neste grupo, pois voc dar poderes totais a esta
conta. Por padro os membros deste grupo tambm tem os seguintes direitos
de usurio: Access this computer from the network; Adjust memory quotas
for a process; Back up files and directories: Bypass traverse checking;
Change the system time; Create a pagefile; Debug programs; Enable
computer and user accounts to be trusted for delegation; Force a shutdown
from a remote system; Increase scheduling priority; Load and unload device
drivers; Allow log on locally; Manage auditing and security log; Modify
firmware environment values; Profile single process; Profile system
performance; Remove computer from docking station; Restore files and
directories; Shut down the system; Take ownership of files or other objects.
NOTA: No Captulo 16, do livro
Completo, 1568 pginas, quando
voc estudar o DNS e o DHCP em
detalhes, voc encontra uma
descrio detalhada desta interao
entre o DNS e o DHCP.
Domain Computers (Computadores do domnio): Grupo Global. Este grupo contm as contas de todas as estaes
de trabalho e servidores (member servers) que fazem parte do domnio. Por padro, qualquer conta de computador
criada no domnio, far parte deste grupo. Por padro nenhum direito de usurio atribudo ao grupo.
Domain Controllers (Controladores de domnio): Grupo Global. Este grupo contm as contas de todos os DCs
do domnio. Por padro nenhum direito de usurio atribudo ao grupo.
Domain Guests (Convidados domnio): Grupo Global. Este grupo contm a conta Convidado como seu nico
membro. Por padro nenhum direito de usurio atribudo ao grupo.
Domain Users (Usurios do domnio): Grupo Global. Este grupo contm todos os usurios do domnio. Quando
uma nova conta de usurio criada, ela automaticamente adicionada a este grupo. Este grupo pode ser
utilizado para representar todos os usurios do domnio. Por exemplo, se voc quer que todos os usurios do
domnio tenham acesso de leitura aos arquivos de uma pasta compartilhada, basta dar permisso de leitura
para este grupo. Por padro nenhum direito de usurio atribudo ao grupo.
Enterprise Admins (Administrao de empresa este grupo somente exibido no domnio root de uma rvore de
domnios): Grupo Universal se o modo de funcionalidade do domnio aceita grupos Universais, caso contrrio
ser um grupo Global. Membros deste grupo tem controle total em todos os domnios de uma floresta. Por
padro este grupo membro do grupo Administrators (Administradores) em todos os DCs da floresta. Por padro
a conta Administrator (Administrador) membro deste grupo. Existem determinadas operaes que somente
podem ser realizadas por membros deste grupo, como por exemplo autorizar um servidor DHCP no Active
Directory (no esquea deste importante detalhe). Por padro, os membros deste grupo tambm tem os seguintes
direitos de usurio: Access this computer from the network; Adjust memory quotas for a process; Back up files
and directories; Bypass traverse checking; Change the system time; Create a pagefile; Debug programs; Enable
computer and user accounts to be trusted for delegation; Force shutdown from a remote system; Increase sched-
uling priority; Load and unload device drivers; Allow log on locally; Manage auditing and security log; Modify
firmware environment values; Profile single process; Profile system performance; Remove computer from docking
station; Restore files and directories; Shut down the system; Take ownership of files or other objects.
Group Policy Creator Owners (Proprietrios criadores de diretiva de grupo): Grupo global. Membros deste
grupo podem modificar as polticas de segurana (GPOs) do domnio. Por padro a conta Administrator
(Administrador) membro deste grupo. . Por padro nenhum direito de usurio atribudo ao grupo.
IIS_WPG (somente est disponvel quando o IIS instalado no servidor. Para detalhes sobre o IIS consulte o
Captulo 13): Este grupo representa o processo de execuo do IIS 6.0. Por padro no tem nenhum membro
e nenhum direito de usurio atribudo a este grupo.
RAS and IAS Servers: Servidores que so membros deste grupo tem permisso para acessar as propriedades
de acesso remoto dos usurios. Por padro nenhum direito atribudo a este grupo.
Schema Admins (Administradores de esquemas somente exibido no domnio root): Membros deste grupo
podem modificar o esquema do Active Directory. Conforme vimos no Captulo 2, o esquema a definio da
estrutura de dados do Active Directory. Por padro a conta Administrator (Administrador) membro deste
grupo. Muito cuidado ao adicionar contas a este grupo, pois modificao indevidas no esquema podem causar
verdadeiros desastres em todos os domnios da sua rede. Por padro nenhum direito atribudo a este grupo.
Bem, isso encerra a apresentao dos chamados Built-in grupos, ou seja, grupos criados automaticamente no Active Directory.
Criando novos grupos e adicionando novos membros a um grupo.
Neste item voc acompanhar um exemplo prtico, onde ser criado um grupo chamado GrupoTeste e sero adicionadas
algumas contas de usurios como membros deste grupo. O grupo GrupoTeste ser um grupo Global.
Exemplo: Como criar um grupo e adicionar membros ao grupo:
1. Faa o logon com uma conta com permisso para alterar contas de usurios (Administrador ou pertencente ao
grupo Opers. de contas).
3. Clique na opo Users ou acesse a Unidade Organizacional na qual voc deseja criar o novo grupo (voc aprender
4. Para criar um novo grupo voc pode utilizar uma das seguintes opes:
Clicar com o boto direito do mouse em Users e no menu que exibido clicar em Novo -> Grupo.
Selecionar o comando Ao -> Novo -> Grupo.
Clicar no boto Novo grupo, indicado na Figura 4.33:
Figura 4.33 O boto Novo grupo.
5. Ser aberta a janela Novo Objeto Grupo. No campo Nome do grupo, voc digita o nome do grupo. A medida
que voc digita o nome do grupo, o campo Nome do grupo (anterior ao Windows 2000) preenchido
automaticamente. Se for necessrio voc pode alterar este campo manualmente. Na parte de baixo da janela voc
define o escopo do grupo (Domnio local, Global ou Universal) e o tipo do grupo (Segurana ou Distribuio).
Marque o escopo Global e o tipo Segurana, conforme indicado na Figura 4.34:
Figura 4.34 Criando um grupo de segurana com escopo global.
IMPORTANTE: Se a opo Universal
estiver desabilitada, significa que o
domnio ainda est no modo de
funcionalidade misto, no qual no so
permitidos grupos Universais,
conforme descrito anteriormente.
6. Clique em OK e pronto, o novo grupo ser criado j ser exibido na listagem
de grupos, conforme destacado na figura 4.35.
Figura 4.35 O grupo global GrupoTeste, recm criado.
Agora voc ir adicionar usurios ao grupo GrupoTeste e aprender a configurar outras propriedades do grupo.
7. D um clique duplo no grupo GrupoTeste para exibir as propriedades do grupo.
8. Na guia Geral voc pode inserir uma descrio, uma e-mail de contato do responsvel pela administrao do
grupo. Voc tambm pode alterar o tipo e o escopo do grupo e inserir comentrios sobre o grupo, conforme
exemplo ilustrado na Figura 4.36:
Figura 4.36 Definindo propriedades gerais do grupo.
9. D um clique na guia Membros. Obseve que, por padro, esta guia est vazia, ou seja, nenhum usurio ou grupo
pertence ainda ao grupo GrupoTeste.
10. Para adicionar membros ao grupo d um clique no boto Adicionar...
11. Ser exibida a janela Selecione Usurios, Contatos, Computadores ou Grupos. Voc pode utilizar o boto
Tipos de objeto, para limitar os tipos de objetos que sero exibidos na listagem de objetos, conforme indicado
na Figura 4.37:
Figura 4.37 Selecionando os tipos de objetos a serem listados.
12. Voc utiliza o objeto Locais para selecionar o domnio onde esto as contas de usurios e grupos que sero
adicionados como membros do grupo GrupoTeste. Por exemplo, voc pode adicionar como membros de um
grupo local ou universal, usurios e grupos de outros domnios.
13. Se voc souber o nome de logon dos usurios que faro parte do grupo, voc poder digita-los diretamente no
campo Digite os nomes de objeto a serem selecionados, separando-os por ponto-e-vrgula, conforme exemplo da
figura 4.38.
Figura 4.38 Digitando o nome dos membros do grupo, separando-os por ponto-e-vrgula.
14. Porm pouco provvel que voc saiba de cor o nome de todos os usurios e grupos da sua rede (imagine uma
rede com milhares de usurios e dezenas de grupos). Para exibir uma listagem das contas do domnio clique no
boto Avanado... A janela ser expandida e ser exibido um formulrio para pesquisa no Active Directory. Neste
formulrio voc pode definir vrios critrios de pesquisa, conforme mostrarei na parte final deste captulo. Neste
momento nos interessa exibir a lista completa de objetos, para selecionar os que queremos adicionar como membros
do grupo. Para exibir todos os objetos basta clicar no boto Localizar agora. Como no definimos nenhum critrio
de pesquisa, todos os objetos sero exibidos, conforme indicado na Figura 4.39:
Figura 4.39 Exibindo todos os objetos do domnio abc.com.
15. Agora voc deve selecionar os usurios e grupos que sero includos como membro do grupo GrupoTeste. Para
selecionar objetos nesta janela como selecionar arquivos no Windows Explorer. Para selecionar vrios objetos,
intercaladamente, pressione a tecla Ctrl, mantenha-a pressionada e v clicando nos objetos a serem selecionados.
Para selecionar vrios objetos em seqncia, clique no primeiro objeto a ser selecionado, libero o boto do mouse,
pressiona a tecla Shift e mantenha-a pressionada e clique no ltimo objeto da lista. Com isso todos, desde o
primeiro at o ltimo sero selecionados. Utilize uma destas tcnicas para selecionar os objetos (usurios, grupos,
computadores, etc), que faro parte do grupo GrupoTeste. No exemplo da Figura 4.40 selecionei cinco usurios
(Usurio 01, Usurio 02 , Usurio 03. Usurio 04, e Usurio 05).
Figura 4.40 Selecionando usurios que faro parte do grupo.
16. Aps ter selecionado os objetos que sero includos como membros do grupo, clique em OK.
17. Voc estar de volta janela Selecionar Usurios, Contatos, Computadores ou Grupos, com os objetos selecionados
j listados. Observe que listado o nome por extenso do objeto e, entre parnteses o nome de logon mais o
domnio, conforme indicado na Figura 4.41. Por exemplo Usurio 01 o nome por extenso, user01 o nome de
logon e user01@abc.com o nome completo, incluindo j o domnio.
Figura 4.41 Listagem dos objetos selecionados.
18. Clique em OK e pronto, voc estar de volta a janela de propriedades do grupo, com os objetos selecionados j
listados como membros do grupo, conforme indicado na Figura 4.42.
19. Clique na guia Membro de. Nesta guia so listados em quais grupos o grupo GrupoTeste foi inserido como
membro. Em outras palavras, lista a quais grupos pertence o grupo GrupoTeste.
20. Clique na guia Gerenciado por. Neste guia voc pode clicar no boto Alterar..., para selecionar quem o usurio
responsvel pelo grupo. Ao clicar no boto Alterar, ser aberta a janela Selecionar Usurios, Contatos, Computadores
ou Grupos, para que voc selecione um usurio responsvel pelo grupo.
21. Clique em OK e pronto, o grupo foi configurado e novos usurios foram adicionados como membros do grupo.
A partir de agora mostrarei como executar outras operaes com grupos de usurios, tais como renomear, excluir
membros do grupo, alterar o escopo do grupo e excluir um grupo.
Figura 4.42 Objetos selecionados j inseridos como membros do grupo.
Para Renomear um grupo siga os passos indicados a seguir:
1. Faa o logon com uma conta com permisso para alterar contas de usurios e grupos (Administrador ou pertencente
ao grupo Opers. de contas).
3. Clique na opo Users ou acesse a Unidade Organizacional onde est o grupo a ser renomeado (voc aprender
4. Clique com o boto direito do mouse no grupo a ser renomeado.
5. No menu que exibido clique em Renomear. O nome atual ser selecionado. Digite o novo nome e pressione
Enter. Ser exibida a janela Renomaer grupo, para que voc possa alterar tambm o nome Pr Windows 2000,
Figura 4.43 Alterando o nome Pr Windows 2000 do grupo.
6. Altere o nome Pr Windows 2000 para que fique igual ao nome do grupo e clique em OK. Pronto, o grupo foi
renomeado.
Para Excluir um grupo siga os passos indicados a seguir:
3. Clique na opo Users ou acesse a Unidade Organizacional onde est o grupo a ser excludo (voc aprender
4. Clique com o boto direito do mouse no grupo a ser excludo.
6. O Windows Server 2003 exibe uma mensagem pedindo confirmao, conforme indicado na Figura 4.44:
Figura 4.44 Confirmando a excluso do grupo.
7. Clique em Sim para confirmar a excluso.
Para excluir membros de um grupo siga os passos indicados a seguir:
3. Clique na opo Users ou acesse a Unidade Organizacional onde est o grupo a ser excludo (voc aprender
4. D um clique duplo no grupo a ser alterado para exibir a janela de propriedades do grupo.
5. Clique na guia Membros. A lista de membros do grupo ser exibida.
6. Clique no membro a ser excludo do grupo, para seleciona-lo, depois clique no boto Remover.
7. O Windows Server 2003 exibe uma mensagem pedindo que voc confirme a excluso. Clique em Sim e pronto,
o objeto selecionado ser removido do grupo. Repita a operao para os demais objetos que voc deseja remover
do grupo. Voc pode remover vrios objetos de uma s vez. Para isso basta selecionar os vrios objetos a serem
removidos, usando as teclas Shift ou Ctrl, conforme descrito anteriormente.
Para alterar o tipo ou o escopo de um grupo, siga os passos indicados a seguir:
3. Clique na opo Users ou acesse a Unidade Organizacional onde est o grupo
a ser excludo (voc aprender sobre Unidades Organizacionais mais adiante,
neste captulo).
4. D um clique duplo no grupo a ser alterado para exibir a janela de
propriedades do grupo.
5. A guia Geral vem selecionada por padro. Caso esta guia no esteja sendo
exibida, d um clique na guia Geral para exibi-la.
6. Para alterar o escopo do grupo clique em uma das opes de escopo
disponveis. Para alterar o tipo do grupo clique em uma das opes de
grupo disponveis.
IMPORTANTE: Ao remover uma
conta de usurio de um grupo, a
conta apenas deixa de ser membro
do grupo, a conta no ser excluda
Fundamentos em: Conceito e utilizao de
Unidades Organizacionais.
Voc pode dividir um Domnio em Unidades Organizacionais. Uma Unidade
Organizacional uma diviso que pode ser utilizada para organizar os objetos de
um determinado domnio em agrupamentos lgicos (tais como por regio, cidade,
por funo ou por outro critrio qualquer) para efeitos de administrao.
O uso de Unidades Organizacionais resolve uma srie de problemas que
existiam em redes baseadas no NT Server 4.0. No Windows NT Server 4.0 se
um usurio fosse adicionado ao grupo Admins. do Domnio (grupo com
poderes totais sobre qualquer recurso do domnio), ele poderia executar
qualquer ao em qualquer servidor do domnio. Com a utilizao de Unidades
Organizacionais, possvel restringir os direitos administrativos apenas a nvel
da Unidade Organizacional, sem que com isso o usurio tenha poderes sobre
todos os demais objetos do Domnio.
IMPORTANTE: O tipo do grupo
no poder ser alterado se o nvel
de funcionalidade do domnio
estiver configurado como Windows
2000 Mixed Mode.
domnios, isto , os diversos domnios que formam uma rvore de domnios, no precisam ter a mesma estrutura
hierrquica de unidades organizacionais. Isto d uma flexibilidade muito grande, para que o administrador de cada
domnio utilize a estrutura de Unidades Organizacionais que for mais adequada.
No exemplo da Figura 4.45, o domnio vendas.microsoft.com, poderia ter uma estrutura hierrquica de Unidades
Organizacionais, projetada para atender as necessidades do domnio vendas. Essa estrutura poderia ser
completamente diferente da estrutura do domnio suporte.microsoft.com, a qual ser projetada para atender as
necessidades do domnio suporte. Com isso tem-se uma flexibilidade bastante grande, de tal forma que a rvore
de domnios e a organizao dos domnios em uma hierarquia de Unidades Organizacionais, possa atender
perfeitamente as necessidades de cada diviso da empresa, necessidades estas que podem ser diferentes de uma
diviso para outra. A utilizao de Unidades Organizacionais no obrigatria, porm altamente
recomendada,conforme mostrarei em alguns exemplos mais adiante.
Figura 4.45 Diferentes domnios podem ter diferentes divises em Unidades Organizacionais.
Voc quiser representar a estrutura e organizao (estrutura geogrfica ou funcional) da sua companhia em
um domnio. Sem a utilizao de Unidades Organizacionais, todas as contas de usurios so mantidas e exibidas
em uma nica lista (na opo Users), independente da localizao, departamento ou funo do usurio.
Com a apresentao destes conceitos, voc j est habilitado a aprender as aes prticas de criao de unidades
organizacionais e como mover ou criar objetos em uma unidade organizacional.
Aes prticas com Unidades Organizacionais (OUs).
Neste item voc aprender a realizar aes prticas com OUs. Primeiro voc aprender a criar uma nova OU. Conforme
mostrarei neste item possvel criar uma OU dentro de outra e assim por diante, como voc faz com pastas e subpastas.
Porm no recomendado mais do que quatro nveis de OUs, por questes de desempenho e de replicao do Active
Directory. Aps criada uma OU, voc pode criar novos objetos dentro desta OU, ou mover objetos de outras OUs ou
containers (tais como Users, Builtin e assim por diante) para a nova OU. Voc tambm pode excluir OUs. Ao excluir
uma OU voc deve tomar cuidado, pois todos os objetos que esto dentro da OU a ser excluda, tambm sero excludos.
Como criar uma nova OU. Para o exemplo prtico a seguir, vou criar a estrutura de OUs indicada na Figura 4.46:
Figura 4.46 Criando uma estrutura de OUs.
Para criar as OUs indicadas na Figura 4.46, siga os passos indicados a seguir:
3. Clique com o boto direito do mouse no domnio no qual voc quer criar a nova OU.
4. No menu de opes que exibido clique em Novo -> Unidade organizacional).
5. Ser exibida a janela Novo Objeto Unidade organizacional, solicitando que voc digite o nome da nova OU que
ser criada.
6. Digite Regio Sul, conforme indicado na Figura 4.47 e clique em OK.
Figura 4.47 Informando o nome da nova OU.
7. Observe que a OU Regio Sul j exibida no painel da esquerda do console Active Directory Users and Comput-
ers. Agora hora de criar as demais OUs do exemplo proposto, as quais sero criadas dentro da OU Regio Sul.
8. Clique com o boto direito do mouse na OU Regio Sul. No menu de opes que exibido clique em Novo ->
Unidade organizacional. Ser exibida a janela Novo Objeto Unidade organizacional, solicitando que voc digite
o nome da nova OU que ser criada. Digite Paran e clique em OK. Pronto, a OU Paran foi criada dentro da OU
Regio Sul.
9. Clique com o boto direito do mouse na OU Regio Sul. No menu de opes
que exibido clique em Novo -> Unidade organizacional. Ser exibida a
janela Novo Objeto Unidade organizacional, solicitando que voc digite o
nome da nova OU que ser criada. Digite Santa Catarina e clique em OK.
Pronto, a OU Santa Catarina foi criada dentro da OU Regio Sul.
10. Clique com o boto direito do mouse na OU Regio Sul. No menu de opes
que exibido clique em Novo -> Unidade organizacional. Ser exibida a
janela Novo Objeto Unidade organizacional, solicitando que voc digite o
nome da nova OU que ser criada. Digite Rio Grande do Sul e clique em OK.
Pronto, a OU Rio Grande do Sul foi criada dentro da OU Regio Sul.
11. Muito bem, a estrutura de OUs propostas na Figura 4.46 foi criada. Agora
voc pode criar contas de usurios, comutadores e grupos dentro destas OUs.
Os procedimentos para criar um novo usurio ou grupo dentro de uma OU,
so exatamente os mesmos descritos anteriormente, onde voc criou um
usurio dentro da opo Users.
Para mover um ou mais objetos para dentro de uma OU, siga os passos indicados
a seguir:
1. Faa o logon com uma conta com permisso para alterar contas de usurios e
grupos (Administrador ou pertencente ao grupo Opers. de contas).
2. Abra o console Usurios e computadores do Active Directory: Iniciar -
> Ferramentas Administrativas -> Usurios e computadores do Active
Directory.
3. Clique na opo Users ou na Unidade Organizacional onde est o objeto a
ser movido.
4. Clique com o boto direito do mouse no objeto a ser movido.
5. No menu de opes que exibido clique em Mover...
6. Ser exibida a janela Mover, com a lista de OUs disponveis. Acesse a OU de
destino, conforme exemplo da Figura 4.48.
7. Clique em OK. Pronto, o objeto (ou os objetos) selecionado no item 4 ser movido
para a OU selecionada no passo 6, conforme confirmado pela Figura 4.49.
IMPORTANTE: Agora voc aprender
como mover um usurio ou grupo j
existente para dentro de uma OU. Aqui
temos mais uma novidade do Windows
Server 2003. No console Usurios e
Computadores do Active Directory, do
Windows Server 2003, voc pode
arrastar um objeto de uma OU para
outra, o que no era possvel no Win-
dows 2000 Server. o mesmo
procedimento de arrastar arquivos e
pastas usando o Windows Explorer. Alis
voc j deve ter notado que a maioria
dos consoles de administrao do Win-
dows Server 2003 so muito parecidos,
em termos de interface e funcionalidade,
com o Windows Explorer. Vou apresentar
um exemplo prtico de como mover
objetos para uma OU.
DICA: Voc pode mover vrios
objetos de uma nica vez. Para isso
basta selecionar os vrios objetos a
serem movidos, usando as teclas
Shift ou Ctrl, em combinao com o
mouse, conforme descrito
anteriormente.
Figura 4.48 Selecionando a OU de destino.
Figura 4.49 O objeto foi movido para a OU selecionada.
A seguir mostrarei os passos para renomear um OU e para excluir uma OU. importante reforar o aviso de que, ao
excluir uma OU, voc tambm excluir todos os objetos que esto dentro da OU. Por exemplo, ao excluir a OU Regio
Sul, criada anteriormente, sero excludos todos os objetos dentro desta OU, inclusive as OUs Paran, Santa Catarina,
Rio Grande do Sul e os seus respectivos objetos. o mesmo procedimento que acontece quando voc exclui uma pasta
do HD. Todos os arquivos e subpastas, dentro da pasta a ser excluda, sero tambm excludos.
Para Renomear uma OU siga os passos indicados a seguir:
1. Faa o logon com uma conta com permisso para alterar contas de usurios e
grupos (Administrador ou pertencente ao grupo Opers. de contas).
3. Clique com o boto direito do mouse na OU a ser renomeada.
5. No menu que exibido clique em Renomear. O nome atual ser selecionado.
Digite o novo nome e pressione Enter. A OU ser renomeada e o novo nome
ser exibido.
DICA: Conforme descrito
anteriormente, voc pode mover
objetos usando os recursos de
Arrastar e Soltar. Essa uma
novidade do Windows Server 2003,
j que no estava disponvel este
recurso no Windows 2000 Server.
Para Excluir uma OU siga os passos indicados a seguir:
2. Abra o console Usurios e computadores do Active Directory: Iniciar -> Ferramentas Administrativas ->
Usurios e computadores do Active Directory.
3. Clique com o boto direito do mouse na OU a ser excluida.
5. O Windows Server 2003 exibe uma mensagem pedindo confirmao. Clique em Sim para confirmar a excluso.
A OU (e todo o seu contedo) ser excluda.
Voc tambm pode mover uma OU e todo o seu contedo. O procedimento para mover uma OU o mesmo que para
mover outros objetos. Clique com o boto direito do mouse na OU a ser movida. No menu que exibido clique em
Mover.... Ser exibida a janela Mover, para que voc selecione o destino para onde a OU selecionada ser movida.
Selecione o destino e clique em OK. Voc tambm pode mover uma OU usando o recurso de Arrastar e soltar.
Delegando tarefas administrativas a nvel de OU:
Conforme descrito nos Captulo 1 e 2 e reforado neste captulo, uma das grandes vantagens/utilizaes das OUs,
justamente a possibilidade de descentralizar tarefas administrativas, com a possibilidade de delegar permisses para
determinados usurios executarem tarefas especficas, apenas nos objetos (usurios, grupos e computadores), contidos
dentro de uma determinada OU.
Por exemplo, imagine uma rede onde temos um domnio chamado regiaosul.com.br. Neste domnio temos trs redes
locais, uma em Curitiba, outra em Florianpolis e outra em Porto Alegre. Voc pode montar uma estrutura de tal
maneira que apenas um grupo restrito (talvez um ou dois usurios), tenham poderes de Administrador em todo o
domnio, isto , somente um ou dois usurios pertenam ao grupo Admins. do domnio.
Em seguida voc pode criar trs unidades organizacionais, por exemplo: Curitiba, Florianpolis e Porto Alegre. O
prximo passo mover as contas de usurios, computadores e grupos da rede de Curitiba, para dentro da OU Curitiba;
mover as contas de usurios, computadores e grupos da rede de Florianpolis para a OU Florianpolis e, por fim,
mover as contas de usurios, computadores e grupos da rede de Porto Alegre para a OU Porto Alegre.
Agora voc pode descentralizar algumas tarefas administrativas, dando permisses para que um ou mais usurios
possam executar algumas tarefas administrativas nas contas de usurios, grupos e computadores da prpria OU. Por
exemplo, voc pode criar um grupo chamada Administradores da OU Curitiba, dentro da OU Curitiba. Em seguida
voc pode delegar tarefas para este grupo, em relao a OU Curitiba. Por exemplo, voc pode permitir que os membros
do grupo Administradores da OU Curitiba, possam criar novas contas de usurios e editar as contas j existentes
somente dentro da OU Curitiba. O mesmo pode ser feito em relao as demais OUs do domnio.
Observe que o com o uso de OUs, na prtica, possvel descentralizar uma srie de tarefas administrativas, delegando
tarefas para que um administrador da prpria OU, execute as tarefas mais comuns do dia-a-dia, tais como administrao
de contas de usurios e de recursos compartilhados, dentro dos recursos da prpria OU. A seguir mostrarei um exemplo
prtico de como delegar permisses para uma OU. No Captulo 15, nas questes do simulado, voc encontrar questes
relacionadas ao conceito de delegao de tarefas em OUs.
Exemplo: Para delegar permisses em uma OU, siga os passos indicados a seguir:
1. Faa o logon com uma conta com permisso de administrador.
2. Abra o console Usurios e computadores do Active Directory: Iniciar -
> Ferramentas Administrativas -> Usurios e computadores do Active
Directory.
3. Clique com o boto direito do mouse na OU na qual voc deseja delegar
permisses para executar determinadas tarefas. As permisses podem ser
delegadas para um ou mais usurios ou grupos. O mais comum delegar
para um ou dois usurios ou para um grupo, no qual esto os usurios que
tero permisses para executar tarefas administrativas nos recursos da OU.
No menu de opes que exibido clique em Delegar controle...
IMPORTANTE: Conhea bem a
possibilidade de delegar tarefas
administrativas a nvel de Unidade
Organizacional. Como esta uma
das novidades do Windows 2000
Server e do Windows Server 2003,
em relao ao NT Server 4.0, uma
forte candidata a aparecer no
exame.
4. Ser aberto o Assistente para delegao de controle. A primeira etapa do assistente apenas informativa. Clique
em Avanar para seguir para a prxima etapa do assistente.
5. Nesta etapa voc ir adicionar os usurios/grupos para os quais voc ir delegar permisses em relao a OU.
Clique no boto Adicionar...
6. Ser aberta a janela Selecione Usurios, Computadores ou Grupos. Clique no boto Avanado e em seguida
clique no boto Localizar agora. Clique no usurio/grupo para o qual voc ir delegar permisses e em seguida
clique no boto Adicionar. Repita a operao para os demais usurios ou grupos que recebero permisses. Em
seguida clique em OK. Voc estar de volta a tela do assistente e os usurios/grupos selecionados j sero exibidos,
conforme exemplo da Figura 4.50, onde foram adicionados os usurios Usurio 01 e Usurio 02:
Figura 4.50 Selecionando usurios/grupos.
7. Clique em OK. Voc estar de volta ao assistente de delegao de tarefas. Clique em Avanar para seguir para a
8. Nesta etapa voc deve selecionar quais permisses sero delegadas para os usurios selecionados no passo 6.
Esto disponveis as seguintes opes:
Criar, excluir e gerenciar contas de usurios
Redefinir senhas usurio/forar alter. senha prx logon
Ler todas as informaes do usurio
Criar, excluir e gerenciar grupos
Modificar os membros de um grupo.
Gerenciar vnculos de diretivas de grupo: Esta opo permite que o usurio associe GPOs j existentes a OU
Gerar conjunto de diretivas resultante (planejamento)
Gerar conjunto de diretivas resultante (log)
Criar, excluir e gerenciar contas de inetOrgPerson
Redefinir senhas de inetOrgPerson/forar alterao senha prx. Logon
Ler todas as informaes inetOrgPerson
9. Marque as opes desejadas e clique em Avanar, para seguir para a prxima etapa do assistente.
10. Ser exibida a tela final do assistente, com um resumo das opes
selecionadas. Voc pode utilizar o boto Voltar para fazer quaisquer alteraes
que sejam necessrias. Clique em Concluir. O assistente ser encerrado e
sero delegadas as permisses selecionadas para os usurios/grupos que foram
adicionados no passo 6.
Conforme comentado anteriormente, possvel definir permisses de uma maneira
bem mais refinada. Usando o Assistente para delegao de tarefas, voc pode
definir aes bem especficas que podero ser executadas pelos usurios. No
exemplo a seguir voc aprender a utilizar o assistente para atribuir permisses
para execuo de tarefas personalizadas.
Exemplo: Para delegar permisses em uma OU, definindo tarefas personalizadas,
NOTA: Voc pode definir permisses
mais personalizadas do que este grupo
de permisses padro, j existente.
Para isso marque a opo Criar uma
tarefa personalizada para delegar. Ao
marcar esta opo e clicar em Avanar,
sero exibidas telas adicionais do
assistente, para que voc possa definir
permisses em um nvel bem mais
personalizado. Voc aprender a usar
esta opo no prximo exemplo prtico.
2. Abra o console Usurios e computadores do Active Directory: Iniciar -> Ferramentas Administrativas -> Usurios e
computadores do Active Directory.
3. Clique com o boto direito do mouse na OU na qual voc deseja delegar permisses para executar determinadas
tarefas. As permisses podem ser delegadas para um ou mais usurios ou grupos. O mais comum delegar para
um ou dois usurios ou para um grupo, no qual esto os usurios que tero permisses para executar tarefas
administrativas nos recursos da OU. No menu de opes que exibido clique em Delegar controle...
4. Ser aberto o Assistente para delegao de controle. A primeira etapa do assistente apenas informativa. Clique
em Avanar para seguir para a prxima etapa do assistente.
5. Nesta etapa voc ir adicionar os usurios/grupos para os quais voc ir delegar permisses em relao a OU.
Clique no boto Adicionar...
6. Ser aberta a janela Selecione Usurios, Computadores ou Grupos. Clique no boto Avanado e em seguida
clique no boto Localizar agora. Clique no usurio/grupo para o qual voc ir delegar permisses e em seguida
clique no boto Adicionar. Repita a operao para os demais usurios ou grupos que recebero permisses. Sem
seguida clique em OK. Voc estar de volta a tela do assistente e os usurios/grupos selecionados j sero exibidos.
7. Clique em Avanar para seguir para a prxima etapa do assistente.
8. Nesta etapa, para criar um conjunto de permisses personalizadas, voc deve selecionar a opo Criar uma tarefa
personalizada para delegar, conforme indicado na Figura 4.51:
Figura 4.51 Criando uma tarefa personalizada para delegar.
10. Nesta etapa voc tem duas opes. Voc pode criar uma tarefa que se aplica a todos os objetos j existentes na OU e
aos novos que sero criados (Esta pasta, objetos existentes nesta pasta e criao de novos objetos nesta pasta) ou
pode definir permisses apenas para determinados tipos de objetos (Somente os seguintes objetos na pasta). Ao
marcar a opo Somente os seguintes objetos na pasta voc poder marcar um ou mais dos diversos tipos de objetos,
sobre os quais se aplicar a tarefa personalizada que est sendo criada. Por exemplo, se voc quer delegar permisses
que se relacionam apenas a objetos do tipo contas de computadores, marque a opo Somente os seguintes objetos
na pasta e, na lista de objetos, marque a opo Computador objetos, conforme exemplo da Figura 4.52.
11. Marque as opes indicadas na Figura 4.52 e clique em Avanar, para seguir para a prxima etapa do assistente.
12. Nesta etapa exibida uma extensa lista de permisses relacionadas com os objetos selecionados na etapa anterior.
No nosso exemplo, com objetos do tipo Computadores. Por exemplo, existem permisses tais como Controle
total, Ler, Gravar, Criar todos os objetos filho e assim por diante. Defina as permisses que sero delegadas e
clique em Avanar, para seguir para a prxima etapa do assistente.
13. Ser exibida a tela final do assistente, com um resumo das opes selecionadas. Voc pode utilizar o boto Voltar
para fazer quaisquer alteraes que sejam necessrias. Clique em Concluir. O assistente ser encerrado e sero
delegadas as permisses que forem especificadas, para os usurios/grupos que foram adicionados no passo 6.
Figura 4.52 Delegando tarefas relacionadas a objetos do tipo Computadores.
Propriedades e Permisses de Segurana em Unidades Organizacionais.
Todos os objetos do Active Directory (usurios, grupos, computadores, Unidades Organizacionais e assim por diante)
tem um conjunto de propriedades e uma lista de permisses associadas. Neste item mostrarei as principais propriedades
de uma OU e as configuraes de segurana associadas.
Para acessar as propriedades de uma OU, basta abrir o console Usurios e
Computadores do Active Directory, localizar a OU desejada, clicar com o boto
direito na OU e, no menu de opes que exibido, clicar em Propriedades. Ser
exibida a janela de Propriedades da OU, com a guia Geral selecionada por padro,
DICA: Para que todas as opes da
janela de propriedades de um
objeto do Active Directory estejam
disponveis, voc deve fazer com
que as opes avanadas sejam
exibidas. Para tal basta usar o
comando Exibir -> Recursos
avanados, no console Usurios e
Computadores do Active Directory.
Execute este comando antes de
seguir adiante.
Figura 4.53 A janela de propriedades da OU.
Na guia Geral so exibidas informaes sobre a OU, tais como Cidade, pas, etc. Na guia Gerenciado por voc pode
selecionar um usurios que ser o contato e o responsvel pelo gerenciamento da OU. Normalmente o usurio que recebeu
permisses para gerenciar os objetos da OU, atravs do uso do assistente para Delegao de controle, descrito anteriormente.
Clique na guia Segurana. Ser exibida uma lista de usurios e grupos, com permisses de acesso a OU e aos objetos da OU.
Este uma lista de permisso de segurana igual a tantas outras utilizadas no Windows Server 2003, como por exemplo uma
lista de permisses NTFS de acesso a pastas e arquivos (Captulo 6), conforme exemplo da Figura 4.54:
Figura 4.54 Permisses bsicas de segurana para a OU.
Alm das permisses bsicas, tais como Controle total, Leitura, Gravao, Criar todos os objetos filho e Excluir todos os
objetos filho, voc pode definir permisses bem mais refinadas. Para isso clique no boto Avanado. Ser exibida a janela
de Configuraes de controle de acesso. Para definir uma grande variedade de permisses para um determinado usurio ou
grupo, clique no respectivo usurio ou grupo para selecion-lo e em seguida clique no boto Exibir/editar... Ser aberta a
janela Entrada de permisso, na qual voc tem um grande nmero de permisses, conforme indicado na Figura 4.55, na
prxima pgina.
Na lista aplicar em voc ainda pode selecionar um determinado tipo de objeto. Ao selecionar um tipo de objeto, sero
exibidas apenas as permisses relacionadas ao tipo de objeto selecionado. Aps ter definido as permisses desejadas
clique em OK. Voc estar de volta janela de Configuraes de controle de acesso. Clique em OK para fech-la.
Voc estar de volta janela de propriedades da OU, com a guia Segurana selecionada. Clique em OK para fech-la.
Pronto, agora voc j sabe como delegar tarefas bsicas, tarefas personalizadas, como definir permisses bsicas de
segurana e permisses personalizadas para OUs.
Contas de computadores Conceito e Prtica
Todos os computadores que executam o Windows NT, o Windows 2000, o Windows XP ou um servidor que executa
Windows Server 2003 que se associa a um domnio tm uma conta de computador. Semelhantes a contas de usurio,
Figura 4.55 Diversas permisses de segurana para a OU.
as contas de computador fornecem um meio de autenticar e auditar o acesso do computador rede e aos recursos de
domnio. Cada conta de computador deve ser exclusiva, isto , no podem haver duas contas, com o mesmo nome,
no mesmo domnio.
As contas de usurio e computador so adicionadas, desabilitadas, redefinidas e
excludas usando o console Usurios e computadores do Active Directory. Uma
conta de computador tambm pode ser criada quando voc inclui um computador
em um domnio. Uma conta de computador mais um tipo de objeto, armazenado
no Active Directory. Quando um administrador configura uma estao de trabalho,
para fazer parte de um domnio, ser criada no Active Directory, uma conta para
o computador que est ingressando no domnio. O nome da conta ter o mesmo
nome do computador.
Todo computador que faz parte de um domnio (com exceo de computadores
com o Windows 95/98/Me), tem uma conta de computador criada no Active Di-
rectory. Alm da conta criada tambm uma senha, porm esta senha gerada,
automaticamente, pelo Active Directory. Esta senha tambm alterada,
periodicamente, pelo Active Directory.
Ao instalar o Windows Server 2003 em um servidor ou em uma estao de trabalho,
o padro que o computador seja configurado para fazer parte de um Workgroup.
Para que o computador faa parte de um domnio, baseado no Active Directory,
voc deve executar os seguintes passos:
Criar uma conta de computador, com o mesmo nome do computador.
Configurar o computador para fazer parte do domnio.
A seguir apresentarei dois exemplos prticos, onde sero executados estes passos.
IMPORTANTE: Computadores
executando Windows 95 e Windows
98 no tm recursos de segurana
avanados e no tm contas de
computador atribudas a eles.
IMPORTANTE: Quando o nvel
funcional de domnio foi definido
como Windows Server 2003, um
novo atributo lastLogonTimestamp
usado para rastrear o ltimo
horrio de logon de uma conta de
usurio ou computador. Este
atributo replicado no domnio e
pode fornecer informaes
importantes sobre o histrico de um
usurio ou computador.
Criando uma conta de computador no Active Directory.
Voc pode criar uma conta de computador, usando o console Usurios e computadores do Active Directory ou usando
o comando dsadd computer. A seguir mostro estas duas maneiras de criar uma conta de computador.
Criando uma conta de computador com o console
Usurios e computadores do Active Directory:
Para criar uma conta de computador no Active Directory, siga os passos indicados
a seguir:
1. Faa o logon como Administrador, com uma conta com permisso de
Administrador ou com uma conta pertencente ao grupo Opers. de contas
(Account Operators).
IMPORTANTE: Para criar uma
conta de computador, voc deve ser
um membro do grupo Opers. de
contas, Admins. do domnio ou do
grupo Administrao de empresa,
no Active Directory ou ter recebido
a delegao adequada.
3. Clique com o boto direito do mouse na opo Computers ou na OU onde ser criada a conta de computador.
4. No menu de opes que exibido, clique em Novo -> Computador.
5. Ser aberta a janela Novo objeto Computador. Preencha os campos, conforme exemplo da Figura 4.56, onde
estou criando uma conta para o computador micro-01:
Figura 4.56 Criando uma conta de computador.
6. Nesta etapa voc deve informar se a conta que est sendo criada ou no uma conta de computador gerenciado.
Conta de computador gerenciado, tem a ver com o servio de instalao remota do Windows Server 2003 RIS
(Remote Installation Services). Para mais detalhes sobre este item, consulte o item sobre RIS, na Ajuda do Win-
dows Server 2003. Para o nosso exemplo, no marque esta opo.
8. Ser exibida a tela final do assistente. Clique em Concluir e pronto, a conta de computador ser criada, conforme
pode ser comprovado na Figura 4.57:
Figura 4.57 Criao da conta de computador.
Criando uma conta de computador usando o comando dsadd computer:
Voc pode criar uma conta de computador, usando o comando dsadd computer. A forma mais simples deste comando,
est descrita a seguir:
dsadd computer NDComputador
NDComputador: Obrigatrio. Especifica o nome distinto do computador a ser adicionado. Se o nome distinto
for omitido, ele ser retirado da entrada padro (stdin).
Configurando uma estao de trabalho, para fazer parte de um
domnio
A seguir mostrarei um exemplo prtico, onde uma estao de trabalho, com o
Windows XP instalado, configurada para fazer parte de um domnio.
A exemplo do que j acontecia com o Windows 2000 Professional, o Win-
dows XP Professional, como seu sucessor, o sistema operacional
recomendado pela Microsoft, para ser instalado nas estaes cliente, em uma
rede baseada no Windows 2000 Server, onde implementada uma estrutura
de rede baseada no Active Directory.
Muitas das funcionalidades e facilidades administrativas do Windows Server
2003, somente podero ser utilizadas com clientes Windows 2000 Professional
ou Windows XP Professional. Embora seja possvel fazer com que um cliente
com o Windows 95/98/Me instalado, faa parte de um domnio, muitas das
facilidades administrativas e de segurana, disponibilizadas pelo Active Direc-
tory, no podero ser implementadas.
DICA: Outro comando que pode ser
utilizado para criar uma conta de
computador o comando NETDOM, o
quel est contido no arquivo
Support.cab, da pasta Support\Tools,
do CD de instalao do Windows
Server 2003.
Com a utilizao do Windows 2000 Professional ou do Windows XP Professional
nos clientes, o Administrador da rede pode utilizar todos os recursos
disponibilizados pelo Windows Server 2003. O Windows XP Professional vai um
passo adiante, disponibilizando funcionalidades como o Desktop Remoto e outra
novidades que facilitam a administrao.
A seguir voc aprender a configurar um computador com o Windows XP Profes-
sional, para que este ingresse em um domnio baseado do Windows Server 2003.
Para que voc possa fazer a incluso de um computador em um domnio, voc deve
ter acesso a uma conta com permisso de Administrador no domnio. Veja bem, no
a conta de Administrador local, no computador que ser adicionado ao domnio e
sim a conta de Administrador ou pertencente ao grupo Adminis. do domnio.
No exemplo que faremos logo em seguir, farei a incluso de um computador
chamado microxp01 em um domnio chamado groza.com. Substitua os nomes
utilizados no exemplo, pelos nomes com os quais voc est trabalhando.
IMPORTANTE: No possvel
fazer com que um computador com
o Windows XP Home instalado, faa
parte de um domnio baseado no
Windows 2000 Server ou no Win-
dows Server 2003 e no Active Di-
rectory. Este um aceno claro da
Microsoft no sentido de que o Win-
dows XP Home para uso
residencial e o Windows XP Profes-
sional, para uso empresarial.
Exemplo: Incluindo um computador com o Windows XP Professional em um domnio.
1. Faa o logon no computador que ser includo no domnio. Utilize a conta Administrador ou uma conta do tipo
Administrador do computador.
2. Clique no menu Iniciar e nas opes que so exibidas, clique com o boto direito do mouse no Meu computador.
No menu de opes que exibido, d um clique em Propriedades.
3. Ser aberta a janela Propriedades do sistema. D um clique na guia Nome do computador. Ser exibida a janela
indicada na Figura 4.58:
Figura 4.58 A guia Nome do computador.
4. D um clique no boto ID de rede. Ser aberto o Assistente para identificao de rede.
5. A primeira tela do assistente apenas informativa. D um clique no boto Avanar, para ir para a prxima etapa
do assistente.
Na segunda etapa do assistente devemos selecionar uma das seguintes opes:
Este computador faz parte de uma rede corporativa e o utilizo para conectar-me a outros computadores no
trabalho: Esta opo utilizada quando estamos incluindo o computador em um Domnio baseado no Windows
Server 2003 e no Active Directory.
Este computador usado em casa e no faz parte de uma rede corporativa: Este opo utilizada quando
temos um computador residencial ou estamos utilizando-o em uma pequena rede do tipo Workgroup.
6. Certifique-se de que a opo Este computador faz parte de uma rede corporativa e o utilizo para conectar-me a
outros computadores no trabalho esteja marcada e d um clique no boto Avanar, para ir para a prxima etapa
do assistente.
7. Nesta etapa informamos se a rede baseada no conceito de Domnio ou no. Certifique-se de que a opo Minha
empresa usa uma rede com um domnio esteja marcada e d um clique no boto Avanar, para seguir para a
Surge uma tela informando que para conectar o computador a um domnio, voc precisa das seguintes informaes:
Nome do usurio: uma conta com permisses de administrador no domnio.
Senha do usurio
Nome do domnio
8. D um clique no boto Avanar, para ir para a prxima etapa do assistente.
9. Na prxima tela solicitado o nome de uma conta de administrador no domnio, a respectiva senha e o nome do
domnio, conforme indicado na Figura 4.59. Informe os dados solicitados e d um clique no boto Avanar, para
ir para a prxima etapa do assistente.
Figura 4.59 Informaes necessrias para ingressar no domnio.
Figura 4.60 Informaes necessrias para a criao da conta do computador no domnio.
10. Digite as informaes solicitadas e d um clique no boto Avanar, para seguir para a prxima etapa do assistente.
11. Ser exibida a janela Nome de usurio e senha para o domnio. Nesta janela voc deve informar o nome de uma
conta com permisso de administrador no domnio, a respectiva senha e confirmar o nome do domnio, conforme
indicado na Figura 4.61.
Todo computador que faz parte de um domnio deve ter uma conta de computador, criada no domnio. Esta conta pode
ser criada antecipadamente, pelo Administrador do domnio, ou pode ser criada no momento do ingresso do computador
no domnio. Se a conta ainda no tiver sido criada pelo Administrador, ser exibida uma janela solicitando o nome da
conta a ser criada e o nome do domnio, conforme indicado na Figura 4.60.
Figura 4.61 Confirmando informaes sobre uma conta de Administrador no domnio.
O processo de incluso no domnio pode demorar alguns minutos.
Ao finalizar o processamento da incluso no domnio, ser exibida uma janela
perguntando se voc deseja adicionar algum usurio do domnio. O nvel de acesso
deste usurio ser definido na prxima etapa. Por padro sugerido que seja
adicionado o usurio Administrador, de tal forma que este usurio possa ter acesso
administrativo a todos os computadores da rede. A incluso ou no deste usurio,
IMPORTANTE: Se voc tiver
qualquer conexo com o servidor
que um DC Domain Controler,
como por exemplo uma drive de
rede mapeado, a incluso no
domnio ir falhar e uma
depende das polticas de segurana definidas pela empresa. Para o nosso exemplo,
vamos incluir o usurio Administrador do domnio, como administrador no
computador local, conforme indicado na Figura 4.62:
mensagem ser emitida, avisando
que antes de fazer a incluso, voc
deve fechar todas as conexes
existentes.
Figura 4.62 Incluindo permisses para o usurio Administrador do domnio.
12. Digite o nome do usurio e o nome do domnio e d um clique no boto Avanar, para ir para a prxima etapa do
assistente.
Nesta etapa voc definir o nvel de acesso que o usurio adicionado na etapa anterior, ter ao computador local. Por
padro sugerida a incluso do usurio no grupo Usurios avanados. Outras opes so Usurio restrito e Outro, na
qual podemos personalizar o nvel de acesso.
13. Vamos definir um nvel de acesso Administrador, ou seja, o usurio Administrador, do domnio GROZA,
representado como GROZA\Administrador, ter acesso de Administrador ao computador que estamos incluindo
no domnio. Clique na opo Outro e na lista de opes selecione Administrador, conforme indicado na Figura
4.63 e d um clique no boto Avanar, para ir para a etapa final do assistente.
14. Na etapa final apresentado um resumo das opes selecionadas. Voc pode utilizar o boto Voltar, para fazer as
alteraes necessrias.
15. Clique no boto Concluir para encerrar o assistente.
16. Surge uma mensagem informando que voc deve Reinicializar o computador para que as alteraes tenham
efeito. Clique em OK para fechar a mensagem.
17. Voc estar de volta a guia Nome do comutador. Observe que na parte de baixo da janela aparece um ponto de
exclamao, dentro de um tringulo amarelo, com a seguinte mensagem: As alteraes tero efeito depois que
voc reiniciar o computador. D um clique em OK. Uma mensagem ser exibida perguntando se voc deseja
reiniciar o computador. Clique em Sim e o computador ser reinicializado.
Figura 4.63 Definindo o nvel de permisso para a conta do domnio.
Ao reinicializar o computador voc j nota a primeira diferena. A tela tradicional de logon, onde era exibida a lista de
usurios cadastrados no computador local, no mais exibida. Ao invs disso exibida a tela de logon tradicional,
onde voc deve informar o nome do usurio, a senha e tambm o nome do domnio, conforme exemplo da Figura 4.64.
Figura 4.64 A tela tradicional de logon.
Ainda possvel fazer o logon usando as contas locais. Para isso basta informar o nome de logon de um usurio local
(jsilva, mariax, user1, etc.), a respectiva senha e, no campo Fazer logon em: selecionar a opo que corresponde ao
nome do computador. Ao fazer o logon local, o usurio no ter acesso aos recursos do domnio, como por exemplo
pasta e impressoras compartilhadas nos servidores do domno. interessante observar que, todas as contas locais
foram mantidas. Se no futuro, o computador for retirado do domnio, a tela de logon do Windows XP, com a lista de
usurios voltar a ser exibida. Em resumo, ao ingressar no domnio passamos a ter duas opes de logon: Fazer o
logon no domnio ou fazer o logon localmente.
Com isso conclumos a incluso do computador no domnio. A partir deste momento, todas as polticas de segurana
e demais configuraes administrativas, configuradas no domnio, passaro a ser aplicadas ao computador, enquanto
ele fizer parte do domnio. Por exemplo, o Administrador pode aplicar polticas de segurana, restringindo o acesso a
determinadas opes de configurao, como por exemplo o acesso s configuraes de rede. Estas polticas sero
aplicadas a todos os computadores e usurios que fizerem parte do domnio. Contudo importante salientar, conforme
j descrito anteriormente, que ainda possvel fazer o logon localmente. Por exemplo, a conta Administrador local
continua existindo. Sempre que voc precisar executar alguma ao com permisses de Administrador, como por
exemplo instalar um driver de Hardware, poder utilizar a conta Administrador local.
Deixar que o assistente crie a conta de computador: Voc pode deixar
que o assistente de ingresso no domnio, crie a conta de computador no
Active Directory. Neste caso, a conta ser criada, na opo Computers.
Fazendo isso, voc ter um passo a mais, que ser mover a conta da
opo Computers para a OU onde a conta dever ficar em definitivo.
Voc pode mover contas de computador, da mesma maneira que move
uma conta de usurio, usando o console Computadores e usurios do
Active Directory. Voc tambm pode mover uma conta de computador,
usando o comando DSMOVE.
Criar a conta de computador, antes de configurar o computador para
ingressar no domnio: Com esta abordagem, voc pode criar a conta de
computador, diretamente na OU onde a conta ficar em definitivo. Depois,
s configurar a estao de trabalho para ingressar no domnio, conforme
descrito no exemplo prtico anterior. Com esta abordagem, o administrador
poupa o servio de mover a conta de computador da opo Computers
para a OU onde ficar a conta, em definitivo.
Polticas de Senha para o Domnio
Ao criar um domnio, com a instalao do Active Directory no primeiro DC do
domnio, por padro so definidas algumas polticas de segurana relacionadas
com as senhas dos usurios. Por exemplo, por padro definido que a senha deve
ter no mnimo 7 caracteres e que deve ser trocada a cada 42 dias, dentre outras
definies. O administrador do sistema pode alterar estas polticas de segurana,
para adequ-las as necessidades da sua rede.
As polticas de segurana so definidas para o domnio como um todo, ou seja,
uma vez definidas elas passam a valer em todo o domnio. Alis esta um das
caractersticas determinantes de um domnio, ou seja, o compartilhamento de um
conjunto nico de polticas de segurana.
Neste item voc aprender a configurar as polticas de segurana relacionadas
com a senha do usurio. Estas polticas esto divididas em trs grupos, conforme
descrito a seguir:
Password Policy (Polticas de Senha): Estas polticas definem as
caractersticas que as senhas devem ter. Por exemplo: qual o nmero
mnimo de caracteres, devem ser trocadas de quantos em quantos dias,
devem ou no atender a critrios de complexidade e assim por diante.
IMPORTANTE: Sempre
importante reforar que no possvel
configurar um computador com o
Windows XP Home Edition, para que
ele faa parte de um domnio.
IMPORTANTE: Dependendo das
polticas de segurana da empresa,
pode ser definido que os usurios
no tenho acesso a senha de
Administrador local, a qual fica
disponvel apenas para os
administradores do domnio. Na
prtica, no informado para o
usurio da mquina, qual a senha
da conta Administrador local. A
definio de um poltica de
segurana de fundamental
importncia para a implementao
de um ambiente com um nvel
razovel de segurana. Na poltica
so definidas uma srie de
questes, tais como
responsabilidades, configuraes de
segurana e dos equipamentos de
comunicao e, principalmente,
estratgias e aes para a educao
dos usurios. De nada adianta ter
os mais modernos equipamentos e
programas, se no for feito
investimento adequado em
treinamento e educao contnua.
As estatsticas comprovam que a
Account Lockout Policy (Polticas para Bloqueio de Senha): Estas polticas
definem quando uma conta ser bloqueada, com base em um nmero de
tentativas de logon sem sucesso. Por exemplo, o administrador pode definir
que se o usurio tentar fazer trs logons sem sucesso (por exemplo
digitando uma senha incorreta para a sua conta) dentro do perodo de
uma hora, que a conta seja bloqueada. Estas polticas so utilizadas para
evitar que um usurio mal intencionado tente sucessivamente fazer o logon,
usando diferentes senhas, em um tentativa de adivinhar a senha do
usurio.
Kerberos Policy (Polticas do Kerberos): O Kerberos um protocolo de
autenticao utilizado por muitos sistemas operacionais, como por exemplo
o Windows 2000 Server, Windows Server 2003 e muitas verses do UNIX.
um protocola padro e muito utilizado. Existem algumas polticas de
segurana relacionadas ao protocolo Kerberos que podem ser definidas
pelo administrador.
Estas polticas so configuradas usando o console Diretiva de segurana de
domnio, o qual acessado Iniciar -> Ferramentas Administrativas.
Ao abrir o console Diretiva de segurana de domnio sero exibidas diversas opes
de configuraes de polticas de segurana do domnio. Clique no sinal de +, ao
lado da opo configuraes de segurana. Sero exibidas vrias opes. A
primeira opo, no painel da esquerda, : Diretivas de conta. Ao clicar no sinal de
+ ao lado desta opo, so exibidas as opes Diretivas de senha, Diretivas de
bloqueio de conta e Diretivas do Kerberos, conforme indicado na Figura 4.65:
grande maioria dos problemas com
segurana, na maioria dos casos
mais de 70% dos problemas, tem
origens e causas internas, ou seja,
so resultantes de aes dos
prprios funcionrios da empresa.
Nem sempre so aes de m f,
ou seja, com a inteno de provocar
algum dano ou acessar informaes
sigilosas; muitas vezes os problemas
ocorrem por falta de orientao e
treinamento adequados.
IMPORTANTE: Por padro, as
contas de computador so criadas
na opo Computers, com exceo
das contas para os DCs do domnio,
as quais so criadas na opo.
Domain controllers. Voc pode criar
contas de computadores em uma
OU. Existe duas abordagens
possveis, quando voc vai
configurar um computador para
fazer parte do domnio.
Figura 4.65 As opes de diretivas de contas do domnio.
Ao clicar em uma das opes, por exemplo Diretivas de senha, as diversas diretivas da opo selecionada sero
exibida no painel da direita, conforme indicado na Figura 4.66.
Para alterar uma diretiva basta dar um clique duplo na respectiva diretiva. Por exemplo, d um clique duplo na diretiva
Tempo de vida mximo da senha. Por padro definido o valor de 42 dias para esta diretiva. Ao dar um clique duplo
nesta diretiva ser aberta uma janela onde so exibidas as configuraes atuais da diretiva e onde voc pode fazer as
alteraes necessrias, conforme exemplo da Figura 4.67 onde so exibidas as configuraes da diretiva Tempo de
vida mximo de senha.
Figura 4.66 Diretivas da opo Diretivas de senha.
Figura 4.67 Configurando os valores da diretiva Tempo de vida mximo de senha.
Aps ter definido as configuraes desejadas s clicar em OK. Observe a opo Definir a configurao da diretiva.
Voc pode desabilitar uma diretiva, fazendo com que ela deixe de ser aplicada, simplesmente desmarcando esta opo.
A seguir descrevo as diretivas dos grupos Diretivas de senha e Diretivas de bloqueio de senha. Estas so as diretivas
cobradas no Exame 70-290.
so definidas as seguintes polticas de segurana em relao as senhas de usurios:
Com a opo A senha deve atender critrios de complexidade (Password must meet complexity requirementes) habilitada
por padro, uma srie de requisitos devem ser atendidos para que a senha seja aceita. A seguir descrevo estes critrios:
A senha no pode conter parte ou todo o nome da conta. Por exemplo, se o nome da conta for jsilva, a senha
no poder conter a slaba sil ou a palavra silva.
Ter pelo menos seis caracteres. O nmero mnimo de caracteres pode ser aumentado, configurando-se as
polticas de segurana para senhas, conforme mostrarei mais adiante.
Deve conter caracteres de pelo menos trs dos quatro grupos a seguir: letras maisculas de A at Z, letras
minsculas de a at z, dgitos de 0 a 9 ou caracteres especiais (:, !, @, #, $, %, etc.).
alterada. Com estes requisitos definidos, as senhas a seguir seriam vlidas:
AbCsenha1
AbcSenha#
Abc123
Abc;;senha
abcsenha123: (contm somente caracteres de dois dos quatro grupos: letras minsculas e nmeros).
abc;senha: (contm somente caracteres de dois dos quatro grupos: letras minsculas e caracteres
especiais).
Todas estas configuraes de senha so definidas pelas diretivas de segurana do grupo Diretivas de senha, as quais
esto descritas a seguir:
Aplicar histrico de senhas: Nesta diretiva o administrador informa o nmero de senhas que sero gravadas no
histrico de senhas do usurio. Por exemplo, se esta diretiva estiver definida com um valor 5, significa que ao
trocar a senha, o usurio no poder utilizar uma das ltimas cinco senhas que ele utilizou. Esta diretiva
utilizada para evitar que o usurio possa repetir sempre as mesmas senhas. Por padro ela tem o seu valor
definido como 24, ou seja, ao trocar a senha, o usurio no poder utilizar uma senha igual a uma das ltimas
24 que ele utilizou.
Tempo de vida mximo da senha: Esta diretiva define um tempo mximo
de durao da senha. Uma vez transcorrido este perodo o usurio
obrigado a alterar a senha. Esta diretiva aceita valores na faixa entre 1 e
999. Se voc definir um valor 0 para este diretiva, equivale a definir que
as senhas nunca expiram (embora no seja nada recomendado definir que
as senhas nunca expiram). Se o valor desta diretiva for definido na faixa
entre 1 e 999, o valor da diretiva Minimum password age (Tempo de vida
mnimo da senha), deve ser menor do que o valor definido na diretiva
Maximum password age (Tempo de vida mximo da senha). Em outras
palavras, o tempo mnimo de vida deve ser menor do que o tempo mximo,
o que faz sentido evidentemente. O valor padro para esta diretiva de 42
dias. recomendado um valor entre 30 e 45 dias para esta diretiva.
NOTA: O valor de 24 para este
diretiva o padro em DCs do
domnio. Em member servers o valor
padro zero, ou seja, sem histrico
de senha. Para que esta diretiva
tenha efeito, ele deve ser utilizada
em conjunto com a diretiva Minimum
password age (Tempo de vida
mnimo da senha). Se no houver um
tempo mnimo de vida para a senha,
o usurio poderia trocar a senha 24
Tempo de vida mnimo da senha: Esta diretiva define o tempo mnimo, em
dias, pelo qual a senha deve ser utilizada, antes que ele possa ser novamente
alterada. Por exemplo, se esta diretiva estiver definida com um valor igual a
5 e o usurio alterar a sua senha hoje, significa que ele somente poder
alterar novamente esta senha daqui a cinco dias. Este diretiva, conforme
descrito anteriormente, deve ser utilizada em conjunto com a diretiva Enfore
password history (Aplicar histrico de senhas), para efetivamente forar
que seja mantido um histrico de senhas e que o usurio no possa utilizar
uma senha igual as ltimas x senhas, sendo o valor x definido na diretiva
Enfore password history (Aplicar histrico de senhas). O valor desta diretiva
pode estar na faixa de 1 a 998. Um valor 0 significa que no existe tempo de
vida mnimo da senha, ou seja, o usurio pode alterar a senha a qualquer
momento e repetidamente. Por padro definido o valor 1 nos DCs e 0 nos
member servers. Uma regra normalmente utilizada definir esta diretiva
com um valor correspondente a um tero do valor definido na diretiva
Maximum password age (Tempo de vida mximo da senha).
vezes no mesmo dia. Com isso ele
poderia simplesmente continuar
utilizando sempre a mesma senha.
Comprimento mnimo da senha: Esta diretiva define o nmero mnimo de caracteres que deve ter a senha.
Voc pode definir um valor entre 1 e 14. Para definir que no exigido um comprimento mnimo, defina esta
diretiva com o valor 0. Por padro definido o valor 7 nos DCs e 0 nos member servers.
A senha deve satisfazer a requisitos de complexidade: Esta diretiva habilitada por padro. Com isso, uma
srie de requisitos devem ser atendidos para que a senha seja aceita. A seguir descrevo estes critrios:
AbCsenha1
AbcSenha#
Abc123
Abc;;senha
abc;senha: (contm somente caracteres de dois dos quatro grupos: letras minsculas e caracteres
especiais).
Armazenar senhas usando criptografia reversa: Esta diretiva somente deve ser habilitada quando houver aplicaes
que necessitam deste padro de senhas. Mais especificamente so aplicaes que precisam conhecer a senha do
usurio por questes de autenticao. Esta diretiva, em termos de segurana, muito semelhante a armazenar a
senha como texto sem criptografia, ou seja, no recomendada em termos de segurana e somente deve ser
habilitada quando realmente houver necessidade por questes de compatibilidade com algum sistema de aplicao
crtica para a empresa. Esta diretiva requerida tambm em algumas situaes especficas, por exemplo, quando
utilizado o protocolo CHAP para autenticao atravs do RRAS ou do IAS. Tambm requerida quando for
usada a autenticao do tipo Digest Authentication com o IIS. Por padro esta diretiva est desabilitada.
Descrio das diretivas do grupo Diretivas de bloqueio de conta
A seguir descrevo as diretivas deste grupo, as quais so utilizadas para definir quando uma conta deve ser bloqueada,
aps sucessivas tentativas de logon sem sucesso.
Limite de bloqueio de conta: Esta diretiva define o nmero de tentativas de logon sem sucesso que sero
necessrias para que a conta seja bloqueada. Este nmero de tentativas deve ocorrer dentro do perodo definido
pela diretiva Zerar contador de bloqueios de conta aps. Vamos supor que a diretiva Limite de bloqueio de
conta esteja definida com o valor trs e que a diretiva Zerar contador de bloqueios de conta aps esteja definida
com o valor 60 minutos. Isso significa que se o usurio fizer trs tentativas de logon sem sucesso, dentro de
uma hora, a sua conta ser bloqueada. Esta diretiva pode ter um valor entre 1 e 999. Um valor igual a 0
significa sem bloqueio, ou seja, o usurio poder fazer quantas tentativas quiser, que a conta no ser bloqueada.
Zerar contador de bloqueios de conta aps: Esta diretiva define o perodo
dentro do qual as tentativas de logon sem sucesso devem ser feitas para que
a conta seja bloqueada. Por exemplo, vamos imaginar que esta diretiva
estiver definida como 60 minutos e o usurio tenha feito duas tentativas de
logon sem sucesso. Se ele fizer mais uma tentativa nos prximos sessenta
minutos, a conta ser bloqueada. Se transcorrer 60 minutos sem nenhuma
tentativa sem sucesso, o contador ser zerado. Esta diretiva pode conter
valores na faixa de 1 a 99999 minutos. Esta diretiva somente pode ser
habilitada quando a diretiva Limite de bloqueio de conta, estiver habilitada.
IMPORTANTE: Tentativas de
desbloqueio de estaes de trabalho
e member servers, sem sucesso,
tambm contam para o nmero de
tentativas sem sucesso.
Durao do bloqueio de conta: Esta diretiva define o tempo, em minutos, pelo qual a conta permanecer
bloqueada, uma vez que tenha sido bloqueada por sucessivas tentativas de logon sem sucesso. O valor pode
variar de 1 a 99999. Um valor 0 significa que a conta no ser desbloqueada automaticamente. Com esta
configurao o Administrador ter que desbloquear a conta do usurio. Esta diretiva somente ter efeito quando
a diretiva Limite de bloqueio de conta tiver sido definida.
A seguir apresento uma srie de recomendaes em relao ao uso de senhas e definio de polticas de senha para
um domnio do Windows Server 2003.
1. Eduque seus usurios e faa campanhas permanentes com orientaes sobre segurana. Quando eu fao uma palestra
sobre segurana tem uma frase que eu adoro repetir: Em segurana voc pode trabalhar 20 anos sem ter um problema,
porm o primeiro que acontecer problema para mais vinte anos. O que eu quero dizer com isso? Quem em termos
de segurana o melhor mesmo prevenir. E a melhor maneira de prevenir problemas atravs da educao dos
usurios. Oriente os usurios da sua rede a proteger suas senhas, a escolher senhas que no sejam bvias e assim por
diante. Esta campanha de educao tem que ser permanente, atravs do e-mail da empresa, crie cartilhas com
orientaes sobre segurana, faa palestras de dois em dois meses e no baixe a guarda nunca. Claro que difcil
pedir que o usurio no utilize senhas bvias, se a rede da empresa tem vrios sistemas em funcionamento, cada
sistema em um ambiente diferente e exigindo uma senha diferente. A seguir algumas aes e orientaes para
incentivar os usurios a utilizarem senhas fortes, isso , no bvias, difceis de serem adivinhadas ou quebradas.
Mantenha habilitada a diretiva Password must meet complexity requirements (Senhas devem satisfazer a
requisitos de complexidade), para exigir que as senhas atendam certos requisitos de complexidade, conforme
Se a poltica de segurana da empresa define que certas senhas institucionais, como a senha do usurio Ad-
ministrator (Administrador) dos member servers deva estar registrada em papel, certifique-se de que os envelopes
contendo estas senhas sejam armazenados em um local seguro, tal como um cofre a prova de foto.
Jamais permita o compartilhamento de senhas. Cada usurio deve ter a sua prpria conta. Se mais de uma
pessoa trabalha como administrador, cada uma deve ter a sua prpria conta e ser cadastrada no grupo Domain
Admins (Admins. do Domnio) para ter permisso de Administrador.
Providencie a alterao da senha da sua conta imediatamente se voc desconfia que algum tentou descobrir
ou quebrar a senha. Para alterar a senha basta pressionara Ctrl+Alt+Del. Ser exibida a janela Windows Security
(Segurana do Windows). Clique no boto Change Password... (Alterar senha...). A janela Change Password
(Alterar Senha) ser exibida. Digite a senha atual e a nova senha duas vezes para confirmar. Clique em OK.
Pronto, a senha foi alterada.
Seja cuidadoso com as janelas de aviso que pedem para salvar a senha no seu computador. Estas janelas so
exibidas quando o usurio faz uma conexo remota ou quando o usurio tem que fornecer um login e senha
para acessar reas restritas da Intranet da empresa, de uma aplicao Web ou reas restritas de um site da
Internet. Existem programas que tentam descobrir a senha do usurio, lendo os arquivos de informao onde
as senhas so gravadas no computador. Por padro oriente os usurios a no salvar as senhas localmente.
2. Utilize o utilitrio Syskey em todos os computadores da rede. Este utilitrio usa tcnicas adicionais de criptografia
forte para garantir a segurana das senhas armazenadas na base de dados dos computadores. Por exemplo,
computadores com o Windows 2000 Professional ou XP Professional ou members servers do domnio, tem uma
base local de usurios, a qual armazenada em uma base conhecida como Security Accounts Manager (SAM)
database. Para executar o utilitrio Syskey basta ir para o prompt de comando e executar o comando Syskey. Ser
exibida uma janela pedindo se voc deseja habilitar a criptografia forte, conforme indicado na Figura 4.68:
Figura 4.68 Utilizando o utilitrio Syskey.
Defina uma poltica de segurana para a empresa como um todo, dentro
da qual est a definio das polticas de senha. A poltica de segurana
deve ser constantemente revisada e atualizada e o mais importante,
divulgada para todos na empresa.
IMPORTANTE: A seguir apresento
algumas recomendaes (conforme
ajuda do Windows Server 2003)
sobre os valores a serem definidos
Habilite sempre as polticas para bloqueio de conta, de tal maneira que
aps um nmero determinado de tentativas de logon sem sucesso a conta
do usurio seja bloqueada. Em ambientes em que a segurana um fator
crtico, defina tambm que somente o Administrador pode desbloquear
contas. Normalmente utiliza-se o valor de trs tentativas de logon sem
sucesso em uma hora como limite para o bloqueio das contas.
para as polticas de senha e polticas
de bloqueio de senha (as quais
foram descritas anteriormente).
Habilite a diretiva para tempo mximo e tempo mnimo de senha, conforme descrito anteriormente. Em conjunto
com estas polticas defina a poltica que define o historio de senhas a ser armazenado no Active Directory.
Valores normalmente utilizados para estas diretivas so um tempo mximo de 30 dias, um tempo mnimo de
10 dias e um histrico de cinco senhas. Com estas diretivas significa que o usurio deve alterar a sua senha a
cada trinta dias, uma vez alterada a senha ele poder altera-lo novamente somente daqui a 10 dias e ao alterar
a senha o usurio no poder utilizar uma senha que seja igual a uma das cinco ltimas que ele utilizou.
Defina um nmero mnimo de caracteres para a senha (diretiva Minimum password length (Comprimento
mnimo da senha)). Um valor normalmente utilizado de 8 caracteres para ambientes empresariais e 10
caracteres para redes de segurana crtica. O mximo que voc pode definir como tamanho mnimo de 14
caracteres. A senha pode conter mais do que 14 caracteres, o que no possvel definir que as senhas devem
ter um tamanho mnimo superior a 14 caracteres.
Administrao do Schema do Active Directory.
No Schema, uma classe de objetos representa uma categoria de objetos do Active Directory, como por exemplo contas
de usurios, contas de computadores, impressoras ou pastas compartilhadas publicadas no Active Directory e assim
por diante. Na definio de cada classe de objetos do Active Directory, est contida uma lista de atributos que podem
ser utilizadas para descrever um objeto da referida classe. Por exemplo, um objeto usurio contm atributos tais como:
nome, senha, validade da conta, descrio, etc. Quando um novo usurio criado no Active Directory, o usurio torna-
se uma nova instncia da classe User do Schema e as informaes que voc digita sobre o usurio, tornam-se instncias
dos atributos definidos na classe user.
Cache do Schema.:
Quem tem autorizao para modificar o Schema:
A definio do Schema protegida por permisses de acesso. Por padro, somente membros do grupo Schema Admins
(Administradores de esquemas) tem permisso de leitura no Schema. Para que um administrador possa alterar o
Schema (operao conhecida como estender o Schema), a sua conta deve fazer parte do grupo Schema Admins
(Administradores de esquemas) . Por padro somente a conta Administrator (Administrador) do domnio root (em
uma rvore de domnios) faz parte do grupo Schema Admins (Administradores de esquemas). Evidentemente que o
acesso a este grupo deve ser rigorosamente limitado, pois ao adicionar um usurio a este grupo, voc d ao usurio
permisses para alterar o Schema. Alteraes indevidas (ou m intencionadas) no Schema podem simplesmente paralisar
toda a rede, em situaes mais graves, fazendo que todos os servidores tenham que ser reinstalados, causando possveis
perdas de dados, enfim: um verdadeiro desastre.
Para alterar o Schema voc deve ter acesso ao servidor que atua como Schema Master. O Schema Master normalmente
o primeiro DC instalado no domnio root, embora esta funo possa ser delegada a qualquer outro DC do domnio.
A seguir descrevo um exemplo de utilizao do Snap-in para administrao do Schema.
Exemplo: Como utilizar o console de administrao do Schema: Voc deve estar no servidor que est executando a
funo de Schema Master. Em todo o diretrio existe um nico servidor no qual existe uma cpia do Schema habilitada
para alteraes. Este servidor conhecido como Schema Master e normalmente o primeiro DC instalado no domnio
root de uma rvore de domnios.
Para abrir o console de administrao do Schema, siga os passos indicados a
seguir:
1. Faa o logon com uma conta com permisso de Administrador, no DC que
est executando a funo de Schema Master.
3. Na janela que surge, no campo Abrir, digite mmc e d um clique em OK.
4. Ser aberto o MMC sem nenhum Snap-In Carregado.
5. Com o MMC carregado anteriormente, selecione o comando Arquivo ->
Adicionar/remover snap-in .. Ser exibida a janela Adicionar/remover snap-
in. Observe que no existe nenhum snap-in adicionado e a lista est vazia.
6. Na janela Adicionar/remover snap-in, d um clique no boto Adicionar.
7. Ser exibida a janela Adicionar snap-in autnomo. Nesta janela exibida
uma listagem com todos os snap-ins disponveis, isto , instalados no
computador.
IMPORTANTE: Antes de poder ter
acesso ao console de gerenciamento
do Schema, voc tem que executar o
comando: regsvr32 schmmgmt.dll,
para instalar o Snap-in de
gerenciamento do Schema. Abra um
prompt de comando e execute o
comando: regsvr32 schmmgmt.dll.
exibida uma mensagem informando
que o registro foi efetuado com
sucesso. Clique em OK para fech-la.
Figura 4.69 Adicionando o snap-in Esquema do Active Directory.
10. Clique no boto Fechar.
11. Voc estar de volta a janela Adicionar snap-in autnomo e o snap-in Esquema do Active Directory j exibido
na lista. Caso voc queira ser possvel adicionar outros snap-ins. Como no ser adicionado mais nenhum snap-
in, d um clique no boto OK.
12. Voc estar de volta ao MMC, agora com o snap-in Esquema do Active Directory j carregado, conforme indicado
pela Figura 4.70.
8. Localize na listagem o seguinte snap-in: Esquema do Active Directory, conforme indicado na Figura 4.69 e d um
Figura 4.70 Console com o sanp-in Esquema do Active Directory, j carregado.
13. Clique no sinal de mais ao lado da opo Esquema do Active Directory [nome do servidor]. Sero exibidas as
opes Classes e Atributos.
14. Clique na opo Classes.
15. No painel da direita sero exibidas as dezenas de classes que formam a estrutura do banco de dados do Active
Directory.
16. Localize a classe User (as classes esto em ordem alfabtica) e d um clique duplo nesta classe. Sero exibidas as
propriedades da classe, conforme indicado na Figura 4.71:
Figura 4.71 Propriedades da classe User.
17. Clique na guia Atributos da janela de propriedades da classe User.
18. Sero exibidos os vrios atributos da classe User. Clique em alguns dos tributos e observe que para alguns tributos
o boto Remover habilitado. Os tributos para os quais o boto Remover habilitado so atributos que podem ser
retirados da classe, no so obrigatrios. O administrador do Esquema pode utilziar o boto Adicionar para
adicionar novos atributos a uma determinada classr. Esta operao conhecida como estender o Esquema. Por
exemplo, voc poderia adicioanr um atributo CPF ou Nmero da matrculo classe User.
19. Clique em OK para fechar as propriedades da classe User.
20. Feche o MMC. Ser emitida uma mensagem perguntando se voc deseja salvar as alteraes no console, clique
em No.
Nunca demais lembrar que toda e qualquer alterao no schema deve ser cuidadosamente planejada.
Concluso
Neste captulo voc aprender sobre uma srie de assuntos relacionados com a administrao de dois elementos
bsicos do Active Directory: contas de usurios e grupos de usurios. Foram abordados os seguintes assuntos:
Ferramenta para administrao do Esquema do Active Directory.
Polticas de contas e senhas para o domnio.
A conta de usurio a identidade do usurio A partir da conta que o usurio utilizou para fazer o logon na rede que
o Windows Server 2003 consegue identificar o usurio. Cada usurio que precisa de acesso a rede deve ter sua prpria
conta e senha que seja somente de seu prprio conhecimento.
Entendidos os conceitos de contas de usurios e grupos de usurios, parti para a explicao sobre Unidades
Organizacionais (OUs). Mostrei o que uma Unidade organizacional, como ela difere de um domnio, quando
usar Unidades Organizacionais e quando utilizar domnios. Tambm mostrei a parte prtica de criao e
administrao de Unidades Organizacionais, bem como operaes de mover contas de usurios e grupos de uma
unidade organizacional para outra.
Tambm falei sobre as polticas de segurana relacionadas com a definio de senhas e com o bloqueio de contas do
domnio. Voc aprendeu sobre as diversas polticas disponveis e a funo de cada uma. O uso destas polticas de
fundamental importncia para que se tenha um ambiente mais seguro, onde sejam utilizadas senhas chamadas senhas
fortes, ou seja, difceis (eu nunca uso o termo impossveis) de serem quebradas.
Para encerrar o captulo apresentei mais uma ferramentas de administrao do Active Directory: a ferramenta para
gerenciamento do Esquema (lembrando do Captulo 2, o Esquema a definio da estrutura do banco de dados do
Active Directory). Falarei da importncia e da funo do Esquema e irei ressaltar que toda e qualquer alterao no
Esquema deve ser cuidadosamente (eu diria cuidadosamente ao quadrado) planejada e testada em laboratrio, antes de
ser implementada em um ambiente de produo. Erros nas alteraes do Esquema podem causar verdadeiros desastres.
Com certeza os conceitos apresentados neste captulo representam um bom percentual do trabalho dirio do
administrador. Administrar contas de usurios e grupos, juntamente com a atribuio de permisses de acesso a pastas
(Captulo 6) e Impressoras da rede (Captulo 7), representa grande parte do dia de trabalho do administrador.
No prximo captulo voc aprender a gerenciar discos e volumes no Windows Server 2003.
Administrando discos
e volumes no Windows
Server 2003
5
C A P T U L O
Administrando discos e volumes no Windows Server 2003.
Introduo
Neste captulo apresentarei os conceitos de armazenamento bsico e
armazenamento dinmico, bem como a diferena entre ambos. Depois voc
aprender as tarefas mais comuns no que diz respeito a gerenciamento de discos
e volumes, tais como adicionar um novo disco, criar parties ou volumes e
format-las para que estas possam ser utilizadas pelo Windows Server 2003.
Vou iniciar o captulo com uma apresentao terica dos conceitos de
armazenamento bsico e armazenamento dinmico. Mostrarei as vantagens do
armazenamento dinmico e como existem diferentes terminologias para os
volumes (criados nos discos de armazenamento dinmico) e para as parties
(criadas nos discos de armazenamento bsico). Mostrarei que os discos de
armazenamento dinmico oferecem uma srie de vantagens em relao ao sistema
mais antigo, baseado em parties, sistema este usado nos discos de
armazenamento bsico.
Em seguida passarei a falar dos diferentes tipos de parties que podem ser criadas
nos discos de armazenamento bsico e dos diferentes tipos de volumes que podem
ser criados nos discos de armazenamento dinmico. Voc ver que possvel
implementar tolerncia falhas usando somente as configuraes de software
fornecidas pelo Windows Server 2003.
Na seqncia partirei para a parte prtica. O gerenciamento de discos e volumes
no Windows Server 2003 pode ser feito pela opo Gerenciamento de Disco do
console Gerenciamento do computador. Mas para facilitar o acompanhamento
dos exemplos prticos deste captulo, o primeiro passo ser criar um console
personalizado apenas com o Snap-in de administrao de discos.
Criado o console personalizado, mostrarei como criar os diversos tipos de volumes
possveis em um disco dinmico. Tambm mostrarei como alterar, formatar e
excluir estes volumes. Voc tambm aprender a converter um disco de
armazenamento bsico para armazenamento dinmico.
Em seguida Falarei sobre as ferramentas para manuteno preventiva de volumes
e parties. Voc aprender sobre o conceito de fragmentao de discos e aprender
a utilizar o utilitrio de desfragmentao, o qual est bem mais eficiente no
Windows Server 2003 em relao ao utilitrio de desfragmentao do Windows
2000 Server. Voc tambm aprender sobre os utilitrios de linha de comando
disponveis para o gerenciamento de discos e volumes.
Na seqncia passarei a falar sobre uma das caractersticas que exclusiva do
sistema de arquivos NTFS: Criptografia de Arquivos. Quando uma pasta ou um
arquivo criptografado, o usurio continua trabalhando com o arquivo
normalmente, da mesma maneira que em outros arquivos e pastas. A criptografia
transparente para o usurio que criptografou o arquivo. Isso significa que
voc no precisa descriptografar manualmente o arquivo criptografado para poder
us-lo. Voc pode abrir e alterar o arquivo da maneira habitual. J quando outro
usurio, que no o usurio que criptografou o arquivo, tenta acessar o arquivo
criptografado, este outro usurio receber uma mensagem de acesso negado.
A tecnologia de criptografia do Windows Server 2003 baseada no EFS Encripted File System (Sistema de arquivos
criptografados). O EFS fornece todo o suporte necessrio para trabalhar com arquivos criptografados. Somente arquivos
e pastas em volumes NTFS podem ser criptografados. Esta, alis, uma das tantas vantagens do sistema de arquivos
NTFS em relao ao sistema FAT/FAT32. Estas diferenas sero discutidas em detalhes no Captulo 6.
Conceitos que Voc Precisa Conhecer
Existem alguns conceitos, termos e definies que voc precisa conhecer, antes de partirmos para o estudo prtico do
gerenciamento de discos e volumes, no Windows Server 2003. Por exemplo, fundamental que voc saiba a diferena
entre um Disco fsico e um Volume lgico. Neste tpico vou apresentar os diversos termos relacionados com o
gerenciamento de discos e volumes no Windows Server 2003.
Disco fsico
Chamamos de Disco Fsico, a cada HD (antigamente mais conhecido por Winchester) instalado no computador. O
primeiro HD instalado denominado de Disco 0, o Segundo HD chamado de Disco 1 e assim por diante. Um disco
fsico pode ser configurado como Disco Bsico ou Disco Dinmico. Mais adiante voc entender as diferenas entre
um disco bsico e um disco dinmico. Um disco bsico, pode ser dividido em uma ou mais parties e um disco
dinmico, pode ser dividido em um ou mais volumes.
Duas observaes importantes:
Sistemas operacionais anteriores ao Windows 2000, no conseguem acessar discos dinmicos. Por isso, se voc
est utilizando um sistema multi-boot, com mais de uma verso do Windows instalada, tenha cuidado ao converter
um disco de dinmico para bsico, pois isso far com que verses do Windows, anteriores ao Windows 2000, no
consigam mais inicializar e ter acesso ao disco dinmico. Voc aprender o conceito de disco dinmico e bsico,
bem como as aes prticas relacionadas, neste captulo.
Em servidores, onde utilizada uma placa da RAID por hardware (voc aprender mais sobre RAID neste
captulo), pode acontecer de um conjunto de trs ou mais discos fsicos, que fazem parte do RAID, aparecerem
para o Windows Server 2003. Por exemplo, pode acontecer de voc ter cinco discos de 50 GB formando o RAID,
e estes discos aparecerem como um nico disco fsico, de 160 GB (eu no errei na soma no, quando estudarmos
RAID, voc entender o porqu desta perda de 20% no espao total do RAID).
Volumes lgicos
Um volume lgico aparece para o sistema operacional, normalmente, como uma unidade a mais, tal como F:, G:, M: e
assim por diante. Voc pode dividir um disco fsico em um ou mais volumes. Por exemplo, um disco de 80 GB, pode ser
dividido em trs volumes. Por exemplo, voc pode criar o C: com 40 GB, onde ser instalado o Windows Server 2003 e
os aplicativos, pode criar um D: com 20 GB, onde sero gravados arquivos de log do Sistema Operacional, o banco de
dados do Active Directory e arquivos de log de outros servios, como por exemplo os arquivos de Log de Transaes do
SQL Server 2000 e, finalmente, um E:, com os 20 GB restantes, onde sero gravados arquivos dos usurios. Observe que
neste exemplo temos um disco fsico (Disco 0), o qual foi dividido em trs Volumes Lgicos (C:, D: e E:).
A definio oficial de volume, contida na Ajuda do Windows Server 2003 a seguinte:
Volume uma rea de armazenamento em um disco rgido (disco fsico). Um volume formatado usando um
sistema de arquivos, tais como FAT ou NTFS, e tem uma letra de unidade atribuda a ele. Voc pode visualizar o
contedo de um volume clicando em seu cone no Windows Explorer ou em Meu computador. Um nico disco rgido
pode ter vrios volumes, que tambm podem abranger vrios discos.
A ltima parte da definio que pode parecer um pouco esquisita: ...que podem abranger vrios discos. Voc ver,
neste captulo, que determinados tipos de volumes, podem ocupar reas em dois ou mais discos.
Armazenamento Bsico e Armazenamento Dinmico
Antes que seja possvel utilizar um novo disco no Windows Server 2003, o
administrador deve realizar algumas operaes. Um dos aspectos que o administrador
deve definir o tipo de armazenamento que ser utilizado no disco. No Windows
Server 2003 (a exemplo do que acontece no Windows 2000 Server) possvel optar
entre dois tipos de armazenamento: Armazenamento bsico ou o Armazenamento
dinmico. A seguir descreverei estes dois tipos de armazenamento em detalhes.
Armazenamento bsico
o tipo de armazenamento que vem sendo utilizado desde a poca do bom e
velho (talvez no to bom) MS-DOS. utilizado por sistemas como o Windows
95, Windows 98, Windows NT Server 4.0 e Windows NT Workstation 4.0. o
tipo de armazenamento padro no Windows Server 2003, isto , todos os novos
discos so criados com Armazenamento bsico. Caso seja necessrio o
administrador pode transform-los para armazenamento dinmico sem perda de
dados. Um disco com armazenamento bsico chamado de disco bsico.
No armazenamento bsico, o disco dividido em parties. Uma partio uma
parte, um pedao do disco que se comporta como se fosse uma unidade de
armazenamento separada. Por exemplo, em um disco de 4GB, posso criar duas
parties de 2GB, que na prtica se comportam como se fossem dois discos de
2GB independentes. Em um disco com armazenamento bsico, possvel ter
Parties primrias, parties estendidas e Drivers lgicos. Mostrarei mais detalhes
sobre estes elementos, bem como exemplos de utilizao de cada um deles.
Partio primria: O Windows Server 2003 pode utilizar uma partio primria,
para inicializar o computador, sendo que somente parties primrias podem ser
marcadas como ativas. Uma partio ativa onde o computador procura pelos
arquivos de inicializao para efetuar o processo de boot do Sistema Operacional.
Um disco bsico somente pode possuir uma partio marcada como ativa. Um
disco bsico pode conter no mximo quatro parties primrias. Considere o
exemplo da Figura 5.1, onde um disco de 7 GB foi dividido em quatro parties
primrias. Trs de 2 GB e uma de 1GB. Observe que para cada partio primria
atribuda uma letra de unidade: C:, D: e assim por diante.
Partio estendida: Apenas uma partio estendida pode ser criada em um disco
bsico. Parties estendidas so criadas a partir do espao livre no disco bsico.
Espao livre o espao que no est sendo ocupado por nenhuma partio. Por
isso aconselhvel, quando da criao de uma partio estendida, que todo o
espao livre seja ocupado. A partio estendida dividida em segmentos, sendo
NOTA: Neste captulo utilizarei a
palavra disco como sendo sinnimo
de um disco rgido, ou seja, um disco
fsico. Ento sempre que voc
encontrar uma referncia a disco,
entenda como sendo um disco rgido
e no um disquete ou outro tipo de
mdia. Tambm importante
salientar que uso a palavra disco em
referncia ao disco fsico, o qual pode
ser dividido em vrias parties (no
caso de armazenamento bsico) ou
vrios volumes (no caso de
armazenamento dinmico).
IMPORTANTE: importante
salientar que um disco somente
pode ser configurado para um tipo
de armazenamento. No possvel,
por exemplo, ter uma parte do disco
configurada como armazenamento
bsico e o restante como
armazenamento dinmico.
que cada segmento representar um drive lgico. Deve ser atribuda uma letra para cada drive lgico e este deve ser
formatado com um sistema de arquivos FAT, FAT32, NTFS ou NTFS 5 (nova verso do NTFS disponvel a partir do
Windows 2000). Com o uso de uma partio estendida e drivers lgicos, possvel superar o limite de quatro unidades
por disco, que imposto quando se utiliza apenas parties primrias.
Figura 5.1 No mximo podem ser criadas quatro
parties primrias em um disco bsico.
Considere o exemplo da Figura 4.2, onde exibido um disco com trs parties primrias (C:, D: e E:), e um volume
estendido, no qual foram criados dois drivers lgicos (F: e G:).
(FIG10-2.TIF) Do livro de Windows Server 2003
Figura 5.2 Utilizando parties estendidas.
Para o Windows Server 2003 existem duas parties que so muito importantes. A Partio do Sistema System
Partition a Partio ativa, a qual contm os arquivos necessrios para o processo de boot do Windows Server 2003
(normalmente a primeira partio ativa do primeiro disco). A Partio de boot Boot partition, uma partio
primria, ou um drive lgico onde esto instalados os arquivos do Windows Server 2003, normalmente em uma pasta
chamada WINNT ou WINDOWS. Muitas vezes estes conceitos causam uma certa confuso, porque podemos dizer
que a Partio do Sistema contm os arquivos de boot e a Partio de boot contm os arquivos do Sistema Operacional.
Normalmente a Partio do Sistema e a Partio de boot, esto na mesma partio, tipicamente no drive C:
Dependendo da maneira com que as parties so criadas ou combinadas, podem existir diversos tipos de parties
em um disco de armazenamento bsico, conforme descrito a seguir:
Partio do Sistema: Contm os arquivos necessrios para o boot do Windows Server 2003.
Partio de boot: Contm os arquivos do Windows Server 2003, tipicamente em uma pasta WINNT ou WINDOWS.
Volume set: Para criar um Volume set usado o espao de duas ou mais parties, no mesmo disco ou em discos
diferentes, de tal forma que estas parties apaream, para o Windows Server 2003 como uma nica unidade. Por
exemplo posso combinar uma partio de 1 GB com outra de 4 GB, para formar uma unidade de 5 GB. Posso
aumentar o tamanho de um Volume set (operao chamada de estender o Volume set), porm no posso reduzir
o tamanho sem que haja perda dados. possvel usar at 32 parties para criar um Volume set. O Windows
Server 2003 preenche todo o espao da primeira partio, depois o da segunda e assim por diante. Se uma das
parties apresentar problemas, todo o Volume set ser perdido. Posso juntar parties de tamanhos diferentes.
Um Volume set no pode conter a Partio do sistema, nem a Partio de boot.
Stripe set: Para criar um Stripe set combina-se espaos iguais de dois ou mais discos. No podem ser utilizadas
duas parties do mesmo disco. Posse utilizar at 32 parties. Os dados so gravados em todas as parties de
uma maneira uniforme, isto , o espao de cada partio vai sendo preenchido a medida que os dados so
gravados. No apresenta tolerncia a falhas, pois se uma das parties apresentar problemas, todo o Stripe Set
ser perdido. Uma das vantagens do Stripe set que o desempenho melhora devido as gravaes simultneas em
mais de um disco. No pode conter a Partio do sistema, nem a Partio de boot.
Mirror set Raid 1: Permite a duplicao de uma partio em um disco
bsico. Com isso a medida que os dados vo sendo gravados, o Windows
Server 2003, automaticamente vai duplicando os dados na partio espelhada.
Pode conter a Partio do sistema e tambm a Partio de boot. O maior
inconveniente que existe um comprometimento de 50% do espao em disco.
Por exemplo, para fazer o espelhamento de uma partio de 2 GB, sero
necessrios 4 GB de espao em disco (2 GB da partio original mais 2 GB
da partio espelhada). Apresenta tolerncia a falhas, pois se uma das
parties espelhadas falhar, a outra continua funcionando. O administrador
pode substituir o disco defeituoso e restabelecer o espelhamento.
IMPORTANTE: No esquea que a
partio do sistema e a partio de
boot, no pode ser uma partio do
tipo Volume set, Stripe set sem
paridade ou Stripe Set com Paridade
(RAID-5). Ou de uma maneira mais
simples, as parties do sistema e de
boot, somente podem ser do tipo
partio simples ou do tipo Mirror set.
Stripe set com paridade Raid 5: Um Stripe set com paridade um Stripe set com tolerncia a falhas. Junto com os
dados, o Windows Server 2003 grava informaes de paridade (obtidas a partir de clculos matemticos) nos vrios
discos que formam o Stripe set com paridade. Com isso, no evento de falha de um dos discos, toda a informao do
disco com problemas, pode ser reconstituda a partir das informaes de paridade dos outros discos. O disco defeituoso
pode ser substitudo e a informao nele contida pode ser recriada a partir da informao de paridade nos demais
discos do RAID-5. Para que possa ser criada uma partio do tipo RAID-5, um mnimo de trs discos necessrio.
Porm se dois discos falharem, ao mesmo tempo, no ser possvel recuperar a informao. Tambm existem
implementaes de RAID-5 em hardware, que so mais rpidas, porm tem um custo maior.
Armazenamento dinmico
No armazenamento dinmico, criada uma nica partio com todo o espao do disco. Um disco configurado com
armazenamento dinmico chamado de Disco dinmico. Um disco dinmico pode ser dividido em volumes. Um
volume pode conter uma ou mais partes de um ou mais discos. Tambm possvel converter um disco bsico para
disco dinmico, diretamente, sem perda de dados. Existem diferentes tipos de volumes. O tipo de volume a ser utilizado,
determinado por fatores tais como espao disponvel, performance e tolerncia a falhas. A tolerncia a falhas, diz
respeito a possibilidade do Windows Server 2003 manter as informaes, mesmo no evento de comprometimento de
um disco ou volume.
Em discos de volume dinmico podem ser criados os seguintes tipos de volumes:
Volume simples: criado usando todo ou parte do espao de um nico disco. Tambm pode ser criado usando
duas ou mais partes de um mesmo disco dinmico. No fornece nenhum mecanismo de tolerncia a falhas, isto
, se houver algum problema com o disco onde est o volume, toda a informao ser perdida. O Windows Server
2003 pode ser instalado em um volume simples. Se o volume simples no for utilizado como volume do sistema
(onde esto os arquivos de boot do Windows Server 2003) ou como volume de boot (onde esto os arquivos do
Sistema Operacional), ele pode ser estendido (adicionadas novas pores) usando partes do mesmo disco ou de
outros discos. No possvel estender um volume simples se ele for o volume de boot ou o volume do sistema.
Ao estender um volume simples, usando pores de dois ou mais discos, ele torna-se um Spanned volume
(Volume estendido). Mais adiante irei detalhar o conceito de volume estendido.
Volume estendido: Pode incluir espao de at 32 discos. O Windows Server 2003 comea a preencher o espao
do primeiro disco, aps este estar esgotado, passa para o espao disponvel no segundo disco e assim por diante.
No fornece nenhum mecanismo de tolerncia a falhas. Se um dos discos que formam o volume apresentar
problemas, todo o volume estar comprometido. Tambm no oferece melhoria no desempenho, uma vez que a
informao somente gravada ou lida em um disco ao mesmo tempo.
Volume espelhado (Mirrored volume): formado por duas cpias idnticas do mesmo volume, sendo que as
cpias so mantidas em discos separados. Volumes espelhados oferecem proteo contra falha, uma vez que se
um dos discos falhar, a informao do outro disco pode ser utilizada. O espelhamento pode ser desfeito, o disco
defeituoso substitudo, e o espelhamento pode ser refeito. O nico inconveniente que devido a duplicidade das
informaes, o espao de armazenamento necessrio exatamente o dobro. Por exemplo, para espelhar um
volume de 10 GB voc precisar de um espao adicional de 10 GB em outro disco rgido. Ou seja, para 10 Gb de
informaes voc utiliza 20 GB, sendo os 10 GB adicionais para o espelhamento.
Striped Volume: Podem ser combinadas reas de espao livre de at 32 discos. No apresenta nenhum mecanismo
de tolerncia a falhas, pois se um dos discos do Striped Volume falhar, toda a informao estar comprometida.
Uma das vantagens que o desempenho melhora, uma vez que as informaes so gravadas nos diversos
discos ao mesmo tempo.
Volume do tipo RAID-5: Um volume do tipo RAID-5 um Striped volume,
porm com tolerncia a falhas. Junto com os dados, o Windows Server 2003
grava informaes de paridade (obtidas a partir de clculos matemticos)
nos vrios discos que formam o volume do tipo RAID-5. Com isso, no evento
de falha de um dos discos, toda a informao do disco com problemas, pode
ser reconstituda a partir das informaes de paridade, contida nos demais
discos. O disco defeituoso pode ser substitudo e a informao nele contida
pode ser recriada a partir da informao de paridade gravada nos demais
discos do volume RAID-5. Para que voc possa criar um volume do tipo
RAID-5, necessrio espao disponvel em, pelo menos, trs discos fsicos
diferentes. O mecanismo de tolerncia falhas restringe-se a falha de um
dos discos do volume, se dois discos falharem ao mesmo tempo, no ser
possvel recuperar os dados
NOTA: Dispositivos de armaze-
namento removveis, com um Zip drive,
somente suportam armazenamento
bsico e somente podem ter parties
primrias. Alm disso uma partio
primria deste tipo de dispositivo, no
pode ser marcada como ativa, para que
seja possvel dar o boot a partir desta
partio.
Existem mais alguns detalhes importantes que devem ser conhecidos:
OBS. : muito importante lembrar, que o armazenamento dinmico somente
suportado pelo Windows 2000 (Professional e Server e tambm pelo Windows
XP) e pelo Windows Server 2003, sendo que discos dinmicos no sero
reconhecidos por outros sistemas operacionais como o Windows NT Server 4.0,
Windows 95, Windows 98 e Windows NT Workstation 4.0.
Conhecendo estes aspectos bsicos sobre o armazenamento de informaes do
Windows Server 2003, hora de ir para a parte prtica, onde voc aprender a
realizar as tarefas de gerenciamento de discos, utilizando o Snap-in especialmente
projetado para esse fim.
IMPORTANTE: Para acompanhar os
exemplos deste captulo, voc deve
dispor de um disco o qual possa ser
formatado, criadas parties, etc.
Cabe lembrar que todas as
informaes do disco sero perdidas.
Por isso no utilize um disco que
contm informaes importantes e
que no possam ser apagadas. Para
acompanhar os exemplos de criao
de volumes do tipo Striped Volume ou
Volume do tipo RAID-5 voc deve ter
um servidor com espao livro em, pelo
menos, trs discos rgidos diferentes.
Operaes Prticas no Gerenciamento
de Discos e Volumes
Neste tpico (o mais extenso do captulo) voc aprender uma srie de tarefas
relacionadas com a criao, administrao, alterao e excluso de discos e
volumes no Windows Server 2003. Todas estas tarefas podem ser executadas
utilizando a opo Gerenciamento de disco, do console administrativo
Gerenciamento do computador. Porm, para facilitar o trabalho, voc iniciar
o tpico criando um console personalizado, somente com o Snap-in
Gerenciamento de disco. Nos exemplos prticos deste tpico voc utilizar o
console personalizado.
Criando um console personalizado para gerenciamento de discos e volumes
Neste item voc aprender a acessar o console padro para gerenciamento de discos, o qual acessado atravs do
console Gerenciamento do computador, do menu Ferramentas administrativas. Observe que no existe mais uma
ferramenta chamada Disk administrator, como existia no Windows NT Server 4.0. Por isso voc aprender a criar um
console personalizado, onde ser adicionado somente o Snap-in para Gerenciamento de disco.
A criao de um console personalizado, possibilita que a administrao de um servidor seja, mais facilmente dividida
entre vrios administradores, conforme discutido no Captulo 3. Por exemplo, voc pode ter um administrador
responsvel por administrar contas de usurios, outro por administrar discos e assim por diante. Com o console
personalizado, o administrador recebe um console onde carregado apenas o Snap-in que tem a ver com a sua funo.
Com uma interface mais simples, o aprendizado mais rpido.
Exemplo: Para acessar o gerenciamento de discos atravs do console Gerenciamento do computador, siga os passos
indicados a seguir.
2. Abra o console Gerenciamento do Computador: Iniciar -> Ferramentas Administrativas -> Gerenciamento do
Computador.
3. Este console d acesso a diversas tarefas de administrao do Windows Server 2003, tais como auditoria,
configurao e criao de contas de usurios e grupos locais e assim por diante.
4. D um clique no sinal de + ao lado da opo Armazenamento, caso ela no esteja aberta.
5. Sero exibidas trs opes, conforme indicado na Figura 5.3:
Figura 5.3 Opes de Armazenamento.
6. Abaixo de Armazenamento so exibidas opes para administrao do Armazenamento removvel, opo para o
utilitrio de desfragmentao de discos (Desfragmentador de disco) e opo para o gerenciamento de discos e
volumes (Gerenciamento de disco).
7. Feche o console Gerenciamento do computador.
Agora voc ir criar um console personalizado, no qual ir adicionar somente o Snap-in para Gerenciamento de disco.
Em seguida voc ir salvar este console com o nome de Gerenciamento de disco. O console personalizado ser salvo
na rea de trabalho, para facilitar a sua utilizao.
Exemplo: Para criar um console personalizado e salv-lo com o nome de Gerenciamento de discos, siga os seguintes passos:
2. Clique em Iniciar -> Executar.
3. Na janela que surge, no campo Abrir digite mmc e d um clique em OK.
Ser aberta uma janela que mostra o MMC sem nenhum Snap-In Carregado.
4. Com o MMC carregado, d um clique no menu Arquivo e escolha a opo Adicionar/remover Snap-in ... Ser
exibida a janela Adicionar/Remover Snap-in.
5. Na janela Adicionar/Remover Snap-in d um clique no boto Adicionar.
6. Ser exibida a janela Adicionar snap-in autnomo. Nesta janela exibida uma listagem com todos os snap-ins
disponveis no servidor que voc est utilizando.
7. Localize na listagem o seguinte snap-in: Gerenciamento de disco, conforme indicado na Figura 5.4 e d um
9. Surge a janela Selecionar computador. Essa janela permite que voc defina de qual computador voc quer gerenciar
os discos. Neste momento voc pode gerenciar discos de um computador remoto, desde que voc tenha permisso
para isso. Essa uma das novidades introduzidas no Windows 2000 Server e que est presente tambm no Windows
Server 2003, j que em verses anteriores, (NT Server 4.0 ou anterior) somente era possvel gerenciar discos
estando localmente logado no servidor.
Figura 5.4 Selecionando o snap-in de gerenciamento de discos e volumes.
10. Por padro vem selecionado o servidor local Este computador. Aceite esta seleo e d um clique no boto Concluir.
11. Voc estar de volta a janela Adicionar snap-in autnomo.
12. Como voc no ir adicionar mais nenhum snap-in, d um clique no boto Fechar.
13. Voc estar de volta janela Adicionar/remover snap-in. Observe que o snap-in Gerenciamento de disco (local),
j aparece na listagem.
14. D um clique em OK para fechar a janela Adicionar/remover snap-in.
15. Voc estar de volta ao MMC, agora com o snap-in Gerenciamento de disco j carregado, conforme indicado
pela Figura 5.5.
Figura 5.5 O Snap-In Disk Management j carregado.
16. Selecione o comando Arquivo -> Salvar.
17. Na janela Salvar como, no campo Nome do arquivo digite Gerenciamento de disco.
18. Nas opes do lado esquerdo da janela Salvar como) clique na opo Desktop.
19. D um clique no boto Salvar.
20. Feche o MMC.
21. Verifique que na rea de trabalho foi criado o arquivo Gerenciamento de disco.msc (dependendo das configuraes
de pasta que voc est utilizando pode ser que a extenso .msc no esteja sendo exibida). Este arquivo o console
personalizado, para gerenciamento de discos, que utilizarei nos exemplos prticos deste captulo. No incio de cada
exemplo usarei a frase: Abra o console personalizado para Gerenciamento de discos, criado anteriormente.. Para
abrir este console basta dar um clique duplo no respectivo arquivo (Grenciamento de disco.msc), na rea de trabalho.
Agora temos um console somente com o Snap-in para Gerenciamento de disco carregado. Este console pode ser
utilizado por um administrador com funes especficas de gerenciar discos. um console que possui apenas as
opes necessrias para a tarefa em questo Gerenciar discos.
Nos demais itens deste tpico, utilizarei o console Gerenciamento de disco, para os exemplos prticos que sero
apresentados. Para acompanhar os exemplos deste tutorial, voc precisa estar logado como Administrador, ou a sua conta
de usurio deve ter permisses de administrador, pois voc ir executar uma srie de tarefas, tais como criar novos
volumes, excluir volumes, formatar volumes e assim por diante, tarefas estas que exigem permisso de administrador.
reconhecidos pelo Windows Server 2003
Pode acontecer de aps o administrador ter instalado, fisicamente o disco e inicializado o servidor, de o disco ter sido
reconhecido no Setup do computador, porm ainda no estar disponvel para uso no Windows Server 2003. Nestas
situaes o disco pode apresentar diferentes Status, dependendo de o disco j estar sendo utilizado em outro servidor,
de estar ou no formatado, de fazer ou no parte de um volume set ou de um volume RAID-5 e assim por diante. No
prximo exemplo mostrarei uma situao onde dois novos discos foram instalados no servidor. O Windows Server
2003 reconheceu a presena destes discos, porm marcou-os com o Status Foreign (Externo). Este status, normalmente,
indica discos que estavam sendo utilizados em outros computadores e foram instalados no servidor no qual voc est
trabalhando. No exemplo a seguir mostrarei como tornar estes discos disponveis para o Windows Server 2003. Voc
ir, primeiro, importar os discos.
Exemplo: Para tornar disponveis discos com o status Foreign (Externo), siga os passos indicados a seguir:
1. Faa o logon como Administrador ou com uma conta com permisses de administrador.
2. Abra o console personalizado para Gerenciamento de Discos, criado anteriormente.
3. Clique na opo Gerenciamento de disco.
4. Em alguns instantes so exibidos os discos disponveis no computador. No exemplo da Figura 5.6 so exibidos
dois discos com o status Foreign (Externo). Neste exemplo voc ir importar estes discos e depois ir excluir os
volumes (ou volume) neles existentes.
Observe que o Disco 2 e o Disco 3 esto com o status Foreign (Externo). O Windows Server 2003 numera os discos a
partir do zero. No servidor da Figura 5.6 existem 4 discos instalados (Disco 0, Disco 1, Disco 2 e Disco 3). Voc ir
importar os discos 2 e 3, os quais esto com o status Foreign (Externo).
5. Clique com o boto direito do mouse prximo ao ponto de exclamao, ao lado de Disco 2. No menu de opes
que exibido clique na opo Import Foreign Disks... (Importar discos externos).
Figura 5.6 Discos com o status Foreign.
6. Ser exibida a janela Import Foreign Disks (Importar discos externos). Nesta janela j vem selecionado o disco no
qual voc clicou com o boto direito do mouse, conforme indicado na Figura 5.7. Se voc clicar no boto Disks...
(Discos) ser exibido o disco no qual voc clicou com o boto direito do mouse. Nesta janela somente pode ser
selecionado um disco por vez, ou seja, no possvel importar mais de um disco ao mesmo tempo.
Figura 5.7 Discos com o status Foreign (Externo).
7. Clique em OK e pronto, o disco ser importado. Observe que o disco que voc acabou de importar j est
disponvel para uso.
8. Agora clique com o boto direito do mouse no outro disco a ser importado. Selecione o comando Import Foreign
Disks... (Importar discos externos...)
9. A janela Import Foreign Disks (Importar discos externos) ser exibida. Clique em OK. Se houver algum volume
que possa ser utilizado no Windows Server 2003, disponvel no disco que est sendo importado, ser exibida a
janela Foreign Disk Volumes (Volumes do disco externo).
10. Clique em OK para fechar esta janela.
11. Pronto, o disco foi importado e est disponvel para uso, conforme indicado na Figura 5.8, onde no existe mais
nenhum disco com o status Foreign (externo). Todos os discos esto com o status Online. Observe que no ltimo
disco que foi importado (Disco 3) existe um volume simples (formado por duas pores do disco, uma de 2 GB
e outra de 512 MB e um espao no alocado de 1,51 GB).
Figura 5.8 Volumes existentes no disco que foi importado.
A seguir apresenta uma descrio de cada um dos possveis Status que podem ser exibidos para um disco, no console
Status Externo:
O status Externo ocorre quando voc move um disco dinmico de um computador
que esteja executando o Windows 2000, Windows XP Professional, ou a famlia de
sistemas operacionais Windows Server 2003 para o computador local. O status Externo
tambm pode ocorrer em computadores executando o Windows XP Home Edition
que estejam configurados como multi boot, com outro sistema operacional que use
discos dinmicos (como o Windows 2000 Professional ou o Windows XP Professional).
No h suporte para discos dinmicos no Windows XP Home Edition ou em notebooks.
Um cone de aviso exibido nos discos que exibem o status Externo.
Para acessar os dados no disco, voc deve adicionar o disco configurao de
sistema do computador. Para adicionar um disco configurao de sistema do
computador, importe o disco externo (conforme descrito no exemplo anterior).
IMPORTANTE: No entanto, voc
no poder acessar dados no disco
se estiver executando o Windows XP
Home Edition. Para usar o disco no
Windows XP Home Edition,
necessrio convert-lo em disco
bsico, o que destri todos os dados
contidos nele. Tambm importante
salientar, que computadores
mveis, como Notebooks, no tem
suporta a discos dinmicos.
Todos os volumes existentes no disco externo se tornam visveis e acessveis
quando voc importa o disco.
Em alguns casos, um disco que foi previamente conectado ao sistema pode exibir
o status Externo. Os dados de configurao dos discos dinmicos so armazenados
em todos os discos dinmicos. Portanto, as informaes sobre quais discos
pertencem ao sistema se perdem quando todos os discos dinmicos falham.
Status Inicializando:
O status Inicializando um status temporrio que ocorre quando voc converte
um disco bsico em dinmico. Quando a inicializao termina, o status do disco
alterado para On-line.
IMPORTANTE: No converta um
disco dinmico em bsico, a menos
que voc tenha certeza de que no
precisar mais dos dados contidos
nesse disco. A converso de um
disco dinmico em bsico destruir
todos os dados do disco.
Status Faltando:
O status Faltando ocorre quando um disco dinmico corrompido, desligado ou desconectado. Em vez de ser exibido na
coluna de status, o status Faltando exibido como nome de disco. Aps reconectar ou ligar o disco ausente, abra o
console Gerenciamento de disco, clique com o boto direito do mouse no disco ausente e, em seguida, clique em Reativar
disco. Se houver mais de um disco faltando no grupo, o Gerenciamento de disco tentar reativar todos os discos.
Status No inicializado:
O status No inicializado ocorre quando um disco no contm uma assinatura vlida. Depois que voc instala um novo
disco, o Windows XP Professional ou a famlia de sistemas operacionais Windows Server 2003 deve gravar um
registro de inicializao principal (MBR) ou uma tabela de partio GUID (GPT) para que seja possvel criar parties
no disco. Quando voc iniciar o Gerenciamento de disco pela primeira vez aps a instalao de um novo disco, ser
exibido um assistente que fornece uma lista dos novos discos detectados. Se voc cancelar o assistente antes que a
assinatura de disco seja gravada, o status do disco permanecer como No inicializado at que voc clique com o
boto direito do mouse no disco e, em seguida, clique em Inicializar disco. O status do disco se altera brevemente para
Inicializando e, em seguida, para On-line.
Status On-line:
O status On-line ocorre quando um disco bsico ou dinmico pode ser acessado e aparenta no ter nenhum problema.
Este o status normal de um disco. No necessria nenhuma ao do usurio.
Status On-line (erros):
O status On-line (erros) ocorre quando os erros de E/S (entrada e sada) so detectados em uma regio de um disco
dinmico. Um cone de aviso exibido no disco dinmico com erros.
Se os erros de E/S forem temporrios, (por exemplo, devido a um fio solto que j esteja no lugar) o disco retornar
para o status On-line quando voc reativ-lo.
Status Off-line:
O status Off-line ocorre quando um disco dinmico no pode ser acessado. O disco dinmico pode estar corrompido
ou temporariamente no disponvel. Um cone de erro exibido no disco dinmico off-line.
Se o status do disco for Off-line e o nome do disco for alterado para Faltando, sinal de que o disco estava recentemente
disponvel no sistema, mas no pode mais ser localizado ou identificado. O disco ausente pode estar corrompido,
desligado ou desconectado.
Colocando um disco que est off-line e ausente novamente on-line:
Repare qualquer disco, controlador ou problema de cabo e certifique-se de que o disco fsico est ligado, conectado
fonte de energia e instalado no computador. No Gerenciamento de disco, clique com o boto direito do mouse no disco
e, em seguida, clique em Reativar disco para colocar o disco novamente on-line.
Se o status do disco permanecer Off-line, o nome do disco continuar como Faltando e voc determinar que o disco est
com um problema que no pode ser reparado, remova o disco do sistema (usando o comando Remover disco). Entretanto,
antes de remover o disco, exclua todos os volumes (ou espelhos) do disco. Voc pode salvar todos os volumes espelhados
do disco removendo o espelho, em vez de remover todo o volume. A excluso de um volume destruir os dados do
volume. Portanto, voc deve remover um disco somente se estiver absolutamente certo de que o disco est definitivamente
danificado ou inutilizado.
Colocando um disco que est off-line e ainda chamado de Disco n (no ausente) novamente on-line:
No Gerenciamento de disco, clique com o boto direito do mouse no disco e, em seguida, clique em Reativar disco
para colocar o disco novamente on-line. Se o status do disco continuar Off-line, verifique os cabos e o controlador do
disco, e certifique-se de que o disco fsico est ntegro. Corrija quaisquer problemas e tente reativar o disco novamente.
Se a reativao do disco tiver xito, todos os volumes do disco retornaro automaticamente ao status ntegro.
Status Ilegvel:
O status Ilegvel ocorre quando um disco bsico ou dinmico no pode ser acessado. O disco pode estar com uma
falha de hardware, corrompido ou com erros de E/S. A cpia do banco de dados de configurao de disco do sistema
pertencente ao disco pode estar corrompida. Um cone de erro exibido nos discos que exibem o status Ilegvel.
Os discos podem exibir o status Ilegvel enquanto esto girando ou quando o Gerenciamento de disco est examinando
novamente todos os discos do sistema. Em alguns casos, um disco ilegvel apresenta falha e no pode ser recuperado.
Nos discos dinmicos, o status Ilegvel geralmente provocado por danos e erros de E/S em parte do disco, e no por
falhas no disco inteiro. Voc pode examinar novamente os discos (clique em Ao e, em seguida, clique em Examinar
discos novamente) ou reiniciar o computador para ver se o status do disco foi alterado.
Nos prximos exemplos voc aprender a criar, formatar e a gerenciar os diversos tipos de volumes disponveis no
Acessando informaes sobre os discos do seu servidor
Neste item detalharei um pouco mais o console Gerenciamento de disco. Alm de abrir o console personalizado,
criado anteriormente, voc ir acessar informaes sobre os discos instalados no sistema e aprender a interpretar estas
informaes. Tambm aprender a fazer a conexo com um outro computador da rede, para que seja possvel gerenciar
os discos deste computador remotamente. Conforme citado anteriormente, a possibilidade de gerenciamento remoto
de discos uma novidade que foi introduzida a partir do Windows 2000 Server, e se encaixa na filosofia de facilitar a
administrao centralizada dos recursos do sistema.
Exemplo: Para acessar as informaes sobre os discos instalados no seu servidor, siga os seguintes passos
indicados a seguir:
2. Abra o console personalizado para Gerenciamento de discos, criado anteriormente.
4. Em poucos instantes o Windows Server 2003 exibir informaes sobre os diversos discos e as parties criadas
em cada um deles, conforme exemplo mostrado na Figura 5.9:
Figura 5.9 Informaes sobre os discos instalados e os respectivos volumes.
5. Observe na legenda (parte de baixo do console), que Parties primrias so exibidas com a barra de ttulo em
Azul escuro, volumes simples em verde, e espao No alocado em preto. Outros tipos de volumes so exibidos
com diferentes cores.
6. Observe tambm que o Primeiro disco chamada de Disk 0 (Disco 0), o segundo de Disk 1 (Disco 1) e assim
por diante.
7. No exemplo da Figura 5.9, no Disco 0, existe um nico volume de 19,01 GB, (C:) formatada com NTFS, a
qual a partio do Sistema, conforme indicado pela palavra Sistema entre parnteses. Este um disco
bsico e contm os arquivos de boot (partio do sistema), bem como os arquivos do sistema operacional
(partio de boot).
8. Da mesma forma voc pode observar que o Disco 3 um disco de 510 MB (bem antigo, na verdade o HD que
utilizei em meu primeiro comutador, um 486 DX2 66) o qual no est sendo utilizado, ou seja, nenhum volume
foi criado neste disco. Na verdade ele ainda est como disco bsico. Para que voc possa criar volumes neste disco
ele deve ser convertido para disco dinmico (conforme voc aprender mais adiante).
9. Na parte de cima da janela, existe uma listagem com todas as parties/volumes configuradas no computador.
So exibidas informaes tais como o espao ocupado, o espao livre, a porcentagem do espao livre, o sistema
de arquivos, etc. Observe que a segunda coluna informa o Layout, o qual Partio para discos bsicos e o tipo
de volume para discos dinmicos. A terceira coluna informa o tipo de armazenamento se bsico ou dinmico.
10. Voc pode configurar quais informaes so exibida no painel de cima do console (lista de discos, lista de volumes
ou uma visualizao grfica dos discos). Para configurar o tipo de visualizao do painel de cima, selecione um
dos seguintes comandos: Exibir -> Superior -> Lista de disco, para exibir uma lista dos discos do sistema; Exibir
-> Superior -> Lista de volume, para exibir uma lista dos volumes configurados no sistema ou Exibir -> Superior
-> Visualizao grfica), para exibir um listagem grfica dos discos instalados no sistema.
11. Voc pode configurar quais informaes so exibida no painel de baixo do console (lista de discos, lista de
volumes ou uma visualizao grfica dos discos). Para configurar o tipo de visualizao do painel dcima
selecione um dos seguintes comandos: Exibir -> Inferior -> Lista de discos, para exibir uma lista dos discos do
sistema; Exibir -> Inferior -> Lista de volume, para exibir uma lista dos volumes configurados no sistema;
Exibir -> Inferior -> Visualizao grfica, para exibir um listagem grfica dos discos instalados no sistema ou
Exibir -> Inferior -> Ocultar, para ocultar o painel de baixo, onde por padro exibida uma listagem grfica
dos discos do sistema.
12. Feche o console personalizado Gerenciamento de discos.
Trabalhando com parties em um disco de armazenamento bsico
Neste item voc aprender a realizar algumas operaes bsicas com parties em um disco de armazenamento
bsico. Mostrarei como criar uma nova partio, format-la com um sistema de arquivos e excluir uma partio que
no seja mais necessria. Ao excluir uma partio, o espao que era ocupado pela partio ser liberado e aparece
como espao no alocado, isto , espao disponvel para ser utilizado por outras parties.
Exemplo: Para criar e formatar uma nova partio a partir de um espao no alocado, em um disco bsico, siga os
seguintes passos:
2. Abra o console personalizado para Gerenciamento de disco, criado anteriormente.
3. Clique na opo Gerenciamento de disco. Localize um disco que contenha espao no alocado, normalmente
indicado pela expresso No alocado e pela barra de ttulo na cor preta.
4. Para criar uma nova partio no espao no alocado, d um clique com o boto direito neste espao. No menu que
surge, d um clique na opo Nova partio...
5. Ser iniciado o Assistente para criao de novas parties.
Figura 5.10 Criando uma partio primria em um disco bsico.
6. A tela inicial simplesmente uma mensagem informativa. D um clique no boto Avanar para ir para a prxima
etapa do assistente.
7. Na segunda tela do assistente, voc tem que definir o tipo de partio que est sendo criada. Dependendo da
partio, uma ou mais opes podem estar desabilitadas. Escolha Partio primria, conforme indicado na Figura
5.10. A opo Partio primria utilizada para a primria partio criada em um disco bsico. A segunda partio
deve ser criada como partio estendida e depois, em cima da partio estendida, criam-se drivers lgicos, conforme
descrito no incio deste captulo.
8. D um clique no boto Avanar para ir para a prxima tela do assistente.
9. Nesta etapa voc define o tamanho, em MB, que a nova partio ir utilizar. No campo Tamanho da partio em
MB, especifique o tamanho da nova partio, conforme exemplo da Figura 5.11.
Figura 5.11 Definindo o tamanho da nova partio que est sendo crida.
10. D um clique no boto Avanar para ir para a prxima tela do assistente.
11. Na quarta tela do assistente esto disponveis diversas opes. Voc pode definir a letra de unidade que ser
associada com esta partio. Por padro o Windows Server 2003 sugere a primeira letra que estiver disponvel
para uso. Na lista Atribuir uma letra de unidade, selecione a letra desejada, conforme exemplo da Figura 5.12 e d
um clique no boto Avanar para ir para a prxima tela do assistente.
12. D um clique no boto Avanar, para ir para a prxima tela do assistente.
13. Nesta etapa voc define uma srie de detalhes a respeito da partio. Voc define se ir format-la agora ou no,
Qual o sistema de arquivos a ser utilizado. Se vai ou no utilizar compresso de arquivos. Pode ser definido um
nome para a partio. Na Figura 5.13 mostro um exemplo onde a partio ser formatada, com o sistema de
arquivos NTFS, foi mantido o tamanho padro de unidade de alocao, o nome da unidade foi definido como
Exemplo-01, foi escolhida uma formatao rpida (Executar uma formatao rpida) e foi habilitada a compactao
de arquivos (Ativar compactao de arquivos e pastas).
Figura 5.12 Selecionando a letra a ser associada com a nova partio.
Figura 5.13 Especificando as informaes para a formatao da partio.
14. D um clique no boto Avanar para ir para a tela final do assistente. Nesta
tela exibido um resumo com as opes que voc escolheu nos diversos
passos do assistente. Caso voc queira alterar alguma informao, basta utilizar
o boto Voltar.
15. D um clique no boto Concluir para finalizar a criao e formatao da
partio.
16. Na figura 5.14, exibida a partio X:, com 250 MB, formatada com o sistema
de arquivos NTFS e com o nome de Exemplo-01, criada neste exemplo
NOTA: Caso voc no formate a
partio no momento de criao,
possvel format-la facilmente depois.
Para isso basta abrir o Meu
computador e clicar com o boto
direito do mouse no drive
correspondente a partio no
formatada e no menu que surge, d
um clique na opo Formatar. Surge
uma janela com as opes de
formatao onde voc pode especificar
os detalhes para a formatao.
Figura 5.14 Partio Exemplo-01 com 250 MB, recm criada.
17. Observe ainda, que somente restaram 3,76 GB (4,01 GB 250 MB), no alocados no Disco 1, onde a partio foi
criada. Se voc abrir o Meu computador ou o Windows Explorer, na listagem de drivers j estar sendo exibido
o drive X: (Exemplo-01), com 250 MB de espao disponvel.
18. Feche o console Gerenciamento de disco. Caso o Windows Server 2003 pea para salvar as alteraes, d um
clique em Sim.
Agora voc aprender a excluir uma partio criada em um disco bsico. Voc ir excluir a partio Exemplo-01,
recm criada.
Exemplo: Para excluir uma partio siga os seguintes passos:
4. Localize a partio a ser excluda e d um clique com o boto direito do mouse sobre a ela. Por exemplo, localize
a partio X: criada no exemplo anterior e d um clique com o boto direito do mouse nesta partio. No menu
que surge d um clique na opo Excluir partio...
5. O Windows Server 2003 emite um aviso de que todos os dados da partio sero perdidos e pede confirmao
para a excluso da partio, conforme indicado na Figura 5.15:
Figura 5.15 Pedindo confirmao para a excluso da partio.
6. D um clique em Sim para confirmar a excluso.
7. O espao que era ocupado pela partio, agora fica sendo exibido como espao no alocado.
8. Feche o console Gerenciamento de disco.
Eliminando um volume set, disk mirror, stripe set e
stripe set com paridade em discos de armazenamento bsico
Exemplo: Para eliminar qualquer tipo de volume em um disco bsico, siga os passos indicados a seguir:
1. Faa o logon como Administrador ou com uma conta com permisses de
administrador.
2. Abra o console personalizado para Gerenciamento de disco, criado
anteriormente.
4. Localize a partio a ser excluda e d um clique com o boto direito do
mouse sobre a ela. No menu que surge d um clique na opo Excluir
partio...
5. O Windows Server 2003 emite um aviso de que todos os dados da partio
sero perdidos e pede confirmao para a excluso da partio.
6. D um clique em Sim para confirmar a excluso.
7. O espao que era ocupado pela partio, agora fica sendo exibido como espao
no alocado.
8. Feche o console Gerenciamento de disco.
Convertendo um disco de Armazenamento bsico para
Conforme descrito no incio deste captulo, possvel converter um disco de
Armazenamento bsico para Armazenamento dinmico, sem perda de dados. Para
efetuar a converso para Armazenamento dinmico, deve haver pelo menos 1 MB
de espao no alocado, no disco a ser convertido, para que a converso possa ser
feita com sucesso. O console de Gerenciamento de disco, automaticamente reserva
este espao ao criar parties ou volumes em um disco. Porm discos com parties
ou volumes criados por outros sistemas operacionais, podem no ter este espao
no alocado, disponvel. Um disco com Armazenamento dinmico no ter
parties ou drivers lgicos, ao invs disso o disco dividido em volumes,
conforme detalhado no incio deste captulo.
Converter um disco de Armazenamento dinmico de volta para Armazenamento
bsico diretamente, no possvel, sem perda de dados. Primeiro voc deve excluir
todos os volumes existentes no disco de Armazenamento dinmico, para depois
revert-lo para armazenamento bsico. Porm isso causa a perda de toda a
informao armazenada no disco, a qual deve ser restaurada a partir de uma cpia
de segurana (backup).
IMPORTANTE: Quando feita a
migrao do Windows NT Server 4.0
para o Windows Server 2003,
qualquer Volume set ou disk mirror
existente ser mantido. O Windows
Server 2003 tambm mantm
qualquer Stripe set ou Stripe set com
paridade. Porm uma vez instalado o
Windows Server 2003, no possvel
criar novos volumes do tipo Volume
set, disk mirror, Stripe set ou Stripe
set com paridade, em discos de
armazenamento bsico. Somente
possvel criar estes tipos de volumes
em discos de armazenamento
dinmico. Isso acontece porque o
Windows Server 2003 d preferncia
a que seja utilizado o Armazenamento
dinmico, sendo que o suporte a
Volume set, disk mirror, Stripe set e
Stripe set com paridade em parties
de armazenamento bsico, somente
mantido por questes de
compatibilidade com verses
anteriores do Windows. Voc pode
criar estes diversos elementos, apenas
em discos de armazenamento
dinmico, conforme mostrarei nos
prximos itens.
Quando voc converte um disco de Armazenamento bsico para Armazenamento
dinmico, o Windows Server 2003 efetua o mapeamento das parties existentes
para os tipos de volume indicados na tabela 5.1.
Tabela 10.1 Converso de armazenamento bsico para dinmico.
IMPORTANTE: Se um disco bsico
possui parte de uma partio que se
estende por mais de um disco (Vol-
ume set, Stripe set, Disk mirror ou
Stripe set com paridade), todos os
discos que contm as partes da
partio devem ser convertidos ao
mesmo tempo. Todos os discos devem
conter, pelo menos, 1 MB de espao
no alocado, caso contrrio a
converso ir falhar. Este espao de
1 MB pode existir mesmo que no
seja visvel no Snap-in de
Gerenciamento de disco, conforme
Caso programas instalados no disco a ser atualizado, estejam abertos, estes devem
ser fechados antes que a atualizao possa ser feita.
As parties de boot e do sistema somente so convertidas aps uma reinicializao
do computador. Todas as outras parties sero atualizadas imediatamente.
No prximo exemplo voc aprender os passos para a converso de um disco
bsico para disco dinmico.
Exemplo: Para converter um disco bsico para Armazenamento dinmico siga os
seguintes passos:
administrador.
2. Abra o console personalizado para Gerenciamento de disco, criado
anteriormente.
4. Em poucos instantes o Windows Server 2003 exibe as informaes sobre os
discos instalados no seu computador.
5. Localize o disco a ser atualizado para Armazenamento dinmico, d um clique
com o boto direito do mouse sobre o disco (Disco 0, Disco 1, etc), e no
menu que surge d um clique na opo Converter em disco dinmico...
6. Surge uma janela perguntando quais discos que voc deseja atualizar.
Certifique-se que apenas o disco que voc quer atualizar est marcado,
conforme indicado pela Figura 5.17, onde esta sendo atualizando o Disco 1.
Disco Bsico Disco Dinmico
Partio do sistema Volume simples
Partio do boot Volume simples
Partio primria Volume simples
Partio estendida Um volume simples para cada drive lgico e
qualquer espao no alocado restante
Drive lgico Volume simples
Valome set Spanned volume
Stripe set Striped volume
Disk mirror Mirrored volume
Stripe set com paridade Volume RAID-5
IMPORTANTE: Clique na parte da
esquerda, onde est escrito Disco n,
onde n o nmero do Disco a ser
convertido para dinmico, conforme
destacado na Figura 5.16. Se voc
clicar em uma das parties ou no
espao no alocado, no surgir a
opo Converter em disco dinmico...
Figura 5.16 Clique com o boto direito na parte destacada na figura.
Figura 5.17 Marque apenas o disco (ou discos) a ser atualizado.
7. D um clique no boto OK e aguarde. Em poucos instantes o Windows Server 2003 j mostra no console de
Gerenciamento do computador, que o disco foi convertido para Armazenamento dinmico, conforme indicado
pela Figura 5.18.
Figura 5.18 Disco 1 j convertido para Armazenamento dinmico.
8. Feche o console de Gerenciamento de disco.
Criando e expandindo um Volume simples
Neste item voc aprender a criar e a expandir um volume simples. possvel criar um Volume simples, em
qualquer espao no alocado de um disco de Armazenamento dinmico. Um Volume simples pode conter espao
no alocado de um nico disco, possui uma letra de unidade atribuda ao Volume, pode ser formatado com FAT,
FAT32 ou NTFS. Aps criado, um Volume simples pode ser expandido somente com espao do mesmo disco e
somente se tiver sido formatado com NTFS. Um Volume simples, aparece para o Windows Server 2003 como um
drive. Por exemplo F:, G:, etc.
importante lembrar que um volume simples no apresenta nenhum tipo de
mecanismo a falha, ou seja, se houver algum problema com o volume ou com o
disco no qual o volume foi criado, todos os dados sero perdidos e a nica maneira
de recupera-los utilizando uma cpia de segurana (backup), supondo,
evidentemente, que voc, como bom administrador que , tenha cpias de
segurana sempre atualizadas e confiveis.
Nos prximos exemplos prticos voc continuar a usar o console personalizado
Gerenciamento de disco, criado no incio deste tpico. Ao invs deste console
voc poderia tambm utilizar o console Gerenciamento do computador. No console
Gerenciamento do computador, basta acessar a opo Gerenciamento de disco,
dentro do grupo Armazenamento.
IMPORTANTE: Embora seja
possvel usar FAT ou FAT32 como
sistema de arquivos,
recomendado o uso do sistema
NTFS, principalmente em servidores
da rede. O sistema de arquivos NTFS
apresenta uma srie de vantagens
relacionadas a segurana, conforme
descreverei mais adiante.
IMPORTANTE: Algumas das
opes nesta etapa podem estar
desabilitadas. Por exemplo, se no
houver espao no alocado em, pelo
menos, trs discos diferentes, a
opo RAID-5 estar desabilitada.
Exemplo: Para criar um Volume simples siga os seguintes passos:
4. Em poucos instantes o Windows Server 2003 exibe as informaes sobre os discos instalados no seu computador.
5. Localize um disco de Armazenamento dinmico que possua espao no alocado.
6. D um clique com o boto direito do mouse em qualquer parte do espao no alocado. No menu que surge d um
clique na opo Novo volume...
7. O Windows Server 2003 abre o Assistente para criao de volumes.
8. A primeira tela simplesmente informativa. D um clique no boto Avanar para ir para a segunda tela do assistente.
9. Na segunda etapa voc deve selecionar o tipo de volume que ser criado.
Marque a opo Simples, conforme indicado na Figura 5.19:
10. D um clique no boto Avanar para ir para a terceira tela do assistente.
11. Na terceira etapa, o Windows Server 2003 exibe o disco no qual ser criado
o Volume, e tambm o tamanho mximo disponvel. Nesta tela, caso existam
outros discos dinmicos, com espao livre, possvel alterar o disco no qual
ser criado o Volume simples. Para isto basta marcar o disco desejado e utilizar
o boto Adicionar para incluir o disco desejado.
12. No exemplo da Figura 5.20, est sendo criado um volume simples o qual
ocupa 200 MB dos 4103 MB disponveis no Disco 1.
Figura 5.19 Criando um Volume simples.
Figura 5.20 Criando um Volume simples de 200 MB no Disco 1.
13. Especifique um tamanho para o volume a ser criado e d um clique no boto Avanar para ir para a prxima etapa
do assistente.
14. Nesta etapa voc define uma letra de unidade a ser associada com o volume que est sendo criado. Por padro o
Windows Server 2003 sugere a primeira letra disponvel.
15. Aceita a sugesto do Windows Server 2003 e d um clique no boto Avanar para ir para prxima etapa do assistente.
Figura 5.21 Especificando as informaes para a formatao do volume simples.
16. Nesta etapa voc define uma srie de detalhes a respeito do volume simples
que est sendo criado. Voc define se ir format-la agora ou no, Qual o
sistema de arquivos a ser utilizado. Se vai ou no utiliza compresso de
arquivos. Pode ser definido um nome para o volume. Na Figura 5.21 mostro
um exemplo onde a partio ser formatada, com o sistema de arquivos NTFS,
foi mantido o tamanho padro de unidade de alocao, o nome da unidade
foi definido como Volsim-01, foi escolhida uma formatao rpida (Executar
uma formatao rpida) e foi habilitada a compactao de arquivos (Ativar
compresso de arquivos e pastas).
17. Defina as opes de formatao e d um clique no boto Avanar, para ir
para a tela final do assistente.
18. Na etapa final exibido um resumo das escolhas feitas nas etapas anteriores.
Caso voc queira alterar alguma opo, utilize o boto Voltar, para voltar as
etapas anteriores e fazer as correes necessrias.
19. D um clique no boto Concluir e pronto. Em poucos instantes o Windows
Server 2003 ter criado um Volume simples com as opes especificadas,
NOTA: Caso voc no formate o
volume simples no momento de sua
criao, possvel format-lo
facilmente depois. Para isso basta
abrir o Meu computador e clicar com
o boto direito do mouse na letra
do drive associado com o volume
no formatado e, no menu que
surge, dar um clique na opo
Formatar. Surge uma janela com as
opes de formatao onde voc
pode especificar os detalhes para a
formatao.
Figura 5.22 Volume simples de 200 MB, formatado com NTFS.
20. Mantenha o console para Gerenciamento de disco aberto, pois voc ir utiliza-lo nos prximos exemplos prticos.
Exemplo: Neste exemplo voc aprender a expandir um Volume. Expandir o volume significa aumentar o espao total
do volume simples, acrescentando espaos de reas no alocadas no mesmo disco ou em outros discos disponveis. Se
voc expandir o volume simples, atravs da adio de reas no alocadas em outro disco, o volume simples torna-se
um Spanned Volume (volume expandido que ocupa espaos em dois ou mais discos).
Para expandir um volume simples siga os seguintes passos:
1. Com o console para Gerenciamento de disco ainda aberto, d um clique com o boto direito do mouse sobre o
volume a ser estendido. Na menu que surge d um clique na opo Estender Volume...
2. Ser aberto o Assistente para extenso de volumes.
3. A primeira tela simplesmente informativa, d um clique no boto Avanar para ir para a prxima etapa do
assistente.
4. Na segunda etapa, o Windows Server 2003 exibe informaes sobre o espao no alocado disponvel em cada disco
do sistema. Por padro vem adicionado apenas o disco onde est o volume a ser estendido. Voc pode adicionar
espao de outros discos disponveis (Disco 3, na Figura 5.23), usando o boto Adicionar. Porm lembre que, ao usar
espaos de outros discos, voc transforma o volume simples em um volume do tipo Spanned Volume. Outro detalhe
importante que s so listados os discos dinmicos. Neste exemplo, no listado o Disco 2, pois ele ainda um
disco bsico. Conforme exemplo da Figura 5.23 estou adicionando mais 150 MB de espao no alocado.
Figura 5.23 Estendendo o volume em mais 150 MB
5. Selecione as opes desejadas e d um clique no boto Avanar para ir para a tela final do assistente.
6. Na tela final, o Windows Server 2003 exibe as opes escolhidas nos passos anteriores. Caso deseje alterar
alguma opo, utilize o boto Voltar.
7. D um clique no boto Concluir para estender o volume em mais 150 MB (ou pelo valor que voc definiu no
passo 4). Com isso o Volume simples (do nosso exemplo) deve estar com 350 MB, 200 da criao original mais
150 MB que foram adicionados, conforme indicado na Figura 5.24:
Figura 5.24 Volume Volsim-01 com 350 MB.
Criando um volume estendido
Um Volume estendido em discos de Armazenamento dinmico, similar a um Volume set nos discos de Armazenamento
bsico. Consiste de no mnimo duas e no mximo 32 reas no de espao no alocado, em discos diferentes. Pode
combinar reas de diferentes tamanhos. O Windows Server 2003 grava na primeira rea at preench-la, depois passa
para a segunda e assim por diante. No apresenta tolerncia a falhas, pois se uma das reas apresentar problemas, todo
o Volume estendido estar comprometido.
Voc pode criar Volumes estendidos atravs do console Gerenciamento do computador, na opo Armazenamento
Gerenciamento de disco. Para que a opo Volume estendido esteja habilitada, deve existir espao livre, em pelo
menos dois discos de Armazenamento dinmico.
Exemplo: Para criar um Volume estendido siga os seguintes passos:
5. Certifique-se de que voc possui espao no alocado em pelo menos dois discos de Armazenamento dinmico.
6. Clique com o boto direito do mouse em um dos espaos no alocados, e na opo que surge d um clique em
Novo volume...
7. O Windows Server 2003 exibe o Assistente para criao de volumes. A primeira etapa simplesmente informativa.
D um clique no boto Avanar para ir para a segunda etapa do Assistente.
8. Na segunda etapa voc deve selecionar o tipo de volume a ser criado. D um clique na opo Estendido para
marca-la. Se no estiver disponvel espao no alocado em, pelo menos, dois discos dinmicos diferentes, a
opo Estendido no estar habilitada. D um clique no boto Avanar, para ir para a terceira etapa do Assistente.
9. Nesta tela so exibidos os discos com Armazenamento dinmico que possuem espao no alocado, os quais
podem ser utilizados para criar o Volume estendido. Voc pode utilizar todo o espao no alocado de cada disco,
bem como somente parte dele. Esta tela dividida em duas colunas. Na coluna da direita esto os discos a partir
dos quais voc utilizar espao no alocado. Observe que o disco no qual voc clicou com o boto direito do
mouse antes de iniciar o assistente, j aparece na coluna Selecionados. Observe tambm, que existem mais dois
discos com espao no alocado, os quais podem ser utilizados para criao do Volume estendido. Para adicionar
espao de outros discos basta clicar no disco, na coluna Disponveis e depois clicar em Adicionar, para incluir o
disco na lista Selecionados. Em seguida clique no disco na lista Selecionados para selecion-lo e defina o espao
que ser utilizado deste disco. O espao informado no campo Selecione o espao em MB. Voc deve repetir esta
operao para definir o espao a ser utilizado em cada um dos discos que faro parte do Volume expandido. Voc
pode utilizar diferentes espaos de cada disco. No exemplo da Figura 5-25 vou criar um Volume de 500 MB, no
qual utilizo 50 MB do disco 1, 250 do disco 2 e 200 do disco 3.
Figura 5.25 Especificando as configuraes para o Volume estendido de 500 MB.
10. D um clique no boto Avanar, para ir para a prxima etapa do Assistente.
11. Nesta etapa voc define a letra que ser associada com o volume. Selecione uma das letras disponveis e d um
clique no boto Avanar, para ir para a prxima etapa do assistente.
12. Nesta etapa voc define uma srie de detalhes a respeito do volume que est sendo criado. Voc define se ir
format-la agora ou no, Qual o sistema de arquivos a ser utilizado. Se vai ou no utilizar compresso de arquivos.
Pode ser definido um nome para o volume. Na Figura 5.26 mostro um exemplo onde o volume ser formatado com
o sistema de arquivos NTFS, foi mantido o tamanho padro de unidade de alocao, o nome da unidade foi definido
como VolEsp-01, foi escolhida uma formatao rpida e foi habilitada a compactao de arquivos e pastas.
13. Defina as opes de formatao e clique no boto Avanar, para seguir para a prxima etapa do assistente.
14. Ser exibida a tela da ltima etapa do assistente, onde apresentado um resumo das opes selecionadas. Caso
alguma opo esteja incorreta, utilize o boto Voltar.
15. D um clique em Concluir para criar o Volume estendido.
16. Em poucos instantes o Windows Server 2003 criar e formatar o Volume, conforme indicado na Figura 5.27:
Figura 5.26 Definindo as opes de formatao e a letra de unidade para o volume.
Figura 5.27 Volume estendido (Z:), ocupando espao em trs discos diferentes.
Criando um striped volume (volume distribudo)
Um Striped volume em discos de Armazenamento dinmico, similar a um Striped set sem paridade, nos discos de
Armazenamento bsico. Consiste de no mnimo duas e no mximo 32 reas no de espao no alocado, em discos
diferentes. Todas as reas devem ser do mesmo tamanho (diferente do Spanned Volume, onde podem ser reas de tamanhos
diferentes). Por exemplo se voc tiver 200 MB em um disco e 150 MB em outro disco, o Striped volume somente poder
utilizar 150 MB de cada disco (menor espao disponvel entre os discos participantes). Utilizando 150 MB de cada um
dos dois discos, o total ficar em 300 MB. No apresenta tolerncia a falhas, pois se uma das reas apresentar problemas,
todo o Striped volume estar comprometido. Neste caso o volume deve ser excludo, o disco com problemas substitudo,
o volume deve ser recriado e os dados restaurados a partir de uma cpia de segurana (Backup).
Voc pode criar Volumes estendidos atravs do console Gerenciamento do computador, na opo Armazenamento
Gerenciamento de disco ou diretamente atravs do console personalizado que foi criado no incio deste item. Para que a
opo Striped volume esteja habilitada, devemos ter espao livre, em pelo menos dois discos de Armazenamento dinmico.
Exemplo: Para criar um Striped volume siga os seguintes passos:
5. Certifique-se de que voc possui espao no alocado em pelo menos dois discos de Armazenamento dinmico.
Novo Volume...
7. O Windows Server 2003 exibe o Assistente para criao de volumes. A primeira tela somente informativa. D
um clique no boto Avanar para ir para a segunda tela do Assistente.
8. Na tela que surge, marque a opo Distribudo, depois d um clique no boto Avanar, para ir para a prxima
etapa do Assistente.
Figura 5.28 Criando um Striped Volume de 600 MB 300 MB do disco 2 + 300 MB do disco 3.
9. Nesta tela so exibidos os discos com Armazenamento dinmico que possuem espao no alocado, os quais podem
ser utilizados para criar o Striped Volume (Volume distribudo). Voc pode utilizar todo o espao no alocado de
cada disco, bem como somente parte dele. Esta tela dividida em duas colunas. Na coluna da direita esto os discos
a partir dos quais voc utilizar espao no alocado. Observe que o disco no qual voc clicou com o boto direito do
mouse antes de iniciar o assistente, j aparece na coluna Selecionados. Observe tambm, que existem mais dois
discos com espao no alocado, os quais podem ser utilizados para criao do Volume distribudo. Para adicionar
espao de outros discos basta clicar no disco, na coluna Disponveis e depois clicar em Adicionar, para incluir o
disco na lista Selecionados (voc tambm pode dar um clique duplo no disco, na coluna Disponveis, para inclu-lo
nca coluna Selecionados). Em seguida clique no disco na lista Selecionados para selecion-lo e defina o espao que
ser utilizado deste disco. O espao informado no campo Selecione o espao em MB. Voc deve repetir esta
operao para definir o espao a ser utilizado em cada um dos discos que faro parte do Striped Volume, lembrando
que deve ser utilizada a mesma quantidade de espao de cada disco.. No exemplo da Figura 5-28 vou criar um
Striped Volume de 600 MB, no qual utilizo 300 MB do disco 2 e 300 MB do disco 3 (espaos iguais de cada disco).
10. Defina as configuraes para o volume e d um clique no boto Avanar, para ir para a prxima etapa do Assistente.
11. Nesta etapa voc define uma letra de Unidade associada com o Volume estendido. Selecione uma das letras
disponveis e d um clique no boto Avanar, para ir para a prxima etapa do assistente.
12. Nesta etapa voc define uma srie de detalhes a respeito do volume que est sendo criado. Voc define se ir
format-la agora ou depois, qual o sistema de arquivos a ser utilizado (FAT ou NTFS). Se vai ou no utilizar
compresso de arquivos. Pode ser definido um nome para o volume. Na Figura 5.29 mostro um exemplo onde
o volume ser formatado com o sistema de arquivos NTFS, foi mantido o tamanho padro de unidade de
alocao, o nome da unidade foi definido como VolStr-01, foi escolhida uma formatao rpida e foi habilitada
a compactao de arquivos.
Figura 5.29 Definindo as opes de formatao para o volume.
13. Defina as opes de formatao e clique no boto Avanar, para seguir para a etapa final do assistente.
14. Na etapa final apresentado um resumo das opes selecionadas. Caso alguma opo esteja incorreta, utilize o
boto Voltar.
15. D um clique em Concluir para criar o Striped volume.
16. Em poucos instantes o Windows Server 2003 criar e formatar o Striped volume, conforme indicado na Figura 5.30:
Figura 5.30 Striped Volume (Y:), ocupando espaos iguais em dois discos diferentes.
Criando um volume RAID-5
Um Volume RAID-5, em discos de Armazenamento dinmico, similar a um Striped set com paridade, nos discos de
Armazenamento bsico. Consiste de no mnimo trs e no mximo 32 reas de espao no alocado, em discos diferentes.
Todas as reas devem ser do mesmo tamanho. Por exemplo se voc tiver 200 MB em um disco e 150 MB em outro
disco, e finalmente 100 MB em um terceiro disco o Volume RAID-5 somente poder utilizar 100 MB de cada disco
(menor espao disponvel entre os discos participantes). Utilizando 100 MB de cada um dos dois discos, o total ficar
em 200, pois um tero do espao (no caso de trs discos), 100 MB, ser utilizado para as informaes de paridade, o
que garante a tolerncia a falhas, no caso de um dos discos apresentar problemas.
Voc pode criar Volumes RAID-5 atravs do console Gerenciamento do computador, na opo Armazenamento
Gerenciamento de disco ou pode utilizar o console personalizado Gerenciamento de disco, criado no incio deste
tpico. Para que a opo Volume RAID-5 esteja habilitada, deve haver espao livre em, pelo menos, trs discos de
Armazenamento dinmico.
Exemplo: Para criar um Volume RAID-5 siga os seguintes passos:
5. Certifique-se de que voc possui espao no alocado em pelo menos trs discos de Armazenamento dinmico.
Novo Volume...
7. O Windows Server 2003 exibe o Assistente para criao de volumes. A primeira tela somente informativa. D
um clique no boto Avanar para ir para a segunda tela do Assistente.
8. Na tela que surge, marque a opo RAID-5, depois d um clique no boto Avanar, para ir para a prxima etapa
do Assistente.
9. Nesta tela so exibidos os discos com Armazenamento dinmico que possuem espao no alocado, os quais podem ser
utilizados para criar o volume do tipo RAID-5. Voc pode utilizar todo o espao no alocado de cada disco (desde que
o espao no alocado seja o mesmo em cada disco), bem como somente parte dele. Esta tela dividida em duas
colunas. Na coluna da direita esto os discos a partir dos quais voc utilizar espao no alocado. Observe que o disco
no qual voc clicou com o boto direito do mouse, antes de iniciar o assistente, j aparece na coluna Selecionados.
Observe tambm, que existem mais dois discos com espao no alocado, os quais podem ser utilizados para criao do
Volume estendido. Para adicionar espao de outros discos basta clicar no disco, na coluna Disponveis e depois clicar
em Adicionar, para incluir o disco na lista Selecionados. Em seguida clique no disco na lista Selecionados para selecion-
lo e defina o espao que ser utilizado deste disco. O espao informado no campo Selecione o espao em MB. Ao
definir o espao utilizado em um dos discos, o mesmo espao ser definido nos demais discos da coluna Selecionados.
No exemplo da Figura 10-31 vou criar um RAID-5 de 600 MB, no qual utilizo 200 MB de cada um dos discos: Disco
1, Disco 2 e Disco 3 (espaos iguais). Na prtica, o espao disponvel ser de 400 MB, pois 200 MB sero utilizados
para gravar as informaes de paridade, que o que propicia a tolerncia falhas no caso da perda de um dos discos.
Figura 5.31 Criando um Striped Volume de 600 MB 200 MB de cada disco.
10. Defina as configuraes para o volume e d um clique no boto Avanar, para ir para a prxima etapa do Assistente.
11. Nesta etapa voc define uma letra de Unidade associada com o Volume estendido. Selecione uma das letras
disponveis e d um clique no boto Avanar, para ir para a prxima etapa do assistente.
12. Nesta etapa voc define uma srie de detalhes a respeito do volume que est sendo criado. Voc define se ir format-
la agora ou depois, qual o sistema de arquivos a ser utilizado (FAT ou NTFS). Se vai ou no utilizar compresso de
arquivos. Pode ser definido um nome para o volume. Na Figura 5.32 mostro um exemplo onde o volume ser formatado
com o sistema de arquivos NTFS, foi mantido o tamanho padro de unidade de alocao, o nome da unidade foi
definido como VolRaid-05, foi escolhida uma formatao rpida e no foi habilitada a compactao de arquivos.
Figura 5.32 Definindo as opes de formatao para o volume.
13. Defina as opes de formatao e clique no boto Avanar, para seguir para a etapa final do assistente.
14. Na etapa final apresentado um resumo das opes selecionadas. Caso alguma opo esteja incorreta, utilize o
boto Voltar.
15. D um clique em Concluir para criar o volume RAID-5.
16. Em poucos instantes o Windows Server 2003 criar e formatar o volume RAID-5, conforme indicado na Figura 5.33:
Figura 5.33 Volume RAID-5 (S:), ocupando espaos iguais em trs discos diferentes.
Criando um volume espelhado
Um Volume espelhado, em discos de Armazenamento dinmico, similar a um Disk mirror, nos discos de
Armazenamento bsico. Consiste de dois volumes do mesmo tamanho, em discos diferentes, sendo que um a cpia
fiel (espelho) do outro. Por exemplo se voc tiver um Volume simples de 300 MB que desejo espelhar, preciso de um
espao no alocado de, no mnimo, 300 MB em um outro disco.
Voc pode criar Volumes espelhados atravs do console Gerenciamento do computador, na opo Armazenamento
Gerenciamento de disco. Para que a opo Volume espelhado esteja habilitada, deve haver espao livre, em pelo
menos mais um disco de Armazenamento dinmico.
Exemplo: Para criar um Volume espelhado siga os seguintes passos:
5. Certifique-se de que voc possui espao no alocado em pelo menos um disco diferente do disco onde est o
volume que voc deseja espelhar.
6. Clique com o boto direito do mouse no Volume a ser espelhado e na menu que surge d um clique na opo
Adicionar espelho...
7. O Windows Server 2003 exibe uma janela, onde so exibidos os discos com espao no alocado suficiente para
fazer o espelhamento, conforme indicado na Figura 5.34:
Figura 5.34 Selecionando o disco onde ser feito o espelhamento.
8. Clique no disco onde ser feito o espelhamento e clique em Adicionar espelho.
9. Dependendo do tamanho e da quantidade de dados do Volume que est sendo espelhado, a operao pode demorar
alguns minutos. Depois disso o Volume espelhado passa a ser exibido no console de Gerenciamento de disco,
Figura 5.35 Volume espelhado recm criado.
Pronto, o volume foi espelhado e os dados duplicados no segundo disco. O Windows Server 2003 mantm o
espelho sempre atualizado, ou seja, quando so feitas alteraes no volume original, estas so tambm efetuadas
no volume espelhado.
Restabelecendo um volume do tipo mirror (espelhado)
Pode acontecer de um dos discos onde est o espelhamento apresentar falhas. Por exemplo, uma falha fsica que
compromete todo o disco. Neste caso existem alguns passos que devem ser efetuados para que o Mirror (Espelhamento)
possa ser restabelecido, conforme descrito a seguir.
Passos para restabelecer ume espelhamento:
1. Quebrar o espelhamento. Para isso basta acessar o console de Gerenciamento de discos, clicar com o boto direito
do mouse em uma das partes do espelhamento (de preferncia na parte que est no disco bom, sem problemas).
No menu que exibido clique em Quebrar o Volume espelhado...
2. Surge uma mensagem avisando que se o espelhamento for quebrado no haver mais tolerncia a falhas, conforme
indicado na Figura 5.36:
Figura 5.36 Confirmando a quebra do espelhamento.
3. Clique em Sim para confirmar a quebra do espelhamento.
4. Desligue o servidor e substitua o disco com defeito.
5. Reinicialize o servidor e faa o espelhamento novamente, usando espao no alocado no novo disco. Pronto, o
espelhamento ser restabelecido e novamente haver tolerncia falhas, no caso de falha de um dos discos.
Restabelecendo um volume do tipo RAID-5
Pode acontecer de um dos discos onde que compem um voluma RAID-5, falhar. Por exemplo, uma falha fsica que
compromete todo o disco. Neste caso existem alguns passos que devem ser efetuados para que o RAID-5 possa ser
restabelecido, conforme descrito a seguir.
Passos para restabelecer ume volume do tipo RAID-5:
2. Reinicialize o servidor, acesse o console de Gerenciamento de disco. Clique com o boto direito do mouse no
volume RAID-5 e no menu de opes que exibido clique em Reativar Volume. Surge uma mensagem de aviso
informando que recomendado o uso do comando chkdsk no volume que est sendo reativado. O comando
chkdsk utilizado para detectar erros em um volume e ser explicado mais adiante.
3. Clique em OK para fechar esta mensagem.
4. O volume ser reativado e o status mudar de failed redundancy (Falha na redundncia) para Resynching
(resincronizando) e depois para Healthy (algo parecido com saudvel, com sade, disponvel).
5. Pronto, o RAID-5 foi restabelecido e com tolerncia a falhas. importante salientar que mesmo durante a falha
de um dos discos, o volume RAID-5 continua disponvel para ser utilizado, porm sem fornecer tolerncia a
falha, uma vez que se mais um disco falhar (enquanto o primeiro ainda no foi substitudo), os dados sero
perdidos, a s restaurando a partir do Backup. Quando um volume RAID-5 apresenta falha em um dos discos e
continua sendo utilizado, o desempenho cai muito, a velocidade de acesso fica muito prejudicada.
Configuraes e personalizaes do snap-in gerenciamento de discos
Voc pode personalizar diversas configuraes do console Disk Management (Gerenciamento de discos). possvel
definir a cor associada com cada tipo de partio/volume, a escala de exibio e outros aspectos da interface do
console Gerenciamento de discos.
Para definir a cor associada com cada tipo de partio/volume e tambm a escala de exibio, siga os seguintes passos:
1. Abra o console personalizado Gerenciamento de discos, criado anteriormente.
2. Selecione o comando Exibir -> Configuraes...
3. Ser exibida a janela. Esta janela tem duas guias:
A guia Aparncia: Nesta guia voc define a cor associada com cada tipo de partio/volume. Para definir a
cor, d um clique no tipo de volume/partio e depois selecione a cor desejada. Voc tambm pode definir um
padro de preenchimento tal como slido, linhas cruzadas, linhas inclinadas, etc.
A guia Escala: Nesta guia, indicada na Figura 5.37, esto disponveis as seguintes opes:
No grupo Exibir discos esto disponveis as opes que definem a exibio do tamanho do disco com um todo,
independente dos volumes/parties definidos no disco. Neste grupo temos as seguintes opes:
De acordo com a capacidade, usando a escala logartmica: Exibe discos usando uma escala logartmica de acordo
com a capacidade de cada disco. Use Logartmica se voc gerenciar discos de tamanhos variados e muito diferentes
como por exemplo um disco de 2 GB e um de 40 GB.
De acordo com a capacidade, usando a escala linear: Exibe cada disco com base em seu tamanho em relao ao
maior disco. Use Linear se voc gerenciar discos de tamanhos semelhantes. Por exemplo, se voc tem um disco
de 500 MB e um disco de 40 GB e selecionar Linear, o disco de 500 MB quase no ser visvel. Se voc
selecionar Logartmica, os discos sero exibidos proporcionalmente.
Todos com o mesmo tamanho: Exibe cada tamanho de disco igualmente, independentemente da capacidade do disco.
No grupo Exibir regies de disco, esto disponveis opes que definem a exibio do tamanho de cada volume/
partio em relao ao tamanho total do respectivo disco. Neste grupo esto disponveis as seguintes opes:
De acordo com a capacidade, usando a escala logartmica: Exibe volumes usando a escala logartmica de acordo
com a capacidade de cada volume. Use Logartmica se voc gerenciar volumes de tamanhos variados e muito
diferentes como por exemplo um volume de 500 MB e um de 10 GB.
Figura 5.37 A guia Escala.
De acordo com a capacidade, usando a escala linear: Exibe cada volume com base em seu tamanho em relao ao
maior volume. Use Linear se voc gerenciar volumes de tamanhos semelhantes. Por exemplo, se voc tem um
volume de 500 MB e um volume de 40 GB e selecionar Linear, o volume de 500 MB quase no ser visvel. Se
voc selecionar Logartmica, os volumes sero exibidos proporcionalmente.De acordo com a capacidade, usando
a escala linear:
Todos com o mesmo tamanho: Exibe cada tamanho de volume igualmente, independentemente da capacidade
do volume
Selecione as opes desejadas e d um clique no boto OK para aplic-las.
O comando Exibir -> Personalizar... abre a janela Personalizar Exibio, conforme indicado na Figura 5.38. Nesta
janela voc pode definir quais elementos do console Gerenciamento de discos sero exibidos e quais ficaro ocultos.
Selecione as opes desejadas e clique em OK.
Figura 5.38 A janela Customize Personalizar Exibio.
Ferramentas Para Manuteno de Discos e Volumes
Neste tpico apresentarei uma srie de ferramentas e comandos para a manuteno, verificao de erros e otimizao
de discos e volumes.
O conceito de fragmentao
A medida que arquivos vo sendo gravados, eliminados e alterados em um volume ou partio, pode ocorrer um
processo conhecido como fragmentao. O Windows Server 2003 grava as informaes de um arquivo em pedaos/
incrementos chamados cluster. O cluster a menor unidade de informao que pode ser gravada ou lida de um disco
rgido. Por exemplo, imagine que um determinado volume ou partio possu um cluster de 8 KB. , Ao gravar um
arquivo de 1 KB, este arquivo ir comprometer todo um cluster, mesmo que no utilize todo o espao do cluster. Isso
acaba acarretando desperdcio do espao de armazenamento do disco rgido.
Para entender o que vem a ser a fragmentao, considere o seguinte. Suponha que existe uma arquivo de 20 KB
gravado no disco rgido. Para 20 KB, sero necessrios alocar 3 cluster (supondo um cluster de 8 KB). Ao excluir este
arquivo de 20 KB, os 3 cluster por ele alocados, sero liberados. Agora vamos supor que voc v gravar um arquivo de
160 KB. Sero necessrios 20 cluster (ainda supondo um cluster de 8 KB). O Windows Server 2003 utilizar os trs
cluster livres, depois procura por mais espao livre no restante do disco. Com isso voc pode notar que os clusters que
formam o arquivo de 160 KB, no esto necessariamente gravados em regies contnuas do disco, podendo, dependendo
do tamanho do arquivo, estar espalhados por diversas regies do disco. Este processo, em que diferentes clusters de
um arquivo esto em regies separadas do disco, conhecido como Fragmentao. A medida que o Windows Server
2003 vai gravando, eliminando e alterando arquivos, a Fragmentao vai aumentando, podendo chegar a nveis que
comprometem o desempenho das operaes de leitura e escrita no disco. Para solucionar este problema existe um
utilitrio de Desfragementao, o qual deve ser utilizado para minimizar, se no eliminar, a fragmentao em volumes
e parties. O Processo de desfragmentao, simplesmente procura juntar as diversas partes de cada arquivo, de tal
forma que o desempenho no acesso ao disco seja otimizado.
Na documentao do Windows Server 2003, encontramos a seguinte definio de cluster: a menor quantidade de
espao em disco que pode ser alocada para manter um arquivo. Todos os sistemas de arquivos usados pelo Windows
organizam discos rgidos com base em clusters, que consistem em um ou mais setores contguos. Quanto menor o
tamanho de cluster utilizado, mais eficiente ser o armazenamento de informaes no disco. Se nenhum tamanho de
cluster for especificado durante a formatao, o Windows assumir os padres com base no tamanho do volume.
Esses padres so selecionados para reduzir a quantidade de espao perdido e a quantidade de fragmentao no
volume. Um cluster tambm chamado de unidade de alocao.
O utilitrio de desfragmentao
NOTA: Voc tambm pode acessar
o Desfragmentador de disco
utilizando o Meu computador ou o
Windows Explorer. Localize o drive
(C:, D:, etc.) a ser desfragmentado,
clique com o boto direito do mouse
no referido drive e no menu que
surge d um clique na opo
Propriedades. Ser exibida a janela
de propriedades do drive, com a guia
Geral selecionada. D um clique na
guia Ferramentas e nesta guia, d
um clique no boto Desfragmentar
agora... Voc tambm pode abrir as
propriedades de um drive, utilizando
o console Gerenciamento de discos.
Neste console, clique com o boto
direito do mouse no volume
correspondente ao drive a ser
desfragmentado. No menu de
opes que surge, d um clique na
opo Propriedades. Ser aberta a
mesma janela de propriedades
descrita no incio deste pargrafo.
O utilitrio de Desfragmentao do Windows Server 2003, permite que seja feita
uma anlise no volume ou partio. Com base na anlise, o utilitrio recomenda ou
no que o processo de desfragmentao seja executado. Como regra geral, somente
devemos desfragmentar um volume ou partio, quando isto for indicado pelo
utilitrio de desfragmentao. O utilitrio de desfragmentao do Windows Server
2003 est bem melhor do que nas verses anteriores.
Agora vamos aprender a utilizar este utilitrio.
Exemplo: Para analisar e desfragmentar um volume ou partio, faa o seguinte:
1. Faa o logon como administrador ou com uma conta do tipo Administrador
do computador.
2. Selecione o comando Iniciar -> Todos os programas -> Acessrios ->
Ferramentas do sistema -> Desfragmentador de disco.
3. Ser aberto o utilitrio para a desfragmentao de unidades, conforme indicado
pela Figura 5.39:
Figura 5.39 O utilitrio para desfragementao de volumes e parties.
4. Na parte de cima da janela, exibida uma listagem com as unidades (volumes) disponveis. Na parte de baixo
exibida a legenda, bem como os botes para aes tais como: Analisar, Desfragmentar , Pausar, Parar e Exibir
relatrio. Na parte do meio, exibido um indicativo do andamento dos processos de Anlise e Desfragmentao,
quando um destes processos estiver em andamento.
5. Para analisar o drive C:, d um clique para marc-lo e depois d um clique no boto Analisar. O Windows Server
2003 inicia o processo de anlise.
6. Aps terminar a anlise, o Windows 2000 Server exibe uma janela informando se a desfragmentao ou no
recomendada. Nesta janela, est disponvel um boto Exibir relatrio. O relatrio fornece uma srie de detalhes
sobre a unidade analisada, conforme exemplo indicado pela Figura 5.40:
Figura 5.40 Relatrio informando se o volume deve ou no ser desfragmentado.
7. D um clique no boto Desfragmentar, para iniciar o processo de desfragmentao.
8. O Windows Server 2003 mostra o andamento da desfragmentao, conforme indicado na Figura 5.41.
9. O processo de desfragmentao pode demorar bastante tempo, dependendo do tamanho da unidade e da
porcentagem de fragmentao. Alm disso a unidade sendo desfragmentada no deve ter atividades de leitura e
gravao, pois isso pode atrasar ainda mais o processo. O ideal que a desfragmentao seja feita fora do horrio
normal de servio, ou at mesmo agendada para rodar em horrios especficos, utilizando o Agendamento de
tarefas do Windows Server 2003 (que ser descrito no Captulo 8).
Figura 5.41 Andamento do processo de desfragmentao.
NOTA: recomendado que voc
verifique a necessidade de
desfragmentao, pelo menos, uma
vez por ms. O sistema de arquivos
NTFS evoluiu muito, desde a sua
verso original. Devido a
diminuio do tamanho utilizado
para o cluster, a fragmentao foi
bastante reduzida. Se voc utiliza
volumes formatados com FAT32,
voc estar mais sujeito a
fragmentao. Nestes casos sugiro
que voc verifique a necessidade de
desfragmentao pelo menos duas
vezes a cada quinze dias.
10. Voc pode Pausar e at mesmo Interromper o processo de desfragmentao,
utilizando os botes Parar e Pausar. Caso voc interrompa o trabalho de
desfragmentao, o trabalho j realizado, no ser perdido. Se voc Pausar o
processo, o Windows Server 2003 inicia do ponto onde voc parou, ou seja,
no ser necessrio iniciar todo o processo novamente.
11. Aguarde o final do processo, quando o Windows Server 2003 exibe uma
mensagem. Na janela da mensagem est disponvel o boto Exibir relatrio,
o qual mostra um relatrio detalhado sobre a desfragmentao do drive. Clique
no boto Fechar. Voc estar de volta a janela do Desfragmentador de disco.
Agora observe a diferena na indicao dos Arquivos contguos (indicados
pela rea azul), depois que o processo finaliza. A rea em branco indica o
espao livre na unidade.
12. Feche o Desfragmentador de disco.
Algumas recomendaes sobre o processo de desfragmentao
Na documentao oficial do Windows Server 2003, voc encontra as seguintes
recomendaes relacionadas ao processo de desfragmentao de unidades:
Analisar antes de desfragmentar: Analise os volumes antes de desfragment-
los. Depois de analisar um volume, uma caixa de dilogo informa a
porcentagem de pastas e arquivos fragmentados no volume e recomenda o
procedimento a ser adotado. Analise os volumes regularmente e
desfragmente-os apenas quando o Desfragmentador de disco recomendar. Uma boa diretriz analisar os vol-
umes pelo menos uma vez por semana. Se voc raramente precisar desfragmentar os volumes, analise-os
mensalmente em vez de semanalmente.
Analisar depois que vrios arquivos forem adicionados: Os volumes podem se tornar excessivamente fragmentados
quando os usurios adicionam um grande nmero de arquivos ou pastas; portanto, certifique-se de analisar os
volumes depois que isso acontecer. Normalmente, os volumes em servidores de arquivos devem ser
desfragmentados com mais freqncia do que aqueles em estaes de trabalho de um nico usurio. Isto acontece
porque em pastas compartilhadas, em servidores de arquivos, existem vrios usurios gravando e excluindo
arquivos pela rede. Este tipo de utilizao faz com que o volume onde encontra-se a pasta compartilhada, fique
bastante fragmentado. Tal fato acaba por comprometer o desempenho do compartilhamento, tornando as operaes
com arquivos bem mais lentas do que o normal.
Certifique-se de que o disco tenha pelo menos 15% de espao livre: Um volume deve ter pelo menos 15% de
espao livre para que o Desfragmentador de disco desfragmente-o completa e adequadamente. O Desfragmentador
de disco utiliza esse espao como uma rea de classificao para fragmentos de arquivo. Se um volume tiver
menos de 15% de espao livre, o Desfragmentador de disco o desfragmentar apenas parcialmente. Para aumentar
o espao livre em um volume, exclua os arquivos desnecessrios, ou mova-os para outro disco.
Desfragmentar durante perodos de pouco uso: Desfragmente volumes de servidor de arquivos durante os perodos
de pouco uso para minimizar os efeitos do processo de desfragmentao no desempenho do servidor de arquivos.
O tempo que o Desfragmentador de disco leva para desfragmentar um volume depende de diversos fatores,
inclusive do tamanho do volume, do nmero de arquivos que ele contm, do nmero de arquivos fragmentados e
dos recursos de sistema disponveis.
Desfragmentar depois de instalar um software ou o Windows: Desfragmente volumes depois de instalar algum
software ou depois de fazer uma atualizao ou instalao completa do Windows. Freqentemente, os volumes
ficam fragmentados depois de instalar softwares que gravam um grande nmero de arquivos no disco rgido; por
isso, executar o Desfragmentador de disco ajuda a garantir o melhor desempenho do sistema de arquivos.
O comando defrag
A sintaxe para o comando defrag a seguinte:
defrag volume [/opes]
Onde temos as seguintes opes de linha de comando:
/a: Analisa o volume e exibe um resumo do relatrio de anlise.
/v: Exibe a anlise completa e os relatrios de desfragmentao.
Quando usado juntamente com /a, exibe somente o relatrio de anlise. Quando
usado sozinho, exibe a anlise e os relatrios de desfragmentao.
/f: Fora a desfragmentao do volume, independentemente da necessidade
de desfragmentao.
NOTA: Os comandos so executados
no Pormpt de Comando:Iniciar ->
Todos os Programas -> Acessrios -
> Prompt de Comando. No Prompt
de Comando voc digita o comando
e pressiona Enter para executa-lo. O
Prompt de Comando muito
semelhante a uma janela do bom e
velho MS-DOS.
Alm do Desfragmentador de discos, voc tambm pode utilizar o comando defrag, para efetuar a desfragmentao de
parties/volumes. O comando defrag localiza e consolida arquivos de inicializao fragmentados, arquivos de dados
e pastas em volumes locais.
Algumas observaes importantes:
Voc no pode desfragmentar volumes que o sistema tenha marcado como o status Dirty (sujos), o que indica que
podem estar corrompidos. necessrio executar o comando chkdsk em um volume com o status Dirty (sujo) antes de
desfragment-lo. Para determinar se um volume sujo, use o seguinte comando:
fsutil dirty query letra_da_unidade
A seguir mostro o resultado da execuo do comando fsutil dirty query C:
C:\>fsutil dirty query C:
Volume - C: is NOT Dirty
C:\>
Enquanto o comando defrag estiver analisando e desfragmentando um volume, ele exibir um cursor piscando. Quando
o comando defrag terminar de analisar e desfragmentar o volume, ser exibido um relatrio de anlise, o relatrio de
desfragmentao ou ambos e o prompt de comando ser fechado. Por padro, o comando defrag exibe um resumo dos
relatrios de anlise e desfragmentao se voc no especificar os parmetros /a ou /v.
possvel enviar relatrios para um arquivo de texto digitando > nome_do_arquivo.txt, aps o comando defrag e as
opes, onde nome_do_arquivo.txt o nome de arquivo que voc especificar. Por exemplo:
defrag C: /v >resultado_da_desfragmentao.txt
Para interromper o processo de desfragmentao, na linha de comando, pressione CTRL+C.
A utilizao do comando defrag indicada para a criao de scripts administrativos e para o agendamento do processo
de desfragmentao, para que ocorra em horrios e datas especficas, como por exemplo uma vez por semana, aos
sbados de madrugada.
Verificando e reparando erros no sistema de arquivos e no disco rgido
O Windows Server 2003 disponibiliza a ferramenta Verificao de erros, para efetuar a verificao de erros em
volumes (discos dinmicos) e parties (discos bsicos). Voc pode utilizar a ferramenta Verificao de erros para
verificar se h erros no sistema de arquivos e se existem setores defeituosos no seu disco rgido. recomendado que
voc utilize esta ferramenta, antes de utilizar o desfragmentador, para garantir que o volume a ser desfragmentado,
esteja livre de erros.
Exemplo: Para utilizar a ferramenta Verificao de erros, faa o seguinte:
1. Faa o logon como Administrador ou com uma conta do tipo Administrador do computador.
2. Abra o Meu computador.
3. Localize a unidade na qual voc quer fazer a verificao e correo de erros, clique com o boto direito do mouse
na referida unidade e, no menu que exibido, d um clique na opo Propriedades.
4. Ser aberta a janela de propriedades da unidade, com a guia Geral selecionada. D um clique na guia Ferramentas.
5. Na guia Ferramentas d um clique no boto Verificar agora...
Ser exibida a janela Verificar disco Disco local (C:), conforme indicado na Figura 5.42.
Nesta janela esto disponveis as seguintes opes marcar as seguintes opes:
Corrigir erros do sistema de arquivos automaticamente: Especifica se o Windows Server 2003 deve
automaticamente reparar erros de sistema de arquivos encontrados durante a verificao de disco. Todos os
arquivos devem estar fechados para que o programa seja executado. Se a unidade estiver em uso no momento,
uma mensagem perguntar se voc deseja reagendar a verificao de disco para a prxima vez que reiniciar o
computador. A unidade no ficar disponvel para executar outras tarefas enquanto o disco estiver sendo verificado.
Figura 5.42 A janela Verificar disco.
Procurar setores defeituosos e tentar recuper-los: Especifica se o Windows Server 2003 repara erros de sistema
de arquivos encontrados durante a verificao de disco, localiza setores defeituosos e recupera informaes
legveis. Todos os arquivos devem estar fechados para que o programa seja executado. Se a unidade estiver em
uso no momento, uma mensagem perguntar se voc deseja reagendar a verificao de disco para a prxima vez
que reiniciar o computador. A unidade no ficar disponvel para executar outras tarefas enquanto o disco estiver
sendo verificado. Se voc selecionar esta opo, no precisar marcar Corrigir erros do sistema de arquivos
automaticamente. O Windows corrige os erros no disco.
NOTA: Em det ermi nadas
situaes, como por exemplo uma
queda de energia, o Windows
Ser ver 2003 pode i ni ci ar
automaticamente o processo de
verificao e correo de erros,
durant e a i ni ci al i zao do
sistema.
6. Marque as opes desejadas e d um clique no boto Iniciar. Se algum programa
estiver utilizando o disco, uma mensagem perguntar se voc deseja agendar a
verificao de disco para a prxima vez que o sistema for inicializado.
7. Clique em Sim para agendar a verificao para a prxima reinicializao.
8. Voc estar de volta janela de Propriedades. D um clique no boto OK
para fecha-la.
9. Feche todos os programas que estiverem abertos e reinicialize o computador.
Observe que durante a reinicializao disparado o processo de verificao
e correo de erros. Enquanto este processo no for concludo, a
inicializao do Windows Server 2003 no completada para que voc
possa fazer o logon.
Comandos para a verificao e correo de erros
Alm da ferramenta Verificao de erros, o Windows Server 2003 disponibiliza os comandos chkdsk e chkntfs. A seguir
mostrarei como utilizar estes dois comandos.
O comando chkdsk
Este comando utilizado para analisar um volume e criar um relatrio de status (da situao) para um disco. O
relatrio descreve com est o sistema de arquivos e relatas os problemas encontrados. O comando Chkdsk tambm
lista e corrige erros no disco. Quando utilizado sem parmetros, chkdsk exibe o status do disco na unidade atual.
Sintaxe para o comando chkdsk:
chkdsk [volume:][[caminho] nome_de_arquivo] [/f] [/v] [/r] [/x] [/i] [/c] [/l[:tamanho]]
A seguir apresento a descrio de cada um dos parmetros do comando chkdsk:
volume: Especifica a letra da unidade (seguida de dois-pontos), o ponto de montagem ou o nome do volume. Por
exemplo: C:, D:, etc.
[caminho] nome_de_arquivo: Especifica o local e o nome de um arquivo ou conjunto de arquivos que chkdsk
deve verificar para determinar se h fragmentao. Voc pode utilizar caracteres curingas (isto , * e ?) para
especificar vrios arquivos. Por exemplo: C:\Documentos\*.doc, especifica todos os arquivos .DOC da pasta
C:\Documentos.
/f : Corrige erros no disco. O disco deve ser bloqueado. Se chkdsk no puder bloquear a unidade, ser exibida
uma mensagem perguntando se voc deseja verificar a unidade na prxima vez que o computador for reiniciado.
Se voc responder que sim, uma verificao ser agendada para a prxima inicializao do sistema. Corresponde
a opo Corrigir erros do sistema de arquivos automaticamente, da ferramenta Verificao de erros, descrita
no tpico anterior.
/v: Exibe o nome de todos os arquivos contidos em cada pasta medida que o disco verificado.
/r: Localiza setores defeituosos e recupera informaes legveis. O disco deve ser bloqueado. Se chkdsk no
puder bloquear a unidade, ser exibida uma mensagem perguntando se voc deseja verificar a unidade na prxima
vez que o computador for reiniciado. Se voc responder que sim, uma verificao ser agendada para a prxima
inicializao do sistema. Corresponde a opo Procurar setores defeituosos e tentar recupera-los, da ferramenta
Verificar erros, descrita no tpico anterior.
/x: Use esta opo somente com parties/volumes formatados com o sistema NTFS. Ela fora primeiro a
desmontagem do volume, se necessrio. Todos os identificadores abertos para a unidade sero invalidados. A
opo /x tambm inclui a funcionalidade da opo /f.
/i : Use esta opo somente com parties/volumes formatados com o sistema NTFS. Efetua uma verificao
menos rgida das entradas de ndice, reduzindo o tempo necessrio para a execuo de chkdsk.
/c : Use esta opo somente com parties/volumes formatados com o sistema NTFS. Ela ignora a verificao de
ciclos dentro da estrutura de pastas, reduzindo o tempo necessrio para a execuo de chkdsk.
/l[:tamanho]: Use esta opo somente com parties/volumes formatados com o sistema NTFS. Ela utilizar o
tamanho digitado por voc em vez do tamanho do arquivo de log. Se voc omitir o parmetro de tamanho, /l
exibir o tamanho atual.
/?: Exibe informaes de ajuda no prompt de comando.
Para executar o comando chkdsk em um disco fixo, preciso permisso de Administrador.
O comando chkdsk examina o espao em disco e a utilizao do disco pelos sistemas de arquivos, verifica a tabela de
alocao de arquivos (FAT) e NTFS. Chkdsk fornece informaes especficas de cada sistema de arquivos em um
relatrio de status. O relatrio de status exibe os erros encontrados no sistema de arquivos. Se chkdsk for executado
sem a opo de linha de comando /f em uma partio ativa, ele poder reportar erros indesejveis, pois no conseguir
bloquear a unidade. Voc deve utilizar o comando chkdsk em cada disco periodicamente para verificar se h erros.
Voc pode utilizar o comando chkdsk para agendar uma tarefa que faa a verificao peridica das unidades e salve o
relatrio com os resultados da verificao em um arquivo de texto para verificao posterior.
O comando chkdsk s corrigir erros de disco se voc especificar a opo de linha de comando /f. necessrio
que Chkdsk possa bloquear a unidade para corrigir os erros. Como a reparao geralmente altera a tabela de
alocao de arquivos de um disco e, s vezes, causa perda de dados, chkdsk enviar uma mensagem de confirmao
semelhante a esta:
10 unidades de alocao perdidas encontradas em 3 cadeias.
Deseja converter cadeias perdidas em arquivos?
Se voc pressionar S, o Windows salvar cada cadeia perdida na pasta raiz como um arquivo com um nome no formato
de arquivo nnnn.chk. Quando chkdsk for concludo, voc poder verificar esses arquivos para descobrir se contm
quaisquer dados necessrios. Se voc pressionar N, o Windows corrigir o disco, mas no salvar o contedo das
unidades de alocao perdidas.
Se voc no usar a opo de linha de comando /f, chkdsk enviar uma mensagem se for necessrio corrigir algum
arquivo, mas no corrigir nenhum erro.
Se voc utilizar chkdsk /f em um disco muito grande (por exemplo, 70 GB) ou em um disco com um nmero muito
grande de arquivos (por exemplo, milhes de arquivos), chkdsk poder levar muito tempo (talvez vrios dias) para ser
concludo. O computador no ficar disponvel durante esse perodo, porque chkdsk s liberar o controle depois de
ser concludo.
Windows exibe relatrios de status de chkdsk referentes a um disco FAT no seguinte formato:
O nmero de srie do volume B1AF-AFBF
72.214.528 bytes de espao total em disco
73.728 bytes em 3 arquivos ocultos
30.720 bytes em 12 pastas
11.493.376 bytes em 386 arquivos do usurio
61.440 bytes em setores defeituosos
60.555.264 bytes disponveis no disco
2.048 bytes em cada unidade de alocao
35.261 unidades de alocao totais no disco
29.568 unidades de alocao disponveis em disco
O Windows exibe relatrios de status de chkdsk referentes a um disco NTFS no seguinte formato:
O tipo do sistema de arquivos NTFS.
CHKDSK est verificando os arquivos...
Verificao de arquivos concluda.
CHKDSK est verificando ndices...
Verificao dos ndices concluda.
CHKDSK est verificando os descritores de segurana...
Verificao de descritores de segurana concluda.
12.372 quilobytes de espao total em disco.
3 KB em 1 arquivo do usurio.
2 KB em 1 ndice.
4.217 KB em uso pelo sistema.
8.150 KB disponveis em disco.
512 bytes em cada unidade de alocao.
24.745 unidades de alocao totais no disco.
16.301 unidades de alocao disponveis em disco.
Usando chkdsk com arquivos abertos
Se voc especificar a opo de linha de comando /f, chkdsk enviar uma mensagem de erro se forem encontrados
arquivos abertos no disco. Se voc no especificar a opo de linha de comando /f e existirem arquivos abertos,
chkdsk poder reportar a existncia de unidades de alocao perdidas no disco. Isso poder acontecer se os arquivos
abertos ainda no tiverem sido gravados na tabela de alocao de arquivos. Se chkdsk reportar a perda de uma grande
quantidade de unidades de alocao, aconselhvel reparar o disco.
A seguir temos a lista com os cdigos de sada reportados por chkdsk aps sua concluso.
0: No foram encontrados erros.
1: Foram encontrados erros e corrigidos.
2: A limpeza de disco, como a coleta de lixo, foi efetuada, ou a limpeza no foi efetuada porque /f no foi
especificado.
3: No foi possvel verificar o disco, no foi possvel corrigir os erros ou os erros no foram corrigidos porque a
opo /f no foi especificada.
Para verificar o disco na unidade C e fazer com que o Windows corrija os erros, digite:
chkdsk C: /f
Chkdsk far uma pausa e exibir mensagens, se encontrar erros. Chkdsk ser concludo exibindo um relatrio que
lista o status do disco. Voc s poder abrir qualquer arquivo na unidade especificada depois que chkdsk for concludo.
O comando chkntfs
Este comando utilizado para exibir ou especificar se a verificao automtica do sistema est agendada para ser
executada em um volume FAT, FAT32 ou NTFS quando o computador for iniciado.
Sintaxe para o comando chkntfs:
chkntfs volume: [/opes]
A seguir descrevo os parmetros/opes do comando chkntfs:
volume: [...]: obrigatrio. Especifica a letra da unidade (seguida de dois-pontos), o ponto de montagem ou o
nome do volume. Exibe uma mensagem que identifica o sistema de arquivos do volume especificado. Se a
verificao automtica de arquivos estiver agendada para ser executada, este parmetro exibir uma mensagem
indicando se o volume foi ou no corrompido, o que exigir que o comando chkdsk seja executado. O comando
chkdsk foi descrito no item anterior.
/d: Restaura todas as configuraes padro de chkntfs, com exceo do tempo de contagem regressiva para a
verificao automtica de arquivos. O comportamento padro verificar todos os volumes quando o computador
iniciado.
/t[:tempo]: Altera o tempo de contagem regressiva inicial de Autochk.exe para o tempo especificado em segundos.
Se voc no especificar :tempo, /t exibir o tempo de contagem regressiva atual.
/x volume: [...]: Exclui o volume especificado da verificao quando o computador iniciado, mesmo se o
volume estiver marcado de modo a exigir que chkdsk seja executado.
/c volume: [...]: Agenda a verificao do volume especificado para quando o computador for iniciado.
/?: Exibe informaes de ajuda no prompt de comando.
Para executar chkntfs, necessrio que voc tenha permisso de Administrador.
Embora voc possa definir o tempo de contagem regressiva inicial de Autochk.exe como zero, no ser possvel
cancelar uma verificao automtica de arquivos que levar provavelmente muito tempo se voc defini-lo como zero.
Por exemplo, para agendar uma verificao automtica para o drive D:, quando o sistema inicializado, utilize o
seguinte comando:
chkntfs /c D:
Outros comandos importantes para trabalhar com discos e volumes
Neste item apresento mais alguns comandos que so teis para o trabalho com discos e volumes.
O comando convert
Este comando utilizado para converter volumes FAT (file allocation table) e FAT32 para o sistema de arquivos
NTFS, deixando intactos os arquivos e pastas existentes. Os volumes convertidos ao sistema de arquivos NTFS no
podero ser convertidos de volta em FAT ou FAT32.
Sintaxe:
convert [Volume] /fs:ntfs [/v] [/cvtarea:NomeDoArquivo] [/nosecurity] [/x]
O comando convert tem os seguintes parmetros:
Volume: Especifica a letra da unidade (seguida de dois-pontos), o ponto de
montagem ou o nome do volume a ser convertido em NTFS.
/fs:ntfs: Necessrio. Converte o volume em NTFS.
/v: Especifica o modo de detalhe, isto , todas as mensagens sero exibidas
durante a converso.
/cvtarea:nome_de_arquivo: Apenas para usurios avanados. Especifica que
a tabela de arquivos mestre (MFT) e outros arquivos de metadados NTFS
sero gravados em um arquivo existente de espao reservado contguo. O
arquivo deve estar localizado na pasta raiz do sistema de arquivos a ser
convertido. O uso do parmetro /CVTAREA poder resultar em um sistema
de arquivos menos fragmentado aps a converso. Para obter melhores
resultados, o tamanho do arquivo deve ser 1 KB multiplicado pelo nmero
de arquivos e pastas contidos no sistema de arquivos, no entanto, o utilitrio
de converso aceita arquivos de qualquer tamanho.
IMPORTANTE: No esquea que
possvel usar o comando convert,
para converter um volume de FAT
ou FAT32 para NTFS, sem perda de
dados. Por outro lado, no
possvel converter um volume NTFS
de volta para FAT ou FAT32. Neste
caso, preciso fazer um backup
completo dos dados, excluir o
volume, recri-lo novamente como
FAT ou FAT32 e depois baixar os
arquivos do backup.
/nosecurity: Especifica que as configuraes de segurana das pastas e arquivos convertidos podero ser acessadas
por qualquer pessoa.
/x: Desmonta o volume, se necessrio, antes de ser convertido. Os identificadores abertos para o volume no
sero mais vlidos.
Se o comando convert no puder bloquear a unidade (por exemplo, o volume do
sistema ou a unidade atual), ele sugerir que o volume seja convertido na prxima
vez que o computador for reiniciado. Se voc no puder reiniciar o computador
imediatamente para concluir a converso, planeje o momento de reiniciar o
computador e reserve um tempo adicional para o processo de converso.
No caso de volumes convertidos de FAT ou FAT32 em NTFS, devido utilizao
de disco j existente, a MFT criada em um local diferente, em comparao a um
volume originalmente formatado com NTFS. Devido a isso, o desempenho do
volume pode no ser to bom quanto em volumes originalmente formatados com
NTFS. Para obter o desempenho ideal, considere a possibilidade de recriar esses
volumes e format-los com o sistema de arquivos NTFS.
Os volumes convertidos de FAT em NTFS deixam os arquivos intactos, porm,
podero no dispor de alguns benefcios de desempenho se comparados a
volumes inicialmente formatados com NTFS. Em volumes convertidos, por
exemplo, a MFT pode ficar fragmentada. Alm disso, em volumes de
inicializao convertidos, o convert aplica a mesma segurana padro que
aplicada durante a instalao do Windows.
IMPORTANTE: necessrio criar
o arquivo de espao reservado
usando o comando fsutil file
createnew antes de executar o
comando convert. Convert no cria
esse arquivo. Ele substitui esse
arquivo com os metadados NTFS.
Depois da converso, qualquer
espao no utilizado nesse arquivo
ser liberado. Para obter mais
informaes sobre o comando fsutil
file, consulte Tpicos relacionados.
Exemplo: Para converter o volume na unidade E em NTFS e exibir todas as mensagens, digite:
convert e: /fs:ntfs /v
O utilitrio DiskPart
O utilitrio DiskPart.exe um interpretador de comandos em texto que permite gerenciar objetos (discos, parties ou
volumes) por scripts ou entrada direta em um prompt de comando. Antes de usar os comandos de DiskPart.exe, exiba
primeiro o objeto e, em seguida, selecione-o. Com o objeto selecionado, qualquer comando de DiskPart.exe digitado
agir sobre esse objeto.
Voc pode listar os objetos disponveis e determinar o nmero ou a letra de unidade de um objeto por meio dos
comandos list disk, list volume e list partition Os comandos list disk e list volume exibem todos os discos e volumes
do computador. Entretanto, o comando list partition somente exibe parties do disco que est em foco. Quando voc
usar os comandos list, um asterisco (*) exibido ao lado do objeto em foco. Um objeto selecionado por seu nmero
ou letra de unidade, como disco 0, partio 1, volume 3 ou volume C.
Quando voc seleciona um objeto, o foco permanece nele at que seja selecionado um objeto diferente. Por exemplo,
se o foco estiver no disco 0 e voc selecionar o volume 8 no disco 2, o foco mudar do disco 0 para o disco 2, volume
8. Alguns comandos mudam automaticamente o foco. Por exemplo, quando voc cria uma nova partio, o foco muda
automaticamente para a nova partio.
S possvel colocar em foco uma partio do disco selecionado. Quando ela est em foco, o volume relacionado (se
houver), tambm fica em foco. Quando um volume tem foco, o disco e a partio relacionados tambm ficam em foco
se o volume mapear para uma nica partio especfica. Se no for esse o caso, o foco no disco e na partio se perde.
O utilitrio Diskpart.exe oferece, sem exagero, milhares de comandos e opes diferentes. Seria possvel, sem ser
muito prolixo, escrever um captulo inteiro sobre o utilitrio Diskpart. Voc encontra informaes completas e exemplos
detalhados sobre o Diskpart, diretamente na ajuda do Windows Server 2003. Para acessar a pgina de ajuda do utilitrio
Diskpart, abra a Ajuda do Windows Server 2003 e pesquise pela palavra Diskpart. A seguir alguns exemplos simples
de utilizao de comandos, dentro do utilitrio Diskpart. Para executar estes comandos, primeiro voc deve abrir um
Prompt de comando e digitar Diskpart e pressionar enter. Ser aberto o prompt do utilitrio Diskpart. Pronto, agora
voc pode executar os comandos especficos do Diskpart, conforme exemplos a seguir:
Exemplo 01: Listar informaes sobre os discos do sistema:
list disk
na Figura 5.43, voc encontra um exemplo de execuo do comando list disk:
Figura 5.43 Listando informaes sobre os discos do sistema.
Exemplo 02: Listar informaes sobre as parties em discos bsicos:
list partition
Exemplo 03: Listar informaes sobre os volumes em discos dinmicos:
list volume
Exemplo 04: Seleciona o disco 04 e depois converte-o para dinmico:
select disk 4
convert dynamic
Com o utilitrio Diskpart voc pode executar qualquer operao com discos e volumes, tais como converter discos de
bsico para dinmico, criar volumes de qualquer tipo, excluir volumes e assim por diante.
O comando Fsutil: file
Este comando, normalmente, utilizado por profissionais de suporte. Localiza um arquivo por nome de usurio (caso
as cotas de disco estejam habilitadas), consulta intervalos alocados para um arquivo, define o nome curto de um
arquivo, define o comprimento de dados vlido para um arquivo, define uma quantidade de dados nula para um
arquivo ou cria um novo arquivo
Sintaxe:
fsutil file [createnew] NomeDoArquivo Comprimento
fsutil file [findbysid] NomeDoUsurio Diretrio
fsutil file [queryallocranges] offset=Deslocamento length=Comprimento NomeDoArquivo
fsutil file [setshortname] NomeDoArquivo NomeCurto
fsutil file [setvaliddata] NomeDoArquivo ComprimentoDosDados
fsutil file [setzerodata] offset=Deslocamento length=Comprimento NomeDoArquivo
Parmetros:
IMPORTANTE: Em NTFS, existem
dois importantes conceitos de
tamanho de arquivo: o marcador de
fim de arquivo (EOF) e o
comprimento vlido dos dados
(VDL). O EOF indica o tamanho real
do arquivo. O VDL identifica o
tamanho dos dados vlidos no disco.
Qualquer leitura entre VDL e EOF
retorna automaticamente 0 a fim
de preservar o requisito de
reutilizao do objeto C2.
createnew: Cria um arquivo com o nome e o tamanho especificados, cujo
contedo consiste em zeros.
NomeDoArquivo: Especifica o caminho completo at o arquivo, incluindo o
nome e a extenso do arquivo. Por exemplo, C:\documentos\nomedoarquivo.txt.
Comprimento: Especifica o tamanho vlido dos dados do arquivo.
findbysid: Em volumes NTFS em que as cotas de disco esto habilitadas,
localiza arquivos que pertencem a um usurio especfico. O usurio
identificado pelo nome de usurio. Findbysid bastante eficiente, pois
examina a tabela de arquivos mestre (MFT) NTFS, o que muito mais
eficiente do que uma pesquisa recursiva atravs da estrutura do diretrio.
NomeDoUsurio: Especifica o nome de usurio ou nome de logon do usurio.
Diretrio: Especifica o caminho completo at o diretrio, por exemplo,
C:\usurios.
queryallocranges: Pesquisa os intervalos alocados para um arquivo em um
volume NTFS. til para determinar se um arquivo possui regies esparsas.
offset=Deslocamento: Especifica o incio do intervalo a ser zerado.
length=Tamanho: Especifica o tamanho do intervalo, em bytes.
setshortname: Define o nome curto (nome de arquivo com 8.3 caracteres de comprimento) para um arquivo em
um volume NTFS.
NomeCurto: Especifica o nome curto do arquivo.
setvaliddata: Define o tamanho vlido para os dados de um arquivo em um volume NTFS.
ComprimentoDosDados: Especifica o tamanho do arquivo, em bytes.
setzerodata: Define um intervalo (especificado por Deslocamento e Comprimento) do arquivo como zeros, o que
esvazia o arquivo. Caso se trate de um arquivo esparso, as unidades de alocao subjacentes sero
descomprometidas.
O parmetro setvaliddata s est disponvel para administradores porque requer o privilgio para realizar tarefas de
manuteno no volume (SeManageVolumePrivilege). Este recurso s necessrio em situaes de multimdia avanada
e de rede de rea do sistema. O parmetro setvaliddata deve ser um valor positivo superior ao VDL atual, mas inferior
ao tamanho do arquivo atual.
Exemplos de uso do comando fsutil:
Para localizar arquivos que pertenam ao usurio jsilva na unidade C, digite:
fsutil file findbysid jsilva C:\usuarios
Para pesquisar os intervalos alocados para um arquivo em um volume NTFS, digite:
fsutil file queryallocranges offset=1024 length=64 C:\dados\relat.doc
Para definir o nome curto do arquivo nomearquivolongo.txt na unidade C como arqlongo.txt, digite:
fsutil file setshortname C:\nomearquivolongo.txt arqlongo.txt
Para definir o tamanho vlido para os dados de um arquivo em um volume NTFS, digite:
fsutil file setvaliddata C:\arqteste.txt 4096
Para definir um intervalo de um arquivo em um volume NTFS a ser zerado para esvazi-lo, digite:
fsutil file setzerodata offset=100 length=150 C:\Temp\exemplo.txt
Criptografia de Arquivos em Parties NTFS
Criptografia definies e conceitos
O Windows Server 2003 fornece suporte a criptografia de pastas e arquivos atravs do EFS Encripted File System
(Sistema de arquivos com Criptografia). O suporte ao EFS foi introduzido no Windows 2000 Server e tambm est
disponvel no Windows 2000 Professional e Windows XP Professional. Com o uso de criptografia o usurio tem um
nvel de segurana maior do que somente com o uso de permisses NTFS (assunto do Captulo 6). Somente possvel
criptografar arquivos e pastas em volumes formatados com o sistema de arquivos NTFS. Com a criptografia o Windows
Server 2003 garante que somente o usurio que criptografou um determinado arquivo tenha acesso ao arquivo.
Criptografia o processo de converter dados em um formato que no possa ser lido por um outro usurio, a no ser o
usurio que criptografou o arquivo. Depois que um usurio criptografar um arquivo, esse arquivo permanecer
automaticamente criptografado quando for armazenado em disco.
Descriptografia o processo de converter dados do formato criptografado no seu formato original. Depois que um
usurio descriptografar um arquivo, esse arquivo permanecer descriptografado quando for armazenado em disco.
Com as permisses NTFS (veja Captulo 6) temos alguns problemas quanto a segurana dos dados:
O Administrador da mquina pode usar o recurso de Take Ownership (Tornar-se dono), tornando-se desta forma
dono dos arquivos/pastas desejados, mesmo sem ter permisso de acesso a estes arquivos/pastas. Aps ter dado
um Take Ownership, o Administrador pode atribuir permisses de acesso para si mesmo e, com isso, acessar
qualquer arquivo ou pasta.
Um usurio pode utilizar um disquete de boot ou instalar um outro sistema operacional no computador e utilizar
alguns programas comerciais existentes, para ter acesso a pastas e arquivos protegidas por permisses NTFS.
A grande questo a seguinte: Com o uso da criptografia, mesmo que o seu computador seja roubado ou que outro usurio
tenha acesso ao computador, no ser possvel acessar os arquivos e pastas que voc criptografou. A nica maneira de ter
acesso fazendo o logon com a sua conta e senha. Em resumo: Com a criptografia, os dados esto protegidos, mesmo que
outras pessoas tenham acesso ao seu computador, a nica maneira de acessar os arquivos criptografados fazendo o logon
com a conta do usurio que criptografou os arquivos ou com a conta configurada como Agente de Recuperao, conforme
descreverei mais adiante. J com as permisses NTFS, conforme descrito anteriormente, este nvel de proteo no existe,
no caso do computador ser roubado ou de um usurio mal intencionado ter acesso ao computador.
Claro que existem situaes adversas que podem surgir com o uso da criptografia. Por exemplo, vamos supor que um
funcionrio criptografou arquivos importantes para a empresa. Neste meio tempo o funcionrio foi demitido. Como
que a empresa poder ter acesso aos arquivos criptografados se o funcionrio demitido se negar a fazer o logon com a
sua conta e descriptografar o s arquivos ou se a sua conta tiver sido excluda?? Por isso que o EFS permite que uma ou
mais contas sejam configuradas como Agente de Recuperao, a qual pode ser utilizada em situaes como a descrita
neste pargrafo. Mais adiante tratarei, em detalhes, sobre o agente de recuperao.
O uso de criptografia especialmente recomendado para usurios de notebooks e outros dispositivos semelhantes.
No raro a ocorrncia de roubos de notebooks, sendo que estes podem conter dados importantes da empresa, tais
como planos estratgicos e relatrios de pesquisa e desenvolvimento de novos produtos. O uso da criptografia a
forma mais indicada para proteger estes dados, mesmo em situaes de roubo de um notebook.
A criptografia transparente para o usurio que criptografou o arquivo. Isso significa que o usurio no precisa
descriptografar manualmente o arquivo criptografado para poder us-lo. Ele pode abrir e alterar o arquivo da maneira
habitual. Por exemplo, vamos supor que voc criptografou um documento do Word. Ao dar um clique duplo no
documento, o Windows Server 2003 descriptografa, automaticamente, o arquivo, abre o Word e carrega o arquivo para
voc. Observe que para o usurio toda a operao transparente, ou seja, como se o arquivo no estivesse criptografado.
Se outro usurio, que no o que criptografou o arquivo, tentar utiliza-lo, receber uma mensagem de acesso negado.
O uso do EFS semelhante ao uso de permisses para arquivos e pastas. Ambos os mtodos podem ser usados para
restringir o acesso aos dados. No entanto, um intruso que obtenha acesso fsico no-autorizado aos seus arquivos ou
pastas criptografados no conseguir acessa-los. Se o intruso tentar abrir ou copiar sua pasta ou arquivo criptografado,
ver uma mensagem de acesso negado. As permisses definidas para arquivos e pastas no os protege contra ataques
fsicos no-autorizados, conforme j descrito anteriormente.
Voc criptografa ou descriptografa uma pasta ou arquivo definindo a propriedade
de criptografia para pastas e arquivos da mesma forma como define qualquer
outro atributo, como somente leitura, compactado ou oculto. Se voc criptografar
uma pasta, todos os arquivos e subpastas criados na pasta criptografada sero
automaticamente criptografados. recomendvel que voc use a criptografia para
pastas e no para arquivos individualmente, pois isso facilita a administrao dos
arquivos criptografados.
NOTA: Voc tambm pode criptografar
ou descriptografar um arquivo ou pasta
usando o comando cipher. Tratarei deste
comando mais adiante.
Antes de aprender a criptografar arquivos e pastas, vou apresentar algumas observaes importantes sobre a criptografia
no Windows Server 2003:
Somente arquivos e pastas em volumes NTFS podem ser criptografados.
As pastas e os arquivos compactados no podem ser criptografados. Se o usurio marcar um arquivo ou pasta
para criptografia, ele ser descompactado. Falarei sobre a compactao de pastas e arquivos em volumes
NTFS, no Captulo 6.
Se voc mover arquivos descriptografados para uma pasta criptografada, esses arquivos sero automaticamente
criptografados na nova pasta. No entanto, a operao inversa no descriptografa automaticamente os arquivos.
Nesse caso, necessrio descriptografar manualmente os arquivos.
Os arquivos marcados com o atributo Sistema no podem ser criptografados, bem como os arquivos da pasta raiz
do sistema, isto C:\ ou D:\ e assim por diante.
Criptografar um arquivo ou uma pasta no protege contra excluso ou listagem de arquivos ou pastas. Qualquer
pessoa com permisses NTFS adequadas pode excluir ou listar pastas ou arquivos criptografados. A proteo da
criptografia contra o acesso aos arquivos, ou seja, somente o usurio que criptografou o arquivo ter acesso.
Para proteo contra listagem e excluso recomenda-se o uso do EFS em combinao com permisses NTFS
(descritas no Captulo 6), utilizando as permisses NTFS para impedir que outros usurios possam excluir e at
mesmo listar os arquivos que esto em um pasta criptografada.
Voc pode criptografar ou descriptografar pastas e arquivos localizados em um computador remoto ativado para
criptografia remota. No entanto, se voc abrir o arquivo criptografado na rede, os dados transmitidos na rede
atravs desse processo no sero criptografados. Outros protocolos, como a camada de soquetes de segurana/
segurana da camada de transporte (SSL/TLS) ou IP Seguro (IPSec), devem ser usados para criptografar dados
durante a transmisso.
Agora que j temos um bom entendimento sobre os aspectos tericos relacionados com o EFS, hora de aprender
sobre as tarefas prticas, relacionadas com a criptografia de arquivos e pastas no Windows Server 2003.
Em primeiro lugar vou falar sobre algumas medidas preventivas que devem ser tomadas, para garantir que voc
sempre possa ter acesso aos arquivos e pastas criptografados.
Garantindo a recuperao dos dados
A criptografia utilizada pelo Windows Server 2003 baseada na utilizao de um par de chaves de criptografia. Uma
chave utilizada para criptografar os dados e a outra chave do par utilizada para descriptografar os dados. A nica
maneira de descriptografar os dados e ter acesso s informaes tendo acesso as chaves de criptografia. Estas chaves
so armazenadas em um Certificado digital, certificado este que gerado, automaticamente, pelo Windows Server
2003, a primeira vez que o usurio criptografa um arquivo ou pasta. Neste Certificado digital esto todas as informaes
necessrias para criptografar e descriptografar arquivos.
Cada usurio que criptografa/descriptografa arquivos, possui o seu prprio Certificado digital, gerado automaticamente
pelo Windows Server 2003. Um certificado adicional tambm gerado para a conta configurada como Agente de
recuperao. Desta maneira se o usurio que criptografou arquivos ou pastas deixar a empresa, ser possvel
descriptografar os seus dados, utilizando a conta configurada como Agente de recuperao, uma vez que esta conta
possui cpia do Certificado digital necessrio a tal operao.
O Certificado digital nada mais do que um arquivo que contm as informaes necessrias para trabalhar com
criptografia no Windows Server 2003. Como todo arquivo, fica gravado no disco rgido do computador. Acontece que
se houver um problema com o disco rgido, a cpia do certificado do usurio e do certificado do agente de recuperao
sero perdidas (caso no haja uma cpia de segurana) e, sem um destes certificados, ficar impossvel descriptografar
os arquivos/pastas criptografados pelo usurio. Na prtica, significa que o acesso aos dados criptografados ser perdido.
Para evitar que isto acontea, deve ser feita uma cpia de segurana, preferencialmente em disquete ou em um drive de
rede, do Certificado digital gerado para o usurio. importante lembrar que este certificado, somente ser gerado na
primeira vez que o usurio criptografar alguma pasta ou arquivo.
A seguir mostrarei como fazer o backup do certificado digital do usurio, do certificado do agente de recuperao e
como restaurar o certificado digital do usurio. Por padro, a conta Administrator (Administrador) configurada
como agente de recuperao.
Para um member server, o agente de recuperao padro a conta Administrator (Administrador) local. Para um
domnio baseado no Active Directory, a conta configurada com agente de recuperao a conta Administrator
(Administrador) do domnio. No exemplo a seguir mostrarei como fazer uma cpia de segurana, em disquete, do
certificado digital da conta Administrator do domnio.
Exemplo 1: Para fazer o backup do certificado do Agente de recuperao para o domnio, siga os seguintes passos:
1. Faa o logon com uma conta com permisses de Administrador.
2. Abra o console Diretiva de segurana de domnio: Iniciar -> Ferramentas Administrativas -> Diretiva de segurana
de domnio. Clique no sinal de + ao lado da opo Configuraes de segurana.
3. Nas opes que so exibidas, d um clique no sinal de + ao lado da opo Diretivas de chave pblica.
4. Nas opes que so exibidas d um clique na opo Sistemas de arquivos criptografados. No painel da direita ser
exibido o Certificado do Agente de recuperao, que por padro a conta Administrator (Administrador), conforme
Figura 5.44 Conta Administrator por padro o agente de recuperao.
5. No painel da direita, clique com o boto direito do mouse na conta Administrador. No menu que exibido
selecione o comando Todas as tarefas -> Exportar... Ser aberto o Assistente para exportao de certificados.
6. A primeira tela apenas informativa. D um clique no boto Avanar, para ir para a prxima etapa do assistente.
7. Nesta etapa voc deve optar por exportar ou no a Chave particular do certificado. A Chave particular um meio
de proteger o acesso ao Certificado digital, atravs de uma senha. Se voc no tiver uma senha definida, apenas
estar habilitada a opo No, no exportar a chave particular. Marque a opo No, no exportar a chave particular,
Figura 5.45 Definindo opes de exportao do certificado do agente de recuperao.
8. Certifique-se de que a opo No, no exportar a chave particular esteja marcada e d um clique no boto Avanar,
para ir para a prxima etapa do assistente.
9. Surge uma tela perguntando o formato para exportao do certificado. Certifique-se de que a opo X.509
binrio codificado por DER (*.cer) esteja selecionada e d um clique no boto Avanar, para ir para a prxima
10. Surge uma tela solicitando o nome do arquivo para o qual ser exportado o certificado. recomendado que voc
exporte para um disquete ou para um drive de rede. Certifique-se de que voc colocou um disquete no drive e, no
campo Nome do arquivo, digite: A:\cert_ag_recup.
11. D um clique no boto Avanar, para ir para a prxima etapa do assistente. O Windows Server 2003 exporta o
certificado, para o arquivo especificado no drive de disquete.
12. Ser exibida a tela final do assistente, com um resumo das opes selecionadas. Se voc quiser fazer alguma
alterao, pode utilizar o boto Voltar. D um clique no boto Concluir, para fechar o Assistente para exportao
de certificados.
13. Surge uma mensagem informando que a exportao foi concluda com xito. D um clique no boto OK para
fechar esta mensagem.
14. Voc estar de volta ao console Configuraes locais de segurana e uma cpia do Certificado digital do Agente
de recuperao, foi gravada no disquete. No evento de uma falha do disco rgido, esta cpia pode ser utilizada
para descriptografar os arquivos e pastas criptografados. Feche o console Configuraes locais de segurana.
Muito bem, o backup do certificado do agente de recuperao foi efetuado. Em caso de falha no HD voc pode
importar este certificado para descriptografar arquivos que tenham sido criptografados anteriormente a falha. Claro
que deve existir backup destes arquivos, caso contrrio com a falha no HD voc perder os arquivos e a no haver
utilizao para a cpia do certificado do agente de recuperao que voc fez no passo 1.
Exemplo 2: Para fazer o backup do Certificado digital do usurio, gerado automaticamente pelo Windows Server
2003, quando o usurio criptografa um arquivo ou pasta pela primeira vez, faa o seguinte:
1. Faa o logon com um a conta do usurio, para o qual voc deseja fazer uma cpia de segurana do Certificado digital.
2. Abra o Internet Explorer.
3. Selecione o comando Ferramentas -> Opes da Internet...
4. Na janela Opes da Internet que aberta d um clique na guia Contedo.
5. Na guia Contedo d um clique no boto Certificados... Ser aberta a janela Certificados.
6. Na guia Pessoal, d um clique no certificado que corresponde ao nome do usurio logado, conforme indicado na
Figura 5.46, onde foi marcado o certificado para o usurio Administrador.
7. Clique no boto Exporttar..., ser aberto o Assistente para exportao de certificados, com o qual voc j trabalhou
no exemplo 1.
8. A primeira tela do assistente apenas informativa, d um clique no boto Avanar, para ir para a prxima etapa
do assistente.
9. Nesta etapa voc deve optar por exportar ou no a Chave particular do certificado.
10. Certifique-se de que a opo Sim, exportar a chave particular esteja marcada e d um clique no boto Avanar,
para ir para a prxima etapa do assistente.
11. Surge uma tela perguntando o formato para exportao do certificado. Aceite as configuraes sugeridas pelo
assistente e d um clique no boto Avanar, para ir para a prxima etapa do assistente.
Figura 5.46 A guia Pessoal da janela Certificados.
12. Nesta etapa solicitada uma senha de proteo para abertura do arquivo no qual ser gravado o certificado. Digite
a senha duas vezes para confirmao e d um clique no boto Avanar, para ir para a prxima etapa do assistente.
Esta senha no precisa ser igual a senha de logon da conta do usurio.
13. Surge uma tela solicitando o nome do arquivo para o qual ser exportado o certificado. recomendado que voc
exporte para um disquete ou para um drive de rede. Certifique-se de que voc colocou um disquete no drive e, no
campo Nome do arquivo, digite: A:\Admin.
14. D um clique no boto Avanar, para ir para a prxima etapa do assistente. O Windows Server 2003 exporta o
certificado, para o arquivo especificado no drive de disquete.
alterao, pode utilizar o boto Voltar. D um clique no boto Concluir, para fechar o Assistente para exportao
de certificados.
16. Surge uma mensagem informando que a exportao foi concluda com xito. D um clique no boto OK para
17. Voc estar de volta a guia Pessoal da janela Certificados e uma cpia do Certificado digital do usurio logado,
foi gravada no disquete. No evento de uma falha do disco rgido, esta cpia pode ser utilizada para descriptografar
os arquivos e pastas criptografados pelo usurio.
18. Clique no boto Fechar para fechar a janela Certificados.
19. Voc estar de volta janela Opes da Internet. D um clique no boto OK para fecha-la.
20. Voc estar de volta ao Internet Explorer. Feche-o.
Com estes dois exemplos, voc aprendeu a exportar o certificado do agente de recuperao e tambm o certificado de
um usurio. Estes certificados podem ser importados a partir do disquete, no evento de falha do respectivo certificado
original. sempre recomendado que voc proteja os certificados com a definio de uma senha e mantenha o disquete
em local seguro, pois caso contrrio qualquer usurio que tiver acesso ao disquete poder importar o certificado
(conforme mostrarei logo a seguir) e utiliza-lo para ter acesso aos seus arquivos e pastas criptografados. Por isso a
importncia da definio de uma senha para exportao do certificado, pois esta senha ser solicitada quando da
importao do certificado. O certificado somente ser importado com sucesso, se a senha correta for informada.
Na Figura 5.47 mostro os dois arquivos, com os certificados que foram exportados nos exemplos 1. e 2. Observe
que o Windows Server 2003 usa cones diferentes para o certificado do Agente de recuperao e para o certificado
de usurio.
Figura 5.47 Cpia de segurana dos certificados.
Agora vou mostrar como importar um certificado a partir de um arquivo.
Exemplo 3: Para importar um certificado siga os passos indicados a seguir:
1. Abra a pasta onde est o certificado. No nosso exemplo, use o Meu computador ou o Windows Explorer para
acessar o disquete (A:\), onde est o arquivo com o certificado a ser importado.
2. Clique com o boto direito do mouse no arquivo com o certificado a ser importado. Se voc estiver importando o
certificado do agente de recuperao, no menu que surge, d um clique na opo Instalar certificado. Se voc estiver
importando o certificado de um usurio, no menu de opes que exibido, d um clique na opo Instalar PFX.
3. No nosso exemplo voc ir importar o certificado de usurio, exportado no Exemplo 2. Clique com o boto
direito do mouse no arquivo correspondente ao certificado a ser importado (Admin.pfx) e no menu de opes que
surge, d um clique na opo Instalar PFX.
4. Ser aberto o Assistente para importao de certificados.
5. A primeira tela apenas informativa. D um clique no boto Avanar, para seguir para a prxima etapa do assistente.
6. O campo Nome do arquivo j vem preenchido com o caminho e o nome do arquivo no qual clicamos com o boto
direito do mouse. D um clique no boto Avanar, para seguir para a prxima etapa do assistente.
7. Se houver uma senha definida para o certificado, surgir uma tela solicitando que seja digitada a senha. Digite a
senha e d um clique no boto Avanar, para seguir para a prxima etapa do assistente.
8. Nesta etapa voc deve indicar o local para onde ser importado o certificado. Aceita a opo sugerida pelo
assistente, que por padro Selecionar automaticamente o armazenamento de certificados conforme o tipo de
certificado, conforme indicado na Figura 5.48:
Figura 5.48 Definindo o local de armazenamento dos certificados.
alterao, pode utilizar o boto Voltar. D um clique no boto Concluir, para fechar o Assistente para importao
de certificados.
11. Surge uma mensagem informando que a importao foi concluda com xito. D um clique no boto OK para
Agora sim, voc j sabe exportar e importar certificados, para garantir o acesso aos dados criptografados. Agora
hora de comear a trabalhar com a criptografia no Windows Server 2003.
Criptografando arquivos e pastas
possvel criptografar arquivos individualmente, porm recomendado que voc utilize a criptografia sempre em
pastas. Ao criptografar uma pasta, todos os novos arquivos que forem criados dentro da pasta j sero automaticamente
criptografados. Com isso voc garante que todo o contedo da pasta est protegido.
Figura 5.49 Mensagem de acesso negado.
Ao criptografar uma pasta e o seu contedo, somente o usurio que criptografou
a pasta, ter acesso aos seus arquivos. Outros usurios podero entrar na pasta e
at mesmo vero uma listagem dos arquivos, porm ao tentar abrir um arquivo,
recebero a mensagem indicada na Figura 5.49.
Exemplo 1: Para criptografar uma pasta e todo o seu contedo, siga os passos
indicados a seguir:
1. Faa o logon com a sua conta de usurio. Somente voc ter acesso aos
arquivos da pasta que forem criptografados enquanto voc estava logado com
a sua conta de usurio.
2. Usando o Meu computador ou o Windows Explorer, localize a pasta a ser
criptografada.
IMPORTANTE: Para impedir que
outros usurios possam entrar em
uma pasta que voc criptografou e
visualizar a listagem de arquivos,
configure as permisses NTFS de tal
maneira que somente voc possa
listar os arquivos desta pasta. Para
maiores detalhes sobre a
configurao de permisses NTFS,
consulte o Captulo 6.
3. Clique com o boto direito do mouse na pasta a ser criptografada e, no menu de opes que exibido, d um
clique na opo Propriedades. Ser aberta a janela de propriedades da pasta, com a guia Geral selecionada.
4. D um clique no boto Avanado... Ser aberta a janela Atributos avanados.
5. Para criptografar a pasta marque a opo Criptografar o contedo para proteger os dados, conforme indicado no
Figura 5.50 A opo Criptografar o contedo para proteger os dados.
6. D um clique no boto OK. Voc estar de volta janela de propriedades da pasta.
7. D um clique no boto OK. Surge uma janela perguntando se voc deseja criptografar somente a pasta em questo
ou todas as suas subpastas e arquivos. Selecione a opo Aplicar as alteraes a esta pasta , subpastas e arquivos
e d um clique no boto OK.
8. O Windows Server 2003 inicia o processo de criptografia da pasta e de todo o seu contedo. Dependendo da
quantidade de arquivos e subpastas, o processo de criptografia pode demorar alguns minutos. Durante este processo
exibida uma janela com o progresso da criptografia.
Pronto. A pasta est criptografada e somente o usurio que a criptografou ter acesso a pasta.
Algumas observaes muito importantes e que no devem ser esquecidas para o exame:
As pastas e os arquivos compactados no podem ser, ao mesmo tempo, criptografados. Se voc criptografar uma
pasta ou um arquivo compactado, essa pasta ou esse arquivo ser descompactado.
Os arquivos marcados com o atributo Sistema no podem ser criptografados, bem como os arquivos que se
encontram na estrutura de diretrios raiz dos volumes (C:\, D:\ e assim por diante).
Ao criptografar um nico arquivo, voc poder optar se deseja criptografar a pasta que contm o arquivo. Se voc
escolher essa opo, todos os arquivos e subpastas que forem adicionados posteriormente pasta sero
criptografados quando forem adicionados.
Ao criptografar uma pasta, voc poder optar se deseja que todos os arquivos e subpastas dentro da pasta tambm
sejam criptografados. Se voc escolher essa opo, todos os arquivos e subpastas atualmente na pasta sero
criptografados, bem como quaisquer arquivos e subpastas que forem adicionados pasta mais tarde. Se voc
optar por criptografar somente a pasta, todos os arquivos e subpastas que se encontram atualmente na pasta no
sero criptografados. No entanto, quaisquer arquivos e subpastas que forem adicionados pasta mais tarde sero
criptografados quando forem adicionados. aconselhvel que voc sempre opte por criptografar todo o contedo
da pasta, conforme descrito no passo 7 do Exemplo anterior. Com isso voc no ter que manter um controle
sobre quais pastas e/ou arquivos esto criptografados e quais no esto.
Para criptografar um nico arquivo, o processo semelhante a criptografar uma
pasta, conforme descrito nos passos a seguir:
1. Utilizando o Windows Explorer ou o Meu computador, localize o arquivo a
ser criptografado.
2. Clique com o boto direito do mouse no arquivo a ser criptografado. No
menu de opes que surge, d um clique na opo Propriedades. Ser aberta
a janela de propriedades do arquivo, com a guia Geral selecionada por padro.
3. D um clique no boto Avanado... Ser exibida a janela Atributos avanados.
NOTA: Se voc no quiser mais
receber este aviso e fazer com que
o Windows Server 2003 faa
sempre a criptografia somente do
arquivo, marque a opo Sempre
criptografar somente o arquivo.
4. Marque a opo Criptografar o contedo para proteger os dados e d um clique no boto OK.
5. Ser aberta a janela Aviso de criptografia, perguntando se voc deseja criptografar o arquivo e a pasta pai (pasta
onde est o arquivo) ou somente o arquivo, conforme indicado na Figura 5.51:
Figura 5.51 A janela Aviso de criptografia.
IMPORTANTE: Voc tambm pode
criptografar arquivos e pastas que
esto em pastas compartilhadas, em
outros computadores da rede. Basta
mapear uma unidade para a pasta
compartilhada (pastas compartilhadas
e mapeamento de unidades ser
assunto do Captulo 6), onde esto os
arquivos e pastas a ser criptografados
e utilizar os procedimentos descritos
neste tpico, para criptograf-los.
FIG5-4.tif
6. Na janela Aviso de criptografia selecione a opo desejada e d um clique no boto OK.
7. Voc estar de volta janela de propriedades do arquivo.
8. D um clique no boto OK. O Windows criptografa o arquivo e, dependendo das opes que voc selecionou,
tambm a pasta onde est o arquivo.
Operaes com Arquivos Criptografados (para o exame, no esquea destes detalhes)
Ao copiar ou mover arquivos criptografados, diferentes situaes podem ocorrer dependendo de a pasta de destino ser
ou no criptografada e de estar ou no em um volume formatado com NTFS. A seguir descrevo algumas situaes
envolvendo aes de copiar e mover com arquivos criptografados.
IMPORTANTE: Se voc tentar
mover um arquivo criptografado
por outro usurio, para um volume
formatado com FAT, na tentativa de
obter uma cpia no criptografada
do arquivo, voc receber uma
mensagem de Acesso negado, pois
para descriptografar o arquivo (o
que necessrio para move-lo para
um volume FAT), voc teria que ter
acesso ao Certificado digital do
usurio que criptografou o arquivo,
Ao copiar um arquivo no criptografado, para uma pasta criptografada, a
cpia do arquivo ser criptografada na pasta de destino. Por exemplo, voc
copia o arquivo no criptografado memo.doc, da pasta Meus documentos
para a pasta Documentos pessoais, a qual est criptografada. O arquivo
memo.doc copiado para a pasta Documentos pessoais ser criptografado.
Ao copiar um arquivo criptografado, para um volume NTFS em outro
computador com o Windows 2000, Windows XP Professional ou Windows
Server 2003, o arquivo manter a criptografia. Se o computador de destino
estiver rodando o Windows NT ou o volume for formatado com FAT, a cpia
do arquivo no ser criptografada.
Se voc mover um arquivo criptografado para outra pasta, no mesmo
volume, o arquivo mantm a criptografia. Se voc mover um arquivo
criptografado para outro volume, o Windows Server 2003 considerar esta
operao como sendo uma cpia, onde o arquivo excludo na pasta de
origem e copiado para a pasta de destino. Neste caso, o arquivo segue as
regras explicadas no primeiro item.
Se voc renomear um arquivo criptografado, o arquivo continuar criptografado.
Ao excluir um arquivo, a cpia do arquivo que fica na Lixeira, continuar criptografada.
Se voc fizer uma cpia de segurana de arquivos criptografados para uma fita de Backup ou para um outro
volume NTFS, a cpia de segurana permanecer criptografada.
Se voc quiser utilizar arquivos criptografados em outro computador, ter que importar o seu Certificado digital
no computador de destino, conforme descrito anteriormente.
Descriptografando arquivos e pastas.
Enquanto um determinado arquivo estiver criptografado, o uso deste arquivo no muda para o usurio, ou seja, quando
o usurio abre um arquivo criptografado, o Windows Server 2003 utiliza as informaes do Certificado digital do
usurio para descriptografar o arquivo e fornecer os dados para o usurio. Este processo completamente transparente
para o usurio, conforme j descrito anteriormente.
O usurio pode descriptografar um arquivo e/ou pasta a qualquer momento que desejar. O usurio pode utilizar este
mecanismo em diversas situaes, como por exemplo, para fornecer acesso ao arquivo para outros usurios. Para
descriptografar um arquivo ou pasta extremamente simples, basta seguir os seguintes passos:
1. Localize o arquivo ou pasta a ser descriptografado e d um clique com o boto direito do mouse nele.
2. No menu de opes que surge d um clique em Propriedades. Ser exibida a janela de propriedades do
arquivo/pasta.
3. Na guia Geral, da janela de Propriedades, d um clique no boto Avanado...
4. Na janela Atributos avanados, desmarque a opo Criptografar o contedo para proteger os dados.
6. Voc estar de volta janela Propriedades. D um clique no boto OK.
7. Se voc estiver descriptografando uma pasta, surge a mensagem indicada perguntando se voc deseja descriptografar
apenas a pasta ou todo o seu contedo. Selecione a opo desejada e d um clique no boto OK.
8. A pasta ser descriptografada e tambm o seu contedo, dependendo das opes selecionadas. Se voc optar por
descriptografar somente a pasta, novos arquivos criados na pasta no sero criptografados, porm os arquivos j
existentes, mantero a criptografia.
Permitindo que outros usurios tenham acesso a arquivos e pastas que voc criptografou
Voc pode permitir que outros usurios acessem arquivos ou pastas que voc criptografou. Pode ser que alm de voc,
outros usurios tambm devam ter acesso ao arquivo criptografado. Nesta situao voc continua utilizando a
criptografia, para garantir a segurana dos dados e pode autorizar um ou mais usurios a acessar o arquivo.
Exemplo: Para permitir o acesso de outros usurios a um arquivo criptografado, faa o seguinte:
1. Faa o logon com a sua conta de usurio.
2. Usando o Meu computador ou o Windows Explorer, localize e o arquivo que voc criptografou e para o qual voc
quer configurar acesso para outros usurios.
3. Clique com o boto direito do mouse no arquivo e no menu que exibido d um clique na opo Propriedades. A
janela Propriedades do arquivo ser aberta, com a guia Geral selecionada.
4. D um clique no boto Avanados... Ser exibida a janela Atributos avanados.
5. D um clique no boto Detalhes, ao lado da opo Criptografar o contedo para proteger os dados. Ser exibida
a janela Detalhes de criptografia. Nesta janela exibida a lista de usurios com acesso ao arquivo criptografado.
Por padro, consta na lista, apenas o nome do usurio que criptografou o arquivo. Para adicionar permisso de
acesso a outros usurios, d um clique no boto Adicionar...
Figura 5.52 Permitindo acesso para outros usurios.
6. Ser exibida a janela Selecione o usurio. Nesta janela exibida a listagem de todos os usurios que possuem um
Certificado digital, ou seja, de todos os usurios que j criptografaram pelo menos um arquivo ou pasta no computador
que voc est utilizando. Selecione o usurio para o qual voc deseja permitir acesso, conforme exemplo da Figura
5.52 (baseada em um servidor com o Windows Server 2003 em Ingls) e d um clique no boto OK.
7. Voc estar de volta janela Detalhes de criptografia e o usurio selecionado na janela da Figura 5.52 j aparece
na lista, conforme indicado na Figura 5.53:
Figura 5.53 A janela Detalhes de criptografia.
8. Repita os passos 5, 6 e 7 para adicionar mais usurios a lista de usurios com
permisso de acesso ao arquivo criptografado.
9. D um clique no boto OK. Voc estar de volta janela Atributos avanados.
10. D um clique no boto OK para fechar a janela Atributos avanados. Voc
estar de volta janela de propriedades do arquivo.
11. D um clique no boto OK para fechar a janela de Propriedades do arquivo.
adicionar grupos para acessar a
criptografia de arquivos, a
permisso tem que ser definida
usurio por usurio.
Alterando a diretiva de recuperao do Computador local
possvel alterar as configuraes do Agente de recuperao do seu computador ou no caso de trabalhar em um
domnio, do domnio como um todo. Voc pode adicionar novas contas, alm da conta padro Administrador, pode
inclusive excluir todos os usurios da lista de Agentes de recuperao, o que implicar na desabilitao do sistema de
criptografia, conforme ser detalhado mais adiante.
Exemplo: Para alterar a diretiva de recuperao do domnio, faa o seguinte:
1. Faa o logon com uma conta com permisses de Administrador.
2. Abra o console Diretiva de segurana de domnio: Iniciar -> Ferramentas Administrativas -> Diretiva de segurana
de domnio. Clique no sinal de + ao lado da opo Configuraes de segurana.
3. Nas opes que so exibidas d um clique no sinal de + ao lado da opo Diretivas de chave pblica.
4. Nas opes que so exibidas d um clique na opo Sistemas de arquivos criptografados. No painel da direita ser
exibido o Certificado do Agente de recuperao, que por padro a conta Administrator (Administrador).
5. Clique com o boto direito do mouse na opo Sistema de arquivos criptografados e siga uma dos seguintes caminhos:
5.1. Para designar um usurio como agente de recuperao adicional atravs do Assistente para adicionar agente
de recuperao, clique na opo Adicionar agente de recuperao de dados... e siga os passos do assistente.
5.2. Para solicitar um novo certificado de recuperao de arquivo atravs do Assistente para solicitao de
certificados, clique em Novo -> Agente de recuperao de dados.... Ser aberto o Assistente para adicionar
agente de recuperao. Siga os passos do assistente.
5.3. Para excluir essa diretiva de EFS e todos os agentes de recuperao, clique em Todas as Tarefas -> Excluir
diretiva. Se voc selecionar essa opo, os usurios no podero mais usar criptografia nos computadores
do domnio. O Windows Server 2003 no permite que voc faa a criptografia de arquivos se no houver
um Agente de recuperao configurado. Para voltar a habilitar a criptografia de arquivos, voc deve seguir
os passos descritos neste exemplo e adicionar um Agente de recuperao.
6. Aps ter configurado as opes desejadas, feche o MMC. Surge uma janela perguntando se voc deseja salvar o
console. Clique em No.
Antes de qualquer alterao na diretiva de recuperao, voc deve fazer um backup das chaves de recuperao
em um disquete, conforme descrito nos exemplos anteriores. Este procedimento garante que os arquivos podero
ser descriptografados caso haja algum problema com as configuraes do Agente de recuperao.
necessrio fazer logon como administrador ou com uma conta com permisses de administrador para executar
estas aes.
Se a sua conta for configurado como Agente de recuperao, voc poder descriptografar arquivos criptografados
por outros usurios, simplesmente acessando as propriedades do arquivo, clicando no boto Avanado... e
desmarcando a opo Criptografar o contedo para proteger os dados. Para realizar tal operao, o Certificado
digital correspondente a conta do Agente de recuperao deve estar instalado no computador onde a operao
ser realizada. Para maiores detalhes sobre a Importao e Exportao de certificados, consulte a parte inicial
deste tpico.
Recomendaes sobre a criptografia de pastas e arquivos
Neste item coloco algumas recomendaes sobre a criptografia de pastas e arquivos. Estas recomendaes so baseadas
na documentao oficial da Microsoft:
Para obter o mximo de segurana, criptografe as pastas antes de criar arquivos importantes nelas. Isso faz com
que os arquivos criados sejam automaticamente criptografados e seus dados nunca sejam gravados em disco
como texto sem formatao.
Se voc salvar a maior parte dos seus documentos na pasta Meus documentos, criptografe-a. Isso assegura que
seus documentos pessoais sejam criptografados por padro. No caso de perfis de usurios mveis, deve-se fazer
isso apenas se a pasta Meus documentos for redirecionada para um local de rede.
Criptografe pastas em vez de arquivos individuais para que, caso um programa crie arquivos temporrios durante
a edio, eles tambm sejam criptografados.
O agente de recuperao designado dever exportar o certificado de recuperao de dados e a chave particular
para um disco, guard-los em um local seguro e excluir do sistema a chave particular de recuperao de dados.
Dessa forma, a nica pessoa que poder recuperar dados do sistema ser aquela que possui acesso fsico chave
particular de recuperao de dados. Estes procedimentos foram descritos no incio deste tpico.
Deve-se manter o menor nmero possvel de agentes de recuperao designados. Desse modo, menos chaves
ficaro expostas ao ataque criptogrfico e haver mais garantias de que os dados criptografados no sejam
descriptografados inadequadamente.
O comando cipher
O comando cipher utilizado para exibir ou altera a criptografia de pastas e arquivos em volumes NTFS. Quando
utilizado sem parmetros, cipher exibe o estado de criptografia da pasta atual e de quaisquer arquivos que ela contenha.
Sintaxe para o comando cipher, conforme documentao oficial da Microsoft:
cipher [{/e|/d}] [/s:dir] [/a] [/i] [/f] [/q] [/h] [/k] [/u[/n]] [nome_de_caminho [...]] | [/
r:nome_de_caminho_sem_extenso] | [/w:nome_de_caminho]
Na tabela 5.2, apresento a descrio dos parmetros do comando cipher.
Tabela 5.2 Parmetros do comando cipher
Parmetro Descrio
/e Criptografa as pastas especificadas. As pastas sero marcadas para que os arquivos
adicionados a elas posteriormente tambm sejam criptografados.
/d Descriptografa as pastas especificadas.
/s:dir Efetua a operao selecionada na pasta especificada e em todas as subpastas.
/a Efetua a operao nos arquivos e pastas.
/i Continua a efetuar a operao especificada mesmo aps a ocorrncia de erros. Por padro,
cipher interrompido quando um erro encontrado.
/f Fora a criptografia ou descriptografia de todos os objetos especificados. Por padro, os
arquivos que j tenham sido criptografados ou descriptografados sero ignorados por cipher.
/q Reporta somente as informaes mais essenciais.
/h Exibe arquivos com atributos de sistema ou ocultos. Por padro, esses arquivos no so
criptografados ou descriptografados.
/k Cria uma nova chave de criptografia de arquivo para o usurio que estiver executando o
comando cipher. Se voc usar esta opo, cipher ignorar todas as outras opes.
/u Atualiza a chave de criptografia de arquivo do usurio ou a chave do agente de recuperao,
utilizando as mais atuais em todos os arquivos criptografados nas unidades locais (isto , se
as chaves tiverem sido alteradas). Esta opo s funciona com /n.
Parmetro Descrio
/n Evita que as chaves sejam atualizadas. Use esta opo para localizar todos os arquivos
criptografados nas unidades locais. Esta opo s funciona com /u.
nomedecaminho Especifica um padro, arquivo ou pasta.
/r :nome de Gera uma nova chave particular e um novo certificado de caminho sem agente de
recuperao e grava-os nos arquivos com extenso o nome de arquivo especificado em
nome_de_caminho_sem_extenso.Se voc usar esta opo, cipher ignorar todas as
outras opes.
/w:nome de Remove os dados que se encontram em partes no utilizadas caminho de um volume.
nome_de_caminho pode indicar qualquer pasta no volume desejado. Se voc usar esta
opo, cipher ignorar todas as outras opes.
/? Exibe informaes de ajuda no prompt de comando.
O comando cipher no criptografa arquivos que estejam marcados como somente leitura.
Eis alguns exemplos do comando cipher:
1. Para usar o comando cipher para criptografar uma subpasta denominada Memorandos em uma pasta denominada
Documentos, utilize o seguinte comando:
cipher /e Documentos\Memorandos
2. Para criptografar a pasta Documentos, e todas as sua subpastas, digite o seguinte comando:
cipher /e /s:Documentos
3. Para criptografar apenas o arquivo finanas.xls na subpasta Planilhas, da pasta Documentos, utilize o seguinte
comando:
cipher /e /a Documentos\Planilhas\finanas.xls
4. Para criptografar todos os arquivos .xls da subpasta Planilhas, da pasta Documentos, digite o seguinte comando:
cipher /e /a Documentos\Planilhas\*.xls
5. Para determinar se a pasta Documentos est criptografada, utilize o seguinte comando:
cipher Documentos
Para determinar os arquivos na pasta Documentos que esto criptografados, utilize o seguinte comando:
cipher Documentos\*
Concluso
Neste captulo apresentei os conceitos de armazenamento bsico e armazenamento dinmico, bem como a diferena
entre ambos. Em seguida mostrei como realizar um srie de tarefas administrativas relacionadas com discos, parties
(em discos bsicos) e volumes (em discos dinmicos). Voc aprendeu sobre os diferentes tipos de parties que podem
ser criadas em discos bsicos e os diferentes tipos de volumes que podem ser criados em discos dinmicos. Tambm
aprendeu a converter um disco bsico para disco dinmico.
O prximo passo foi falar sobre as ferramentas para manuteno preventiva de volumes e parties. Voc aprendeu
sobre o conceito de fragmentao de discos e aprendeu a utilizar o utilitrio de desfragmentao de volumes (e
parties), o qual est bem mais eficiente no Windows Server 2003 em relao ao utilitrio de desfragmentao do
Windows 2000 Server. Voc tambm aprendeu sobre os utilitrios de linha de comando disponveis para o gerenciamento
de discos e volumes.
Na seqncia apresentei diversos detalhes sobre uma das caractersticas que exclusiva do sistema de arquivos NTFS:
Criptografia de Arquivos.
A tecnologia de criptografia do Windows Server 2003 baseada no EFS Encripted File System (Sistema de arquivos
criptografados). O EFS fornece todo o suporte necessrio para trabalhar com arquivos criptografados. Somente arquivos
e pastas em volumes NTFS podem ser criptografados. Esta, alis, uma das tantas vantagens do sistema de arquivos
NTFS em relao ao sistema FAT/FAT32. Estas diferenas sero discutidas em detalhes no Captulo 6.
Voc aprendeu a trabalhar com os certificados que gerenciam a criptografia de arquivos, aprendeu a criptografar e a
descriptografar arquivos e pastas, aprendeu o que acontece quando arquivos e pastas criptografadas so copiados e/ou
movidos para diferentes destinos e tambm aprendeu a utilizar o comando cipher, para gerenciar a criptografia de
arquivos e pastas. O uso do comando cipher especialmente til quando voc cria scripts para administrao da
criptografia de pastas e arquivos.
No prximo captulo voc estudar o sistema NTFS em detalhes, aprender a compartilhar pastas e arquivos, aprender
sobre permisses de compartilhamento, permisses NTFS, interao entre estes dois tipos de permisso e uma srie
de outros assuntos relacionados com o sistema de arquivos NTFS.
Introduo
Conforme descrito no Captulo 2, o Windows Server 2003 desempenha o papel
de servidor de rede. O principal recurso, o recurso mais utilizado o
compartilhamento de arquivos atravs da rede. Os arquivos ficam em uma pasta
compartilhada no servidor e so acessados a partir das estaes de trabalho da
rede. O acesso pode ser feito via drive mapeado o diretamente usando o caminho
UNC Universal Naming Convention, tambm descrito no Captulo 2.
Neste captulo voc aprender a criar e a administrar Pastas compartilhadas. Ao
compartilhar uma pasta, esta passa a estar acessvel para outros computadores da
rede. O uso de pastas compartilhadas a maneira de possibilitar a todos os usurios
da rede, o acesso a uma ou mais pastas, na qual so gravados arquivos de inter-
esse comum, utilizados por um grupo de pessoas. Por exemplo, pode ser o caso
de uma equipe de projeto que utiliza uma pasta compartilhada em um servidor,
para gravar os arquivos com os manuais e a documentao do projeto. Desta
maneira todos tem acesso aos referidos arquivos. O mais importante que ao
utilizar um nico local de armazenamento a pasta compartilhada todos esto
tendo acesso a mesma verso de cada documento. Isto evita a situao em que os
documentos esto espalhados em pastas de vrios computadores e um documento
alterado. Neste caso, para que os demais participantes do grupo possam ter
acesso a verso atualizada do documento, necessrio copiar o arquivo com a
verso atualizada para cada um dos computadores. Vejam que este seria um mtodo
bem mais trabalhoso. Com a pasta compartilhada no, alterou um documento,
todos acessam a verso atualizada.
Ao criar uma pasta compartilhada o administrador pode definir quais usurios
tem acesso pasta e qual o nvel de acesso de cada usurio ou grupo. Por exemplo,
o administrador pode dar permisso de leitura e escrita para um determinado
grupo e somente de leitura para outro grupo e, ainda, negar o acesso para um
terceiro grupo. Para definir as permisses, conforme comentado no Captulo 2,
recomendada a utilizao de grupos, ao invs de definir as permisses
individualmente para cada usurio. No que no seja possvel definir as permisses
para cada usurio individualmente. Possvel , apenas recomendado que se uti-
lize grupos, para facilitar a definio e a administrao das permisses de acesso.
Uma pasta compartilhada pode ser acessada de diversas maneiras, conforme
mostrarei neste captulo. Pode-se usar diretamente o caminho para a pasta ou
pode-se montar um drive. Montar um drive significa que ser exibido um novo
drive no sistema, como por exemplo: X: ou Y: ou S:. Na prtica, este drive um
atalho para a pasta compartilhada, ou seja, ao acessar o referido drive, o usurio
est, na verdade, acessando a pasta compartilhada. O uso de drives montados
facilita o acesso as pastas compartilhadas, pois o usurio no precisa lembrar o
nome do servidor e o nome do compartilhamento, tudo o que o usurio precisa
acessar o drive que serve como atalho para a pasta compartilhada.
Em seguida falarei um pouco sobre sistemas de arquivos e mais especificamente
sobre o sistema de arquivos NTFS. Mostrarei que com o sistema de arquivos
NTFS possvel definir permisses de acesso para pastas e arquivos, possvel
C A P T U L O
6
Criando e Administrando
Pastas Compartilhadas e
Permisses de acesso
compactar pastas e arquivos, criptografar (assunto visto no Captulo 5) e configurar auditoria de acesso a pastas e
arquivos. Voc aprender sobre os tipos de permisses NTFS existentes e como configur-las. Farei diversos exemplos
prtico para que voc possa entender como funcionam as permisses NTFS e como so combinadas as permisses de
pastas com as permisses de arquivos e com as permisses de compartilhamento.
Voc aprender a definir permisses para usurios e grupos e ver que as permisses so cumulativas. Tambm falarei
sobre a precedncia de negar sobre permitir. Por fim mostrarei como so combinadas as permisses NTFS com as
permisses de compartilhamento. Pode existir situaes em que existe um conjunto de permisses de compartilhamento
e um conjunto diferente de permisses NTFS. Nestes casos voc tem que saber avaliar qual a permisso efetiva
resultante. Tambm falarei sobre o conceito de Tornar-se dono de um arquivo ou pasta Take Ownership. Mostrarei
como realizar esta operao e em que situaes necessrio o uso de Take Ownership para recuperar o acesso a
arquivos e pastas.
Para finalizar o captulo falarei sobre o DFS Distributed File System. O DFS um servio que permite a consolidao
de diversos compartilhamentos com a criao de uma rvore de Compartilhamentos. O usurio tem acesso aos vrios
compartilhamentos atravs de um nico drive, o qual aponta para a raiz da rvore e cada compartilhamento individual
aparece como uma pasta do drive mapeado. O DFS apresenta importantes melhorias no Windows Server 2003, em
relao ao Windows 2000 Server. A principal melhoria a possibilidade de criar mais de uma rvore DFS (chamdo
DFS root) por servidor.
Pastas compartilhadas, Permisses de Compartilhamento e Permisses NTFS.
Vou iniciar o captulo apresentando os conceitos tericos relacionados com o compartilhamento de pastas, permisses
de compartilhamento, permisses NTFS e a interao entre permisses de compartilhamento e permisses NTFS.
Quando o administrador compartilha uma pasta, ele est permitindo que o contedo da pasta seja acessado por outros
computadores da rede. Quando uma pasta compartilhada, os usurios podem acess-la atravs da rede, bem como o
contedo (subpastas e arquivos) da pasta que foi compartilhada. Por exemplo, voc pode criar uma pasta compartilhada
onde so colocados documentos, orientaes e manuais, de tal forma que os estes possam ser acessados a partir de
qualquer estao de trabalho conectada rede.
Ao compartilhar uma pasta todo o contedo da pasta passa a estar disponvel para acesso atravs da rede. Isso
significa que se houverem outras subpastas, dentro da pasta compartilhada, estas tambm estaro disponveis para
acesso pela rede.
Considere o exemplo da Figura 6.1. Se a pasta C:\Documentos for compartilhada, todo o seu contedo e tambm o
contedo das subpastas C:\Documentos\Ofcios e C:\Documentos\Memorandos estaro disponveis para acesso atravs
da rede.
Quando uma pasta compartilhada em um computador, criado um caminho para acessar esta pasta a partir dos
demais computadores da rede. Este caminho segue o padro UNC Universal Naming Convention (Conveno Uni-
versal de Nomes). Todo caminho que segue o padro UNC inicia com duas barras invertidas, seguida pelo nome do
computador onde est o recurso compartilhado (que pode ser uma pasta compartilhada, um impressora compartilhada,
etc), mais uma barra invertida e o nome do compartilhamento. Imagine que voc est compartilhando recursos em um
servidor da rede cujo nome : SRVRS001. Neste servidor so criadas trs pastas compartilhadas com os seguintes
nomes de compartilhamento: documentos, manuais e memorandos. No servidor SRVRS001 voc tambm compartilha
uma impressora com o nome de compartilhamento lasera1. Qual seria o caminho para acessar estes recursos, segundo
o padro UNC?
Figura 6.1 Ao compartilhar uma pasta, todo o seu contedo estar disponvel.
\\SRVRS001\documentos
\\SRVRS001\manuais
\\SRVRS001\memorandos
\\SRVRS001\lasera1
Restringindo o acesso s pastas compartilhadas.
Porm quando uma pasta compartilhada, no significa que o seu contedo deva
ser acessado por todos os usurios da rede. possvel restringir quais usurios
tero acesso pasta compartilhada, e qual o nmero mximo de usurios que
podem acessar a pasta simultaneamente. Esta restrio feita atravs de Permisses
de compartilhamento.
Com o uso de permisses de compartilhamento possvel definir quais os usurios
que podero acessar o contedo da pasta compartilhada. Para isso, criada uma
lista com o nome dos usurios e grupos que possuem permisso de acesso. Esta
lista tecnicamente conhecida como ACL Access Control List (Lista de Controle
de Acesso).
Tambm possvel limitar o que os usurios com permisso de acesso podem fazer.
Pode haver situaes em que alguns usurios devem ter permisso apenas para ler o
contedo da pasta compartilhada, podem haver outras situaes em que alguns usurios
devem ter permisso de leitura e escrita, enquanto outros devem ter permisses totais,
tais como leitura, escrita e at excluso de arquivos e assim por diante.
NOTA: Conforme mostrarei na parte
prtica, o nome do compartilhamento
no precisa ser igual ao da pasta que
est sendo compartilhada.
recomendado que o nome do
compartilhamento sirva como
indicao para o contedo da pasta
compartilhada, para facilitar a
localizao dos recursos disponveis na
rede e a pesquisa no Active Directory.
Figura 6.2 Grupos diferentes com permisses diferentes.
Na Figura 6.2, mostro um exemplo, em que o grupo Gerentes possui permisses de Controle total, enquanto o grupo
Usurios possui permisses apenas para leitura.
Ao criar um compartilhamento em uma pasta, por padro o Windows Server 2003
atribui como permisso de compartilhamento Read (Somente Leitura) para o grupo
Everyone (Todos), que conforme o nome sugere, significa qualquer usurio com
acesso ao computador, seja localmente, seja pela rede. Ou seja, ao criar um
compartilhamento, automaticamente ser permitida a leitura em todo o contedo
do compartilhamento para todos os usurios da rede. Esta situao j um pouco
melhor do que ocorria com o Windows 2000 Server, onde era definida, por padro,
permisso Full Control (Controle Total) para o grupo Everyone (Todos). Por isso
ao criar um compartilhamento, o administrador j deve configurar as permisses
necessrias, a menos que esteja sendo compartilhada uma pasta de domnio pblico,
onde todos os usurios devam ter acesso de leitura em todos os arquivos e subpastas
da pasta que est sendo compartilhada.
Entendendo as permisses de compartilhamento.
Existem trs nveis de permisses de compartilhamento, conforme descrito a
seguir:
Leitura: A permisso de Leitura permite ao usurio:
Listar os nomes de arquivos e de subpastas, dentro da pasta compartilhada.
Acessar as subpastas dentro da pasta compartilhada.
Abrir os arquivos para leitura.
Execuo de arquivos de programa (.exe, .com, etc).
Alterao: Permite ao usurio os mesmos direitos da permisso leitura, mais os
seguintes direitos:
Criao de arquivos e subpastas.
Alterao de dados nos arquivos
Excluso de subpastas e arquivos
IMPORTANTE: As permisses
definem o que o usurio pode fazer
com o contedo de uma pasta
compartilhada, desde somente leitura,
at um controle total sobre o contedo
da pasta compartilhada. Porm as
permisses de compartilhamento
somente tem efeito se o acesso for feito
pela rede. Se o usurio fizer o logon no
computador onde est a pasta
compartilhada e acessa-la localmente,
atravs do drive C: (ou outro drive
qualquer onde est a pasta
compartilhada), as permisses de
compartilhamento no sero
verificadas e, portanto, no tero
nenhum efeito. Para limitar o acesso,
mesmo localmente, usa-se as
permisses NTFS, as quais sero
descritas mais adiante.
No esquea: Permisses de
compartilhamento, no impedem o
acesso ao contedo da pasta
localmente, isto , se um usurio fizer
o logon no computador onde est a
pasta compartilhada, o usurio ter
acesso a todo o contedo da pasta, a
menos que as Permisses NTFS estejam
configurados de acordo. Permisses
NTFS assunto para daqui a pouco.
IMPORTANTE: Pastas e arquivos
possuem atributos, que o Windows
Server 2003 utiliza para gerenciar
Controle total: Esta a permisso padro que se aplica a todos os novos
compartilhamentos. Essa permisso era atribuda ao grupo Everyone
(Todos) ao compartilhar um recurso no Windows 2000 Server. J no Win-
dows Server 2003 atribuda a permisso Read (Somente Leitura) ao
grupo Everyone (Todos) por padro, quando um novo compartilhamento
criado. Controle total possibilita as mesmas operaes que Leitura e
Alterao, mais as seguintes:
Alterao de permisses (apenas para arquivos e pastas do NTFS)
Apropriao (Take Ownership), apenas para arquivos e pastas em um
volume formatado com NTFS.
As permisses de compartilhamento: Leitura, Alterao e Controle total, podem
ser Permitidas ou Negadas. Ou seja podemos permitir o acesso com um
determinado nvel (leitura, alterao ou Controle total) ou negar explicitamente o
acesso para um usurio ou grupo para quaisquer uma destas permisses. Considere
um exemplo prtico. Suponha que todos os usurios do grupo Gerentes devem ter
acesso de Leitura a uma pasta compartilhada, com exceo de um gerente cuja
conta de usurio jsilva, o qual deve ter negado o direito de leitura na referida
pasta. Para simplificar a atribuio de permisses o administrador faz o seguinte:
Permisso de Leitura para o grupo Gerentes Permitir.
Permisso de Leitura para o usurio jsilva Negar.
Com isso todos os usurios do grupo Gerentes tero permisso de leitura, com
exceo do usurio jsilva, o qual teve a permisso de leitura negada. Outra
recomendao que sempre devemos atribuir permisses para grupos de usurios,
ao invs de atribuir para usurios individuais, pois isso facilita a administrao,
conforme descrito no Captulo 4.
Quando um usurio pertence a mais de um grupo, como que
fica a permisso efetiva do usurio??
Quando um usurio pertence, por exemplo, a dois grupos e os dois grupos
recebem permisso para acessar um compartilhamento, sendo que os dois grupos
possuem permisses diferentes, por exemplo, um tem permisso de Leitura e o
outro de Alterao. Como que ficam as permisses do usurio que pertence
aos dois grupos ?
Para responder a esta questo, considere as seguintes observaes:
Quando um usurio pertence a mais de um grupo, cada qual com diferentes
nveis de permisses para uma pasta compartilhada, o nvel de permisso
para o usurio que pertence a mais de um grupo, a combinao das
permisses atribudas aos diferentes grupos.
No exemplo a seguir, o usurio pertence a dois grupos, um com permisso de
somente leitura e outro com permisso de alteraes. A nvel de permisso do
usurio de alteraes, pois a soma das permisses dos dois grupos, conforme
os arquivos. Por exemplo, existe um
atributo Somente leitura, que uma
vez marcado torna o arquivo
somente leitura, isto , no podem
ser feitas alteraes no arquivo.
Para ver os atributos de um arquivo
ou pasta, basta dar um clique com
o boto direito do mouse no arquivo
ou pasta, e no menu que surge d
um clique na opo Propriedades.
O Windows Server 2003 exibe uma
janela onde possvel verificar e
modificar os atributos do arquivo ou
pasta, desde que o usurio tenha
as devidas permisses.
IMPORTANTE: No Windows
Server 2003, objetos como pastas
e arquivos possuem um dono, o
qual por padro o usurio que
estava logado e que criou a pasta
ou arquivo. Conforme mostrarei no
final deste captulo possvel, ao
Administrador, tornar-se dono de
uma pasta ou arquivo, utilizando
uma ao de Take Ownership
(Tornar-se dono).
IMPORTANTE: Negar sempre tem
precedncia sobre permitir. Por
exemplo, se o usurio pertencer a
cinco grupos, sendo que quatro dos
quais tem permisso de acesso e o
outro grupo tem negada a
permisso de acesso, o usurio ter
negada a permisso de acesso. A
permisso negar acesso, herdada de
um dos grupos, ter precedncia
sobre todas as demais permisses
herdadas dos demais grupos.
Figura 6.3 Usurio que pertence a mais de um grupo.
Negar tm precedncia sobre quaisquer outras permisses:
Vamos considerar o exemplo do usurio que pertence a trs grupos. Se em um dos grupos ele tiver permisso de
leitura e em outro grupo permisso de alterao. Mas se para o terceiro grupo, for negada a permisso de leitura, o
usurio ter o acesso negado, uma vez que Negar tem precedncia sobre quaisquer outras permisses, conforme
indicado pela Figura 6.4.
Figura 6.4 Negar tem precedncia sobre permitir.
IMPORTANTE: Quando uma pasta compartilhada copiada, a pasta original permanece compartilhada, porm a cpia no
compartilhada. Quando o administrador move uma pasta compartilhada , a pasta deixa de ser compartilhada.
Orientaes para a criao de pastas compartilhadas:
Todo compartilhamento deve ter um nome, para que o compartilhamento possa ser acessado pela rede, conforme
descrito anteriormente e ser demonstrado na parte prtica mais adiante. O nome do compartilhamento pode ser
diferente do nome da pasta. Uma recomendao importante para que seja escolhido um nome descritivo do contedo
da pasta, de tal maneira que o compartilhamento seja mais facilmente localizada na rede. Voc no colocaria um nome
de compartilhamento Projetos em uma pasta compartilhada com documentos contbeis ?
Organize os recursos, de tal maneira que todos os pastas que devam ser
acessadas pelo mesmo grupo de usurios, com o mesmo nvel de
permisso, estejam dentro da mesma pasta compartilhada. Por exemplo,
se voc possui sete pastas com documentos e programas, os quais devem
ser acessados pelos grupos Contabilidade e Marketing. Coloque estas
pastas dentro de uma pasta principal e compartilhe a pasta principal, ao
invs de criar sete compartilhamentos individuais. Em seguida atribua
permisses de acesso somente para os grupos Contabilidade e Marketing.
Configure o nvel de permisso mnimo necessrio para que os usurios
realizem o seu trabalho. Por exemplo se os usurios precisam apenas ler
os documentos em uma pasta compartilhada, atribua permisso de Leitura
e no de Alterao ou Controle total.
Sempre que possvel, atribua permisses para grupos de usurios e no
para usurios individuais, pois isso facilita a administrao, conforma j
salientado diversas vezes neste captulo e no Captulo 4.
Determine quais grupos necessitam acesso a quais pastas compartilhadas
e com quais nveis de permisso. Documente bem todo esse processo,
para que voc possa ter um bom controle sobre os recursos compartilhados
e as permisses atribudas.
NOTA: Se voc ainda tem clientes
baseados no Windows 3.x ou no MS-
DOS, voc deve utilizar nomes de
compartilhamento com o mximo
de 8 caracteres para o nome. Nomes
de compartilhamento maiores do
que 8 caracteres no estaro visveis
para clientes baseados no Windows
3.x e no MS-DOS. Estes clientes
vero os nomes de pastas e artigos
no formato truncado, adaptado
para o formato 8.3 (oito caracteres
para o nome e trs caracteres para
a extenso), que o formato
suportado pelo Windows 3.x e pelo
MS-DOS.
Sistemas de arquivos e permisses NTFS conceito.
Agora mostrarei alguns detalhes sobre os sistemas de arquivos que o Windows Server 2003 reconhece e tambm sobre
permisses NTFS.
Um sistema de arquivos determina a maneira como o Windows Server 2003 organiza e recupera as informaes no
Disco rgido ou em outros tipos de mdia. O Windows Server 2003 reconhece os seguintes sistemas de arquivos:
FAT
FAT32
NTFS
NTFS 5
O sistema FAT vem desde a poca do MS-DOS e tem sido mantido por questes de compatibilidade. Alm disso se
voc tiver instalado mais de um Sistema Operacional no seu computador, alguns sistemas mais antigos (DOS, Win-
dows 3.x e as primeiras verses do Windows 95 ) somente reconhecem o sistema FAT. Com o sistema de arquivos FAT,
a nica maneira de restringir o acesso ao contedo de uma pasta compartilhada, atravs das permisses de
compartilhamento, as quais, conforme descrito anteriormente, no tero nenhum efeito se o usurio estiver logado
localmente, na mquina onde a pasta foi compartilhada. Com a utilizao do sistema FAT, alguns recursos avanados,
tais como compresso, criptografia e auditoria , no esto disponveis.
O sistema FAT32 apresenta algumas melhorias em relao ao sistema FAT. Existe um melhor aproveitamento do
espao no disco, o que conseqentemente gera menor desperdcio do espao em disco (este melhor uso do espao em
disco tem a ver com a questo da Fragmentao de Volumes, discutida no Captulo 5). Um grande inconveniente do
sistema FAT32 que ele no reconhecido pelo Windows NT Server 4.0. Com o sistema de arquivos FAT32, a nica
maneira de restringir o acesso ao contedo de uma pasta compartilhada, atravs das permisses de compartilhamento,
as quais, conforme descrito anteriormente, no tero nenhum efeito se o usurio estiver logado localmente, na mquina
onde a pasta foi compartilhada. Com a utilizao do sistema FAT32, alguns recursos avanados, tais como compresso
e criptografia e auditoria , no esto disponveis.
O sistema de arquivos NTFS utilizado no Windows NT Server 4.0 e foi mantido no Windows 2000 Server por
questes de compatibilidade. um sistema bem mais eficiente do que FAT e FAT32, alm de permitir uma srie de
recursos avanados, tais como:
Permisses de controle de acesso a arquivos e pastas permisses NTFS.
Compresso de arquivos e pastas.
Auditoria de acesso.
Parties bem maiores do que as permitidas com FAT e FAT32.
Desempenho bem superior do que com FAT e FAT32.
Menor ndice de fragmentao de parties e volumes.
Uma das principais vantagens do NTFS que o ele permite que sejam definidas permisses de acesso para arquivos e
pastas, isto , posso ter arquivos em uma mesma pasta, com permisses diferentes para usurios e grupos diferentes.
Alm disso, as permisses NTFS tm efeito localmente, isto , mesmo que o usurio faa o logon no computador onde
um determinado arquivo existe, se o usurio no tiver as permisses NTFS necessrias, ele no poder acessar o
arquivo. Isso confere um alto grau de segurana, desde que as permisses NTFS sejam configuradas corretamente.
No Windows 2000 Server foi introduzido NTFS 5, a nova verso do NTFS, que a verso utilizada pelo Windows
Server 2003. O NTFS 5 apresenta diversas melhorias em relao a verso mais antiga do NTFS, tais como:
Criptografia de arquivos e pastas (a criptografia uma maneira de embaralhar a informao de tal forma
que mesmo que um arquivo seja copiado, o arquivo se torna ilegvel, a no ser para a pessoa que possui a chave
para descriptografar o arquivo). Para detalhes sobre Criptografia de arquivos e pastas consulte o Captulo 5.
Quotas de usurio, fazendo com que seja possvel limitar o espao em disco que cada usurio pode utilizar.
Gerenciamento e otimizao melhorados.
Conforme descrito anteriormente, o administrador pode definir permisses de acesso para pastas ou arquivos, mas
somente em unidades formatadas com o sistema de arquivos NTFS (seja na verso do NT Server 4.0 ou o NTFS 5 do
Windows 2000 Server/Windows Server 2003 ). Por isso que aconselhvel instalar o Windows Server 2003 sempre
em unidades formatadas com NTFS, pois isso permite uma maior segurana e proteo dos dados. As parties NTFS
apresentam um desempenho um pouco inferior do que as parties FAT32, em termos de velocidade. Porm em
termos de segurana no existe comparao, por isso recomendo a utilizao do sistema NTFS. Se voc estiver em
dvidas, no momento da instalao do Windows Server 2003, pode optar por formatar o disco rgido utilizando FAT
32. Depois possvel converter para NTFS, sem perda de dados. Porm cuidado, uma vez convertido o disco rgido
para NTFS no possvel reverter para FAT32. A nica maneira fazer um backup do disco rgido, formatando-o
novamente com FAT32 e restaurar o backup.
Com relao as permisses NTFS, existe um conjunto diferente de permisses quando tratamos de pastas ou arquivos.
Na Figura 6.5 apresento um resumo das permisses de pasta e de arquivos, com as aes associadas com cada permisso.
Figura 6.5 Aes associadas com as permisses de pasta e arquivos.
A seguir apresento a descrio, com maiores detalhes, para cada uma das permisses listadas na Figura 6.5:
Traverse Folder/Execute File (Permisso Desviar pasta/Executar arquivo): Estas permisses so aplicadas a
pastas e arquivos. Para as pastas, Desviar pasta permite ou nega o movimento atravs de pastas para acessar
outros arquivos ou pastas, mesmo que o usurio no tenha permisses referentes s pastas desviadas (aplica-
se somente a pastas). Por exemplo vamos supor que o usurio tem permisso na pasta C:\Documentos, no
tem permisso na pasta C:\Documentos\Ofcios e tem na pasta C:\Documentos\Ofcios\2001. Neste caso, o
usurio para chegar at a pasta 2001, ter que passar pela pasta Ofcios, para a qual ele no tem permisso.
Para que o usurio possa passar pela pasta Ofcio, o administrador deve atribuir-lhe a permisso Desviar pasta.
Desviar pasta tem efeito apenas quando o grupo ou usurio no tem o direito de usurio Ignorar verificao
com desvio no snap-in de diretivas de grupo. (Por padro, o grupo Todos tem o direito de usurio Ignorar
verificao com desvio.)
Para os arquivos: Execute File (Executar arquivo) permite ou nega a execuo de arquivos de programa (aplica-
se somente a arquivos). Ao definir a permisso Traverse Folder (Desviar Pasta) em uma pasta, voc no est
automaticamente definindo a permisso Executar arquivo em todos os arquivos dessa pasta.
Permisso List Folder/Read Data (Listar Pasta/Ler Dados): List Folder (Listar Pasta) permite ou nega a exibio
de nomes de arquivos e subpastas dentro da pasta. Essa permisso afeta apenas o contedo da pasta em questo,
no afetando o fato de a pasta na qual a permisso est sendo definida ser listada ou no. Aplica-se somente a
pastas. Read Data (Ler Dados) permite ou nega a exibio de dados em arquivos (aplica-se somente a arquivos).
Por exemplo, se o usurio tem permisso de Ler dados em um arquivo do Word, este usurio poder abrir o
arquivo, porm no poder altera-lo ou exclu-lo.
Permisso Read Attributes (Ler Atributos): Permite ou nega a exibio de atributos de um arquivo ou pasta,
como os atributos somente leitura ou oculto. Os atributos so definidos pelo NTFS. Para acessar os atributos
de uma pasta ou arquivo, clique com o boto direito do mouse na pasta/arquivo e, no menu que surge, d um
clique na opo Properties (Propriedades).
Permisso Read Extended Attributes (Ler Atributos Estendidos): Permite ou nega a exibio de atributos
estendidos de um arquivo ou pasta. Os atributos estendidos so definidos por programas e podem variar de
acordo com o programa.
Permisso Create Files/Write Data (Criar Arquivos/Gravar Dados): Criar arquivos permite ou nega a criao
de arquivos dentro da pasta (aplica-se somente a pastas). Gravar dados permite ou nega as alteraes no
arquivo e a substituio de um contedo existente (aplica-se somente a arquivos). Esta permisso mais
conhecida por permisso de Escrita (ou Alterao).
Create Folders/Append Data (Permisso Criar Pastas/Acrescentar Dados): Criar pastas permite ou nega a
criao de pastas dentro da pasta na qual a permisso foi definida (aplica-se somente a pastas). Acrescentar
dados permite ou nega as alteraes no final do arquivo, mas no a alterao, excluso ou substituio de
dados existentes (aplica-se somente a arquivos).
Permisso Write Attributes (Gravar Atributos): Permite ou nega a alterao de atributos de um arquivo ou
pasta, como somente leitura ou oculto. Os atributos so definidos pelo NTFS. A permisso Gravar atributos
no implica na criao ou excluso de arquivos ou pastas, apenas inclui a permisso para efetuar alteraes
nos atributos de um arquivo ou de uma pasta.
Permisso Write Extended Attributes (Gravar Atributos Estendidos): Permite ou nega a alterao de
atributos estendidos de um arquivo ou pasta. Os atributos estendidos so definidos por programas e
podem variar de acordo com o programa. A permisso Gravar atributos estendidos no implica na criao
ou excluso de arquivos ou pastas, apenas inclui a permisso para efetuar alteraes nos atributos de um
arquivo ou de uma pasta
Permisso Delete Subfolders and Files (Excluir Subpastas e Arquivos): Permite ou nega a excluso de subpastas
e arquivos, mesmo que a permisso Excluir no tenha sido concedida na subpasta ou arquivo. (aplica-se a
pastas). Por exemplo, se voc no tem permisso de Excluir na pasta Documentos, mas tem permisso de
Excluir em um arquivo memo.doc, que est na pasta Documentos, voc conseguir Excluir o documento
memo.doc, pois as permisses de arquivo tem precedncia sobre as permisses de pastas, quando conflitantes.
Permisso Delete (Excluir): Permite ou nega a excluso da pasta e/ou arquivo. Se o usurio no tiver permisso
de excluir em um arquivo ou pasta, ele ainda poder excluir o arquivo ou pasta, se ele tiver permisso Delete
Subfolders and Files (Excluir Subpastas e Arquivos) na pasta pai. Por exemplo, suponha uma pasta Documentos,
na qual o usurio tem permisso Delete Subfolders and Files. Dentro da pasta Documentos tem a pasta Ofcios,
na qual o usurio no tem permisso Delete. Mesmo assim ele poder excluir a pasta Ofcios, pois ele tem
permisso Delete Subfolders and Files na pasta Pai de Ofcios que a pasta Documentos.
Permisso Read Permissions (Ler Permisses): Permite ou nega a leitura de permisses do arquivo ou pasta,
como Controle total, Ler e Gravar. Se o usurio no tiver esta permisso, ele no poder exibir a lista com as
permisses definidas para um arquivo e/ou pasta.
Permisso Change Permissions (Alterar Permisses): Permite ou nega a alterao de permisses do arquivo ou
pasta, como Controle total, Ler e Gravar. Esta uma permisso poderosa e que deve ser utilizada com
cuidado. Uma vez que o usurio tem permisso para Alterar permisses, ele pode perfeitamente atribuir Controle
total para ele mesmo, ou seja, para a sua conta de usurio.
Permisso Take Ownership (Apropriar-se) : Permite ou nega a apropriao (tornar-se dono) do arquivo ou
pasta. O proprietrio de um arquivo ou pasta sempre pode alterar permisses, independentemente de qualquer
permisso existente que proteja o arquivo ou pasta. O dono de um arquivo ou pasta, por padro, o usurio
que cria o arquivo /pasta.
Todo arquivo ou pasta em uma unidade formatada com NTFS, possui uma Lista de controle de acesso (Access
Control List ) ACL. Nesta ACL fica uma lista de todas as contas de usurios e grupos para os quais foi garantido
acesso para o recurso, bem como o nvel de acesso de cada um deles.
Permisses NTFS so cumulativas, isto , se um usurio pertence a mais
de um grupo, os quais tem diferentes nveis de permisso para um recurso,
a permisso efetiva do usurio a soma das permisses atribudas aos
grupos aos quais o usurio pertence.
Permisses NTFS para um arquivo tm prioridade sobre permisses NTFS
para pastas. Por exemplo se um usurio tm permisso NTFS de escrita
em uma pasta, mas somente permisso NTFS de leitura para um arquivo
dentro desta pasta, a sua permisso efetiva ser somente a de leitura, pois
a permisso para o arquivo tem prioridade sobre a permisso para a pasta.
IMPORTANTE: Existem alguns
detalhes que devem ser reforados/
revisados sobre as permisses NTFS:
Negar uma permisso NTFS tem prioridade sobre permitir. Por exemplo, se um usurio pertence a dois grupos
diferentes. Para um dos grupos foi dado permisso de leitura para um arquivo e para o outro grupo foi Negada
a permisso de leitura, o usurio no ter o direito de leitura, pois Negar tem prioridade sobre Permitir.
Agora que voc j viu a teoria necessria, hora de praticar um pouco. Nas prximas lies voc ir aprender a
compartilhar pastas, atribuir permisses de compartilhamento. Ir aprender a acessar pastas compartilhadas atravs
da rede. Depois ir trabalhar um pouco com as permisses NTFS. Mostrarei como atribuir permisses NTFS e testar
uma srie de situaes prticas.
Usurio: user1 senha: senha;123
Grupos locais do domnio aos quais pertence cada usurio:
Grupo: Diretoria Usurios: Administrador
user2
user4
Grupo: Vendas Usurios: user3
user4
user5
Grupo: Empresa Usurios: user1
user2
user3
user4
user5
IMPORTANTE: Para os
exemplos prticos a seguir, vamos
utilizar as contas de usurios e
contas de grupos: user1, user2,
user3, user4 e user5, bem como
os respectivos grupos: vendas,
diretoria e empresa. Com isso vou
utilizar a seguinte configurao de
usurios/grupos:
Compartilhando pastas, definindo permisses de
compartilhamento e NTFS
Neste tpico apresentarei uma srie de exemplos para verificao de como funciona
o mecanismo de pastas compartilhadas e permisses.
Vou iniciar com um exemplo prtico, onde vou criar uma estrutura de pastas,
depois vou compartilhar algumas pastas, definir permisses de acesso e,
finalmente, acessar as pastas compartilhadas, a partir de outro computador ligado
em rede. Para este exemplo prtico, estou utilizando dois computadores ligados
em rede, um com o nome de microxp01 e outro com o nome de microxp02, con-
form ilustrado no diagrama da Figura 6.6:
NOTA: Utilizarei estes grupos e
usurios para definir as permisses
de compartilhamento e tambm as
permisses NTFS, nos exemplos
prticos. Voc pode utilizar outros
grupos e usurios, o uso destes
grupos tem por objetivo facilitar o
acompanhamento dos exemplos
prticos, mesmo que voc no
esteja fazendo o acompanhamento
diretamente em um servidor,
apenas fazendo a leitura dos
exemplos.
Figura 6.7 Estrutura de pastas para o exemplo proposto.
Figura 6.6 Computadores ligados em rede, para o exemplo proposto.
Passo 1 executado no computador microxp01: Criar a estrutura de pastas e subpastas indicadas na Figura 6.7, no
disco rgido C:
Passo 2 executado no computador microxp01: Compartilhar a pasta Documentos com as seguintes permisses de
compartilhamento:
Grupo: Diretoria: Permisso: Leitura e escrita
Grupo: Vendas: Permisso: Leitura e escrita
Grupo: Empresa: Permisso: Leitura
1. Faa o logon com uma conta com permisso de Administrador e abra o Windows Explorer.
2. Localize a pasta Documentos.
3. Clique com o boto direito do mouse na pasta Documentos e no menu de opes que exibido, d um clique na
opao Compartilhamento e segurana...
4. Ser aberta a janela de propriedades da pasta, com a guia Compartilhamento selecionada. D um clique na opo
Compartilhar esta pasta.
5. No campo Nome do compartilhamento digite: Documentos.
6. No campo Comentrio) digite: Documentos no computador microxp01.
7. Limite o nmero mximo de usurios conectados (Permitir este nmero de usurios) a 5, conforme indicado na
Figura 6.8:
Figura 6.8 Janela para configurao do compartilhamento.
8. D um clique no boto Permisses. Oberve que por padro definida a permisso de compartilhamento Leitura,
para o grupo Todos, conforme j descrito anteriormente.
9. D um clique no boto Adicionar. Ser exibida a janela Selecione Usurios, Computadores ou Grupos. Voc
definir permisses para os grupos Diretoria, Vendas e Empresa. Digite o nome dos grupos separados por ponte
e vrgula, conforme indicado na Figura 6.9.
Figura 6.9 Adicionando os grupos que recebero permisses no compartilhamento.
10. D um clique no boto OK. Voc estar de volta janela Permisses para
Documentos. Observe que os grupos Diretoria, Vendas e Empresa j esto na
lista de grupos. Agora hora de remover o grupo Todos e depois configurar
permisses solicitadas para os demais grupos.
11. D um clique no grupo Todos para selecion-lo e depois clique no boto
Remover. O grupo retirado da lista.
12. D um clique no grupo Diretoria e marque as permisses Alterao e Leitura.
13. D um clique no grupo Vendas e marque as permisses Alterao e Leitura.
14. D um clique no grupo Empresa e marque somente a opo Leitura. Alis
esta a opo que vem marcada por padro, quando um novo grupo ou usurio
inserido na lista de permisso.
NOTA: Voc tambm pode usar o
boto Avanado, descrito no Captulo
4, para exibir a lista de usurios do
Active Directory e selecionar os
grupos que recebero permisses de
acesso a partir desta lista.
15. D um clique no boto OK. Voc estar de volta a janela de definio do compartilhamento.
16. D um clique no boto OK e pronto, a pasta ser compartilhada e as permisses de compartilhamento definidas.
Observe que aps ter compartilhada a pasta, a figura de uma pequena mo, segurando a pasta exibida.
Uma questo importante: Com base nas permisses atribuidas aos grupos, quais as permisses de compartilhamento
efetivas dos usurios: user1, user2, user3, user4 e user5?? Vou analisar caso a caso:
user1: Pertence somente ao grupo Empresa, portanto somente herda a permisso de leitura que foi atribuda ao
grupo Empresa. Este usurio ao acessar a pasta compartilhada Documentos, pela rede, ter permisso somente
de leitura.
user2: Pertence aos grupos Diretoria e Empresa. Herdar as permisses dos dois grupos, que na soma resulta
em Leitura e Escrita.
user3: Pertence aos grupos Vendas e Empresa. Herdar as permisses dos dois grupos, que na soma resulta em
Leitura e Escrita, ou seja, o usurio vai acumulando as permisses de todos os grupos aos quais ele pertence.
user4: Pertence aos trs grupos. Herdar as permisses dos trs grupos, o que na soma d Leitura e Escrita.
user5: Pertence aos grupos Vendas e Empresa. Herdar as permisses dos dois grupos, que na soma resulta em
Leitura e Escrita.
Vamos fazer algumas perguntas para entender bem como funciona esta combinao de permisses?
1) O que aconteceria se negssemos permisso de leitura para o grupo Empresa??
R: Como todos os usurios pertencem ao grupo Empresa e, negar tem precedncia sobre permitir, ao negar Leitura
para o grupo Empresa, voc est negando Leitura para todos os usurios: user1, user2, user3, user4 e user5. Com esta
configurao, ao tentar acessar a pasta compartilhada pela rede, os usurios iriam receber uma mensagem de acesso
negado.
2) Se o usurio user2 fizer o logon no computador onde est a pasta compartilhada Documentos, qual a permisso
efetiva de compartilhamento??
R: Nenhuma, isto , ter todas as permisses NTFS definidas para ele. Lembre que as permisses de compartilhamento
no tem efeito localmente, somente atravs da rede. Localmente somente tem efeito as permisses NTFS. Se o usurio
user2 ou um grupo ao qual ele pertence, tiver as permisses NTFS necessrias, ele poder acessar a pasta Programas
com o nvel de acesso definido pelas permisses NTFS.
3) Criei um compartilhamento chamado Documentos, no computador microxp01. Muito bem, qual o caminho que eu
uso em outro computador da rede, para acessar este compartilhamento?
R: \\microxp01\documentos
Passo 3 executado no computador microxp01: Compartilhar a pasta Porgramas, com o nome de compartilhamento
Programas, com um nmero mximo de 10 usurios simultnos e com as seguintes permisses de compartilhamento:
Grupo: Diretoria: Permisso: Negado Leitura
Grupo: Vendas: Permisso: Leitura e escrita
Grupo: Empresa: Permisso: Controle total
1. Com base no que foi explicado no Passo 2, crie e configure o compartilhamento Programas, no computador
microxp01.
Vamos fazer algumas perguntas para entender bem como funciona esta combinao de permisses?
1) Qual a permisso para o usurio user2, com base nas permisses atribudas aos grupos Diretoria, Vendas e
Empresa?
R: Sempre comeamos a anlise verificando se existe a permisso Negado para algum grupo. No nosso caso existe:
Negado Leitura para o grupo Diretoria. Como o usurio user2 pertence ao grupo Diretoria e negado tem precedncia
sobre qualquer outra permisso, o usurio user2 ter acesso negado ao compartilhamento documentos. O mesmo
vlido para o usurio user4, o qual tambm pertence ao grupo Diretoria.
2) Se o usurio user2 fizer o logon no computador onde est a pasta compartilhada Programas, ele ter acesso
Negado a pasta Programas??
R: No, pois ao acessar localmente as permisses de compartilhaemnto no tem efeito. Localmente somente tem
efeito as permisses NTFS. Se o usurio user2 ou um grupo ao qual ele pertence, tiver as permisses NTFS necessrias,
ele poder acessar a pasta Programas.
3) Criei um compartilhamento chamado Programas, no computador microxp01. Muito bem, qual o caminho que eu
uso em outro computador da rede, para acessar este compartilhamento?
R: \\microxp01\Programas
Bem, os compartilhamentos foram criados e foram definidas as permisses de compartilhamento. Agora voc ir no
computador microxp02, e tentar acessar os compartilhamentos criados no computador microxp01.
Passo 4 Executado no computador microxp02: Fazer o logon como user1, no computador microxp02 e montar um
drive M:, o qual acessa o compartilhamento Documentos que est no computador microxp01: \\microxp01\Documentos.
Lembrando o que foi comentado anteriormente, que montar um drive M:, significa associar uma letra de unidade com
um compartilhamente. Neste exemplo, aps o drive M: ter sido montado, sempre que o usurio acessar o drive M:, ele
estar, na verdade, acessando o compartilhamento: \\microxp01\Documentos
1. Faa o logon como user2 no computador microxp02.
3. No campo Abrir digite \\microxp01 e d um clique no boto OK.
4. Observe que as pastas compartilhadas Documentos e Programas j so
exibidas na janela que aberta.
5. Para associar um drive (no nosso exemplo M:), com uma pasta compartilhada,
clique com o boto direito do mouse na pasta desejada. No nosso exemplo,
clique com o boto direito do mouse na pasta Documentos.
6. No menu que exibido, d um clique na opo Mapear unidade de rede...
Ser exibida uma janela para que voc selecione a unidade que ser associada
com a pasta compartilhada e se voc deseja refazer o mapeamento toda vez
que o usurio atual (no nosso exemplo o usurio logado o usurio user1)
fizer o logon, conforme indicado na Figura 6.10.
NOTA: Ao executar o comando
\\microxp01, Windows Server 2003
exibe uma janela com todos os
recursos compartilhados no
computador microxp01. Quer sejam
pastas compartilhadas, quer sejam
impressoras compartilhadas.
IMPORTANTE: Se voc quiser ocultar
um compartilhamento, de tal maneira
que ele no seja exibido na lista de
recursos compartilhados quando for
usado o comando
\\nome_do_computador, basta
finalizar o nome do compartilhamento
com o caractere $. Por exemplo, se voc
criar um compartilhamento chamado
Docs$, este ser um compartilhamento
oculto, o qual somente poder ser
acessado se for utilizado o caminho
c o m p l e t o :
\\nome_do_computador\Docs$. Por
padro, o Windows Server 2003 cria
alguns compartilhamentos ocultos para
funes especficas do prprio Sistema
Operacional. Estes compartilhamentos
tambm tem permisses especficas.
Por exemplo, criado um compar-
tilhamento C$, o qual d acesso a pasta
raiz do disco rgido, porm somente
usurios com conta de Administrador
tem acesso a este compartilhamento.
Figura 6.10 Mapeando uma unidade de rede.
7. D um clique no boto Concluir. O Windows Server 2003 abre uma janela
onde so exibidas as subpastas de Documentos. Feche esta janela.
-Figura 6.11 O drive de rede M:
A partir deste momento, toda vez que o usurio acessar o drive M:, estar acessando, na prtica, a pasta compartilhada
Documentos, no computador \\microxp01. Observe que a utilizao de drives mapeados (drives de rede), facilita
bastante o acesso s pastas compartilhadas, pois serve como um atalho para estas pastas. Um procedimento muito
comum incluir o mapeamento de drivers de rede no script de logon utilizado pelas contas de usurios do domnio.
9. D um clique duplo no drive M, para acess-lo. Abra a pasta Memorandos.
10. Agora faa o logoff do usurio user02 e faa o logon como usurio user01. Abra o Meu computador e observe que
o drive M no exibido para o usurio user01. Isso porque o mapeamento de drives faz parta da profile de cada
usurio, ou seja, das configuraes pessoais de cada usurio. Com base no que foi explicado nos passos anteriores,
monte o drive M:, estando logado como usurio user01.
11. Agora o usurio user01 (usurio atualmente logado) tentar criar um novo arquivo de texto, no drive M:. Abra o
Meu computador e d um clique duplo no drive M: para abri-lo. Clique com o boto direito do mouse na rea em
branco, na pasta Documentos. No menu que surge selecione o comando Novo -> Documento de texto. Voc deve
receber uma mensagem de acesso negado, conforme indicado na Figura 6.12:
8. Abra o Meu computador e observe, j deve ser exibido um drive de rede M:, conforme indicado na Figura 6.11.
Figura 6.12 Acesso negado para o usurio user01 criar um novo arquivo.
Muito bem, com isso encerro o nosso estudo sobre Compartilhamentos, drives de
rede e permisses de compartilhamento. Agora voc aprender a usar o console
Gerenciamento do computador, para gerenciar/administrar as pastas
compartilhadas locais em um servidor e em um servidor remoto.
O console para monitorao de
compartilhamentos.
O administrador pode utilizar a opo Ferramentas do Sistema -> Pastas
compartilhadas, do console Gerenciamento do computador, para monitorar o
acesso s pastas compartilhados em um servidor. Com esta ferramenta o
administrador tem informaes sobre todos as pastas que esto compartilhadas, o
nmero de conexes com cada pasta, o nmero de sesses atravs da rede, e quais
os arquivos que esto sendo acessados e quais usurios esto acessando cada
arquivo.
Exemplo: Gerenciando pastas compartilhadas com o console Gerenciamento do
Computador:
Por que voc recebeu esta mensagem de acesso negado?? Porque, conforme descrito anteriormente, o usurio user01
tem permisso de compartilhamento somente de Leitura. Com esta permisso ele no poder criar e salvar novos
arquivos na pasta Documentos e nas suas subpastas.
NOTA: Quando no for mais
necessrio o acesso a um drive de
rede, voc pode desconectar este
drive. Para desconectar um drive de
rede, d um clique com o boto
direito do mouse no drive a ser
desconectado. No menu que surge
d um clique na opo Desconectar.
Se houver arquivos abertos no
drive, surge uma janela de aviso.
D um clique no boto Sim e o drive
ser desconectado. Se no houver
arquivos abertos, no drive que est
sendo desconectado, a mensagem
de aviso no ser exibida.
2. Abra o console Gerenciamento do Computador: Iniciar -> Ferramentas administrativas -> Gerenciamento do
computador.
3. Se a opo Ferramentas do sistema) no estiver aberta, d um clique no sinal de + ao lado dela para abri-la.
4. D um clique no sinal de + ao lado da opo Pastas compartilhadas.
5. D um clique na opo Compartilhamentos. Observe que no painel da direita so exibidos todos os
compartilhamentos do computador, inclusive os compartilhamentos ocultos (cujo nome termina com $). Tambm
exibido o nmero de conexes por compartilhamento.
6. D um clique na opo Sesses. Sero listados todos os usurios e o nmero de sees por usurio. Cada arquivo
ou pasta que um usurio abre contabilizado como uma seo.
7. D um clique na opo Arquivos abertos. Ser exibida uma lista com os arquivos que esto sendo utilizados pelos
usurios (arquivos que esto abertos) e o nome de logon do usurio que est acessando cada arquivo, conforme
Figura 6.13 A lista de arquivos
abertos e o respectivo usurio.
Quando voc tem que desligar ou reinicializar um servidor, onde existem pastas compartilhadas que esto sendo
acessadas por outros usurios, importante que voc avise os usurios antes de reinicializar o computador, pois
caso contrrio, o usurio perde a conexo com o drive de rede e no conseguir salvar as alteraes que fez no
arquivo no qual estava trabalhando. Em determinadas situaes o usurio poder perder as suas alteraes. Por isso
recomendado que voc envie um aviso, para que o usurio possa salvar seu trabalho, antes que a conexo com o
drive de rede seja perdia.
Para enviar um aviso aos usurios faa o seguinte:
1. Clique com o boto direito do mouse na opo Pastas Compartilhadas.
2. Selecione o comando: Todas as tarefas...-> Enviar mensagem do console...
3. Ser aberta uma janela onde voc pode digitar a mensagem e selecionar os destinatrios. Por padro, na lista de
destinatrios somente so exibidos os destinatrios que esto conectados a alguma pasta compartilhada do
computador, conforme indicado na Figura 6.14. Para adicionar outros usurios, d um clique no boto Adiconar...
Figura 6.14 Enviando um aviso aos usurios conectados.
4. Digite a mensagem e d um clique no boto Enviar.
Os destinatrios recebero uma janela com a mensagem especificada na janela da Figura 6.14.
Ao receber esta mensagem o usurio ter tempo para salvar o seu trabalho, sem que haja perda de dados.
Criando e gerenciando compartilhamentos local e remotamente
O administrador pode utilizar a opo Compartilhamentos, do console Gerenciamento do computador, para criar
novos compartilhamentos e para gerenciar os compartilhamentos j existentes no servidor onde ele est logado ou
remotamente, de qualquer servidor da rede. Ou seja, a partir da sua estao de trabalho e do console Gerenciamento do
computador, o administrador pode gerenciar todas as pastas compartilhadas em seu domnio ou at mesmo em outros
domnios, desde que tenha as devidas permisses. Neste tpico mostrarei como usar a opo Compartilhamentos,
para gerenciar compartilhamentos locais e remotamente, em outros servidores da rede.
Exemplo: Administrando os compartilhamentos existente e criando novos compartilhamentos no servidor local, usando
a opo Compartilhamentos.
2. Abra o console Gerenciamento do Computador: Iniciar -> Ferramentas administrativas -> Gerenciamento do
computador.
3. Se a opo Ferramentas do Sistema no estiver aberta, d um clique no sinal de + ao lado dela para abri-la.
4. Clique no sinal de + ao lado da opo Pastas compartilhadas para abri-la.
5. Clique com o boto direito do mouse na opo Compartilhamentos.
6. No menu de opes que exibido clique em Novo compartilhamento...
7. Ser aberto o assistente para criao de um novo compartilhamento. A tela inicial do assistente apenas informativa.
Clique em Avanar para ir para a prxima etapa do assistnete.
8. Nesta etapa voc deve informar o caminho para a pasta a ser compartilhada. Voc pode digitar o nome de uma
pasta que ainda no existe. Se voc fizer isso, quando o assistente for para a prxima etapa, ser exibindo uma
mensagem informando que a pasta no existe e perguntando se voc deseja cri-la. No exemplo da Figura 6.15
informei o caminho de uma pasta que ainda no existe (C:\NovosDocumentos).
Figura 6.15 Informando o caminho da pasta a ser compartilhada.
10. Ser exibida uma mensagem informando que a pasta C:\NovosDocumentos ainda no existe e perguntando se
voc deseja cri-la. Clique em Sim para fechar a mensagem e para criar a pasta C:\NovosDocumentos.
11. A prxima etapa do assistente ser exibida. Neste etapa voc define o nome do compartilhamento e uma descrio.
Voc tambm pode definir as configuraes para acesso Off-line da pasta. Mais adiante voc aprender sobre
pastas Off-line. Defina o nome de compartilhamento e uma descrio conforme exemplo da Figura 6.16:
Figura 6.16 Definindo o nome de compartilhamento e a descrio.
Nesta etapa do assistente voc pode definir as permisses de compartilhamento, para o novo compartilhamento que
est sendo criado. O assistente oferece algumas opes prontas, tais como:
Todos os usurios possuem acesso somente leitura: A prpria opo auto-descritiva. Com esta opo ser
definida permisso Leitura para o grupo Todos. Observe que esta a permisso definida por padro, sempre
que um novo compartilhamento criado, a no ser que o administrador configure um conjunto de permisses
diferente.
Administradores possuem acesso total; outros usurios possuem acesso somente leitura): Esta opo tambm
auto-descritiva, ou seja Controle Total para o grupo Administradores e Leitura para o grupo Todos.
Administradores possuem acesso total; outros usurios possuem acesso de leitura e gravao): Tambm auto-
descritiva, ou seja Controle Total para o grupo Administradores e Leitura e Escrita para o grupo Todos.
Usar permisses personalizadas de compartilhamento e pasta: Se voc marcar esta opo o boto Personalizar...
ser habilitado. O Administrador pode utilizar este boto para definir configuraes personalizadas para usurios
e grupos do domnio.
13. Defina as permisses a serem utilizadas e clique em Concluir para criar o Compartilhamento.
14. A etapa final do assistente ser exibida com um resumo das opes escolhidas. Voc pode marcar a opo Quando
eu clicar em Fechar, execute o assitente novamente para que eu possa compartilhar outra pasta, para que aps a
criao do compartilhamento o assistente seja executado novamente para que voc possa criar outro
compartilhamento. Esta opo til quando o administrador precisa criar uma srie de compartilhamentos. Neste
caso ele pode executar o assistente, seguidamente, quantas vezes forem necessrias.
15. Clique em Fechar para encerrar o assistente.
Figura 6.17 O compartilhamento NovosDocimentos, recm criado.
16. O novo compartilhamento (NovosDocumentos no nosso exemplo), j deve aparecer na listagem de
compartilhamentos da pasta Compartilhamentos, conforme indicado na Figura 6.17. Caso ele ainda no seja
exibido na listagem, pressione a tecla F5 para atualizar a listagem.
Exemplo: Conectando o console Gerenciamento do computador com um servidor
remoto:
Administrador.
2. Abra o console Gerenciamento do Computador: Iniciar -> Ferramentas
administrativas -> Gerenciamento do computador.
3. Clique na opo Gerenciamento do computador (Local) para selecion-la.
4. Selecione o comando Ao -> Conectar-se a outro computador
5. A janela Selecionar computador ser exibida. Digite o nome ou o nmero IP
do computador, conforme exemplo da Figura 6.18:
Dica: Voc tambm pode usar o con-
sole Gerenciamento do computador
para criar compartilhamentos
remotamente, em outros servidores da
rede. Os passos so exatamentes os
descritos anteriormente, a nica
diferena que primeiro voc deve se
conectar com o computador de destino.
Ou seja, primeiro voc deve conectar o
console Grenciamento do computador
com o servidor de destino, no qual voc
deseja gerenciar os compartilhamentos.
Uma vez conectado com se voc
estivesse na frente do computador de
destino. Tudo o que voc fizer no con-
sole Gerenciamento do computador,
ser executado no computador de
destino, computador com o qual o con-
sole est conectado. A seguir descrevo
os passos para voc conectar o console
Gerenciamento do computador com um
servidor remoto, atravs da rede.
Figura 6.18 Conectando com um servidor remoto.
6. Clique em OK. Pronto, o console Gerenciamento do computador ser conectado com o servidor informado no
passo 5. Agora todas as aes que voc executar esto sendo feitas neste servidor remoto. como se voc estivesse
na frente deste servidor, gerenciando-o diretamente. Assim voc pode se conectar com qualquer servidor da rede
(desde que voc tenha as devidas permisses) para gerenci-lo remotamente.
Dica: No s o console Gerenciamento
do computador que permite a conexo
com outros servidores da rede para o
gerenciamento remoto. A maioria das
ferramentas administrativas (para no
dizer a sua totalidade) est habilitada
para o gerenciamento remoto. Observe
que isso facilita, e muito, a vida do
administrador. A partir da sua estao
de trabalho o administrador pode
trabalhar em dezenas, at mesmo
centanas, de servidores da rede, tudo
remotamente.
No prximo item vou fazer alguns exemplos prticos sobre permisses NTFS e
logo em seguida, analisarei a combinao entre permisses de compartilhamento
e permisses NTFS.
Permisses NTFS.
Neste tpico voc aprender a atribuir permisses NTFS e a testar o efeito prtico
destas permisses, tanto localmente quanto atravs da rede. Para que voc possa
acompanhar todos os exemplos propostos nesta lio, necessrio que voc tenha
acesso a mais um computador em rede, alm do computador onde foi criada a
pasta compartilhada Documentos, no exemplo sobre pastas compartilhadas. Para
os exemplos propostos, continuarei, a ttulo de exemplo, a considerar dois
computadores ligados em rede microxp01 e microxp02, conforme ilustrado na
Figura 6.6, anteriormente.
Nos exemplos, utilizarei o computador microxp01 como sendo o computador
onde se encontra a pasta compartilhada Documentos e microxp02 o outro
computador em rede. Caso os nomes dos computadores e do domnio que voc
est utilizando para acompanhar esta lio, sejam diferentes, utilize-os no lugar
dos nomes aqui descritos.
Exemplo: Atribuindo permisses NTFS.
Passo 1 no computador microxp01: Atribuindo permisses NTFS para a pasta C:\Documentos:
1. Efetue o logon como Administrador ou com permisses de administrador no microxp01.
2. Abra o Windows Explorer.
3. Localize a unidade onde voc criou a pasta Documentos, abra a unidade e localize a pasta Documentos. No nosso
exemplo C:\Documentos.
4. D um clique com o boto direito do mouse na pasta Documentos, e no menu de opes que surge d um clique
em Propriedades.
5. Surge a janela Propriedades de Documentos, com a guia Geral selecionado por padro.
6. D um clique na guia Segurana, que a guia utilizada para configurar as permisses NTFS para uma pasta ou
arquivo. Surge a janela indicada na Figura 6.19.
Na lista de usurios com permisso, d um clique no grupo Usurios (ABC\Usurios). Este grupo representa todos os
usurios do domnio. Observe que as permisses Ler & Executar, Listar contedo da pasta e Leitura esto habilitadas
para o grupo Usurios. Porm se voc tentar alter-las, clicando com o mouse, nada acontece, como se estas opes
estivessem bloqueadas para alterao. Isso acontece, porque quando uma voc criou a pasta Documentos, ela herdou
as permisses do objeto pai, que no caso a pasta raiz da unidade onde a pasta Documentos foi criada (C:\). Esse o
comportamento padro do Windows Server 2003, baseado no que j acontecia no Windows 2000 e tambm no Win-
dows XP Professional.
Figura 6.19 A guia Segurana.
Outro detalhe importante, que as permisses NTFS herdadas no podem ser
alteradas, a menos que o mecanismo de herana seja desativado. Ou seja, enquanto
o mecanismo de herana no for desativado (voc aprender a fazer isso logo em
seguida), no podero ser alteradas ou excludas as permisses herdadas do objeto
Pai, somente podero ser definidas novas permisses para outros usurios e/ou
grupos.
7. Para verificar se o mecanismo de herana est habilitado, d um clique no
boto Avanado. Ser exibida a janela Configuraes de segurana avanadas
para Documentos. Nesta janela, se a opo Permitir que as permisses
herdveis do pai sejam propagadas a este objeto e a todos os objetos filho.
Inclu-las nas entradas explicitamente definidas aqui, estiver marcada, o
mecanismo de herana est habilitado, conforme destacado na Figura 6.20:
NOTA: Se a guia Segurana no
estiver disponvel porque a pasta
est em uma partio formatada
com o sistema de arquivos FAT, o
qual no tem suporte ao mecanismo
de permisses de segurana.
Figura 6.20 O mecanismo de Herana de permisses.
Alm das permisses herdadas, voc pode adicionar permisses NTFS para usurios ou grupos. Permisses adicionadas
desta maneira so conhecidas como Permisses explcitas, as quais podem ser alteradas a qualquer momento pelo
Administrador do sistema, conforme a necessidade. J as permisses herdadas no podem ser alteradas pelo
Administrador, enquanto o mecanismo de herana no for desabilitado.
8. O Mecanismo de herana pode ser desativado. Para isso basta desmarcar a Permitir que as permisses herdveis
do pai sejam propagadas a este objeto e a todos os objetos filho. Inclu-las nas entradas explicitamente definidas
aqui. Clique nesta opo para desmarca-la. Ao fazer isso o Windows Server 2003 abre uma janela perguntando
se voc deseja Copiar as permisses herdados caso em que o Windows Server 2003 as transforma como se
tivessem sido explicitamente definidas e com isso ser possvel altera-las ou se voc deseja remov-las, caso em
que todas as permisses herdadas sero removidas, com exceo da permisso para o grupo Local do domnio
Administrators, a qual mantida. Isso acontece porque o grupo Administrators o dono da pasta Documentos.
Esta janela est indicada na Figura 6.21:
Figura 6.21 Desabilitando o mecanismo de herana para a pasta selecionada.
9. D um clique no boto Remover, para revomer todas as permisses NTFS herdadas do objeto pai.
10. Voc estar de volta a janela de Configuraes de segurana avanadas. D um clique no boto OK para fecha-la.
11. Agora hora de definir configuraes personalizadas. Voc ir adicionar permisso Alterao para os usurios
user1 e user2. Clique no boto Adicionar. Surge a janela Selecione Usurios, Computadores ou Grupos.
12. Digite o nome dos usurios, separando os nomes por ponto e vrgula. No nosso exemplo, digite: user01;user02.
Sua janela deve ficar conforme a indicada na Figura 6.22, onde foram adicionados os usurios user01 e user02.
Figura 6.22 Adicionando os usurios user01 e user02.
Figura 6.23 A janela Tipos de objeto.
NOTA: Quando o nmero de
usurios grande, fica difcil de
lembrar o nome de cada usurio.
Nestas situaes voc pode fazer
com que o Windows Server 2003
exiba uma listagem de usurios
e/ou grupos do domnio (ou do
servidor local se for um member
server ou um standalone server),
para que voc possa selecionar
um ou mais usurios e/ou
grupos nesta listagem. Em
primeiro lugar deve ser definido
que tipo de objetos deve ser
exibido na listagem:
Computadores, grupos ou
usurios. Para definir os tipos de
objetos que devem aparecer na
listagem, d um clique no boto
Tipos de objeto..), da janela
indicada na Figura 6.22. Ser
aberta a janela Tipos de objeto,
onde voc pode marcar os tipos
de objetos que sero exibidos.
Deixe marcada apenas as opes
Grupos e a opo Usurios,
conforme indicado na Figura
6.23. D um clique no boto OK.
Voc estar de volta a janela Selecione usurio ou grupo. D um clique no boto Avanado. Ser exibida a janela
Selecionar Usurios, Computadores ou Grupos. Observe que no campo Selecionar este tipo de objeto, j vem preenchido
o valor: Usurios ou Grupos. Para listar todos os usurios e grupos cadastrados no domnio, d um clique no boto
Localizar agora. Na parte de baixo da janela ser exibida uma listagem com todos os usurios e grupos cadastrados no
domnio. D um clique no usurio ou grupo para o qual voc deseja atribuir permisses NTFS e d um clique no boto
OK. Voc estar de volta janela Selecione Usurio ou grupo. Se for necessrio voc pode utilizar as teclas Ctrl e Shift
para selecionar vrios usurios ou grupos de um s vez. Voc tambm pode utilizar o boto Localizaes... para
selecionar um outro domnio a partir do qual voc deseja selecionar usurios ou grupos. Lembre do que foi discutido
no Captulo 2, onde mostrei que devido ao mecanismo de relaes de confiana possvel definir permisses de
acesso para usurios de outros domnios e no apenas para os usurios do domnio onde est o recurso.
13. Voc estar de volta a janela Propriedades de Documentos e os usurios user01 e user02 j aparecem e os usurios
selecionados j aparecem na lista. Por padro so atribudas as permisses Ler & Executar, Listar contedo da
pasta e Leitura. Estas permisses so atribudas, por padro, para todo novo usurio e/ou grupo que for adicionado
lista de usurios/grupos com permisses de acesso.
Alm de adicionar os dois usurios, voc deve configurar o nvel de acesso das permisses NTFS de cada usurio.Vou
atribuir uma permisso NTFS de alterao (Modificar) para ambos.
14. D um clique em user01 para marc-lo. Na parte do meio da janela, onde tem Permisses, d um clique na opo
Modificar , na coluna Permitir. Observe que todas as outras opes abaixo de Modificar, so automaticamente
selecionadas, inclusive Gravar. Isso acontece porque modificar engloba todas as demais opes que foram marcadas.
15. Repita a operao para o usurio user02 com as mesmas permisses do usurio user01. Adicione o usurio user03
e negue todas as permisses para este usurio, isto , para o usurio user03, marque todas as opes da coluna
Negado.
16. Use o boto Adicionar para incluir o usurio Administrador. Porm para o usurio Administrador, na coluna
Permitir marque a permisso Controle total. Sua janela deve estar conforme indicado pela Figura 6.24:
Figura 6.24 Permisses NTFS na pasta C:\Documentos.
Figura 6.25 Mensagem de advertncia devido a definio de negar permisso.
18. Agora a pasta Documentos possui permisses NTFS Modificar para os usurios user01 e user02, todas as permisses
negadas para o usurio user03 e permisso Controle total para o usurio Administrator (Administrador). hora
de testar estas permisses, tanto atravs da rede, quanto localmente.
Passo 2 no computador microxp02: Testando o funcionamento das permisses NTFS atravs da rede:
1. Faa o logon no computador microxp02 com a conta de usurio user02.
3. No campo Abrir, digite \\microxp01\documentos e d um clique no boto OK. Sero exibidos os compartilhamentos
do computador microxp01.
4. Clique com o boto direito do mouse no compartilhamento Documentos e selecione a opo Mapear unidade de rede...
5. Na janela que exibida selecione a letra Y para o drive e d um clique no boto OK.
6. Voc conseguiu? O drive mapeado com sucesso? claro que sim, uma vez que o usurio user2 tem permisso
para acessar esse compartilhamento e tambm tem as permisses NTFS necessrias.
8. D um clique duplo no drive de rede Y:
9. Abra a pasta Memorandos. Crie um arquivo de texto, digite algum texto e salve-o com o nome de teste de
permisses.txt. Voc conseguiu salvar o arquivo? claro que sim, pois alm de ter permisso de compartilhamento
de Leitura e escrita (definida nos exemplos sobre compartilhamentos de pastas), o usurio user02 tambm tem as
permisses NTFS Leitura e Gravao na pasta Documentos.
17. D um clique no boto OK, para fechar a janela Propriedades de Documentos. Ser exibida uma mensagem
informando que voc est negando permisses para um ou mais usurios, conforme indicado na Figura 6.25.
Clique em Sim para confirmar as permisses Negar atribudas ao usurio user03.
Permisses atribudas ao usurio user02:
Permisses de compartilhamento: O usurio user02 pertence ao grupo
Diretoria, o qual tem permisses de compartilhamento Leitura e escrita.
O usurio user02 tambm pertence ao grupo Empresa, o qual tem
permisso de compartilhamento somente de leitura. O primeiro passo
definir qual a permisso de compartilhamento efetiva, do usurio user02.
Para simplificar a questo, considere o esquema a seguir:
IMPORTANTE: Observe que neste caso
temos dois conjuntos de permisses a ser
considerados: Permisses de
compartilhamento e permisses NTFS.
Vou analisar o caso do usurio user02,
para entender como funciona a
combinao destes dois conjuntos de
permisses. Mais adiante apresentarei
mais alguns exemplos para que voc
possa fixar bem como funciona a
combinao entre as permisses de
compartilhamento e as permisses NTFS.
Grupo Permisso de compartilhamento Permisso de compartilhamento resultante
Diretoria Leitura e Alterao Leitura e Alterao
Empresa Leitura
Ento j sabemos que a permisso de compartilhamento efetiva para o usurio user02 : Leitura e Alterao.
Permisses NTFS: O usurio user02 tem as seguintes permisses NTFS: Modificar, Ler & Executar, Listar
contedo da pasta, Leitura e Gravar.
Observe que tanto nas permisses de compartilhamento, quanto nas permisses NTFS, o usurio tem permisso para
criar arquivos (Alterao no compartilhamento e Gravar no NTFS). Por isso que o usurio user02. pode criar e gravar
um novo arquivo de texto
Passo 3 no computador microxp01: Testando o funcionamento das permisses NTFS localmente.
Para testar o funcionamento das permisses NTFS localmente, faa o seguinte:
2. Abra o Meu computador, acesse o drive C:. Dentro do drive C: d um clique duplo para acessar a pasta Documentos.
3. Voc conseguiu ?
4. No. Mas como possvel se voc est acessando a pasta Documentos localmente, isto , no computador onde ela
foi criada ?
5. Feche a mensagem de acesso negado e efetue o logoff do usurio user03.
Agora voc ir criar um arquivo de texto chamado teste.txt dentro da pasta
Documentos e atribuir permisses NTFS para este arquivo.
Passo 4 no computador microxp01: Criando um arquivo teste.txt e atribuindo
permisses NTFS para este arquivo.
1. Efetue o logon como Administrador, no computador microxp01.
2. Abra o Windows Explorer.
3. Acesse a pasta Documentos criada anteriormente.
3. No painel da esquerda, d um clique na pasta Documentos para abri-la.
4. No painel da direita, em qualquer espao em branco, d um clique com o
boto direito do mouse, e no menu que surge aponte para Novo e nas opes
do menu Novo d um clique sobre a opo Documento de texto.
5. Surge uma caixa onde est escrito Novo documento de texto.txt.
6. No clique em lugar nenhum nem tecle Enter, simplesmente digite o nome
do arquivo que est sendo criada, no nosso exemplo digite teste.txt e tecle
Enter. O Windows Server 2003 cria um documento de texto em branco, com
o nome de teste.txt.
7. D um clique com o boto direito em teste.txt e no menu que surge d um
clique em Propriedades.
8. Surge a janela Propriedades de teste.txt, com a guia Geral selecionada por
padro. D um clique na guia Segurana, que a guia utilizada para configurar
as permisses NTFS
IMPORTANTE: Lembre-se de que
voc fez o logon no computador
microxp01, onde a pasta
Documentos foi criada, mas
utilizando a conta de usurio
user03, a qual possui as permisses
NTFS negadas para acessar a
pasta Documentos. No esquea
que as permisses NTFS tem efeito
tanto localmente quanto atravs da
rede, diferente das permisses de
compartilhamento, as quais no
tem nenhum efeito localmente.
Porm existe uma situao onde as
so a nica alternativa, que no
caso de unidades formatadas com
FAT./FAT32 Para estas unidades no
existem permisses NTFS.
Outro detalhe importante, que as permisses NTFS herdadas no podem ser
alteradas, a menos que seja desativado o mecanismo de herana, para o arquivo
teste.txt, conforme j descrito anteriormente.
Alm das permisses herdadas, voc pode adicionar permisses NTFS para
usurios ou grupos. Permisses adicionadas desta maneira so conhecidas como
Permisses explcitas, as quais podem ser alteradas a qualquer momento pelo
Administrador do sistema, conforme a necessidade.
8. Ao invs de excluir (como em um dos exemplos anteriores), voc ir Copiar
as permisses herdadas. D um clique no boto Avanado. Na janela que
surge, desmarque a opo Permitir que as permisses herdveis do pai sejam
propagadas a este objeto e a todos os objetos filho. Inclu-las nas entradas
explicitamente definidas aqui. Ser exibida janela solicitando confirmao,
d um clique no boto Copiar. Com isso o mecanismo de herana foi
desabilitado e as permisses herdados, transformando-as em permisses
explcitas, as quais podem ser alteradas. D um clique no boto OK para
fechar a janela de configuraes avanadas e voltar para a guia Segurana.
9. D um clique em user01 para marc-lo. Na parte do meio da janela, na coluna
Permitir, deixe apenas o opo Leitura marcada.
IMPORTANTE: Observe que
algumas opes na coluna Permitir
esto marcadas para os usurios
Administrador, user01, user02 e
user03, porm no podem ser
alteradas clicando com o mouse, pois
esto desabilitadas para alterao. Isso
acontece, porque quando criamos o
arquivo teste.txt ele herdou as
permisses do objeto pai, que no caso
a pasta Documentos. Esse o
comportamento padro do Windows
Server 2003.
10. Repita a operao para o usurio user02.
11. D um clique no boto OK, para fechar a janela Propriedades de teste.txt.
12. Agora a pasta Documentos possui permisses NTFS Modificar para os usurios user01 e user02 e Controle total
para o usurio Administrador. J o arquivo teste.txt, dentro da pasta documentos, tem permisso Leitura para os
usurios user01 e user02, e Controle total para o usurio Administrador.
Agora voc tem permisses NTFS para a pasta Documentos e permisses NTFS diferentes para o arquivo teste.txt que
est dentro da pasta Documentos. hora de testar estas permisses, tanto atravs da rede, quanto localmente. Antes de
iniciar os testes lembre que, no caso de conflito entra as permisses de pasta e as permisses do arquivo, prevalece as
permisses do arquivo.
Passo 5 no computador microxp02:Testando o funcionamento das permisses NTFS atravs da rede.
2. Tente acessar o compartilhamento Documentos, no computador microxp01. Voc conseguiu ?
claro que sim, uma vez que o usurio user02 tem permisso para acessar esse compartilhamento e tambm tem as
permisses NTFS necessrias.
3. Dentro da pasta Documentos deve estar o arquivo teste.txt. D um clique para marc-lo e pressione a tecla Delete
para exclu-lo. Voc conseguiu eliminar o arquivo teste.txt ?
No. Isso porque o usurio user02 possui permisses NTFS modificar na pasta Documentos, mas no arquivo
teste.txt, as permisses do usurio user02 so apenas Leitura. Como as permisses de arquivo tem prioridade
sobre as permisses de pasta, a permisso efetiva do usurio user02 no arquivo teste.txt Leitura, a que no
permite que o arquivo seja excludo pelo usurio user02.
4. Voc deve ter recebido uma mensagem de Acesso negado. D um clique em OK para fech-la.
5. Faa o logoff do usurio user02.
Passo 6 no computador microxp01: Testando o funcionamento das permisses NTFS localmente.
2. Abra o Windows Explorer e acesse a pasta C:\Documentos. Voc conseguiu?
3. claro que sim, uma vez que o usurio user02 tem as permisses NTFS necessrias para acessar a pastas
Documentos.
4. Dentro da pasta Documentos deve estar o arquivo teste.txt. D um clique para marc-lo e pressione a tecla Delete
para elimin-lo. Voc conseguiu eliminar o arquivo teste.txt ?
5. No. Isso porque o usurio user02 possui permisses NTFS modificar na pasta Documentos, mas no arquivo
teste.txt, as permisses do usurio user02 so apenas Leitura. Como as permisses de arquivo tem prioridade
sobre as permisses de pasta, a permisso efetiva do usurio user02 sobre o arquivo teste.txt Leitura, a qual no
permite que o arquivo seja excludo por este usurio.
Alm disso nunca demais lembrar que as permisses NTFS so vlidas tanto para acessos atravs da rede,
quanto para acessos locais.
6. Voc deve ter recebido uma mensagem de Acesso negado. D um clique em OK para fech-la.
Exerccio: Crie uma pasta chamada Ofcios em uma unidade formatada com NTFS. Desative opo para herdar as
permisses do objeto pai. Atribui permisses de leitura para o grupo de usurios Empresa e permisso de Controle
total para o usurio user03. Poder o usurio user3 criar um novo arquivo dentro da pasta Ofcios ?
Sim, pois a permisso efetiva do usurio user03 a soma das permisses atribudas aos grupos aos quais ele pertence,
no caso ao grupo Empresa mais as permisses atribudas ao prprio usurio, conforme explicado anteriormente.
Combinando permisses de compartilhamento e permisses NTFS estudo de casos.
Voc pode estar se perguntando como que o Windows Server 2003 trata quando existem diferenas entre as permisses
de compartilhamento e as permisses NTFS. Por exemplo se nas permisses de compartilhamento o usurio maria
tem direito de Controle total e nas permisses NTFS o usurio maria tem direito apenas de Leitura. Qual a permisso
efetiva do usurio maria?
Eu j fiz alguns comentrios sobre a combinao entre as permisses de compartilhamento e as permisses NTFS.
Neste tpico vou detalhar este assunto atravs do uso de mais alguns exemplos.
hora de analisar algumas situaes prticas para fixar bem a combinao entre
permisses de compartilhamento e NTFS.
Exemplo 01: Considere a situao indicada na Figura 6.26. Qual a permisso
efetiva do usurio jsilva2, na pasta compartilhada Documentos ?
IMPORTANTE: Quando existem
diferenas entre as permisses de
compartilhamento e as permisses
NTFS, a permisso efetiva a MAIS
RESTRITIVA, isto , aquele que
restringe mais as aes que podem
ser tomadas. No exemplo do
primeiro pargrafo, a permisso
efetiva para o usurio maria seria
Leitura, a qual mais restritiva do
que Controle total.
Figura 6.26 A permisso efetiva a mais restritiva.
Para entender a situao da Figura 6.26, voc deve ter em mente que no caso de diferenas entre as permisses de
compartilhamento e as permisses NTFS, a permisso efetiva a mais restritiva.
No exemplo da figura a permisso efetiva do usurio jsilva2 Leitura a qual a mais restritiva entre Controle total (a
permisso NTFS do usurio jsilva2) e Leitura (permisso de compartilhamento do usurio jsilva2). A mesma anlise
vlida em relao ao usurio maria.
Agora considere uma situao um pouco mais complexa, onde tem que ser considerada a combinao das permisses
dos diferentes grupos aos quais pertence um usurio, alm da combinao entre permisses de compartilhamento e
permisses NTFS.
Admita que o usurio jsilva2 pertena aos grupos Contabilidade e Marketing. Com base na Figura 6.27, qual seria a
permisso efetiva para o usurio paulo na pasta compartilhada Documentos?
Figura 6.27 Usurio jsilva2 pertence aos grupos Marketing e Contabilidade.
Para definir a permisso efetiva para o usurio jsilva2, devem ser levadas em consideraes diversos regras, j
apresentadas ao longo deste captulo:
Quando um usurio pertence a vrios grupos, os quais recebem diferentes permisses (quer sejam permisses
de compartilhamento ou NTFS), a permisso efetiva a soma das permisses. Alm disso voc deve lembrar
que Negar tem prioridade sobre permitir. No caso das permisses de compartilhamento, um dos grupos ao
qual o usurio jsilva2 pertence grupo Contabilidade tem a permisso de leitura negada. Logo a permisso
efetiva de compartilhamento para jsilva2 Negar leitura, independente das demais permisses atribudas aos
grupos aos quais pertence o usurio jsilva2.
A permisso efetiva NTFS para o usurio jsilva2 a soma das permisses do usurio com as permisses dos grupos
Marketing e Contabilidade. Com isso a permisso NTFS efetiva Permitir Controle total.
Com isso possvel reduzir a situao proposta inicialmente, na Figura 6.27, a uma situao mais simplificada,
Agora hora que lembrar que quando existe diferena entre as permisses de compartilhamento e NTFS vale
a mais restritiva.
Figura 6.28 Simplificando a situao.
Com isso possvel determinar que a permisso efetiva do usurio jsilva2 no compartilhamento Documentos Negar
Leitura, isto , o usurio no conseguir nem listar o contedo da pasta.
Mapeando de unidades de rede.
J falei sobre o mapeamento de unidades de rede, nos exemplos anteriores. Agora vou detalhar um pouco mais este
conceito. At agora voc acessava uma pasta compartilhada, utilizando o comando Iniciar -> Executar. Quando
necessrio acessar um determinado compartilhamento seguidamente, mais prtico Mapear uma unidade de rede,
o que torna o acesso a pasta compartilhada, muito mais fcil. No caso prtico de uma rede com servidores baseados no
Windows Server 2003, as pastas compartilhadas ficaro em um ou mais servidores e nas estaes de trabalho dos
usurios sero mapeadas unidades, tais como M:, N:, X: e assim por diante. Ao acessar um destes drives de rede o
usurio na verdade est acessando uma pasta compartilhada em um servidor. Normalmente os drives de rede so
mapeados automaticamente, atravs de comandos no script de logon do usurio. No captulo sobre Group Polices
falarei um pouco mais sobre o script de logon.
Mapear uma unidade significa que voc ir associar uma determinada letra com o compartilhamento da rede. Por
exemplo, voc poderia associar a unidade M:\ como o compartilhamento Documentos do computador microxp01.
Com isso ao acessar a unidade M:\, na verdade o usurio est acessando o contedo da pasta compartilhada
\\microxp01\Documentos. Alm disso possvel fazer com que o Windows Server 2003 restabelea este mapeamento
toda vez que for feito o logon. Com isso a unidade estar sempre disponvel. Em captulos anteriores, me referi a estas
unidades como Drives de rede. Os termos so sinnimos.
Exemplo: Mapeando o drive M: para a pasta compartilhada Documentos no computador microxp01.
1. Faa o logon como Administrador no computador microxp02.
2. Abra o Meu computador ou o Windows Explorer.
3. Selecione o comando Ferramentas -> Mapear unidade de rede... Ser exibida a janela Mapear unidade de rede,
Figura 6.29 Janela Mapear unidade de rede.
4. Na lista de unidades (Drive) selecione M:
5. No campo Pasta: digite \\microxp01\Documentos. Este o nome UNC do compartilhamento Documentos no
computador microxp01.
Certifique-se que a opo Reconectar-se durante o logon esteja marcada. Esta opo faz com que o drive M: seja
mapeado cada vez que o usurio Administrador fizer o logon. Observe que o drive somente ser automaticamente
montado para o usurio Administrador. possvel fazer com que um ou mais drives sejam montados automaticamente,
para todos os usurios. Para isso utilizamos scripts de Inicializao.
6. D um clique no boto OK para concluir o mapeamento.
7. O Windows Server 2003 abre uma janela mostrando o contedo do drive
mapeado. Feche essa janela.
8. Voc estar de volta na janela Meu computador (ou ao Windows Explorer).
9. Procure por um drive M:. Se este ainda no aparece, d um toque na tecla F5
para atualizar a listagem.
10. O drive M: deve aparecer na listagem de drives de rede.
Existem alguns compartilhamentos ocultos especiais, para os quais somente
Administradores tem acesso e cujas permisses de acesso no podem ser
modificadas. Por padro o Windows Server 2003 cria compartilhamentos
administrativos para todas as unidades de disco rgido do computador. Por exemplo,
se voc tem duas unidades de disco rgido C: e D: , o Windows Server 2003 ir
criar dois compartilhamentos administrativos C$ e D$, para os quais somente o
grupo Administradores tem acesso, podendo inclusive mapear uma unidade para
um compartilhamento administrativo.
Quando no precisar mais de um drive mapeado voc pode, facilmente, desconect-lo.
Para desconectar um drive mapeado, faa o seguinte:
NOTA: Voc pode utilizar a opo
Conectar-se com um nome de
usurio diferente, para acessar a
pasta compartilhada como sendo
um usurio diferente do usurio
atualmente logado. Neste caso,
valero as permisses do usurio
informado e no as permisses do
usurio que est logado.
NOTA: Voc pode acrescentar o
smbolo do cifro ($) no final do
nome de um compartilhamento. O
efeito de acrescentar o cifro que
voc torna o compartilhamento
oculto, isto , este no pode ser
2. Localize o drive a ser desconectado e d um clique com o boto direito sobre
o respectivo drive.
3. No menu que surge d um clique na opo Desconectar-se e pronto. Caso o
drive ainda esteja aparecendo tecle F5 para atualizar a listagem.
Distributed File System - DFS
Entendendo o que o Distributed File System - DFS.
Neste tpico apresentarei o servio DFS Distributed File System. Mostrarei
quais as vantagens em utilizar este servio, para facilitar a administrao de pas-
tas compartilhadas em uma rede de baseada no Windows Server 2003. Alm dos
conceitos tericos, mostrarei um exemplo prtico de utilizao do DFS.
O principal motivo para a implementao de redes locais (LAN) e de longa
distncia (WAN) o compartilhamento de recursos. A possibilidade de ter as
informaes centralizadas em um ou mais servidores, acessando estas informaes
a partir de qualquer estao de trabalho da rede um grande benefcio em termos
de gerenciamento e produtividade para os usurios. Dentre os vrios recursos
compartilhados atravs de uma rede, sem sombra de dvidas, o compartilhamento
de arquivos o mais utilizado, atravs do uso de pastas compartilhadas, conforme
mostrei nos tpicos iniciais deste captulo.
localizado atravs da opo Meus
locais de rede. Por exemplo, se voc
criar um compartilhamento no
computador microxp01, cujo nome
de compartilhamento Dados$, a
nica maneira de acess-lo
atravs do nome UNC:
\ \ m i c r o x p 0 1 \ D a d o s $ .
Compartilhamentos deste tipo, so
chamados de compartilhamentos
ocultos. possvel mapear uma
unidade de rede para um
compartilhamento oculto, desde que
voc saiba o caminho para o
compartilhamento.
Em redes baseadas em tecnologias da Microsoft, com servidores rodando o Windows NT Server, Windows 2000
Server ou Windows Server 2003 e clientes rodando uma das verses do Windows 9x, Me, NT Workstation, Windows
2000 Professional ou Windows XP Professional, o compartilhamento de arquivos feito utilizando Pastas compartilhadas
(Shared Folders).
Por exemplo, suponha que os arquivos da pasta C:\Manuais, do servidor SRV01, devam estar disponveis para acesso
atravs da rede. Basta compartilhar esta pasta no servidor SRV01, definir as permisses de compartilhamento e as
permisses NTFS adequadas (veja os tpicos anteriores deste captulo). Depois o acesso a pasta Manuais pode ser
feito em cada estao de trabalho da rede. Normalmente este acesso feito via a montagem de um drive de rede
(veja tpico anterior). Montar um drive de rede, significa que o administrador ir associar uma unidade (F:, G: X:, etc)
pasta compartilhada. Para o usurio, a pasta compartilhada aparece como mais uma unidade no Meu computador ou
no Windows Explorer. Por exemplo, se for montado um drive X:, associado com a pasta compartilhada Manuais, toda
vez que o usurio acessar o drive X: estar, na prtica, acessando o contedo da pasta Manuais, compartilhada no
servidor SRV01.
NOTA: Normalmente a montagem de drives de rede feita atravs do comando net use, no Script de logon da conta do usurio.
Com isso, um ou mais drives de rede podem ser montados, automaticamente, quando o usurio faz o logon na rede.
Na Figura 6.30, mostro o exemplo de uma rede Cliente Servidor, onde os usurios acessam, atravs de um drive X:,
uma pasta compartilhada no servidor SRV01:
Figura 6.30 Compartilhamento de arquivos em uma rede local.
DFS Conceito e utilizaes
O modelo proposto de pastas compartilhadas, funciona bem para pequenas redes, onde existe um nmero reduzido de
pastas compartilhadas digamos at cinco pastas compartilhadas em um ou mais servidores. Porm, para grandes
redes, onde o nmero de pastas compartilhadas grande, o uso de um drive de rede para acessar cada pasta compartilhada,
pode tornar-se de difcil implementao, ou at mesmo impossvel quando existirem mais pastas compartilhadas do
que o nmero de letras disponveis no nosso alfabeto.
Mesmo em uma rede pequena, onde temos entre cinco e dez pastas compartilhadas, usar um drive para cada pasta no
a melhor soluo. Este modelo difcil de administrar, do ponto de vista do Administrador da rede, e difcil de
utilizar, do ponto de vista do usurio.
Considere o diagrama da Figura 6.31, onde existem oito pastas compartilhadas, em trs servidores diferentes:
Figura 6.31 - Uma rede com
oito pastas compartilhadas
em diferentes servidores.
Na Tabela 6.1, apresento uma viso geral dos oito compartilhamentos da Figura 6.31, uma breve descrio de cada
um, o caminho de rede para acessar o compartilhamento e uma sugesto de drive a ser utilizado, na estao cliente,
para acesso ao compartilhamento:
Tabela 6.1 Informaes detalhadas sobre os compartilhamentos da rede.
Compartilhamento Nome de Comp. Servidor Caminho Drive
C:\Manuais Manuais SRV01 \\SRV01\Manuais F:
C:\Programas Programas SRV01 \\SRV01\Programas G:
D:\Memorandos Memorandos SRV01 \\SRV01\Memorandos H:
D:\Segurana Segurana SRV02 \\SRV02\Segurana I:
D:\Relatrios Relatrios SRV02 \\SRV02\Relatrios J:
E:\Modelos Modelos SRV02 \\SRV02\Modelos K:
C:\Diagramas Diagramas SRV03 \\SRV03\Diagramas L:
C:\Pblico Pblico SRV03 \\SRV03\Pblico M:
Os drives de F a M, necessrios para acessar as pastas compartilhadas, poderiam ser montados, automaticamente,
incluindo os seguintes comandos no script de logon dos usurios:
net use F: \\SRV01\Manuais /yes
net use G: \\SRV01\Programas /yes
net use H: \\SRV01\Memorandos /yes
net use I: \\SRV02\Segurana /yes
net use J: \\SRV02\Relatrios /yes
net use K: \\SRV02\Modelos /yes
net use L: \\SRV03\Diagramas /yes
net use M: \\SRV03\Pblico /yes
Este modelo apresenta diversos inconvenientes, dentre os quais gostaria de destacar os seguintes:
O usurio tem acesso s informaes atravs de diversos drives de rede (oito no nosso exemplo). Com isso o
usurio no tem uma viso consolidada das informaes disponveis na rede.
Alm de ter de criar e configurar os compartilhamentos, o Administrador da rede precisa garantir que os drives
necessrios sejam corretamente configurados em todas as estaes de trabalho da rede, onde houver necessidade
de acesso aos drives.
No existe redundncia e nem tolerncia a falhas. Se um dos servidores estiver com problemas, os usurios
no tero acesso s pastas compartilhadas deste servidor.
A seguir apresentarei qual o modelo proposto com o uso do DFS e quais os benefcios deste modelo.
DFS: Modelo proposto e benefcios
Com o uso do DFS possvel resolver os problemas descritos anteriormente, onde foi utilizado um drive de rede para
acessar cada uma das pastas compartilhadas. O DFS Distributed File System (Sistema de Arquivos Distribudos)
um servio que roda em servidores NT Server 4.0, Windows 2000 Server ou no Windows Server 2003. No Windows
NT Server 4.0 e no Windows 2000 Server o DFS tem que ser instalado. No Windows Server 2003 o DFS instalado
automaticamente com o sistema operacional e no pode ser desinstalado. Para entender o modelo proposto pelo DFS,
vou utilizar o exemplo do item anterior e mostrar como, com o uso do DFS, possvel dar acesso a todas as pastas
compartilhadas, usando um nico drive de rede, ao invs de usar oito drives.
Para entender o modelo proposto pelo DFS, considere o diagrama da Figura 6.32:
Figura 6.32 O modelo de compartilhamento do DFS.
hora de entender os detalhes do modelo proposto na Figura 11.34:
Conforme descrito anteriormente, o DFS um servio que faz parte do Windows Server 2003. Voc pode
verificar se o servio DFS est configurado para inicializar automaticamente, usando o console Servios,
disponvel no menu Ferramentas Administrativas.
No servidor DFS, que no exemplo da Figura 6.32 o servidor SRVDFS, criado um Root DFS. Um Root DFS
associado com uma pasta local no servidor DFS. Mostrarei exemplos prticos mais adiante, neste tpico.
Uma vez criado o Root DFS, o administrador passa a criar Links DFS. Cada link aponta para uma pasta
compartilhada na rede, podendo esta pasta estar no prprio servidor DFS ou em qualquer outro servidor da
rede. No exemplo da Figura 6.32, o Administrador poderia criar um link chamado Manuais, o qual aponta para
\\SRV01\Manuais, um link chamado Programas, o qual aponta para \\SRV01\Programas, um link chamado
Memorandos, o qual aponta para \\SRV01\Memorandos e assim por diante. Ao criar os links o administrador
est montando uma rvore DFS.
Aps ter criados todos os links desejados, o administrador pode dar acesso aos clientes. No modelo do DFS,
somente o Root DFS compartilhado. Por exemplo, suponha que o Root DFS, no servidor SRVDFS tivesse
sido compartilhado com o nome de ArqRede. Os usurios acessam o Root DFS, montando um drive de rede
associado com o compartilhamento \\SRVDFS\ArqRede. Vamos supor que o usurio monta um drive X:,
associado com o Root do DFS. Neste caso, cada um dos links da rvore DFS, aparece como uma pasta do drive
X:. Observe que atravs de um nico drive de rede (X:), o qual aponta para o Root DFS, o usurio ter acesso
a vrias pastas compartilhadas, sendo que cada pasta aparece como uma pasta do drive X:, ao invs de ser
necessrio um drive diferente para cada pasta compartilhada. Esta a idia, o modelo proposto pelo DFS.
No exemplo, o drive X: do usurio teria uma estrutura conforme indicado na Figura 6.33:
Figura 6.33 Um nico drive para acessar oito compartilhamentos diferentes.
Observe que com um nico drive (X:), que aponta para o Root do DFS (\\SRVDFS\ArqRede), o usurio tem acesso a
oito pastas compartilhadas, sendo que cada Pasta compartilhada aparece como uma pasta do drive X:
Com o modelo proposto pelo DFS existem muitos benefcios, dentre os quais podem ser destacados os seguintes:
O usurio tem uma viso geral das informaes disponveis da rede e, atravs de um nico drive, tem acesso a
todas as informaes disponveis.
O Administrador tem um ponto central de Administrao, o que facilita e simplifica o seu trabalho.
As tarefas de Backup so simplificadas. Ao invs de programar o Backup de inmeras pastas, em diferentes
servidores, o Administrador programa o backup do Root do DFS.
Com o uso de Roots DFS de Domnio (conforme mostrarei mais adiante), possvel criar redundncia, atravs
da disponibilizao da mesma pasta compartilhada em dois ou mais servidores. Com isso mesmo que um
servidor tenha problemas, o usurio continuar tendo acesso aos arquivos a partir de outros servidores, onde
existem rplicas da pasta compartilhada. O uso desta funcionalidade, em conjunto com as configuraes de
Arquivos Off-line (as quais falarei mais adiante, neste captulo), aumenta muito a disponibilidade dos arquivos
da rede para o usurio final.
Balanceamento de carga entre servidores, quando utilizamos Roots DFS de Domnio, com a duplicao de
pastas compartilhadas em diferentes servidores.
Limitaes no Cliente e no Servidor
O servio DFS instalado automaticamente quando instalamos o Windows Server 2003. Este servio tambm
configurado para iniciar automaticamente. Para conferir se o servio DFS est configurado corretamente, voc pode
utilizar o console Servios, o qual est acessado atravs da opo: Iniciar -> -> Ferramentas administrativas ->
Servios.
O servio DFS tem algumas limitaes, as quais descrevo a seguir:
O nmero mximo de caracteres para o caminho UNC (\\servidor\compartilhamento) de uma pasta
compartilhada 260.
O nmero mximo de rplicas de uma pasta compartilhada, em um Root DFS de Domnio 256.
No Windows 2000 Server cada servidor DFS pode ter um nico Root DFS. Esta limitao no existe no
Windows Server 2003, onde pode ser criado mais de um DFS Root por servidor DFS.
O nmero mximo de links, por Root DFS, de 1000.
O DFS baseado em um modelo Cliente/Servidor. O Servidor representado por um servidor com o Windows Server
2003 instalado, onde o servio DFS est rodando. Podem existir diferentes clientes DFS. O Windows 2000 Profes-
sional e o Windows XP Professional podem atuar como clientes DFS, sem que seja necessria a instalao de software
adicional. Para verses anteriores do Windows, considere os detalhes a seguir:
Windows 95: O Cliente DFS para o Windows 95 est disponvel para Download no site da Microsoft, no
seguinte endereo: http://download.microsoft.com/download/win95/dfs/1.0/W95/EN-US/
dfs_v41_win95client.exe
Windows 98: O Cliente DFS faz parte do Windows 98, no preciso instalar nenhum software adicional.
Windows NT 4.0: O Cliente DFS est disponvel para Download, no seguinte endereo: http://
download.microsoft.com/download/winntsrv40/dfs/1.0/NT4/EN-US/dfs_v41_i386.exe.
Windows 2000 e XP: O cliente DFS faz parte do Sistema Operacional.
Agora que voc j entendeu o modelo proposto pelo DFS e conhece as limitaes do DFS, hora de aprender, atravs
de um exemplo prtico, a criar e configurar uma rvore DFS.
Implementando o DFS um exemplo prtico
Neste item vou apresentar um exemplo prtico. Vou criar uma rvore DFS. Ser criado um Root DFS de domnio e, em
seguida, adicionados links para cinco pastas compartilhadas em dois servidores da rede. Tambm criarei uma rplica
de uma das pastas, para testar a redundncia. Na parte final do exemplo, acessarei o root DFS e farei alguns testes.
Ento mos obra.
O ambiente em uso nos exemplos
Para o exemplo proposto utilizarei uma rede com dois servidores (na verdade a rede local de testes que uso em casa.
Utilizo esta rede para fazer pesquisas, para escrever meus artigos, cursos e livros). Na rede de exemplo, existem dois
servidores, conforme descrito na Tabela 6.2:
Tabela 6.2 Os servidores utilizados no exemplo prtico.
Nome do Servidor Sistema Operacional
servidor Windows 2000 Server em Portugus
servidor2 .NET Server, Beta 3, Compilao 3268, em Ingls
Os servidores que estou utilizando fazem parte de um domnio baseado no Active Directory. O nome do domnio
groza.com.
Sero criados os compartilhamentos indicados na Tabela 6.3:
Tabela 6.3 Compartilhamentos que sero utilizados no exemplo prtico.
Compartilhamento Nome de Comp. Servidor Caminho
E:\Manuais Manuais servidor \\servidor\Manuais
E:\Programas Programas servidor \\servidor\Programas
C:\Pblico Pblico servidor2 \\servidor2\Pblico
C:\Manuais Manuais servidor2 \\servidor2\Manuais
Observe que o compartilhamento Manuais est sendo criado nos dois servidores. Isto necessrio porque este ser um
compartilhamento redundante, ou seja, ao criar a rvore DFS vou criar o link para o compartilhamento Manuais no
servidor servidor e um link para a rplica no servidor servidor2.
O root DFS ser criado no servidor chamado servidor e ser associado pasta: E:\ArqDfs. Ao criar o root DFS, a
pasta E:\ArqDfs ser, automaticamente compartilhada. Na estao dos clientes, vamos montar um drive de rede S:,
associado ao Root DFS. O caminho para o Root DFS ser: \\servidor\ArqDfs. Aps a criao do Root DFS vou criar
links DFS para as pastas compartilhadas indicadas na Tabela 6.3. Observe que para o compartilhamento Manuais vou
criar o link (para o compartilhamento em servidor) e em seguida uma rplica (para o compartilhamento em servidor2).
Na diagrama da Figura 6.34 apresento uma viso geral do exemplo que ser implementado.
Figura 6.34 . O exemplo proposto.
O Console DFS
Para criar a administrar rvores do DFS utilizado o console Distributed File System (Sistema da arquivos distribudo),
o qual pode ser acessado no seguinte caminho: Iniciar -> Ferramentas administrativas -> Sistema de arquivos distribudo.
Utilizarei este console para realizar todas as tarefas para a criao e a manuteno de rvores DFS do exemplo proposto.
Criando um root de domnio
O primeiro passo no exemplo proposto criar um Root de domnio. Farei isso
usando o console Sistema de arquivos, descrito no item anterior. importante
salientar que, antes de iniciar este exerccio, os compartilhamentos indicados na
Tabela 6.3, j devem ter sido criados. Para detalhes sobre o compartilhamento de
pastas consulte a parte inicial deste captulo.
Para criar um root DFS no computador chamado servidor, root este associado
com a pasta E:\ArqDfs, siga os seguintes passos:
1. Faa o logon como administrador ou com uma conta com permisso de
administrador.
2. Abra o console Sistema da arquivos distribudo, o qual pode ser acessado no
seguinte caminho: Iniciar -> Ferramentas administrativas -> Sistema de
arquivos distribudo.
3. Ser exibida a janela Sistema de Arquivos Distribudos, onde ainda no existe
a rvore DFS, conforme indicado na Figura 6.35:
IMPORTANTE: Caso o console
Sistema de arquivos distribudo no
esteja disponvel, no menu
Ferramentas administrativas,
possvel instal-lo atravs da
instalao de um pacote de
ferramentas administrativas que
vem com o Windows Server 2003.
Na subpasta System32, da pasta
onde est instalado o Windows
Server 2003 (normalmente em uma
pasta chamada C:\WINNT ou
C:\WINDOWS), existe um arquivo
chamado Adminpak.msi. Neste
arquivo est contido um conjunto de
consoles que so utilizados para
administrar uma srie de tarefas em
uma rede com o Windows Server
2003. Uma das ferramentas
disponveis o console Distributed
File System (Sistema de Arquivos
Distribudo). Para instalar o
Adminpak.msi, basta abrir o Win-
dows Explorer, localizar o arquivo
Adminpak.msi e dar um clique duplo
neste arquivo. Ser aberto um
assistente de instalao. Agora s
seguir os passos do assistente e
pronto, uma srie de consoles de
administrao sero instalados,
dentre os quais o console para
administrao do DFS.
IMPORTANTE: Este conjunto de
ferramentas tambm pode ser
instalado em uma estao de
trabalho com o Windows 2000 Pro-
fessional ou Windows XP Profes-
sional. Neste caso o Administrador da
rede, a partir da sua estao de
trabalho com o Windows 2000 Pro-
Figura 6.35 . O console Sistema de arquivos distribudos.
4. Clique com o boto direito do mouse na opo Sistema de arquivos
distribudos). No menu que exibido selecione o comando Nova Raiz...
5. Ser aberto o Assistente para novas razes DFS. A primeira tela apenas
informativa. Clique no boto Avanar para seguir para a prxima etapa do
assistente.
6. Na segunda etapa voc tem que definir se deseja criar um Root de Domnio
ou um Root autnomo. Por padro a opo Raiz de Domnio vem selecionada.
Certifique-se de que esta opo esteja selecionada.
7. Clique no boto Avanar para seguir para a prxima etapa do assistente.
8. Surge uma tela perguntando o nome do domnio onde a raiz DFS ser criada.
No nosso exemplo ser exibido o domnio groza.com, que o domnio ao
qual pertence o servidor no qual est sendo criada a raiz DFS, conforme
Figura 6.36 . Informando o domnio onde a raiz DFS ser criada..
10. Surge uma tela perguntando o nome do servidor onde ser criada a raiz DFS.
No nosso exemplo, o nome do servidor servidor.groza.com. Informe o nome
do servidor.
12. Nesta etapa voc deve informar o nome do root Dfs. A medida que voc
digita o nome, o campo Compartilhamento a ser utilizado vai sendo preenchido
com o nome que voc est digitando, conforme indicado na Figura.6.37:
fessional ou Windows XP Profes-
sional, pode administrar os diversos
servios da rede, disponveis em
diversos servidores. Por exemplo,
vamos supor que voc est na
estao de trabalho microadm01, na
qual voc deseja instalar o conjunto
de consoles administrativos.
Suponhamos que est disponvel um
servidor com o Windows Server 2003
instalado, chamado srv01. Neste
caso, voc pode acessar o
compartilhamento administrativo C$
do servidor srv01: \\srv01\C$. Na
janela que aberta, acessa a pasta
onde o Windows Server 2003 est
instalado, normalmente a pasta
WINNT. Dentro de WINNT acesse a
pasta System32. Localize o arquivo
AdminPak.msi e d um clique duplo
neste arquivo, para iniciar a
instalao das ferramentas
administrativas. Pronto, agora s
seguir os passos do assistente de
instalao. Uma vez terminada a
instalao das ferramentas
administrativas, o Administrador ter
na sua estao de trabalho, uma
srie de consoles administrativos, tais
como o console do DNS, WINS, DHCP,
Usurios e Computadores do Active
Directory e assim por diante. Estes
consoles so acessados atravs do
menu Ferramentas administrativas.
Figura 6.37 . Informando o nome do root DFS.
14. Se o compartilhamento informando ainda no existir, o assistente exibe uma tela, pedindo que voc informe qual
pasta deve ser compartilhada com o nome de ArqDfs, que foi o nome que escolhemos no nosso exemplo. Informe
o caminho para a pasta a ser compartilhada como Root do DFS e clique no boto Avanar para seguir para a
15. Voc estar na tela final do Assistente. Caso seja preciso alterar alguma opo, utilize o boto Voltar. Clique em
Concluir e a raiz DFS ser criada, conforme indicado na Figura 6.38:
Figura 6.38 . A raiz DFS RootDfs, recm criada
16. Mantenha o console Sistema de arquivos distribudos aberto, pois voc ir utiliz-lo nos prximos passos deste
exemplo.
Agora voc est apto a seguir para a prxima etapa do exerccio, qual seja: Criar os links (ou usando uma metfora: os
ramos da rvore), sendo cada link associado com um compartilhamento.
Criando links para as pastas compartilhadas na rede:
Agora hora de montar a rvore DFS. J temos a raiz (criada no passo anterior) e agora hora de adicionar os ramos.
Cada ramo associado com um compartilhamento da rede. Voc criar trs ramos, conforme indicado na Tabela 6.4:
Tabela 6.4 Os ramos da rvore DFS.
Nome do Ramo Associado com o compartilhamento
Manuais \\servidor2\Manuais
Pblico \\servidor2\Pblico
Programas \\servidor\Programas
Para criar os links propostos, siga os seguintes passos:
1. Voc deve estar com o console Sistema de arquivos distribudos) aberto.
2. Clique com o boto direito do mouse na raiz criada no tpico anterior.
3. No menu que exibido selecione o comando Novo vnculo...
4. Ser exibida a janela Novo vnculo, na qual voc deve informar o nome do
link que est sendo criado, o caminho para a pasta compartilhada associada
ao link e um comentrio.
Figura 6.39 . Criando um link para a pasta Manuais.
5. Clique em OK e pronto, o novo link ser criado.
6. Clique com o boto direito do mouse na raiz DFS.
7. No menu que exibido selecione o comando Novo vnculo...
8. Ser exibida a janela Novo vnculo, na qual voc deve informar o nome do link que est sendo criado, o caminho
para a pasta compartilhada associada ao link e um comentrio.
Para adicionar o link Pblico, associado ao compartilhamento \\servidor2\Pblico, digite as informaes indicadas na
Figura 6.40:
NOTA: O compartilhamento
\\servidor\Manuais ser utilizado
para a criao de redundncia do
c o m p a r t i l h a m e n t o
\\servidor2\Manuais, conforme
exemplo prtico mais adiante.
Para adicionar o link Manuais, associado ao compartilhamento \\servidor2\Manuais, digite as informaes indicadas
na Figura 6.39:
Figura 6.40 . Criando um link para a pasta Pblico.
9. Clique em OK e pronto, o novo link ser criado.
10. Clique com o boto direito do mouse na raiz DFS.
11. No menu que exibido selecione o comando Novo vnculo
12. Ser exibida a janela Novo vnculo, na qual voc deve informar o nome do link que est sendo criado, o caminho
para a pasta compartilhada associada ao link e um comentrio.
Para adicionar o link Programas, associado ao compartilhamento \\servidor\Programas, digite as informaes indicadas
na Figura 6.41:
Figura 6.41 . Criando um link para a pasta Programas.
13. Clique em OK e pronto, o link Programas ser criado.
14. A rvore DFS deve estar conforme indicado na Figura 6.42:
Figura 6.42 . A rvore DFS com trs links.
15. Agora voc adicionar redundncia ao link Manuais. Lembrando que o link Manuais que foi adicionado
anteriormente, est associado a pasta \\servidor2\manuais. Agora voc adicionar um link redundante, associado
com \\servidor\Manuais. Com isso, existiro duas cpias do contedo da pasta Manuais. Caso um dos servidores
esteja fora da rede, os usurios podero continuar acessando a cpia redundante. Observe que, com isso, estamos
adicionando redundncia a um dos links da rvore. Poderamos adicionar mais de uma cpia redundante. O
prprio DFS, juntamente com o servio de replicao de arquivos do Windows Server 2003, se encarrega de
manter o contedo da pasta Manuais sincronizado nos dois servidores.
16. Clique com o boto direito do mouse no link Manuais e, no menu que exibido, d um clique na opo Novo
destino...
17. Ser exibida a janela Novo destino. Nesta janela voc deve informar o caminho para a rplica da pasta Manuais e
se o contedo das rplicas deve ou no ser automaticamente sincronizado. No campo Caminho para destino
(pasta compartilhada), digite: \\Servidor\Manuais.
18. Clique em OK.
19. A nova rplica est configurada, conforme pode ser visto, em destaque, na Figura 6.43:
Figura 6.43 . Rplica criada para a pasta Manuais.
20. Agora a rvore DFS est pronta. Vamos testa-la.
Acessando a raiz DFS no cliente:
Agora vou montar um drive X: associado com a raiz da rvore DFS: \\servidor\ArqDfs. Lembrando do que foi dito na
introduo terica deste tutorial, cada link da rvore DFS ir aparecer como uma pasta do drive X:. Por exemplo, o
link Manuais aparecer como uma pasta Manuais, dentro do drive X: Quando o usurio estiver acessando esta pasta
estar, na prtica, acessando uma das rplicas do link Manuais: \\servidor2\Manuais ou \\servidor\Manuais. Quando o
usurio acessar a pasta Pblico estar, na prtica, acessando a pasta \\servidor2\Pblico e assim por diante.
Para montar um drive X:, associado raiz da rvore DFS, siga os seguintes passos:
1. Faa o logon em uma das estaes da rede.
2. Abra um Prompt de comando:Na janela do Prompt de comando digite o seguinte comando:
net use x: \\servidor\ArqDfs /yes
3. Pressione Enter. O drive x: ser montado.
4. Digite Exit e pressione Enter, para fechar o Prompt de comando.
5. Abra o Meu computador e acesso o drive X:. Voc dever obter o resultado indicado na Figura 6.44:
Figura 6.44 . O drive X: para acesso rvore DFS.
6. Isto comprova que a nossa rvore DFS e os respectivos links foram criados com sucesso e esto funcionando
corretamente.
Muito bem, sobre DFS era isso. Agora faltam mais trs importantes assuntos, relacionados com pastas compartilhadas,
volumes e o sistema de arquivos NTFS: Definio de cotas de usurio, pastas off-line e compactao de arquivos.
Definio de cotas em volumes e parties.
Configurando cotas de disco no Windows Server 2003.
O mecanismo de cotas de disco utilizado para limitar o espao em disco que cada usurio pode utilizar. Somente
possvel definir cotas de disco, em volumes formatados com o sistema de arquivos NTFS. As cotas so definidas em
cada volume separadamente. Por exemplo, posso implementar o mecanismo de cotas no drive C:, porm no implementa-
lo no drive D:. Se voc tiver um disco rgido de 30 GB, o qual foi dividido em trs volumes de 10 GB: C:, D: e E:. As
cotas de disco so definidas, separadamente para cada um dos volumes. Por exemplo, possa definir uma cota de 100
MB para o usurio jsilva no drive C, uma cota de 120 MB para o usurio jsilva no drive D: e uma cota de 200 MB para
o usurio jsilva no drive E:. Ou seja, as cotas so definidas por volume por usurio. As cotas so definidas
individualmente, para cada usurio. Ou seja, podemos definir um cota de 500 MB para o usurio jsilva e uma cota de
200 MB para o usurio user1 em um determinado volume.
Uma das novidades do .NET Server (agora Windows Server 2003), que ser o
sucessor do Windows 2000 Server, ser justamente a possibilidade de definir
cotas de disco para grupos de usurios.
Porm esta informao no se confirmou e no Windows Server 2003 no possvel
definir cotas para grupos de usurios, mas somente para usurios individualmente,
exatamente como funciona o mecanismo de cotas no Windows 2000 Server.
O Windows Server 2003 calcula o espao em disco utilizado por cada usurio,
com base nos arquivos em que o usurio o dono do arquivo. Normalmente o
dono do arquivo o usurio que criou ou copiou o arquivo para o disco. A cota
utilizada pelo usurio a soma do tamanho de todos os arquivos dos quais ele for
o dono. Quando o mecanismo de cotas habilitado em um volume, o Windows
Server 2003 faz uma varredura de todo o volume, calculando quanto de espao
em disco cada usurio est utilizando. Este clculo feito com base no dono de
cada arquivo.
definir cotas para grupos de
usurios, de tal maneira que todos
os membros do grupo tenham a
mesma cota de disco em um
determinado volume. No meu livro
Windows XP Home & Professional
Para Usurios e Administradores
eu escrevi o seguinte trecho:
O administrador pode utilizar as cotas de diferentes maneiras. Por exemplo, o administrador pode impedir o uso do
espao em disco e registrar um evento no log de Eventos do Windows Server 2003, quando um usurio ultrapassar o
limite de espao em disco especificado pela sua cota, isto , o espao em disco que ele tem permisso para utilizar.
Tambm possvel registrar um evento no log de eventos do Windows Server 2003, quando um usurio ultrapassar um
nvel de notificao de espao em disco especificado, isto , o ponto no qual um usurio estiver se aproximando de sua
cota limite.
Ao ativar as cotas de disco, o Administrador ir definir dois valores: o limite de cota de disco e o nvel de notificao
de cota de disco. Por exemplo, possvel definir um limite de cota de disco de um usurio como 300 megabytes (MB)
e o nvel de notificao de cota de disco como 250 MB. Nesse caso, o usurio s poder armazenar at 300 MB de
arquivos no volume. Se ele armazenar mais de 250 MB de arquivos no volume, voc poder configurar o sistema de
cota de disco para registrar um evento no log de eventos do sistema. necessrio que voc seja membro do grupo
Administradores para administrar cotas em um volume.
Quando voc ativa as cotas de disco para um volume, o uso do volume rastreado
automaticamente para todos os usurios, desse momento em diante. Voc pode
ativar cotas em volumes locais, volumes de rede e unidades removveis desde que
estejam formatados com o sistema de arquivos NTFS. Alm disso, os volumes de
rede devem ser compartilhados na pasta raiz do volume, o que j feito,
automaticamente, pelo Windows Server 2003. Conforme citado anteriormente, o
Windows Server 2003 cria compartilhamentos especiais, ocultos, para a pasta
raiz de cada volume (C$, D$, E$ e assim por diante).
Voc no pode utilizar a compactao de arquivos para impedir que os usurios
ultrapassem seus limites de cota porque os arquivos compactados so controlados
com base em seu tamanho antes da compactao. Por exemplo, se um arquivo
tiver 250 MB, mas ficar com 140 MB aps a compactao, o Windows considera
o tamanho original do arquivo (250 MB) em relao ao limite de cota.
Configurando cotas de disco em um volume NTFS.
Vou apresentar um exemplo prtico sobre a configurao de cotas de disco em
um volume NTFS.
Exemplo: Configurar cotas no drive C:
1. Faa o logon com uma conta com permisso de administrador e abra o Meu
computador.
2. Clique com o boto direito do mouse no drive C: e, no menu de opes que
exibido, d um clique na opo Propriedades.
3. Ser aberta a janela de propriedades do drive C:
4. D um clique na guia Cota.
NOTA: No Captulo 10 falarei mais
sobre o log de eventos do sistema.
IMPORTANTE: possvel especificar
que os usurios possam exceder seus
limites de cota, sem que sejam
impedidos de continuar gravando
arquivos no volume. O procedimento
de ativar as cotas e no limitar o uso
do espao em disco til quando voc
no deseja negar aos usurios o acesso
a um volume em caso de exceder a
cota, mas deseja controlar o uso do
espao em disco (saber quanto cada
usurio est utilizando) para cada
usurio. Tambm possvel especificar
se um evento dever ou no ser
registrado quando os usurios
excederem seus nveis de notificao
de cota ou seus limites de cota.
Figura 6.45 A opo Ativar gerenciamento de cota.
5. Para ativar o gerenciamento de cotas de disco, marque a opo Ativar gerenciamento de cota, conforme indicado
na Figura 6.45:
Ao marcar esta opo, as demais opes ds guia Quota (Cota) sero habilitadas. A seguir descrevemos estas opes:
Negar espao em disco para limites do cota excedidos: Ao marcar esta opo, o usurio no poder mais
gravar no disco a partir do momento em que a sua cota de disco tiver sido atingida. Para gravar novas informaes
no disco, o usurio ter que excluir arquivos ou mov-los para outros volumes.
No limitar uso do disco: Se voc marcar esta opo, o gerenciamento de cotas continua habilitado, porm no
existe limite de espao em disco para os usurios, a no ser o prprio tamanho do volume. Esta opo
utilizada quando o administrador apenas quer gerenciar o quanto de espao em disco cada usurio est ocupando,
sem definir uma cota de espao para cada usurio.
Limitar espao em disco a: Esta opo utilizada para definir uma cota de disco padro, ou seja, uma cota que
ser aplicada para todos os usurios, com exceao dos usurios para os quais o Administrador, explicitamente,
definiu um outro valor para a cota em disco, conforme mostrarei logo a seguir. Ao selecionar esta opo,
automaticamente habilitada a opo Definir nvel de notificao. Esta opo define um valor de espao em
disco que, quando atingido, faz com que um evento seja gravado no log de eventos do Windows Server 2003.
O Administrador pode acompanhar estes eventos, para notificar usurios que estejam prximos de atingir o
limite de espao definido na sua cota de disco.
Registrar evento quando o limite do cota exceder: Selecione esta opo para gerar uma entrada no log de
eventos do Windows Server 2003, quando o uso de espao em disco do usurio ultrapassar o limite de cota de
disco atribudo a ele.
Registrar evento quando o nvel de notificao exceder: Selecione esta opo para gerar uma entrada no log de
eventos do Windows Server 2003, quando o uso de espao em disco do usurio ultrapassar o nvel de notificao
de cota atribudo a ele.
6. Configure as opes desejadas de acordo com as necessidades do servidor que voc est administrando.
7. Para definir cotas personalizadas para determinados usurios, d um clique no boto Entradas de Cota...
8. Ser exibida a janela Entradas de cota de disco local (C:).
9. Para adicionar uma cota personalizada para um novo usurio, utilize o comando Cota -> Nova entrada de cota...
10. Ser aberta a janela Selecionar usurios, j em diversos exemplos, no Captulo 4, quando voc aprendeu a adicionar
novos usurios a um grupo. Voc pode digitar o nome do usurio para o qual ser definida uma cota ou clicar no
boto Avanado..., para selecionar o usurio em uma lista de usurios. Voc definir uma nova cota de disco para
o usurio user01, conforme indicado na Figura 6.46:
Figura 6.46 Definindo uma cota para o usurio user01.
11. Clique no boto OK. Ser aberta a janela Adicionar nova entrada de cota. Nesta janela voc podemos optar por
limitar ou no o uso do espao em disco, para o usurio user01. Se optar por limitar, voc dever definir o espao
que o usurio pode utilizar, bem como um limite de aviso. Defina os valores indicados na Figura 6.47 e d um
clique no boto OK.
Figura 6.47 Configurando a cota para o usurio user01.
12. Voc estar de volta janela Entradas de cota de Disco local (C:). Observe que a entrada de cota para o
usurio user01 j aparece na listagem, bem como informaes sobre a cota j utilizada pelo usurio, o limite
de cota e o limite de aviso, conforme exemplo da Figura 6.48. Repita os passos de 7 11 para definir cotas
para outros usurios.
Figura 6.48 Cota j definida para o usurio user01.
Na janela Entradas de cota de Disco local..., voc pode realizar uma srie de operaes referentes a cotas, conforme
descrito a seguir:
Para adicionar uma nova cota utilize o comando Cota -> Nova entrada de cota...
Para atualizar as informaes da listagem de cotas pressione a tecla F5.
Para excluir a definio de uma cota, clique na cota a ser excluda e pressione a tecla Delete.
Se voc tiver um grande nmero de entradas, voc pode utilizar o comando
Editar -> Localizar..., para encontrar definies de cota para um usurio
especfico. Na janela Pesquisar, o nome do usurio deve ser digitado no
seguinte formato: NOME DO DOMNIOI\NOME DE LOGON. Por
exemplo: ABC\user1, GROZA\jsilva e assim por diante.
Voc pode classificar a listagem de cotas de diferentes maneiras, utilizando
o comando Exibir -> Organizar itens.
13. Feche a janela Entradas de cota de Disco local..., para isso utilize o comando
Cota -> Fechar.
14. Voc estar de volta a guia Cota, da janela de propriedades do drive C:
15. D um clique no boto Aplicar. Surge uma mensagem avisando que as
informaes sobre cotas sero atualizadas e que isso poder demorar alguns
minutos. D um clique no boto OK. As informaes sero atualizadas e
voc estar de volta a janela de propriedades do drive C:. D um clique no
boto OK para fechar a janela de propriedades.
16. Voc estar de volta ao Meu computador. Feche-o.
As cotas de disco funcionam com todos os volumes NTFS nos sistemas Windows
2000 ou Windows Server 2003. No entanto, os arquivos em volumes que tiverem
sido convertidos de FAT ou FAT32 em NTFS pertencero automaticamente ao
usurio administrador, isto , tero como dono o usurio Administrador e, portanto,
a cota nesses arquivos creditada para conta do administrador. Isso raramente
um problema porque os administradores podem utilizar o volume de forma
ilimitada. Isso s se aplica aos arquivos que existiam antes da converso em NTFS;
os arquivos criados aps a converso pertencem ao usurio apropriado, ou seja, o
usurio logado quando o arquivo foi criado.
Para uma descrio detalhada das opes do comando convert, utilize o seguinte
comando:
convert /?
A converso ser agendada para a prxima reinicializao do sistema.
Para desativar as cotas de disco, basta acessar a guia Cota, das propriedades do
volume no qual as cotas sero desativadas e desmarcara a opo: Ativar
gerenciamento de cota.
Recomendaes sobre o uso de cotas de disco:
A seguir coloco algumas recomendaes contidas na documentao oficial do
Windows Server 2003, sobre o uso de cotas de disco em volumes NTFS:
IMPORTANTE: Voc pode exportar
a listagem com as informaes sobre
as definies de cotas, para uma
planilha do Excel. Com isso fica mais
fcil classificar e analisar as
informaes. Para gerar uma planilha
do Excel, com as informaes de cotas
faa o seguinte: Na janela Entradas de
cota de Disco local..., selecione o
comando Editar -> Selecionar tudo ou
pressione Ctrl+A. Todas as entradas de
cota sero selecionadas. Selecione o
comando Editar -> Copiar. Abra o Excel
e selecione o comando Editar -> Colar.
Salve a planilha e utilize os comandos
do Excel para fazer as anlises
desejadas.
IMPORTANTE: Voc pode fazer
alteraes nas cotas a qualquer
momento que for necessrio, para
isso basta acessar a janela de
propriedades do drive onde as
alteraes devem ser feitas e utilizar
os comandos adequados.
NOTA: Para converter um volume
de FAT para NTFS, utilize o comando
convert. Por exemplo, para con-
verter o drive C: de FAT para NTFS,
utilizamos o seguinte comando:
convert C: /FS:NTFS
Aplique limites adequados de cota de disco: Aplique limites de cota de disco de acordo com as necessidades
reais de espao em disco dos usurios. Comece classificando os usurios pela quantidade de espao em disco
que voc supe que eles necessitaro (por exemplo, os usurios que trabalham com fotografias digitalizadas
ou artes grficas podero necessitar de uma quantidade maior de espao em disco). Em seguida, estruture seus
volumes de acordo com essas classes e use as cotas de disco para limitar a quantidade de espao em disco
permitida para os usurios em cada volume.
Defina limites padro: Defina limites padro moderadamente restritivos para todas as contas de usurio e
modifique os limites para conceder mais espao em disco aos usurios que trabalham com arquivos maiores.
Pode ser melhor aumentar os limites de cota de disco para algumas contas de usurio do que obrigar alguns
usurios a trabalhar com limites de cota que no correspondam s suas necessidades.
Permita crescimento: Defina os limites de cota em um nvel que permita crescimento no uso do espao em
disco. Quando os aumentos de cotas forem garantidos, aumente-as em uma percentagem do valor atual.
Exclua entradas de cota dos usurios: Quando um usurio no precisar mais usar um volume especfico (por
exemplo, quando ele sair da empresa), exclua sua entrada de cota para esse volume e exclua, mova ou se
aproprie (take ownership) de quaisquer arquivos pertencentes ao usurio. Isso o ajudar a eliminar o uso do
espao no volume por arquivos desnecessrios. Para excluir uma entrada de cota, acesse as propriedades do
volume, clique na guia Cota e d um clique no boto Entradas de cota. Ser aberta a janela Entradas de cota de
Disco local... Na listagem que exibida, localize a entrada a ser excluda, clique nela e pressione o boto
Delete. Se o usurio ainda for o dono de arquivos gravados no volume, ser aberta uma janela com a listagem
de todos os arquivos dos quais o usurio dono. Nesta janela voc pode Excluir os arquivos, Apropriar-se
(Take Ownership) ou Mover os arquivos para outro volume.
Limite a instalao aos administradores: Se voc ativar configuraes de cota de disco no volume em que o
Windows e outros programas estiverem instalados, limite a instalao dos programas e componentes do Win-
dows a membros do grupo local Administradores. Como o grupo Administradores no possui limites de cota,
isso impedir que o espao em disco usado para instalar componentes e programas faa com que um usurio
ultrapasse seu limite de cota. Quando um programa instalado, uma srie de arquivos so copiados para o
disco rgido. Estes arquivos so contabilizados na cota do usurio logado que est instalando o programa.
O comando fsutil quota.
Alm da interface grfica, o administrador pode utilizar o comando fsutil quota, para efetuar configuraes de cota de
disco. Conforme j descrito em outros captulos, o uso de comandos especialmente til quando o Administrador cria
scripts de administrao, para automatizar determinadas tarefas.
O comando fsutil quota gerencia cotas de disco em volumes NTFS para fornecer um controle mais preciso do
armazenamento em rede. Temos a seguinte sintaxe para este comando:
fsutil quota [disable] nome_do_volume
fsutil quota [enforce] nome_do_volume
fsutil quota [modify] nome_do_volume limite_mximo limite [nome_do_usurio]
fsutil quota [query] nome_do_volume
fsutil quota [track] nome_do_volume
fsutil quota [violations]
A seguir apresento a descrio dos parmetros utilizados por este comando:
disable: Desativa o controle e a ativao de cotas no volume especificado.
enforce: Ativa o uso de cotas no volume especificado.
modify: Modifica uma cota de disco existente ou cria uma nova cota.
query: Lista as cotas de disco existentes.
track: Controla o uso do disco no volume especificado.
violations: Pesquisa os logs do sistema e de aplicativos e exibe uma mensagem para indicar que foram detectadas
violaes de cotas, ou que um usurio atingiu seu limite ou limite mximo de cotas.
nome_do_volume: Especifica a letra da unidade para o volume (seguida por dois-pontos).
limite_mximo: O limite em que so emitidos avisos.
limite: O uso mximo de espao em disco permitido, ou seja, a cota de disco do usurio no volume.
nome_do_usurio: Especifica o domnio ou nome do usurio.
A seguir apresento um exemplo de utilizao do comando fsutil quota, para obter informaes sobre as configuraes
de cota do drive C:
C:\>fsutil quota query C:
FileSystemControlFlags = 0x00000032
As cotas esto controladas e aplicadas neste volume
Ativao de log para limites e limiares de cota
Os valores de cota esto atualizados
Limiar de cota padro = 0x0000000000000400
Limite de cota padro = 0x0000000000000400
Nome SID = BUILTIN\Administradores (alias)
Hora da alterao = Tue Feb 26 11:46:22 2002
Cota utilizada = 4890964992
Limiar de cota = 18446744073709551615
Limite de cota = 18446744073709551615
Nome SID = MICROXP01\user1 (usurio)
Hora da alterao = Sun Apr 07 20:34:25 2002
Limiar de cota = 183500800
Limite de cota = 209715200
Nome SID = MICROXP01\groza (usurio)
Nome do SID = AUTORIDADE NT\LOCAL SERVICE (grupo_conhecido)
Nome SID = MICROXP01\Administrador (usurio)
Erro: No foi feito mapeamento entre os nomes de conta e as identificaes de s
egurana.
Nome do SID = AUTORIDADE NT\NETWORK SERVICE (grupo_conhecido)
egurana.
egurana.
Nome do SID = AUTORIDADE NT\SYSTEM (grupo_conhecido)
egurana.
egurana.
Nome SID = MICROXP01\Pedro Pereira Xunar (usurio)
Observe que so exibidas informaes detalhadas sobre as configuraes de cotas para o drive C:, com detalhes de
utilizao por usurio.
Entendendo e Utilizando Pastas off-line
Pastas Off-line: conceito e utilizaes.
Com o Windows Server 2003 (j era possvel com o Windows 2000 e tambm no Windows XP Professional), voc pode
configurar uma pasta compartilhada, para que o usurio possa ter acesso aos arquivos do compartilhamento, mesmo
quando no estiver conectado rede. Em um primeiro momento pode parecer estranho: Como ter acesso aos arquivos de
uma pasta compartilhada, sem estar conectado rede?? Na prtica o que acontece que, ao configurar um
compartilhamento para acesso Off-line, o administrador est orientando os clientes que acessam o compartilhamento, a
fazer uma cpia local dos arquivos do compartilhamento, com isso o usurio fica trabalhando na cpia local, em caso de
perda da conexo com a rede. De tempos em tempos as alteraes feitas na cpia local (tambm conhecido como Cache
local de arquivos), so sincronizadas com a cpia original, na pasta compartilhada. Se por algum motivo, o computador
perder o acesso rede, o usurio continua trabalhando na cpia local, podendo inclusive desligar o computador. Na
prxima vez que o computador for conectado rede, os arquivos sero sincronizados. Voc deve ter notado que o uso de
pastas Off-line ideal para usurios de Notebooks, que precisam trabalhar e alterar arquivos quando no esto conectados
rede da empresa, como por exemplo em casa, em aeroportos ou em uma sala de reunio na empresa de um cliente.
Quando estiver trabalhando com arquivos off-line, voc poder exibi-los na sua pasta Arquivos off-line e exclu-los
dela. Tambm poder especificar quando e como os arquivos sero sincronizados ou ento criptografar os arquivos
off-line.
Agora voc aprender a configurar e a utilizar arquivos Off-line.
Configurando o computador dos usurios para que ele esteja apto a usar o recurso de
arquivos off-line.
O primeiro passo configurar os computadores dos clientes para que estes possam trabalhar com arquivos off-line.
Por exemplo, voc dever fazer as configuraes indicadas a seguir no notebook de um usurio que precise utilizar os
arquivos off-line.
Exemplo: Este exemplo deve ser executado em um dos computadores clientes da rede. Neste exemplo utilizarei
um computador com o Windows XP Professional. O procedimento para um cliente com o Windows 2000 Profes-
sional praticamente igual. Para configurar o computador do cliente, para trabalhar com arquivos off-line, siga
os seguintes passos:
1. Faa o logon como Administrador ou com uma conta de usurio com permisso de administrador.
3. Selecione o comando Ferramentas -> Opes de pasta...
4. Na janela Opes de pasta d um clique na guia Arquivos off-line.
5. Certifique-se de que a opo Ativar arquivos off-line esteja marcada, conforme indicado na Figura 6.49, onde
estou configurando o acesso a arquivos Off-line em um computador com o Windows XP Professional instalado.
Figura 6.49 Habilitando o uso de Arquivos off-line.
7. Ao habilitar a opo Ativar arquivos off-line, outras opes de configurao
so habilitadas, conforme descrito a seguir:
Sincronizar todos os arquivos off-line ao fazer o logon: Especifica que
todos os arquivos de rede configurados em compartilhamentos habilitados
para o acesso off-line sero totalmente sincronizados quando voc fizer
logon. Isso garante que os arquivos de rede reflitam as alteraes mais
recentes e que voc tenha as verses mais atuais dos arquivos no seu
computador. Se voc no marcar essa caixa de seleo, ser executada
uma sincronizao rpida quando fizer logon. Uma sincronizao rpida
fornece as verses completas dos arquivos off-line, mas no fornece as
verses mais recentes dos arquivos off-line.
Sincronizar todos os arquivos off-line antes de fazer o log off: Especifica
que todos os arquivos de rede disponveis off-line sero totalmente
sincronizados quando voc fizer log off. Isso garante que os arquivos de
rede reflitam as alteraes mais recentes e que voc tenha as verses mais
atuais dos arquivos no computador. Se voc no marcar essa caixa de
seleo, ser feita uma sincronizao rpida quando o usurio fizer log
off. Uma sincronizao rpida fornece as verses completas dos arquivos
off-line, mas no fornece as verses mais recentes dos arquivos off-line.
Exibir lembrete a cada x minutos: Especifica que os lembretes apaream
na rea de notificao quando os computadores estiverem off-line.
Criar um atalho para arquivos off-line na rea de trabalho: Especifica
que um atalho para a pasta Arquivos off-line seja colocado em sua rea de
trabalho.
IMPORTANTE: Se a opo Usar a
troca rpida de usurio estiver
habilitada, as opes da guia
Arquivos off-line estaro
desabilitadas. Para informaes
sobre como desabilitar a opo
Usar a troca rpida de usurio,
consulte o Captulo 6 do livro Win-
dows XP Home & Professional Para
Usurios e Administradores, Axcel
Books, 2002.
Criptografar os arquivos off-line para proteger dados: Criptografa arquivos off-line. Quando um arquivo de
rede fica disponvel off-line, uma cpia armazenada no computador local. Se voc criptografar arquivos off-
line, a cpia do arquivo de rede localizada no computador local ser criptografada. Alm disso, como alguns
aplicativos criam cpias temporrias de arquivos em outras pastas, como a pasta Temp, pode ser que voc
queira criptograf-las tambm.
O controle Espao em disco a ser usado para os arquivos off-line temporrios:: Ajusta o valor mximo de
espao em disco usado no computador para arquivos de rede que voc no optou por tornar disponveis off-
line. O espao em disco est sempre reservado para os arquivos que voc tornou disponveis off-line, mas
alguns deles tornam-se automaticamente disponveis para voc pelo administrador.
Boto Excluir arquivos...: Clique para excluir arquivos que voc tornou disponveis off-line. Isso pode aumentar
o espao disponvel em disco no computador. Os arquivos que voc selecionar sero excludos somente do seu
computador local. Eles no sero excludos da pasta compartilhada na rede.
Boto Exibir arquivos: Clique para exibir uma lista de arquivos que estejam disponveis off-line.
Boto Avanado: Clique neste boto para alterar o modo como os computadores so manipulados quando se
tornam indisponveis, isto , quando o computador perde a conexo com a rede. Se voc perder a conexo com
um computador, poder escolher continuar trabalhando com os arquivos desse computador ou parar. Ao clicar
neste boto ser exibida a janela Arquivos off-line configuraes avanadas, indicada na Figura 6.50:
Figura 6.50 Janela de configuraes avanadas.
6. Configure as opes desejadas e d um clique no boto OK para aplicar as alteraes. Pronto, agora o seu
computador est habilitado para trabalhar com arquivos off-line.
Configurando um compartilhamento para que os seus arquivos possam ser acessados off-line.
O prximo passo configurar os compartilhamentos que daro suporte ao uso de arquivos off-line. Estas configuraes
so feitas nas pastas compartilhadas nos servidores da rede.
Exemplo: Configurando um compartilhamento para dar suporta a arquivos off-
line. Este exemplo ser feito em uma pasta compartilhada em um servidor com o
Administrador.
NOTA: Para maiores detalhes sobre
a criao de compartilhamentos e a
definio de permisses de acesso,
consulte a parte inicial deste captulo.
3. Localize a pasta compartilhada a ser configurada, clique com o boto direito do mouse na pasta e, no menu de
opes que exibido, d um clique na opo Compartilhamento e segurana...
4. Ser exibida a janela de propriedades da pasta, com a guia Compartilhamento selecionada. D um clique no boto
Configuraes Off-line. Ser exibida a janela Configuraes Off-line, indicada na Figura 6.51:
Figura 6.51 A janela Configuraes Off-line.
Voc pode utilizar uma das opes descritas a seguir:
Apenas os arquivos e programas que os usurios especificarem estaro disponveis off-line: Ao marcar esta
opo (que a padro), somente sero armazenados on cache off-line, na estao de trabalho do cliente,
aqueles arquivos e programas que o usurio especificamente definiu para estarem disponveis off-line. Esta
opo a mais indicada para compartilhamentos acessados por muitos usurios, pois a cada usurio marca
para acesso off-line somente os arquivos que forem do seu interesse.
Todos os arquivos e programas que os usurios abrirem do compartilhamento estaro automaticamente
disponveis off-line: Com esta opo, sempre que o usurio abrir um arquivo da pasta compartilhada, este
arquivo ser marcado para estar disponvel para acesso off-line. Esta opo ideal para compartilhamentos
que contm arquivos que no so alterados com freqncia e podem estar disponveis para acesso off-line.
Os arquivos ou programas do compartilhamento no estaro disponveis off-line: Ao marcar esta opo voc
desabilita o acesso off-line aos arquivos do compartilhamento.
5. Certifique-se que a opo Apenas os arquivos e programas que os usurios especificarem estaro disponveis off-
line esteja selecionada e d um clique no boto OK para aplicar as alteraes.
6. Voc estar de volta a guia Compartilhamento. D um clique no boto OK para fechar a janela de propriedades da
pasta compartilhada.
Definindo quais arquivos sero armazenados no cache, para acesso off-line.
Voc j configurou o cliente para trabalhar com arquivos off-line e o compartilhamento no servidor para dar suporte
a arquivos off-line. Agora, no computador cliente, onde voc for acessar os arquivos da pasta compartilhada, voc
precisa definir quais arquivos deseja que sejam disponibilizados para acesso off-line. Neste tpico veremos como
realizar esta operao em um cliente com o Windows XP Professional.
Exemplo: Definindo quais arquivos ou pastas devero estar disponveis para acesso off-line em um cliente com o
Windows XP Professional.
1. Faa o logon no computador cliente, no qual voc ir acessar a pasta compartilhada que foi configurada no tpico
anterior.
2. Monte um drive que acessa a pasta compartilhada. Para maiores detalhes sobre a montagem de drives relacionados
com pastas compartilhadas, verifico o item sobre mapeamento de drives, anteriormente, neste captulo. Acesse o
respectivo drive.
3. Dentro do drive associado com a pasta compartilhada, acesse a pasta ou arquivo que voc deseja tornar disponvel
off-line.
4. Clique com o boto direito do mouse na pasta/arquivo a ser utilizada off-line e, no menu de opes que exibido,
d um clique na opo Tornar disponvel off-line. Pronto, a partir deste momento, a pasta/arquivo passar a estar
disponvel off-line, de acordo com as configuraes que voc definiu no item anterior.
Por padro os arquivos off-line so sincronizados durante o logon e tambm durante o logoff, para garantir que
voc sempre tenha uma cpia atualizada dos arquivos.
Se voc trabalhou desconectado da rede e alterou algum arquivo off-line e o arquivo no foi alterado na pasta
compartilhada, o Windows atualiza a verso que est na pasta compartilhada a partir do arquivo atualizado no
seu computador.
Se voc trabalhou desconectado da rede e no alterou nenhum arquivo off-line porm arquivos foram alterados
na pasta compartilhada no servidor, o Windows atualiza a sua cpia off-line, para ficar sincronizada com as
alteraes que houve na pasta compartilhada.
Se as duas verses de um arquivo, no servidor e na sua cpia local,
foram alteradas, o Windows Server 2003 exibe uma caixa de dilogo
perguntando se voc deseja manter ambas as verses ou salvar uma em
detrimento da outra.
Se uma das duas verses for excluda e a outra no foi alterada, durante a
sincronizao, a outra cpia tambm ser excluda. Por exemplo, se
enquanto voc esteve off-line, um arquivo foi excludo na pasta
compartilhada e voc no alterou este arquivo, durante a sincronizao, a
sua cpia off-line do arquivo tambm ser excluda. Se voc alterou o
arquivo enquanto esteve off-line, uma caixa de dilogo ser exibida,
perguntando se voc deseja salvar a verso alterada off-line, para a pasta
compartilhada no servidor.
Se voc excluir a verso local e a verso no servidor tiver sido alterada,
uma caixa de dilogo ser exibida, perguntando se voc deseja excluir a
verso no servidor ou copiar a verso alterada para o cache local.
Se novos arquivos forem adicionados no servidor, estes arquivos sero
copiados para o seu cache local, caso voc tenha configurado a pasta
onde os arquivos foram adicionados, para acesso off-line.
IMPORTANTE: Quando voc
marca uma pasta para estar
disponvel off-line, o Windows
disponibilizar todo o contedo da
pasta (subpastas e arquivos) para
estar disponvel off-line. Se a pasta
tiver subpastas, ser exibida uma
janela perguntando se voc deseja
tornar as subpastas tambm
disponveis off-line. Ao fazer esta
configurao, o Windows faz uma
cpia dos arquivos selecionados
para o cache local do computador e
passa a fazer a sincronizao entre
a cpia local e os arquivos na pasta
compartilhada, de acordo com as
seguintes regras:
O gerenciador de sincronizao.
O Windows XP Professional (usado na estao de trabalho cliente) fornece um gerenciador de sincronizao, o qual
pode ser utilizado para configurar a maneira como o contedo off-line sincronizado, bem como para forar uma
sincronizao a qualquer momento, desde que voc esteja conectado rede.
Para abrir o gerenciador de sincronizao faa o seguinte:
1. Clique em Iniciar -> Executar.
2. No campo Abrir digite: mobsync e d um clique no boto OK.
3. Ser aberto o Gerenciador de sincronizao, conforme indicado na Figura 6.52:
Figura 6.52 O Gerenciador de sincronizao.
Para sincronizar um item, clique para marca-lo e d um clique no boto Sincronizar. Para configurar as opes
de sincronizao marque o item e d um clique no boto Configurar, ser exibida a janela Configuraes de
sincronizao, indicada na Figura 6.53, na qual voc pode definir se a sincronizao deve ser feita no logon, no
logoff, dentre outras opes.
Figura 6.53 Configuraes de sincronizao.
Compactao de pastas e arquivos.
Compactao de arquivos e pastas.
Em volumes formatados com o sistema de arquivos NTFS possvel compactar pastas, arquivos individuais ou at
mesmo todo o volume. A compactao NTFS no gera arquivos separados no padro .zip, ao invs disso, os arquivos
compactados permanecem com o nome original, apenas o seu contedo gravado usando um algoritmo de compactao
do Windows Server 2003. Quando o usurio acessa um arquivo compactado, o Windows Server 2003 descompacta o
arquivo automaticamente e fornece os dados para o usurio. Ou seja, do ponto de vista do usurio, a exemplo do que
acontece com a criptografia de arquivos, o processo de compactao/descompactao transparente. Ao abrir um
arquivo compactado, o Windows automaticamente o descompactar para voc e ao fech-lo, o Windows o compactar
novamente. A compactao no Windows Server 2003 no afeta de maneira significativa o desempenho. Ao trabalhar
com arquivos e pastas compactadas, pode haver uma pequena queda no desempenho, devido ao trabalho de compactao/
descompactao realizado pelo Windows Server 2003. Na maioria dos casos esta queda no desempenho praticamente
desconsidervel.
Compactando e descompactando pastas e arquivos em volumes
NTFS.
Exemplo: Para compactar uma pasta e todo o seu contedo, faa o seguinte:
1. Faa o logon com uma conta que tem permisso de acesso pasta a ser
compactada.
2. Usando o Meu computador ou o Windows Explorer, localize a pasta ou o
arquivo a ser compactado.
3. Clique com o boto direito do mouse na pasta/arquivo a ser compactado e,
no menu de opes que exibido, d um clique na opo Propriedades. Ser
aberta a janela de propriedades da pasta/arquivo, com a guia Geral selecionada.
4. D um clique no boto Avanado... Ser aberta a janela Atributos avanados.
5. Para compactar a pasta/arquivo, marque a opo Compactar o contedo para
economizar espao em disco, conforme indicado na Figura 6.54:
IMPORTANTE: As pastas e
arquivos compactados em volumes
com NTFS s permanecero
compactados enquanto estiverem
armazenados em um volume NTFS,
ou seja, ao copiar um arquivo
compactado para um volume
formatado com FAT, o arquivo ser
primeiro descompactado e depois
copiado para o local de destino. Em
volumes FAT a nica opo de
compactao a criao de arquivos
e pastas compactados no padro
.zip. No prximo item mostrarei
como o Windows Server 2003 (a
exemplo do Windows XP) consegue
trabalhar diretamente com arquivos
no padro .zip, sem precisar de um
programa externo como por
exemplo o Winzip.
IMPORTANTE: Vale lembrar,
conforme j citado anteriormente,
que a compactao NTFS e a
criptografia so recursos
mutuamente excludentes, ou seja
no possvel compactar uma pasta
criptografada ou criptografar uma
pasta compactada.
NOTA: O Percentual de
compactao que voc obtm varia
muito com o tipo de arquivo. Por
exemplo, arquivos de imagens no
formato Bitmap - .bmp, obtm
taxas de compactao elevadas,
normalmente prximas a 90 %, j
arquivos executveis - .exe ou
arquivos .dll obtm taxas de
compactao muito pequenas,
muitas vezes menores do que 1%.
Figura 6.54 A opo Compactar o contedo para economizar espao em disco.
6. D um clique no boto OK. Voc estar de volta janela de propriedades da
pasta.
7. D um clique no boto OK. Surge uma janela perguntando se voc deseja
compactar somente a pasta em questo ou todas as suas subpastas e arquivos.
Selecione a opo Aplicar as alteraes a esta pasta , subpastas e arquivos e d
um clique no boto OK.
8. O Windows Server 2003 inicia o processo de compactao da pasta e de todo o
seu contedo. Dependendo da quantidade de arquivos e subpastas, o processo
de compactao pode demorar alguns minutos. Durante este processo exibida
uma janela com o progresso da compactao.
Pronto. A pasta e todo o seu contedo foram compactados.
Para descompactar um arquivo/pasta, basta seguir os passos descritos no exemplo
anterior e desmarcar a opo Compactar o contedo para economizar espao em
disco. Deve haver espao suficiente no volume, para comportar os arquivos que
esto sendo descompactados, uma vez que aps descompactados, estes arquivos
ocuparo mais espao em disco do que quando estavam compactados.
Voc deve ter um cuidado especial ao compactar arquivos que fazem parte do
Windows Server 2003, como por exemplo a pasta onde est instalado o Windows
Server 2003 e a suas subpastas. aconselhvel que voc substitua o disco rgido
por um de maior capacidade do que compactar as pastas onde est instalado o
Windows Server 2003, pois isso pode causar uma queda no desempenho do sistema
como um todo. Esta situao especfica para os arquivos do Windows Server
2003 e no para arquivos de dados em geral, onde a compactao praticamente
no afeta o desempenho, conforme descrito anteriormente.
Arquivos compactados no padro .ZIP.
Trabalhando com pastas e arquivos compactados no padro
.ZIP.
Nas verses do Windows, at o Windows 2000, para trabalhar com arquivos
compactados no padro .zip (que o padro mais utilizado), era necessrio um
programa especfico, como por exemplo o Winzip ou o Power Archive ou o Winrar.
Estes programas eram utilizados para compactar e descompactar pastas e arquivos,
utilizando o padro .zip. Ou seja, para trabalhar com arquivos no padro .zip,
voc tinha que adquirir um programa que desse suporte a este padro.
Acontece que o padro/algoritmo de compactao .zip amplamente conhecido e
pode ser facilmente implementado. Com base nisso, a Microsoft implementou, como
uma funcionalidade do Windows Server 2003, a capacidade de trabalhar com
arquivos no padro .zip. Por isso, no Windows Server 2003 (e tambm no Windows
XP), no preciso de nenhum software adicional para criar arquivos compactados
e para descompactar arquivos no padro .zip. Conforme mostrarei nos exemplos
prticos a seguir, extremamente simples trabalhar com arquivos .zip
Gerando um arquivo compactado no padro .zip.
Exemplo: Compactar um arquivo, gerando um arquivo .zip.
1. Abra o Windows Explorer ou o Meu computador.
2. Localize o arquivo a ser compactado. No nosso exemplo, vou compactar o
arquivo Curso de Word Avanado.doc, indicado na Figura 6.55. Observe que
o tamanho original do arquivo de 6243 KB.
IMPORTANTE: Se algum arquivo
estiver em uso, surge uma
mensagem avisando que o arquivo
em uso no poder ser compactado.
Nesta janela de aviso voc tem
opo de Cancelar a compactao,
Ignorar o arquivo em uso, neste
caso ele no ser compactado e a
opo Ignorar todos, a qual informa
ao Windows Server 2003 para
ignorar qualquer arquivo que esteja
em uso, ou seja, no compactar
arquivos que estejam em uso.
NOTA: Por padro o Windows
Server 2003 exibe pastas e
arquivos compactados em cor azul
e pastas ou arquivos criptografados
em cor verde.
IMPORTANTE: Quando voc copia
arquivos compactados, de um vol-
ume NTFS para um disquete, para
um volume formatado com FAT ou
para um CD-ROM (caso voc tenha
um gravador de CD), os arquivos
sero descompactados, antes de ser
copiados para o destino. Isso
acontece porque as referidas mdias
no do suporte ao sistema de
arquivos NTFS e somente possvel
utilziar a compactao em volumes
formatados com o sistema NTFS.
Figura 6.55 Compactando um arquivo com o Windows Server 2003.
3. Clique com o boto direito do mouse no arquivo a ser compactado. No menu
de opes que surge d um clique na opo Enviar para -> Pasta compactada
(zipada).
NOTA: Alguns arquivos apresentam
um percentual de compactao
bastante elevado, isto , o tamanho
do arquivo, depois de compactado,
drasticamente reduzido. Existem
casos em que o tamanho reduzido
em mais de 90%. J outros tipos de
arquivos, tais como executveis
(.exe) e arquivos do sistema, tais
como DLLs (.dll) no sofrem grande
reduo ao serem compactados.
Normalmente documentos do Word
(.doc), planilhas do Excel (.xls) e
arquivos grficos (.bmp, .tif, .png,
etc), sofrem um bom percentual de
reduo no tamanho, quando
compactados.
O Windows Server 2003 gera um arquivo .zip, com o mesmo nome do documento e com a extenso .zip, ou seja, no
nosso exemplo ser gerado o arquivo Curso de Word Avanado.zip. O arquivo gerado na mesma pasta do arquivo que
est sendo compactado. Observe que o arquivo compactado ficou com o tamanho de 514 KB, ou seja, uma taxa de
compactao de cerca de 92%.
Para abrir um arquivo .zip, no Windows Server 2003 extremamente simples, basta dar um clique duplo no arquivo
.zip que o Windows Server 2003 abre o arquivo e exibe o seu contedo. possvel compactar diversos arquivos em um
nico arquivo .zip. Neste caso se voc der um clique duplo no arquivo .zip, sero exibidos todos os arquivos que fazem
parte do arquivo compactado. Para descompactar um dos arquivos s clicar com o boto direito do mouse e selecionar
o comando Copiar. Depois navegue at a pasta de destino, clique com o boto direito do mouse e selecione Colar. Uma
cpia descompactada do arquivo selecionado, ser colado na pasta de destino.
O Windows Server 2003 trata os arquivos compactados como se fossem pastas. Voc d um clique duplo no arquivo
.zip e o Windows Server 2003 exibe a listagem com todos os arquivos que fazem parte do arquivo .zip. Se voc der um
clique duplo em um dos arquivos, o Windows Server 2003 abre o arquivo no aplicativo relacionado. Por exemplo, se
voc der um clique duplo em um arquivo .doc, que est dentro de um arquivo .zip, o Windows Server 2003 descompacta
o arquivo e abre-o no Word.
Exemplo: Para adicionar mais arquivos a um arquivo compactado (.zip) j existente:
1. Neste exemplo, vou adicionar mais trs arquivos .doc, ao arquivo Curso de Word Avanado .zip, criado
anteriormente.
2. Utilizando o Windows Explorer ou o Meu computador, localize e selecione os arquivos a serem adicionados.
Uma vez selecionados os arquivos, utilize o comando Editar -> Copiar ou pressione Ctrl+C.
3. Localize o arquivo .zip no qual voc quer adicionar novos arquivos. D um clique duplo para abrir o arquivo .zip.
4. Selecione o comando Editar -> Colar ou pressione Ctrl+V. Os arquivos selecionados anteriormente sero
compactados e adicionados ao arquivo .zip. Ou seja, uma simples operao de Copiar e Colar.
Concluso.
Neste Captulo tratai sobre pastas compartilhadas, permisses de
compartilhamento e permisses NTFS, uso do DFS, definio de cotas de disco,
uso de pastas off-line, compactao de pastas e arquivos e uso de arquivos
compactados no padro .zip.
O uso de pastas compartilhadas um dos recursos mais utilizados, se no o mais
utilizado, em redes de computadores.
NOTA: Observe que agora existem
quatro arquivos que fazem parte do
arquivo compactado Curso de Word
Avanado.zip.
Mostrei que, ao criar um compartilhamento, possvel definir quais usurios e/ou grupos tero acesso a este
compartilhamento. As permisses de compartilhamento somente tem efeito para acesso pela rede, ou seja, elas no
tem efeito localmente. A permisso efetiva do usurio a soma de todas as permisses que ele herda dos grupos aos
quais ele pertence, mais as permisses atribudas diretamente ao usurio. Alm disso, negar sempre tem precedncia
sobre permitir.
O administrador tambm definir permisses NTFS para pastas e arquivos. Se houver conflito entre as permisses
NTFS da pasta e do arquivo, vale as permisses do arquivo. Ao criar uma pasta ou arquivo, as permisses NTFS para
o objeto que est sendo criado, so herdadas da pasta pai do objeto. possvel desabilitar este mecanismo de
herana, conforme foi tratado neste captulo.
Quando existem conflitos entre as permisses de compartilhamento e as permisses NTFS, vale a mais restritiva. Por
exemplo, se um usurio tem permisso de compartilhamento Controle total e permisso NTFS somente leitura, a
permisso efetiva deste usurio ser Somente leitura.
Tambm apresentei os conceitos tericos relacionados ao DFS e as suas vantagens. Mostrei que atravs do uso do
DFS, o Administrador pode implementar um sistema centralizado de administrao das pastas compartilhadas, em
diferentes servidores da rede. Tambm possvel criar redundncia, atravs da criao de rplicas de uma mesma
pasta, em diferentes servidores.
Em seguida voc aprendeu a criar e a utilizar uma rvore DFS, utilizando o console Sistema de arquivos distribudos.
Para maiores informaes sobre o DFS, consulte as seguintes referncias:
Windows 2000 Server Distributed System Guide, Microsoft Press, Captulo 17. Este livro faz parte do Re-
source Kit do Windows 2000 Server e est disponvel, OnLine, no seguinte endereo: http://www.microsoft.com/
windows2000/techinfo/reskit/default.asp.
Microsoft Windows 2000 Server Administrators Companion, Microsoft Press, Captulo 16.
Voc encontra uma srie de artigos, papers e tutoriais sobre DFS, no seguinte endereo: http://www.labmice.net/
windows2000/FileMgmt/DFS.htm.
No prximo Captulo falarei sobre instalao, configurao, compartilhamento e administrao de impressoras.
Introduo
Este captulo todo dedicado ao trabalho de instalao, administrao e resoluo
de problemas relacionados com impressoras no Windows Server 2003. comum
a utilizao de impressoras de melhor qualidade e maior velocidade instaladas
em servidores. Estas impressoras so compartilhadas no servidor e acessadas pelos
usurios a partir de suas estaes de trabalho. Existem vrias vantagens em ter as
impressoras administradas atravs dos servidores, tais como: Administrao
centralizada, controle de impresso atravs do uso de permisses de acesso, audi-
toria do volume de impresso por usurio e assim por diante.
Vou iniciar o captulo apresentando aspectos tericos, relacionados com o sistema
de impresso do Windows Server 2003. Vou apresentar os termos utilizados pelo
Windows Server 2003, para que no haja confuso entre, por exemplo, o termo
que se refere a impressora, dispositivo fsico (hardware) e o termo que faz referncia
ao driver da impressora, ou seja, a impressora como ela aparece na opo
Impressoras no Windows Server 2003. Tambm falarei sobre o sistema de
impresso do Windows Server 2003 e alguns detalhes sobre o planejamento para
implementao de impressoras em rede.
Mostrarei as caractersticas que devem ser observadas na compra de uma
impressora. Farei alguns clculos para demonstrar que, dependendo do vol-
ume do impresso, mais importante o custo de propriedade do que o custo
de aquisio.
Em seguida partirei para a parte prtica. Voc aprender a instalar, configurar e a
trabalhar com Impressoras. Mostrarei como instalar uma Impressora, quer seja
para uso localmente, quer seja para uso atravs da rede. Voc tambm aprender
a atribuir permisses de acesso para o uso da Impressora (para usurios e grupos).
Sero explicadas algumas propriedades importantes, bem como procedimentos
para administrao e resoluo de problemas de impresso.
Em seguida vamos aprender a instalar e a configurar uma impressora local, isto ,
uma impressora ligada diretamente no servidor. Tratarei sobre a importncia do
driver da impressora e como configurar opes da impressora que sero utilizadas
por todos os programas que utilizam a impressora. Mostrarei que possvel ter
mais de um driver de impressora instalado, neste caso temos que definir uma das
impressoras como sendo a impressora padro.
Na seqncia voc aprender a compartilhar uma impressora, para que esta possa
ser utilizada nos demais computadores da rede. Compartilhar uma impressora
muito semelhante a compartilhar uma pasta. A maneira como o usurio acessa
uma impressora compartilhada tambm praticamente igual a maneira como
acessamos uma pasta compartilhada. Tambm mostrarei como publicar
impressoras e pastas compartilhadas no Active Directory e depois como pesquisar
no Active Directory para localizar estes objetos.
Voc aprender a definir permisses de acesso impressora. Mostrarei que estas
permisses definem quais usurios podem utilizar a impressora e com que nvel
de permisso. Por exemplo, voc pode definir que o grupo Empresa somente
C A P T U L O
7
Instalao, Configurao e
Administrao de Impressoras
pode imprimir documentos, j o grupo Gerentes pode imprimir documentos e administrar a fila de impresso.
Voc tambm aprender a configurar propriedades avanadas de uma impressora, tais como:
Horrios em que a impressora est disponvel.
Diferentes prioridades para diferentes grupos.
Mostrarei como administrar a fila de documentos da impressora. possvel excluir um documento da fila, alterar a
posio do documento na fila, pausar um documento e reiniciar a sua impresso mais tarde e tambm possvel
excluir todos os documentos da fila.
Mostrarei que possvel administrar impressoras utilizando o Internet Explorer. Para isso necessrio que, no servidor
onde est a impressora, esteja instalado o IIS Internet Information Services, que o servidor Web da Microsoft, o
qual ser detalhado no Captulo 13.
Para finalizar o captulo apresentarei alguns comandos que so teis para o gerenciamento e resoluo de problemas
em pastas e impressoras compartilhadas. Voc ver tambm comandos teis para a resoluo de problemas de impresso.
Com os conhecimentos apresentados neste captulo, o amigo leitor ter todas as condies para instalar, configurar
Impressoras, quer seja locais ou da rede; alm de estar apto a resolver os principais problemas que ocorrem no dia-a-
dia, relacionados com Impressoras.
O Sistema de Impresso do Windows Server 2003 Conceitos Tericos
No incio da informatizao das empresas, uma das promessas da informtica era a criao de um Escritrio sem
papel, ou seja, toda a informao contida nos sistemas e consultada atravs do computador. Sabemos que esta uma
realidade que est longe de se concretizar. No por causa da tecnologia, pois no estgio atual perfeitamente possvel
ter toda a informao em sistemas informatizados e consultar a informao usando o computador.
Acontece que existe o Mundo Real e neste mundo, ainda se usa muito papel, talvez at mais do que antes da
informatizao chegar nas empresas. Quer seja por exigncias legais e burocrticas (devido a processos de negcio
mal projetados), quer seja pelas preferncias pessoais dos usurios, o fato que ainda se gasta muito papel, ainda se
imprime muita informao na empresa.
Claro que em algumas situaes a impresso inevitvel, como por exemplo em papis que, por exigncia legal,
devam ser assinados e remetidos para outras empresas ou rgo pblicos, ou plantas de projetos que devam ser enviados
para homologao e assim por diante. Em outras situaes simplesmente uma preferncia pessoal do usurio, o qual
prefere ter as informaes em papel a ler na tela.
O fato real que os sistemas de impresso ainda so um dos servios mais utilizados em uma rede de computadores.
Sendo este um servio bastante utilizado, cabe ao administrador entender como funciona o sistema de impresso do
Windows Server 2003 e como executar as aes prticas para administrao e implementao de um sistema de
impresso eficiente e de baixo custo.
Embora o custo das impressoras tenha sido reduzido consideravelmente nos ltimos anos, ainda muito mais econmico
ter um nmero reduzido de impressoras de maior qualidade e velocidade compartilhadas nos servidores, do que ter
uma impressora na estao de trabalho de cada usurio. No s pela questo do custo, como tambm pela questo da
administrao centralizada e do controle do volume de impresso por usurios.
Uma bela confuso de termos
Talvez por excesso de criatividade, a equipe da Microsoft tem feito um belo trabalho para confundir o administrador
do sistema de impresso, ao usar diferentes termos para fazer referncia a impressora propriamente dita e ao driver da
impressora (o software de controle da impressora instalado no servidor).
Para piorar um pouco mais, esta terminologia mudou novamente no Windows Server 2003, em relao a terminologia
que era utilizada no Windows NT Server 4.0 e no Windows 2000 Server. Para ajudar o amigo leitor a se situar um
pouco melhor neste emaranhado de termos, descrevo a terminologia oficial, utilizada nas diferentes verses do
Windows, em relao Impressoras.
No Windows NT Server 4.0 e no Windows 2000 Server so utilizados os seguintes termos:
print device (dispositivo de impresso): Este termo refere-se a impressora propriamente dita, ao hardware. Ou
seja, uma HP Deskjet 660 C, uma Rima Okidata 1100, uma Epson LX 300 e assim por diante.
printer (impressora): faz referncia ao driver da impressora, ao software instalado e que controla a impressora.
o elemento que aparece na pasta Printers (Impressoras).
No Windows Server 2003 so utilizados os seguintes termos:
printer (Impressora): Este termo refere-se a impressora propriamente dita, ao hardware. Ou seja, uma HP
Deskjet 660 C, uma Rima Okidata 1100, uma Epson LX 300 e assim por diante (que no Windows NT Server
4.0 e Windows 2000 Server era chamado de print device)
logical printer: faz referncia ao driver da impressora, ao software instalado e que controla a impressora. o
elemento que aparece na pasta Printers (Impressoras). Tambm aparece, em alguns pontos da documentao
oficial, o termo printer driver (driver da impressora).
Neste captulo utilizarei os termos adotados pelo Windows Server 2003, ou seja: printer faz referncia ao hardware, a
impressora propriamente dita e logical printer faz referncia ao driver, ao software que controla a impressora.
Conforme mostrarei na parte prtica, voc pode instalar a mesma impressora (printer) vrias vezes (mais de um
logical printer) no mesmo servidor. Para cada instalao (cada logical driver) o administrador pode definir diferentes
configuraes. Por exemplo, imagine que voc tem uma impressora laser, colorida, de alta velocidade. Esta impressora
deve ser utilizada pelos estagirios e pelos gerentes, porm os trabalhos enviados pelos gerentes devem ter maior
prioridade de impresso (serem impressos antes) do que os trabalhos enviados pelos estagirios. Para resolver esta
questo voc pode instalar a impressora duas vezes. Na primeira vez voc compartilha com o nome de Estagirios e
configura uma prioridade baixa. Neste compartilhamento voc define permisso de acesso para os estagirios. Voc
instala novamente o driver da impressora, com um nome diferente do anterior e cria um compartilhamento Gerentes.
Neste compartilhamento voc define uma prioridade mais alta (do que a prioridade para a instalao dos Estagirios)
e define permisso de acesso somente para o grupo Gerentes. Com isso somente os gerentes podero utilizar esta
impressora com a prioridade alta e os estagirios utilizaro com a prioridade mais baixa. Este um exemplo onde
existe uma impressora (printer) e o driver instalado duas vezes, com diferentes configuraes (duas logical printer).
O contrrio tambm pode ser feito, ou seja, instalar um nico driver e associ-lo com diferentes impressoras. Este
procedimento pode ser feito desde que todas as impressoras utilizem o mesmo driver. Este arranjo conhecido como
printer pool e utilizado para distribuio de cargas. Por exemplo, imagine que voc instale quatro impressoras da
mesma marca e modelo em um servidor de impresso. Neste servidor voc instala o driver da impressora (logical printer)
uma nica vez e associa este driver com as quatro impressoras instalados. Com isso voc criou um printer pool. A
medida que os trabalhos de impresso vo chegando, o driver da impressora vai redirecionando os trabalhos sempre para
a impressora que estiver com o menor volume de trabalho, ou seja, com a menor fila de impresso. Com isso o trabalho
vai sendo dividido entre as diferentes impressoras que fazem parte do pool. A condio necessria para que seja possvel
criar um pool que todas as impressoras utilizem o mesmo driver de impresso. Podem fazer parte do pool impressoras
diretamente ligadas ao servidor ou impressoras conectadas diretamente rede atravs de uma placa de rede.
Aviso importante sobre compatibilidade de drivers: O Windows Server 2003 trabalha com dois tipos diferentes de drivers
de impressora, conhecidos com driver de nvel 2 e driver de nvel 3. Os drivers de nvel 2 so compatveis com o Windows
NT Server 4.0. Os drivers de nvel 2 so executados em nvel de Kernel do sistema operacional e em caso de problemas
podem desestabilizar todo o sistema operacional, sendo necessria uma reinicializao do servidor. Os drivers de nvel 2
somente so suportados quando da migrao de um servidor com o NT Server 4.0 para o Windows Server 2003. Neste
caso, os drivers de impressoras j instalados sero mantidos e estaro disponveis no Windows Server 2003. Porm voc
no poder instalar novos drivers nvel 2 no Windows Server 2003. O Windows 2000 Server e o Windows Server 2003
utilizam os drivers de nvel 3. Os drivers de nvel 3 rodam em modo de usurio protegido. Em caso de problemas com um
destes drivers, o mximo que acontece a desestabilizao do servio Spooler (o qual o responsvel pela impresso no
Windows), o qual ser automaticamente reinicializado, sem que seja necessrio reinicializar o servidor.
Entendendo o servio de impresso no Windows Server 2003.
O servio de impresso do Windows Server 2003 procura auxiliar ao mximo os clientes que utilizam este servio. Por
exemplo, ao instalar uma impressora no Windows Server 2003 (logical driver), o administrador pode instalar tambm
drivers da impressora para outras verses do Windows (NT 4.0, Windows 2000, Windows XP e assim por diante).
Quando um destes clientes acessa uma impressora compartilhada no servidor, o respectivo driver carregado diretamente
a partir do servidor, sem que o cliente tenha que fornecer um CD com o driver da impressora.
Outra vantagem do servio de impresso (vantagem esta do ponto de vista do administrador) que possvel gerar
um log com a descrio detalhada dos trabalhos que esto sendo enviados para a impressora. Com base neste log o
administrador pode determinar o volume de impresso por usurio, por impressora e assim por diante.
O Windows Server 2003 fornece suporte a diferentes tipos de conexo entre o servidor e a impressora. O tipo mais
comum a conexo via porta paralela, a j conhecida LPT1. A maioria das impressoras (quase a totalidade) trabalha
com este tipo de conexo, via porta paralela. Existem tambm impressora que conectam via porta serial, mas
normalmente so impressoras utilizadas em estaes de trabalho da rede, mais especificamente nos conhecidos PDVs
Pontos de Vendas. Por exemplo, um caixa de supermercado conhecido como PDV Ponto de Venda. Existem
diversos modelos de impressoras fiscais que utilizam a conexo via porta serial. Dificilmente voc ter uma impressora
serial conectada a um servidor com o Windows Server 2003. Existem outros tipos de conexo, sendo que um dos que
mais vem sendo adotado atualmente o padro USB Universal Serial Bus. Este um padro de conexo que vem
tendo ampla aceitao da indstria e dos usurios. Todos os novos computadores j vem com uma ou mais portas USB.
Voc pode conectar qualquer dispositivo USB em uma porta USB. Existem teclados, mouses, impressoras e inmeros
outros dispositivos j habilitados ao padro USB. O Windows Server 2003 reconhece e trabalha sem problemas com
o padro USB. Outra forma de conexo atravs de conexo direta com a rede. So impressoras que vem com uma
placa de rede, padro Ethernet instalada e que so conectadas diretamente rede. Estas impressoras recebem um
endereo IP e passam a fazer parte da rede. No Windows Server 2003, ao instalar o driver da impressora, voc pode
configurar o driver e associa-lo com o endereo IP da impressora. Desta maneira o driver est instalado no Windows
Server 2003 e redireciona os trabalhos para a rede, usando o IP configurado na impressora. Mostrarei um exemplo de
configurao deste tipo de impressora na parte prtica deste captulo. A vantagem do uso das impressoras de rede
(conectadas diretamente rede) que a impressora no precisa estar fisicamente junto ao servidor que a controla.
Uma novidade que foi introduzida no Windows 2000 Server e que foi melhorada no Windows Server 2003 a impresso
atravs da Internet (ou da Intranet da empresa). Voc pode configurar uma impressora para que ele seja visvel atravs
da Internet ou da Intranet da empresa. Voc pode definir quais usurios tero permisso para utilizar esta impressora,
a exemplo do que acontece com qualquer tipo de impressora instalada no Windows Server 2003. A impresso via
Internet feita atravs do protocolo Internet Printing Protocol IPP. O suporte ao protocolo IPP depende da impressora.
Se a impressora no vier de fbrica com suporte a este protocolo, voc dever instalar o protocolo no Windows Server
2003 e tambm o IIS para que voc possa administrar a impressora usando o Browser. No Captulo 13 voc aprender
a instalar, utilizar e administrar o IIS 6.0.
As impressoras com suporte ao protocolo IPP, normalmente, vem com uma interface de administrao via Browser. Ou seja,
voc conecta o Browser diretamente com o IP configurado para a impressora e aberta uma pgina com uma srie de comandos
de administrao da impressora. Normalmente exigida uma senha para que possa ser feita a administrao da impressora, para
evitar que qualquer usurio que conhea o IP da impressora faa a conexo e altere as configuraes da impressora.
Depois de instalada uma impressora e habilitada para o protocolo IPP, voc pode conectar com a impressora, facilmente,
usando o Internet Explorer 4.0 ou superior. Por exemplo, para exibir a lista de impressoras do domnio abc.com, basta
utilizar o endereo a seguir:
http://abc.com/printers
Para fazer a conexo diretamente com uma impressora, cujo nome de compartilhamento seja las-col-01, no domnio
abc.com, basta utilizar o endereo a seguir:
http://abc.com/ las-col-01
Ser exibida uma lista de comandos da impressora Basta clicar em Install e pronto, o driver da impressora ser
instalado e voc poder imprimir diretamente neste impressora. Para o usurio aparece com mais uma impressora
(logical driver) na lista de impressoras instaladas. Quando o usurio envia uma impresso, o protocolo IPP responsvel
por enviar os dados para a impressora de destino para que a impresso seja realizada.
Alguns detalhes sobre o processo de impresso do Windows Server 2003
A seguir descrevo as etapas envolvidas no processo de impresso, desde o momento em que o usurio manda um
trabalho para impresso, at o momento em que o trabalho , efetivamente, impresso. Estes passos so baseados em
White Paper sobre impresso publicado no site of icial do Windows Server 2003: www.microsoft.com/
windowsserver2003 e na Ajuda do Windows Server 2003.
Os passos a seguir exemplificam o que acontece quando um cliente, usando um computador com o Windows XP
Professional, envia um documento para impresso em uma impressora instalada e compartilhada em um servidor com
o Windows Server 2003 instalado:
1. O usurio abre o Word e utiliza o comando Arquivo -> Imprimir para enviar a impresso para uma impressora
compartilhada no servidor Windows Server 2003.
2. O Windows XP detecta o comando de impresso e utiliza a GDI (Graphical Device Interface). A GDI identifica
qual o driver de impresso associado com a impressora de destino. A GDI e o driver da impressora trocam
informaes para formatar os dados do documento no formato de comandos que possam ser interpretados pela
linguagem da impressora de destino. Estas informaes, j formatadas para o formato adequado, so passadas
para o servio de impresso na estao de trabalho do usurio no nosso exemplo o servio spooler na estao de
trabalho com o Windows XP.
3. O servio de impresso do cliente envia o trabalho de impresso para o servidor de impresso. O servidor onde
est instalada a impressora de destino.
4. Para pedidos de impresso vindos de clientes com o Windows XP, Windows 2000 ou Windows NT 4.0, so
recebidos no formato conhecido como enanched metafiles (EMF).
5. O servio de roteamento de impresso no servidor passa os dados da impresso para o
provedor de impresso local (que um dos componentes do servio spooler no servidor).
O provedor de impresso local coloca o trabalho de impresso na fila (em spool), isto ,
grava o trabalho em uma pasta especfica do disco rgido, reservada para os trabalhos de
impresso. Os dados so salvos em um arquivo com a extenso .SPL.
6. Neste momento o pedido de impresso est em uma fila nica de impresso.
Quando o pedido de impresso chega no incio da fila, o sistema de impresso
no servidor determina se os dados precisam ser convertidos para um formato
diferente, antes de serem enviados para a impressora.
7. Se uma pgina de separao foi configurada, nas propriedades da impressora,
o sistema de impresso providenciar a criao da pgina separadora.
8. O trabalho ento enviado para a impressora de destino, atravs da porta
configurada para a impressora.
9. A impressora recebe os comandos de impresso e com base destes comandos
gera uma imagem no padro bitmap e ento imprime as pginas do documento.
A Figura 7.1, obtida a partir da ajuda do Windows Server 2003, d uma viso
geral deste processo de impresso:
NOTA: Caso o usurio esteja
utilizando outro sistema operacional
que no o Windows, ou uma
aplicao no compatvel com o Win-
dows, outro componente ser
utilizado ao invs da GDI.
NOTA: Existem aplicaes que
usam um outro formato conhecido
como read to print (RAW). Voc
pode configurar o formato utilizado
pela impressora, nas propriedades
da impressora, conforme
descreverei na parte prtica deste
captulo.
Figura 7.1 Uma viso geral do processo de impresso do Windows Server 2003.
Padronizao de nomes e outros detalhes importantes para o uso de impressoras em rede.
O administrador pode selecionar o nome de compartilhamento de cada impressora da rede, bem como definir os
comentrios, descrio e outras informaes sobre cada impressora. Porm aconselhvel que sejam seguidas
determinadas recomendaes, as quais iro facilitar para o usurio a localizao das impressoras atravs da rede e
tambm as pesquisas no Active Directory. Com a definio de normas para as informaes a serem cadastradas
para cada impressora, o administrador facilita a vida do usurio, o qual pode fazer pesquisas pelo tipo de impressora
(laser, jato de tinta, jato de cera, etc), pela localizao, pelas caractersticas, pela velocidade e por outros detalhes
que possam ser relevantes.
tambm importante manter um padro para a nomeao das impressoras, sempre tendo em mente que o objetivo
desta padronizao fazer com que seja fcil para o usurio, localizar uma impressora com as caractersticas que
ele precisa.
Cada impressora instalada e compartilhada em um servidor tem dois nomes. O primeiro nome o nome da prpria
impressora, nome este que exibido na janela Impressoras ou no Browser, quando o administrador est gerenciando
impressoras atravs do Browser (conforme mostrarei no final deste captulo). O nome da impressora pode ter at 220
caracteres de comprimento. O outro nome o nome de compartilhamento. o nome que exibido na lista de recursos
compartilhados quando o usurio acessa os recursos de um servidor usando o cone Meus locais de rede ou usando o
comando net view \\nome-do-servidor, para exibir a lista de recursos compartilhados em um servidor.
O nome de compartilhamento pode ter at 80 caracteres de comprimento. Porm importante lembrar que clientes
mais antigos, como o Windows 3.x ou MS-DOS, no reconhecem mais do que 8 caracteres como nome de
compartilhamento. Somente clientes com o Windows 2000 Server, Windows XP ou Windows Server 2003 so capazes
de reconhecer nomes de compartilhamento que contenham espaos. Por isso se voc tem clientes baseados no Win-
dows 95/98/Me ou no NT Workstations 4.0, evite utilizar nomes de compartilhamento com espaos.
A idia bsica que o nome da impressora deve conter informaes bsicas, tais como o tipo da impressora, localizao
e indicao de uma caracterstica principal, como nos exemplos a seguir:
HP Laser Colorida Fiscalizao
Cnon Laser Monocromtica Contabilidade
HP Laser Suporte A3 Pesquisa
Estes nomes indicam a marca (poderamos tambm ter includo o modelo), uma caracterstica principal (no ltimo
exemplo o suporte a papel tamanho A3) e a localizao da impressora.
Os nomes de compartilhamento tambm deve ser indicativos das caractersticas e da localizao da impressora. Considere
LasMonoContab
LasColPesquisa
CeraColRecepo
LasColSalaPresidente
Consideraes sobre o custo da impressora e o custo de impresso.
Ao comprar uma impressora, o administrador no pode cometer o erro de considerar apenas o preo de aquisio, ou
seja, o preo da Impressora. Deve-se levar em considerao o custo de propriedade, o qual leva em considerao o
custo de impresso por pgina. Por exemplo, pode ser que uma impressora tenha um custo de aquisio mais em conta,
porm seja menos econmica do que uma outra. Com isso, a primeira impressora tem um custo de aquisio mais
baixo, porm um preo de impresso por pgina, mais elevado. Ao longo do tempo a primeira impressora, somando o
custo de aquisio e o custo de impresso, acaba sendo mais cara do que a segunda.
Na Figura 7.2 mostro uma simulao que demonstra os conceitos de custo de aquisio e custo de propriedade:
Figura 7.2 Custo de aquisio x Custo de propriedade.
Observe que a Impressora1 tem um custo de aquisio menor em comparao Impressora 2. J a Impressora2 possui
um custo de impresso por pgina, bem menor. Com isso o custo total da Impressora2 , inicialmente maior, devido ao
seu Custo de aquisio maior; porm a medida que o nmero de pginas impressas aumenta, esta diferena vai
diminuindo, at que o custo total se iguale, para um nmero de 30000 pginas impressas. A partir deste ponto, a
Imprssora2 passa a ter um custo Total menor do que a Impressora1. Nesta situao, se estimamos que, durante a vida
til da impressora, sero impressas mais do que 30000 cpias, mais barato a opo pela Impressora2, embora esta
tenha um custo de aquisio maior, o qual compensado, ao longo do tempo, pelo custo de impresso menor. O
Grfico da Figura 7.3 ilustra bem os dados da simulao.
Figura 7.3 Evoluo do Custo total em relao ao nmero de cpias.
Instalao e Configurao de Impressoras - Prtica
Quando o administrador conecta uma nova Impressora, para ser utilizada em um servidor com Windows Server 2003,
preciso instalar o driver da impressora (logical printer, na terminologia do Windows Server 2003, conforme descrito
no incio do captulo). Um driver nada mais do que o software que controla a comunicao entre o Windows Server
2003 e a impressora. Cada marca e modelo possu um driver especfico para ser usado. Se for instalado o driver
incorreto, sero obtidos resultados imprevistos e com certeza a impressora no vai trabalhar corretamente.
O CD de instalao do Windows Server 2003 j vem com milhares de drivers (
isto mesmo: milhares) para diferentes marcas e modelos de impressoras. Mas
para modelos mais novos, lanados aps a disponibilizao do Windows Server
2003, pode acontecer do driver no estar no CD do Windows Server 2003. Neste
caso o driver vem junto com a impressora ou voc pode obt-lo atravs do site do
fabricante da impressora na Internet.
Ento quando digo que vou instalar uma impressora, na verdade vou instalar
o driver da impressora (logical driver), para que o Windows Server 2003 possa
trabalhar corretamente com a impressora. Para instalar uma nova impressora (o
driver da impressora), voc deve utilizar a opo Iniciar -> Impressoras e
aparelhos de Fax. Tambm existe um atalho para a janela de Impressoras no
Painel de controle.
Instalando uma nova impressora (instalando o driver da impressora)
Neste item mostrarei um exemplo, passo-a-passo de como fazer uma instalao
de uma nova impressora. Ou seja, como instalar o driver de uma nova impressora.
A medida que voc for seguindo as etapas do assistente, farei comentrios sobre
algumas propriedades e informaes relacionadas com a instalao da impressora.
Exemplo: Instalar uma impressora HP Deskjet 660C.
Neste exemplo, voc ir instalar uma impressora marca HP, modelo Deskjet 660C,
isto , ser instalado o driver para utilizar uma HP Deskjet 660C. A impressora
ser instalada no computador chamado SRV-Win2003. Substitua SRV-Win2003
pelo nome do servidor que voc est utilizando, nesta e nas prximas lies,
sempre que for feita alguma referncia ao nome SRV-Win2003. Caso a sua
impressora seja de uma marca ou modelo diferente, use a marca e modelo
adequados para acompanhar este exemplo. Voc tambm pode acompanhar este
exemplo, sem ter uma impressora conectada ao seu computador. O Windows Server
2003 instalar o driver e quando voc conectar a impressora o driver j estar
pronto para ser utilizado.
Para instalar uma nova impressora siga os passos indicados a seguir:
1. Faa o logon com um conta com permisses de Administrador ou com uma
conta pertencente ao grupo Opers. de Impresso.
2. Utilize o comando Iniciar -> Impressoras e aparelhos de fax.
3. Ser aberta a janela Impressoras e aparelhos de fax, indicada na Figura 6.4,
na qual mostrada uma lista das impressoras instaladas no seu computador.
IMPORTANTE: Quando voc instala
uma impressora, ela pode ser usada
por qualquer programa instalado no
Windows Server 2003. Se voc alterar
as configuraes da impressora dentro
de um programa, como por exemplo o
Microsoft Word, estas alteraes tero
efeito apenas para o documento que
est sendo impresso no momento. Ao
utilizar um outro programa, sero
utilizadas as configuraes definidas na
prpria impressora. Por exemplo, voc
est imprimindo um documento do
Word e seleciona a qualidade de
impresso Rascunho. Esta configurao
somente ser utilizada at que voc
feche o Word. Agora voc fecha o Word
e abre o Excel. Ao imprimir uma
planilha do Excel, sero utilizadas as
configuraes definidas nas proprie-
dades da impressora, a no ser que voc
as altere, no prprio Excel. Para fazer
alteraes que sejam vlidas para todos
os programas instalados, estas alte-
raes devem ser feitas acessando as
propriedades da impressora. Mostrarei
como fazer estas configuraes mais
adiante, neste captulo.
NOTA: Selecionei um modelo
qualquer. Ao acompanhar o
exerccio, substitua o modelo que
eu estou utilizando, pelo modelo
que voc ir utilizar no seu servidor.
Caso no exista nenhuma impressora instalada, a lista estar vazia, estando disponvel apenas a opo Adicionar
impressora, que o caso indicado na Figura 7.4:
Figura 7.4 A janela Impressoras e aparelhos de fax.
4. D um clique duplo no cone Adicionar impressora.
5. Ser aberto o Assistente para adicionar impressora. Este um assistente que ir guiando voc passo a passo na tarefa
de instalar o driver para a nova impressora. O assistente solicita diversas informaes em cada uma das etapas.
6. Nesta primeira etapa, exibida uma mensagem explicativa. D um clique no boto Avanar para ir para a prxima
Na segunda etapa, voc deve informar para o Windows Server 2003 se a impressora que est sendo instalada
local (ligada diretamente ao computador) ou uma impressora da rede (conectada red atravs de uma placa
padro Ethernet ou uma impressora compartilhada em outro servidor). Voc tambm podes marcar a opo
Detectar e instalar automaticamente a impressora Plug and Play, para que o Windows Server 2003 tente detectar
a marca/modelo da impressora e instale o driver adequado. Esta opo vem marcada por padro. Para este exemplo
prtico, desmarque esta opo.
7. Como estou instalando uma impressora local, certifique-se que a opo Impressora local conectada ao computador
esteja marcada e Desmarque a opo Detectar e instalar automaticamente a impressora Plug and Play, conforme
8. D um clique no boto Avanar para ir para a terceira etapa do assistente.
9. Na terceira etapa, voc tem que escolher a porta onde est ligada a impressora. Uma porta nada mais do que um
meio de comunicao do Windows Server 2003 com os dispositivos ligados ao computador. A grande maioria das
impressoras utiliza a porta paralela LPT1 (Line Printer 1).
Certifique-se de que LPT1 esteja selecionada na lista de portas. LPT1 j vem selecionada por padro, pois a porta
normalmente utilizada pela impressora. A seguir apresento uma descrio dos tipos de portas mais utilizados para
conexo de uma impressora com o Windows Server 2003.
Figura 7.5 - Instalando uma impressora local.
Local Port (Porta Local): So consideradas portas locais a porta paralela (LPT1. pode haver mais de uma porta
paralela, neste caso teremos LPT2, LPT3 e assim por diante), as portas seriais (COM1, COM2 e assim por
diante). Uma porta local tambm pode ser o caminho para um arquivo, como por exemplo C:\trabalhos de
impresso\impresso.prn. Neste caso, todos os trabalhos enviados para a porta local sero gravados no arquivo
impresso.prn e cada novo trabalho sobrescreve o anterior. Tambm pode ser utilizada como porta local o
caminho UNC para uma impressora compartilhada em outros servidor, como por exemplo \\server02\laser01.
Neste caso sempre que a impresso for envida para esta impressora, ser, na prtica, redirecionada para
\\server02\laser01. NUL utilizada para criar uma porta nula, ou seja, no ligada a uma impressora. A porta
NUL utilizada apenas para testar se os clientes conseguem enviar os trabalhos de impresso, sem que estes
sejam efetivamente impressos. Voc tambm pode utilizar uma porta IR, a qual utilizada para conexes com
impressoras que utilizam o protocolo Infrared Data Association (IrDA). As portas do tipo arquivo, UNC, NUL
e IR somente esto disponveis quando voc opta por criar uma nova porta. Na lista de portas locais, por
padro, somente so listadas as portas Paralelas (LPTs) e Seriais (COMs).
Standard TCP/IP port (Porta padro TCP/IP): Este tipo de porta utilizado para acessar impressoras conectadas
diretamente rede e configuradas com um nmero IP. Mostrarei um exemplo prtico deste tipo de porta em
um dos prximos exemplos.
AppleTalk printing devices: Este tipo de porta utilizada quando voc tem clientes de rede baseados no
Macintosh. Somente est disponvel se o protocolo AppleTalk estiver instalado no servidor.
LPR port: utilizada para comunicao com impressoras instaladas em servidores no padro UNIX, que
utilizam o sistema LPD para gerenciamento da impresso. Este tipo de porta somente est disponvel quando
o Print Services for UNIX (Servios de Impresso para Unix) estiver instalado.
Port for NetWare: Utilizada por computadores que usam o Novell Netware. S est disponvel quando o
protocolo NWLink e o Client Services for NetWare (Cliente de Servios para Netware), estiverem instalados.
10. D um clique no boto Avanar para ir para a quarta etapa do assistente.
Na quarta etapa voc deve escolher a marca e o modelo da impressora, cujo driver est sendo instalado. Na coluna da
esquerda existe uma listagem dos fabricantes em ordem alfabtica. Quando voc seleciona um fabricante na coluna da
esquerda, a coluna da direita exibe apenas os modelos do fabricante selecionado.
11. Na coluna da esquerda localize HP e d um clique nesta opo para selecionar HP. Na coluna da esquerda sero
exibidos todos os modelos de impressoras HP para os quais o CD do Windows Server 2003 possu um driver.
12. Na coluna da esquerda localize o modelo HP Deskjet 660C, e d um clique sobre este modelo para marc-lo,
Figura 7.6 Instalando uma HP Deskjet 660C.
13. D um clique no boto Avanar para ir para a quinta etapa do assistente.
14. Na quinta etapa, o Windows Server 2003 pede que voc digite um nome para
a Impressora. Esse nome o nome que ir aparecer dentro da janela
Impressoras e aparelhos de fax, depois que voc tiver concludo a instalao.
15. No campo Nome da impressora digite o seguinte: HP Deskjet 660 Colorida
- Gerncia.
16. D um clique no boto Avanar para ir para a sexta etapa do assistente.
17. Na sexta etapa, voc define se deseja, ou no, compartilhar a impressora. Por
padro vem marcada a opo Nome do compartilhamento, j com uma
sugesto de nome para compartilhamento da impressora. Neste momento
voc no ir compartilhar a impressora. Para isso marque a opo No
compartilhar esta impressora.
IMPORTANTE: Voc pode utilizar o
boto Windows Update para exibir uma
lista de drivers de dispositivo que podem
ser descarregados do site do Microsoft
Windows Update na Internet. Nessa lista,
selecione o dever adequado para o
dispositivo. Esta opo somente
funcionar se voc tiver alguma forma
de conexo com a Internet. Utilize o
boto Com disco..., para instalar o drive
da impressora a partir de um CD-ROM
ou disquete, ou de um compartilhamento
de rede. Ao clicar neste boto ser aberta
uma janela para que voc informe o lo-
cal onde est disponvel o driver da
impressora que est sendo instalada.
18. D um clique no boto Avanar para ir para a quinta etapa do assistente.
19. Na stima etapa surge uma tela perguntando se voc deseja imprimir uma pgina de teste. Caso voc tenha uma
impressora conectada, escolha Sim, para verificar se a impressora est funcionando corretamente. Caso contrrio
marque a opo No.
20. D um clique em Avanar para ir para a ltima etapa do assistente, onde o Windows Server 2003 exibe um resumo
das informaes fornecidas nas diversas etapas, conforme indicado na Figura 7.7:
Figura 7.7 Etapa final do Assistente para adicionar impressora.
21. Caso esteja tudo OK, d um clique no boto Concluir.
O Windows Server 2003 comea a copiar os arquivos necessrios. Nesta etapa
pode ser que voc seja solicitado a colocar o CD do Windows Server 2003 no
driver de CD-ROM, caso o Windows Server 2003 no encontre todos os arquivos
necessrios no disco rgido.
Aps concluir a cpia dos arquivos, voc estar de volta a janela Impressoras e
aparelhos de fax e a impressora HP Deskjet 660C (ou outra marca e modelo que
voc tenha instalado ), j aparece na janela Impressoras, conforme indicado pela
Figura 7.8:
NOTA: Caso voc constate que existe
alguma informao incorreta, voc
pode usar o boto Voltar para ir at a
etapa onde foi fornecida a informao
incorreta e corrigi-la.
Figura 7.8 Impressora HP Deskjet 660C j aparecendo na janela Impressoras.
Observe que na janela de impressoras, no painel da esquerda j aparece uma srie
de comandos relacionados com a administrao/gerenciamento de impressoras,
NOTA: No Windows XP foi introduzida
uma funcionalidade bem interessante e
bem til, funcionalidade esta tambm
disponvel no Windows Server 2003.
um painel que pode ser exibido nas
janelas do Meu computador, do Windows
Explorer, na janela de Impressoras, no
painel de controle e assim por diante.
Este painel, exibido no lado esquerdo da
janela, contm uma srie de atalhos,
relacionados as tarefas mais comuns da
janela em questo. Por exemplo, na
janela de impressoras, voc pode exibir,
no lado esquerdo, um painel com atalhos
para as tarefas mais comuns,
relacionadas com administrao de
impressoras. Para exibir este painel, na
janela Impressoras e aparelhos de fax
selecione o comando Ferramentas ->
Opes de pasta... Ser exibida a janela
Opes de pasta. Clique na guia Geral.
No grupo Tarefas, marque a opo Show
common tasks in folders Mostrar tarefas
comuns nas pastas e clique em OK.
Figura 7.9 O painel Terefas comuns.
Quando voc clica em uma determinada impressora, so exibidos atalhos para
diversas tarefas relacionadas com a impressora, tais como:
Adicionar uma impressora.
Ver o que est sendo impresso.
Selecionar preferncias de impersso.
Pausa na impresso.
Compartilhar esta impressora.
Renomear esta impressora.
Excluir esta impressora.
Definir propriedades da impressora.
Voc aprender a executar estas diversas operaes ao longo deste captulo.
Compartilhando uma impressora para uso atravs da rede.
Aps ter instalado o driver da impressora, o prximo passo compartilhar a
impressora para que ele possa ser acessada atravs da rede, pelas estaes de
trabalho dos usurios. Claro que antes que os usurios comeam a utilizar a
impressora, recomendado que voc configure as permisses de acesso, mas
este j o assunto de um exemplo mais adiante.
Neste tpico voc aprender a compartilhar um impressora, para que ela possa
ser utilizada por outros computadores da rede. Depois mostrarei diferentes
maneiras para voc conferir que a impressora realmente foi compartilhada e est
disponvel para acesso atravs da rede.
Exemplo: Compartilhando a impressora HP Deskjet 660C, que foi instalada na
lio anterior.
Para compartilhar uma impressora, siga os seguintes passos.
1. Faa o logon com um conta com permisses de Administrador ou com uma
conta pertencente ao grupo Opers. de Impresso.
2. Utilize o comando Iniciar -> Impressoras e aparelhos de fax. Ser exibida a
lista das impressoras instaladas no seu computador.
3. D um clique na impressora a ser compartilhada, para seleciona-la. No nosso
exemplo d um clique na impressora HP Deskjet 660 Colorida Gerncia.
4. No painel de opes do lado esquerdo da janela Impressoras e aparelhos de
fax, d um clique na opo Compartilhar esta impressora (para detalhes sobre
como exibir o painel do lado esquerdo, consulte a nota do exemplo anterior).
Voc tambm pode clicar com o boto direito do mouse na impressora a ser
compartilhada e, no menu de opes que exibido, clicar na opo
Compartilhamento. Usando qualquer uma destas opes, ser exibida a janela
com as propriedades da impressora, com a guia Compartilhamento j
selecionada
5. Marque a opo Compartilhar esta impressora.
6. Digite um nome para o compartilhamento. De preferncia um nome que
seja indicativo da marca e modelo da impressora e do computador onde a
impressora est instalada. Para o nome, digite hp666-col-geren. Sua janela
deve estar conforme indicado na Figura 7.10.
IMPORTANTE: Quando for
instalada uma nova impressora,
sendo que j existe uma ou mais
impressoras instaladas, o Windows
Server 2003 exibir uma tela a
mais no assistente, perguntando se
voc deseja definir a impressora que
est sendo instalada como a
Impressora padro (Default
printer). No Windows Server 2003,
o administrador pode ter diversas
impressoras instaladas, porm
somente uma definida como
padro. A impressora padro
aquela para a qual o Windows
Server 2003 vai imprimir, a menos
que seja explicitamente escolhida
uma outra impressora. Voc pode,
facilmente identificar a impressora
padro na janela Impressoras, uma
vez que esta exibida com um
sinalzinho de certo junto ao cone
da impressora.
NOTA: Se voc estiver utilizando
outra impressora, substitua HP
Deskjet 660 Colorida - Gerncia,
pelo nome da impressora que voc
estiver utilizando para acompanhar
este exemplo.
Figura 7.10 Definindo um nome para o compartilhamento.
7. D um clique OK para confirmar o compartilhamento da impressora HP
Deskjet 660 Colorida Gerncia, com o nome de compartilhamento hp666-
col-geren. Como o nome de compartilhamento tem mais do que 8 caracteres,
surge uma mensagem avisando que clientes mais antigos, como o MS-DOS
no podero acessar este compartilhamento. Clique em Sim para manter o
nome de compartilhamento que foi definido e fechar a mensagem de aviso.
Voc estar de volta a janela impressoras. Observe que aparece uma pequena mo
segurando a impressora que acabou de ser compartilhada. Voc est lembrado
que uma esta pequena mo tambm surge quando compartilhamos uma pasta? A
partir deste momento a impressora est compartilhada e pronta para ser acessada
atravs da rede.
Agora voc ir confirmar se a impressora realmente foi compartilhada com
sucesso. Voc tentar localiz-la usando o comando Iniciar -> Executar.
Para verificar se a impressora foi compartilhada com sucesso, faa o seguinte:
1. Faa o logon em um dos computadores da rede.
2. Clique em Iniciar -> Executar
3. No campo Abrir, digite \\nome-do-servidor-onde-est-a-impressora. Para o
nosso exemplo digite \\srv-win2003 e clique em OK.
NOTA: Voc pode utilizar o boto Driv-
ers Adicionais... para, alm do drive para
o Windows Server 2003, instalar
tambm drivers para outras verses do
Windows: 95, 98, Me, 2000 e assim por
diante. Esta opo importante no caso
de a impressora ser acessada por com-
putadores que utilizam uma verso do
Windows que no o Windows Server
2003. Por exemplo, se um computador
com o Windows 95 for acessar uma
impressora compartilhada em um
computador com o Windows Server 2003
e no computador com o Windows Server
2003, o administrador tiver utilizado o
boto Drivers Adicionais..., para adicionar
o driver para o Windows 95, este driver
ser copiado, automaticamente, para o
computador do cliente com o Windows
95, quando este computador tentar
acessar a impressora. Se o driver no
estiver disponvel para ser copiado pela
rede, ao instalar a impressora no
computador com o Windows 95, dever
ser fornecido o CD de instalao do Win-
dows 95 ou um CD com o driver da
impressora.
IMPORTANTE: Observe que no
existe um boto Permisses, para que
sejam definidas permisses de
compartilhamento para a impressora.
Para impressoras compartilhadas no
existe o conceito de permisses de
compartilhamento, a exemplo do que
ocorre com pastas compartilhadas.
Para impressoras, existem permisses
de acesso que podem ser definidas,
conforme mostrarei mais adiante
neste captulo. Estas permisses
4. O Windows Server 2003 abre uma janela exibindo todos os recursos
compartilhados disponveis no servidor srv-win2003. Observe que um dos
recursos disponveis a impressora hp660-col-geren. Voc identifica que
uma impressora, por causa do cone (uma pequena impressora ) prxima ao
nome. As pastas compartilhadas tambm so exibidas, com exceo dos
compartilhamentos ocultos. Um compartilhamento torna-se oculto quando o
nome do compartilhamento termina com um sinal de $. Tambm so exibidas
as Tarefas agendadas. Falarei sobre o agendamento de tarefas no Captulo 8.
Com isso voc comprovou que aps o compartilhamento a Impressora est
disponvel para ser acessada atravs da rede.
Para reforar: Todo recurso compartilhado em uma rede Microsoft Windows, pode
ser acessada atravs do seu nome UNC Universal Name Convention. O nome
UNC inicia com duas barras invertidas, depois o nome do computador onde est
o recurso, mais uma barra invertida e finalmente o nome do compartilhamento.
No nosso exemplo temos \\srv-win2003\ hp660-col-geren, o que indica a
impressora compartilhada com nome de compartilhamento hp660-col-geren, no
computador srv-win2003.
5. Feche a janela srv-win2003.
Por exemplo, o comando a seguir, exibe uma lista dos recursos compartilhados
(com exceo dos compartilhamentos ocultos), no servidor cujo nome srv-
win2003, conforme indicado na Figura 7.11.
net view \\srv-win2003
definem o tipo de acesso que cada
usurio/grupo pode ter impressora.
Estas permisses so definidas na guia
Security (Segurana), da janela de
propriedades da impressora.
NOTA: A opo Listar no diretrio (que
vem selecionada por padro) utilizada
para publicar informaes sobre o
compartilhamento da impressora no
Active Directory. Ao marcar esta opo,
sero publicadas informaes sobre o
compartilhamento e as caractersticas
da impressora. Estas informaes sero
publicadas no Active Directory, o que
ir facilitar a pesquisa se impressoras
no Active Directory, conforme mostrarei
mais adiante.
NOTA: Caso voc tenha acesso a
outro computador da rede, faa o
logon como Administrador e
acompanhe este exerccio no outro
computador. Para o nosso exemplo,
srv-win2003 o nome do computador
onde foi instalada e compartilhada a
impressora HP Deskjet 660 Colorida
Gerncia. Caso voc tenha criado
em um computador com outro nome,
substitua srv-win2003 pelo nome do
computador que voc est utilizando.
Dica: Voc tambm pode exibir uma
listagem dos recursos compartilhados,
disponveis em um servidor, abrindo
um Prompt de comando e executando
o seguinte comando: net view
\\nome-do-servidor
Figura 7.11 Usando o comando net view \\nome-do-servidor.
Agora hora de definir as permisses de acesso impressora. Mas este j o
assunto do prximo exemplo.
Atribuindo permisses de acesso para a impressora.
Neste item mostrarei um exemplo prtico de como definir permisses de
acesso para uma impressora compartilhada. Tambm farei uma descrio
detalhada dos diferentes nveis de permisso que podem ser definidos para
o acesso a ume impressora. As permisses podem ser atribudas a usurios
ou a grupos. A exemplo da recomendao que foi feita para o caso de pastas
compartilhadas, para impressoras compartilhadas tambm recomendado
sempre def inir as permisses para grupos, o que simplifica e facilita a
administrao destas permisses.
NOTA: Observe que ao lado do
nome de compartilhamento hp660-
col-geren, aparece o tipo Print
(Impressora), indicando que esta
uma impressora compartilhada. Ao
lado das pastas compartilhadas
aparece o tipo Disk.
Assim como possvel atribuir permisses para uma pasta compartilhada, possvel definir permisses de acesso
para uma impressora compartilhada. As permisses definem quais os usurios que podem utilizar a impressora e qual
o nvel de permisso de cada usurio. Ao definir permisses para um grupo, os membros do grupo herdam as permisses.
Se o usurio pertencer a mais de um grupo, a sua permisso efetiva ser a soma das permisses atribudas a todos os
grupos aos quais ele pertence. Negar uma permisso de impresso tem precedncia sobre todas as demais permisses.
Por exemplo, se o usurio pertence a cinco grupos, grupos estes que tem diferentes permisses de acesso a uma
impressora compartilhada. Se ele for includo em um sexto grupo, o qual tem negada a permisso de acesso impressora,
a permisso efetiva do usurio ser acesso negado, ou seja, o negar que ele herdou do sexto grupo, tem precedncia
sobre todas as demais permisses que ele herdou dos demais grupos aos quais ele pertence.
Quando uma impressora instalada em uma rede, so atribudas permisses de impresso padro, as quais permitem
que todos os usurios imprimam e que grupos selecionados gerenciem a impressora, documentos enviados a elas
ou ambos. Por padro definida a permisso Print (Imprimir) para o grupo Everyone (Todos); a permisso Print
(Imprimir), Manage Documents (Gerenciar Documentos) e Manage Printers (Gerenciar Impressoras) para os grupo
locais do domnio Administrators (Administradores), Server Operators (Operadores de Servidores) e Print Opera-
tors (Operadores de Impresso). Tambm adicionada permisses totais para o usurio dono da impressora, que
o usurio que estava logado quando a impressora foi instalada. Como a impressora est disponvel, por padro, para
todos os usurios na rede (permisso Imprimir para o grupo Todos), convm limitar o acesso de algumas pessoas
atribuindo permisses de impressoras especficas. Por exemplo, voc pode conceder a permisso Print (Imprimir)
a todos os usurios no administrativos de um departamento e as permisses Print (Imprimir) e Manage Documents
(Gerenciar documentos) somente para os gerentes. Desse modo, todos os usurios e gerentes podero imprimir
documentos, mas somente os gerentes podero alterar o status de impresso de qualquer documento enviado
impressora. (gerenciar documentos).
O Windows fornece trs nveis de permisses de segurana de impresso: Print (Imprimir), Manage Printers
(Gerenciar impressoras) e Manage Documents (Gerenciar documentos). Quando vrias permisses so atribudas a
um grupo de usurios, as permisses menos restritivas se aplicam, ou seja, a permisso efetiva do usurio a soma
das permisses atribudas aos grupos aos quais ele pertence, mais as permisses atribudas diretamente a sua conta.
No entanto, se a opo Negar tiver sido atribuda, ela ter precedncia sobre qualquer permisso, a exemplo do que
acontece com as permisses de compartilhamento e com as permisses NTFS. Existem trs nveis de permisso,
conforme detalhado a seguir:
Print (Imprimir): Permite ao usurio conectar-se Impressora e imprimir documentos, pausar, reiniciar e
continuar a impresso dos documentos por ele enviados para a impressora. Quando um usurio envia um
documento para a impressora, o usurio torna-se o dono daquele documento, por isso que ele pode
administrar os documentos por ele enviados. Esta permisso normalmente atribuda para aqueles usurios
que simplesmente precisam enviar documentos para a impressora. Por padro, quando uma nova impressora
instalada, a permisso Print (Imprimir) atribuda ao grupo Everyone (Todos), conforme descrito
anteriormente.
Manage Documents (Gerenciar documentos): Tem todas as permisses atribudas a permisso Print (Imprimir),
mais Controlar a impresso de todos os documentos (enviados por qualquer usurio) e tambm pausar, reiniciar
e continuar a impresso de qualquer documento enviado por qualquer usurio. Normalmente atribuda para
aquele usurio que administra a impressora, resolvendo problemas de impresso, mas sem permisses para
alterar propriedades e permisses da impressora. Quando a permisso Manage Documents (Gerenciar
documentos) for atribuda a um usurio, ele no poder acessar documentos existentes que estejam aguardando
para serem impressos, na fila de impresso. A permisso se aplicar somente aos documentos enviados para a
impressora depois que a permisso tiver sido atribuda ao usurio.
Manage Printers (Gerenciar impressoras): Todas as permisses de Print (Imprimir) e Manage documents
(Gerenciar documentos), mais permisses para cancelar a impresso de todos os documentos pendentes,
compartilhar a impressora, alterar as propriedades da impressora, eliminar a impressora e alterar as
permisses de impresso. Normalmente atribuda a um usurio que deve ter poderes completos na
administrao da impressora, inclusive podendo remove-la do sistema. Por padro, os membros dos grupos
Administrators (Administradores), Print Operators (Opers.de Cpia) e Server Operators (Opers.de
Servidores) tm esta permisso.
importante salientar, que as permisses para o uso da impressora tem efeito tanto localmente, quanto para o acesso
atravs da rede. Alm disso caso um usurio pertena a mais de um grupo que possui permisses para a impressora, a
sua permisso efetiva a soma das permisses. Tambm um permisso Negar tem prioridade sobre Permitir (sei que
estou repetindo isso pela terceira vez, mas o objetivo exatamente fazer com que o amigo leitor no esquea destes
detalhes). Por exemplo se o usurio jsilva pertence aos grupos Contabilidade e Marketing. O grupo Contabilidade
possui permisso Print (Imprimir), j o grupo Marketing tem permisso Deny Print (Negar Imprimir), ento a permisso
efetiva do usurio jsilva ser Deny Print (Negar Imprimir).
Agora hora de praticar um pouco e atribuir algumas permisses para a impressora que foi instalada no exemplo
anterior e depois voc ir testar as permisses atribudas.
Exemplo: Atribuindo permisses para a impressora HP Deskjet 660 Colorida - Gerncia, instalada anteriormente.
1. Faa o logon com uma conta com permisso de Administrador, ou com uma conta do grupo Opers. de Impresso
ou do grupo Opers. de Servidores, no servidor onde est instalada a impressora..
2. Selecione o comando Iniciar -> Impressoras e aparelhos de fax.
Ser exibida a janela Impressoras e aparelhos de fax, na qual mostrada uma lista das impressoras instaladas no seu
computador.
3. D um clique com o boto direito do mouse na impressora para a qual voc deseja definir as permisses.
4. No menu que surge, d um clique na opo Propriedades. Ser exibida uma janela com as propriedades da
impressora e a guia Geral selecionada por padro.
5. D um clique na guia Segurana. Ser exibida a janela da Figura 7.12:
Figura 7.12 Atravs desta guia, voc define as permisses de acesso impressora.
Nesta guia voc ir definir as permisses para a impressora. Vou eliminar todas as permisses que foram automaticamente
atribudas pelo Windows Server 2003, com exceo da permisso para o grupo Administradores.
6. D um clique no grupo Todos e depois um clique no boto Remover. Repita
a operao com o usurio PROPRIETRIO CRIADOR, e para os grupos
Opers. de Cpias e Opers. de Servidores.
A janela de permisses deve ter ficado conforme indicado na Figura 7.13.
Agora voc definir permisses de acesso Imprimir, apenas para os usurios user01
e user02 (utilize nomes de usurios do domnio no qual voc est trabalhando ou
do servidor local no qual voc estiver trabalhando). No darei permisso para o
usurio user3. O procedimento para definir permisses para uma impressora
idntico ao procedimento para definir permisses de compartilhamento ou
permisses NTFS. Voc clica no boto Adicionar, seleciona um ou mais usurios/
grupos e depois define as permisses para cada usurio/grupo que foi adicionado.
7. Clique no boto Adicionar. Ser exibida a janela Selecione Usurios,
Computadores ou Grupos, janela esta que voc aprendeu a utilizar nos
Captulos 4 e 6.
IMPORTANTE: Observe que por
padro o Windows Server 2003 j
adiciona permisses para uma srie
de grupos. O grupo Administradores,
o usurio PROPRIETRIO CRIADOR
(que o usurio que estava logado
e instalou a impressora), o grupo
Todos e os grupos Opers. de Cpias e
Opers. de Servidores.
NOTA: Ao invs de utilizar o boto
direito do mouse, voc tambm pode
clicar na impressora para marca-la e
no painel de opes no lado esquerdo
Figura 7.13 Mantendo as permisses padro apenas para o grupo Administrators.
da janela impressoras, dar um clique
na opo Definir propriedades da
impressora. Ser aberta a janela de
propriedades da impressora, com a
guia Geral selecionada. D um clique
na guia Segurana e ser exibida a
janela indicada na Figura 7.12.
8. Digite o nome dos usurios que recebero permisses. Separe os nomes por ponte e vrgula, conforme indicado
na Figura 7.14.
Figura 7.14 Adicionando os usurios user01 e user02.
9. D um clique no boto OK e voc estar de volta a guia Segurana.
Alm de adicionar os dois usurios, deve ser configurado o nvel de acesso dos usurios. Vou definir uma permisso
Imprimir para os dois usurios.
10. D um clique em user01 para marc-lo. Na parte do meio da janela, onde est a lista de permisses, deixe
marcada somente a opo Imprimir, da coluna Permitir.
11. Repita a operao para o usurio user02.
12. D um clique no boto OK para fechar a janela de propriedades da impressora a aplicar as permisses recm configuradas.
13. Feche a janela de impressoras impressoras.
Em resumo: Para definir permisses de impresso siga os seguintes passos:
1. Acesse a janela de impressoras.
2. Acesse as propriedades da impressora desejada.
3. Clique na guia Segurana.
4. Defina as permisses de impresso.
Agora hora de testar se as permisses recm definidas j entraram em vigor.
Exemplo - Testando as permisses de impresso definidas anteriormente.
1. Se estiver logado como Administrador faa o logoff do usurio Administrador.
2. Faa o logon como usurio user01.
3. Acesse a janela de impressoras.
4. Localize a impressora para a qual voc atribui permisses no exerccio anterior, d um clique com o boto direito
do mouse na impressora e no menu que surge escolha propriedades. Ser aberta a janela de propriedades da
impressora.
5. D um clique na guia Segurana. Observe que as opes aparecem desabilitadas (acinzentadas), isto , o usurio
user01 no consegue alter-las, conforme indicado na Figura 7.15. Isto acontece porque o usurio user01 somente
tem permisso Imprimir, a qual no permite que ele altere as permisses.
Figura 7.15 Permisses que no podem ser alteradas pelo usurio user1.
Por que est acontecendo isso ? Pensando ...
Muito simples. Isso acontece porque voc est logado como user02 e este usurio possui nvel de permisso apenas
para imprimir documentos permisso Print (Imprimir). Para que ele pudesse alterar as Permisses de Impresso, ele
precisaria de um nvel de permisso Manage Printers (Gerenciar impressoras).
6. D um clique no boto OK para fechar a janela de propriedades da impressora.
7. Feche a janela de impressoras
Teste: Faa o logon como usurio user03. Tente acessar as propriedades da
impressora para o qual somente os usurios user01 e user02 tem permisso. Voc
dever receber uma mensagem de acesso negado. Tente imprimir um documento
nesta impressora. Novamente voc receber uma mensagem de acesso negado,
pois o usurio user3 no tem nenhum nvel de permisso na impressora do nosso
exemplo, nem mesmo permisso para imprimir documentos na impressora.
Nunca demais salientar que as permisses de impresso tem efeito tanto para o
acesso localmente, no servidor onde est instalada a impressora, quanto para o
acesso atravs da rede, usando o compartilhamento da impressora.
Acessando uma impressora compartilhada atravs da rede.
Aps uma impressora ter sido compartilhada, esta pode ser acessada atravs da
rede, pelas estaes de trabalho dos usurios que tem permisso para acessar a
impressora. Para que no seja necessrio acessar a impressora manualmente, cada
vez que o usurio necessitar dela, o usurio pode fazer com que a impressora
aparea na pasta impressoras como se fosse uma impressora local, mas na verdade
na hora de imprimir, o trabalho enviado para a impressora compartilhada no
servidor. A impressora precisa ser instalada uma nica vez, depois passa a estar
disponvel sempre que for necessria.
IMPORTANTE: Um caso especial
o caso do usurio Administrador ou
de qualquer usurio que pertena ao
grupo Administradores. Mesmo que
um usurio do grupo
Administradores no possua
nenhuma permisso de acesso
impressora, , ele poder ter acesso a
guia segurana e atribuir permisses
para si mesmo. Isso feito para que
os Administradores possam ter
controle sobre todos os recursos da
rede.
Existem trs opes para acessar uma impressora compartilhada em um servidor da rede:
A opo Adicionar impressora da janela impressoras
A opo Meus locais de rede da janela Meu computador.
O comando Iniciar -> Executar.
Nesta lio mostrarei como um usurio, em sua estao de trabalho na rede, pode acessar a impressora hp660-col-
geren no servidor srv-win2003. Mostrarei como fazer este acesso, utilizando os trs mtodos descritos anteriormente.
Lembre que a impressora HP Deskjet 660C foi instalada em um servidor da rede e compartilhada com o nome de
hp660-col-geren.
Mtodo 1 Usando a opo Meus locais de rede, para acessar uma impressora compartilhada atravs da rede.
1. Faa o logon com uma conta com permisso de administrador na estao de trabalho a partir do qual voc deseja
acessar a impressora compartilhada na rede.
3. No painel de opes que aparece esquerda, d um clique na opo Meus locais de rede.
4. Ser exibida a janela Meus locais de rede. D um clique na opo Toda a rede
(no painel de opes do lado esquerdo).
5. Sero exibidas algumas opes. D um clique duplo na opo Rede Microsoft
Windows.
6. Ser exibida uma lista dos domnios que fazem parte da sua rede, conforme
outro comutador da rede, faa o
computador. srv70-290 (para este
exemplo) o nome do computador
onde foi instalada e compartilhada
a impressora HP Deskjet 660C. Caso
voc tenha criado em um
computador com outro nome,
substitua srv70-290 pelo nome do
computador que voc est
utilizando.
Figura 7.16 Relao de domnios da rede.
7. O prximo passo acessar o domnio onde est o servidor com a impressora compartilhada que voc quer acessar.
Para exibir os recursos de um determinado domnio, basta dar um clique duplo no domnio.
8. Ser exibida a lista de computadores do domnio. D um clique duplo no domnio ABC. Na lista de servidores
que exibida, d um clique duplo no computador srv70-290, que o computador onde est compartilhada a
impressora que a ser acessada.
9. Ser aberta uma janela com todos os recursos compartilhados do computador srv70-290., conforme indicado na
Figura 7.17:
Figura 7.17 Lista de recursos compartilhados em srv70-290
10. Clique com o boto direito do mouse na impressora hp660-col-geren. No menu de opes que surge d um clique
na opo Conectar-se... Neste momento o computador que voc est utilizando faz a conexo com o servidor
srv70-290 e copia e instala o driver para a impressora HP Deskjet 600C do servidor para a estao de trabalho do
cliente. Essa operao pode demorar alguns instantes, principalmente se o servidor estiver em uma rede remota,
conectada atravs de um link de WAN.
Pronto, a impressora ser instalada na estao de trabalho do usurio como se
fosse uma impressora local. A impressora instalada com o nome de HP Deskjet
660 Colorida Gerncia em srv-70-290. Observe que abaixo da figura da
impressora aparece a figura de um cabo de rede, para indicar que na verdade
uma impressora da rede
11. Selecione o comando Iniciar -> Impressoras e aparelhos...
12. Observe que a impressora j foi instalada. Sabemos que essa uma impressora
da rede pelo cone com a figura de um cabo de rede ligado a impressora.
Agora toda vez que um usurio fizer o logon na sua estao de trabalho e imprimir
na impressora instalada neste exemplo, a impresso ser enviada para a impressora
compartilhada localizada no servidor srv70-290. Alm disso as permisses que
foram definidas continuam valendo. Observe que, do pondo de vista do usurio,
como se fosse uma impressora local, porm, na prtica, a impressora est
conectada com a impressora compartilhada no servidor.
13. Feche a janela de impressoras.
Agora voc aprender a utilizar os outros dois mtodos, para acessar uma
impressora compartilhada na rede.
Mtodo 2 Usando o comando Iniciar -> Executar, para acessar uma impressora
compartilhada atravs da rede.
1. Faa o logon com uma conta com permisso de administrador na estao de
trabalho a partir do qual voc deseja acessar a impressora compartilhada na rede.
3. Ser aberta a janela Executar. No campo Abrir digite: \\srv70-290 e clique no
boto OK. Lembre: srv70-290 o nome do servidor onde est a impressora
compartilhada que ser acessada.
Ser aberta uma janela com todos os recursos compartilhados no computador
srv70-290.
NOTA: Se a estao de trabalho
estiver com uma verso do Windows
para a qual no existe driver
disponvel no servidor onde a
impressora est compartilhada, o
Windows solicita que seja inserido o
CD-ROM de instalao. Isto acontece
quando o Windows no consegue
copiar o driver da impressora
diretamente do servidor onde a
impressora est compartilhada.
outro comutador da rede, faa o
computador. srv70-290 o nome
do computador onde foi instalada
e compartilhada a impressora HP
Deskjet 660C. Caso voc tenha
criado em um computador com
outro nome, substitua srv70-290
pelo nome do computador que voc
est utilizando.
4. Localize a impressora que voc quer acessar, clique com o boto direito do mouse neste impressora e no menu que
exibido d um clique na opo Conectar...
Neste momento o computador que voc est utilizando faz a conexo com o servidor srv-win2003 e copia e instala o
driver para a impressora HP Deskjet 600C do servidor para a estao de trabalho do cliente. Essa operao pode demorar
alguns instantes, principalmente se o servidor estiver em uma rede remota, conectada atravs de um link de WAN.
5. Para conferir se a impressora foi realmente instalada, acessa a pasta impressoras e observe que a impressora j
est disponvel. Aps o nome da impressora, aparece: em srv70-290, informando que a impressora est
compartilhada no computador srv70-290.
Mtodo 3 Usando o Assistente para adicionar uma nova impressora.
1. Faa o logon com uma conta com permisso de administrador na estao de
trabalho onde voc deseja instalar a impressora compartilhado no servidor
srv70-290.
2. Abra a janela de impressoras.
3. No painel da esquerda, no grupo de opes Tarefas da impressora, d um
clique na opo Adicionar uma impressora. Ser exibida a tela inicial do
Assistente para adicionar impressora.
5. Nesta etapa voc deve informar se a impressora que est sendo adicionada
uma impressora instalada localmente ou se uma impressora de rede. Marque
a opo Uma impressora de rede, ou uma impressora conectada a outro
computador.
Nesta etapa so exibidas diversas opes para informar o caminho para a
impressora a ser acessada:
Localizar uma impressora no diretrio: Se voc marcar esta opo e clicar
no boto Prximo, ser exibida uma listagem com todos os computadores
da domnio, nos quais tem pelo menos uma impressora compartilhada.
Ao clicar no sinal de +, ao lado do nome do computador, sero exibidas as
impressoras compartilhadas. Para acessar uma destas impressoras, basta
clicar para marca-la.
Conectar-se impressora....: Podemos utilizar esta opo para digitar
diretamente o caminho da impressora, no padro UNC: \\nomecomputador\
nomecompartilhamento.
Conectar-se uma Impressora na Internet ou em uma rede domstica ou
no escritrio: Esta opo utilizada para conectar-se a uma impressora
atravs da Internet, usando um endereo da impressora, como por exemplo:
http://abc.com.br/printers/laser01.
7. Marque a opo Localizar impressora no diretrio e d um clique no boto
Avanar, para ir para a prxima etapa do assistente.
8. Ser aberta a janela Localizar Impressoras. Esta a janela para pesquisa de
impressoras no Active Directory. Somente esto disponveis para pesquisa as
impressoras que ao serem compartilhadas, tiveram a opo Listar no diretrio
marcada. Voc pode fazer uma pesquisa por nome, localizao ou modelo,
desde que estes campos estejam corretamente preenchidos nas propriedades
da impressora, conforme mostrarei nos prximos exemplos.
9. Por exemplo, no campo Modelo digite HP Deskjet e clique no boto Localizar
Agora. Sero localizadas as impressoras que atendem ao critrio especificado
(modelo = HP Deskjet), conforme indicado na Figura 7.18:
Dica: Observe que usar o comando
Executar muito mais rpido que
navegar pelas opes da janela
Meus locais de rede. O nico
inconveniente do comando Executar
que o usurio tem que saber o
nome do servidor onde a
impressora est compartilhada, o
que muitas vezes, na prtica, no
acontece. Nestas situaes mais
fcil para o usurio navegar pelas
opes do domnio (ou pesquisar no
Active Directory, conforme
mostrarei mais adiante).
IMPORTANTE: Pode parecer que
no existe diferena entre uma
Impressora de rede e uma
Impressora conectada a outro
computador. Mas existe sim
diferenas. Uma Impressora de rede
uma impressora que tem instalada
uma placa de rede e ligada
diretamente na rede, atravs desta
placa de rede, tendo inclusive sido
configurada com um endereo IP.
Uma impressora de rede no
ligada diretamente a nenhum
servidor. J uma impressora
conectada a outro comutador, uma
impressora ligada na porta paralela
(ou em outra porta, como por
exemplo Serial ou USB) de um
servidor da rede. Esta impressora
passa a estar acessvel pela rede,
quando ela compartilhada.
Figura 7.18 Pesquisando a impressora no Active Directory.
10. Clique na impressora a ser instalada e depois clique em OK.
11. Voc estar de volta ao assistente de instalao, na etapa que pergunta se voc deseja definir esta impressora
como a impressora padro. Marque Sim para defini-la como impressora padro ou No caso no queira defini-la
como impressora padro.
13. Voc estar na etapa final do assistente. Caso queira fazer alguma alterao utilize o boto Voltar. Clique em
Concluir para instalar a impressora.
14. A impressora instalada e passa a estar disponvel na pasta impressoras.
Administrando trabalhos enviados para uma impressora.
Muito bem, voc instalou a impressora e a compartilhou no servidor. Voc tambm aprendeu como fazer para que os
clientes possam conectar-se com uma impressora compartilhada no servidor. Agora os usurios comearo a enviar os
seus trabalhos de impresso. O prximo passo entender como o Windows Server 2003 trata os trabalhos que enviados
para a impressora, uma vez que diversos trabalhos podem ser enviados ao mesmo tempo. Pode acontecer de um
trabalho ainda no ter sido concludo e um novo trabalho chegar para impresso. O Windows Server 2003 adota o
seguinte procedimento: a medida que as solicitaes de impresso vo sendo enviadas, elas vo sendo colocadas em
uma fila de impresso, de tal forma que sero impressas conforme a ordem de chegada e levando em considerao a
prioridade de cada trabalho.
Esta fila de documentos para impresso pode ser gerenciada. Um usurio, com permisso
Gerenciar documentos, pode realizar uma srie de aes sobre os documentos que esto
em uma fila de impresso. possvel alterar a ordem dos documentos na fila, eliminar
documentos da fila, interromper a impresso de um documento e retom-la novamente,
alm de cancelar todos os documentos que esto na fila.
Neste item mostrarei como realizar estas tarefas, atravs de exemplos prticos.
Utilizarei a impressora HP Deskjet 660C instalada em um dos exemplos anteriores.
Apenas para recordar, instalei esta impressora no servidor com o nome srv70-
290. Caso voc esteja utilizando uma impressora diferente e um computador com
nome diferente, utilize-os para o acompanhamento dos exerccios.
hora de praticar um pouco e ver, atravs de exemplos, como gerenciar
documentos que esto em uma fila de impresso.
Exemplo: Gerenciando documentos que esto em uma fila de impresso.
1. Faa o logon com uma conta de usurio que tem a permisso Gerenciar
documentos, na impressora que ser utilizada neste exemplo.
3. Na janela impressoras, d um clique duplo na impressora onde est a fila de
impresso a ser gerenciada. Ser exibida uma janela semelhante a indicada
na Figura 7.19, onde aparecem uma srie de documentos esperando para
serem impressos, ou seja, documentos que esto na fila de impresso.
Observe, na Figura 7.19, que existem vrias colunas de informao: O nome do documento,
o nome do usurio (nome de logon) que enviou o documento para impresso, o status da
impresso, o nmero de pginas, o tamanho e a data e hora de envio.
4. Para excluir um documento da fila de impresso, basta dar um clique com o
boto direito do mouse no documento a ser excludo. No menu de opes
que exibido, clique em Cancelar O Windows pede uma confirmao, se
voc realmente deseja excluir o documento da fila de impresso. Clique no
boto Sim para confirmar a excluso do documento, da fila de impresso.
NOTA: Conforme mostrarei mais
adiante, possvel instalar uma
mesma impressora duas vezes,
definindo compartilhamentos e
permisses diferentes para cada
instalao. O resultado prtico que
o administrador tem condies de
definir prioridades diferentes, para
diferentes grupos de usurios.
Mostrarei estas configuraes
atravs de um exemplo prtico mais
adiante.
NOTA: Para os exemplos desta
lio, enviei uma srie de
documentos para a impressora, de
tal forma que fosse possvel ver
uma fila de documentos a serem
impressos. A maneira mais rpida
de enviar vrios documentos de
uma s vez selecionar vrios
documentos, utilizando o Windows
Explorer ou o Meu computador,
clicar com o boto direito do mouse
na seleo e no menu que aparece
clicar em Imprimir. Todos os
arquivos selecionados sero
enviados para a impressora padro.
Figura 7.19 Documentos na fila de impresso.
5. Para pausar um documento, basta dar um clique com o boto direito do mouse no documento e no menu que
surge clicar em Pausar. A impresso do documento ser suspensa at que voc clique novamente com o boto
direito do mouse sobre o documento e no menu que surge, clique na opo Reiniciar.
Quando um documento enviado para a impressora, existe uma prioridade associada com cada documento. Esta prioridade
baseada no usurio que enviou o documento. Conforme mostrarei mais adiante possvel dar prioridades maiores para
determinados usurios ou grupos, com isso as impresses enviadas por estes usurios/grupos sero colocadas no incio
da fila de impresso, a medida que os trabalhos de impresso forem sendo enviados para a impressora. Documentos de
prioridade maior so impressos antes, independente da ordem de chegada. Voc pode fazer com que um documento do
final da fila seja impresso antes do que os demais, simplesmente aumentando a prioridade deste documento.
6. Para aumentar a prioridade de um documento, clique com o boto direito do mouse no documento e no menu que
surge, d um clique na opo Propriedades. Ser exibida uma janela com as propriedades do documento, conforme
Figura 7.20 Propriedades do documento na fila de impresso.
7. Por padro a prioridade de todo documento 1, em uma escala que vai de 1 a 99.
Para aumentar a prioridade do documento, basta clicar no controle deslizante de prioridade e arrast-lo para a direita.
A medida que voc vai arrastando o Windows Server 2003 vai indicando qual a prioridade, em uma escala de 1 a 99.
8. Voc pode suspender, temporariamente, a impresso de todos os documentos
para resolver pequenos problemas do tipo: falta de papel ou trocar o tonner
da impressora. Para suspender temporariamente a impressora, selecione o
comando Impressora -> Pausar impresso. Observe que na barra de ttulos
da janela da impressora, ao lado do nome da impressora aparece a expresso
Em pausa.
9. Para voltar a imprimir, clique novamente no menu Impressora e depois na
opo Pausar impresso, para retirar o sinal de certo do lado desta opo.
10. Para cancelar todos os documentos da fila de impresso, d um clique no
menu Impressoras e depois na opo Cancelar todos os documentos, o Win-
dows Server 2003 exibe uma janela pedindo confirmao, d um clique em
Sim e todos os documentos, com exceo do documento que est sendo
impresso atualmente, sero excludos da fila de impresso.
11. Feche a janela com da impressora.
Quem controla toda a impresso no Windows Server 2003 um Servio chamado
Spooler. Um servio nada mais do que um programa que inicializa,
automaticamente, quando o Windows Server 2003 inicializado. O servio
inicializado e continua operando, sem a necessidade de que ao administrador
faa o logon no servidor. Falarei mais sobre servios no Captulo 8.
Para eliminar todos os documentos de uma fila de impresso quando a impresso
est apresentando problemas maiores, os quais voc no consegue solucionar
simplesmente administrando a fila de impresso, a maneira mais simples parar
o servio Spooler e inicializ-lo novamente. Ao fazer isso, todos os documentos
que esto na fila de impresso, sero removidos, inclusive o documento que est
atualmente sendo impresso.
Para parar o servio Spooler e inicializ-lo novamente.
1. Abra um Prompt de comando.
2. Para parar o servio Spooler digite o seguinte comando:
net stop spooler
IMPORTANTE: Quando o Windows
terminar de imprimir o documento que
est sendo impresso atualmente, o
prximo a ser impresso ser o de mais
alta prioridade, entre os que esto na
fila de impresso, independentemente
da ordem de chegada do documento
na fila de impresso.
IMPORTANTE: Podem ocorrer
problemas mais srios, onde o
administrador no consegue
eliminar os documentos da fila de
impresso e a impressora continua
imprimindo uma srie de pginas
com uns caracteres meio estranhos,
ou seja, lixo. Muitas vezes o
Administrador acaba reinicializando
o servidor para poder suspender as
impresses com problema.
3. Pressione Enter. O servio Spooler ser finalizado e todos os documentos sero removidos da fila de impresso.
4. Para reiniciar o servio Spooler digite o seguinte comando:
net start spooler
5. Pressione Enter. O servio Spooler ser reinicializado.
6. Na janela da Figura 7.21, mostro a execuo dos dois comandos, onde o servio Spooler foi parado e inicializado novamente:
Figura 7.21 Parando e reinicializando
o servio Spooler.
7. Para sair do Prompt de comando, digite exit e tecle Enter.
Configurando propriedades importantes e outras aes.
Existem algumas opes e propriedades das impressoras, que so bastante teis.
O administrador deve conhecer e saber configurar estas propriedades, bem como
entender em que situaes prticas devem ser utilizadas.
Uma das opes importantes a disponibilidade. Por padro, quando uma impressora
instalada, ela fica disponvel 24 horas por dia, 7 dias por semana. O administrador
pode limitar o tempo em que uma impressora fica disponvel. Quando um documento
enviado durante um perodo em que a impressora est configurada para no estar
disponvel, o documento fica na fila de impresso e quando chegar o horrio em
que a impressora est configurada para voltar a estar disponvel, o documento ser
impresso, sempre respeitando a ordem de chegada na fila de impresso e a prioridade
de cada documento. Configurar o horrio de disponibilidade, pode ser usado para
evitar que documentos extensos sejam impressos fora do horrio do expediente,
sem que o administrador tome conhecimento.
DICA: Quando uma impressora tem
trabalhos em sua fila de impresso,
um cone com uma figura de uma
impressora, exibido ao lado da
hora do sistema, bem no canto in-
ferior direito do vdeo. Para abrir a
janela que exibe a fila de
impresso, basta dar um clique
duplo neste cone. Depois s
utilizar os comandos que voc
aprendeu no exemplo anterior,
para Gerenciar os documentos da
fila de impresso.
Voc aprender um pouco mais sobre estas propriedades e aprender a configura-las, atravs de um exemplo prtico.
Exemplo: Alterando o horrio de disponibilidade para impresso.
Para alterar o horrio em que uma impressora est disponvel para a impresso, siga os seguintes passos:
1. Faa o logon com uma conta que tenha permisso Gerenciar impressoras, na impressora que ser configurada.
3. Localize a impressora na qual voc deseja alterar o horrio de disponibilidade, d um clique com o boto direito
do mouse na impressora e no menu que exibido d um clique em Propriedades. Ser aberta a janela de Propriedades
da impressora.
4. D um clique na guia Avanado. Observe que por padro a impressora est Sempre disponvel (Sempre disponvel
marcado), conforme destacado na Figura 7.22:
Figura 7.22 Guia Avanado das propriedades da impressora.
5. Altere o horrio de disponibilidade para que a impressora somente possa ser utilizada, por exemplo, entre as 8:00
e as 18:00 hs. Um documento que for enviado, por exemplo, s 23:00 hs, ficar na fila de impresso at as 8:00 hs,
quando ento comear a ser impresso. Para fazer esta alterao d um clique na opo Disponvel de: e, no
primeiro campo, digite 8:00. No segundo campo digite 18:00
6. D um clique no boto OK para aplicar as novas configuraes.
7. Feche a janela de impressoras.
Um outro aspecto importante para facilitar a utilizao da impressora, quanto aos clientes que vo acessar a impressora
atravs da rede. Por exemplo, imagine que a sua rede tem estaes de trabalho com o Windows 3.11, Windows 95 e
Windows 98, Windows NT Workstation 4.0, Windows 2000 Professional e Windows XP Professional (uma verdadeira
salada de frutas), todos acessando uma impressora que est compartilhada em um servidor com o Windows Server
2003. O administrador pode armazenar os drivers para cada um destes Sistemas Operacionais, no servidor onde a
impressora est compartilhada, conforme j descrito brevemente, no incio do Captulo. Desta forma quando o cliente
for conectar-se com a impressora pela primeira vez, ao invs de ter que fornecer um disquete ou CD-ROM com o
driver da impressora, o drive ser baixado diretamente do servidor onde a impressora est compartilhada.
Exemplo: Como armazenar drivers para outros sistemas operacionais no servidor onde a impressora est compartilhada.
Para adicionar drivers para outros sistemas operacionais, siga os seguintes passos:
1. Faa o logon com uma conta que tenha permisso Gerenciar impressoras, na impressora que ser configurada.
3. Localize a impressora para a qual voc deseja adicionar drivers para outras verses do Windows, d um clique
com o boto direito do mouse na impressora e no menu que exibido d um clique em Propriedades. Ser aberta
a janela de Propriedades da impressora.
4. D um clique na guia Compartilhamento. Veja que na parte de baixo da janela existe um boto Drivers adicionais....
D um clique neste boto para abrir a janela indicada na Figura 7.23:
Figura 7.23 Adicionando drivers para diferentes verses do Windows.
Administrando a impressora atravs do navegador.
Uma das grandes melhorias na administrao, introduzidas no Windows 2000
Server e tambm presente no Windows Server 2003, a possibilidade de
administrar uma srie de recursos atravs do navegador (Browser). Um dos recursos
que podem ser administrados atravs do browser so as impressoras instaladas
em um computador. Estas facilidades tambm esto presentes no Windows XP,
ou seja, utilizando o Navegador possvel acessar as impressoras compartilhadas
em um computador (com o Windows 2000, com o Windows Server 2003 ou com
o Windows XP instalado) e realizar uma srie de tarefas de administrao das
impressoras.
Exemplo: Administrando de impressoras usando o Navegador. Neste exemplo
voc administrar as impressoras de um servidor onde o IIS est instalado, usando
o navegador.
Para administrar as impressoras de um computador chamado servidor (onde est
instalado o IIS), faa o seguinte:
1. Faa o logon com uma conta que tenha permisso Gerenciar impressoras, na
impressora que ser acessada. O logon pode ser feito em qualquer estao de
trabalho da rede, preferencialmente no no prprio servidor onde esto as
impressoras a serem gerenciadas.
3. Na barra de endereos digite: http://servidor/printers e tecle Enter. Onde
servidor o nome do servidor onde esto as impressoras a serem
administradas.
4. Ser exibida uma pgina com a listagem de toas as impressoras instaladas no
computador servidor e com uma srie de informaes sobre cada impressora.
No exemplo da Figura 7.24, acessei um servidor com o Windows Server
2003 em Ingls, onde havia trs impressoras instaladas., sendo que na
impressora HP existe uma srie de trabalhos na fila de impresso.
5. Marque os sistemas para os quais deseja adicionar drivers e d um clique no boto OK.
6. Caso o Windows Server 2003 no tenha os arquivos necessrios no disco rgido, voc ser solicitado a fornecer
um CD-ROM ou disquete onde est o driver a ser copiado.
NOTA: Intel, IA64 ou Alpha, indica
o tipo de microprocessador. O
sistema operacional Windows NT
possu verses: tanto para Alpha
quanto para Intel. Processadores da
AMD ou Cyrix tambm se encaixam
na categoria Intel, pois so
compatveis com os mesmos. IA64
representa a nova gerao de
processadores de 64bits, para as
quais j existe uma verso do Win-
dows XP de 64 bits. Itanium a
nova gerao de processadores
baseados em arquitetura de 64 bits.
Existe uma verso do Windows
Server 2003 especfica para esta
famlia de processadores, verso
esta tambm baseada em
arquitetura de 64 bits.
IMPORTANTE: Para que a
administrao atravs do
navegador seja possvel
necessrio que o computador onde
a impressora est compartilhada,
tenha o servidor Web instalado. O
IIS o servidor Web da Microsoft e
instalado por padro, quando da
instalao do Windows 2000 Server.
J no Windows Server 2003, o IIS
no instalado por padro. Para
maiores detalhes sobre a instalao
do IIS 6.0, consulte o Captulo 13.
Figura 7.24 Impressoras
compartilhadas no servidor.
5. D um clique na impressora que voc quer administrar.
6. Se existirem documentos na fila de impresso, ser exibida uma listagem dos documentos que esto na fila,
Figura 7.25 Listagem dos documentos na fila de impresso.
Nesta pgina voc pode realizar uma srie de operaes de administrao, tanto da impressora quanto dos documentos
que esto na fila de impresso.
7. Por exemplo, para excluir um documento da fila de impresso, basta marc-lo dando um clique no documento a
ser excludo e depois, no painel da esquerda, clicar no link Cancelar, abaixo de AES DE DOCUMENTO.
8. Para excluir todos os documentos da fila de impresso, com exceo do documento que est sendo impresso, d
um clique no link Cancelar todos os documentos, abaixo de AES DA IMPRESSORA.
No painel da esquerda temos uma srie de opes para gerenciar a impressora e a fila de impresso.
9. Feche o navegador.
A possibilidade de administrar recursos atravs do browser facilita em muito a administrao de uma rede baseada no
Utilizando impressoras de rede.
Anteriormente neste captulo eu expliquei que existe diferena entre uma impressora que est conectada a uma porta
(normalmente a porta paralela) de um servidor e compartilhada neste servidor, em relao a uma impressora de rede.
Considera-se uma impressora de rede, uma impressora que tem uma placa padro Ethernet instalada, que tem um nmero
IP configurado na impressora e que est conectada diretamente rede, atravs da placa de rede instalada na impressora.
Este tipo de impressora de uso bastante comum e tem a grande vantagem de no precisar estar localizada, fisicamente,
prxima ao servidor que a controla. Por exemplo, a sala dos servidores pode estar no primeiro andar e a impressora pode
estar no vigsimo andar do prdio e mesmo assim estar sendo gerenciada por um servidor da sala de servidores.
Vou dividir este item em duas partes. Na primeira parte, com base em um diagrama de rede, mostrarei como so
utilizadas, na prtica, as impressoras de rede, ou seja, impressoras conectadas diretamente rede, atravs de uma placa
de rede. Na segunda parte mostrarei as configuraes prticas para colocar a impressora de rede em funcionamento,
isto , disponvel para os usurios da rede.
Inicialmente considere o diagrama da Figura 7.26:
Figura 7.26 Diagrama de uso de uma impressora de rede.
No diagrama da Figura 7.26 exibida uma impressora conectada diretamente rede. Esta impressora deve ser
configurada com um nmero IP vlido, ou seja, um nmero IP da rede onde ele est conectada. A configurao do
nmero IP da impressora depende da marca e do modelo da impressora. Aps ter sido conectada rede, para que os
usurios possam acessar a impressora, duas etapas devem ser vencidas:
1. Instalar a impressora de rede, no servidor de impresso, como uma impressora Local. Os usurios no iro
acessar diretamente a impressora da rede. O acessos ser feito atravs de um servidor de impresso baseado no
Windows Server 2003. No servidor, voc deve instalar a impressora de rede como sendo uma impressora local. O
procedimento o mesmo de instalar uma impressora local. A diferena na hora de informar a porta da impressora,
quando ento, ao invs de LPT1, ser informado o nmero IP da impressora e o nome configurado na impressora.
Mostrarei esta etapa no exemplo prtico, logo a seguir.
2. Compartilhara a impressora instalada no item 1, para que os usurios possam acess-la atravs da rede. Aps
instalada como impressora local, porm com a porta configurada para o endereo IP da impressora, basta
compartilhar a impressora para que esta possa ser acessada atravs da rede, pelas estaes de trabalho dos usurios.
Na prtica, depois de instalada como uma impressora local, para o Windows Server 2003, como se fosse uma
impressora local. A nica diferena na hora de imprimir, quando os trabalhos so enviados para o endereo IP
configurado como porta da impressora e no para uma porta paralela, serial ou USB do prprio servidor. Para os
usurios simplesmente uma impressora compartilhada no servidor, o usurio no sabe se esta impressora est
diretamente conectada ao servidor ou se uma impressora de rede.
Agora hora de praticar um pouco. Voc acompanhar a execuo dos dois passos necessrios para tornar uma
impressora de rede disponvel para ser utilizada pelos usurios da rede. Os dois passos so executados no servidor
com o Windows Server 2003 instalado, servidor este que ir controlar a impressora.
Passos 1 e 2: Instalar a impressora de rede, no servidor de impresso, como uma impressora Local. Depois compartilhar
a impressora para que ela possa ser utilizada pelas estaes de trabalho da rede.
Neste exemplo prtico voc ir executar os dois passos necessrios. Para isso, siga as etapas indicadas a seguir:
1. Faa o logon com um conta com permisses de Administrador ou com uma conta pertencente ao grupo Opers. de
Impresso, no servidor onde a impressora ser instalada.
2. Utilize o comando Iniciar -> Impressoras e aparelhos de fax.
3. Ser aberta a janela Impressoras e aparelhos de fax, na qual mostrada uma lista das impressoras instaladas no
seu computador. Caso no exista nenhuma impressora instalada, a lista estar vazia, estando disponvel apenas a
opo Adicionar Impressora.
4. D um clique duplo no cone Adicionar impressora.
5. Ser aberto o Assistente para adicionar impressora. Este um assistente que ir guiando voc passo a passo na
tarefa de instalar a nova impressora. O assistente solicita diversas informaes em cada uma das etapas.
6. Nesta primeira etapa, exibida uma mensagem explicativa. D um clique no boto Avanar para ir para a prxima
7. Como estou instalando uma impressora local (apenas vou redirecionar a porta de conexo da impressora para o
nmero IP da impressora na rede), certifique-se que a opo Impressora local conectada ao computador esteja
marcada e desmarque a opo Detectar e instalar automaticamente a impressora Plug and Play.
8. D um clique no boto Avanar para ir para a terceira etapa do assistente.
9. Na terceira etapa, voc tem que escolher a porta onde est ligada a impressora. Nesta etapa que voc criar uma
nova parta e ir associa-la com o nmero IP da impressora na rede. Clique na opo Criar uma nova porta. Abra
a lista de opes disponveis e selecione Standard TCP/IP Port, conforme indicado na Figura 7.27:
Figura 7.27 Criando uma nova porta padro TCP/IP.
10. D um clique no boto Avanar para ir para a quarta etapa do assistente.
11. Ser aberto o Assistente para adicionar porta de impressora TCP/IP padro. A primeira tela do assistente apenas
informativa. Clique Avanar, para seguir para a prxima etapa.
12. Nesta etapa voc deve informar o nmero IP da impressora (ou o nome, caso o nome esteja corretamente configurado
no servidor DNS) e o nome da porta da impressora, conforme exemplo da Figura 7.28:
Figura 7.28 Informaes sobre a porta TCP/IP da impressora de rede.
13. D um clique no boto Avanar para ir para a prxima etapa.
14. Nesta etapa voc pode definir informaes adicionais, tais como o tipo,marca e modelo de impressora de rede,
selecionando em uma lista de modelos j existentes, ou pode informar um novo tipo/modelo, usando a opo
Personalizada, conforme indicado na Figura 7.29:
Figura 7.29 Informaes adicionais sobre a impressora de rede.
15. Selecione as opes relacionadas com a impressora que voc est instalando e clique em Avanar, para seguir
para a prxima etapa.
16. Ser exibida a etapa final do assistente para adio de uma porta TCP/IP padro, com um resumo das opes
selecionadas. Caso voc precise alterar alguma opo, basta clicar em Voltar. Clique em Concluir para finalizar o
assistente de adio de porta TCP/IP.
17. Voc estar de volta ao assistente para adio de impressoras, agora com a porta TCP/IP da impressora de rede j
configurada.
18. Nesta etapa voc deve escolher a marca e o modelo da impressora que est sendo instalada. Na coluna da esquerda
existe uma listagem dos fabricantes em ordem alfabtica. Quando voc seleciona um fabricante na coluna da
esquerda, a coluna da direita exibe apenas os modelos do fabricante selecionado. Selecione a marca e modelo da
impressora que voc est instalando.
19. D um clique no boto Avanar para ir para a prxima etapa do assistente.
20. Nesta etapa o Windows Server 2003 pede que voc digite um nome para a
Impressora. Esse nome o nome que ir aparecer dentro da janela Impressoras
e aparelhos de fax, depois que voc tiver concludo a instalao.
21. No campo Nome da impressora digite um nome que ajude a identificar a
marca, modelo, localizao e caracterstica principal da impressora.
22. D um clique no boto Avanar para ir para a prxima etapa do assistente.
23. Nesta, voc define se deseja, ou no, compartilhar a impressora. Por padro
vem marcada a opo Nome de compartilhamento, j com uma sugesto de
nome para compartilhamento da impressora. Neste momento voc ir
compartilhara a impressora. Com isso voc j est cumprindo a segunda etapa,
ou seja, compartilhando a impressora para que ele possa ser utilizada pelos
usurios da rede. Certifique-se de que a opo Nome de compartilhamento
esteja marcada, digite um nome de compartilhamento e d um clique no
boto Next (Avanar)para ir para a prxima etapa do assistente.
24. Nesta etapa surge uma tela para que voc preencha os campos Localizao e
Comentrios. importante que voc preencha estes campos para que estas
informaes estejam disponveis para os usurios que pesquisam pela
impressora na rede. Estas informaes ajudam na localizao de impressoras
prximas ao local de trabalho do usurio. Preencha os campos de informao
e clique em Avanar, para seguir para a prxima etapa do assistente.
25. Nesta etapa surge uma tela perguntando se voc deseja imprimir uma pgina
de teste. Caso voc tenha uma impressora conectada, escolha Sim, para
verificar se a impressora est funcionando corretamente. Caso contrrio
marque a opo No.
26. D um clique em Avanar para ir para a ltima etapa do assistente, onde o
Windows Server 2003 exibe um resumo das informaes fornecidas nas
diversas etapas, conforme indicado na Figura 7.30:
NOTA: Voc pode utilizar o boto
Windows Update para exibir uma
lista de drivers de dispositivo que
podem ser descarregados do site do
Microsoft Windows Update na
Internet. Nessa lista, selecione o
dever adequado para o dispositivo.
Esta opo somente funcionar se
voc tiver alguma forma de
conexo com a Internet. Utilize o
boto Com disco... para instalar o
drive da impressora a partir de um
CD-ROM ou disquete, ou de um
compartilhamento de rede. Ao clicar
neste boto ser aberta uma janela
para que voc informe o local onde
est disponvel o driver da
impressora que est sendo
instalada.
Figura 7.30 Etapa final do Assistente para adicionar impressora.
27. Caso esteja tudo OK, d um clique no boto Concluir.
O Windows Server 2003 comea a copiar os arquivos necessrios. Nesta etapa
pode ser que voc seja solicitado a colocar o CD do Windows Server 2003 no
driver de CD-ROM, caso o Windows Server 2003 no encontre todos os arquivos
necessrios no disco rgido.
Aps concluir a cpia dos arquivos, voc estar de volta a janela Impressoras e
aparelhos de fax e a impressora recm instalada, j aparece na janela Impressoras,
conforme indicado pela Figura 7.31. No exemplo da Figura, foi adicionada uma
HP LaserJet 6MP.
NOTA: Caso voc constate que
existe alguma informao
incorreta, voc pode usar o boto
Voltar para ir at a etapa onde foi
fornecida a informao incorreta e
corrigi-la.
Figura 7.31 Impressora de rede instalada
como uma impressora local.
Agora a impressora de rede est instalada como se fosse uma impressora local no servidor, apenas com a porta redirecionada
para o nmero IP da impressora na rede e tambm est compartilhada. Ou seja, uma impressora compartilhada no
servidor como outra qualquer. O administrador pode definir permisses de acesso, gerenciar a fila de impresso e definir
propriedades importantes da impressora, como se fosse uma impressora local. Quando o usurio envia um trabalho de
impresso, o trabalho enviado para o servidor Windows Server 2003 onde a impressora foi instalada e compartilhada.
O Windows Server 2003 verifica que a porta da impressora est associada com o nmero IP de uma impressora de rede.
O trabalho de impresso enviado, atravs da rede, diretamente para a impressora cujo nmero IP foi informado durante
a instalao da impressora no Windows Server 2003. exatamente o que queramos, ou seja, o Windows Server 2003 faz
todo o gerenciamento da impresso e envia o trabalho de impresso diretamente para a impressora na rede. Como ele
acha a impressora? Atravs do nmero IP configurado durante a instalao da impressora. isso.
Neste item descreverei quais os passos necessrios para que o administrador possa definir diferentes prioridades,
para diferentes grupos, no uso da mesma impressora. Esta uma situao bastante comum. Imagine a situao
descrita a seguir:
Uma nova impressora Laser, Colorida, de alta resoluo e de alta velocidade (15 pginas por minuto) foi instalada no
andar da direo. Neste andar, alm dos executivos da empresa tambm trabalham as secretrias e uma equipe de estagirios
que fazem uma srie de trabalhos de apio. Todos devem ter permisso para usar a nova impressora, a qual ser instalada
e compartilhada em um servidor Windows Server 2003 localizado no mesmo andar. Todos os executivos fazem parte do
grupo Administrao, todas as secretrias fazem parte do grupo Secretrias e todos os estagirios fazem para do grupo
Estagirios. Voc, como administrador, foi solicitado para permitir que os grupos Administrao, Secretrias e Estagirios
tenham acesso a esta nova impressora, porm com diferentes prioridades. O grupo Administrao deve ter prioridade
Mxima e o grupo Secretrias deve ter uma prioridade menor do que o grupo Administrao, porm maior do que o
grupo Estagirios. Quais os passos que voc deve executar, para implementar a configurao proposta?
Esta uma questo bastante comum no dia-a-dia da administrao de impressoras em uma rede, ou seja, permitir o
uso de uma impressora, por diferentes grupos, com diferentes prioridades. Voc no tem como definir, nas propriedades
da impressora, diferentes prioridades para diferentes grupos. Quando voc define uma determinada prioridade para
uma impressora (logical printer) voc est definindo esta mesma prioridade para todos os usurios que tem permisso
de acesso impressora. Para solucionar esta questo preciso apelar para a criatividade do ser humano. Felizmente
somos seres criativos, curiosos por natureza. A resoluo deste problema bastante simples (embora d um pouco de
trabalho manual) e passa pela execuo dos seguintes passos:
1. Instale a impressora (instalar o driver da impressora) trs vezes, porm com nomes diferentes. No exemplo da
Figura 7.32, instalei a impressora HP Deskjet 660C trs vezes, porm com nomes diferentes.
Figura 7.32 - Impressora
instalada trs vezes com
nomes diferentes.
2. As trs impressoras tambm foram compartilhadas com nomes de compartilhamento diferentes, conforme indicado
a seguir:
Grupo Nome da impressora Nome de compartilhamento
Estagirios HP DeskJet 660C Estagirios HP660Est
Secretrias HP Deskjet 660C Secretrias HP660Sec
Administrao HP DeskJet 660C Administrao HP660Adm
3. A prxima etapa definir diferentes propriedades para cada uma das instalaes da impressora. Para definir a
prioridade de uma instalao basta clicar com o boto direito do mouse na impressora a ser configurada. No menu
de opes que exibido clique em Propriedades. Clique na guia Avanado. No campo Prioridade, informe um
valor entre 1 e 99. Quanto maior o valor, maior a prioridade da instalao no uso da fila de impresso. Na Figura
7.33 exibido o campo para configurao da prioridade da impressora.
Figura 7.33 Definindo a prioridade da impressora.
Basta definir a prioridade e clicar em OK. Defina as seguintes prioridades para cada uma das instalaes:
4. Define permisses de acesso especficas em cada instalao, conforme indicado a seguir:
Grupo Nome da impressora Nome de compartilhamento Prioridade
Estagirios HP DeskJet 660C Estagirios HP660Est 10
Secretrias HP Deskjet 660C Secretrias HP660Sec 50
Administrao HP DeskJet 660C Administrao HP660Adm 99
Com isso cada grupo somente poder acessar a sua respectiva instalao, com o nvel de prioridade adequado a cada
grupo.
5. Agora configure para que cada usurio acesse o respectivo compartilhamento, conforme indicado a seguir:
Grupo Nome da impressora Permisso para o grupo
Estagirios HP DeskJet 660C Estagirios Estagirios
Secretrias HP Deskjet 660C Secretrias Secretrias
Administrao HP DeskJet 660C Administrao Administrao.
Grupo Nome de compartilhamento Prioridade
Estagirios HP660Est 10
Secretrias HP660Sec 50
Administrao HP660Adm 99
Pronto, agora cada usurio somente consegue acessar uma das instalaes da impressora e de acordo com o nvel de
prioridade definido para o respectivo grupo.
Este um exemplo simples, de uma soluo que no existe pronta no Windows
Server 2003, mas combinando o conhecimento sobre impressoras, com uma pitada
de criatividade, o administrador consegue implementar uma soluo para uma
demanda real. um erro esperar por solues prontas para todas as demandas do
mundo real, por que as demandas so muitas e variadas. O trabalho do
administrador utilizar os recursos disponveis e a sua criatividade para
implementar solues para os problemas reais do dia-a-dia. At porque, se o sistema
operacional j apresentasse solues prontas para todos os problemas reais, no
seria necessria a figura do administrador, ou seja, o prprio sistema operacional
tomaria conta de tudo. Bem, deixando a filosofia de lado, vamos a mais uma
situao prtica que pode ocorrer no caso de grandes volumes de impresso.
Criando um pool de impresso.
NOTA: Todos os passos para
executar as aes prticas deste
exemplo, tais como instalar uma
impressora, compartilhar a
impressora e definir permisses,
foram descritos anteriormente neste
captulo. Em caso de dvidas na
execuo de um destes passos s
voltar no captulo, no respectivo
item.
Imagine a situao onde voc tem um grande volume de impresso, literalmente milhares de pginas sendo impressas.
Neste caso pode ser que uma nica impressora no d conta do recado. Nestas situaes voc pode instalar duas ou
mais impressoras, da mesma marca e modelo e fazer com que estas impressoras apaream para o Windows Server
2003 como sendo uma nica impressora (um pool de impresso). A medida que os trabalhos de impresso vo chegando,
o Windows Server 2003 envia este trabalho para uma das impressoras do pool, sempre tendo como critrio a impressora
que estiver com a menor carga de trabalho, ou seja, com a menor fila de impresso.
Para criar um pool de impresso extremamente simples. Basta voc instalar a impressora a primeira vez e depois
acessar as propriedades da impressora. Na janela de propriedades clique na guia Portas. Nesta guia voc pode usar o
boto Adicionar Porta... para adicionar novas portas de impresso. No exemplo proposto, voc deve adicionar novas
portas, associadas com o endereo IP de cada impressora que far parte do pool de impresso. No exemplo da Figura
7.34, adicionei trs novas portas, associadas com o nmero IP das impressoras:
Figura 7.34 Adicionando novas portas de impresso.
O prximo passo marcar a opo Ativar pool de impreso. Aps ter marcado esta opo, voc deve marcar as portas
onde esto as impressoras que faro parte do pool. No exemplo da Figura 7.34, quatro impressoras faro parte do pool.
Trs impressoras conectadas rede, com as portas associadas ao endereo IP de cada impressora e a quarta impressora
ligada a porta serial COM4:
Figura 7.35 Criando um pool de impresso com quatro impressoras.
Aps ter habilitado o pool de impresso e selecionado as portas onde esto as
impressoras que faro parte do pool de impresso s clicar em OK e pronto. A
medida que os trabalhos de impresso forem sendo enviados, o Windows Server
2003 ir distribu-los entre as impressoras do pool.
Este tipo de configurao recomendado em situaes onde existe um grande
volume de impresso, conforme descrito anteriormente. Nunca demais salientar
que a condio bsica para a criao do pool que todas as impressoras que faro
parte do pool, devem utilizar o mesmo driver de impresso. O driver instalado
no servidor e nas propriedades da impressora, conforme descrito anteriormente,
cria-se o pool de impresso, marcando as portas das impressoras que faro parte
do pool de impresso. isso.
Comandos para o gerenciamento e administrao de
compartilhamento de impressoras e pastas.
Pode parecer estranho e at mesmo ultrapassado a utilizao de comandos para a
realizao de tarefas administrativas. Afinal porque um Administrador ir querer
aprender a sintaxe de uma srie de comandos, se tudo pode ser feito com a utilizao
da interface grfica, do MMC e dos consoles Administrativos?
IMPORTANTE: A condio para
criar um pool de impresso e para
que ele funcione corretamente
que todas as impressoras do pool
devem utilizar o mesmo driver.
Claro que sendo impressoras da
mesma marca e modelo este no
ser um problema. Porm
impressoras da mesma marca e de
modelos diferentes, as vezes
utilizam o mesmo driver. Neste caso
ser possvel junt-las em um pool.
J para impressoras de marcas
diferente, ser praticamente
impossvel que utilizem o mesmo
driver e que possam fazer parte do
mesmo pool de impresso.
Bem, existem situaes em que a utilizao de comandos , mais do que til, eu diria: INDISPENSVEL. A situao
mais especfica na resoluo de problemas, ou melhor, quando o administrador est na fase de deteco do problema,
para uma posterior resoluo. Outro situao seria na utilizao de scripts para automao de tarefas administrativas.
Neste tpico mostrarei alguns comandos teis para o gerenciamento e administrao de recursos compartilhados,
mais especificamente: pastas e impressoras.
O comando net share
O comando net share permite que o Administrador crie, modifique, visualize ou exclua compartilhamentos. A forma
mais simples de utilizao deste comando simplesmente abrir um Prompt de comando, digitar net share e pressionar
ENTER. Este comando exibir todos os recursos compartilhados, disponveis no servidor onde o comando foi executado,
conforme indicado na Figura 7. 36. Observe que inclusive os compartilhamentos ocultos, cujo nome termina com o
caractere $ so exibidos.
Figura 7.36 O comando net share sem parmetros.
Se voc quiser informaes sobre um recurso especfico, utilize o seguinte comando:
net share nome_do_compartilhamento
Por exemplo, para obter informaes sobre um compartilhamento chamado Programas, utilize o seguinte comando:
net share programas
Sero exibidas diversas informaes sobre o compartilhamento programas, conforme indicado a seguir:
C:\>net share programas
Nome do compartilhamento Programas
Caminho C:\Programas
Observao Programas compartilhados
Mx. usurios 10
Usurios
Cache Cache manual dos documentos
Permisses ABC\Diretoria, DESCONHECIDO (0x1200a9)
ABC\Empresa, FULL
ABC\Vendas, CHANGE
Comando concludo com xito.
C:\>
Agora vamos obter informaes sobre a impressora compartilhada hp660adm. Digite o seguinte comando:
net share hp660adm
ao pressionar ENTER voc deve obter um conjunto de informaes semelhante as indicadas a seguir:
C:\>net share hp660adm
Nome do compartilhamento HP660Adm
Caminho LPT1:
Observao Impressora de alta prioridade, de uso da Administrao
Mx. usurios Sem limite
Usurios
Cache Cache manual dos documentos
Permisses Todos, FULL
BUILTIN\Administradores, FULL
BUILTIN\Opers. de impresso, FULL
BUILTIN\Opers. de servidores, FULL
C:\>
Para uma listagem completa, com todas as opes do comando net share, execute o seguinte comando:
net share /?
pressione ENTER. Ser exibida a seguinte listagem de opes:
C:\>net share /?
A sintaxe deste comando :
NET SHARE
compartilhamento
compartilhamento=unidade:caminho [/USERS:nmero | /UNLIMITED]
[/REMARK:texto]
[/CACHE:Manual | Automatic | No ]
compartilhamento [/USERS:nmero | /UNLIMITED]
[/REMARK:texto]
[/CACHE:Manual | Automatic | No ]
{compartilhamento | dispositivo | unidade:caminho} /DELETE
Para entender melhor esta sintaxe, vou apresentar alguns exemplos prticos de
utilizao do comando net share para realizar tarefas tais como:
Excluir um compartilhamento.
Criar um compartilhamento.
Modificar um compartilhamento.
NOTA: Entre o share e a barra deve
ter um espao em branco.
Compartilhando uma pasta usando o comando net share.
Vamos supor que voc queira compartilhar uma pasta C:\publica, com um nome de compartilhamento docpub, com
um nmero mximo de 10 conexes simultneas e como comentrio: Pasta de acesso pblico. Para criar este
compartilhamento, utilize o seguinte comando:
net share docpub=C:\publica /Users:10 /remark:Pasta de acesso pblico
Ao executar este comando voc recebe a seguinte mensagem:
O recurso docpub foi compartilhado com xito.
Se voc abrir o Windows Explorer, poder observar que a pasta C:\publica foi compartilhada. Clique com o boto
direito do mouse nesta pasta e no menu que surge d um clique na opo Compartilhamento. Observe que o nmero
mximo de 10 usurios simultneos foi definido, bem como o comentrio: Pasta de acesso pblico.
A seguir descrevo as principais opes do comando net share:
/Users:nmero: Define o nmero mximo de usurios simultneos no compartilhamento.
/Unlimited: Define que o compartilhamento no tem limite para usurios simultneos.
/Remark:texto do comentrio: Utilizado para definir ou alterar o comentrio do compartilhamento.
/Cache:manual, /Cache:documents, /Cache:programs, ou /Cache:no: Define opes de cache para o
compartilhamento. Estas opes foram explicadas no tpico referente ao trabalho com pastas Off-line,
anteriormente neste captulo.
Modificando um compartilhamento usando o comando net share.
Suponha que voc queira alterar o compartilhamento docpub, criado anteriormente. Ao invs de 10 conexes simultneas
voc vai permitir apenas 5 conexes. Para alterar o compartilhamento docpub, conforme proposto, utilize o seguinte
comando:
net share docpub /Users:5
Se voc acessar as propriedades de compartilhamento da pasta C:\publica, ver que o limite de usurios simultneos
j foi alterado para 5.
Excluindo um compartilhamento usando o comando net share.
Agora voc ir excluir o compartilhamento docpub criado anteriormente. importante salientar que, ao excluir um
compartilhamento, o administrador apenas est fazendo com que a pasta ou impressora deixe de ser compartilhada. A pasta
no disco rgido, com a qual o compartilhamento estava relacionado no ser excluda, apenas deixar de estar compartilhada.
No nosso exemplo, vou excluir o compartilhamento docpub, porm a pasta C:\publica continuar no drive C:
Para excluir o compartilhamento execute o seguinte comando:
net share docpub /delete
xito na excluso de docpub.
Se voc abrir o Windows Explorer ou o Meu computador, poder observar que a pasta C:\publica no est mais
compartilhada. Isto facilmente comprovado, pois no aparece mais uma pequena mo segurando a pasta.
O comando net use.
O comando net use pode ser utilizado para executar uma srie de tarefas, tais como:
mapear um drive de rede.
desmapear um drive de rede.
exibir um listagem dos recursos de rede aos quais o usurio logado est conectado.
Se voc executar o comando net use, sem nenhum parmetro, ser exibida uma
listagem com todos os recursos aos quais o usurio est conectado.
Execute o seguinte comando:
net use
Voc obtm uma listagem no seguinte formato:
C:\>net use
NOTA: Para executar os comandos
descritos neste tpico, abra o
Prompt de comando: Iniciar ->
Todos os programas -> Acessrios -
> Prompt de comando.
Novas conexes sero lembradas.
Status Local Remoto Rede
Desconectado X: \\microxp02\Axcel Books Rede Microsoft Windows

OK Z: \\servidor\Axcel Books Rede Microsoft Windows
Na listagem anterior, apresentado um exemplo em que o usurio tem dois drivers mapeados. O drive X: que acessa
o compartilhamento Axcel Books no computador microxp02. Observe que o status do drive X: desconectado. Isto
pode acontecer se o computador microxp02 estiver desligado ou sem contato com a rede. O drive Z: que acessa o
compartilhamento Axcel Books no computador servidor. Observe que o status do drive Z: OK, ou seja, o usurio
pode acessa-lo normalmente, usando o Meu computador ou o Windows Explorer.
Tambm possvel mapear um drive de rede utilizando o comando net use. Por exemplo, para mapear um drive W:
associado ao compartilhamento documentos em um computador chamado servidor, utilizamos o seguinte comando:
net use w: \\servidor\documentos
Para uma listagem completa, com todas as opes do comando net use, execute o seguinte comando:
net use /?
pressione ENTER. Ser exibida a seguinte listagem de opes:
C:\>net use /?
A sintaxe deste comando :
NET USE
[dispositivo|*] [\\computador\compartilhamento[\volume] [senha | *]]
[/USER:[domnio\]usurio]
[/USER:[nome de domnio com ponto\]usurio]
[/USER:[nome_usuario@nome de domnio com ponto]
[/SMARTCARD]
[/SAVECRED]
[[/DELETE] | [/PERSISTENT:{YES | NO}]]
NET USE {dispositivo | *} [senha | *] /HOME
NET USE [/PERSISTENT:{YES | NO}]
Por exemplo, para desconectar o drive w:, mapeado anteriormente, utilize o
seguinte comando:
net use w: /delete.
Se voc quiser que um drive seja mapeado toda vez que o usurio faz o logon,
utilize a opo: /Persistent:yes. Esta opo equivalente a marcar a opo
Reconectar-se durante o logon, quando mapeamos um drive utilizando o Meu
computador ou o Windows Explorer.
NOTA: Entre o use e a barra deve
ter um espao em branco.
O comando net statistics
O Windows Server 2003, a exemplo do que acontece com o Windows 2000, inicializa uma srie de servios, na
inicializao do Sistema Operacional. Cada servio realiza uma tarefa especfica. Dois dos servios mais importantes
so os seguintes:
Workstation.
Server.
O servio Workstation o responsvel pela interface do Windows Server 2003 com o usurio. este servio que
carrega e disponibiliza a interface grfica e todos os seus recursos. Problemas neste servio podem fazer com que o
Windows Server 2003 se torne inoperante.
O servio Server responsvel por atender requisies de outros computadores da rede, que acessam pastas, impressoras
e demais recursos disponveis.
O comando net statistics pode ser utilizado para fornecer informaes sobre estes dois servios: Workstation e Server.
Para obter informaes sobre o servio Workstation, abra um prompt de comando e execute o seguinte comando:
net statistics workstation
Sero exibidas uma srie de informaes, conforme indicado a seguir:
C:\>net statistics workstation
Estatsticas da estao de trabalho para \\MICROXP01
Estatsticas desde 4/1/2002 8:36 PM
Bytes recebidos 11366569
Blocos de mensagens de servidor (SMB) recebidos 22514
Bytes transmitidos 18109983
Blocos de mensagens de servidor (SMB) transmitidos 22527
Operaes de leitura 2056
Operaes de gravao 1965
Leituras no processadas negadas 0
Gravaes no processadas negadas 0
Erros de rede 0
Conexes estabelecidas 10
Reconexes estabelecidas 79
O servidor se desconecta 3
Sesses iniciadas 0
Sesses suspensas 0
Sesses falhadas 0
Operaes falhadas 11
Contagem de uso 41
Contagem de uso falhada 11
Estas informaes podem ser muito teis para o Administrador do sistema. Por exemplo, um grande nmero de
Leituras no processadas negadas ou de Gravaes no processadas negadas, pode indicar um usurio tentando acessar
recursos para os quais ele no tem permisso. Isso pode caracterizar um ataque, isto , uma tentativa de quebra de
segurana.
Para obter informaes sobre o servio Server, abra um prompt de comando e execute o seguinte comando:
net statistics server
Sero exibidas uma srie de informaes, conforme indicado a seguir:
C:\>net statistics server
Estatsticas do servidor para \\MICROXP01
Estatsticas desde 4/1/2002 8:36 PM
Sesses aceitas 2
Sesses com tempo limite excedido 0
Sesses com erros 0
KB enviados 6330
KB recebidos 388
Tempo mdio de resposta (mseg) 0
Erros de sistema 0
Violaes de permisses 0
Violaes de senha 0
Acessos a arquivos 263
Acessos a dispositivos de comunicao 0
Trabalhos de impresso no spool 0
Buffers esgotados
Buffers grandes 0
Buffers de requisio 0
Pesquisando impressoras no Active Directory
Durante os exemplos prticos deste captulo, principalmente nos exemplos de instalao de impressoras, salientei a
importncia da opo Listar no diretrio. Ao marcar esta opo, quando uma impressora instalada, informaes
sobre a impressora sero publicadas no Active Directory. Isso facilita a pesquisa de impressoras e a localizao de uma
impressora com as caractersticas desejadas. Tambm salientei a importncia de preencher os campos Localizao e
Comentrios. importante definir um padro para preenchimento destes campos. Por exemplo, no campo comentrios
voc pode colocar o modelo da impressora, seguida da caracterstica principal e de alguma outra informao relevante.
Estas informaes so publicadas no Active Directory e facilitam a localizao das impressoras disponveis.
Caso voc no tenha preenchido os campos Localizao e Comentrios ou no tenha marcado a opo Listar no
Diretrio, durante a instalao da impressora, voc poder configurar estas opes depois da instalao. Para isso
basta acessar a pasta impressoras, clicar com o boto direito do mouse na impressora a ser configurada e no menu de
opes que exibido clique em Propriedades. Na janela de propriedades clique na guia Geral. Nesta guia voc pode
preencher os campos Localizao e Comentrios, conforme exemplo da Figura 7.37:
Figura 7.37 Configurando as propriedades da impressora.
A opo Listar no Diretrio est disponvel na guia Compartilhamento, da janela de propriedades da impressora. Caso
voc no tenha marcado esta opo durante a instalao da impressora, voc pode acessar as propriedades da impressora,
clicar na guia Compartilhamento e marcar esta opo.
A seguir apresento um exemplo prtico de como pesquisar impressoras no Active Directory.
Exemplo: Para pesquisar impressoras no Active Directory, siga os passos indicados a seguir:
1. Execute o comando Iniciar -> Pesquisar
2. Na janela Resultados da Pesquisa, no painel da esquerda, clique na opo Outras opes de pesquisa.
3. Nas opes que so exibidas no painel da esquerda clique em Impressoras, computadores ou pessoas.
4. Sero exibidas trs opes, conforme indicado na Figura 7.38:
Figura 7.38 Opes de pesquisa.
5. Clique na opo Uma impressora na rede.
6. Ser aberta a ferramenta Localizar Impressoras. Nesta ferramenta voc pode fazer pesquisa por nome, localizao
ou modelo. Por exemplo, para pesquisar todas as impressoras HP Deskjet, preencha o campo Modelo, conforme
Figura 7.39 Pesquisando por modelo da impressora.
7. Clique no boto Localizar agora. A ferramenta pesquisa no Active Directory e retorna a lista de impressoras
encontradas, conforme indicado na Figura 7.40:
Figura 7.40 Impressoras encontradas.
8. Para instalar uma das impressoras localizadas, basta clicar com o boto direito do mouse na impressora a ser
utilizada. No menu de opes que exibido clique em Conectar-se. Pronto, o Windows Server 2003 carrega o
driver da impressora a partir do servidor onde a impressora est instalada e instala a impressora para ser utilizada.
9. Para limpar os critrios de pesquisa e fazer uma nova pesquisa, clique no boto Limpar tudo. Os critrios definidos
anteriormente sero excludos e a listagem de impressoras ser oculta. Agora voc pode digitar novos critrios
para fazer uma nova pesquisa. Se voc deixar todos os campos de pesquisa em branco e clicar no boto Localizar
agora, sero exibidas todas as impressoras compartilhadas, disponveis na rede.
10. No campo Em, voc pode selecionar onde ser feita a pesquisa, se em toda a rede, em um domnio ou servidor
especfico.
11. Voc tambm pode salvar uma pesquisa usando o comando Aquivo -> Salvar pesquisa... A consulta ser salva em
um arquivo no disco rgido. Quando necessrio voc pode usar o comando Arquivo -> Abrir para abrir uma
consulta salva no disco rgido.
12. Aps ter feito as consultas e localizado a impressora desejada, feche a ferramenta Localizar Impressoras.
13. Voc estar de volta janela Resultados da Pesquisa. Feche esta janela.
Concluso
Neste captulo tratei basicamente de impresso no Windows Server 2003. Abordei uma srie de tpicos relacionados
com impresso, desde a instalao de uma impressora para uso localmente, at recursos mais sofisticados, como a
publicao e pesquisa de impressoras de rede no Active Directory.
Iniciei o captulo falando sobre o sistema de impresso do Windows Server 2003. Defini termos utilizados quando se
trata de impresso no Windows Server 2003. Devido a importncia destes termos, repito a terminologia utilizada no
Neste captulo utilizei os termos adotados pelo Windows Server 2003, ou seja: printer faz referncia ao hardware, a
impressora propriamente dita e logical printer faz referncia ao driver, ao software que controla a impressora.
Em seguida comecei a mostrar como executar uma srie de operaes prticas com impressoras. Iniciei mostrando
como usar o assistente para instalao de impressoras para instalar o driver de uma impressora para uso local. Falei
sobre o conceito de portas de impresso. Em seguida mostrei como compartilhar a impressora para que esta possa ser
utilizada por outros computadores da rede. O prximo passo foi mostrar como acessar uma impressora que est
compartilhada para uso atravs da rede.
O prximo passo foi falar sobre a definio de permisses de acesso a impressoras. Voc aprendeu que existem
diferentes nveis de permisso de acesso, conforme indicado a seguir:
documento para a impressora, o usurio torna-se o dono daquele documento, por isso que ele pode administrar
os documentos por ele enviados. Esta permisso normalmente atribuda para aqueles usurios que simplesmente
precisam enviar documentos para a impressora. Por padro, quando uma nova impressora instalada, a permisso
Print (Imprimir) atribuda ao grupo Everyone (Todos), conforme descrito anteriormente.
compartilhar a impressora, alterar as propriedades da impressora, eliminar a impressora e alterar as permisses
de impresso. Normalmente atribuda a um usurio que deve ter poderes completos na administrao da
impressora, inclusive podendo remove-la do sistema. Por padro, os membros dos grupos Administrators
(Administradores), Print Operators (Operadores de Cpia) e Server Operators (Operadores de Servidores)
tm esta permisso.
Em seguida voc aprendeu a gerenciar a fila de impresso. A medida que os documentos vo sendo enviados para a
impressora, eles vo sendo colocados em uma fila de impresso. Tambm mostrei que possvel gerenciar esta fila
utilizando o navegador, desde que o IIS esteja instalado no servidor onde a impressora est compartilhada.
Na seqncia mostrei como configurar opes importantes da impressora, tais com o horrio de disponibilidade e a
prioridade de uso da impressora.
Em seguida mostrei uma srie de exemplos de situaes prticas que podem ocorrer no dia-a-dia. Comecei falando
sobre como configurar uma impressora para que possa ser utilizada por diferentes grupos de usurios, com diferentes
nveis de prioridade. Em seguida mostrei como configurar portas TCP/IP padro para instalar uma impressora de rede
como se fosse uma impressora local. Tambm mostrei como configurar um pool de impresso.
O prximo passo foi apresentar uma srie de comandos para administrao de compartilhamentos, tanto de
compartilhamentos de pasta quanto de compartilhamentos de impressoras. Para finalizar o captulo mostrei como
pesquisar impressoras no Active Directory.
Introduo
Nesta captulo tratarei dos seguintes assuntos:
Agendamento de tarefas.
Tipos de Backup.
Estratgias de backup e restore.
Aes prticas de backup e restore.
Backup e Restore do Active Directory
Vou iniciar o captulo tratando sobre: Agendamento de Tarefas. Conforme
mostrarei, possvel fazer o agendamento de tarefas, de tal forma que uma
determinada tarefa pode ser programada para executar um ou mais passos, em
dias e horrios previamente configurados pelo Administrador. Posso definir qual
ao cada passo de uma tarefa ir realizar. Por exemplo, no primeiro passo verifica
se uma determinada pasta j existe, se existir, o segundo passo da tarefa ser
excluir a pasta e um terceiro passo cria uma nova pasta. Este apenas um exemplo
simples, conforme mostrarei, possvel configurar uma tarefa para executar
operaes bastante complexas.
Alm de definir quais os passos sero executados por uma tarefa, voc tambm
pode configura-la para ser executada, automaticamente, em horrios e datas
definidas. Por exemplo, posso ter uma tarefa que seja iniciada durante os dias de
semana (de segunda sexta-feira), as 23:30 e aos sbados e domingos, s 22:00.
O uso de tarefas agendadas de grande ajuda para o Administrador, pois permite
que aes repetitivas, que tenham que ser executadas diariamente, possam ser
agendadas para execuo automtica. Conforme mostrarei neste captulo, o
agendamento de tarefas extremamente simples de ser feito com o auxlio de um
assistente para a criao e o agendamento de tarefas.
Para finalizar o assunto Tarefas Agendadas, apresentarei os comandos
relacionados com o agendamento de tarefas. Estes comandos so teis para a
criao de scripts, os quais quando executados, criam uma ou mais tarefas
agendadas. Por exemplo, o administrador pode criar e distribuir um script que
agenda uma determinada tarefa para execuo nos vrios servidores da rede.
Passado o perodo para execuo da tarefa, o administrador pode distribuir um
script com comandos que excluem a tarefa agendada. Para criar estes scripts, o
administrador tem que conhecer os comandos relacionados tarefas agendadas.
A prxima etapas ser falar sobre a importncia das cpias de segurana, o j
famoso: Backup. Nunca demais ressaltar a importncia de manter cpias de
seguranas de todos os arquivos de dados: documentos do Word, planilhas do
Excel, bancos de dados, documentos de texto e assim por diante, bem como manter
backup da instalao dos servidores e de toda e qualquer informao necessria
ao funcionamento da empresa. A cpia de segurana a nica proteo que o
Administrador tem para o caso de um dano fsico no disco rgido.
C A P T U L O
8
Fazendo o Backup dos Dados
e Agendando Tarefas
Falarei sobre os diferentes tipos de cpia de segurana (backup) que existem, quais as estratgias de backup/restore
que podem ser utilizadas. Na parte prtica vou reforar a importncia do planejamento para a criao de um estratgia
de backup eficiente. Mostrarei que possvel automatizar as rotinas de backup, mediante o uso de tarefas agendadas.
Este um exemplo tpico de tarefa repetitiva, que deve ser executada fora do horrio de expediente e que adequada
para a automao por meio do recurso de tarefas agendadas do Windows Server 2003.
O conceito de Tarefas agendadas
O administrador pode utilizar a opo Tarefas agendadas, do Painel de controle, para agendar tarefas que sero executadas
em um determinado horrio, em determinados dias da semana e que executaro uma ou mais aes. Voc pode agendar
qualquer programa que roda no Windows Server 2003 para ser executado atravs de uma tarefa agendada. Pode
agendar uma tarefa de tal forma que ela seja executada uma nica vez, ou que seja executada em intervalos regulares
ou em um determinado horrio especificado.
Voc pode utilizar Tarefas agendadas para executar rotinas de manuteno em
horrios especificados. Por exemplo, possvel criar uma tarefa que efetua cpia
de segurana dos arquivos alterados durante o dia, e agenda-la para ser executada
as duas horas da madrugada.
Uma tarefa tambm pode ser programada para ser executada uma nica vez e
depois de executada, ser automaticamente eliminada da lista de tarefas agendadas.
Tambm possvel executar uma tarefa a qualquer momento, sem ter que esperar
que ela seja executada automaticamente, no horrio programado. possvel
acompanhar o histrico de execuo de uma determinada tarefa, para sabermos
se ela est sendo executada normalmente ou est apresentando algum problema.
Com o agendador de tarefas, que ser visto na parte prtica, voc pode executar
uma srie de operaes com tarefas agendadas, tais como:
NOTA: Na prtica, alm dos usurios
com permisses de administrador, os
membros dos grupos Backup Opera-
tors (Opers. de Cpias) e Server Op-
erators (Opers. de Servidores),
tambm tem permisso para criar e
configurar novas tarefas agendadas.
Criar e agendar novas tarefas para execuo diria, semanal, mensal, em horrios especficos ou durante a
ocorrncia de eventos especficos, tais como a inicializao ou o desligamento do sistema.
Alterar o agendamento e as demais configuraes de uma tarefa j existente.
Parar e desativar uma tarefa agendada.
Personalizar a maneira como uma tarefa executada.
Cada tarefa que voc cria gravada em um arquivo com a extenso .JOB. Estes arquivos so gravados na pasta
WINDOWS\TASKS, considerando que o Windows Server 2003 esteja instalado na pasta WINDOWS.
Voc pode copiar os arquivos .JOB de um servidor para o outro, dentro da pasta
TASKS. O nico cuidado que voc deve ter se a conta que foi configurada para
execuo da tarefa (toda tarefa executada no contexto de uma conta de usurio
ou da conta Local System) vlido no servidor de destino, onde o arquivo .JOB
foi copiado.
O agendamento e execuo de tarefas controlado pelo servio Task
Scheduler (Agendador de tarefas), o qual configurado para inicializar
automaticamente, durante a inicializao do Windows Server 2003, conforme
NOTA: Se voc estiver trabalhando
em um servidor que foi migrado do
NT Server 4.0 ou do Windows 2000
Server, para o Windows Server
2003, provvel que a pasta de
instalao do Windows seja a pasta
WINNT.
Figura 8.1 Servio Agendador de tarefas, configurado para inicializao automtica.
Voc pode programar uma tarefa para que execute um programa, como por exemplo
o Microsoft Excel ou o Microsoft Access; para que execute um aplicativo com
comandos de administrao do Windows Server 2003, como por exemplo scripts
no padro WSH Windows Scripting Host ou os j conhecidos arquivos .bat, os
quais contm um comando em cada linha, comandos estes que so executados em
seqncia; para que execute um atalho, o que na prtica equivale a abrir o programa
ao qual o atalho se refere ou para executar um documento, como por exemplo um
.doc, o que na prtica equivale a dar um clique duplo no documento, ou seja: O
Word ser aberto e o documento carregado.
possvel agendar tarefas para serem executadas toda vez que o computador
inicializado. Este tipo de tarefa ser executado, independentemente de haver ou
no um usurio logado. Tambm possvel agendar uma tarefa para ser executada
toda vez que um usurio faz o logon no servidor. Este tipo de tarefa ser iniciado
quando o primeiro usurio fizer o logon, depois que o servidor tiver sido
inicializado. Se o usurio fizer o logoff e outro usurio fizer o logon, a tarefa no
ser reinicializado, o que s acontece quando o computador for reinicializado e
um usurio (qualquer usurio) fizer o logon depois da reinicializao.
NOTA: Para acessar a lista de
servios disponveis em um servidor,
voc usa o console Servios (Iniciar
-> Ferramentas administrativas ->
Servios). Com o console servios
voc pode verificar os servios
disponveis, alterar as configuraes
do servio (configur-lo para
inicializar manualmente ou
automaticamente), alterar a conta
com o a qual executado o servio
e assim por diante.
Questes de segurana, relacionadas com tarefas agendadas.
Toda tarefa agendada deve ser executada no contexto de uma conta de usurio. Quando o administrador cria uma
tarefa agendada, ele tem que informar o nome de uma conta de usurio e a respectiva senha. Quando a tarefa for
executada, independentemente do usurio que estiver logado ou se no houver nenhum usurio logado, a tarefa
executada como se tivesse sido iniciada pelo usurio cuja conta foi informada durante a criao da tarefa agendada.
Isso que significa executar no contexto de uma conta.
Por exemplo, se voc configurar uma tarefa agendada para rodar com uma conta com permisso de administrador.
Quando a tarefa for executada como se um usurio do grupo administrador estivesse logado e tivesse disparado a
tarefa manualmente. Se durante a execuo da tarefa um outro usurio estiver logado, a tarefa executa normalmente,
porm a sua execuo no ser visvel para o usurio que est logado, pois a tarefa est executando no contexto da
conta de usurio que foi informada quando da criao da tarefa.
Para poder criar uma tarefa agendada voc deve estar logado com uma conta com permisso de administrador ou com
uma conta pertencente a um dos seguintes grupos: Backup Operators (Opers. de Cpia) ou Server Operators (Opers.
de Servidores). Voc no pode configurar uma tarefa agendada para rodar com uma conta com nvel de permisso
maior do que o nvel de permisso da conta com a qual voc est logado. Vou esclarecer esta ltima informao com
um exemplo prtico. Imagine que voc est logado com uma conta com permisso de Opers. de Cpia e est criando
uma tarefa agendada. Voc no poder configurar esta tarefa agendada para executar no contexto de uma conta com
permisso de administrador, pois o conjunto de permisses de administrador maior (tem mais poderes e acesso a
mais funes e recursos) do que o conjunto de permisses dos membros do grupo Opers. de Cpia.
O administrador pode atribuir a permisso de criar e agendar tarefas para outros usurios, que no somente os
pertencentes aos grupos Administrators (Administradores), Backup Operators (Opers. de Cpia) ou Server Operators
(Opers. de Servidores). Para isso basta alterar as permisses NTFS da pasta Tasks, a qual fica dentro da pasta onde o
Windows Server 2003 est instalado, normalmente \WINDOWS\TASKS ou \WINNT\TASKS.
No Windows Server 2003, conforme descrito no Captulo 4, a senha das contas de usurios tem que ser alteradas de
tempos em tempos, de acordo com as definies das diretivas de senhas do domnio. Quando voc cria uma tarefa
agendada, voc informa o nome de uma conta e a respectiva senha. Quando a senha desta conta for alterada, no Active
Directory, a alterao no ser feita tambm na tarefa agendada. Com isso, nas propriedades da tarefa agendada, estar
sendo informada uma senha que no mais vlida. O efeito prtico disso que a tarefa deixar de ser executada.
Quando o Windows Server 2003 tenta executar a tarefa, ele verifica se a senha informada est correta. Como a senha
foi alterada, na conta do usurio, a senha informada nas propriedades da tarefa agendada estar diferente e a tarefa no
poder ser executada. Para evitar este problema indicado que voc crie uma conta especificamente para ser usada por
uma ou mais tarefas agendadas e que marque a opo A senha nunca expira, para a conta que est sendo criada,
conforme exemplo da Figura 8.2:
Figura 8.2 A opo A senha nunca expira.
Outro detalhe importante que a conta com a qual a tarefa foi configurada para execuo, deve ter permisso
para executar os programas e dados acessados durante a execuo da tarefa. Caso contrrio a execuo da Tarefa
agendada ir falhar.
Criao e Administrao de Tarefas agendadas.
A criao, configurao e administrao das tarefas agendadas feita atravs da opo Tarefas agendadas, do Painel
de Controle. Na verdade esta opo simplesmente um atalho para a pasta TASKS j citada anteriormente.
Abra o Painel de controle: Iniciar -> Painel de controle e d um clique duplo na opo Tarefas agendadas. Ser aberta
a janela Tarefas agendadas, indicada na Figura 8.3. Observe que, por padro, em um novo servidor, no existe nenhuma
tarefa agendada. Existe apenas a opo Adicionar tarefa agendada.
Figura 8.3 A janela para criao e administrao de tarefas agendadas.
Na seqncia, apresentarei uma srie de exemplos onde voc aprender a criar,
configurar e a administrar tarefas agendadas.
No exemplo a seguir voc aprender a criar uma tarefa agendada simples. A tarefa
ser programada para executar a ferramenta Limpeza de disco, toda sexta-feira,
as 16:30.
Exemplo: Criando e agendando uma tarefa para execuo
automtica.
administrador. Tambm pode ser uma conta do grupo Opers. de Cpia ou
Opers de Servidores.
NOTA: Voc tambm poderia
utilizar o Windows Explorer ou o
Meu computador para abrir
diretamente a pastas TASKS, a qual
fica no caminho WINDOWS\TASKS,
onde WINDOWS a pasta onde est
instalado o Windows Server 2003.
2. Abra o Painel de controle. D um clique duplo na opo Tarefas agendadas. Observe que existe somente um
cone: Adicionar tarefa agendada, conforme indicado anteriormente, na Figura 8.3, a no ser que voc j tenha
criado tarefas agendadas anteriormente. Caso j tenha sido agendada alguma tarefa, aparecer um cone para
cada uma das tarefas agendadas.
3. D um clique duplo no cone Adicionar tarefa agendada. Ser iniciado um assistente chamado Assistente de tarefa
agendada. Este assistente o conduzir passo-a-passo, na trabalho de criar e agendar uma tarefa.
4. A primeira tela do assistente apenas informativa. D um clique no boto Avanar para seguir para a segunda
5. Surge uma tela, com uma listagem dos programas instalados no seu computador. Caso o programa que voc deseja
que seja executado pela tarefa, no aparea na listagem, voc pode utilizar o boto Procurar, para indicar ao Win-
dows Server 2003 a pasta e o nome do programa a ser executado pela tarefa agendada que est sendo criada.
6. Na Listagem de programas, selecione opo Limpeza de disco, conforme indicado na Figura 8.4 e d um clique
no boto Avanar para ir para a prxima etapa do assistente.
Figura 8.4 Agendando o utilitrio Limpeza de disco, para ser executada automaticamente.
7. Surge uma tela pedindo para que voc digite um nome para a tarefa que est sendo criada e que seja escolhida
uma periodicidade para a execuo. Configure as opes, conforme indicado na Figura 8.5, depois d um clique
no boto Avanar para ir para a prxima etapa do assistente.
Figura 8.5 Atribuindo um nome para a tarefa e configurando a periodicidade.
8. Na tela desta etapa voc pode configurar a Hora de incio da tarefa, quais os
dias em que a tarefa deve ser executada e se semanalmente (valor 1 no campo
A cada), de duas em duas semanas (valor 2 no campo A cada) e assim por
diante. Configura as opes conforme indicado na Figura 8.6 e depois d um
clique no boto Avanar para ir para a prxima etapa do assistente.
NOTA: Estou selecionando o
agendamento Semanalmente, pois
de acordo com o exemplo proposto,
quero que a tarefa seja executada
somente nas sextas-feiras. Ao
selecionar Semanalmente, em uma
das prximas etapas do assistente,
o Windows Server 2003
possibilitar que eu selecione os dias
e horrios desejados.
Figura 8.6 Configurando a Hora e os dias de execuo da tarefa.
9. Na tela desta etapa, voc deve fornecer o nome de uma conta de usurio e a respectiva senha. Deve ser um usurio
que tenha permisso para executar o programa que est sendo agendado, no nosso exemplo a ferramenta Limpeza
de disco. Por exemplo, no so todos os usurio que tem permisses para fazer Cpias de Segurana das informaes.
Caso voc cria uma tarefa para fazer Cpia de segurana (mais conhecida por Backup ), nesta tela deve ser
fornecido o nome e a senha de um usurio que tem a permisso para fazer a Cpia de segurana, pois caso
contrrio, a execuo da tarefa ir falhar. Fornea o nome de um usurio, e digite a senha duas vezes. O nome do
usurio no formato NOME DO COMPUTADOR \Nome do usurio se voc estiver utilizando uma conta local
(no caso de um standalone Server servidor que no faz parte do domnio) ou NOME DO DOMNIO \Nome do
usurio se voc estiver utilizando uma conta do Domnio. Vamos utilizar a conta Administrador do domnio
ABC. Digite as informaes para esta etapa, conforme indicado na Figura 8.7 e d um clique no boto Avanar
para ir para a sexta etapa do assistente.
10. Na tela desta etapa, o Windows Server 2003 exibe informaes sobre a tarefa que est sendo agendada, com
detalhes sobre as opes selecionadas nas etapas anteriores. Marque a opo Abrir as propriedades avanadas
desta tarefa ao clicar em Concluir. Ao marcar esta opo, quando voc clicar em Concluir, ser aberta uma
janela com opes de configurao avanadas da tarefa. D um clique no boto Finish (Concluir), para exibir a
janela com as propriedades avanadas, conforme indicado na Figura 8.8.
Figura 8.7 Toda tarefa agendada, exige o nome e senha de um usurio do domnio.
Figura 8.8 Janela com propriedades avanadas, da tarefa que est sendo criada.
Na janela de configuraes avanadas, so exibidas as guias: Tarefa, Agenda, Configuraes e Segurana. Na guia
Tarefa so exibidas informaes sobre o programa que ser executado (campo Executar), a pasta base Iniciar em,
Comentrios sobre a tarefa, o nome do usurio que ser utilizado para execuo da tarefa Executar como e uma caixa
de seleo para Ativar/Desativar a tarefa.
D um clique na guia Agenda. Nesta guia voc pode alterar o agendamento da tarefa, configurar opes avanadas do
agendamento (boto Avanado...) e configurar mltiplos agendamentos.
Na guia Configuraes, esto disponveis as seguintes opes:
Excluir a tarefa se ela no estiver agendada para nova execuo: Esta
opo utilizada para criar tarefas que devem ser executadas uma nica
vez. Se voc marcar esta opo, aps a execuo da tarefa com sucesso, o
Windows Server 2003 se encarrega de excluir a tarefa. Essa opo til
para as tarefas agendadas para uma nica execuo, como por exemplo,
uma tarefa que ir copiar arquivos de um computador para o outro e que
deve ser executada uma nica vez.
Interromper a tarefa se ela for executada por: Especifica se a tarefa
interrompida aps estar em execuo durante o perodo especificado e
ainda no ter sido concluda. Esta opo utilizada para evitar que a tarefa
fique executando indefinidamente, caso acontea algum problema com a
execuo da tarefa. Esta execuo, mesmo com problemas, pode
comprometer o desempenho do sistema como um todo.
S iniciar a tarefa se o computador ficar ocioso no mnimo por: Especifica
que a tarefa agendada iniciada apenas se voc no tiver usado o teclado
ou o mouse durante o perodo de tempo especificado. Se a tarefa for
agendada para se repetir, sua primeira execuo somente ocorrer se o
computador estiver ocioso durante o perodo especif icado. Se o
computador no estiver ocioso quando a tarefa efetuar sua primeira
tentativa de inicializao, o Agendador de tarefas continuar verificando
se o computador est ocioso pelo perodo especificado neste campo. Se o
computador no se tornar ocioso durante esse perodo, nenhuma ocorrncia
da tarefa ser executada. Pode ser utilizada para tarefas que no so
urgentes e podem ser adiadas, a espera de um perodo de ociosidade do
servidor.
IMPORTANTE: Em determinadas
situaes pode ser necessria a
criao de mltiplos agendamentos.
Por exemplo, vamos supor que uma
tarefa deva ser executada todos os
dias, s 23:30 hs. e tambm nos
sbados e domingos s 11:30 hs.
Neste caso necessrio a criao de
dois agendamentos: um para
executar a tarefa diariamente, s
23:30 hs. e outro para executar a
tarefa aos sbados e domingos, s
11:30 hs.
Se o computador no estiver ocioso por tanto tempo, tentar novamente por at: Fornece um espao para voc
digitar o tempo (em minutos) no qual o Agendador de tarefas continuar verificando se o computador est
ocioso. Se voc tiver selecionado esta opo e o computador no estiver ocioso no horrio agendado, voc
tambm poder clicar nas setas de rolagem para selecionar uma nova configurao. Se o computador no se
tornar ocioso durante esse perodo, nenhuma ocorrncia da tarefa ser executada.
Interromper a tarefa se o computador no estiver ocioso: Especifica que a tarefa agendada deve ser interrompida
se voc comear a usar o computador durante a execuo da tarefa, isto , se o computador deixar de estar
ocioso.
No iniciar a tarefa se o computador estiver usando baterias: Especifica se o incio da tarefa agendada ser
desabilitado e no poder executar as tarefas, enquanto o computador usa baterias. Por exemplo, pode ter
havido uma queda de luz e o servidor estar sendo mantido por no-break. Alguns programas acessam com
freqncia o disco rgido, causando um maior consumo de bateria. Voc pode aumentar a vida til das baterias
marcando essa caixa de seleo.
Interromper a tarefa se o computador comear a usar baterias: Especifica se a execuo da tarefa agendada
ser interrompida quando o computador comear a usar baterias.
Acordar o computador para executar esta tarefa: Especifica se o computador ativado para a execuo da
tarefa no horrio agendado, mesmo que esteja no modo de dormir e use o gerenciamento de energia OnNow.
Clique na guia Segurana. Nesta guia voc define quais usurios e grupos tero acesso e qual o nvel de permisso
de acesso tarefa agendada que est sendo criada. Esta guia muito semelhante guia para definio de permisses
NTFS em pastas e arquivos. Voc utiliza o boto Adicionar... para incluir novos usurios ou grupos, o boto Remover
para excluir usurios ou grupos e o boto Avanado..., para definir permisses especiais. Na prtica, ao definir estas
permisses, voc est definindo as permisses de acesso ao arquivo .JOB, que gravado na pasta TASKS. importante
lembrar que para cada tarefa agendada, o Windows Server 2003 cria um arquivo .JOB, o qual gravado na pasta
TASKS j descrita anteriormente. O arquivo .JOB contm todas as informaes sobre a tarefa agendada.
11. Voc no far nenhuma alterao na janela de configuraes avanadas. Clique em OK para fecha-la.
12. Voc deve ter voltado janela das tarefas agendadas. Observe que j existe um novo cone para a tarefa recm
criada, com o nome que voc deu para a tarefa: Limpeza de disco - execuo automtica, conforme indicado pela
figura 8.9:
Figura 8.9 A nova tarefa j criada - Limpeza de disco - execuo automtica.
Alterando uma tarefa agendada.
Aps a criao de uma tarefa, o administrador ou um usurio com as devidas permisses, pode executar uma srie de
configuraes na tarefa, inclusive o prprio agendamento da tarefa pode ser alterado. Neste tpico voc aprender a
fazer as seguintes alteraes em uma tarefa agendada:
Executar uma tarefa imediatamente, sem esperar pelo horrio do agendamento.
Renomear uma tarefa.
Alterar a conta de usurio com a qual a tarefa agendada.
Alterar o agendamento da tarefa.
Alterar opes avanadas do agendamento.
Criar mltiplos agendamentos.
Verificar o log do Agendador de tarefas.
Excluir uma tarefa agendada.
Para executar uma tarefa imediatamente siga os passos indicados a seguir:
1. Faa o logon como Administrador ou com uma conta com permisso de administrador ou com uma conta que
tenha permisso para executar a tarefa agendada.
2. Abra o Painel de controle. D um clique duplo na opo Tarefas agendadas.
3. Clique com o boto direito do mouse na tarefa a ser executada e no menu de opes que exibido, clique na opo
Executar.
ou
3. Clique na tarefa a ser executada para marca-la e selecione o comando Arquivo -> Executar.
4. O Windows inicia a execuo da tarefa. Por exemplo, se voc executar a tarefa criada no exemplo anterior, a
ferramenta Limpeza de disco ser executada. Isto comprova que a tarefa foi executada com sucesso.
Para renomear uma tarefa agendada, siga os passos indicados a seguir:
tenha permisso para alterar a tarefa agendada.
3. Clique com o boto direito do mouse na tarefa a ser renomeada e no menu de opes que exibido, clique na
opo Renomear.
4. Digite o novo nome e pressione Enter. Observe que quando voc digita a primeira letra do novo nome, o nome
antigo excludo.
Alterar a conta com a qual a tarefa executada.
importante salientar que a conta que est configurada para execuo de uma tarefa, deve ter as devidas permisses
para executar o programa ou comandos definidos para a tarefa. Se a conta no tiver as devidas permisses, a tarefa ir
falhar, isto , no ser executada. A falha ou sucesso na execuo registrada em um log do Agendador de tarefas. Este
log um arquivo de texto, conforme mostrarei mais adiante.
Para alterar a conta com a qual a tarefa executada, faa o seguinte:
3. Na janela Tarefas agendadas d um clique duplo na tarefa a ser alterada. Ser exibida a janela de propriedades da
tarefa.
4. A guia Tarefa vem selecionada por padro. No campo Executar como, voc digita o nome da conta a ser utilizada,
em um dos seguintes formatos:
Nome_do_computador\Nome_da_conta
ou
Nome_do_Domnio\Nome_da_conta
5. Clique no boto Definir senha... Ser aberta a janela Definir senha, onde voc deve informar a senha do usurio
duas vezes, para confirmao, conforme indicado na Figura 8.10:
Figura 8.10 Informando a senha da conta com a qual ser executada a tarefa.
6. Informe a senha duas vezes e clique em OK para fechar a janela Definir senha.
7. Voc estar de volta janela de propriedades da tarefa. Clique em OK para fecha-la. Feito isso a conta de execuo
da tarefa ter sido alterada.
Alterar o agendamento da tarefa.
Voc pode alterar o agendamento programado para uma tarefa. Por exemplo, voc
pode ter agendado uma cpia de segurana para iniciar as 2:00 da madrugada,
porm, devido ao grande volume de dados, a cpia no est sendo concluda at
as 8:00 da manh. Voc pode alterar o agendamento da tarefa que executa a cpia
de segurana, para que inicie, por exemplo, a 1:00 da madrugada, para que possa
ser concluda antes das 8:00 da manh.
Para alterar o agendamento de uma tarefa, faa o seguinte:
administrador ou com uma conta que tenha permisso para alterar a tarefa
agendada.
2. Abra o Painel de controle. D um clique duplo na opo Tarefas Agendadas.
3. Na janela de tarefas agendadas d um clique duplo na tarefa a ser alterada.
Ser exibida a janela de propriedades da tarefa.
4. A guia Tarefa vem selecionada por padro. Clique na guia Agenda.
5. Nesta guia voc pode alterar o agendamento da tarefa. A seguir apresento
uma descrio das principais opes desta guia. As opes Mostrar vrios
agendamentos e Avanado..., sero descritas nos prximos tpicos.
Agendar tarefa: Nesta lista voc especifica a freqncia de execuo da
tarefa: Semanalmente, mensalmente, Uma vez, Ao inicializar o sistema,
No logon e Quando ocioso.
No campo Hora de incio, voc define o horrio em que a tarefa deve ser
iniciada. Este campo no ser exibido quando voc selecionar uma das
seguintes opes de freqncia: Ao inicializar o sistema, No logon e
Quando ocioso. Ao selecionar uma destas opes, as caixas de seleo
com os nomes dos dias da semana tambm sero ocultas.
IMPORTANTE: Se voc alterar a
senha de uma conta de usurio, no
Active Directory, esta alterao no
feita na tarefa agendada. Ou seja,
aps alterar a senha de uma conta
de usurio, conta esta que
utilizada por uma tarefa agendada,
voc deve acessar as propriedades
da tarefa agendada e fazer a
alterao na senha. Esta
sincronizao manual, ou seja,
quando trocamos a senha de uma
conta no Windows Server 2003, a
nova senha no informada s
tarefas agendadas que utilizam a
conta. Com isso a tarefa ir falhar
na prxima execuo, pois estar
utilizando a senha antiga. Neste
caso voc deve utilizar os
procedimentos indicados neste
tpico, para alterar a senha em cada
tarefa onde a conta for utilizada.
Uma opo menos trabalhosa seria
criar uma conta especificamente
para ser utilizada pelas tarefas
agendadas e marcar a opo Senha
nunca expira, conforme j descrito
anteriormente.
Figura 8.11 Executando uma tarefa quando o sistema fica ocioso por 10 minutos.
6. Defina as configuraes desejadas para o agendamento e clique em OK para aplica-las. A partir de agora a tarefa
passar a ser executada de acordo com as novas configuraes de agendamento.
Alterar opes avanadas do agendamento.
Voc pode utilizar as opes avanadas de agendamento para definir as seguintes configuraes para uma tarefa:
Uma data de incio.
Uma data final, a partir da qual a tarefa no ser mais executada.
Um intervalo de repetio da tarefa, por exemplo de hora em hora.
Para configurar as opes avanadas de agendamento, siga os passos indicados a seguir:
Ao selecionar as opes Ao inicializar o sistema e No logon, as demais opes sero ocultadas. Ao selecionar
a opo Quando ocioso, voc poder definir quantos minutos o computador deve ficar ocioso, at que a tarefa
comece a ser executada, conforme exemplo da Figura 8.11:
3. Na janela Tarefas agendadas d um clique duplo na tarefa a ser alterada. Ser exibida a janela de propriedades da
tarefa.
5. Clique no boto Avanado. Ser aberta a janela Opes avanadas de agendamento, indicada na Figura 8.12:
Figura 8.12 Opes avanadas de agendamento.
Nesta janela esto disponveis as seguintes opes:
Data de incio: define uma data a partir da qual a tarefa comear a ser executada, de acordo com o agendamento
programado. Por padro esta a data de criao da tarefa, mas voc pode configurar esta data para uma data
futura, para o caso de a tarefa que s deva comear a ser executada em uma data futura. Ao abrir a lista Data de
incio, ser exibido um controle do tipo calendrio, com o calendrio do ms atual. Voc pode clicar diretamente
na data desejada, o que bem mais fcil do que digitar a data.
Data de trmino: Neste campo voc pode definir uma data de trmino, a partir da qual a tarefa no ser mais
executada. Por padro no definida uma data de trmino, ou seja, a tarefa continua sendo executada de
acordo com o agendamento configurado, at que a tarefa seja excluda pelo administrador.
Repetir a tarefa: Se voc marcar esta opo, sero habilitados campos para que voc defina um intervalo de
repetio para a tarefa, por exemplo de 20 em 20 minutos ou a cada hora e assim por diante.
Se a tarefa estiver em execuo, interromp-la nesta hora: Especifica se todas as ocorrncias da tarefa agendada
que ainda esto sendo executadas no prazo final em Tempo ou Durao devem ser interrompidas. Esta opo
til quando suas tarefas no so interrompidas automaticamente. Se esta caixa de seleo no estiver marcada,
a tarefa continuar em execuo, mesmo aps o prazo final. Por exemplo, pode ser preciso marcar esta caixa
de seleo se uma tarefa leva uma hora para ser executada, mas iniciada 15 minutos antes do prazo final e
no interrompida automaticamente quando termina a execuo.
6. Selecione as opes desejadas e clique em OK. Voc estar de volta a janela de propriedades da tarefa.
7. Clique em OK para aplicar as novas configuraes. A partir de agora a tarefa passar a ser executada de acordo
com as novas configuraes avanadas de agendamento.
possvel criar mltiplos agendamentos para uma mesma tarefa. Podem existir situaes em que uma determinada
tarefa tenha que ser executada em diversos horrios, os quais impossvel configurar em um nico agendamento. Por
exemplo, voc pode ter que agendar uma tarefa de backup para rodar todos os dias, s 2:00 hs. da madrugada e nas
segundas, quartas e sextas, alm das duas da madrugada, tambm no horrio do almoo, por exemplo, s 12:00 hs.
Neste exemplo, voc ter que criar dois agendamentos: Um com programao semanal, para todos os dias da semana,
com execuo para as 2:00 hs. da manh. Outro com programao semanal, para execuo s segundas, quartas e
sextas-feiras s 12:00 hs.
Para configurar mltiplos agendamentos, siga os passos indicados a seguir:
3. Na janela de tarefas agendadas d um clique duplo na tarefa a ser alterada. Ser exibida a janela de propriedades
da tarefa.
5. Marque a opo Mostrar vrios agendamentos. Ao marcar esta opo, surge uma lista, na parte de cima da
janela, com o agendamento atual. Para criar um novo agendamento, basta clicar no boto Novo, em destaque na
Figura 8.13:
Figura 8.13 Criando um novo agendamento.
6. Clique no boto Novo . Na guia Agenda sero exibidas as configuraes para que voc defina o novo agendamento.
Observe que na lista, na parte superior da guia, aparece o nmero 2. ao lado das informaes sobre o agendamento.
Este nmero indica que este o segundo agendamento que est sendo configurado para esta tarefa. Voc pode
utilizar esta lista, para alternar entre os vrios agendamentos configurados para uma determinada tarefa.
7. Por exemplo, para criar um segundo agendamento, para execuo s segundas, quartas e sextas-feiras, s 12:00
hs., defina as configuraes conforme exemplo da Figura 8.14:
Figura 8.14 Definindo um novo agendamento.
8. Defina os agendamentos desejados e clique em OK para salvar as alteraes.
Verificar o log do Agendador de tarefas.
O servio Agendador de tarefas mantm um log, no qual so gravadas informaes
sobre a execuo das diversas tarefas agendadas. As informaes de log so salvas
em um arquivo de texto, com o nome SchedLgU.Txt. Neste arquivo esto
informaes tais como:
O nome da tarefa que foi executada.
A hora de incio da tarefa.
A hora de concluso da tarefa.
O resultado da execuo da tarefa.
A seguir apresento um trecho do arquivo de log, onde voc pode observar as
informaes descritas anteriormente:
NOTA: Para excluir um
agendamento, basta seleciona-lo na
lista de agendamentos e clicar no
boto Excluir.
IMPORTANTE: As configuraes
avanadas so individualizadas
para cada agendamento, ou seja,
voc pode definir diferentes
IdleTask (TaskId1)
Iniciado em 3/4/2002 19:29:26
IdleTask (TaskId1)
Concludo em 3/4/2002 19:29:26
Resultado: A tarefa foi concluda com o cdigo de sada
(0).
Para acessar o log de informaes sobre a execuo das tarefas agendadas, faa o
seguinte:
configuraes avanadas para
diferentes agendamentos. Por
exemplo, um agendamento pode
ter uma data de trmino definida,
enquanto outro agendamento da
mesma tarefa, no tem uma data
de trmino definida.
3. Selecione o comando Avanado -> Exibir log.
O Bloco de notas ser aberto e o arquivo SchedLgU.Txt ser carregado. A seguir listo um exemplo de um arquivo de
log das tarefas agendadas. Observe que, na parte final do trecho, so exibidas informaes sobre a tarefa que criamos
para executar a ferramenta de limpeza de disco.
****************** TRECHO DO ARQUIVO DE LOG EXEMPLO ***************
...
IdleTask (TaskId1)
Iniciado em 15/4/2002 18:28:58
IdleTask (TaskId1)
Concludo em 15/4/2002 18:29:05
Resultado: A tarefa foi concluda com o cdigo de sada (0).
IdleTask (TaskId5)
Iniciado em 15/4/2002 18:29:35
IdleTask (TaskId5)
Concludo em 15/4/2002 18:29:35
IdleTask (TaskId1)
Iniciado em 15/4/2002 18:43:47
IdleTask (TaskId1)
Concludo em 15/4/2002 18:43:56
IdleTask (TaskId1)
Iniciado em 15/4/2002 19:13:46
IdleTask (TaskId1)
Concludo em 15/4/2002 19:13:46
IdleTask (TaskId1)
Iniciado em 15/4/2002 19:43:46
IdleTask (TaskId1)
Concludo em 15/4/2002 19:43:46
IdleTask (TaskId1)
Iniciado em 15/4/2002 20:58:47
IdleTask (TaskId1)
Concludo em 15/4/2002 20:58:47
IdleTask (TaskId2)
Iniciado em 15/4/2002 20:59:17
IdleTask (TaskId2)
Concludo em 15/4/2002 20:59:55
Limpeza de disco - Execuo automtica.job (cleanmgr.exe)
Iniciado em 15/4/2002 23:10:16
Concludo em 15/4/2002 23:13:27
Iniciado em 15/4/2002 23:15:28
Concludo em 15/4/2002 23:15:32
Servio agendador de tarefas
Finalizado em 16/4/2002 00:58:25
Servio agendador de tarefas
Iniciado em 16/4/2002 23:23:46
[ ***** A entrada mais recente est acima desta linha ***** ]
.....
****************** FINAL DO TRECHO DO ARQUIVO DE LOG ***************
Comandos at para agendamento de comandos.
O comando at pode ser utilizado para agendar um determinado programa ou script para ser executado em um horrio
especfico e em datas determinadas. Voc somente poder usar o comando at se o servio Task Scheduler estiver
rodando normalmente. Ao utilizar o comando at sem nenhum parmetro, ser exibida uma tela de ajuda com as opes
do comando, conforme descrevo logo a seguir.
Sintaxe do comando AT:
at [\\ComputerName] [{[ID] [/delete] | /delete [/yes]}]
at [[\\ComputerName] Hours:Minutes [/interactive] [{/every:Date[,...] | /next:Date[,...]}]
Command]
Parmetros do comando AT:
\\ComputerName: Este parmetro define o nome do servidor onde a tarefa ser agendada para execuo. Se
for omitido, a tarefa ser agendada no para executar no servidor onde o comando at est sendo executado.
ID: Associa um nmero de identificao com o comando.
/delete: utilizado para cancelar um agendamento. Se o ID do agendamento for omitido, todos os comandos
agendados no servidor, sero cancelados.
/yes: Automaticamente responde Yes para todas as mensagens de confirmao que so emitidas quando voc
usa /delete sem informar um ID, para excluir todos os agendamentos.
Hours:Minutes: Define o horrio de execuo do comando que ser agendado para execuo. A hora informada
no formato hh:mm e o relgio utilizado o relgio de 24 horas, ou seja 16:00 horas e no 4:00 PM (ps meio-
dia).
/interactive: Permite que a execuo do comando agendado interaja com o console do usurio que est logado.
Isto , mensagens de execuo sero exibidas pelo comando, no vdeo do usurio.
/every: Utilizado para agendar a execuo do comando em determinados dias da semana. Por exemplo, toda
segunda, quarta e sexta-feira.
Date: Define a data para execuo do comando. Voc pode especificar um ou mais dias da semana (abreviatura
em ingls, comeando pela segunda feira: M,T,W,Th,F,S,Su) ou um ou mais dia do ms (utilizando nmeros
de 1 at 31). Separe mltiplas entradas com vrgula. Se a data no for informada, o comando AT agendar o
comando para ser executado na data atual.
/next: Executa o comando na prxima ocorrncia do dia atual. Por exemplo, na prxima tera-feira (suponde
que hoje seja tera-feira).
Command: Define o comando ou programa (.exe ou .com), ou arquivo de lote (.bat ou .cmd) que ser executado.
Se o comando exige o caminha de um arquivo como argumento, utilize sempre o caminho completo, inclusive
com a unidade, como no exemplo a seguir: C:\rotinasdebackup\backup01.bat. Se o comando estiver sendo
agendado para execuo em um computador remoto, use a conveno de nomes UNC, j descrita anteriormente.
/?: Exibe uma tela de ajuda sobre o comando at.
Para visualizar os comandos que foram agendados para execuo, usando o
comando at, basta executar o comando at sem nenhum parmetro. A seguir mostro
um exemplo da execuo do comando at sem nenhum parmetro:
Status ID Day Time Command Line
OK 1 Each F 4:30 PM net send group leads status due
OK 2 Each M 12:00 AM chkstor > check.file
OK 3 Each F 11:59 PM backup2.bat
Exemplos de utilizao do comando at:
Para exibir a lista de comandos agendadas para execuo em um servidor chamado
SRV01, utilize o seguinte comando:
at \\SRV01
Para exibir informaes sobre um comando que foi agendado para execuo e
para o qual foi atribudo o ID 3, utilize o seguinte comando:
at 3
Para agendar o comando net share, para rodar no servidor chamado SRV01, as
8:00 da manh e para redirecionar a lista de sada para o arquivo result.txt, no
compartilhamento Relatrios, do servidor SRVM, utilize o seguinte comando:
at \\SRV01 08:00 cmd /c net share
relatorios=d:\marketing\relatorios >>
\\SRVM\relatorios\result.txt
Fazer o Backup, significa fazer uma ou mais cpias de segurana dos dados
dos servidores e tambm da instalao do Windows Server 2003 das configuraes
do servidor (Backup do Estado do Sistema). Muitos usurios e at mesmo pequenas
empresas simplesmente ignoram a necessidade de implementar uma poltica de
Backup. Muitas vezes os usurios s se do conta do problema quando tarde
demais, ou seja, quando houve uma perda de dados importantes. o usurio que
perdeu os documentos do Word e figuras da sua tese de mestrado, a vdeo locadora
que perdeu os dados de anos de locaes, o Dentista que perdeu as informaes
sobre as fichas dos pacientes, sobre quais pacientes deviam e assim por diante.
Claro que na rede da sua empresa, a necessidade de backup indiscutvel. Perder
dados significa sistemas fora do ar, perda de clientes, e assim por diante. Em
resumo: grandes dores de cabea e prejuzos. Fazer cpia de segurana uma
NOTA: No Windows Server 2003 est
disponvel um novo comando:
schtasks. Este comando pode ser
utilizado para criar, gerenciar e
administrar tarefas agendadas. Tudo
o que voc aprendeu a fazer na inter-
face grfica, possvel ser feito com o
comando schtasks. Para detalhes
sobre este comando basta abrir a
ajuda do Windows Server 2003 e
pesquisar pelo nome deste comando.
IMPORTANTE: Para utilizar o
comando at voc deve ter permisso
de administrador.
IMPORTANTE: Os comandos no Win-
dows Server 2003 so executados no
prompt de comando. O prompt de
comando o cmd.exe. Quando voc
usa o at para agendar a execuo de
um comando que deve ser executado
no prompt de comando, voc deve
tambm agendar a execuo do
cmd.exe, caso contrrio a execuo do
comando ir falhar. Veja o exemplo a
seguir, onde primeiro executado o
comando cmd e passado para este
comando, como parmetro, o comando
que ser efetivamente executado. Ob-
serve que utilizado o caminho
completo: cmd /c dir > c:\test.out
necessidade real, no temos como fugir deste fato. Alm disso o custo
insignificante, isto mesmo: insignificante se compararmos com os prejuzos que
podem ser causados pela perda de dados.
Neste tpico apresentarei alguns detalhes sobre os tipos de backup existentes e
sobre estratgias de backup que podem ser implementadas. Tambm darei algumas
sugestes sobre os dispositivos de Backup que voc pode utilizar caso nos
servidores da rede da sua empresa.
Definindo o tipo de Backup a ser utilizado.
Dependendo da quantidade de dados e do tempo disponvel para o backup, podem
ser utilizadas diferentes estratgias de backup. As estratgias de backup so
baseadas em um ou mais tipo de backup. Voc pode ter estratgias bastante simples,
baseadas na cpia completa de todos os arquivos, at estratgias mais sofisticadas,
baseadas na combinao entre diferentes tipos de backup. Vou, inicialmente
apresentar os diferentes tipos de backup.
IMPORTANTE: Conhea bem os
tipos de backup, as diferenas en-
tre os tipos e em que situaes
prticas cada tipo deve ser utilizado.
Este um dos tpicos fundamentais
para o Exame 70-290.
NOTA: Neste tpico utilizarei a
palavra Backup como sinnimo de
Cpia de segurana, por ser este
termo j conhecido e consagrado.
No Windows Server 2003 podemos utilizar os seguintes tipos de backup:
Normal (Normal): Com este tipo de backup todos os arquivos so copiados, toda vez que o backup for executado,
independentemente de os arquivos terem sido alterados ou no. O arquivo marcado como tendo sido feito o
backup, ou seja, o atributo de arquivamento desmarcado. Cada arquivo tem um atributo que pode ser marcado
ou desmarcado. Este atributo serve para informar ao Windows Server 2003 se o arquivo foi ou no modificado
desde o ltimo backup normal. A principal vantagem do backup normal a facilidade para fazer a restaurao
dos arquivos, quando necessrio. Com o backup do tipo normal, para restaurar os dados, voc precisa apenas
do ltimo backup normal que foi criado. A desvantagem o tamanho do backup e o tempo para execuo Em
cada execuo do backup, todos os arquivos e pastas sero copiados, independentemente de terem sido alterados
ou no, desde que o ltimo backup normal foi efetuado. Geralmente, o backup normal executado quando
voc cria um conjunto de backup pela primeira vez. Nos backup subseqentes comum a utilizao de outros
tipos de backup, conforme descreverei logo a seguir.
Copy (Cpia): Backup que copia todos os arquivos selecionados, mas no marca cada arquivo como tendo
sofrido backup (em outras palavras, o atributo de arquivamento no desmarcado). idntico ao backup
Normal, com a diferena de que os arquivos no so marcados como tendo sido copiados. A cpia til caso
voc queira fazer backup de arquivos entre os backups normal e incremental (veja descrio do backup incre-
mental logo a seguir), pois ela no afeta essas outras operaes de backup ou quando voc precisa fazer uma
cpia extra dos dados para enviar para um filial da empresa ou para manter a cpia armazenada em um local
seguro.
Incremental (Incremental): Este tipo de backup copia somente os arquivos criados ou alterados desde o ltimo
backup normal ou desde o ltimo backup incremental. Os arquivos copiados para o backup so marcados (ou
seja, o atributo de arquivamento desmarcado). Se voc utilizar uma combinao de backups normais e
incrementais para restaurar os seus dados, ser preciso ter o ltimo backup normal e todos os conjuntos de
backups incrementais feitos aps este backup normal e restaur-los na seqncia correta. A grande vantagem
do backup incremental que ele reduz o tempo necessrio para a execuo do backup, pois somente feita a
cpia dos arquivos que foram criados ou modificados desde o ltimo backup normal ou incremental. A grande
desvantagem que para fazer a restaurao necessrio o ltimo backup normal e todos os backups incrementais
subseqentes. Os backups incrementais devem ser restaurados na seqncia cronolgica em que foram criados.
Alm disso, se um dos backups incrementais apresentar problemas, no ser possvel restaurar os dados at o
ponto do ltimo backup incremental.
Differential (Diferencial): Este tipo de backup faz a cpia de todos os arquivos criados ou alterados desde o
ltimo backup normal ou incremental. Os arquivos que sofreram backup no so marcados como tal (ou seja,
o atributo de arquivamento no desmarcado). Com isso cada backup diferencial, copia todos os arquivos que
foram modificados desde o ltimo backup normal (ou incremental, caso algum tenha sido feito). Se voc
estiver executando uma combinao de backups normal e diferencial, a restaurao de arquivos e pastas exigir
que voc tenha o ltimo backup normal e o ltimo backup diferencial. A restaurao mais rpida do que
quando voc usa backups incrementais, pois somente necessrio o ltimo backup diferencial, porm cada
backup diferencial passa a ser maior, pois contm a cpia de todos os arquivos criados ou modificados desde
o ltimo backup normal ou incremental.
Daily (Dirio): Este tipo de backup copia todos os arquivos selecionados que forem alterados no dia de execuo
do backup dirio. Os arquivos que sofreram backup no so marcados como tal (ou seja, o atributo de
arquivamento no desmarcado). No um tipo muito utilizado. Pode ser utilizado em conjunto com backups
do tipo normal e incremental.
O tipo ou tipos de backup que esto sendo utilizados, definem as estratgias de restaurao (restore) que sero utilizadas,
em caso de perda dos dados originais. A estratgia a ser utilizada depende do volume de dados e do valor dos dados a
serem protegidos. Por exemplo, para um usurio domstico que no tem um grande volume de dados, pode ser suficiente
uma estratgia de backup normal todos os dias. J para os servidores com dados de misso crtica da sua empresa, toda
proteo adicional bem vinda.
Porm voc tem que estar atentos a alguns detalhes importantes. Por exemplo, no adianta voc fazer o backup dos
arquivos, no mesmo disco rgido onde esto gravados os arquivos originais (pois voc pode fazer o backup em fita, em
disco rgido e em vrios outros tipos de mdia suportados pelo Windows Server 2003). Neste caso se o disco rgido
pifar, ou seja, for danificado e no puder ser recuperado, voc perder os arquivos e tambm o backup. Para usurios
domsticos e pequenas empresas, os quais no tem grandes volumes de dados, a utilizao de um segundo disco
rgido, no qual sero feitas as cpias de backup, pode ser uma estratgia eficiente. A possibilidade de os dois discos
rgidos apresentarem problemas ao mesmo tempo muito pequena. J para empresas de grande porte o ideal ter um
conjunto de mdias separado dos servidores e dedicado ao backup. Pode ser uma biblioteca de fitas de backup ou um
espao de armazenamento em disco rgido.
Uma opo muito utilizada o uso de drives de fita como por exemplo do tipo DLT4 de 40 ou 80 GB (j existem
padres de maior capacidade e maior velocidade do que a DLT4). Alm disso aps feito o backup, as fitas devem ser
armazenadas em local separado da sala dos servidores. Se armazenarmos as fitas, na mesma sala onde esto os dados,
corremos o risco de perder os dados e tambm o backup, em caso de incndio, inundao ou outro desastre. Claro que
uma estratgia deste tipo requer investimentos considerveis, mas com certeza so investimentos plenamente justificados
pela importncia dos dados para a empresa.
Outro detalhe importante que as cpias de segurana devem ser sempre testadas. Aps fazer o backup, voc deve
fazer um teste de restaurao para verificar se a cpia realmente foi feita com sucesso. Nada pior do que descobrir, na
hora do restore, que o backup no foi feito adequadamente. Existe at um piada bastante conhecida entre os
administradores de rede e de bancos de dados: O backup sempre funciona, o que no funciona, s vezes, o restore.
Ou seja, o objetivo no o sucesso do backup e sim que, quando necessrio, seja possvel fazer o restore dos dados a
partir do backup. Para garantir que isto seja possvel, preciso que exista uma definio de uma poltica para testes
peridicos do backup.
Exemplos de estratgias de backup/restore.
Agora irei analisar algumas estratgias de backup/restore, baseadas nos diferentes tipos de backup, descritos
anteriormente.
Exemplo 1: feito diariamente um backup Normal, as 23:00 da pasta Meus
documentos. Na sexta-feira, as 14:30 ocorre um problema e a pasta Meus
documentos excluda.
Nesta situao voc tem que restaurar o backup Normal feito na quinta-feira.
Todos as alteraes feitas na sexta-feira sero perdidas, ou seja, os arquivos voltaro
a situao que estavam na quinta-feira, quando foi feito o ltimo backup normal.
Exemplo 2: No domingo feito um backup normal. De segunda a sbado feito
um backup Incremental noite. Na quinta-feira, as 16:00 ocorre um problema e
os dados so excludos.
IMPORTANTE: Entenda bem as
diferentes polticas de Backup/Re-
store, com base nos diferentes tipos
de Backup, disponveis no Windows
Server 2003.
Voc deve restaurar o backup normal do domingo, o backup incremental da segunda-feira, o backup incremental da
tera-feira e o backup incremental da quarta-feira, nesta seqncia. Todas as alteraes feitas na quinta-feira sero
perdidas.
Exemplo 3: feito um backup normal aos domingos. De segunda a sbado so feitos os seguintes backups incrementais:
2:00, 9:00, 12:00, 15:00, 17:00 e 21:00 hs. Na quarta-feira, as 14:30 ocorre um problema e os dados tem que ser
restaurados do backup.
Voc deve restaurar o backup normal do domingo e todos os backups incrementais, em ordem cronolgica, at o
backup incremental da quarta-feira as 12:00, que o ltimo backup incremental feito antes da ocorrncia do problema
as 14:30. Todas as alteraes feitas entre as 12:00 hs. e as 14:30 sero perdidas. Observe que com a utilizao de
backups incrementais durante o dia, voc reduz a possibilidade de perda de dados, porm a restaurao torna-se mais
trabalhosa, pois existe um grande nmero de backups incrementais a serem restaurados. Uma estratgia deste tipo
normalmente utilizada por grandes empresas, que trabalham com grande volumes de dados e no podem nem sequer
pensar em perda de dados.
Exemplo 4: feito um backup normal aos domingos. De segunda a sbado so feitos backups incrementais as 2:00 da
madrugada. Toda quarta-feira feito um backup diferencial as 3:00 da madrugada. Na sexta-feira, as 14:30 ocorre um
problema e os dados tem que ser restaurados do backup.
Voc deve restaurar o backup normal do domingo, o backup diferencial da quarta-feira e o backup incremental da
quinta-feira, nesta seqncia. Todas as alteraes feitas na sexta-feira sero perdidas.
Observe que a utilizao de um backup diferencial, em conjunto com os backups incrementais, reduziu o nmero de
backups a serem restaurados. Neste caso somente foi necessrio restaurar o ltimo backup normal, o ltimo diferencial
e os backups incrementais posteriores. Esta a estratgia mais complexa, mas que ao mesmo tempo otimiza o tempo
de backup e o tempo de restaurao. especialmente indicada para grandes volumes de dados, onde o tempo de
parada um fator crtico.
Questes de segurana relacionadas ao Backup
O usurio que ir realizar o backup ou a conta com a qual ser executada a tarefa agendada, responsvel pelo Backup,
deve ter algumas permisses especiais. A principal delas poder fazer o backup, mesmo de pastas e arquivos para os
quais a conta no tem permisses NTFS de acesso. Se no fosse dessa forma, o usurio responsvel pelo backup
deveria ter permisso, pelo menos de leitura, em todos os arquivos e pastas da rede, o que no seria uma medida muito
aconselhvel em termos de segurana. Se a conta pertencer ao grupo local Administrators (Administradores) ou ao
grupo local do domnio Backup Operators (Opers. de Cpia), ela poder ser utilizada para fazer o backup de qualquer
arquivo ou pasta no servidor local. Se for uma conta de domnio, que pertencer ao grupo Administrators
(Administradores) ou ao grupo Backup Operators (Opers. de Cpia), esta conta ter permisso para fazer o backup de
qualquer arquivo ou pasta, localizado em qualquer computador (servidor ou estao de trabalho) que faa parte do
domnio ou, inclusive, em qualquer computador ou servidor de domnios que mantm uma relao de confiana bi-
direcional com o domnio da conta que est sendo utilizada para o backup.
Se a conta com a qual ser executado o backup, no pertencer a um dos grupos descritos no pargrafo anterior, ela
dever ser dona dos arquivos e pastas que sero copiados para o backup ou, pelo menos, ter uma das seguintes permisses
nos arquivos e pastas a serem copiados para o backup: Read (Leitura) , Read and execute (Leitura e execuo) ,
Modify (Modificar) ou Full Control (Controle Total)
Voc tambm pode restringir o acesso aos dados do backup. Para fazer isso basta
selecionar a opo Permitir que apenas o dono e o Administrador tenham acesso
aos dados do backup. Ao marcar esta opo (que voc aprender a configurar na
parte prtica, logo a seguir) somente um usurio com perfil de Administrador e o
usurio que criou o backup, podero restaurar os arquivos e pastas do backup.
Agora que aprendemos sobre os tipos de backup e sobre estratgias de restore,
bem como sobre questes relacionadas a segurana do backup, hora de aprender
a criar e restaurar um backup, utilizando o utilitrio de backup do Windows
Server 2003.
A seguir descrevo quais os itens que sero includos no Backup, quando voc faz
o Backup do Estado do Sistema.
Dados do estado do sistema:
Com o utilitrio de backup, voc pode fazer backup dos seguintes componentes
de sistema e restaur-los para fazer backup do estado do sistema. estado do sistema.
O estado do sistema uma coleo de dados especficos do sistema mantidos
pelo sistema operacional dos quais deve ser feito backup como um todo. No
um backup de todo o sistema. Os dados do estado do sistema incluem o Registro,
o banco de dados de registro de classe COM+, os arquivos do sistema, os arquivos
de inicializao e os arquivos sob a Proteo de arquivos do Windows. Para
servidores, os dados do estado do sistema tambm incluem o banco de dados dos
servios de certificados (se o servidor for um servidor de certificados). Se o
servidor for um controlador de domnio, os dados do estado do sistema incluiro
o banco de dados do Active Directory e o diretrio SYSVOL. Se o servidor for
um n em um cluster, ele incluir as informaes do banco de dados do cluster. A
metabase IIS estar includa se o IIS estiver instalado.
NOTA: Se voc for fazer o backup
em disco, voc deve verificar se a
conta com a qual est sendo feito o
backup, no tem restrio de cotas
no disco de destino, onde ser
gravado o backup. Se houver uma
restrio de cota, o backup ir
falhar.
NOTA: Voc somente pode fazer o
backup e o restore dos dados do
sistema (instalao do Windows
Server 2003) localmente, no
prprio servidor. No possvel
fazer o backup e o restore dos dados
do Estado do sistema)
remotamente, atravs da rede,
mesmo que voc tenha permisses
de administrador no servidor
remoto. Por exemplo, no possvel
fazer o backup dos dados do
sistema do servidor SRV01 em uma
unidade de fita instalada no
servidor SRV02.
Na Tabela a seguir, descrevo os componentes do Estado do sistema e quando eles so includos no Backup do Estado
do sistema.
O utilitrio de backup se refere a esses componentes de sistema como os dados do estado do sistema. O total de
componentes do sistema que constituem os dados do estado do sistema depende do sistema operacional e da configurao
do computador.
Fazendo o backup e o restore de pastas e arquivos com o Windows
Server 2003.
Introduo
Para fazer o backup e o restore de pastas e arquivos, utilizado o utilitrio de backup do Windows Server 2003, o qual
acessado atravs do seguinte caminho: Iniciar -> Todos os programas -> Acessrios -> Ferramentas do sistema ->
Backup.
Componente Quando este componente includo no estado do sistema?
Registro Sempre
Banco de dados de registro de classe COM+ Sempre
Arquivos de inicializao, incluindo os Sempre
arquivos de sistema
Banco de dados de servios de certificados Se for um servidor de servios de certificados
Servio de diretrio Active Directory Se for um controlador de domnio
Pasta SYSVOL Somente se for um controlador de domnio
Informaes do servio de cluster Se estiver dentro de um cluster
Metadiretrio IIS (Metabase) Se estiver instalado o IIS
Arquivos de sistema que esto na Proteo de Sempre
arquivo do Windows
Voc deve estar logado com a conta com permisso de administrador, ou com
uma conta que pertena ao grupo Backup Operators (Operadores de cpia), para
fazer backup de todos os arquivos e pastas. Usurios com permisses de
administrador ou pertencentes ao grupo Backup Operators (Opers. de cpia),
podero fazer o backup de qualquer arquivo ou pasta, mesmo de arquivos e pastas
para os quais o usurio no tenha permisses NTFS de acesso. Este mecanismo
permite que um nico usurio, normalmente o administrador, possa fazer o backup
de todos os arquivos e pastas, mesmo daqueles para os quais ele no tem permisses
de acesso.
NOTA: Voc tambm pode abrir o
utilitrio de backup, utilizando o
seguinte comando: Iniciar ->
Executar. No campo Abrir digite
ntbackup.exe e clique em OK. Ser
aberto o utilitrio de backup, o qual
detalharei logo a seguir.
Ao abrir o utilitrio de backup pela primeira vez (usando um dos mtodos descritos anteriormente) ele ser aberto, por
padro, no modo de Assistente, conforme indicado na Figura 8.15.
Figura 8.15 Modo de assistente modo padro do utilitrio de backup.
Se a caixa Sempre iniciar no modo assistente estivar marcada, o utilitrio de backup sempre ser inicializado no modo
de assistente. Se voc desmarcar esta opo, o utilitrio ser aberto no modo completo. Se voc clicar na opo Modo
avanado, ser exibida a interface completa do utilitrio de backup.
O utilitrio de backup permite que voc faa backup de dados em um arquivo no disco rgido ou em uma fita de
backup. Para fazer backup de dados em um arquivo, preciso designar um nome e um local para o arquivo a ser salvo.
Geralmente, os arquivos de backup possuem a extenso .bkf, mas voc pode alter-la para qualquer outra extenso. O
arquivo de backup pode ser salvo em um disco rgido, um disquete ou qualquer outra mdia, removvel ou no removvel,
na qual seja possvel salvar arquivos. No caso de backup para um arquivo em disco importante que o arquivo de
backup (.bkf) no seja gravado no mesmo disco rgido onde esto os arquivos que esto sendo copiados para o backup,
pois se o disco rgido apresentar problemas e for danificado, voc perder os dados originais e tambm o backup, ou
seja, no haver como restaurar os dados.
Para fazer backup de dados em uma fita, voc precisa ter um dispositivo de fita (drive de fita) conectado ao servidor.
Existem diversos modelos de drives de fita, com diferentes capacidades e velocidades. O modelo a ser escolhido,
depende do volume de dados que faro parte do backup e do tempo disponvel para o backup.
O utilitrio de backup tambm utilizado para fazer a restaurao (restore) das informaes, caso algum problema
ocorra com os dados originais. Na verdade o utilitrio de backup um utilitrio de backup e restore. Quando ocorre
algum problema com os dados e estes precisam ser restaurados, voc utiliza o utilitrio de backup para ler os dados a
partir do backup (arquivo .bkf ou unidade de fita ou em disco) e restaura-los para o local de origem. possvel
restaurar os dados para o local original ou para um local alternativo, onde voc pode analisar os arquivos para conferir
se est tudo OK e somente ento copiar para o local original.
Tambm possvel agendar tarefas de backup para que sejam executadas automaticamente em determinados horrios
e dias. Por exemplo, voc pode agendar uma tarefa de backup para que faa um backup incremental de determinadas
pastas e arquivos, diariamente, as 2:00 da madrugada.
Agora hora de aprender a executar uma srie de operaes de backup e restore, atravs de exemplos prticos.
Fazendo o backup de pastas e arquivos utilizando o modo assistente de backup.
Neste exemplo prtico, vou usar o utilitrio de backup no modo assistente, para fazer o backup da pasta C:\Documentos
(utilize como exemplo uma pasta do servidor no qual voc est trabalhando ou um drive de rede mapeado no servidor
no qual voc est trabalhando). Tambm vou usar o assistente para criar e agendar uma tarefa que executa este backup,
diariamente, as 2:00 da manh. Vou criar um backup do tipo normal. O backup ser feito na unidade de disco F:
(utilize uma unidade do servidor no qual voc est trabalhando), em uma pasta chamada backups, com o nome de
documentos.bkf. Observe que estou fazendo o backup em uma unidade de disco rgido diferente da unidade onde
esto os arquivos que sero copiados para o backup.
Para criar o backup proposto e agenda-lo, siga os passos indicados a seguir:
1. Faa o logon com uma conta com permisso de administrador ou com uma conta pertencente ao grupo Backup
operators (Opers. de cpia).
2. Abra o utilitrio de backup, utilizando um dos seguintes procedimentos:
Iniciar -> Todos os programas -> Acessrios -> Ferramentas do sistema -> Backup
Ou
Iniciar -> Executar. No campo Abrir digite ntbackup.exe e clique em OK.
Ser aberto o utilitrio de backup no modo assistente, conforme indicado na Figura 8.15, anteriormente.
3. A primeira tela do assistente apenas informativa. Para acessar o modo avanado, ou seja, a interface completa
do utilitrio de backup, basta clicar na opo Modo avanado. No nosso exemplo vamos utilizar o Modo Assistente.
Clique no boto Avanar, para ir para a prxima etapa do assistente.
4. Nesta etapa voc define se deseja fazer um backup Fazer backup de arquivos e configuraes ou se deseja
restaurar arquivos a partir de um backup feito anteriormente Restaurar arquivos e configuraes. Marque a
opo Fazer backup de arquivos e configuraes. Clique no boto Avanar, para ir para a prxima etapa do
assistente.
5. Nesta etapa do assistente, esto disponveis as duas opes descritas a seguir:
Todas as informaes disponveis neste computador: Selecione esta opo
para fazer um backup completo, de todos os volumes do servidor. Esta
opo tambm gera um disco de recuperao, o qual pode ser utilizado
para recuperao do Windows Server 2003 em caso de falhas mais graves,
como quando um dos arquivos do sistema corrompido.
6. Certifique-se de que a opo Eu escolherei os itens dos quais fazer backup
esteja selecionada, conforme indicado na Figura 5.16 e clique no boto
NOTA: No Captulo 12 voc
aprender a planejar e a
implementar uma poltica de
recuperao desastres no Win-
dows Server 2003.
nEu escolherei os itens para backup:
Esta opo permite que voc
selecione as pastas e arquivos as
quais faro parte do backup.
Figura 8.16 O usurio definir os arquivos e pastas que faro parte do backup.
7. Nesta etapa voc define quais arquivos e pastas faro parte do backup. No painel da esquerda exibida uma
estrutura de navegao na forma de rvore, idntica a estrutura utilizada no Windows Explorer. Navegue at a
pasta C:\Documentos e marque a caixa de opo ao lado desta pasta, conforme indicado na Figura 8.17 e clique
no boto Avanar, para ir para a prxima etapa do assistente.
Figura 8.17 Selecionando as pastas que faro parte do backup.
8. Nesta etapa voc define o local de destino para o backup. Observe que na lista Selecione o tipo de backup, j vem
selecionada a opo Arquivo e esta lista est desabilitada. Isto acontece porque no tenho um drive de fita instalado
no servidor utilizado no exemplo. Neste caso somente est disponvel a opo Arquivo. Para definir o local de
destino clique no boto Procurar.. Ser exibida a janela Salvar como, na qual voc seleciona a pasta de destino e
o nome do arquivo que conter o backup. Selecione a pasta de destino e defina o nome do arquivo, conforme
exemplo indicado na Figura 8.18:
Figura 8.18 Definindo a pasta de destino e o nome do arquivo de backup.
9. Clique no boto Salvar, voc estar de volta ao Assistente de backup, com as opes selecionadas na janela Salvar
como, j definidas no assistente de backup, conforme indicado na Figura 8.19.
Figura 8.19 Informaes de destino j definidas.
10. Clique no boto Avanar, para ir para a prxima etapa do assistente.
11. Ser exibida a tela final do Assistente. Nesta tela ser apresentado um resumo das opes selecionadas nos passos
anteriores. Para alterar alguma opo utilize o boto Voltar. Para definir o agendamento e o tipo de backup a ser
utilizado clique no boto Avanado... Ao clicar no boto Avanado..., sero disponibilizadas etapas adicionais do
assistente. Clique no boto Avanado...
12. Ser aberto um novo assistente, para configurao das opes avanadas do Backup. Na primeira etapa ser
exibida uma lista para que voc selecione o tipo de backup. Por padro vem selecionado o tipo Normal que o
tipo que ser utilizado no nosso exemplo. Certifique-se de que esteja selecionada a opo Normal e clique no
boto Avanar, para ir para a prxima etapa do assistente.
Nesta etapa voc pode definir as seguintes opes:
Verificar dados aps o backup: Se voc marcar esta opo, os dados sero
verificados aps ter sido feito o backup. A verificao feita para garantir
que os dados que foram copiados para o backup so idnticos aos dados
originais. Ao ativar a verificao, o backup ir demorar bem mais para ser
concludo, porm voc ter a confirmao de que o backup est sendo
feito corretamente e que os dados esto corretos.
Usar compactao por hardware, se disponvel: Esta opo permite que
voc utiliza a capacidade de compactao de alguns drives de fita de
backup. Somente estar disponvel se voc tiver um drive de fita instalado
e estiver fazendo o backup para o drive de fita.
Desativar a cpia de sombra de volume: Sombra de volume uma
horrvel traduo para o recurso de Shadow Copies, o qual ser
apresentado no final do Captulo. As cpias de sombra de volume permitem
que seja feito o backup de arquivos, mesmo que algumas informaes
ainda estejam sendo gravadas no disco rgido.
IMPORTANTE: Permita-me
enfatizar este ponto, pela terceira
vez. fundamental que voc
entenda claramente os diferentes
tipos de backup e em que situaes
eles so utilizados, bem como as
estratgias de restore a serem
utilizadas, com base nos tipos de
backups que foram efetuados. Re-
vise bem este item, apresentado
anteriormente neste captulo.
13. Certifique-se de que as opes desta etapa estejam todas desmarcadas e clique no boto Avanar, para ir para a
Nesta etapa do assistente voc pode definir as seguintes opes:
Acrescentar este backup aos backups existentes: Esta opo permite que sejam mantidos diferentes backups
(por exemplo, backups feitos em diferentes datas) em um mesmo arquivo de backup (.bkf) ou em uma fita de
backup.
Substituir os backups existentes: Se voc marcar esta opo, todos os backups anteriores, caso exista algum, no
arquivo Documentos.bkf (ou na fita que estiver sendo utilizado, no caso de um backup em fita), sero excludos
e somente o backup que est sendo feito ser gravado. Ao marcar esta opo, a opo Permitir que somente o
proprietrio e o administrador tenham acesso aos dados de backup e a todos os backups acrescentados a este
mdia, ser habilitada. Esta opo utilizada para impedir que qualquer outro usurio possa restaurar os dados do
backup, mesmo no tendo permisses sobre os arquivos originais. uma proteo adicional aos dados.
14. Certifique-se de que as opes Substituir os backups existentes e Permitir que somente o proprietrio e o
administrador tenham acesso aos dados de backup e a todos os backups acrescentados a este mdia estejam
marcadas, conforme indicado na Figura 8.20:
Figura 8.20 Definindo opes de Backup.
16. Nesta etapa podemos definir um agendamento para o Backup. Ao definir um agendamento, ser criada uma
Tarefa agendada, a qual executar o backup com as opes escolhidas, nos horrios programados. Para definir um
agendamento marque a opo Mais tarde. Para nome da tarefa agendada digite Backup de Documentos do drive
C, conforme indicado na Figura 8.21:
Figura 8.21 Habilitando o agendamento.
Figura 8.22 Configurando as opes de agendamento.
17. Para definir os dias e horrios de execuo da tarefa, clique no boto Definir agendamento... Ser exibida a janela
Agendar trabalho, j descrita no incio do Captulo, onde tratei sobre a configurao do Agendamento de Tarefas
agendadas. Selecione as opes indicadas na Figura 8.22 e clique em OK.
18. Voc estar de volta ao Assistente de backup. Clique no boto Avanar, para
ir para a prxima etapa do assistente.
19. Ser exibida a janela para definir informaes de conta, na qual voc
precisa informar o nome e senha da conta que ser utilizada para a
execuo da tarefa agendada responsvel pela execuo do backup. Digite
o nome da conta e a senha duas vezes, conforme indicado na Figura 8.23
e clique em OK.
20. Voc estar na tela final do assistente. Ser exibido um resumo das opes
selecionadas. Utilize o boto Voltar, caso voc precise alterar alguma opo.
Para finalizar o assistente e criar a tarefa agendada responsvel pela execuo
do backup, clique no boto Concluir.
A tarefa criada e todos os dias, as 2:00 da madrugada a tarefa ser executada e
o backup da pasta C:\docuementos ser feito. Voc pode fazer com que a tarefa
seja executada imediatamente, para testar se o backup ser feito corretamente.
IMPORTANTE: Pode haver situaes
prticas onde voc ter que executar
um Backup com periodicidades
diferentes, como por exemplo: todos os
dias as 2:00 da madrugada e somente
no Sbado as 8:00 da manh. Nestas
situaes voc tem que criar mltiplos
agendamentos. Um agendamento para
fazer o backup de segunda a sexta, as
2:00 da madrugada e um segundo
agendamento para fazer o backup, aos
Sbados, as 8:00 da manh. Para criar
mltiplos agendamentos voc usa a
opo Mostrar vrios agendamentos,
a qual j foi descrita no tpico sobre
Tarefas agendadas, no incio do captulo
Figura 8.23 Conta para a execuo da tarefa agendada.
Para executar a tarefa manualmente e fazer o backup, siga os passos indicados a seguir:
1. Abra o Painel de controle: Iniciar -> Painel de controle.
2. Abra a opo Tarefas agendadas.
3. A tarefa Backup de Documentos do drive C j deve aparecer na lista de tarefas agendadas, conforme indicado na
Figura 8.24:
Figura 8.24 A tarefa Backup de Documentos do drive C.
4. Clique na tarefa Backup de Documentos do drive C para marca-la e selecione o comando Arquivo -> Executar.
5. O utilitrio de backup ser inicializado e o backup da pasta C:\Documentos comear a ser feito, conforme
Figura 8.25 O backup da pasta C:\Documentos sendo feito.
6. Aps o encerramento do backup a janela do utilitrio de backup automaticamente fechada e voc estar de volta
janela Tarefas agendadas. Feche a janela Tarefas agendadas.
7. Abra o Windows Explorer e navegue at a pasta onde foi feito o backup e verifique se o arquivo Documentos.bkf
foi criado, conforme exemplo da Figura 8.26:
Figura 8.26 O arquivo Documentos.bkf.
O arquivo Documentos.bkf contm todo o contedo da pasta C:\Documentos e poder ser utilizado para restaurar o
contedo desta pasta em caso de perda dos dados.
Agora voc aprender um pouco mais sobre a interface completa do utilitrio de backup do Windows Server 2003.
Fazendo o backup de pastas e arquivos utilizando a interface completa.
Neste exemplo prtico, vou utilizar o utilitrio de backup no modo completo, para fazer o
backup da pasta Meus documentos do usurio Logado. Tambm vou criar e agendar uma tarefa que executa este
backup, diariamente, as 22:00 hs. Vou criar um backup do tipo normal. O backup ser feito na unidade de disco F:, em
uma pasta chamada backups, com o nome de Meus documentos.bkf. Observe que estou fazendo o backup em uma
unidade de disco rgido diferente da unidade onde esto os arquivos que faro parte do backup.
Para criar o backup proposto e agenda-lo, siga os passos indicados a seguir:
1. Faa o logon com uma conta do usurio para o qual voc deseja fazer o
backup da pasta Meus documentos.
2. Abra o utilitrio de backup, utilizando um dos procedimentos descritos
anteriormente. Ser aberto o utilitrio de backup no modo assistente.
3. A primeira tela do assistente apenas informativa. Para acessar o modo
avanado, ou seja, a interface completa do utilitrio de backup d um clique
na opo Modo avanado.
NOTA: As opes que foram
explicadas no exemplo anterior, no
sero explicadas novamente. Irei
focar mais na utilizao da interface
completa, do utilitrio de backup.
4. Ser aberta a janela do utilitrio de backup, com a guia Bem-vindo selecionada, conforme indicado na Figura
8.27:
Figura 8.27 O utilitrio de backup no mode de interface completa.
Na guia Bem-vindo voc tem a opo de iniciar o Assistente de backup (Avanado), o Assistente para restaurao
(Avanado) ou o Assistente Para Recuperao Automatizada do Sistema, o qual ser visto no Captulo 12. O assistente
para restaurao ser visto mais adiante, ainda neste captulo. Voc utiliza a guia Backup para criar um novo backup.
No exemplo proposto, utilizarei a guia Backup. A guia Restaurar e gerenciar mdia ser vista no prximo tpico. A
guia Trabalhos agendados exibe o calendrio do ms e um indicativo das tarefas agendadas para cada dia. Esta guia
tambm pode ser utilizada para adicionar novas tarefas agendadas.
5. D um clique na guia Backup. No painel da esquerda voc pode navegar pelos volumes e pastas de cada volume
do computador ou da rede, selecionando os arquivos e pastas que faro parte do Backup. Para o nosso exemplo,
marque a pasta Meus documentos, conforme indicado na Figura 8.28. No campo Mdia de backup ou nome do
arquivo, digite F:\Backups\Meus documentos.bkf, conforme indicado na Figura 8.28.
Figura 8.28 Selecionando a pasta Meus documentos, do usurio logado.
6. Para definir o tipo de backup selecione o comando Ferramentas -> Opes. Ser exibida a janela Opes com a
guia Tipo de backup j selecionada. Certifique-se de que a opo Normal esteja selecionada e clique em OK.
7. Voc estar de volta a janela do utilitrio de backup. Agora vou definir um agendamento para o backup. Para isso
vou alternar para o Assistente de backup, porm mantendo as configuraes que j foram feitas. Selecione o
comando Ferramentas -> Assistente de backup. Surge uma janela pedindo se voc deseja manter as configuraes
j efetuadas. Clique em Sim para manter as configuraes.
8. O assistente aberto. Clique no boto Avanar, para ir para a prxima etapa do assistente.
9. Observe que na segunda etapa j aparece selecionada a pasta Meus documentos. Clique no boto Avanar, para ir
para a prxima etapa do assistente.
10. Nesta etapa voc precisa redefinir o arquivo de destino, pois esta configurao no mantida. Para o nosso
exemplo vou definir o destino como sendo o drive F:\Backups\Meus documentos.bkf. Utilize o destino que for
mais adequado para o seu caso. Para definir o destino utilizamos o boto Procurar..., conforme descrito no exemplo
anterior. Defina o arquivo de destino para o backup e clique no boto Avanar, para ir para a prxima etapa do
assistente.
11. Nesta etapa clique no boto Avanado... para definir o agendamento.
12. exibida uma lista para que voc defina o tipo de Backup. Certifique-se de que a opo Normal esteja selecionada
e clique no boto Avanar, para ir para a prxima etapa do assistente.
13. Nesta etapa certifique-se de que todas as opes (j descritas no exemplo anterior) estejam desmarcadas e clique
no boto Avanar, para ir para a prxima etapa do assistente.
14. Nesta etapa certifique-se de que as opes Substituir os backups existentes e Permitir que somente o proprietrio
e o administrador tenham acesso aos dados de backup e a todos os backups acrescentados a este mdia, estejam
marcadas e clique no boto Avanar, para ir para a prxima etapa do assistente.
15. Nesta etapa vou definir o agendamento. Clique na opo Mais tarde. No campo Entrada de agendamento digite:
Backup de Meus documentos. Clique no boto Definir agendamento... e defina as opes indicadas na Figura
8.29. Depois clique em OK.
Figura 8.29 Backup dirios s 22:00 hs.
16. Voc estar de volta ao Assistente de backup. Clique no boto Avanar, para ir para a prxima etapa do assistente.
17. Ser exibida a janela Definir informaes de conta, na qual voc precisa informar o nome e senha da conta que
ser utilizada para a execuo da tarefa agendada responsvel pela execuo do backup. Digite o nome da conta
e a senha duas vezes e clique em OK.
18. Voc estar na tela final do assistente. Ser exibido um resumo das opes selecionadas. Utilize o boto Voltar
caso voc precise alterar alguma opo. Para finalizar o assistente e criar a tarefa agendada responsvel pela
execuo do backup, clique no boto Concluir.
Figura 8.30 Duas tarefas agendadas para execuo diria.
As duas tarefas dirias so resultado dos dois exemplos que fizemos at agora. Se voc deixar o mouse sobre uma das
tarefas, aparece uma pequena descrio da tarefa. Se voc der um clique duplo em uma dia no calendrio mensal, ser
aberto o assistente de backup, para que voc crie uma nova tarefa de backup..
20. Feche o utilitrio de backup.
A tarefa criada e agendada para executar todos os dias, a partir da data de criao, as 22:00 hs. a tarefa ser executada
e o backup da pasta Meus documentos ser feito. Voc pode fazer com que a tarefa seja executada imediatamente, para
testar se o backup ser feito corretamente, conforme descrito no exemplo anterior.
Observe que a criao de uma tarefa para execuo do backup consiste basicamente na utilizao do assistente de
backup.
Agora voc aprender a fazer o restore a partir de um arquivo de backup.
Fazendo o restore das informaes a partir do backup.
Neste exemplo prtico, vou utilizar o utilitrio de backup/restore para fazer o restore da pasta C:\Documentos a partir
do backup E:\Backups\Documentos.bkf. Observe que estou simulando uma situao onde houve um problema com a
pasta C:\Documentos e necessrio restaura-la a partir do backup. Vou fazer a restaurao para um local alternativo,
ou seja, no para a pasta original. No nosso exemplo farei a restaurao para o drive E:\Documentos. Apenas para
lembrar, os arquivos originais que foram copiados para o backup esto em C:\Documentos.
19. Voc estar de volta janela Utilitrio de backup. Clique na guia Trabalhos agendados. Observe que existem dois
trabalhos de backup (tarefas) agendados para executar diariamente, conforme indicado na Figura 8.30:
Com o Assistente de restaurao que ser utilizado neste exemplo, possvel restaurar a pasta C:\Documentos completa
ou apenas parte do seu contedo. Por exemplo, pode ser que um determinado arquivo da pasta Documentos tenha sido
excludo por engano. Neste caso basta restaurar a penas o arquivo que foi excludo por engano e no toda a pasta
Documentos.
Tambm possvel fazer a restaurao para outra pasta que no para a localizao original. Neste caso faramos o
restore para uma pasta alternativa, verificaramos se os arquivos foram restaurados com sucesso e ento copiaramos
os arquivos para a pasta Documentos original.
Para fazer o restore da pasta C:\Documentos a partir do arquivo de backup Documentos.bkf, siga os passos indicados
a seguir:
1. Faa o logon com uma conta com permisso de administrador ou com uma conta do grupo Backup Operators
(Opers. de Cpia).
2. Abra o utilitrio de backup, utilizando um dos procedimentos descritos anteriormente. Ser aberto o utilitrio de
backup no modo assistente.
3. A primeira tela do assistente apenas informativa. Para acessar o modo avanado, ou seja, a interface completa
do utilitrio de backup d um clique na opo Modo avanado.
4. Ser aberta a janela do utilitrio de backup, com a guia Bem-vindo selecionada.
5. Clique no boto ao lado da opo Assistente para restaurao (avanado).
6. Ser aberto o Assistente para restaurao. A primeira tela apenas informativa. Clique no boto Avanar, para ir
Surge a janela Itens a serem restaurados. Nesta etapa voc define o drive de fita ou o arquivo .bkf a partir do qual
os dados sero restaurados.
7. Clique no boto Procurar... Surge a janela Abrir arquivo de backup. Nesta janela voc pode digitar o caminho
completo para o arquivo .bkf, que no nosso exemplo : E:\Backups\Documentos.bkf, conforme indicado na Figura
15.31:
Figura 8.31 Informando o caminho para o arquivo .bkf.
8. Aps digitar o caminho para o arquivo .bkf clique em OK. Dependendo do
tamanho do arquivo o Windows Server 2003 pode demorar alguns instantes
para acess-lo. Voc estar de volta janela do assistente e o arquivo
Documentos.bkf j aparece no Painel da esquerda. Clique no sinal de + ao
lado de Documentos.bkf para expandi-lo. Marque a caixa de seleo ao lado
do drive C, conforme indicado na Figura 8.32:
NOTA: Ao invs de digitar o
caminho para o arquivo .bkf voc
pode utilizar o boto Procurar..., da
janela Abrir arquivo de backup). Ao
clicar neste boto ser aberta a
janela Selecione o arquivo para
catalogar. Nesta janela voc pode
navegar at a pasta onde est o
arquivo .bkf, clicar nele para marc-
lo e clicar no boto Abrir. O Win-
dows Server 2003 voltar para a
janela Abrir arquivo de backup, com
o caminho para o arquivo j
preenchido.
Figura 8.32 Selecionando o arquivo de backup a ser restaurado.
10. Ser exibida a tela final do Assistente com um resumo das opes
selecionadas. Caso voc queira alterar alguma opo, utilize o boto Voltar.
Se voc encerrar o assistente neste momento, o Windows Server 2003 ir
restaurar os arquivos para os locais originais, isto , para as pastas onde estes
estavam gravados quando foram copiados para o backup. Se quiser fazer a
restaurao para um local alternativo, voc deve que utilizar o boto
Avanado...
11. Clique no boto Avanado..., para especificar um local alternativo para a
restaurao do backup.
12. Ser exibida a janela Onde restaurar. Na lista Restaurar os arquivos em vem
selecionado, por padro, a opo Local original. Se voc escolher esta opo
os arquivos sero restaurados para a pasta de origem. Selecione a opo Lo-
cal alternativo. Observe que ao selecionar esta opo, exibido o campo
Local alternativo, no qual voc pode especificar o novo local para restaurao
dos arquivos. Digite E:\Documentos, conforme indicado na Figura 8.33.
10. Surge a janela Como restaurar. Nesta etapa voc tem as seguintes opes:
Manter os arquivos existentes (recomendvel): Se voc selecionar esta
opo, os arquivos j existentes no local de destino, no sero sobrescritos
pelos arquivos copiados a partir do backup. Esta opo indicada quando
voc est restaurando um backup para recuperar um ou mais arquivos que
NOTA: Ao marcar a caixa de seleo
ao lado de Documentos.bkf estamos
solicitando ao Windows Server 2003
que restaure todo o contedo deste
arquivo de backup. Porm poderamos
restaurar apenas uma ou mais pasta
ou um ou mais arquivos e no todo o
contedo. Por exemplo, pode ser que
o usurio tenha excludo por engano,
um nico arquivo. Neste caso no
necessria a restaurao de todo o
backup e sim apenas do arquivo que
foi perdido. Para restaurar apenas parte
do backup, basta clicar no sinal de +
ao lado de Documentos.bkf. Ser
exibida a lista de drives a partir dos
quais foram copiados dados para o
backup. No nosso exemplo surgir o
drive C. Clique no sinal de mais ao lado
de drive C. Sero exibidas as pastas do
drive C que foram copiadas para o
backup. Agora s ir navegando e
marcando as pastas e/ou arquivos a
serem restaurados.
foram excludos por engano. Se o nmero de arquivos excludos por engano for pequeno mais vantagem
selecionar apenas os arquivos a serem recuperados, conforme descrito anteriormente.
Figura 8.33 Especificando um local alternativo para a restaurao.
Substituir os arquivos existentes se eles forem mais antigos do que o backup: Se voc marcar esta opo, os
arquivos que j existirem na pasta de destino, somente sero substitudos se forem mais antigos do que os
arquivos que esto sendo restaurados a partir do backup.
Sempre substituir arquivos: Se voc selecionar esta opo, todos os arquivos que j existirem na pasta de
destino sero substitudos pelos arquivos do backup, independente de serem mais antigos ou no. Utilize esta
opo com cuidado.
11. Certifique-se de que a opo Manter os arquivos existentes (recomendado) esteja selecionada e clique no boto
12. Nesta etapa voc define se deseja ou no Restaurar configuraes de segurana. Certifique-se de que a opo
Restaurar configuraes de segurana esteja selecionada. Esta opo garante que as permisses NTFS e demais
opes de segurana como criptografia, sejam mantidas ao restaurar o backup. Clique no boto Avanar, para ir
13. Ser exibida a tela final do Assistente com um resumo das opes selecionadas. Caso voc queira alterar alguma
opo, utilize o boto Voltar. Para iniciar o processo de restaurao clique no boto Concluir.
O processo de restaurao inicializado, conforme indicado na Figura 8.34.
14. Ao final do processo de restaurao a janela de restaurao mantida aberta com uma mensagem informando
que a restaurao foi efetuada com sucesso. Clique em Fechar, para sair da janela de restaurao.
15. Voc estar de volta janela do utilitrio de backup. Feche-o.
Figura 8.34 Restaurao dos arquivos.
16. Abra o Windows Explorer e navegue para a pasta onde voc fez a restaurao. Observe se os arquivos foram
restaurados com sucesso.
17. Feche o Windows Explorer.
O log do backup.
O Windows Server 2003 mantm um registro das operaes de backup e restaurao. Este registro pode ser utilizado
pelo Administrador para verificar se as tarefas de backup esto sendo executadas com sucesso.
Para acessar informaes sobre as operaes de backup, siga os seguintes passos:
administrador.
2. Abra o utilitrio de backup no modo avanado, conforme explicado
anteriormente.
3. Selecione o comando Ferramentas -> Relatrio...
4. Ser exibida a janela Relatrios de Backup, conforme indicado na Figura 8.35:
IMPORTANTE: O log de Backup
gravado como parte da Profile da
conta com a qual est sendo
executado o Backup. Por exemplo,
se o usurio jsilva estiver em sua
estao de trabalho micro01,
fazendo o bakcup de pastas de um
Servidor server02, o log de bakcup
ser gravado na Profile do usurio
jsilva, no computador micro01.
Figura 8.35 A janela de relatrios de backup.
5. Os nomes que aparecem nesta listagem esto relacionados com os nomes que voc definiu para o backup. O
nome Interativo ser exibido para os backups que foram feitos utilizando a interface completa ao invs do assistente
de backup. Selecione um backup na lista e clique em Exibir. O Bloco de Notas ser aberto com um relatrio de
todas as operaes efetuadas, conforme exemplo indicado a seguir:
Status da restaurao
Operao: restaurao
Backup de C:, restaurado para E: Dados\Documentos\
Conjunto de backup n1 na mdia n1
Descrio do backup: Conjunto criado em 20/4/2002 s 22:22
A restaurao foi iniciada no(a) 21/4/2002 (s) 08:27.
Restaurao concluda no(a) 21/4/2002 (s) 08:28.
Pastas: 31
Arquivos: 753
Bytes: 69.618.787
Tempo: 48 segundos
6. Feche o Bloco de notas. Voc estar de volta janela de relatrios de backup. Clique em Cancelar para fech-la.
Voc estar de volta ao utilitrio de backup.
Definindo opes padro de backup e restore.
Ao utilizar o assistente de backup e/ou restore, voc deve ter notado que algumas opes vem selecionadas por padro.
possvel alterar algumas destas opes, definindo novos padres. Isto feito atravs do comando Ferramentas ->
Opes... do utilitrio de backup.
Para configurar opes padro de backup/restore, faa o seguinte:
1. Faa o logon como Administrador ou com uma com permisso de administrador
2. Abra o utilitrio de backup.
3. Selecione o comando Ferramentas -> Opes...
4. A janela Opes ser exibida. D um clique na guia Geral. Sero exibidas as opes indicadas na Figura 8.36:
Figura 8.36 A guia geral da janela de opes.
Na guia Geral podem ser configuradas as seguintes opes:
Computar as informaes de seleo antes das operaes de backup e restaurao: Estima o nmero de arquivos
e bytes que sero copiados ou restaurados durante a operao de backup ou restaurao atual. Estas informaes
sero calculadas e exibidas antes do incio do backup ou da restaurao.
Usar catlogos na mdia para acelerar a constituio de catlogos de restaurao no disco: De uma maneira
simplificada, um catlogo contm as informaes que o utilitrio de backup usa para gerenciar um ou mais
backups efetuados na mesma fita ou no mesmo arquivo .bkf. Esta opo, quando marcada, indica que voc
deseja usar o catlogo em mdia para construir o catlogo em disco para restaurar os arquivos e pastas
selecionados. Esse o modo mais fcil de criar um catlogo em disco. Se voc desejar restaurar dados de
vrias fitas e a fita com o catlogo em mdia estiver faltando ou desejar restaurar dados da mdia que est
danificada, no dever selecionar esta opo. O backup verificar todo o conjunto de backup (ou o que voc
tiver) e criar um catlogo em disco. Este procedimento poder demorar vrias horas se o conjunto de backup
for muito extenso.
Verificar dados aps o backup ser concludo: Verifica os dados de backup comparando-os com os dados
originais no disco rgido para certificar-se de que sejam os mesmos. Se no forem, pode haver um problema
com a mdia ou com o arquivo que voc est usando para fazer backup dos dados. Caso algum problema seja
detectado voc deve usar uma mdia diferente ou designar outro arquivo e executar a operao de backup
novamente.
Fazer o backup do contedo de unidades montadas: Faz backup dos dados que estiverem em uma unidade
montada. Se voc selecionar esta opo e fizer backup de uma unidade montada, ser efetuado o backup dos
dados nessa unidade montada. Se voc no selecionar essa opo e fizer backup de uma unidade montada,
ser efetuado o backup somente das informaes do caminho para essa unidade.
Mostrar uma mensagem de alerta quando o backup for iniciado e o Armazenamento removvel no estiver
sendo executado: Exibe uma caixa de dilogo quando voc iniciar o backup e o armazenamento removvel no
estiver em execuo. Se voc fizer backup de dados principalmente em um arquivo e salvar o arquivo em um
disquete, disco rgido ou qualquer tipo de disco removvel, no precisar marcar esta caixa de seleo. Se voc
fizer backup de dados principalmente em uma fita ou outra mdia gerenciada pelo armazenamento removvel,
como por exemplo um zip drive, dever marcar esta caixa de seleo.
Mostrar uma mensagem de alerta quando o backup for iniciado e no houver uma mdia de importao
compatvel disponvel: Exibe uma caixa de dilogo quando voc iniciar o backup e existir uma nova mdia
disponvel no pool de importao de armazenamento removvel. Se voc fizer backup de dados principalmente
em um arquivo e salvar o arquivo em um disquete, disco rgido ou qualquer tipo de disco removvel, no
precisar marcar esta caixa de seleo. Se voc fizer backup de dados principalmente em uma fita ou outra
mdia que seja gerenciada pelo armazenamento removvel, dever marcar esta caixa de seleo.
Mostrar uma mensagem de alerta quando uma nova mdia for inserida: Exibe uma caixa de dilogo quando a
nova mdia for detectada pelo armazenamento removvel.
Sempre permitir o uso de mdias reconhecveis sem perguntar antes: Move automaticamente a nova mdia detectada
pelo armazenamento removvel para o pool de backup. Se voc fizer backup de dados principalmente em um
arquivo e salvar o arquivo em um disquete, disco rgido ou qualquer tipo de disco removvel, no precisar
marcar esta caixa de seleo. Se voc usar o armazenamento removvel para gerenciar a mdia e desejar que todas
as novas mdias estejam disponveis somente para o programa de backup, dever marcar esta caixa de dilogo.
5. D um clique na guia Restaurar. Sero exibidas as opes indicadas na Figura 8.37:
Figura 8.37 A guia Restaurar da janela de opes.
Nesta guia voc pode definir um dos seguintes padres, j descritos anteriormente:
No substituir o arquivo no computador (recomendvel). Esta a opo definida por padro.
Substituir o arquivo no disco somente se ele for mais antigo.
Sempre substituir os arquivos no computador.
6. D um clique na guia Tipo de backup. Nesta guia est disponvel uma lista para que voc selecione o tipo padro de
Backup. O padro est definido como Normal. Utilize a lista Tipo de backup padro, para definir um novo padro.
7. D um clique na guia Log de backup. Nesta guia voc pode definir uma das seguintes opes para o log de backup.
Detalhado: Salva um registro detalhado das operaes de backup e restaurao que voc executar. Este o
arquivo de log mais informativo que o backup pode criar.
Resumido: Salva um resumo das operaes de backup e restaurao que voc executar. Esse o arquivo de log
menos informativo que o backup pode criar.
Nenhum: Especifica que voc no deseja criar um arquivo de log das operaes de backup e restaurao.
Por padro selecionado o tipo Resumido.
8. D um clique na guia Excluir Arquivos. Ser exibida a janela indicada na Figura 8.38.
Nesta guia voc define quais arquivos no devero fazer parte do backup, mesmo que o usurio opte por fazer o
backup de todo o drive C. Existem duas listas de excluso: Uma para todos os usurios logados no computador e uma
que somente ser aplicada para o usurio atual. Esta segunda lista personalizada para cada usurio.
Figura 8.38 A guia Excluir arquivos da janela opes.
Observe que dentre os vrios arquivos que esto na lista de arquivos que no faro parte do backup, est o arquivos
Pagefile.sys, que ao arquivo de troca (Swap) do Windows Server 2003. Falarei mais sobre este arquivo no Captulo 12.
9. Selecione as opes desejadas e clique em OK para aplic-las. Para os prximos backups estas sero as opes
padro.
10. Feche o utilitrio de backup.
Fazendo o Backup e o Restore do Active Directory..
A base de dados do Active Directory contm informaes das quais depende todo o funcionamento da rede. Apenas
para citar as mais conhecidas, no Active Directory que ficam armazenadas informaes sobre todas as contas de
usurios do domnio, sobre todos os grupos, sobre relaes de confiana, sobre contas de computadores, sobre OUs,
enfim, informaes das quais depende o funcionamento da rede.
claro que o fato de existir vrios DCs em um domnio, cada DC com uma cpia completa do Active Directory, reduz
os riscos de perdas destas informaes. Em caso de catstrofe, tal como a perda do HD onde est instalado o Windows
Server 2003, sempre ser possvel reinstalar o Windows Server 2003 e, atravs da replicao, obter uma cpia integral
do Active Directory a partir de outros DCs do domnio. O Backup til para agilizar este processo, uma vez que,
dependendo do volume de dados do Active Directory, pode demorar algum tempo (at mesmo alguns dias), at que o
DC consiga receber uma cpia completa do Active Directory, atravs da replicao de outros DCs do domnio.
Neste tpico voc aprender sobre como realizar o Backup do Active Directory, sobre conceitos tais como Backup
com e sem autoridade e como fazer o restore do Active Directory. O backup do Active Directory feito com o utilitrio
de backup, discutido nos tpicos anteriores. O restore feito com este mesmo utilitrio em conjunto com o comando
Ntdsutil, o qual pode ser utilizado para fazer um restore seletivo, apenas de partes especficas do Active Directory.
Backup do Active Directory:
Com o utilitrio de Backup do Windows Server 2003 voc pode fazer o backup do Active Directory com o DC estando
ligado e na rede e pode ser feito o backup somente do Active Directory ou do Active Directory juntamente com os
dados do servidor. O backup pode ser feito em disco ou em qualquer mdia suportada pelo utilitrio de backup do
Um detalhe importante a ser observado que quando feito o backup do Active Directory, o nico tipo de backup
suportado o backup normal. Ou seja, no podem ser utilizados os backups do tipo incremental, diferencial, cpia ou
dirio, quando feito o backup do Active Directory. Para detalhes sobre cada tipo de backup e estratgias de backup/
restore, consulte a parte inicial deste Captulo. O backup normal faz uma cpia de todo o contedo do servidor. Na
hora de fazer o restore basta ter disponvel o ltimo backup normal que foi efetuado.
Ao fazer o backup do Active Directory, o utilitrio de backup do Windows Server 2003 tambm realiza o backup de
todas as informaes das quais depende o funcionamento do Active Directory, tais como registros de componentes e
DLLs, registry do sistema e assim por diante. Este conjunto de informaes conhecido como estado do sistema. As
informaes que compem o estado do sistema so as seguintes:
Arquivos de inicializao
Registros de componentes COM+
Pasta SYSVOL
Base de dados do Certificados Digitais (se instalado o Certificate Services)
Base do DNS (se instalado)
Informaes de cluster (se o servidor participa de um cluster)
Active Directory
Restore do Active Directory
Existem duas abordagens diferentes que podem ser utilizadas para restaurar os
dados do Active Directory, em caso de falhas que provoquem perda ou corrupo
dos dados do Active Directory:
1. Reinstalar o Windows Server 2003, promov-lo a DC e deixar que o
mecanismo padro de replicao entre DCs se encarregue de restaurar a base
completa do Active Directory. Esta opo pode ser invivel para escritrios
ligados rede da empresa atravs de links de WAN de baixa velocidade,
principalmente se a base de dados do Active Directory for grande (1 GB ou
mais).
Ou
2. Fazer o restore a partir de um backup efetuado previamente. No caso do
restore a partir do backup, existem dois mtodos diferentes de restore que
podem ser executados, conforme descrito a seguir:
para fazer um Backup do Certifi-
cate Services voc precisa fazer o
Backup do Estado do Sistema.
21. Nonauthoritative (Sem autoridade): Este um restore normal. Os dados sero restaurados a partir do backup.
Uma vez concluda a restaurao, o DC passar a receber as atualizaes dos outros DCs. Sempre que um outro
DC contiver informaes mais atualizadas do que as que foram restauradas do backup, estas informaes sero
replicadas para o DC onde foi feito o restore. o processo padro de restore.
2.2. Authoritative (Com autoridade): Esta uma situao especial. Para ilustrar este tipo de restore, vou utilizar uma
situao prtica onde ele seria necessrio. Imagine que, por engano, um administrador excluiu uma OU e todo o
seu contedo. Esta informao (ou seja a informao de que a OU foi excluda) ser replicada para os demais
DCs do domnio. O efeito prtico que esta OU ser excluda em todos os DCs do domnio. Voc pode imaginar
o seguinte: Basta restaurar a OU a partir do Backup e pronto, as informaes da OU sero replicadas para os
demais DCs e os dados sero recuperados. Nada disso. Ao restaurar a OU usando o mtodo normal
(Nonauthoritative), os dados da OU sero considerados mais antigos do que a informao de que no existe a OU.
Quando houver a replicao entre o DC onde foi feito o restore da OU e qualquer outro DC do domnio, o que ir
acontecer que a OU ser novamente excluda e no enviada para os outros DCs, pois a informao de que ela foi
excluda, mais recente do que os dados da OU. Com o uso de um restore Authoritative possvel recuperar esta
informao. Nesta situao, o administrador utiliza o comando Ntdsutil para fazer um restore Authoritative (Com
autoridade) da OU que foi excluda. Fazer um restore authoritative significa alterar o nmero de srie dos dados
que esto sendo restaurados, de tal maneira que eles sejam considerados as atualizaes mais recentes. Com isso,
quando houver a replicao entre o DC onde foi feito o restore e os demais DCs, os dados da OU sero considerados
mais recentes e a OU e todo o seu contedo ser replicada para os demais DCs. O efeito prtico que os dados da
OU sero recuperados.
Quem tem permisso para fazer o backup do estado do sistema?
Para fazer o backup ou um restore do tipo nonauthoritative, o usurio deve ter as seguintes permisses e direitos de
usurio:
Para fazer o backup do estado do sistema, o usurio deve pertencer ao grupo Backup Operators (Opers. de
cpia) ou ao grupo Local do domnio Administrators (Administradores).
Para fazer o restore do estado do sistema, o usurio deve pertencer ao grupo Local do domnio Administrators
(Administradores).
Bem, esta a teoria sobre o Backup/Restore do Active Directory. A seguir descreverei as operaes prticas de backup/
restore do Active Directory.
Fazendo o backup do Active Directory.
Neste item mostrarei como fazer o backup do Active Directory utilizando o utilitrio de backup do Windows Server
2003. A base de dados do Active Directory composta dos seguintes arquivos, localizados na pasta %windir%\ntds (a
no ser que voc tenha especificado um caminho diferente quando o servidor foi promovido a DC), onde %windir%
refere-se a pasta onde o Windows Server 2003 est instalado:
Ntds.dit: Este o banco de dados do Active Directory.
Ebb.chk: O arquivo de checkpoin, utilizado pelo mecanismo de banco de dados do Active Directory.
Ebb*.log: Arquivos onde so registrados os logs de transaes do banco de dados do Active Directory. A cada
10 MB iniciado um novo arquivo de log.
Res1.log e Res2.log: Log de transaes, reservado.
Fazer o backup do Active Directory, significa fazer o backup do Estado do Sistema, conforme descrito no exemplo
prtico logo a seguir.
Exerccio: Para fazer o backup do estado do sistema (no qual est includo o
backup do Active Directory), siga os passos indicados a seguir:
1. Faa o logon no DC onde o backup ser efetuado, com uma conta pertencente
ao grupo Administrators (Administradores) ou ao grupo Backup Operators
(Opers. de cpias).
2. Abra o utilitrio de backup: Iniciar -> Todos os programas -> Acessrios ->
Ferramentas do sistema -> Backup.
3. Ser aberta a tela inicial do assistente de backup. A primeira tela apenas
informativa. Clique em Avanar, para seguir para a prxima etapa do assistente.
4. Na segunda etapa voc deve informar se ser feito um backup ou um restore.
Marque a opo Fazer o backup dos arquivos e configuraes e clique em
Avanar, para seguir para a prxima etapa do assistente.
5. Nesta etapa voc tem duas opes: Todas as informaes neste computador
ou Eu escolherei os itens para backup. Selecione a opo Eu escolherei os
itens para backup e clique em Avanar, para seguir para a prxima etapa do
assistente.
6. Nesta etapa voc deve selecionar quais os itens sero includos no Backup.
Clique no sinal de + ao lado de Meu computador, no painel da esquerda. Nas
opes que so exibidas, marque a opo System State, conforme indicado
na Figura 8.39:
IMPORTANTE: Voc no pode
fazer o backup do Estado do
Sistema remotamente atravs da
rede. Ou seja, para fazer o backup
do Estado do Sistema de um
servidor, por exemplo o servidor
SRV01, voc tem que estar logado
localmente neste servidor ou o script
que faz o backup tem que estar
agendado para execuo no
servidor SRV01. Os dados do
backup podem ser gravados em um
volume do prprio servidor SRV01
ou em um drive de rede ou fita de
backup, mas a tarefa que executa
o backup tem que ser executada no
prprio servidor.
Figura 8.39 Fazendo o backup do estado do sistema.
8. Nesta etapa voc deve informar onde ser feito o backup (em disco, em fita ou em outro meio disponvel no
servidor). Se for em disco voc deve informar a pasta onde ser feito o backup e o nome do arquivo de backup.
Fornea as informaes de acordo com a mdia de backup que voc est utilizando e clique em Avanar, para
seguir para a prxima etapa do assistente.
9. Ser exibida a tela final do assistente. Nesta etapa voc pode clicar no boto
Avanado..., para que sejam exibidas opes para agendamento do backup.
Ao definir o agendamento do backup ser criada uma Tarefa agendada, a
qual executa o backup de acordo com o agendamento criado pelo
administrador. Clique no boto Avanado...
10. Ser exibida uma tela para que voc selecione o tipo de backup. Por padro
j vem selecionado o tipo Normal. Para o backup do Active Directory deve
ser utilizado o tipo Normal. Vamos aceitar a sugesto do assistente. Clique
em Avanar, para seguir para a prxima etapa do assistente.
sobre mdias de backup, backup em
fita e backup em disco, consulte a
parte inicial deste captulo.
11. Nesta etapa voc tem a opo de definir se os dados devem ser verificados aps o backup ou no. Se voc
habilitar a verificao, o processo de backup ficar mais demorado, pois aps ter sido feita a cpia dos dados,
estes sero verificados e comparados com os dados originais. Certifique-se de que a opo para habilitar a
verificao dos dados aps o backup esteja desmarcada e clique em Avanar, para seguir para a prxima etapa do
assistente.
12. Nesta etapa voc pode definir se o backup ser anexado a um outro backup j existente ou se deve substituir os
backups j existentes. Por exemplo, se voc est fazendo o backup do Active Directory em disco, na pasta
C:\backups\bad.bkf. Se voc escolher a opo Acrescentar este backup aos backups existentes, ser mantido cada
backup do Active Directory e o novo backup ser acrescentado ao anterior. Voc ficar com um histrico das
vrias verses do Active Directory. Se voc selecionar a opo Substituir os backups existentes, todos os backups
anteriores sero excludos e ser mantido apenas o ltimo backup. Esta a opo normalmente utilizada para
backup do estado do sistema, uma vez que o que interessa apenas o estado atual, ou seja, o ltimo backup.
Selecione a opo Substituir os backups existentes e clique em Avanar, para seguir para a prxima etapa do
assistente.
Figura 8.40 Informando que ser criado um agendamento.
13. Nesta etapa voc pode definir se deseja executar o backup imediatamente aps a concluso do assistente Agora
ou se deseja criar uma tarefa que executa o backup de acordo com um agendamento, como por exemplo, diariamente
as 2:00 da manh Mais tarde. Marque a opo Mais tarde e digite um nome para a tarefa agendada que ser
criada, conforme exemplo da Figura 8.40.
14. Clique no Definir agendamento... Ser aberta a janela Agendar trabalho, a qual voc aprendeu utilizar no incio
deste Captulo. Defina as opes indicadas na Figura 8.41, para definir um backup dirio do Active Directory, as
2:00 da madrugada e clique em OK.
Figura 8.41 Definindo um agendamento para o backup do Active Directory.
15. Ser exibida a janela solicitando informaes sobre a conta com a qual dever ser executada a tarefa agendada
que ir fazer o backup. Informe uma conta com permisso de Administrador ou pertencente ao grupo Opers. de
Cpia. A conta deve ser informada no formato DOMNIO\NomeDaConta. Informe a conta e a senha e clique em
OK.
16. Clique em Avanar, para seguir para a prxima etapa do assistente. Se forem solicitadas novamente as informaes
da conta para execuo da tarefa agendada, informe novamente e clique em OK.
17. Se voc quiser fazer alguma alterao utilize o boto Voltar. Clique em Concluir, para encerrar o assistente e criar
a tarefa agendada, a qual far o backup do Active Directory.
18. Agora vamos verificar se a tarefa foi realmente criada.
19. Abra o Painel de controle e d um clique duplo na opo Tarefas agendadas. A tarefa Backup dirio do Active
Directory j deve estar sendo exibida, conforme indicado na Figura 8.42:
Figura 8.42 A tarefa Backup dirio do Active Directory.
20. A partir de agora, ser feito um backup dirio do Active Directory, sempre as 2:00 da madrugada. Voc pode
iniciar um backup manualmente, a qualquer momento. Para isso basta clicar com o boto direito do mouse na
tarefa Backup dirio do Active Directory e, no menu de opes que exibido, clicar em Executar. A tarefa ser
iniciada e o backup do estado do sistema (no qual est includo o Active Directory) inicializado.
Sobre backup do Active Directory isso, ou seja, basicamente executar o assistente de backup (como voc aprendeu
no incio do captulo), apenas com o detalhe de marcar a opo System State) Para fazer o restore existem alguns
detalhes adicionais que devem ser observados, conforme descreverei logo a seguir.
Fazendo o restore do Active Directory.
Conforme descrito anteriormente existem dois mtodos para fazer o restore do Active Directory. O primeiro reinstalar
o Windows Server 2003, usar o comando dcpromo para instalar o Active Directory e deixar que o processo de replicao
entre os DCs do domnio se encarregue de sincronizar o novo DC com os demais DCs do domnio. Com este mtodo
o Active Directory restaurado e sincronizado com as ltimas alteraes do domnio. Outro mtodo restaurar o
Active Directory a partir de um backup. Este mtodo restaura o Active Directory at a situao do momento em que
foi feito o backup. Alteraes que foram efetuadas aps o backup, sero recebidas a partir dos outros DCs, atravs do
processo de replicao. Observe que com este segundo mtodo, somente sero replicadas as alteraes que foram
efetuadas aps o backup.
Ao fazer o restore a partir do backup voc tambm tem a disposio diferentes mtodos. Um dos mtodos conhecido
como nonauthoritative (sem autoridade). Este o mtodo que ser utilizado normalmente. O restore feito a partir de
um backup feito previamente. O restore feito utilizando o utilitrio de backup do Windows Server 2003. Por exemplo,
imagine que houve um problema com o disco rgido onde estava instalado o Windows Server 2003, em um DC do
domnio. Neste caso voc pode substituir o HD, reinstalar o Windows Server 2003 e depois restaurar o backup do
estado do sistema. Com isso o Active Directory tambm ser restaurado. As alteraes que foram efetuadas aps o
backup, sero repassadas para o DC atravs do mecanismo de replicao. Observe que este mtodo tem a vantagem de
reduzir a quantidade de trfego gerado na WAN, em relao ao mtodo que restaura toda a base de dados usando
replicao. Neste mtodo, grande parte da base de dados do Active Directory restaurada a partir do backup. Somente
as alteraes efetuadas aps o backup ter sido feito que sero replicadas.
Conforme descrito anteriormente, outro mtodo de fazer o restore o restore authoritative (com autoridade), na qual
voc marca uma parte do Active Directory para ser restaurada com autoridade, o que significa que esta informao
ser considerada como sendo a mais atualizada e ser replicada para os demais DCs. Para fazer um backup authorita-
tive, o administrador tem que utilizar o comando Ntdsutil.
Efetuando um restore nonauthoritative, usando o utilitrio de backup.
Neste item mostrarei como fazer um restore do Active Directory usando o utilitrio de backup. Ser feito um restore
nonauthoritative, usando o backup criado no item anterior. Para fazer o restore do Active Directory, voc precisa
reinicializar o DC em um modo especial, conhecido como Directory Services Restore Mode. Ou seja, o restore no
feito no modo normal, com o DC inicializado normalmente. preciso reinicializar o servidor e entrar no modo
especial Directory Services Restore Mode.
Para colocar o servidor no modo especial Directory Services Restore Mode, siga os passos indicados a seguir:
1. Reinicialize o DC.
2. Ao ser reinicializado, ainda no modo caractere, logo aps terminar a contagem da memria RAM do servidor,
pressione repetidamente a tecla de Funo F8, at que seja exibido o menu de inicializao avanado (sobre o
qual falarei no Captulo 12).
3. Neste menu selecione a opo Directory Services Restore Mode (Domain controllers only) e pressione Enter.
4. O DC ser reinicializado no modo de restaurao do Active Directory. Neste modo o Active Directory no inicializado
e, portanto, voc no poder usar as contas do Active Directory para fazer o logon. Mas se no posso usar as contas
do Active Directory para fazer o logon, que contas vou utilizar? A conta local de administrador que foi definida
quando o servidor ainda era um Member server. Use esta conta e a respectiva senha para fazer o logon.
5. Pronto, o DC est no modo de restaurao do Active Directory. Agora s seguir os passos do prximo exemplo.
Exemplo: Para fazer um restore nonauthoritative, usando o utilitrio de backup, siga os passos indicados a seguir:
1. Faa o logon no DC onde o restore ser efetuado, com uma conta pertencente ao grupo Administrators
(Administradores).
2. Abra o utilitrio de backup: Iniciar -> Todos os programas -> Acessrios -> Ferramentas do sistema -> Backup.
3. Ser aberta a tela inicial do assistente de backup. A primeira tela apenas informativa. Clique em Avanar, para
4. Nesta etapa voc deve definir ser ser feito um Backup ou um Restore. Marque a segunda opo Restaurar
arquivos e configuraes e clique em Avanar, para seguir para a prxima etapa do assistente.
5. Nesta etapa ser exibida a lista de backups disponveis. D um clique duplo no backup do Active Directory, feito
anteriormente. Abaixo do nome do backup marque a opo System State, conforme indicado na Figura 8.43.
7. Ser exibida a tela final do assitente. Clique em Concluir para iniciar o processo de restore. Uma vez concludo o
processo feche o utilitrio de backup e reinicialize o DC no modo Normal.
8. O Active Directory ter sido restaurado at o estado de quando foi feito o backup e o processo de replicao se encarregar
de atualizar o DC com as mudanas que foram feitas entre o momento do backup e o momento do restore.
Figura 8.43 Fazendo o restore do System State.
Efetuando um authoritative restore.
Voc pode fazer um authoritative restore para todo o Active Directory ou apenas
para partes especficas, tais como um ou mais OUs. Para ilustrar este tipo de
restore, vou utilizar uma situao prtica onde ele seria necessrio. Imagine que,
por engano, um administrador excluiu uma OU e todo o seu contedo. Esta
informao (ou seja a informao de que a OU foi excluda) ser replicada para
os demais DCs do domnio. O efeito prtico que esta OU ser excluda em todos
os DCs do domnio. Voc pode imaginar o seguinte: Basta restaurar a OU a partir
do Backup e pronto (restore do tipo nonauthoritative), as informaes da OU
sero replicadas para os demais DCs e os dados sero recuperados. Nada disso.
Ao restaurar a OU usando o mtodo normal (nonauthoritative), os dados da OU
sero considerados mais antigos do que a informao de que no existe a OU.
Quando houver a replicao entre o DC onde foi feito o restore da OU e qualquer
outro DC do domnio, o que ir acontecer que a OU ser novamente excluda e
no enviada para os outros DCs, pois a informao de que ela foi excluda, mais
recente do que os dados da OU. Com o uso de um restore authoritative possvel
recuperar esta informao. Nesta situao, o administrador utiliza o comando
Ntdsutil para fazer um restore authoritative (com autoridade) da OU que foi
excluda. Fazer um restore authoritative significa alterar o nmero de srie dos
dados que esto sendo restaurados, de tal maneira que eles sejam considerados as
atualizaes mais recentes. Com isso, quando houver a replicao entre o DC
onde foi feito o restore e os demais DCs, os dados da OU que est sendo restaurada
sero considerados mais recentes e a OU e todo o seu contedo ser replicada
para os demais DCs. O efeito prtico que os dados da OU sero recuperados.
NOTA: Por padro os dados do estado
do sistema so restaurados para a pasta
systemroot, ou seja, a pasta onde est
instalado o Windows Server 2003. Com
isso os dados do backup iro substituir os
dados atualmente no disco. Voc pode
fazer com que alguns dados do estado
do sistema sejam restaurados para um
pasta diferente. Para isso clique no boto
Avanado..., na etapa final do assistente
e, na janela que exibida, especifique o
novo local para fazer o restore. Os dados
que so copiados para a nova localizao
so os seguintes: arquivos de inicializao,
os arquivos que compem a Registry do
sistema, a pasta SYSVOL e todo o seu
contedo e informaes de cluster (se for
o caso). J as informaes do Active Di-
rectory, do registro dos componentes
COM+ e do Certificate Services (se este
estiver instalado) no sero restaurados
para o local alternativo.
O processo bastante simples. Inicialmente voc faz um restore nonauthoritative usando o utilitrio de backup, estando
o DC no modo Directory Services Restore Mode, conforme descrito no item anterior. Em seguida, antes de reinicializar
o DC, voc utiliza o comando ntdsutil para marcar objetos do Active Directory (como por exemplo uma OU) como
sendo authoritative, ou seja, devem ser replicados para os demais DCs, atualizando outras cpias destes objetos que
existam nos demais DCs do domnio. O que o comando Ntdsutil faz para tornar um determinado objeto authoritative
atribuir a este objeto um nmero de srie bem elevado, muito acima da faixa normal utilizada para nmero de srie
dos objetos. Com isso o objeto marcado como authoritative ser considerado mais atualizado que a cpia que est nos
demais DCs e a cpia restaurada como authoritative ser replicada para todos os demais DCs do domnio.
Exemplo: Efetuar um restore authoritative para uma OU chamada teste. Para fazer este restore dois passos devem ser
executados. Primeiro ser feito o restore normal do Active Directory, usando o utilitrio de backup. Em seguida
utilizaremos o comando ntdsutil para marcar a ou teste como authoritative.
Para fazer o restore proposto pelo exemplo siga os passos indicados a seguir:
Etapa 1: Fazer o restore nonauthoritative usando o utilitrio de backup. Para isso, siga os passos indicados a seguir:
qual falarei no Captulo 12).
4. O DC ser reinicializado no modo de restaurao do Active Directory. Neste modo o Active Directory no
inicializado e, portanto, voc no poder usar as contas do Active Directory para fazer o logon. Mas se no posso
usar as contas do Active Directory para fazer o logon, que contas vou utilizar? A conta local de administrador que
foi definida quando o servidor ainda era um Member server. Use esta conta e a respectiva senha para fazer o
logon.
5. Pronto, o DC foi inicializado no modo de restaurao do Active Directory.
6. Faa o logon no DC onde o restore ser efetuado, com uma conta local do administrador.
8. Ser aberta a tela inicial do assistente de backup. A primeira tela apenas informativa. Clique em Avanar, para
9. Nesta etapa voc deve definir ser ser feito um Backup ou um Restore. Marque a segunda opo Restaurar
arquivos e configuraes e clique em Avanar, para seguir para a prxima etapa do assistente.
10. Nesta etapa ser exibida a lista de backups disponveis. D um clique duplo no backup do Active Directory, feito
anteriormente. Abaixo do nome do backup marque a opo System State.
12. Ser exibida a tela final do assitente. Clique em Concluir para iniciar o processo de restore. Uma vez concludo o
processo feche o utilitrio de backup. A prxima etapa utilizar o utilitrio Ntdsutil para marcar a OU teste para
ser um restore do tipo authoritative.
Etapa 2: utilizar o utilitrio Ntdsutil para marcar a OU teste para ser um restore do tipo authoritative e reinicializar o DC:
1. Aps ter feito o restore nonauthoritative descrito na Etapa 1, desconecte o cabo de rede do DC e reinicialize-o no
modo Directory Services Restore Mode novamente.
2. Faa o logon com a conta de administrador local.
4. Digite ntdsutil e pressione Enter.
5. Ser exibido o prompt do comando ntdsutil.
6. digite authoritative restore e pressione Enter.
6.1. Para fazer um restore authoritative de todo o Active Directory, digite o seguinte comando: Restore database e
pressione Enter.
6.2. Para restaurar apenas parte do Active Directory, utilize o comando Restore subtree <nome LDAP da parte a ser
restaurada>. Por exemplo, para restaurar authoritatively a OU teste, do domnio abc.com, digite o seguinte comando:
Restore Subtree OU=teste,DC=abc,DC=com
Ao executar este comando o utilitrio ntdsutil acessa os dados do arquivo ntds.dit e aumenta o nmero de verso dos
objetos que esto sendo restaurados de maneira authoritative, no nosso exemplo a OU teste e todos os objetos que
estiverem nesta OU..
7. Para sair do utilitrio ntdsutil digite quit e pressione Enter.
8. Agora s reinicializar o DC no modo normal e conecta-la a rede.
Ao ser reinicializado o DC passa a receber as atualizaes dos demais DCs da rede, atualizaes que foram feitas entre
o momento do backup e o momento do restore. As pores que foram marcadas como authoritative, usando o comando
ntdsutil sero replicadas para os demais DCs do domnio.
Os comandos Ldifde e Dsadd.
Neste item falarei sobre mais dois comandos que so utilizados para administrao do Active Directory. So eles:
Comando Ldifde: utilizado para criar, modificar e excluir objetos no Active Directory. Este comando tambm
pode ser utilizado para fazer alteraes no schema, exportar informaes sobre usurios e grupos do Active
Directory para outras aplicaes ou servios e para criar objetos no Active Directory, com base em dados de
outros servios de diretrio.
Por exemplo, voc pode exportar informaes completas sobre o domnio, usando o seguinte comando:
ldifde -f teste.txt
Este comando ir exportar informaes do Active Directory para um arquivo de texto chamado teste.txt. A seguir
mostro um trecho deste arquivo onde so exibidas informaes sobre os usurios user01 e user02:
***************************************************************************
dn: CN=Usurio 01,CN=Users,DC=abc,DC=com
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn:: VXN1w6FyaW8gMDE=
sn: 01
c: BR
l:: Qm9xdWVpcsOjbyBkbyBMZcOjbw==
st: RS
postalCode: 11111-111
postOfficeBox: 202
givenName:: VXN1w6FyaW8=
distinguishedName:: Q049VXN1w6FyaW8gMDEsQ049VXNlcnMsREM9YWJjLERDPWNvbQ==
instanceType: 4
whenCreated: 20030521203529.0Z
whenChanged: 20030622220300.0Z
displayName:: VXN1w6FyaW8gMDE=
uSNCreated: 28821
memberOf: CN=Empresa,CN=Users,DC=abc,DC=com
memberOf: CN=Remote Desktop Users,CN=Builtin,DC=abc,DC=com
uSNChanged: 192555
co: Brazil
name:: VXN1w6FyaW8gMDE=
objectGUID:: EBaU6VS8pEC7TC+AX71sRA==
userAccountControl: 512
badPwdCount: 0
codePage: 0
countryCode: 76
badPasswordTime: 127007929242509392
lastLogoff: 0
lastLogon: 127007929904160800
pwdLastSet: 127007929802114064
primaryGroupID: 513
objectSid:: AQUAAAAAAAUVAAAAos6r3/QHf9F2488HWAQAAA==
accountExpires: 9223372036854775807
logonCount: 12
sAMAccountName: user01
sAMAccountType: 805306368
userPrincipalName: user01@abc.com
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=abc,DC=com
lastLogonTimestamp: 127007929166900672
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn:: VXN1w6FyaW8gMDI=
sn: 02
c: BR
l:: Qm9xdWVpcsOjbyBkbyBMZcOjbw==
st: RS
postalCode: 11111-111
postOfficeBox: 202
givenName:: VXN1w6FyaW8=
distinguishedName:: Q049VXN1w6FyaW8gMDIsQ049VXNlcnMsREM9YWJjLERDPWNvbQ==
instanceType: 4
whenCreated: 20030521203549.0Z
whenChanged: 20030527171532.0Z
displayName:: VXN1w6FyaW8gMDI=
uSNCreated: 28828
memberOf: CN=Empresa,CN=Users,DC=abc,DC=com
memberOf: CN=Diretoria,CN=Users,DC=abc,DC=com
memberOf: CN=Remote Desktop Users,CN=Builtin,DC=abc,DC=com
uSNChanged: 69655
co: Brazil
name:: VXN1w6FyaW8gMDI=
objectGUID:: QkTGRkqTJ0q0G2f39TBrqQ==
userAccountControl: 512
badPwdCount: 2
codePage: 0
countryCode: 76
badPasswordTime: 127010648937117488
lastLogoff: 0
lastLogon: 126989930258144832
pwdLastSet: 126980229491607312
primaryGroupID: 513
objectSid:: AQUAAAAAAAUVAAAAos6r3/QHf9F2488HWQQAAA==
accountExpires: 9223372036854775807
logonCount: 6
sAMAccountName: user02
sAMAccountType: 805306368
userPrincipalName: user02@abc.com
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=abc,DC=com
***************************************************************************
Observe que inclusive o SID dos usurios exportado, conforme indicado no trecho a seguir, onde exibido o SID do
usurio user01:
objectSid:: AQUAAAAAAAUVAAAAos6r3/QHf9F2488HWAQAAA==
Para ver a lista completa de opes do comando ldifde sem nenhum parmetro. s digitar ldifde e pressionar Enter.
O comando Dsadd: Este comando utilizado para adicionar usurios, grupos, computadores, contatos e OUs
no Active Directory.
Por exemplo, o comando a seguir utilizado para adicionar o usurio jsilva5, ao domnio abc.com, com o primeiro
nome (-fn) Jose, o nome do meio (-mi) da e o ltimo nome (-fn) silva, sendo a senha (-pwd) definida como senha;;123
dsadd user CN=jsilva5,DC=abc,DC=com -fn Jose -mi da -ln Silva -pwd senha;;123
Ao executar este comando voc receber a mensagem indicada a seguir.
dsadd succeeded:CN=jsilva5,DC=abc,DC=com
Para exibir todas as opes do comando dsadd user, basta digitar o seguinte comando:
dsadd user /?
e pressionar Enter.
Outras variaes do comando dsadd so as seguintes:
dsadd computer -> Para adicionar uma conta de computador
dsadd group -> Para criar um novo grupo
dsadd ou -> Para criar uma nova OU
Concluso
Neste captulo tratamos de tarefas importantes para o administrador, tarefas que fazem parte do seu trabalho dirio.
Iniciei o captulo falando sobre o Agendamento de tarefas. Atravs do agendamento de tarefas o administrador
pode configurar aes que sero executadas em horrios e dias especficos, de acordo com a programao da
tarefa. Voc tambm aprendeu a executar uma tarefa manualmente e a consultar o log da tarefa para acompanhar o
seu histrico de execuo.
Na segunda parte do captulo tratai sobre o backup e o restore de informaes.
Fazer o Backup, significa fazer uma ou mais cpias de segurana dos arquivos e pasta dos volumes do servidor e da
instalao do Windows Server 2003 (assunto que veremos no Captulo 12). Muitos usurios e at mesmo pequenas
empresas simplesmente ignoram a necessidade de implementar uma poltica de Backup. Muitas vezes os usurios s
se do conta do problema quando tarde demais, ou seja, quando houve uma perda de dados importantes. o usurio
que perdeu os documentos do Word e figuras da sua tese de mestrado, a vdeo locadora que perdeu os dados de anos
de locaes, o Dentista que perdeu as informaes sobre as fichas dos pacientes, sobre quais pacientes deviam e
assim por diante. Em resumo: grandes dores de cabea e prejuzos. Fazer cpia de segurana uma necessidade real,
no tem como fugir deste fato. Alm disso o custo insignificante, isto mesmo: insignificante se compararmos com
os prejuzos que podem ser causados pela perda de dados.
Voc aprendeu sobre os tipos de backup e sobre estratgias de backup/restore. Foi
salientada a importncia de se implementar uma poltica de backup como forma
de proteger os dados.
Na seqncia mostrei como fazer o backup e o restore das informaes utilizando
os assistentes disponveis e tambm o utilitrio de backup.
Na parte final do Captulo voc aprendeu sobre o Backup do estado do sistema
System State, do qual faz parte do Active Directory. Voc tambm aprendeu sobre
o restore do Active directory e sobre os diferentes tipos de Restore.
IMPORTANTE: Para o exame 70-
290 de fundamental importncia
que voc conhea, bem, os
diferentes tipos de backup, quais as
caractersticas de cada um e as
diferentes estratgias de backup/
restre que podem ser utilizadas,
com base nos diferentes tipos de
backups.
Introduo
Este um captulo que eu chamo do tipo Salada de Fruta. Me explico melhor.
Neste captulo, abordarei uma srie de assuntos, relevantes para o Exame 70-290,
ou seja, assuntos que fazem parte do programa oficial do exame, mas que no
esto diretamente relacionados. Usarei uma abordagem de descrever os tpicos
de cada assunto, especificamente relacionados com o Exame 70-290.
Nesta captulo tratarei dos seguintes assuntos:
O uso do Terminal Services
O Recurso de Desktop Remoto
O Recurso de Shadow Copies
Noes Bsicas sobre GPO Group Policy Objects
Gerenciamento de Hardware e de Drives
Resoluo de Problemas de Hardware e Drives.
Vou iniciar o captulo tratando sobre o Terminal Services. Voc aprender sobre a
utilizao deste recurso, os diferentes modos no qual ele pode ser utilizado
Modo de Administrao ou Modo de Compartilhamento de Aplicaes, aprender
a instalar e a configurar o Terminal Services e mais algumas questes relevantes
para o Exame 70-290, tais como a quais grupos um usurio deve pertencer para
poder fazer logon no Terminal Services e outras configuraes relacionadas a
permisso de acesso ao Terminal Services.
Em seguida vou apresentar o recurso de rea de Trabalho Remota (Remote Desk-
top). A rea de trabalho remota para administrao (conhecida anteriormente
como Servios de terminal no modo de Administrao remota) fornece acesso
remoto rea de trabalho de qualquer computador que esteja executando um
sistema operacional da famlia Microsoft Windows Server 2003, permitindo
administrar o servidor a partir de virtualmente qualquer computador na rede.
Tambm falarei sobre o recurso de Assistncia Remota, , recurso este que uma
novidade introduzida com o Windows XP e que est tambm presente no Win-
dows Server 2003. A assistncia remota permite que uma pessoa de confiana
(um amigo, uma pessoa do suporte ou um administrador do setor de informtica)
auxilie de forma remota e ativa uma outra pessoa com problema no computador.
O assistente (tambm chamado de especialista) poder ver a tela do usurio que
est solicitando assistncia e dar algum conselho. Com a permisso do usurio, o
assistente poder inclusive assumir o controle do computador do usurio e executar
tarefas remotamente.
A assistncia remota normalmente inicia com uma solicitao de ajuda do usurio,
atravs de email, do Windows Messenger ou de um convite salvo como um arquivo.
Entretanto, um assistente tambm poder oferecer ajuda sem que tenha recebido
primeiro uma solicitao de um usurio. A assistncia remota exige que os dois
computadores estejam executando o Windows XP ou um produto da famlia Win-
dows Server 2003.
C A P T U L O
9
Manuteno do Windows
2003 Server e
Gerenciamento de Hardware
Em seguida, vamos falar sobre um dos novos recursos do Windows Server 2003 Shadow Copies (maravilhosamente
traduzidas como Cpias de Sombras). Voc ver o que este recurso, qual a sua utilizao e quais as configuraes
necessrias (nos servidores e nos clientes), para que este recurso possa ser utilizado.
Mais um tpico importante ser o assunto de GPO Group Policy Objects. Voc aprender o que exatamente uma
GPO, como e quando utiliz-la e como as GPOs so aplicadas a um domnio, Unidade Organizacional ou Site. Neste
tpico no farei um estudo completo sobre GPOs, abordarei apenas os tpicos cobrados no Exame 70-290. Para um
estudo completo sobre GPOs, com mais de 100 pginas de contedo, consulte o Captulo 18 do meu livro: Windows
Server 2003 Curso Completo, 1568 pginas.
Para finalizar a nossa Salada de Frutas, falarei sobre a instalao, configurao, administrao resoluo de problemas
relacionados com Hardware. Voc aprender a utilizar as ferramentas de gerenciamento de hardware do Windows
Server 2003 e a resolver problemas com dispositivos que no esto funcionando corretamente. Tambm falarei sobre
o conceito de Assinatura de Drivers.
Ento vamos l, a nossa saudvel Salada de Fruta. Embora seja um captulo de tpicos diversos, um captulo muito
importante para o Exame 70-290, pois aborda tpicos que muito provavelmente estaro no exame.
Uma Introduo ao Terminal Services.
No Captulo 2, quando fiz um retrospecto desde a poca em que havia apenas o Mainframe, depois passamos pelo
Cliente Servidor e agora modelo Web e Internet, fiz o seguinte comentrio:
O Jlio ficou louco ou estamos voltando ao Mainframe?
Amigo leitor, nem uma, nem outra. Voc deve estar utilizando os seguintes passos de raciocnio, baseado no texto que
acabou de ler (texto do Captulo 2):
servidor, administrao centralizada e reduo no custo de propriedade (TCO) em relao ao modelo Cliente/
Servidor tradicional? isso mesmo, este modelo muito prximo do modelo do Mainframe, porm com todas as
vantagens da evoluo da informtica nestas ltimas dcadas, tais como interfaces grficas, programas mais
poderosos e por a vai.
Este mesmo gerente utiliza o site da empresa para fornecer informaes. Ele tambm utiliza a Internet da empresa
Este caminho me parece muito mais sensato, ou seja, no precisa ser um ou outro modelo, mas sim o melhor dos dois
mundos.
Este trecho do Captulo 2 reflete, perfeitamente, a idia do Terminal Services. Ele foi criado para ser uma ferramenta
que facilite a administrao dos servidores com o Windows 2000 Server e tambm com o Windows Server 2003, mas
tambm para ser uma ferramenta de compartilhamento de aplicaes, conforme descreverei neste captulo.
A primeira verso do que hoje a tecnologia do Terminal Services foi introduzida com o Windows NT Server 4.0, em
uma verso separada do NT 4.0, conhecida como: Terminal Server Edition. A partir do Windows 2000 Server e
tambm no Windows Server 2003, o Terminal Services (a partir do Windows 2000 os servios deixaram de ter a
nomenclatura Server para ter a nomenclatura Services) faz parte do prprio sistema operacional.
O Terminal Services trabalha em um modelo Cliente/Servidor, onde o servio fica instalado em servidores com o
Windows Server 2003 ou Windows 2000 Services e diferentes clientes podem se conectar ao servidor. Existe tambm
uma verso reduzida do Terminal Services que disponibilizada com o Windows XP. Esta verso permite apenas um
nico usurio conectado ao Windows XP, no recurso conhecido como Desktop Remoto.
Como funciona o Terminal Services.
A idia bsica do Terminal Services bastante simples. Usando um software
cliente, como por exemplo o Terminal Services Client no Windows 2000 Server
ou o Remote Desktop no Windows Server 2003, voc pode se conectar a um
servidor no qual est rodando o Terminal Services. A se conectar ao servidor,
voc recebe uma tela de logon, conforme exemplo da Figura 9.1, onde estou
fazendo a conexo usando o cliente Remote Desktop em um computador com o
Windows Server 2003, para me conectar a um servidor com o Windows 2000
Server, onde est instalado o Terminal Services.
NOTA: Para detalhes sobre a
configurao e utilizao do Desk-
top Remoto no Windows XP, consulte
o Captulo 17 do livro: Windows XP
Home & Professional Para Usurios
e Administradores, 820 pginas,
Axcel Books.
O usurio fornece as informaes de logon e clica em OK e pronto. A conexo com
o Terminal Services efetuada e o console (a rea de trabalho) do servidor carregada
no computador do cliente, conforme indicado na Figura 9.2. Ou seja, como se voc
estivesse localmente conectado e tivesse feito o logon diretamente no servidor de
destino, onde Terminal Services est instalado. Na prtica muito parecido com o
que acontece quando voc usa o comando telnet para fazer uma conexo com um
servidor UNIX ou Linux, so que com o Terminal Services o console grfico.
Uma vez feita a conexo, como se voc tivesse loclamente logado no servidor
remoto. Exatamente a mesma rea de trabalho carregada, com boto Iniciar, barra
de tarefas e tudo mais. Observe que com o Terminal Services o administrador pode
se conectar a qualquer servidor da rede (desde que o servidor tenha o Terminal Serv-
ices instalado) e administr-lo como se estivesse localmente logado. Por exemplo, o
administrador, da matriz da empresa em So Paulo, pode se conectar, via Terminal
Services, com um servidor da filial no Rio de Janeiro e trabalhar como se estivesse
sentado na frente do servidor no Rio de Janeiro.
Figura 9.1 A tela de logon ao se conectar com o Terminal Services.
Figura 9.2 A rea de trabalho do servidor, carregada via Terminal Services.
A tecnologia do Terminal Services oferece eficintes mecanismos de compactao e cache de telas, transmitindo somente
o que muda de uma tela para outra, o que permite que o acesso via Terminal Services tenha desempenho bastante
satisfatrio, mesmo para conexes remotas, feitas via links de WAN de baixa velocidade.
O cliente envia para o servidor, atravs da rede, apenas os toques de teclado e as aes de mouse e recebe apenas as
atualizaes de tela. Este mecanismo de funcionamento, juntamente com a possibilidade de compactao dos dados
que so transmitidos e do cache de telas no cliente, faz com que o Terminal Services gere uma quantidade reduzida de
trfego na rede e por isso possa trabalhar com desempenho aceitvel, mesmo atravs de links de WAN de baixa
velocidade.
O Terminal Services pode ser utilizado em dois modos diferentes:
Modo de Administrao Remota: Neste modo o Terminal Services utilizado pelos administradores da rede,
para se concectar remotamente aos servidores da rede e executar tarefas administrativas remotamente, como
se estivessem localmente logados nos respectivos servidores. Para utilizar o Terminal Services neste modo,
basta instalar o servio nos servidores que devero ser administrados remotamente e instalar o cliente em sua
estao de trabalho (Remote Desktop no Windows XP e no Windows Server 2003 ou o Terminal Services
Cliente no Windows 2000). Ao instalar o Terminal Services no mode de Administrao Remota, este instalado
com licena para at duas conexes simultneas. Voc no precisa adquirir nenhuma licena adicional e no
tem prazo de validade para estas licenas.
Modo de Compartilhamento de Aplicaes: Neste modo, o Terminal Services utilizado para o
compartilhamento de aplicaes. Por exemplo, voc pode querer instalar o Terminal Services no modo de
Compartilhamento de Aplicaes, para instalar o Microsoft Office no servidor. Desta maneira, os clientes
podero se conectar, at mesmo usando estaes de trabalho mais antigas, como por exemplo um 486, apenas
com um cliente de acesso ao Terminal Services instalado. O cliente faz a conexo e tem acesso rea de
trabalho do servidor, na qual ele pode usar os aplicativos instalados no servidor, tais como o Word, Excel,
Access e PowerPoint, ou quaisquer outros aplicativos instalados para o modo de Compartilhamento de
Aplicaes. O cliente pode usar os programas no servidor e gravar os dados em sua pasta home (home folder)
na rede ou em disquete. A grande vantagem deste procedimento, que o cliente poder se conectar ao Terminal
Services, usando qualquer computador da rede, no qual exista um cliente de conexo com o Terminal Services.
Ao se conectar, usando qualquer um dos computadores da rede, ele receber sermpre a mesma rea de trabalho
(com os mesmso cones e configuraes) e ter acesso aos seus arquivos de dados. Quando um cliente faz uma
conexo com o Terminal Services e faz alguma alteao no ambiente de trabalho, como por exemplo, adicionar
um atalho rea de trabalho, esta alterao mantida e estar disponvel na prxima conexo que o usurio
fizer. Com isso possvel manter o ambiente do usurio e este ambienta acompanha-o em qualquer computador
no qual ele fizer a conexo com o Terminal Services, porque na verdade todas as configuraes esto no
servidor. Para utilizar o Terminal Services neste modo, voc deve adquirir uma licena de conexo para cada
usurios que ir utilizar o Terminal Services no modo de Compartilhamento de Aplicaes. Mais adiante
falarei um pouco mais sobre o licenciamento neste modo.
O uso do Terminal Services tras inmeras vantagens, dentre as quais podemos destacar as seguintes:
1. O administrador pode se conectar a qualquer servidor da rede, com o Terminal Services instalado e administrar
este servidor como se estivesse localmente logado.
2. Com o uso do Terminal Services no modo de compartilhamento de aplicaes, voc pode criar um ambiente mais
seguro e padronizado, onde os usurios acessam suas aplicaes diretamente do servidor e gravam seus dados na
rede.
3. Com o uso do Terminal Services no modo de compartilhamento de aplicaes, fica mais fcil para instalar aplicaes
e mant-las atualizadas, uma vez que a instalao e futuras atualizaes precisam ser feitas apenas no servidor e
no em cada estao de trabalho individualmente.
4. Com o uso do Terminal Services no modo de compartilhamento de aplicaes, voc pode utilizar clientes de
menor capacidade de processamento, os quais no seriam mais aproveitados no modelo tradicional, onde o Win-
dows e todos os aplicativos so instalados na estao de trabalho do cliente.
5. O cliente pode rodar, inclusive, em outros sistemas operacionais. Por exemplo, existem programas clientes para o
Terminal Services, fornecido por terceiros, para se conectar atravs de uma estao de trabalho com o UNIX,
Linux, Macintosh e assim por diante. Ou seja, pode haver um cliente UNIX na rede, conectado ao Terminal
Services e utilizando o Word.
6. possvel tambm criar um modelo misto de estao de trabalho, na qual o cliente tem o Windows instalado e
alguns programas de uso especfico, instalados localmente. J programas de uso geral na empresa, tais como o
Word, Excel, Email, etc, o cliente acessa via Terminal Services. Com isso possvel manter um ambiente
padronizado e de fcil manuteno para as aplicaes utilizadas por todos na empresa, ao mesmo tempo que
permite que cada usurio tenha acesso a aplicaes especficas, relacionadas com o seu trabalho dirio.
7. Reduo do trfego de WAN: Por exemplo, vamos imaginar uma empresa com o servidor de email na sede da
empresa e os clientes das filiais com suas caixas de correio neste servidor de email. No modelo tradicional, cada
cliente teria o software de email instalado em sua estao de trabalho e acessaria o servidor de email da matriz,
atravs do link de WAN. Neste modelo, todas as mensagens e demais informaes so transmitidas do servidor de
email para o cliente e de volta para o servidor de email, atravs do link de WAN. Quem j tentou utilizar um
cliente de email como o Lotus Notes, para acessar um servidor que est do outro lado de um link de WAN de 64
ou 129 Kbps, sabe o quanto penosa esta operao. So minutos para abrir uma nica mensagem. J com o
Terminal Services, o cliente abriria o programa de email diretamente no servidor, no mesmo servidor onde est o
servidor de email. Com isso, s transmitido atravs do link de WAN, os toques de teclado e mouse do cliente e
as atualizaes de tela do servidor para o cliente. Alm de uma considervel reduo no trfego de WAN, o acesso
ao email e demais aplicaes fica muito mais rpido.
Para dada usurio que se conecta via Terminal Services criada uma sesso
completamente isolada das demais sesses. Ou seja, se um programa apresentar
problemas e travar a sesso de um dos usurios conectados, as demais sesses
continuaro funcionando normalmente e no sero afetadas. O Windows Server
2003 tambm grava informaes sobre o ambiente de trabalho de cada usurio
quando ele se conecta via Terminal Services. Ou seja, o conceito de Profiles,
visto no Captulo 4 vlido tambm para conexes via Terminal Services.
Outra rea onde o Terminal Services pode ser utilizado com grandes vantagens
para oferecer acesso a usurios remotos, tais como vendedores que trabalham
usando um Notebook para acessar a rede da empresa ou funcionrios que trabalham
em casa mas precisam ter acesso aos recursos da rede da empresa. Estes usurios
podem fazer a conexo rede da empresa usando uma linha discada e ter acesso
aos aplicativos que precisam via Terminal Services. Este meio de acesso bem
mais eficiente e rpido do que o acesso atravs de programas clientes instalados
no prprio Notebook e atravs de drives de redes mapeados, uma vez que neste
modo como se o usurio estivesse diretamente conectado ao servidor da empresa,
sendo transmitido atravs da conexo discada, somente os toques de teclado e
mouse do usurio e as atualizaes de tela do servidor. Muito mais rpido do que
IMPORTANTE: Quando o usurio
conecta com o Terminal Services ele
est utilizando recursos tais como
memria RAM e processador, do
Servidor. Por isso, se voc pretende
utilizar o Terminal Services no modo
de Compartilhamento de Aplicaes,
importante fazer um
planejamento cuidadoso da
quantidade de recursos de hard-
ware, necessria no servidor. Mais
adiante apresentarei mais detalhes
sobre a quantidade mdia de
recursos de hardware necessria
para cada cliente.
fazer a conexo e depois usar um programa cliente, instalado no prprio Notebook, para fazer conexo com os aplicativos
e dados da empresa. Neste segundo modelo, toda a informao e os dados so transmitidos atravs da conexo discada,
o que gera um grande trfego e tempos de respostas bem mais altos do que com o uso do Terminal Services.
Recursos de hardware necessrios para o funcionamento do Terminal Services.
Os recursos de hardware necessrios para dar suporte a instalao do Terminal Services variam, dependendo do modo
no qual ele instalado. No modo de administrao, com suporte a no mximo duas conexes simultneas, o nico
requisito adicional cerca de 20 MB de espao em discos para instalao do Terminal Services. No ser necessrio
fazer atualizao de memria ou processador. Basta instalar o Terminal Services e o administrador poder usar o
Terminal Services Cliente (se estiver usando uma estao de trabalho com o Windows 2000) ou o Remote Desktop (se
estiver usando um computador com o Windows Server 2003), para se conectar com o Terminal Services.
J no modo de compartilhamento de aplicaes so necessrios recursos adicionais de hardware, principalmente
memria RAM e processador. O hardware necessrio varia com a quantidade de usurios que iro fazer a conexo
simultaneamente e com o tipo de aplicao que estiver sendo compartilhada. Por isso no possvel definir um valor
exato, mas apenas apresentar algumas sugestes (com base no que colocado na Ajuda do Windows Server 2003)
com base no nmero de usurios conectados.
Memria RAM: Somente para fazer o logon e carregar a rea de trabalho, via Terminal Services, voc deve
prever um adicional de 20 MB de RAM, por usurio conectado. Para um usurio utilizando o Excel mais um
programa de email como o Outlook so necessrios mais 20 MB. Neste cenrio voc j teria uma necessidade
de 40 MB por usurio. Por exemplo, se voc tem uma previso de ter cerca de 10 usurios conectados
simultaneamente, o ideal providenciar um adicional de, pelo menos, 400 MB. Este o valor do adicional de
memria necessrio, alm da memria j utilizada, normalmente, pelo Windows Server 2003. Por exemplo, se
voc tem um servidor com 512 MB de memria e pretende instalar o Terminal Services para dar suporte para
10 usurios simultneos, voc deve adicionar mais cerca de 400 MB de memria (40 MB por usurio), ficando
com um total de 912 MB de memria. Na prtica, nesta situao, voc faria um upgrade para 1GB de memria
(1024 MB).
Processador: Esta, definitivamente, no uma cincia exata. Ou seja, no existe uma planilha ou uma
metodologia de clculo que permita definir, exatamente, qual a necessidade de processamento para cada
usurio. Isso acontece porque cada usurio ir utilizar um conjunto diferente de aplicaes, em momentos
diferentes e com diferentes necessidades de processamento. Em mdia, um servidor com um processador
Pentium III de 1 GHz capaz de atender, bem, algo entre 10 e 20 usurios. Eu coloco entre 10 e 20 usurios
porque se forem 10 usurios utilizando uma aplicao grfica pesada, provavelmente o Pentium III de 1 GHz
no dar conta; j se forem 20 usurios utilizando apenas o Word, provavelmente o Pentium III de 1 GHZ dar
conta com sobra. Creio que isso demonstra bem que, de maneira alguma, existe uma regra geral e uma frmula
fcil para determinar a necessidade de processamento exata. O que acontece, na prtica, que se faz uma
estimativa e, com base na estimativa, coloca-se o servidor em produo. Se o processador (ou processadores)
no estiver dando conta faz-se uma atualizao. Ou seja, mais ou menos na tentativa e erro.
Utilizao da rede: O Terminal Services tem muitos recursos para reduzir a quantidade de informao transmitida
entre o cliente e o servidor, atravs da rede. Por exemplo, so transmitidas, do cliente para o servidor, apenas
os toques de teclado e mouse. Do servidor para o cliente so transmitidas apenas as atualizaes de tela. Os
dados que so transmitidos podem ser compactados e pode ser habilitado um cach de telas no cliente. Alm
disso, resolues menores, tais como 800x600, transmitem uma quantidade bem menor de informaes de
atualizao das telas do que resolues maiores. Em mdia, cada cliente conectado, necessita de algo entre 4
e 8 KBps (estimativas da Microsoft). Estas estimativas confirmam o fato de que o Terminal Services realmente
otimiza a utilizao da rede e dos links de WAN, reduzindo tanto quanto possvel o volume de informaes a
ser transmitido entre o cliente e o servidor.
Claro que estes so valores apenas aproximados e com base em estimativas das necessidades de um usurio tpico. O
ideal que voc possa fazer um laboratrio de testes, com os usurios tpicos que iro utilizar aplicaes via Terminal
Services, para que voc possa ter uma idia mais aproximada das necessidades de hardware, para a situao especfica
da sua rede. Ao fazer esta estimativa, existem alguns fatores que devem ser levados em considerao, tais como:
Quais aplicaes sero utilizadas pelos usurios, via Terminal Services. Eles iro utilizar aplicaes tais como
Word, Excel, email e Internet ou vo utilizar alguma aplicao com necessidades intensivas de hardware, tais
como uma aplicao grfica de CAD?
Os usurios que iro acessar aplicaes via Terminal Services so usurios experientes, que tiram o mximo
de cada aplicao ou so usurios sem maiores conhecimentos de informtica, que utilizam sistemas especficos
para realizar tarefas especficas. No segundo caso fica bem mais fcil estimar a necessidade de hardware.
Basta determinar as necessidades para um dos usurios e multiplicar pelo nmero de usurios. J para o
primeiro caso, com usurios mais especializados, melhor por uma boa margem de segurana para as suas
estimativas.
Os acessos sero feitos via rede local ou voc ter usurios mveis, fazendo o acesso atravs de conexes
discadas ou usurios de outros escritrios da empresa, fazendo a conexo via links de WAN?
Implementao e Administrao do Terminal Services.
Para utilizar o Terminal Services no modo de administrao remota, com suporte a duas conexes simultneas, no
preciso instalar o servio do Terminal Services. Para isso basta habilitar o recurso de Desktop Remoto, que uma
novidade introduzida no Windows XP (com suporte a uma nica conexo) e que tambm est presente no Windows
Server 2003 (com suporte a duas conexes simultneas).
Para habilitar o recurso de Desktop Remoto siga os passos indicados a seguir:
1. Faa o logon com administrador ou com uma conta com permisso de administrador.
3. D um clique duplo na opo Sistema.
4. Ser aberta a janela de propriedades do sistema, com a guia Geral selecionada por padro. D um clique na guia
Remoto. Ser exibida a janela indicada na Figura 9.3.
5. Observe que, por padro, as duas opes da guia Remoto vem desmarcadas. Marque a opo Permitir que usurios
se conectem remotamente a este computador. Ao marcar esta opo voc est habilitando outros usurios a se
conectarem remotamente ao servidor, ou seja, que outros usurios, desde que devidamente habilitados, possam
acessar o console do servidor, remotamente. Esta opo habilita at duas conexes simultneas, ou seja, exatamente
a mesma funcionalidade do Terminal Services em modo de administrao, no Windows 2000 Server.
Figura 9.3 Habilitando o recurso de Desktop Remoto.
6. Por padro somente o usurio Administrador ter permisso para fazer a
conexo remota. Voc poder adicionar outros usurios com permisso para
fazer a conexo remota. Para isso clique no boto Selecionar usurios
remotos...
7. Ser exibida a janela Usurios da rea de trabalho remota. Observe a
mensagem nesta janela, informando que o usurio Administrador j tem
permisso de conexo remota, por padro. Para adicionar novos usurios
clique em Adicionar... Ser aberta a janela Selecionar usurios ou Grupos, j
descrita no Captulo 4. Informe o nome dos usurios que tero permisso de
conexo remota, digitando os nomes separando-os por ponto-e-vrgula,
conforme exemplo da Figura 9.4, ou utilize o boto Avanado..., para
selecionar os usurios da lista de usurios do Active Directory.
IMPORTANTE: Caso alguma das
contas de usurio esteja com senha
em branco, ser exibida uma
mensagem de advertncia. Clique
em OK para fech-la. Estas contas
no podero ser utilizadas para
fazer a conexo remota, j que o
Windows Server 2003 exige que as
contas que se conectam
remotamente, tenham uma senha
definida.
Figura 9.4 Definindo os usurios que tero permisso de se conectar remotamente.
8. Clique em OK. Voc estar de volta a guia Usurios da rea de trabalho remota, com os usurios selecionados j
adicionados lista, conforme indicado na Figura 9.5:
Figura 9.5 Lista de usurios com permisso de acesso remoto.
IMPORTANTE: Ao adicionar usurios, com permisso para fazer o acesso remoto, na verdade, voc estar adicionando estes
usurios, como membros do grupo: Usurios da rea de trabalho remota. Ou seja, na prtica, para dar permisso a uma conta de
usurio, para fazer a conexo remota, basta incluir a referida conta, como membro do grupo Usurios da rea de trabalho remota.
Na Figura 9.6, mostro que a lista de membros do grupo Usurios da rea de trabalho remota, ou seja, exatamente a lista de
usurios indicada na Figura 9.5.
Figura 9.6 Membros do grupo Usurios da rea de trabalho remota.
9. Clique em OK para fech-la. Voc estar de volta janela de propriedades do sistema. Clique em OK para fech-la.
Pronto, agora o servidor est configurado para ser acessado remotamente, com permisso para at duas conexes
simultneas. A seguir mostrarei como fazer um conexo com este servidor, utilizando o Terminal Services Cliente, em
um computador com o Windows 2000 Server instalado. Caso o Terminal Services Cliente no esteja instalado, no
Windows 2000, voc pode instal-lo a partir do arquivo adminpak.msi, o qual encontra-se na pasta onde o Windows
2000 Server est instalado, dentro da subpasta system32 . Este arquivo contm um pacote de ferramentas administrativas
para o Windows 2000 Server, dentre as quais o Terminal Services Client. Para instalar este pacote de ferramentas,
basta dar um clique duplo no arquivo adminpak.msi e seguir as instrues do assistente de instalao.
Para se conectar remotamente ao console de um servidor com o Windows Server 2003, com o recurso da rea de
Trabalho Remota, habilitado, usando o Terminal Services Cliente, siga os passos indicados a seguir:
1. Faa o logon no computador onde est instalado o Terminal Services Client. Faa o logon utilizando uma conta
com permisso de logon remoto, ou seja, com uma conta pertencente ao grupo Usurios da rea de trabalho
remota.
2. Abra o Terminal Services Cliente: Iniciar -> Programas -> Ferramentas administrativas -> Cliente dos servios de
terminal -> Cliente de servios de terminal (lembre-se que estou fazendo o teste em um cliente com o Windows
2000 Server instalado e vou me conectar com um servidor com o Windows Server 2003, instalado).
3. Ser aberta a janela Cliente de servios de terminal, indicada na Figura 9.7. Nesta janela voc deve informar o
nome ou o nmero IP do servidor com o qual voc deseja se conectar (campo Servidor). Voc deve selecionar a
resoluo a ser utilizada (800x600 no exemplo da Figura 9.7). Voc tambm pode habilitar as opes Ativar
Figura 9.7 Informaes para conexo.
4. Ser exibida a tela de logon do servidor com o qual voc est fazendo a conexo. Informe o nome de usurio e
senha para logon, conforme exemplo da Figura 9.8 e clique em OK, para fazer a conexor remotamente.
compactao de dados e Armazenar bitmap em cache em disco. Estas duas opes ajudam a reduzir a quantidade
de informaes que enviada atravs da rede, entre o cliente e o servidor. Marque as opes desejadas, conforme
exemplo da Figura 9.7 e clique em Conectar-se.
Figura 9.8 Fazendo o logon remotamente.
5. Preencha as informaes de logon e clique em OK. Pronto, agora s aguardar. O logon ser efetuado e a rea de
trabalho do servidor remoto ser carregada, como se voc tivesse feito o logon localmente, conforme indicado na
Figura 9.9:
Figura 9.9 Conexo efetuada com o desktop remoto.
O desktop remoto passa a ser apenas mais uma janela dentro da sua rea de trabalho. Voc pode alternar entre o
desktop remoto e a rea de trabalho do computador local, com um simples clique de mouse. A partir deste momento
como se voc estivesse em frente ao servidor remoto, como se tivesse feito o logon localmente neste servidor.
6. Para encerrar a conexo, faa um log off. No utiliza a opo Desligar, seno voc ir realmente desligar, dar um
shutdown no servidor remoto. Lembre-se que a conexo via desktop remoto como se voc estivesse localmente
logado no servidor. Ao fazer o logoff ser exibida novamente a janela de conexo, da Figura 9.7. Para fech-la
clique em Cancelar.
Observe que com esta funcionalidade, a partir da sua estao de trabalho, o administrador poder se conectar a qualquer
servidor com o recurso de Desktop Remoto (rea de Trabalho Remota) habilitado. realmente uma ferramenta de
administrao muito poderosa e que facilita, e muito, a vida do administrador. A nica limitao desta ferramenta o
nmero mximo de duas conexes simultneas, por servidor.
Utilizando o Terminal Services no modo de Compartilhamento de Aplicaes:
Para utilizar o Terminal Services no modo de compartilhamento de aplicaes, voc deve instalar o servio Terminal
Services (Servios de Terminal). Aps a instalao voc deve instalara as aplicaes que sero compartilhadas e
configurar o nmero de licenas de acordo com o nmero de usurios que iro acessar o Terminal Services no modo
de compartilhamento de aplicaes. A seguir voc aprender a executar estas tarefas.
Instalando o servio Terminal Services.
Instalando o Terminal Services: Para instalar o Terminal Services siga os passos indicados a seguir:
1. Faa o logon como administrador ou com uma conta com permisso de administrador.
2. Abra o Painel de Controle: Iniciar -> Painel de Controle.
3. D um clique duplo na opo Adicionar ou remover progrmas.
4. Ser exibida a janela Adicionar ou remover progrmas. Nas opes do lado esquerdo da janela, d um clique na
opo Adicionar/remover componentes do Windows
5. Ser aberto o assistente de componentes do Windows.
6. O Terminal Services um dos compontentes do Windows Server 2003. Para que os clientes possam se conectar
com o Terminal Services voc tambm deve adicionar o Terminal Server Licensing, que o componente que
permitir que o administrador adicione mais licenas, habilitando mais usurios a fazer a conexo via Terminal
Services. Localize estas duas opes Terminal server e Licenciamento do Terminal server e d um clique para
marc-las, conforme indicado na Figura 9.10:
Figura 9.10 Selecionando o Terminal Services para instalao.
Ser exibida uma mensagem de aviso, indicada na Figura 9.11, com diversas informaes relevantes.
Figura 9.11 A tela com avisos importantes.
A primeira informao relevante que, por padro, somente os membros do grupo Administrators (Administradores)
tem permisso para conectar-se remotamente ao Terminal Services no modo de compartilhamento de aplicao. Para
permitir que outros usurios possam fazer essa conexo remotamente, voc deve adicionar as contas dos usurios que
faro a conexo, ao grupo Remote Desktop Users (Usurios da rea de trabalho remota), grupo este j descrit
anteriormente..
Tambm emitido um aviso que as aplicaes atualmente instaladas no estaro habilitadas para o modo de
compartilhamento de aplicao, ou seja, para que elas possam ser acessadas por mltiplos usurios, elas devero ser
reinstaladas no servidor. Voc deve ter cuidado, pois esta mensagem est bastante confusa e leva a interpretaes
incorretas.Da maneira como a mensagem foi redigida, d a impresso que depois da instalao do Terminal Services,
todas as aplicaes deixaro de funcionar, mesmo localmente, no servidor. Isso no verdade. O que a mensagem
queria ter dito que as aplicaes atualmente instaladas, no estaro automticamente habilitadas para serem usadas
no modo de compartilhamento de aplicaes, via acesso remoto. Mas continuaro funcionando, localmente, sem
problema nenhum.
importante salientar que nem todas as aplicaes do mercado so compatveis com o modo de compartilhamento de
aplicao. No significa que se a aplicao rodar isoladamente no servidor, ir tambm funcionar no modo de
compartilhamento de aplicao, para que vrios usurios possam acess-la simultaneamente. Evidentemente que a
grande maioria das aplicaes comptatvel com o modo de compartilhamento. Todas as aplicaes que foram testadas
e certificadas para o uso com o Windows Server 2003, iro rodar, sem problemas,
no modo de compartilhamento de aplicaes.
9. Nesta etapa voc deve selecioanr o modo de segurana que ser utilizado. O
modo Segurana mxima bem mais seguro, e disponibiliza os novos recursos
do Windows Server 2003 em realo segurana, porm pode ser incompatvel
com algumas aplicaes mais antigas. Voc pode selecionar este modo du-
rante a instalao e se houver aplicaes crticas que no so compatveis
com este modo, voc pode alternar para o modo Segurana reduzida, a
qualquer momento, utilizando o console de configurao do Terminal Serv-
ices, o qual ser visto mais adiante.
10. Selecione o modo Segurana mxima e clique em Avanar, para seguir para
a prxima etapa do assistente.
11. Nesta etapa voc deve definir se o Terminal Server Licensing que est sendo
instalado ir gerenciar o licenciamento do Terminal Services em toda a
empresa ou apenas no domnio onde ele est sendo instalado. Selecione a
opo desejada e lique em Avanar, para seguir para a prxima etapa do
assistente.
12. O Windows Server 2003 inicia o processo de instalao e emite mensagens
sobre o andamento da instalao. Durante a etapa de cpia dos arquivos voc
pode ser solicitado a inserir o CD de instalao do Windows Server 2003 no
drive. Se isso acontecer, insira o CD de instalao do Windows Server 2003
no drive.
13. O assistente detecta que o CD foi inserido no drive e continua o processo de
instalao.
14. A tela final do assistente exibida com uma mensagem informando que o
assistente foi concludo com sucesso. Clique em Concluir para fechar o
assistente.
15. exibida uma mensagem de que o servidor deve ser reinicializado. Clique
em Sim para reinici-lo.
Pronto, o Terminal Server e o Licenciamento do Terminal Server foram instalados
e esto prontos para serem utilizados. Agora voc aprender sobre como instalar
programas para rodar no modo de compartilhamento de aplicao e como
configurar o licensiamento do Terminal Server.
O servidor ser inicializado e, no primeiro logon, aps a instalao do Terminal
Services, o sistema de Ajuda do Terminal Services ser automaticamente carregado
e exibido, conforme indicado na Figura 9.12:
DICA: No site www.veritest.com,
voc encontra uma lista das
aplicaes certificadas para o Win-
dows Server 2003.
IMPORTANTE: Nesta tela tambm
emitido um aviso de que o termi-
nal services funcionar pro 120
dias. Durante este perodo voc
deve adquirir as licenas necessrias
junto Microsoft e configur-las
utilizando o Terminal Server Licens-
ing. No esquea deste detalhe para
os exames de Certificao do MCSE
2003. Seria uma boa questo.
Figura 9.12 O sistema de Ajuda do Terminal Services.
Configurando o licenciamento para o Terminal Services.
O Terminal Server requer licenas para que os clientes possam fazer o logon.
Qualquer cliente que tente fazer o logon no Terminal Services, deve ser capaz de
receber uma licensa de acesso vlida, a qual disponibilizada pelo Licenciamento
do Terminal Server. Sem receber a licena, no ser permitido o logon do cliente.
O licensiamento do terminal services separado do licenciamento do Win-
dows Server 2003. Conforme comentado no Captulo 1, sobre instalao do Win-
dows Server 2003, devem ser adquiridas as chamadas CAL Cliente Access
License, para que clientes da rede possam se conectar aos servidores com o Win-
dows Server 2003. J para o Terminal Server outro tipo de licena, ou seja, o
fato de ter licenas para conectar com o Windows Server 2003, no implica que
estas licenas tambm sejam vlidas para o Terminal Server no modo de
compartilhamento de aplicaes. Licenas especficas, para acessar o Terminal
Server no modo de compartilhamento de aplicaes, devem ser ativadas.
IMPORTANTE: Conforme descrito
anteriormente, voc deve instalar
e configurar o Licenciamento do
Terminal server, para que os clientes
possam acessar o Terminal Services
no modo de compartilhamento de
aplicaes. Se no for configurado
o licensiamento, o Terminal Services
deixar de funcionar aps 120 dias.
Aps ter comprado as licenas de acesso via Terminal Server, junto Microsoft, voc deve utiliar o console
Licenciamento do Terminal Server para configur-las. As informaes sobre o nmero total de licenas disponveis, o
nmero de licenas em uso e o nmero de licenas ainda livres para serem utilizadas por novas conexes, so
armazenadas no Licenciamento do Terminal Server. Quando um cliente tenta fazer uma conexo com o Terminal
Server, este entra em contato com o Licensiamento do Terminal Server, para verificar se existem licenas disponveis,
ou melhor, se existe, pelo menos, uma licena disponvel para o novo cliente que est tentando se conectar.
Um nico Servidor de licenciamento do Terminal Server, pode ser utilizado por vrios servidores com o Terminal
Server em modo de compartilhamento de aplicao.
Aps ter instalado o Licenciamento do Terminal Server voc deve ativ-lo e instalar
as licenas de acesso que foram adquiridas junto Microsoft. Isso feito atravs
do uso do Assistente para ativao das licenas do Terminal Server
Para ativar o licenciamento voc precisar de uma conexo com a Internet. Tambm
possvel fazer a ativao por telefone. A seguir mostro os passos para a ativao
via Internet.
Para ativar o licenciamento automaticamente, siga os passos indicados a seguir:
administrador.
2. Certifique-se de que voc tem uma conexo com a Internet.
3. Abra o console de Licenciamento do Terminal Server: Iniciar -> Ferramentas
administrativas -> Licenciamento do Terminal Server.
4. Clique com o boto direito do mouse no nome do servidor para o qual ser
ativado o licenciamento.
5. No menu de opes que exibido clique em Ativar Servidor.
6. Ser aberto o assistente para ativao das licenas.
8. Ser exibida a tela para que voc selecione o mtodo de conexo. Por padro
vem selecionada a opo Conexo automtica que o mtodo recomendado.
Aceite este mtodo e clique em Avanar para seguir para a prxima etapa do
assistente.
9. O assistente demora alguns instantes, tentando localizar o servidor da
Microsoft responsvel pelo licenciamento e exibe uma tela para que voc
preencha os dados da sua empresa, conforme indicado na Figura 9.13:
NOTA: Aps a instalao do Termi-
nal Server no modo de
compartilhamento de aplicaes,
ser possvel utiliz-lo, sem a
compra das licenas de acesso, du-
rante um perodo de 120 dias.
Terminado este perodo, os clientes
no conseguiro mais se conectar,
enquanto no forem ativadas e
configuradas as licenas de acesso.
Estou repetindo este tpico, vrias
vezes, propositadamente.
NOTA: Dependendo das
configuraes que voc estiver
utilizando no Internet Explorer,
pode ser necessria a adio do site
de ativao da Microsoft, na lista
de sites confiveis.
Figura 9.13 Informaes sobre a empresa.
11. exibida uma tela onde voc pode preencher informaes tais como email, nome da empresa ou filial, Endereo,
Cidade, Estado e CEP. Estas informaes so opcionais.
13. O assistente tenta entrar em contato com um servidor de ativao da Microsoft, conforme indicado na Figura
9.14:
Figura 9.14 Localizando um servidor de ativao.
14. Ser exibida a tela final do assistente, informando que o servidor de licenciamento foi ativado com sucesso. A
prxima etapa instalar as licenas no Terminal Server. Certifique-se de que a opo Iniciar o Assistente de
Ativao... esteja marcada. Com esta opo marcada, o Windows Server 2003 j abre o assistente para instalao
das licenas de cliente.
15. Clique em Avanar para abrir o assistente de instalao das licenas.
16. Ser aberto o assistente para instalao das CAL (Cliente Access License) do Terminal Server. A primeira etapa
do assistente apenas informativa. Clique em Avanar para seguir para a prxima etapa do assistente.
17. Novamente o assistente tenta se conectar com o servidor de ativao da Microsoft.
18. Em seguida exibida a tela para que voc informe o tipo de contrato de licenciamento utilizado pela sua empresa.
(dentre os vrios programas de licenciamento disponibilizados pela Microsoft). Selecione o tipo de contrato e
clique em Avanar para seguir para a prxima etapa do assistente.
19. Nesta etapa, voc tem que informar o cdigo de habilitao para cada licena. Este cdigo fornecido pela
Microsoft, quando voc compra as licenas de acesso. Informe o cdigo para cada licena e depois clique no
boto Adicionar.
20. Depois s seguir as etapas restantes do assistente e pronto, o Terminal Services estar pronto para ser utilizado
no modo de compartilhamento de aplicaes. Que dizer, quase pronto, pois ainda resta voc aprender como
instalar as aplicaes para que possam ser acessadas no modo compartilhado. Conforme descrito anteriormente,
as aplicaes que j estavam instaladas, antes da instalao do Terminal Services, no estaro habilitadas para o
uso compartilhado. Para tal elas tero que ser reinstaladas. No prximo tpico voc aprender como instalar
aplicaes para uso compartilhado, via Terminal Services no modo de compartilhamento de aplicaes.
Instalando aplicaes para uso no modo compartilhado.
Se voc estiver utilizando o Terminal Server no modo de administrao (apenas habilitando o recurso de Desktop
Remoto), no sero precisos cuidados adicionais para instalar as aplicaes. Ou seja, o processo de instalao o
mesmo de instalar um aplicativo no Windows Server 2003, nada de diferente. Isso porque neste modo, o nmero
mximo de conexes simultneas dois e este modo utilizado, pelo administrador, para acessar os consoles
administrativos do Windows Server 2003 (DNS, WINS, DHCP, Usurios e Computadores do Active Directory e assim
por diante).
J no modo de Compartilhamento de Aplicaes existem alguns pontos que devem ser observados. Primeiro importante
salientar que neste modo, as aplicaes podero ser utilizadas por vrios usurios conectados simultaneamente. O
Windows Server 2003 ter que tratar destes acessos simultneos, sendo capaz de manter uma ambiente personalizado
para cada usurio. Aplicaes que obtiveram o logotipo Certified for Windows, iro funcionar, sem problemas, com
o Terminal Server no modo de Compartilhamento de Aplicaes. Conforme citado anteriormente, no site
www.veritest.com, voc encontra uma relao das aplicaes que possuem o logotipo Certified for Windows.
Para aplicaes que no tem o logo Certified for Windows podem ser necessrios passos adicionais para que ela
possam ser executadas no modo de Compartilhamento de Aplicaes. Algumas destas aplicaes podero ser fornecidas
com scripts de adaptao, os quais devero ser executados para que a aplicao possa ser executada no modo de
Compartilhamento de Aplicaes. Outras podero, simplesmente, no funcionar neste modo.
Quando voc instala o Terminal Services em modo da Compartilhamento de Aplicaes, o Windows Server 2003
pode ser colocado em dois modos de operao distintos:
Install Mode (Modo de Instalao)
Execute Mode (Modo de Execuo).
O modo de execuo o modo normal de operao, no qual deve estar o Windows Server 2003, para que os usurios
possam acessar o Terminal Services e as aplicaes disponveis. Para aplicaes que no tem o logotipo Certified for
Windows, voc deve alternar para o modo de instalao (Install Mode) para instalar a aplicao, caso contrrio esta
aplicao no ir funcionar corretamente. Aps ter feito a instalao, voc deve alternar de volta para o modo de
execuo (Execute Mode), para que a aplicao possa ser acessada pelos usurios, via Terminal Services.
Quando voc inicia o processo de instalao de uma aplicao, o Windows Server 2003 capaz de detectar a necessidade
de alternar para o modo de instalao e faz esta alterao sem problemas. Quando voc usa a opo Adicionar ou
remover programas) do Painel de controle, o Windows Server 2003 tambm alterna para o modo de instalao. Uma
terceira opo para alternar entre os modos de execuo e instalao e vice-versa o comando change, o qual ser
descrito logo a seguir.
O comando change tem diferentes opes e diferentes parmetros de linha de comando, conforme descrito a seguir:
change user /query -> Informa em que modo est o Windows Server 2003 (EXECUTE ou INSTALL)
change user /install -> Habilita o modo de instalao
change user /execute -> Retorna ao modo de execuo.
Na Figura 9.15 exibido um exemplo de execuo do comando change user com as trs opes descritas anteriormente.
Figura 9.15 O comando change user.
Voc tambm pode utilizar o comando change com a opo logon, conforme descrito a seguir. Esta opo utilizada
para habilitar ou desabilitar o logon de usurios via Terminal Services.
change logon /query -> Informa em se o logon est habilitado ou desabilitado (ENABLED ou DISABLED)
change logon /disable -> Desabilita o logon de novos usurios. As conexes dos usurios atualmente logados,
sero mantidas.
change user /enable -> Habilita novamente o logon dos usurios, via Terminal Services.
Na Figura 9.16 exibido um exemplo de execuo do comando change logon com as trs opes descritas anteriormente.
Figura 9.16 O comando change logon.
Instalando o Office 2000 para uso atravs do Terminal Sevices.
O Microsoft Office 2000 um excelente exemplo de aplicao que precisa de algumas configuraes especiais para
que possa rodar via Terminal Services. O Offce 2000 foi projetado para ser utilizado por um nico usurio por vez.
Para que ele possa funcionar no Windows Server 2003, com o Terminal Services no modo de Compartilhamento de
aplicaes, algumas modificaes devem ser efetuadas.
O primeiro passo fazer o download de algumas ferramentas do Resource Kit do Office 2000, a partir do seguinte
endereo:
http://download.microsoft.com/download/6/b/3/6b34f4c7-44e6-4d85-91d9-1acf9479da7d/orktools.exe
Este arquivo contm ferramentas que daro suporte a instalao do Office 2000
para uso via Terminal Services, no modo de Compartilhamento de Aplicaes.
Aps ter feito o download do arquivo orktools.exe e de t-lo instalado, siga os
passos indicados a seguir, para instalar o Office 2000:
1. Faa o logon no servidor como administrador ou com uma conta com
permisso de administrador.
2. Use a opo Adicionar ou remover Programas do Painel de controle, para
iniciar a instalao do Office 2000 a partir do drive de CD.
3. Na linha de comando do arquivo de instalao, acrescente o seguinte texto na
parte final, aps o arquivo de instalao (.exe):
TRANSFORMS=CAMINHO\termsrvr.mst
NOTA: Caso o endereo anterior
no funcione corretamente, acessa
a seguinte pgina: http://
www.microsoft.com/office/ork/
2000/appndx/toolbox.htm e pro-
cure pela opo: Office Resource
Kit core tool set
Onde CAMINHO o caminho completo para a pasta onde foram instaladas as ferramentas do Resource Kit do Office
2000, descritas anteriormente. Normalmente estas ferramentas so instaladas no seguinte caminho:
C:\Arquivos de programas\ORKTools\ToolBox\Tools\Terminal Server Tools\Termsrvr.mst
Observe que o arquivo que far as modificaes necessrias passado como um parmetro para o arquivo de instalao.
O arquivo de instalao do Office 2000 ir acessar as informaes do arquivo Termsrvr.mst e ir utiliz-las para criar
uma instalao do Office 2000, adaptada a utilizao via Terminal Server no modo de Compartilhamento de aplicaes.
4. Siga os passos do assistente de instalao para completar a instalao do Office 2000. Pronto, agora o Office
2000 est instalado e habilitado para ser utilizado via Terminal Server, no modo de Compartilhamento de aplicaes.
Agora os usurios podero se conectar ao Terminal Server e utilizar os aplicativos do Office 2000 (Word, Excel,
Access e PowerPoint) remotamente.
Administrao do Terminal Services.
Uma vez que voc instalou e colocou o Terminal Services para funcionar, hora de conhecer as ferramentas de
administrao e as opes de configurao disponveis. Existem, basicamente, trs consoles para administrao do
Terminal Services:
Gerenciador dos servios de terminal: Esta ferramenta utilizada para monitorar e controlar as conexes com
o Terminal Services. Com esta ferramenta voc pode exibir todas as conexes estabelecidas com o Terminal
Services.
Configurao dos servios de terminal: Esta ferramenta executada no servidor onde o Terminal Server est
instalado. utilizada para configurar uma srie de propriedades do Terminal Server, conforme voc aprender
logo em seguida.
Licenciamento do Terminal Server: Esta ferramenta, j utilizada anteriormente, utilizada para ativar o Terminal
Server e para configurar o nmero de licenas de acesso disponveis.
A seguir voc aprender a utilizar o console Gerenciador dos servios de terminal e o console Configurao dos
servios de terminal.
Gerenciando as conexes com o Gerenciador dos servios de terminal.
Neste item mostrarei, atravs de um exemplo prtico, como utilizar a ferramenta Gerenciador dos servios de termi-
nal, para executar uma srie de tarefas, tais como: procurar servidores com o Terminal Server instalado, criar novas
conexes, cancelar sesses e assim por diante.
Para utilizar o Gerenciador dos servios de terminal, para executar uma srie de tarefas administrativas, siga os passos
indicados a seguir:
1. Faa o logon como administrador ou com uma conta com permisso de administrador, no servidor onde est
instalado o Terminal Services.
2. Abra o Gerenciador dos servios de terminal: Iniciar -> Ferramentas administrativas -> Gerenciador de servios
de terminal.
3. A primeira vez que voc abre o Gerenciador dos servios de terminal exibida uma mensagem, indicada na
Figura 9.17, avisando que algumas funcionalidades, tais como o Controle Remoto, somente esto disponveis
quando o Gerenciador dos servios de terminal utilizado atravs de uma sesso do Terminal Server, como por
exemplo, quando o administrador se conecta ao servidor usando o recurso de rea de Trabalho Remota e depois
de conectado, abre o Gerenciador dos servios de terminal.
Figura 9.17 Mensagem de aviso ao abrir o Gerenciador dos servios de terminal.
4. Marque a opo No exibir esta mensagem novamente e clique em OK para fechar a mensagem de aviso.
5. Ser exibido o console de administrao do Terminal Server. Por padro todos os servidores do domnio, que
esto com o Terminal Server instalados, so adicionados a este console, conforme exemplo da Figura 9.18 (onde
exibido o nico servidor do domnio, com o Terminal Server instalado):
Figura 9.18 O console de administrao do Terminal Server.
6. Voc pode fazer com que sejam exibidos todos os servidores disponvies com o Terminal Server instalado. Para
pesquisar todos os servidores com Terminal Server, na sua rede, independentemente do domnio, clique com o
boto direito do mouse na opo Todos os servidores listados e, no menu de opes que exibido, clique em
Atualizar servidores em todos os domnios.
7. Para gerenciar as conexes de um servidor voc deve conectar-se ao referido servidor. Para isso basta dar um
clique duplo no nome do servidor, conforme exemplo da Figura 8.19, onde foi feita uma conexo com o servidor
SRV70-290. A cor azul do cone, ao lado do nome do servidor, indica que a conexo foi efetuada com sucesso.
Observe que, no painel da direita, so exibidas as conexes atualmente ativas e abaixo do nome do servidor so
exibidas mais opes, as quais sero descritas neste exemplo.
Figura 9.19 Conectando-se com o servidor SRV70-290.
8. No painel da direita esto disponveis trs guias: Usurios, Sesses e Processos. Por padro a guia Usurios vem
selecionada. No Exemplo da Figura 9.19, exibida a lista dos usurios conectados. Observe que o usurio Ad-
ministrator tem duas sesses abertas neste servidor. Uma o logon local que ele fez, diretamente no servidor. Esta
sesso indicada pelo valor Console, na coluna Sesso. Console indica o logon local, diretamente no servidor. A
outra sesso foi feita a partir de um computador com o Windows 2000 Server instalado, utilizando o Cliente de
servios de terminal e o logon tambm foi feito usando a conta Administrator. Esta sesso identificada pelo
valor RDP-Tcp#1, na coluna Sesso. O RDP abreviatura de Remote Desktop Protocol, que o protocolo utilizado
para comunicao do cliente com o Terminal Server. TCP indica que este protocolo utiliza o TCP como protocolo
de transporte e #1 indica que foi a primeira conexo. Ao clicar com o boto direito do mouse, em uma das sesses
remotas que esto sendo exibida (do tipo RDP), sero disponibilizada diversas opes relacionadas com a sesso,
tais como: Conectar, Desconectar, Enviar uma mensagem, Redefinir, Status e Fazer logoff. Quando voc disconecta
uma sesso, todos os programas que estavam abertos nesta sesso continuam sendo executados, mas as entradas
e sadas desta sesso no so mais transmitidos para a sesso do cliente, conectado remotamente. Se o usurio
fizer a conexo novamente, receber o mesmo ambiente que havia anteriormente, sem perda de dados. Ao
desconectar uma sesso no sero liberados recursos no servidor (tais como memria e processador) e a sesso,
mesmo desconectada, continuar a contar como uma licensa de acesso que est sendo utilizada. O usurio somente
pode desconectar as suas prprias sesses e o adminstrador pode disconectar as sesses de qualquer usurio. Para
disconectar uma sesso basta clicar com o boto direito do mouse na sesso a ser desconectada e clicar na opo
Desconectar. Ser exibida uma mensagem pedindo confirmao, conforme indicado na Figura 9.20:
Figura 9.20 Confirmao para desconectar uma sesso.
9. Clique em OK e pronto, a sesso ser desconectada. O usurio que criou a sesso tambm receber, no computador
onde a sesso foi inicializada, uma mensagem de que a sesso foi desconectada pelo administrador. Uma das
situaes prticas onde pode ser tili o recurso de desconectar sesses, para usurios mveis. Por exemplo, um
vendedor que trabalha com um notebook e quando chega em um cliente, conecta-se a rede da empresa usando o
Terminal Services. Ao invs de enderrar a sesso, ele pode simplesmente desconect-la. Ao chegar no prximo
cliente, ele conecta a sesso novamente e ter exatamente o mesmo ambiente anterior, com os mesmos programas
abertos e prontos para o uso. A desvantagem desta abordagem, conforme descrito anteriormente, que as sesses
desconectadas continuam ocupando recursos de hardware no servidor, uma vez que os programas de uma sesso
desconcetada, continuam rodando normalmente. O administrador pode desconectar vrias sesses ao mesmo
tempo. Para isso basta selecionar as sesses a serem desconectadas (usando as teclas Ctrl ou Shift, em combinao
com o mouse, para selecionar as vrias sees) e depois clicar com o boto direito do mouse em uma das sesses
selecioandas e, no menu de opes que exibido, clicar em Desconectar.
Figura 9.21 Staus sobre a sesso.
11. Voc tambm pode redefinir (resetar seria um termo mais adequado, mas acho que ainda no existe no idioma
Portugus) uma sesso. Para isso clique com o boto direito do mouse na sesso e no menu de opes que
exibido clique em Redefinir. Ao redefinir uma sesso, pode haver perda de dados, pois todos os programas sero
encerrados, o que ir liberar recursos no servidor. Ser exibida uma mensagem pedindo confirmao. Clique em
OK para fechar a mensagem e redefinir a sesso. O administrador pode redefinir vrias sesses ao mesmo tempo.
Para isso basta selecionar as sesses a serem redefinidas (usando as teclas Ctrl ou Shift, em combinao com o
mouse) e depois clicar com o boto direito do mouse em uma das sesses selecioandas e, no menu de opes que
exibido, clicar em Redefinir.
12. Voc pode enviar uma mensagem para os usurios que esto conectados via Terminal Services. A mensagem pode
ser enviada para o usurio de uma nica sesso ou para vrios usurios. Para enviar a mensagem para mais de um
usurio, basta selecionar as respectivas sesses. Aps ter selecionado as sesses para as quais sero enviadas
mensagens, clique com o boto direito do mouse em uma das sees selecionadas e, no menu de opes que
exibido, clique em Enviar mensagem. Ser aberta a janela Enviar mensagem. Digite a mensagem a ser enviada,
conforme exemplo da Figura 9.22:
10. Voc tambm pode exibir o status de uma sesso. Clique com o boto direito do mouse na sesso e, no menu de
opes que exibido, clique em Status. Ser aberta a janela de status da sesso, onde so exibidas informaes
tais como: bytes recebidos, bytes enviados, frames com erro, % frames com erro e assim por diante, conforme
indicado na Figura 9.21. Para fechar a janela de stauts basta clicar em Fechar.
Figura 9.22 Enviando uma mensagem
13. Clique em OK e pronto, os usurios das sesses selecionadas, recebero a mensagem, conforme exemplo da
Figura 9.23:
Figura 9.23 Mensagem recebida pelo usurio.
14. Voc tambm pode exibir informaes sobre os processos que esto em execuo por uma determinada sesso.
Para isso basta dar um clique no sinal de +, ao lado do nome do servidor. Abaixo do servidor ser exibida a lista
das sesses do servidor. Clique na seo para a qual voc deseja exibir os processos. No painel da direita sero
exibidas as guias Processos e Informao. A guia Processos j vem selecionada por padro e exiba a listagem de
processos em execuo pela respectiva sesso, conforme exemplo da Figura 9.24:
Figura 9.24 Processos em execuo por uma determinada sesso.
15. Estas informaes tambm pode ser exibidas a nvel de servidor ou de todos os servidores do domnio. Por
exemplo, se voc clicar no nome de um servidor, no painel da direita sero exibidas as guias Usurios, Sesses e
Processos. A guia Usurios exibir a lista de todos os usurios com sesses abertas com o servidor selecionado no
painel da esquerda. A guia Sesses exibira a lista de todas as sesses do servidor e a guia Processos exibir a lista
de todos os processos de todas as sesses do servidor. Se voc clicar no nome do domnio, sero exibidas as
mesmas guias: Usurios, Sesses e Processos, porm em cada guia, sero exibidas informaes sobre todo o
domnio. Por exemplo, quando um domnio est selecionado e voc clica na guia Sesses, ser exibida a listagem
de todas as sesses em todos os servidores Terminal Server do, domnio.
16. Feche o console de Administrao do Terminal Server.
Configuraes do Terminal Server.
Neste item mostrarei, atravs de um exemplo prtico, como utilizar a ferramenta Configurao dos servios de termi-
nal. Com esta ferramenta voc pode definir uma srie de configuraes para o Terminal Server.
Para configurar o Terminal Server, utilizando o console Configurao dos servios de terminal, siga os passos indicados
a seguir:
2. Abra o console Configurao dos servios de terminal: Iniciar -> Ferramentas administrativas -> Configurao
dos servios de terminal.
3. Ser aberto o console de configurao do Terminal Server, com as opes Conexes e Configuraes do servidor
disponveis, conforme indicado na Figura 9.25.:
Figura 9.25 O console de configurao do Terminal Server.
4. A maioria das configuraes disponveis so feitas atravs da opo Conexes. Clique na opo Conexes. No
painel da direita ser exibida a opo RDP-Tcp. Clique com o boto direito do mouse nesta opo. No menu de
opes que exibido, clique em Propriedades. Ser aberta a janela de propriedades, na qual voc pode definir
uma srie de propriedades que sero aplicadas s conexes do Terminal Server. Por padro, a guia Geral vem
selecionada, conforme indicado na Figura 9.26:
Figura 9.26 A guia Geral de Propriedades.
Nesta guia esto disponveis as seguintes opes de configurao:
Comentrio: Fornece um espao para que voc insira informaes sobre
as conexes, como por exemplo: Conexes no domnio ABC.
Nvel de criptografia: Lista os nveis disponveis de criptografia usados
para proteger os dados enviados entre o cliente e o servidor. Todos os
nveis utilizam a criptografia RSA RC4. O nvel Client Compatible
(Compatvel com o cliente), faz a criptografia dos dados trocados entre o
cliente e o servidor, usando o tamanho mximo de chave suportado pelo
cliente. Este nvel aconselhvel para ambientes que tem uma variedade
diferente de clientes se conectando com o Terminal Services, tais como
diferentes verses do Windows, Linux, Macintosh e assim por diante. O
nvel Baixo criptografa dados enviados do cliente para o servidor usando
uma chave de 40 bits ou de 56 bits. O Terminal Server usa uma chave de
56 bits quando os clientes do Windows 2000 ou XP se conectam e uma
chave de 40 bits quando a conexo efetuada com verses anteriores do
cliente. Essa criptografia baseada apenas em entrada usada para proteger
dados confidenciais como, por exemplo, a senha de um usurio. O nvel
Mdio criptografa dados enviados do cliente para o servidor e do servidor
IMPORTANTE: Para o exame,
voc deve conhecer bem as opes
de configurao da opo RDP-Tcp.
para o cliente usando uma chave de 40 bits ou de 56 bits. O Terminal Services usa uma chave de 56 bits quando
os clientes do Windows 2000 ou XP se conectam e uma chave de 40 bits quando a conexo efetuada com
verses anteriores do cliente. Use a criptografia mdia para assegurar os dados confidenciais quando eles
forem transportados pela rede para exibio em clientes remotos. Se voc estiver nos Estados Unidos ou
Canad, poder selecionar o nvel Alto, que criptografa dados enviados do cliente para o servidor e do servidor
para o cliente usando a criptografia de 128 bits de alta segurana.
Usar autenticao padro do Windows: Especifica se o padro da conexo ser a autenticao padro do
Windows quando um outro pacote de autenticao estiver instalado no servidor.
5. Defina as opes desejadas e d um clique na guia Configuraes de logon. Sero exibidas as opes indicadas
na Figura 9.27:
Figura 9.27 A guia de configuraes de logon, das Propriedades da sesso.
Usar informaes de logon fornecidas pelo cliente: Esta a opo marcada por padro. Especifica que as
configuraes de logon so recuperadas do cliente. As configuraes do cliente so definidas no Gerenciador
de conexes de cliente.
Sempre usar as seguintes informaes de logon: Ao marcar esta opo voc poder definir as informaes de
logon a serem utilizadas. Ao marcar esta opo, sero habilitados os campos para que voc digite o nome de
uma conta, domnio e a respectiva senha (duas vezes). As informaes fornecidas sero utilizadas para efetuar
o logon em todas as sesses.
Sempre pedir senha: Especifica se o usurio sempre ser solicitado a fornecer uma senha antes de efetuar
logon no servidor.
6. Defina as opes desejadas e d um clique na guia Sesses. Sero exibidas as opes indicadas na Figura 9.28:
Figura 9.28 A guia Sesses.
Primeira opo - Ignorar configuraes do usurio: Especifica se sero substitudas as configuraes definidas
por padro na conta do usurio (Guia Terminal Services). Ao marcar esta opo, sero habilitadas as listas:
Finalizar uma seo desconectada, Limite de sesso ativa e Limite de sesso ociosa.
IMPORTANTE: Saiba que possvel sobrescrever as configuraes definidas nas propriedades da conta do usurio, em relao ao
Terminal Server. Tambm importante que voc conhea bem, as opes da guia Sesses. Estes so tpicos importantes para o
Exame 70-290.
Na lista Finalizar uma seo desconectada, voc pode digitar ou selecionar o tempo mximo que uma sesso
desconectada permanecer no servidor. Quando o tempo limite alcanado, a sesso desconectada ser encerrada.
Quando uma sesso encerrada, ela excluda permanentemente do servidor. Selecione Nunca para permitir que
as sesses desconectadas permaneam no servidor indefinidamente. Voc pode selecionar o espao de tempo ou
digitar o nmero de minutos, horas ou dias na caixa. Especifique as unidades de tempo usando m para minutos, h
para horas e d para dias. O tempo mximo que pode ser especificado de 49 dias e 17 horas. No uma boa prtica
permitir que sesses desconectadas permaneam por muito tempo no servidor, antes de serem finalizadas, pois isso
faz com que sejam ocupados recursos (memria e processador), do servidor. Pode haver situaes onde o tempo de
resposta do servidor fica extremamente elevado, devido a um grande nmero de sesses desconectadas, que continuam
ocupando recursos do servidor. Nestas situaes, a soluo indicada diminuir o tempo para que uma seo
desconectada seja finalizada.
Na lista Limite de sesso ativa, voc pode digitar ou selecionar o tempo mximo que uma sesso de usurio pode
permanecer ativa no servidor. Quando o tempo limite for alcanado, o usurio ser desconectado da sesso ou a sesso
ser encerrada. Quando uma sesso encerrada, ela excluda permanentemente do servidor. Selecione Nunca para
permitir que a sesso continue indefinidamente. Voc pode selecionar o espao de tempo ou digitar o nmero de
minutos, horas ou dias na caixa. Especifique as unidades de tempo usando m para minutos, h para horas e d para dias.
O tempo mximo que pode ser especificado de 49 dias e 17 horas.
Na lista Limite de sesso ociosa, voc pode digitar ou selecionar o tempo mximo que uma sesso ociosa (sesso sem
atividade do cliente) permanece no servidor. Quando o tempo limite alcanado, o usurio desconectado da sesso
ou a sesso encerrada. Quando uma sesso encerrada, ela excluda permanentemente do servidor. Selecione
Nunca para permitir que as sesses desconectadas permaneam no servidor indefinidamente. Voc pode selecionar o
espao de tempo ou digitar o nmero de minutos, horas ou dias na caixa. Especifique as unidades de tempo usando m
para minutos, h para horas e d para dias. O tempo mximo que pode ser especificado de 49 dias e 17 horas.
Segunda opo - Ignorar configuraes do usurio: Ao selecionar esta opo, sero habilitadas opes para
voc definir qual deve ser o comportamento do Terminal Server quando o limite de tempo da sesso for
atingido ou a conexo for interrompida, sobrescrevendo as opes definidas nas propriedades da conta do
usurio, no domnio. Ao marcar esta opo, sero habilitadas as opes a seguir:
Desconectar-se da seo: Esta opo especifica que o usurio ser desconectado da sesso quando o limite da
sesso for alcanado ou quando a conexo for interrompida.
Encerrar a sesso: Esta opo especifica que uma sesso ser encerrada quando seu tempo limite for alcanado
ou a conexo for interrompida. Quando uma sesso encerrada, ela excluda permanentemente do servidor.
Terceira opo Ignorar configuraes do usurio - Permitir reconexo: Ao selecionar esta opo, sero
habilitadas opes para voc definir qual deve ser o comportamento do Terminal Server em relao reconexes,
sobrescrevendo as opes definidas nas propriedades da conta do usurio, no domnio. Ao marcar esta opo,
sero habilitadas as opes a seguir
De qualquer cliente: Esta opo especifica que os usurios tm permisso para reconectar-se com uma sesso
desconectada a partir de qualquer computador. Por padro, Servios de terminal permite a reconexo com
uma sesso desconectada em qualquer computador.
Do cliente anterior: Esta opo especifica que os usurios tm permisso para reconectar-se com uma sesso
desconectada apenas a partir do computador no qual a sesso teve origem. Essa opo somente oferece suporte
a clientes Citrix ICA que fornecem um nmero de srie ao conectar-se.
7. Defina as opes desejadas e d um clique na guia Ambiente. Sero exibidas as opes indicadas na Figura 9.29:
Figura 9.29 A guia de Ambiente.
Ignorar configuraes do perfil do usurio e do cliente da conexo da rea de trabalho remota ou dos servios
de terminal: Define que devem ser ignoradas as configuraes do ambiente, definidas no cliente, como por
exemplo as configuraes definidas na guia Ambiente, da janela de propriedades da conta do usurio. Ao
marcar esta opo sero habilitados dois campos, um para que voc digite o nome de um programa a ser
executado quando a sesso iniciada e outro para informar a pasta onde est o referido programa.
8. Defina as opes desejadas e d um clique na guia Controle Remoto. Sero exibidas as opes indicadas na
Figura 9.30:
Figura 9.30 A guia Controle remoto.
O controle remoto um recurso que permite ao administrador tomar o controle de uma sesso do usurio e ter acesso
ao mesmo console que est sendo exibido ao usurio. Ao fazer o controle remoto, o administrador tambm ter o
controle do mouse e do teclado do usurio. Na prtica como se o administrador estivesse sentado em frente ao
computador no qual o usurio iniciou a sesso. O controle remoto uma excelente ferramenta para suporte remoto.
Pode ser habilitado ou desabilitado a nvel de usurio, na guia Remoto da janela de propriedades da conta do usurio.
Usar o controle remoto com as configuraes padro do usurio: Esta opo especifica que as configuraes
de controle remoto sero recuperadas das configuraes definidas nas propriedades da conta do usurio.
No permitir o controle remoto: Desabilita a funcionalidade de controle remoto.
Usar o controle remoto com as seguintes configuraes: Especifica que o controle remoto ser permitido na
conexo e permitir a definio de configuraes de acesso remoto. A configurao do controle remoto em
cada conexo afetar todas as sesses que utilizam a conexo. Ao marcar esta opo, sero habilitadas as
seguintes configuraes adicionais:
Exigir permisso do usurio: Especifica se ser exigida a permisso de usurio para controlar a sesso
remotamente. Quando esta opo for marcada, uma mensagem ser exibida para o cliente, solicitando permisso
para que o administrador possa visualizar ou participar da sesso, controlando-a remotamente.
Nvel de controle Exibir a sesso: Especifica que a sesso do usurio apenas poder ser visualizada.
Nvel de controle Interagir com a sesso: Especifica que a sesso do usurio poder ser controlada ativamente
com o teclado e o mouse, pelo administrador.
9. Defina as opes desejadas e d um clique na guia Configuraes do cliente. Sero exibidas as opes indicadas
na Figura 9.31:
Figura 9.31 A guia Configuraes do cliente.
Com as opes desta guia voc define uma srie de configuraes relacionadas ao cliente que est criando a sesso.
Usar configuraes de conexo do usurio: Esta opo define se as configuraes de conexo, definidas nas
propriedades da conta do usurio sero utilizadas. Ao desmarcar esta opo, sero habilitadas as seguintes
configuraes adicionais:
Conectar unidades cliente ao efetuar o logon: Essa opo define se todos os drives de rede, mapeados pelo
usurio, devem ser reconectados automaticamente durante o logon.
Conectar impressoras cliente ao efetuar o logon: Essa opo define que as impressoras de rede, do cliente,
devem ser reconectadas automaticamente, durante o logon.
Definir a impressora cliente principal como padro: Define a impressora padro do cliente como sendo tambm
a impressora padro para a sesso. Ou seja, se dentro da sesso, o usurio enviar alguma impresso, esta ser
enviada para a impressora definida como padro, no computador a partir do qual o usurio se conectou ao
Terminal Server.
Limitar profundidade mxima de cor: Define o nmero mximo de cores, para configurao da tela, que pode
ser utilizada atravs de uma sesso com o Terminal Services.
Desativar o seguinte: Neste grupo esto disponveis uma srie de opes para desabilitar recursos especficos,
tais como:
Mapeamento de unidade: Marque esta opo para desabilitar o mapeamento de drivers do cliente.
Mapeamento de impressoras do Windows: Especifica se o mapeamento da impressora cliente do Windows
ser desativado. Por padro, esse recurso est desmarcado (ativado). Quando ativado (desmarcado), os clientes
podem mapear as impressoras do Windows e todas as filas da impressora cliente sero reconectadas
automaticamente quando for efetuado logon. No entanto, quando os mapeamentos de porta LPT e COM
forem desativados (marcados), no ser possvel criar as impressoras manualmente. Quando desativado
(marcado), os clientes no podero mapear as impressoras do Windows e as filas da impressora cliente no
sero reconectadas quando for efetuado logon. Entretanto, ser possvel reconectar impressoras manualmente
se o mapeamento de porta LPT ou COM estiver ativado (desmarcado).
Mapeamento de portas LPT: Especifica se o mapeamento de porta LPT de cliente ser desativado. Por padro,
esse recurso est desmarcado (ativado). Quando ativado (desmarcado), as portas LPT do cliente sero mapeadas
automaticamente para impresso e estaro disponveis na lista de portas do Assistente para adicionar impressora.
Ser preciso criar manualmente a impressora para a porta LPT usando o Assistente para adicionar impressora.
Quando desativado (marcado), as portas LPT do cliente no sero mapeadas automaticamente. Voc no
poder criar manualmente impressoras usando portas LPT.
Mapeamento de portas COM: Especifica se o mapeamento de porta COM de cliente ser desativado. Por
padro, este recurso est desmarcado (ativado). Quando ativado (desmarcado), as portas COM de cliente sero
mapeadas automaticamente para impresso e estaro disponveis na lista de portas do Assistente para adicionar
impressora. Ser preciso criar manualmente a impressora para a porta COM usando o Assistente para adicionar
impressora. Quando desativado (marcado), as portas COM de cliente no sero mapeadas automaticamente.
Voc no poder criar manualmente impressoras para portas COM.
Mapeamento da rea de transferncia: Especifica se o mapeamento da rea de transferncia do cliente ser
desativado. Por padro, este recurso est desmarcado (ativado).
Mapeamento de udio: Define se o mapeamento de udio do cliente deve ou no ser desabilitado.
10. Defina as opes desejadas e d um clique na guia Adaptador de rede. Sero exibidas as opes indicadas na
Figura 9.32.
Nesta guia voc define se para efetuar conexes via Terminal Services, estaro disponveis todos os adaptadores de
rede do servidor ou somente um adaptador especfico (lista Adaptador de rede). Voc tambm pode definir que o
servidor aceita um nmero ilimitado de conexes (Conexes ilimitadas) ou pode limitar o nmero de conexes,
clicando na opo N Mximo de conexes e definindo o nmero de conexes no campo ao lado desta opo.
Figura 9.32 A guia Adaptador de rede.
11. Defina as opes desejadas e d um clique na guia Permisses. Sero exibidas as opes indicadas na Figura
9.33:
Figura 9.33 A guia Permisses.
Esta guia apresenta uma lista de controle de acesso (ACL Access Control List), semelhante a lista que apresentada,
para controle das permisses de acesso em pastas e arquivos de um volume formatado com NTFS. Nesta guia voc
define quais usurios e grupos tero permisses de acesso as sesses do Terminal Services e qual o nvel de acesso dos
usurios e grupos que tem permisso de acesso.
12. Defina as opes desejadas e d um clique em OK para aplicar as configuraes efetuadas.
13. No painel da esquerda, clique na opo Configuraes do servidor). Sero exibidas as opes indicadas na Figura
9.34 e descritas logo a seguir.
Figura 9.34 Opes de Configuraes do servidor.
Esto disponveis as seguintes opes de configuraes do servidor:
Excluir pastas temporrias ao sair: Define se as pastas temporrias devem ou no ser excludas ao encerrar a
sesso. O padro Sim. Para alterar esta configurao basta dar um clique duplo sobre ela. Ser exibida a
janela com os valores que podem ser definidos para esta opo (no caso Sim ou No), conforme exemplo da
Figura 9.35. Clique no valor desejado e depois em OK. Este procedimento utilizado para configurar o valor
de qualquer uma das opes de configurao do servidor, ou seja, clique duplo para abrir a janela de opes.
Depois clique no valor desejado para marc-lo e clique em OK para aplic-lo.
Figura 9.35 Definindo valores para a opo.
Usar pastas temporrias por sesso: Por padro est habilitada (Sim). Quando habilitada faz com que seja
criada uma pasta temporria separada para cada sesso com o terminal services.
Licenciamento: Esta opo permite que voc defina o modo de licenciamento: Per device ou Per user. Para
maiores detalhes sobre as diferenas entre estes dois tipos de licenciamento, consulte o Captulo 1.
Active Desktop: Esta opo est desabilitada (Desativar), por padro. Quando esta opo for habilitada, os
usurios podero utilizar os recursos do Active Desktop ao se conectar ao Terminal Services. Desabilite esta
opo para reduzir o trfego de rede nas sesses do Terminal Services.
Compatibilidade de permisso: Esta opo permite que voc escolha entre Segurana mxima e Segurana
reduzida. Somente use Segurana reduzida, se voc utiliza aplicaes antigas, que dependem de acesso completo
a Registry do sistema. Embora o mais indicado que estas aplicaes sejam substitudas.
Restringir cada usurio a uma nica sesso: Quando esta opo est habilitada (que o padro), cada usurio
poder criar uma nica sesso, ao mesmo tempo, com o Terminal Services.
14. Defina as configuraes de servidor desejadas e feche o console de configurao do Terminal Services.
Bem, sobre Terminal Services era isso. A seguir voc aprender alguns tpicos sobre a Assistncia Remota, tpicos
estes relevantes para o Exame 70-280.
O Recurso de Assistncia Remota.
Neste tpico apresentarei uma breve descrio do recurso de Assistncia Remota, focando nos tpicos mais importantes
A assistncia remota permite que uma pessoa de confiana (um amigo, uma pessoa do suporte ou um administrador
do setor de informtica) auxilie de forma remota e ativa uma outra pessoa com problema no computador. O assistente
(tambm chamado de especialista) poder ver a tela do usurio que est solicitando assistncia e dar algum conselho.
Com a permisso do usurio, o assistente poder inclusive assumir o controle do computador do usurio e executar
tarefas remotamente.
Por exemplo, imagine que voc tem em uma das filiais da empresa, um servidor com o Windows 2003 Server instalado
e que este servidor no faz parte do domnio. Vamos supor que o Administrador local est enfrentando problemas e
gostaria de ter a ajuda do Administrador da matriz da empresa. Como o servidor da filial no faz parte do domnio, no
ser possvel para o Administrador da filial, logar remotamente (a no ser que ele conhea a senha de Administrador
local, do servidor da filial). Nesta situao, o Administrador da filial pode enviar um convite para o Administrador da
matriz, solicitando uma assistncia remota. O Administrador da filial, define o nvel de acesso que o administrador da
Matriz ir ter. Os nveis possveis so somente ter acesso a tela do servidor remoto ou poder assumir o controle, tendo
acesso ao controle do teclado e do mouse do servidor remoto.
Porm o uso mais comum do recurso de Assistncia Remota para fornecer suporte aos usurios da rede. Voc pode
utilizar este recurso, para que os usurios (de estaes baseadas no Windows XP, uma vez que este recurso no est
disponvel no Windows 2000) solicitem assistncia remota para um tcnico da equipe de suporte. O tcnico poder ter
acessa a tela do usurio ou, dependendo das polticas de segurana da empresa e da permisso do usurio, o tcnico
poder inclusive assumir o controle do mouse e do teclado. Como o recurso de assistncia remota gera pouco trfego
de rede, este recurso pode, inclusive, ser utilizado para fornecer suporte tcnico a distncia, onde os tcnicos da filial
da empresa, prestam assistncia tcnica remota, para uma ou mais filiais. um recurso realmente importante e que,
certamente, economiza dinheiro com viagens, dirias e, principalmente, com o tempo para soluo dos problemas.
Com o uso da Assistncia Remota, problemas que talvez demorassem dias para ser resolvidos (at que um tcnico
viajasse para a filial da empresa), podero ser resolvidos em minutos.
A assistncia remota normalmente inicia com uma solicitao de ajuda do usurio, atravs de email, do Windows
Messenger ou de um convite salvo como um arquivo. Entretanto, um assistente tambm poder oferecer ajuda sem
que tenha recebido primeiro uma solicitao de um usurio.
A assistncia remota exige que os dois computadores estejam executando o Windows XP ou um produto da famlia
Tipos de conexes de assistncia remota
A assistncia remota pode ser usada nas seguintes situaes:
Em uma rede local (LAN).
Na Internet.
Entre um indivduo na Internet e um indivduo atrs de um firewall. As conexes atravs de um firewall
requerem que a porta TCP 3389 esteja aberta.
Questes de segurana
Se um usurio permitir e tiver permisso da diretiva de grupo, ou atravs das configuraes de Sistema no Painel de
controle, um assistente poder controlar o computador do usurio e executar qualquer tarefa que poderia ser executada
pelo usurio, incluindo acesso rede. As configuraes a seguir esto disponveis para resolver problemas de segurana
em sua organizao:
No firewall: Para determinar se uma pessoa dentro de sua organizao pode solicitar ajuda fora da organizao,
proba ou permita o trfego de entrada e sada atravs da porta 3389 no firewall.
Diretiva de grupo, via GPOs. Voc pode definir a diretiva de grupo para permitir ou proibir que os usurios
solicitem ajuda usando a assistncia remota. Voc tambm pode determinar se os usurios podero permitir
que alguma pessoa controle remotamente seus computadores ou apenas o vejam.
Alm disso, voc pode definir a diretiva de grupo para permitir ou proibir que um assistente remoto oferea
assistncia remota ao computador local.
Computador individual. O administrador de um computador individual poder desativar as solicitaes de
assistncia remota nesse computador, o que impedir que qualquer pessoa que esteja utilizando o computador
envie um convite de assistncia remota.
Habilitando o recurso de Assistncia Remota
Por padro, o recurso de Assistncia Remota est desabilitado. Para que possa ser utilizado, o recurso de Assistncia
Remota deve ser habilitado. Este recurso pode ser habilitado manualmente em cada computador ou atravs das
configuraes das Polticas de Segurana do Domnio. A seguir descrevo como habilitar, manualmente, o recurso de
Assistncia Remota, em um computador.
Para habilitar o recurso de assistncia remota, siga os passos indicados a seguir:
1. Fao o logon com uma conta com permisso de Administrador.
2. Abra o Painel de Controle.
3. Dentro do Painel de controle, d um clique duplo na opo Sistema.
4. Ser aberta a janela Propriedades do sistema, com a guia Geral selecionada por padro. D um clique na guia
Remoto. Sero exibidas as opes indicadas na Figura 9.36:
Figura 9.36 A guia Remoto.
5. Observe que, por padro, a opo Ativar a assistncia remota e permitir o envio de convites deste computador,
vem desmarcada. Para habilitar que seja enviado um convite para assistncia remota, a partir deste computador,
voc deve marcar esta opo.
6. Marque esta opo.
7. O boto Avanada... ser ativado. Atravs deste boto, voc tem acesso as configuraes da Assistncia remota.
8. D um clique no boto Avanada...
9. Ser exibida a janela Configuraes da assistncia remota, indicada na Figura 9.37:
Figura 9.37 Configuraes avanadas.
10. Nesta janela voc tem as seguintes opes de configurao:
Permitir que este computador seja controlado remotamente: Marque esta opo para permitir o controle remoto.
Ou seja, ao marcar esta opo, quando o tcnico aceitar o convite de assistncia remota que voc enviou, ele
tambm ter acesso ao teclado e ao mouse, ou seja, embora remotamente, como se ele estivesse sentado na
frente do seu computador. Este recurso deve ser utilizado com cuidado, obviamente por questes de segurana.
Convites: Nesta lista voc define o tempo mximo pelo qual os convites so vlidos. Ou seja, o usurio envia
um convite, qual seria o tempo mximo dentro do qual este convite pode ser utilizado, antes que perca a
validade. Se um tcnico tentar utilizar um convite que perdeu a validade, no ser possvel estabelecer o
controle remoto.
11. Defina as configuraes desejadas e clique em OK.
12. Voc estar de volta guia Remoto. Clique em OK para fechar a janela de Propriedades do Sistema.
Enviando um convite de assistncia remota
Uma coisa que o amigo leitor deve estar se perguntando como o usurio faz, para enviar um convite de assistncia
remota, para um tcnico do suporte tcnico ou para um outro usurio qualquer. Bem, exatamente deste tpico, que
tratarei agora.
Algumas vezes, a melhor maneira de corrigir um problema ter algum que aponte como faz-lo. A assistncia
remota uma opo conveniente que permite que outra pessoa (denominada assistente ou especialista) se conecte ao
seu computador e o oriente passo a passo para solucionar o problema.
Seguindo as etapas da Assistncia remota, o usurio pode usar o Windows Messenger ou uma mensagem de email
para convidar um assistente a se conectar ao seu computador. O usurio tambm pode salvar o convite em um arquivo.
Depois que o assistente estiver conectado, ele poder ver a tela de seu computador e conversar com voc sobre o que
ambos esto vendo. Com sua permisso, o assistente poder usar o prprio mouse e teclado para controlar seu
computador.
Para solicitar a assistncia remota, siga os passos indicados a seguir:
1. Clique no boto Iniciar e, em seguida, clique em Ajuda e suporte.
2. No painel da direita, clique na opo Assistncia remota.
3. Nas opes que so exibidas, clique em Convide algum para ajud-lo.
4. Ser aberto um assistente, passo-a-passo, para que voc crie e envie um convite de assistncia remota. Siga as
outras instrues para criar e enviar um convite.
5. A pessoa recebe o convite, ou por email ou via Windows Messenger, com um link na qual o tcnico cria, para
iniciar a sesso de assistncia remota com o computador do cliente.
Alguns detalhes importantes sobre a Assistncia remota:
A assistncia remota exige que os dois computadores estejam executando o Windows XP ou um produto da
famlia Windows Server 2003.
Se voc solicitar assistncia usando o Windows Messenger, seu assistente tambm dever estar inscrito no
Windows Messenger.
Vocs dois precisaro estar conectados Internet ou mesma rede local (LAN) quando usarem a assistncia
remota.
Se houver vrios usurios em um computador, o administrador s poder ver suas prprias permisses. Ele
no poder ver as permisses da assistncia remota criadas pelos outros usurios do computador.
Os firewalls provavelmente o impediro de usar a assistncia remota para solicitar ajuda de uma outra pessoa
fora do firewall. Nesse caso, consulte o administrador da rede. A assistncia remota usa o protocolo de rea de
trabalho remota (RDP) para estabelecer uma conexo entre um usurio que est solicitando ajuda e um assistente
que est oferecendo a ajuda. O RDP usa a porta TCP 3389 para essa conexo. Para permitir que os usurios de
uma organizao solicitem ajuda fora da organizao usando a assistncia remota, a porta 3389 dever estar
aberta no firewall. Para proibir os usurios de solicitarem ajuda fora da organizao, essa porta dever estar
fechada no firewall. Se o administrador fechar a porta 3389, sero bloqueados todos os servios de terminal e
de rea de trabalho remota. Para liberar esses servios, mas limitar as solicitaes de assistncia remota, voc
deve habilitar a porta 3389 e usar as GPOs para desabilitar a Assistncia remota. Se a porta estiver aberta
somente para trfego de sada, um usurio poder solicitar assistncia remota usando o Windows Messenger.
O novo recurso de Shadow Copies.
O recurso de shadow copies uma das novidades do Windows Server 2003. Este
recurso pode ser habilitado individualmente, em cada volume de um servidor
com o Windows Server 2003. Uma vez habilitado este recurso, todas as pastas
compartilhadas no volume passaro a utilizar o recurso de shadow copies.
O recurso de shadow copies permite que o Windows Server 2003 mantenha cpias
de vrias verses de um mesmo arquivo e permite que o usurio, tenha acesso as
diferentes verses disponveis (na prtica, havendo espao disponvel, um histrico
de at 64 verses do mesmo arquivo, pode ser mantido).
Por exemplo, vamos supor que voc crie um arquivo do Word e salve ele em um
volume com o recurso de shadow copies habilitado. Daqui a uma semana voc
abre este mesmo arquivos, faz algumas alteraes e salva o arquivo novamente.
Com o recurso de shadow copies, ser mantida uma cpia da verso anterior,
cpia esta que poder inclusive ser acessada, se for necessrio. Podem ser mantidas
IMPORTANTE: O firewall de
conexo com a Internet (ICF) da
Microsoft permite trfego de
entrada e sada de assistncia re-
mota, contanto que a solicitao
inicial de assistncia tenha sido feita
no computador em que o firewall
est ativado. O ICF foi projetado
para ser usado somente com
computadores autnomos ou
pertencentes a um grupo de
trabalho.
vrias verses do mesmo arquivo. O nmero de verses que mantida pelo recurso
de shadow copies depende do tamanho do prprio arquivo e do espao em disco
reservado para este recurso.
Este recurso funciona como se fosse uma lixeira da rede, porm uma lixeira
modificada, onde so mantidas vrias verses do mesmo arquivo, podendo estas
verses serem acessadas pelo cliente. Este recurso funciona tambm como um
backup alternativo. Rapidamente o usurio pode recuperar uma verso mais recente
do arquivo (provavelmente mais recente do que a verso que est na fita de backup),
sem ter que esperar uma hora ou mais at que o arquivo seja restaurado a partir de
uma fita de backup.
O recurso de shadow copies traz muitos benefcios, dentre os quais gostaria de
destacar os seguintes:
Recuperao rpida e fcil de arquivos que foram excludos
acidentalmente. Se voc excluir, por engano, um arquivo, poder abrir
uma verso anterior e copi-la para um local seguro.
Recuperao rpida e fcil de arquivos que foram sobrescritos por engano.
Comparao de verses dos arquivos. Voc pode utilizar uma verso an-
terior para identif icar as mudanas que foram efetuadas em um
determinado arquivo.
fundamental lembrar que o recurso de shadow copies no um recurso que ir
substituir o backup. Principalmente porque as diferentes verses do mesmo arquivo
so gravadas no mesmo disco. Ou seja, se o disco for danificado voc perder a
ltima verso e tambm todas as verses mantidas no recurso de shadow copies.
Nesta situao a nica maneira de recuperar as informaes restaurando a partir
do backup. Existe a possibilidade de configurar o recurso de Shadow Copies,
para que as copias sejam armazenadas em um volume diferente do volume origi-
nal. Esta pode ser uma boa estratgia em termos de desempenho, porm nem
nesta situao, o recurso de Shadow Copies deve ser considerado um substituto
para o Backup.
Quando o espao reservado para a manuteno de verses anteriores dos arquivos
for preenchido, os arquivos mais antigos sero descartados, para que novos possam
ser gravados. Voc aprender a configurar o espao reservado para o recurso de
shadow copies mais adiante, nos exemplos prticos.
Mais algumas observaes sobre o recurso de shadow copies.
A quantidade mnima de espao que pode ser reservada para este recurso de 100
MB. O valor padro 10% do tamanho do volume onde o recurso de shadow
copies ser habilitado. As verses antigas, mantidas pelo recurso de shadow cop-
ies podero ser gravadas em um volume diferente do volume original.
O volume a ser reservado para este recurso depende da forma como os arquivos
so utilizados. Se voc tem arquivos que so alterados diariamente, ser necessrio
NOTA: Permitam que eu me
queixe, mais uma vez, das
tradues que so feitas. J vi
algumas tradues de shadow cop-
ies como sendo sombras de cpia,
mas, sinceramente, me recuso a
utilizar esta traduo. Por isso, neste
tpico, vou utilizar o termo origi-
nal: shadow copies.
NOTA: O recurso de shadow cop-
ies configurado atravs da janela
de propriedades do volume (C:,D:
e assim por diante), na guia Shadow
Copies, conforme mostrarei na
parte prtica mais adiante.
IMPORTANTE: Para que os
clientes possam utilizar o recurso de
shadow copies, deve ser instalado
o software cliente de shadow cop-
ies em cada estao de trabalho que
ir utilizar este recurso. Na parte
prtica mostrarei como fazer esta
instalao. Em resumo, para o
exame, no se esquea que para
habilitar o recurso de Shadow Cop-
ies, so necessrios dois passos. O
primeiro habilitar este recurso no
volume onde est a pasta
compartilhada, que ser acessada
atravs da rede. O segundo passo
instalar o cliente de Shadow Cop-
ies, em todas as estaes de
trabalho que devero ter acesso a
este recurso. Lembre-se bem destes
dois passos, para o exame.
uma boa quantidade de espao para este recurso. Se voc tem arquivos que
raramente so alterados, a quantidade de 10% do volume pode ser mais do que
suficiente.
O agendamento do recursos de shadow copies.
Quando voc habilita o recurso de shadow copies, o Windows Server 2003 cria
um agendamento padro e define um intervalo. A cpia dos arquivos feita de
acordo com este agendamento.
Este agendamento pode ser alterado e deve ser adaptado de acordo com as
caractersticas de uso do volume. Na parte prtica voc aprender a alterar este
agendamento.
Habilitando o recurso de shadow copies em um volume:
Neste item mostrarei como habilitar o recurso de shadow copies em um volume.
Voc ver que as configuraes so extremamente simples.
Exemplo: Para habilitar o recurso de shadow copies em um volume, siga os passos
indicados a seguir:
administrador.
3. Clique com o boto direito do mouse no volume onde ser habilitado o recurso
de shadow copies. No menu de opes que exibido clique em Propriedades.
IMPORTANTE: As verses
anteriores dos arquivos, mantidas
pelo recurso shadow copies so
somente leitura, ou seja, voc no
poder fazer alteraes
diretamente nestas cpias. Voc
poder abrir estas cpias e salvar
em uma nova pasta e fazer
alteraes, mas no diretamente
nas cpias mantidas pelo recurso de
shadow copies. Por exemplo, se
voc abrir uma planilha do Excel ou
um documento do Word, a partir de
uma cpia mantida pelo recurso de
Shadow Copies, esta cpia ser
somente leitura. Se voc fizer
alteraes e tentar salvar, ser
emitida uma mensagem
informando que a cpia somente
leitura. Voc pode usar o comando
Arquivo -> Salvar como, para salvar
a cpia em um local alternativo. A
cpia salva no local alternativo,
usando o comando Arquivo ->
Salvar como, poder ser alterada.
NOTA: Se voc tiver que alterar o
volume onde so gravadas as
cpias, todas as cpias existentes
sero excludas e um novo histrico
comear a ser criado no novo vol-
ume. Por isso importante planejar
com cuidado o espao necessrio,
antes de habilitar o recurso de
shadow copies em um volume. Este
mais um dos motivos pelos quais
o recurso de Shadow Copies no
pode ser utilizado em substituio
ao Backup.
Figura 9.38 A guia Cpias de sombra.
4. Ser exibida a janela de propriedades do volume. Clique na guia Shadow Copies (Cpias de sombra). Ser exibida
a figura indicada na Figura 9.38.
5. Observe que, por padro, o recurso de shadow copies est desabilitado.
6. Para habilitar o recurso de shadow copies clique no boto Ativar.
7. Ser exibida uma janela com uma mensagem de aviso, informando sobre o agendamento padro que ser criado
para o recurso de shadow copies. Clique em Sim para fechar esta janela e habilitar o recurso de shadow copies.
8. O recurso ser habilitado. Voc estar de volta a guia Cpias de sombra. Nesta mesma janela voc j pode configurar
as opes deste recurso. Clique no boto Configuraes...
9. Ser aberta a janela na qual voc pode definir o espao mximo em disco a ser utilizado pelo recurso de shadow
copies No exemplo da Figura 9.39, estou definindo um tamanho mximo de 4GB (4096 MB) para este recurso.
Figura 9.39 Definindo o espao a ser utilizado pelo recurso de shadow copies.
10. Nesta janela voc tambm tem acesso ao boto Agendar... Este boto permite que voc defina o agendamento
para que sejam feitas as cpias dos arquivos pelo recurso de shadow copies. Clique no boto Agendar...
11. Ser aberta a janela para voc configurar o agendamento. Esta a mesma janela que voc utilizou para definir o
agendamento de uma tarefa agendada e das rotinas de backup, que voc aprendeu a utilizar no Captulo 8. No
exemplo da Figura 9.40 estou definindo um agendamento dirio, para realizar a cpia as 7:00 horas da manh.
Para que a cpia seja efetuada mais do que uma vez por dia, voc pode definir mltiplos agendamentos, clicando
no boto Novo, conforme descrito no Captulo 8.
Figura 9.40 Agendamento dirio para as 7:00 hs.
12. Defina o agendamento desejado e clique em OK.
13. Voc estar de volta janela de configuraes.D um clique em OK para fech-la.
14. Voc estar de volta janela de propriedades do volume. Nesta janela voc pode utilizar o boto Criar agora, para
fazer com que o Windows Server 2003 faa uma cpia dos arquivos que foram alterados, imediatamente, sem
esperar pelo prximo agendamento.
15. Ao lado deste boto exibida uma listagem com o histrico das cpias efetuadas.
16. Clique em OK para fechar a janela de propriedades.
Pronto, o recurso de shadow copies est habilitado no volume. O prximo passo instalar o software que permite aos
clientes utilizar o recurso de shadow copies. Este software tem que ser instalado na estao de trabalho dos clientes
que iro utilizar este recurso. Este software chamado de Previous Versions Client. Antes de mostrar como instalar
o cliente do shadow copies, apresento mais uma recomendao importante:
No utilize o recurso de shadow copies em servidores que esto configurados para dual-boot com outras
verses do Windows. Nestes casos pode acontecer de os arquivos de shadow copies serem corrompidos.
Instalando o cliente de shadow copies.
Para que um usurio acessando uma pasta compartilhada no servidor (pasta esta que est em um volume para o qual
o recurso de shadow copies foi habilitado) possa utilizar o recurso de shadow copies, necessrio que o cliente de
shadow copies seja instalado na estao de trabalho do usurio. Os arquivos de instalao do cliente shadow copies
esto disponveis na seguinte pasta, de qualquer servidor com o Windows Server 2003 instalado:
%systemroot%\system32\clients\twclient\x86\twcli32.msi
Onde %systemroot% a pasta onde o Windows Server 2003 foi instalado.
O arquivo twcli32.msi um arquivo de instalao, no padro do Microsoft Installer. Este arquivo pode ser instalado
em todas as estaes de trabalho da rede, usando o recurso de distribuio de software via GPO ou pode ser
disponibilizado em um drive de rede para que os usurios instalem em suas estaes de trabalho. Este arquivo tem
apenas 287 KB. A seguir mostro como fazer a instalao do cliente de shadow copies.
Exemplo: Para instalar o cliente de shadow copies manualmente, siga os passos indicados a seguir:
2. Abra o Windows Explorer e localize o arquivo twcli32.msi.
3. D um clique duplo neste arquivo para iniciar a instalao do cliente de shadow copies.
4. A instalao rapidamente efetuada e uma mensagem de que a instalao foi efetuada com sucesso exibida.
Clique em Concluir, para fechar esta mensagem.
Pronto, o cliente de shadow copies foi instalado. Agora voc aprender a utiliz-lo.
Acessando as shadow copies:
1. Abra o Windows Explorer ou o Meu computador.
2. Clique com o boto direito do mouse no drive de rede para o qual voc deseja acessar as shadow copies.
3. No menu de opes que exibido clique em Propriedades.
4. Ser exibida a janela de propriedades do drive de rede. Clique na guia Verses Anteriores. Ser exibida a janela
Figura 9.41 A janela de verses anteriores.
5. Observe que exibida a lista de cpias disponveis. No exemplo da Figura 9.41 esta disponvel uma nica copia
de verso anterior.
6. Clique em uma das cpias e depois clique em Copiar. Ser exibida uma janela para que voc selecione uma pasta
de destino para onde ser copiada a verso anterior com todo o contedo do drive de rede. Observe que sempre
copiado todo o contedo e no apenas os arquivos que mudaram entre uma cpia e outra. Selecione a pasta de
destino e clique em OK. A cpia ser iniciada. Uma vez finalizada a cpia voc ter acesso a uma verso da pasta
compartilhada e de todo o seu contedo, no momento em que a cpia foi realizada pelo recurso de shadow copies.
7. Voc pode marcar uma das cpias e clicar no boto Exibir. Ser aberta uma
janela com todo o contedo do drive de rede.
8. O contedo da cpia somente leitura, conforme comentado anteriormente.
Voc pode navegar pelas pastas e arquivos da cpia e usar o recurso de copiar
e colar para copiar um ou mais arquivos. Com esta opo voc pode recuperar
um nico arquivo ou uma nica pasta, ao invs de ter que copiar todo o
contedo do drive.
9. Feche a janela que exibe uma cpia dos arquivos.
10. Voc estar de volta guia Verses anteriores. Voc pode marcar uma verso
e clicar no boto Restaurar, para restaurar a verso que est marcada. Use
esta opo com cuidado, pois ao usar esta opo, os arquivos que esto
atualmente em uso na pasta compartilhada, sero substitudos pelos arquivos
da cpia que est sendo restaurada. Com esta operao todo o contedo
restaurado, voc no ter a opo de selecionar os arquivos a serem
restaurados.
IMPORTANTE: Se voc usar a
opo restaurar, a verso anterior,
ser restaurada em cima da
verso atual, ou seja, a verso an-
terior ir sobrescrever a verso
atual. Se voc quer ter uma acesso
a verso anterior de um arquivo,
porm sem sobrescrever a verso
atual, voc deve usar a opo
Copiar, ao invs da opo Restaurar.
Desabilitando o recurso de shadow copies em um volume:
Neste item mostrarei como desabilitar o recurso de shadow copies em um volume.
Exemplo: Para desabilitar o recurso de shadow copies em um volume, siga os passos indicados a seguir:
3. Clique com o boto direito do mouse no volume onde ser desabilitado o recurso de shadow copies. No menu de
opes que exibido clique em Propriedades.
4. Ser exibida a janela de propriedades do volume. Clique na guia Cpias de sombra.
5. Clique no boto Desativar. Ser exibida uma mensagem solicitando confirmao para que seja desabilitado o
recurso de shadow copies. Clique em Sim para confirmar que o recurso ser desabilitado no volume que est
sendo configurado.
6. Voc estar de volta guia Cpias de sombra. Observe que j aparece o status Desativado, ao lado da letra do
volume.
Pronto, o recurso de Shadow Copies foi desabilitado no volume.
Gerenciando shadow copies com o comando vssadmin.
Voc pode gerenciar o recurso de shadow copies com o comando vssadmin. Este comando tem vrias opes. A seguir
comento as principais opes deste comando. Na Ajuda do Windows Server 2003 voc encontra uma referncia
completa, com todas as opes do comando vssadmin. s abrir a ajuda do Windows Server 2003 e pesquisar usando
a palavra vssadmin.
Utilizaes do comando vssadmin:
vssadmin list shadows
Este comando exibe uma lista completa de todas as cpias armazenadas no volume, conforme exemplo a seguir:
C:\>vssadmin list shadows
vssadmin 1.1 - Volume Shadow Copy Service administrative command-line tool
(C) Copyright 2001 Microsoft Corp.
Contents of shadow copy set ID: {b9fef05a-98da-4d44-b1bf-0625ffed3ca9}
Contained 1 shadow copies at creation time: 6/26/2003 11:29:59 PM
Shadow Copy ID: {93dfd4e9-1355-4116-bd1d-b7bd126e961a}
Original Volume: (C:)\\?\Volume{3ca6c0d3-75cf-11d7-b6a1-806e6f6e6963}\
Shadow Copy Volume: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4
Originating Machine: srv-win2003.abc.com
Service Machine: srv-win2003.abc.com
Provider: Microsoft Software Shadow Copy provider 1.0
Type: ClientAccessible
Attributes: Persistent, Client-accessible, No auto release, No writers,
Differential
Contents of shadow copy set ID: {02ca95b2-e231-496f-915e-cd0f59221bb8}
Contained 1 shadow copies at creation time: 6/26/2003 11:33:10 PM
Shadow Copy ID: {edc13c66-fc15-486c-adca-28fdf6521c49}
Original Volume: (C:)\\?\Volume{3ca6c0d3-75cf-11d7-b6a1-806e6f6e6963}\
Shadow Copy Volume: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy5
Originating Machine: srv-win2003.abc.com
Service Machine: srv-win2003.abc.com
Provider: Microsoft Software Shadow Copy provider 1.0
Type: ClientAccessible
Attributes: Persistent, Client-accessible, No auto release, No writers,
Differential
vssadmin create shadow /for=C:
Este comando utilizado para criar uma cpia manualmente para o volume C: equivalente ao boto Create Now da
guia Shadow Copies.
vssadmin Delete Shadows
utilizada para eliminar shadow copies de um volume. Existem algumas opes que podem ser utilizados com este
comando, como por exemplo a opo /Oldest, conforme exemplo a seguir:
vssadmin Delete Shadows /For=C: /Oldest
Este comando ir eliminar a shadow copies mais antiga do volume.
A seguir, acrescentaremos o prximo ingrediente na nossa salada de frutas. Apresentarei os tpicos sobre GPO, que
voc precisa conhecer, para o Exame 70-290
Group Police Objects GPOs.
Introduo
O recurso de GPOs no faz parte diretamente do programa oficial para o Exame 70-290. Porm existem uma srie de
configuraes, de itens que fazem parte do programa oficial, as quais so feitas usando-se GPOs. Por isso importante
que o candidato tenha uma noo bsica sobre o recurso de GPOs, pois certamente aparecero questes que abordam
o entendimento bsico de GPOs.
O recurso de Group Policy Objects (GPO) de enorme utilidade para o administrador. Com o uso de GPO o
administrador pode definir as configuraes de vrios elementos da estao de trabalho do usurio, como por exemplo
os programas que estaro disponveis, os atalhos do menu Iniciar que estaro disponveis, configuraes de Internet,
de rede e assim por diante. Por exemplo, o administrador pode configurar, via GPO, quais grupos de usurios devero
ter acesso ao menu Executar e quais no tero, pode configurar a pgina inicial do Internet Explorer para um grupo de
usurios ou para toda a empresa, pode fazer configuraes de Proxy e por a vai. So milhares (literalmente milhares)
de opes de configuraes que esto disponveis via GPO.
As configuraes feitas via GPO so aplicadas para usurios, computadores, member servers e DCs, mas somente
para computadores executando Windows 2000 (Server ou Professional), Windows XP Professional (uma vez que
um computador com o Windows XP Home no pode ser configurado para fazer parte de um domnio) ou Win-
dows Server 2003. Para verses mais antigas do Windows, tais como Windows 95/98/Me e NT 4.0, o recurso de
GPO no aplicado.
Vou iniciar este tpico com a fundamentao terica necessria para que voc entenda exatamente o que o recurso de
GPO, como ele se aplica em um domnio, em que nveis ele pode ser configurado e quais as opes que o administrador
tem para garantir que as configuraes definidas via GPO, sejam aplicadas nas estaes de trabalho dos usurios.
Em seguida passarei as aes prticas relacionadas com GPO. Desde a alterao da GPO padro do domnio, passando
pela criao de novas polticas de segurana e aplicaes destas polticas em diferentes nveis, dentro do domnio.
Tambm falarei sobre as configuraes de segurana e definio de permisses, relacionadas com GPO. Com a
configurao das permisses de acesso a uma determinada GPO, o administrador pode fazer com que um conjunto de
polticas de segurana sejam aplicadas apenas a um determinado grupo de usurios ou computadores ( importante
lembrar que no Windows Server 2003, possvel adicionar as contas de computadores como membros de um grupo).
Apresentarei o conceito de herana de GPO, conceito importante quando se aplicam diferentes polticas em diferentes
nveis dentro do domnio.
Group Policy Objects Fundamentao Terica
Quem j trabalhou na administrao de uma rede baseada no Windows sabe o quanto trabalhoso (e com um custo
elevado), manter a configurao de milhares de estaes de trabalho rodando diversas verses do Windows. Existem
diversas questes/problemas que tem que ser enfrentados:
Como definir configuraes de maneira centralizada, para que seja possvel padronizar as configuraes das
estaes de trabalho?
Como impedir que os usurios possa alterar as configuraes do Windows (diversas verses), muitas vezes
inclusive causando problemas no Windows, o que faz com que seja necessrio um chamado equipe de
suporte, para colocar a estao de trabalho novamente em funcionamento?
Como aplicar configuraes de segurana e bloquear opes que no devam estar disponveis para os usurios
de uma maneira centralizada, sem ter que fazer estas configuraes em cada estao de trabalho. Quando
houver alteraes, eu gostaria de poder faz-las em um nico local e ter estas alteraes aplicadas em toda a
rede ou em partes especficas da rede.
Como fazer a instalao e distribuio de software de uma maneira centralizada, sem ter que fazer a instalao
em cada estao de trabalho da rede.
Como definir um conjunto de aplicaes diferente, para diferentes grupos de usurios, de acordo com as
necessidades especficas de cada grupo.
Como aplicar diferentes configuraes aos computadores de diferentes grupos de usurios, de acordo com as
necessidades especficas de cada grupo.
A primeira tentativa de responder a estas necessidades, recorrentemente levantadas pelos administradores de redes
baseadas no Windows foi a introduo das chamadas Polices e do Police Editor, juntamente com o Windows NT 4.0.
Com o uso das Polices era possvel definir uma srie de configuraes, as quais eram aplicadas registry da estao
de trabalho do usurio quando ele fizesse o logon no domnio. Por exemplo, era possvel utilizar as Polices para
impedir que um usurio do Windows 95/98/Me pressionasse a tecla ESC para cancelar a tela de logon e ter acesso ao
Windows sem fazer o logon no domnio. Eu digo uma primeira tentativa, porque o uso de Polices no passou muito
disso, uma tentativa, uma vez que muitas das demandas no foram atendidas por este recurso.
J com o lanamento do Windows 2000 Server e com a introduo do recurso de GPOs, o administrador tem um
recurso realmente poderoso, capaz de atender todas as demandas descritas anteriormente. importante salientar que
as GPOs somente so aplicadas a computadores com o Windows 2000, Windows XP ou Windows Server 2003.
Estaes de trabalho que ainda estejam com verses mais antigas do Windows, tais como Windows 95, Windows 98,
Windows Me ou Windows NT 4.0, tero como nico recurso de configurao o uso de Polices e do Police Editor. O
recurso de GPOs no aplicado a estas verses mais antigas.
Ento em uma rede, onde voc tem estaes de trabalho com as novas verses do Windows (2000, XP e 2003) e
estaes de trabalho com verses mais antigas (95, 98, Me e NT 4.0), voc ter que utilizar os dois recursos. Polices
para as verses mais antigas do Windows, sempre levando em considerao as limitaes deste recurso, em comparao
com o uso de GPOs e usar GPOs para as estaes de trabalho com verses mais novas do Windows.
As GPOs incluem configuraes que so aplicadas a nvel de usurio (ou seja, em qualquer estao de trabalho que o
usurio faa o logon, as polticas associadas a sua conta de usurio sero aplicadas) e a nvel de computador (ou seja,
qualquer usurio que faa o logon no computador ter as polticas de computador aplicadas). Por exemplo, se o
administrador definiu uma poltica de usurio para o grupo do usurio jsilva, de tal maneira que o menu Executar no
deva estar disponvel para este grupo. Em qualquer estao de trabalho que o jsilva fizer o logon, o menu Executar
no estar disponvel.
Agora imagine que o administrador configurou uma poltica de computador, para o grupo de computadores da seo
de contabilidade, definindo que o menu Executar no deve estar disponvel nestes computadores. Qualquer usurio
que faa o logon em qualquer um dos computadores da seo de contabilidade, no ter disponvel o menu Executar,
independentemente dos grupos aos quais pertena a conta do usurio, uma vez que a poltica est sendo aplicada ao
computador (independentemente do usurio que esteja utilizando-o).
Mas enfim, o que as GPOs podem fazer:
Gerenciar centralizadamente, configuraes definidas na registry do Windows, com base em templates de
administrao (Administrative Templates). As GPOs criam arquivos com definies da registry. Estes arquivos
so carregados e aplicados na estao de trabalho do usurio, nas partes referentes a configurao de Usurios
e configurao de Computador da registry. As configuraes de usurio so carregadas na opo
HKEY_CURRENT_USER (HKCU), da registry (No Captulo 12 falarei um pouco mais sobre a Registry do
Windows Server 2003). As configuraes de computador so carregadas na opo HKEY_LOCAL_MACHINE
(HKLM), da registry. A idia relativamente simples. Ao invs de ter que configurar estas opes em cada
estao de trabalho, o administrador cria elas centralizadamente, usando GPOs. Durante o logon, o Windows
aplica as configuraes definidas na GPO.
Atribuio de scripts: Com o uso de GPOs o administrador pode configurar um script para ser executando na
inicializao e tambm no desligamento do Windows. Tambm podem ser definidos scripts de log on e log off.
Redireo de pastas: O administrador pode configurar uma GPO para que pastas tais como Meus documentos
e Minhas imagens sejam redirecionadas para uma pasta compartilhada em um servidor. Com isso os dados do
usurio passam a estar disponveis no servidor e podero ser acessados de qualquer estao de trabalho da
rede, na qual o usurio faa o logon. Alm disso, com os dados no servidor, possvel criar e implementar uma
poltica de backup centralizada.
Gerenciamento de software: Com o uso de GPO o administrador pode fazer a instalao de aplicaes de uma
maneira centralizada. possvel associar uma aplicao com um grupo de usurios. Quando o usurio fizer o
logon, o cone da aplicao j exibido no menu Iniciar. Quando ele clicar neste cone a aplicao ser
instalada a partir de um servidor da rede,cujo caminho foi configurado vai GPO. Tambm possvel publicar
aplicaes. Neste caso, ao fazer o logon, o usurio tem que acessar a opo Adicionar ou remover programas,
do Painel de controle e solicitar que a aplicao seja instalada.
Definir configuraes de segurana: Para computadores executando o Windows 2000, Windows XP Profes-
sional ou Windows Server 2003, existe uma GPO localmente nestes computadores. Esta GPO pode ser utilizada
para configurar uma srie de opes do ambiente de trabalho do usurio. As configuraes definidas na GPO
local somente se aplicam ao computador onde as configuraes esto sendo definidas. Algumas funcionalidades
tais como distribuio de software e redireo de pastas no esto disponveis na GPO local, somente em
GPOs aplicadas no Active Directory, conforme descrito logo a seguir. A GPO local somente deve ser utilizada
quando houver necessidade de uma configurao especfica em um determinado computador. As configuraes
que se aplicam a grupos de computadores e usurios devem ser configuradas via GPOs aplicadas no Active
Directory, j que isso facilita a configurao e atualizao das configuraes de uma maneira centralizada.
NOTA: A GPO local gravada, por padro, na seguinte pasta: systemroot%\System32\Grouppolicy.
Alm da GPO local, podem ser aplicadas GPOs definidas no Active Directory, para aplicao nos computadores que
fazem parte do domnio. Pode inclusive acontecer de haver conflitos de configuraes entre a GPO local e uma ou
mais GPOs do domnio. Neste caso existem configuraes (que voc aprender mais adiante), que definem, em caso
de conflito, se deve ser aplicada a definio da GPO local ou a definio da GPO do domnio.
Existe uma GPO padro para o domnio. Configuraes feitas nesta GPO sero aplicadas a todos os usurios e
computadores do domnio. Configuraes gerais, que devam ser aplicadas a todos os objetos do domnio, devem ser
definidas nesta GPO.
Polticas de usurios e polticas de computador:
As polticas de usurios, isto , polticas associadas a conta do usurio ou a um
grupo ao qual o usurio pertence, so configuradas na opo Configurao de
usurio, do console de administrao de GPOs (o qual voc aprender a utilizar
mais adiante, neste captulo) e so aplicadas quando o usurio faz o logon. Polticas
de computador so configuradas atravs da opo Configuraes de computador,
do console de administrao das GPOs e so aplicadas quando o computador e
inicializado. Existe tambm um intervalo de atualizao, dentro do qual as polticas
so reaplicados e quaisquer mudanas que tenham sido feitas pelo administrador,
sero aplicadas aos usurios e computadores.
As polticas definidas no Active Directory so aplicadas somente a objetos do
tipo usurio e computador. Por questes de desempenho, as polticas no podem
ser configuradas para objetos do tipo Grupos. Porm possvel utilizar o
mecanismo de permisses de acesso das GPOs, para limitar a aplicao de uma
GPO somente a um ou mais grupos de usurios e computadores.
possvel criar objetos do tipo GPO e associ-los a diferentes elementos do Ac-
tive Directory. Um objeto do tipo GPO pode ser criado e associado com o domnio,
com uma unidade organizacional ou com um site. Alm da GPO que pode ser
criada localmente em cada computador com o Windows 2000, Windows XP Pro-
fessional ou Windows Server 2003, conforme descrito anteriormente.
As GPOs so aplicadas em uma ordem especfica, caso esteja definida mais de
uma GPO para o usurio que estiver fazendo o logon ou para o computador que
est sendo reinicializado. Por exemplo, quando o usurio faz o logon, so aplicadas
a GPO do domnio e mais (se houver), a GPO da unidade organizacional a qual
pertence a sua conta e a GPO local da estao de trabalho que ele est utilizando.
A ordem de aplicao das GPOs a seguinte:
A GPO local.
GPO definida para o site ao qual pertence o computador.
GPOs do domnio
GPOs definidas a nvel de unidade organizacional, da OU pai para a OU
filho. Por exemplo, se foi criada uma OU Diviso Sul e, dentro desta
OU as divises: Finanas, Contabilidade e Vendas e a conta do usurio
jsivla est na OU Vendas. Primeiro ser aplicada a GPO da OU Diviso
Sul e depois a GPO da OU Vendas.
Por padro, as polticas aplicadas por ltimo, tem precedncia sobre as polticas
aplicadas anteriormente. Por exemplo, a GOP de domnio aplicada. Em seguida
IMPORTANTE: Outra GPO que
existe por padro uma GPO
associada com a OU Domain Con-
trollers (Controladores de domnio).
Esta GPO aplicado somente aos
DCs do domnio. Embora seja
possvel mover a conta de um DC
para outra unidade organizacional,
este no um procedimento
recomendado. Ao mover a conta de
um DC da unidade organizacional
Domain Controllers para outra
unidade organizacional, a GPO
padro para os DCs deixar de ser
aplicado ao DC que foi movido, pois
esta GPO est ligada a unidade
organizacional Domain Controllers.
Por exemplo, se voc precisa
habilitar a auditoria das tentativas
de logon com e sem sucesso, mais
indicado que voc habilite a
diretiva na GPO associado a OU
Domain Controllers, pois todo
evento de autenticao gerado em
um DC do domnio.
IMPORTANTE: No Windows 2000
havia o comando Secedit, o qual era
utilizado para forar uma
atualizao de polticas, com a
reaplicao das GPOs em ume
estao de trabalho. Este comando
no existe mais no Windows Server
2003. No Windows Server 2003, o
comando para atualizao das
polticas o comando Gpupdate.
vem a GPO definida na Unidade Organizacional. Se houver um conflito entre a GPO de domnio e a GPO da unidade
organizacional, ir prevalecer a configurao definida na GPO da unidade organizacional (aplicada por ltimo). O
administrador pode configurar a GPO de domnio (ou outras GPOs em qualquer nvel), para que suas configuraes
no possam ser sobrescritas (substitudas) pelas configuraes de GPOs de nvel mais baixo, em caso de conflito. Por
exemplo, o administrador pode definir na GPO de domnio, que nenhum usurio ter acesso ao menu Executar e
marcar a GPO onde est esta configurao com a opo No override (No sobrescrever). Com isso, mesmo que exista
um GPO em uma unidade organizacional, permitindo o uso do comando Executar, esta configurao no ser aplicada,
uma vez que a GPO do domnio no permite que sejam alteradas suas configuraes em caso de conflito. Este mecanismo
uma maneira que o administrador tem, de garantir que determinadas configuraes sejam aplicadas em todo o
domnio, independentemente das configuraes que so efetuadas em nvel de unidade organizacional.
Novidades no Windows Server 2003.
O Windows Server 2003 aprimorou o mecanismo de GPOs do Windows 2000 Server e introduziu novas funcionalidades,
que facilitam ainda mais o trabalho do administrador.
A seguir apresento uma lista das novidades introduzidas pelo Windows Server 2003, em relao ao recurso de Group
Policy Objects:
Templates de administrao (Administrative templates): Foram introduzidas 220 novas opes de configurao
via GPO, em relao as configuraes existentes. Tambm foram criados arquivos de Ajuda com a descrio
completa de todas as configuraes disponveis em cada um dos templates. Na Figura 9.42, exibido o arquivo
de ajuda, no qual esto descritas todas as opes de configurao do template Ineteres.adm, o qual contm as
opes de configurao do Internet Explorer. O arquivo de ajuda apresenta uma descrio detalhada de todas
as opes de configurao disponveis.
Figura 9.42 O arquivo de ajuda do template de configurao do Internet Explorer via GPO.
Novos comandos: O comando gpupate utilizado para atualizar as polices aplicadas ao computador ou
ao usurio logado e substitui o comando secedit /refreshpolicy, utilizado no Windows 2000 Server. O
comando gpresult (disponibilizado no Resource Kit do Windows 2000 Server) foi aprimorado e agora
est disponvel com o Windows XP Professional, Windows XP edio de 64 bits e em todas as edies do
Redireo de pastas: Ficou mais fcil fazer a redireo de pastas, usando GPOs. Agora o administrador no
precisa mais utilizar variveis de ambiente tais como %username%, como parte do caminho de redireo.
Existe uma nova opo para redirecionar a pasta Meus documentos para o diretrio home do usurio (para
detalhes sobre o diretrio home, consulte o tpico sobre User profile, no Captulo 4). Esta opo para uso em
ambientes onde o mecanismo de roaming profiles e diretrio home j est implementado.
Instalao de software: Existem novas opes que permitem que sejam habilitada ou desabilitada a
disponibilidade de aplicaes de 32 bits, em computadores rodando verses de 64 bits do Windows (Windows
XP edio de 64 bits ou Windows Server 2003 edio de 64 bits). Tambm existe uma nova opo para
habilitar/desabilitar a publicao de informaes sobre as classes OLE de um pacote de software. Mas a
novidade que eu achei mais interessante, mais til para o administrador a opo para forar que uma aplicao
que foi associada com o usurio, seja automaticamente instalada, antes mesmo de o usurio ter clicado no
cone da aplicao. Ou seja, quando o usurio clicar no cone da aplicao ele j ter sido instalada e no ser
necessria a instalao atravs da rede.
Resultant Set of Policy (Conjunto resultante de polticas) - RSoP: E de todas as novidades, sem dvidas, esta
a mais til. Esta uma nova ferramenta, a qual facilita a resoluo de problemas relacionados s polticas de
segurana. Com esta ferramenta o administrador pode ter uma descrio detalhada do conjunto efetivo de
polticas que est sendo aplicado a um usurio e poder corrigir erros existentes.
Suporte entre florestas: Com o Windows Server 2003 possvel gerenciar e aplicar polticas para objetos e
usurios localizados em florestas remotas, as quais mantenham relaes de confiana com a floresta na qual
voc trabalha. Esta novidade conseqncia do mecanismo de relao de confiana entre florestas, o qual
tambm uma novidade do Windows Server 2003. Com este mecanismo tambm possvel usar a ferramenta
RsoP em florestas remotas.
Entendendo como feito o processamento e aplicao das GPOs.
Este um item que eu considero de fundamental importncia para o administrador. Configurar as GPOs, conforme
voc ver mais adiante, relativamente simples, com o uso do console de administrao das GPOs.
Porm, mais do que saber configurar as GPOs, o administrador precisa entender exatamente como as GPOs so
processadas e aplicadas s estaes de trabalho e aos usurios. Com este entendimento, o administrador tem condies
de planejar as polticas a serem implementadas e tambm de resolver problemas relacionados a aplicao das GPOs.
Por isso fundamental que o administrador entenda, exatamente, como feito o processamento e aplicao das GPOs.
No NT Server 4.0 as configuraes de Polices so armazenadas em um arquivo com a extenso .pol, arquivo este que
gravado no compartilhamento NETLOGON do PDC e de todos os BDCs do domnio. Para clientes Windows 9x/Me
o arquivo deve ter o nome config.pol e para clientes com o NT 4.0, o arquivo deve ter o nome ntconfig.pol. As
configuraes definidas neste arquivo so carregadas durante o logon e aplicadas registry da estao de trabalho do
usurio. As configuraes de usurio so carregadas na opo HKEY_CURRENT_USER (HKCU), da registry. As
configuraes de computador so carregadas na opo HKEY_LOCAL_MACHINE (HKLM), da registry.
J no Windows Server 2003 o processamento das GPOs segue caminhos bem diferentes, os quais sero descritos neste item.
No NT Server 4.0 um nico conjunto de polticas aplicado ao usurio/computador, conjunto este que definido no
arquivo .POL, carregado quando o computador inicializado e o usurio faz o logon. J no Windows Server 2003 (e
tambm no Windows 2000 Server), mais de um conjunto de polticas pode ser aplicado ao mesmo usurio/computador.
Por exemplo, imagine o usurio jsilva, do domnio abc.com, cuja conta est na OU Vendas, dentro da OU RegioSul.
Para este usurio, ser aplicada a GPO local, mais a GPO do domnio (uma ou mais GPOs que estiverem definidas no
domnio abc.com), mais o conjunto de GPOs definidas para a OU RegioSul e mais o conjunto de GPOs definidas
para a OU Vendas
As configuraes das GPOs so armazenadas em uma estrutura de pastas e arquivos dos DCs do domnio. Estas informaes so
gravadas na pasta SYSVOL e so replicadas para todos os DCs do domnio. Na Figura 9.43 apresento uma viso geral da pasta
onde ficam gravadas as informaes sobre as GPOs do domnio abc.com (C:\WINDOWS\SYSVOL\sysvol\abc.com\Policies),
onde o Windows Server 2003 est instalado na pasta Windows, no drive C:
Figura 9.43 A pasta com informaes das GPOs.
Cada pasta representa uma determinada GPO. Ao abrir uma destas pastas, ser exibido o seguinte contedo:
Pasta Adm: Contm os arquivos com os templates administrativos.]
Pasta Scripts: Se houver scripts definidos neste template, esta pasta conter os scripts e arquivos relacionados.
Pasta MACHINE: Contm as configuraes que se aplicam a computadores. Esta pasta contm um arquivo
chamado Registry.pol, o qual contm as configuraes de registry que sero aplicadas ao computador durante
a inicializao (veja os passos de aplicao das polices durante a inicializao do computador, mais adiante).
Quando o computador inicializado, feito o download do arquivo Registry.pol e so aplicadas as configuraes
definidas neste arquivo. As configuraes so aplicadas na opo HKEY_LOCAL_MACHINE, da registry.
Pasta USER: Contm as configurao que se aplicam a usurios. Esta pasta contm um arquivo chamado
Registry.pol, o qual contm as configuraes de registry que sero aplicadas ao usurio quando este fizer o
logon (veja os passos de aplicao das polices durante a inicializao do computador, mais adiante). Quando
o computador inicializado, feito o download do arquivo Registry.pol e so aplicadas as configuraes
definidas neste arquivo. As configuraes so aplicadas na opo HKEY_CURRENT_USER, da registry
Arquivo GPT.INI: Informaes sobre a verso da GPO. Utilizada pelo servio de replicao.
Abra uma destas pastas, por exemplo a pasta Adm. Sero exibidos os templates administrativos disponveis, conforme
Figura 9.44 Templates administrativos.
Em resumo: As informaes sobre as GPOs so gravadas em uma estrutura de pastas e arquivos, dentro da pasta
SYSVOL. Esta estrutura replicada para todos os DCs do domnio. As informaes gravadas na pasta SYSVOL so
os chamados modelos de GPOs, oficialmente conhecidos como Group Policy Template (GPT). O template que
define quais opes de configurao estaro disponveis, para serem configuradas via GPO. Por exemplo, o template
de GPO para usurios define quais opes de usurios podero ser configuradas via GPO. Quando uma nova GPO
criada, o Windows Server 2003 cria a GPO com base nos templates da pasta Sysvol. A nova GPO que criada e as
configuraes nela definidas so armazenadas no Active Directory. Esta GPO conhecida como GPC Group Policy
Container. Ou seja, uma GPO criada com base em um modelo (GPT, armazenado na pasta SYSVOL). O modelo
define quais opes de configurao estaro disponveis. Aps criada e configurada, a GPO salva na base de dados
do Active Directory, quando conhecida como GPC Group Policy Container. Estas definies muitas vezes se
confundem. Nos exemplos prticos, quando voc aprender a criar e a configurar as polticas, usarei sempre o termo
genrico GPO.
Toda GPO dividida em duas partes tambm conhecidas como sees:
Seo do usurio.
Seo do computador.
Conforme o prprio nome sugere, estas sees contm as configuraes especficas aplicadas a usurios ou
computadores especificamente. Quando um computador com o Windows 2000, Windows XP Professional ou Win-
dows Server 2003, pertencente ao domnio inicializado, o Windows verifica se existem novas GPOs ou alteraes
nas GPOs existentes e aplica as configuraes definidas na seo do computador (independentemente de algum
usurio ter feito o logon ou no). Quando o usurio faz o logon no domnio (em qualquer computador da rede com
uma das verses do Windows descritas no incio do pargrafo), o Windows verifica se existem GPOs a serem aplicadas
a este usurio ou alteraes nas GPOs j aplicadas e aplica as configuraes definidas na seo de usurio destas
GPOs. Estas informaes, ficam gravadas no Active Directory. Conforme descrito anteriormente (estou insistindo
neste ponto porque ele muito importante), uma GPO criada com base nos modelos armazenados na pasta Sysvol
(GPT- Group Policy Templates). Uma vez criada e configurada, a GPO salva no Active Directory (tornando-se uma
GPC Group Policy Container). Quando um usurio faz o logon o Windows Server 2003 verifica no Active Directory
se existem GPCs a serem aplicadas para o usurio. Quando um computador inicializado, o Windows Server 2003
verifica no Active Directory, se existem GPCs a serem aplicadas ao computador. isso.
Detalhando a ordem de processamento das GPOs.
As GPOs so processadas na seguinte seqncia:
1. GPO Local: Cada computador com o Windows 2000, Windows XP Professional ou Windows Server 2003, possui
uma GPO local, a qual aplicada em primeiro lugar, antes das demais GPOs que possam estar disponveis.
2. GPO associada ao site do qual faz parte o computador que est sendo inicializado. Lembre, que um site definido
por uma ou mais sub-redes. O Windows Server 2003 identifica a qual site pertence um computador, pelas
identificao de rede do computador (propriedades do Protocolo TCP/IP).
3. GPOs associadas ao domnio: Em seguida so processadas as GPOs associadas ao domnio, conforme a ordem de
execuo definida pelo administrador.
4. GPOs associadas a todas as OUs do caminho. Por exemplo, se um computador pertence a OU Vendas, que est
dentro da OU RegioSul, primeiro sero aplicadas as GPOs da OU RegioSul, para depois serem aplicadas as
GPOs associadas a OU Vendas. Quando houver mais de uma GPO associada a mesma OU, as GPOs sero aplicadas
na seqncia que foi definida pelo administrador.
Com esta seqncia, as GPOs aplicadas por ltimo tem preferncia em relao as que so aplicadas anteriormente. Por
exemplo, se na GPO do domnio est que o usurio no deve ter acesso ao comando Iniciar -> Executar, porm na GPO
da OU do usurio este comando est habilitado, valer a configurao da GPO da OU, ou seja, comando habilitado, uma
vez que esta GPO ser aplicada por ltimo. O administrador tem meios para fazer com que uma GPO de nvel mais alto,
como por exemplo a GPO de domnio, no tenha suas configuraes sobrescritas por GPOs de nvel mais baixo, aplicadas
por ltimo, como uma GPO associada a uma unidade organizacional. Para implementar esta configurao, o administrador
marca a opo No Override (No sobrescrever), conforme voc aprender na parte prtica.
Algumas excees na ordem de aplicao das GPOs:
Qualquer GPO que estiver associada a um site, domnio ou unidade organizacional (a nica exceo a GPO
local), poder ser configurada com a opo No Override, de tal maneira que suas configuraes no possam
ser sobrescritas pelas GPOs que sero aplicadas depois. Caso duas GPOs, no mesmo caminho, tenham esta
opo marcada, valer a configurao da GPO que estiver mais acima na hierarquia de objetos. Por exemplo, se
uma GPO de domnio est marcada com a opo No Override e uma GPO de uma unidade organizacional
tambm esta marcada com a opo No Override, em caso de conflito nas configuraes destas duas GPOs, valer
a configurao da GPO de domnio, que a que est mais acima na hierarquia de objetos do Active Directory.
IMPORTANTE: Deve ser observado que a propriedade No Override uma propriedade da ligao da GPO com o domnio, site ou
unidade organizacional. Esta no uma propriedade da GPO propriamente dita. Uma GPO poder ser associada em diferentes locais
no Active Directory. Por exemplo posso associar uma determinada GPO com o domnio e tambm com uma ou mais unidades
organizacionais do domnio. Em uma das associaes posso habilitar a opo No Override, em outras no e assim por diante. Lembre
(principalmente para os exames de certificao do MCSE 2003): A propriedade No Override uma propriedade da ligao (objeto do
tipo link) entre uma GPO e um domnio, site ou unidade organizacional e no uma propriedade da GPO propriamente dita.
O recurso de loopback.
Existe um recurso avanado das polices, o qual conhecido como Loopback.
Este recurso especialmente recomendado para computadores que esto
conectados rede da empresa mas com acesso ao pblico externo, como por
exemplo em quiosques de informao ao pblico, terminais de auto-atendimento
e computadores de salas de treinamentos.
O recurso de Loopback permite que voc defina uma ordem alternativa para
aplicao das GPOs. Lembrando que a ordem padro : local, site, domnio e
unidade organizacional. O recurso de Loopback pode ser configurado com os
valores Not configured (No configurado), Enabled (Habilitado) ou Disabled
(Desabilitado). Se este recurso for habilitado, ele poder ser configurado com as
opes Merge ou Replace, conforme descrito a seguir:
IMPORTANTE: Computadores que
no faam parte do domnio, como
por exemplo computadores
configurados para fazer parte de
um Workgroup, iro processar e
aplicar apenas a GPO local, uma vez
que todas as demais GPOs so
carregadas a partir do Active Direc-
tory. Como o computador no faz
parte do domnio, ele no tem
acesso ao Active Directory.
Loopback configurado com a opo Replace: Com este mtodo, a lista de execuo padro (que define a
seqncia de aplicao das GPOs) ser substituda pela lista definida no prprio computador.
Loopback configurado com a opo Merge: Com este mtodo, a lista de execuo padro (que define a seqncia
de aplicao das GPOs) ser concatenada com lista definida no prprio computador. As GPOs obtidas a partir
da lista definida no prprio computador sero aplicadas por ltimo, o que far com que estas GPOs tenham
precedncia em relao as GPOs definidas pela lista padro, obtida a partir do Active Directory.
Ordem de eventos quando o computador inicializado e o usurio faz o logon:
Neste item descrevo a ordem de eventos que ocorrem quando um comutador inicializado e quando o usurio faz o
logon.. Considerando um computador que pertence ao domnio e possui o Windows 2000, Windows XP Professional
ou Windows Server 2003, instalado,
1. O computador ligado, o Windows inicializado e os servios de rede so carregados.
2. Uma lista ordenada de objetos do tipo GPO obtida pela computador. A maneira como esta lista obtida, depende
dos seguintes fatores:
2.1. O computador deve fazer parte do domnio e obter esta lista a partir das informaes do Active Directory. Se o
computador no fizer parte do domnio, apenas a GPO local ser aplicada.
2.2. A lista depende de onde est contida a conta do computador, no Active Directory. Por exemplo, a unidade
organizacional onde encontra-se a conta, definir quais GPOs sero plicadas, as configuraes de rede definem a
qual site pertence o computador e quais GPOs de site (se houver alguma), sero aplicadas e assim por diante.
2.3. De a lista de GPOs ter sido alterada desde a ltima inicializao. Se a lista de GPOs no foi alterada, nenhum
processamento ser feito.
3. As configuraes relativas a computador sero aplicadas, a partir da lista de GPOs obtidas. As GPOs so aplicadas
na ordem descrita anteriormente: local, site, domnio e unidade organizacional.
4. Se houver um script de inicialiao configurado ele ser executado. Pode haver mais de um script de inicialiao
configurado. Neste caso eles sero executados na ordem em que foram definidos e de maneira sncrona, ou seja,
um script executado e somente que ele concluir a sua execuo, o prximo ser executado e assim por diante.
Existem tambm um tempo mximo de execuo para cada script, que por padro de 600 segundos. Se o script
no terminar a sua execuo neste tempo, ele ser encerrado e o prximo script (se houver) ser inicializado.
5. Aps terem sido feitos estes processamentos, a tela de logon exibida. O usurio pressiona CTRL-ALT-DEL para
fazer o logon.
6. O usurio digita as suas informaes de logon e validado por um dos DCs da rede. Aps a validao do usurio,
a sua profile carregada.
7. Uma lista ordenada de objetos do tipo GPO obtida pela usurio. A maneira como esta lista obtida, depende dos
seguintes fatores:
7.1. Se o usurio est fazendo o logon no domnio e, portanto, recebendo a lista de GPOs a serem aplicadas a partir do
Active Directory.
7.2. Se o recurso de Loopback est habilitado e, estando habilitado, qual opo est definida (Merge ou Replace).
7.3. A lista depende de onde est contida a conta do usurio, no Active Directory. Por exemplo, a unidade organizacional
onde encontra-se a conta, definir quais GPOs sero plicadas.
7.4. De a lista de GPOs ter sido alterada desde a ltima inicializao. Se a lista de GPOs no foi alterada, nenhum
processamento ser feito. Este comportamento pode ser alterado.
8. As configuraes relativas ao usurio sero aplicadas, a partir da lista de GPOs obtidas. As GPOs so aplicadas
na ordem descrita anteriormente: local, site, domnio e unidade organizacional.
9. O script de logon definidos nas GPOs sero executados. Estes scripts so executados sem que seja exibida uma
tela de execuo dos scripts e de maneira sncrona, ou seja, um aps o outro, conforme descrito para a execuo
de scripts de inicializao. O script de logon, definido nas propriedades da conta do usurio, no Active Directory,
ser executado aps a execuo dos scripts definidos via GPOs. Este script executado e uma janela do prompt de
comando exibida. Observe que podem ser executados vrios scripts de logon, em seqncia, sendo que estes
scripts so definidos nas GPOs que se aplicam ao usurio e o ltimo script a ser executado o script de logon
definido nas propriedades da conta do usurio, no Active Directory.
10. A rea de trabalho do usurio carregada e o Windows est pronto para ser utilizado.
Alguns casos especiais em relao a execuo das polices:
Pode acontecer uma situao em que o usurio est fazendo o logon em um computador que pertence a um
domnio do NT Server 4.0, porm fazendo o logon em um domnio baseado no Windows Server 2003 (sendo
que existem relaes de confiana entre os domnios). Neste caso, para as configuraes de computador sero
aplicadas as configuraes definidas no sistema de Polices do NT 4.0 e para o usurio, ser aplicada a parte
relativa as configuraes de usurio, das GPOs definidas no domnio de origem do usurio. Pode ocorrer o
contrrio, ou seja, a conta de computador ser de um domnio do Windows Server 2003 e a conta do usurio de
um domnio do NT Server 4.0. Neste caso sero aplicadas as configuraes de computador, obtidas via GPO
e as configuraes de polices definidas para o usurio, no domnio de origem da conta.
Se for um computador com o Windows XP Professional ou Windows Server 2003, porm pertencente a um
domnio baseado no NT Server 4.0, somente sero aplicadas as polices do NT Server 4.0, j que em um
domnio baseado no NT Server 4.0 no existe o conceito de GPO.
Entendendo como funciona o mecanismo de herana Policy inheritance
Por padro, as GPOs so aplicadas a partir do objeto pai (a raiz do domnio), passando pelos objetos filho, at a
unidade organizacional onde est a conta do usurio ou do computador. importante salientar este funcionamento
dentro de um mesmo domnio, no existe uma herana de GPOs entre domnios. Por exemplo, as GPOs aplicadas em
um domnio raiz abc.com, no sero herdadas e aplicadas nos domnios filho, tais como vendas.abc.com e rh.abc.com.
Porm dentro do domnio, o funcionamento o padro descrito nos itens anteriores. Se voc associar uma GPO com
um determinado elemento do Active Directory (um domnio ou uma unidade organizacional), as configuraes desta
GPO tambm sero aplicadas a todos os objetos contidos nos elementos filho. Por exemplo, se voc aplicar uma GPO
no domnio, todos os objetos do domnio recebero as configuraes desta GPO. Se voc aplicar uma GPO a uma
unidade organizacional, todos os objetos (inclusive objetos contidos em unidades organizacionais dentro da unidade
organizacional que est sendo configurada) contidos nesta unidade organizacional recebero estas configuraes.
Porm importante lembrar que, ao associar uma GPO com um objeto filho (por exemplo uma unidade organizacional),
as configuraes desta GPO iro sobrescrever as configuraes do objeto Pai (por exemplo o domnio), pois so
executadas por ltimo, a no ser que o mecanismo de No Override tenha sido habilitado na GPO do objeto Pai.
Para entender os conceitos apresentados a seguir, vamos considerar o exemplo de um domnio chamado abc.com, no
qual foi criada uma unidade organizacional chamada Sul. Dentro desta unidade organizacional foi criada uma outra
unidade organizacional chamada Vendas. Para a discusso que apresentarei a seguir, Sul referenciada como OU pai
(em Ingls usado o termo Parent) e Vendas referenciada como OU filho (em Ingls usado o termo child).
Se nas configuraes de GPO da OU pai, houver itens que esto marcados como No configurados, a OU filho no ir
herdar estes itens no configurados. Lembrando que a maioria das opes pode ser marcada como Enabled
(Habilitada), Disabled (Desabilitada) ou Not deffined (No definida). As opes que tiverem o valor padro como
desabilitado, tambm sero definidas como desabilitado na OU filho. As opes que estiverem configuradas na OU
pai, habilitadas ou desabilitadas (no confundir com aquelas que tem o valor padro como desabilitada) e as respectivas
opes no estiverem configuradas na OU filho, sero herdadas pela OU filho, com o mesmo valor definido na OU
pai (habilitada ou desabilitada). Se uma determinada opo estiver configurada na OU filho, valer o que est
configurado na OU filho, a no ser que a opo No Override tenha sido definida na GPO da OU pai.
Se as configuraes definidas na OU pai e as polticas definidas em uma OU filho so compatveis, isso , se no
houver conflito, a OU filho ir herdar as definies da OU pai e ir aplic-las normalmente na OU filho.
Se houver configuraes definidas na OU pai, as quais so incompatveis com as configuraes definidas na OU filho
(por exemplo, uma determinada police est habilitada na GPO da OU pai e desabilitada na police da OU filho), estas
configuraes no sero herdadas pela OU filho. Ser aplicada a configurao definida na OU filho.
Como bloquear a herana (Blocking inheritance):
A herana pode ser bloqueada tanto em nvel de domnio quanto em nvel de unidade organizacional. Esta opo
configurada nas propriedades do domnio ou da OU respectivamente, conforme voc aprender na parte prtica,
mais adiante.
Forando a herana (Enforcing inheritance):
Para forar a herana, ou seja, para fazer com que os objetos filho, obrigatoriamente, tenham que aplicar as configuraes
definidas no objeto pai, voc utiliza a opo No Override (No substituir), j descrita anteriormente e que ser
exemplificada na parte prtica. Ao marcar esta opo, voc fora todos os objetos filho a herdarem as configuraes
definidas no objeto Pai, mesmo que existam conflitos de configurao e mesmo que a opo Blocking inheritance
tenha sido habilitada no objeto filho.
Polices que foram configuradas com a opo No Override (No substituir) sero aplicadas, independentemente
das configuraes existentes nos objetos filho.
As opes No Override (No substituir) e Blocking inheritance (Bloquear herana de diretiva) devem ser
utilizadas com cautela, pois o uso muito intensivo destes recursos, torna difcil o trabalho de identificar e
resolver problemas de configurao, quando no se est obtendo o resultado desejado.
Exemplos prticos de uso das opes No Override (No substituir) e Block Policy inherit-
ance (Bloquear herana de diretiva):
Neste tpico vou descrever algumas situaes prticas, onde o uso das configuraes No Override e Block Policy
inheritance se aplica.
Situao 01:
Como administrador do domnio abc.com voc gostaria de implementar um conjunto de configuraes usando GPO.
Este conjunto deve ser aplicado a todos os computadores e usurios dos domnios. Essas configuraes no devem ser
sobrescritas por GPOs ligadas a objetos filhos, tais como GPOs ligadas a OUs do domnio. Qual a soluo para a
situao descrita?
Esta uma situao de soluo bastante simples e ao mesmo tempo muito comum. Neste caso, como as configuraes
devem ser aplicadas a todos os usurios e computadores do domnio, elas devem ser feitas na GPO padro do domnio,
com a qual voc aprender a trabalhar mais adiante. Para que estas configuraes no possam ser sobrescritas por
configuraes definidas nas GPOs dos objetos filho, voc deve marcar a opo No Override (No sobrescrever), na
guia Diretiva de grupo (boto Opes...) da janela de propriedades do domnio. Este um exemplo tpico (talvez o
mais tpico que possa ser imaginado) de onde necessrio a utilizao da propriedade No Override (No sobrescrever).
Situao 02:
Como administrador do domnio abc.com voc gostaria de implementar um conjunto de configuraes usando GPO.
Este conjunto deve ser aplicado a todos os computadores e usurios dos domnios. Existe uma nica OU do domnio,
na qual devem ser aplicadas configuraes especiais e no devem ser aplicadas as configuraes definidas na GPO
padro do domnio. Nesta OU esto as contas de usurios e computadores do setor de pesquisa, e uma srie de
configuraes especiais de segurana devem ser aplicadas via GPO. Qual a soluo para a situao descrita?
Nesta situao o administrador deve configurar a GPO padro do domnio, com as configuraes que sero utilizadas
pela maioria dos usurios e computadores, com exceo dos usurios e computadores da OU Pesquisa. Na OU pesquisa,
crie e configure uma GPO com as configuraes exigidas pelos usurios e computadores desta OU. Marque a opo
Block Policy inheritance (Bloquear herana de diretiva), na guia Diretiva de grupo da janela de propriedades da OU
pesquisa. Com esta configurao a OU pesquisa no ir herdar as definies de GPOs aplicadas ao domnio e somente
ser aplicadas as GPOs definidas na prprio OU Pesquisa, que exatamente o que deve ser feito para solucionar a
questo proposta.
Bem, sobre a teoria inicial de GPOs era isso. Agora voc aprender uma srie de aes prticas sobre GPOs. Aps as
aes prticas falarei sobre uma outra funcionalidade muito importante das GPOs que a distribuio de software.
Durante os exemplos prticos sero apresentados diversos conceitos relacionados com o tpico que est sendo
exemplificado.
Implementao e Administrao de GPOs.
Neste tpico apresentarei uma srie de itens relacionados a implementao, configurao e administrao das GPOs.
A medida que forem sendo apresentados os exemplos, tambm apresentarei a teoria associada. Voc aprender desde
como abrir o console para administrao das GPOs, como fazer as configuraes bsicas e passar por tpicos mais
avanados, tais como a descrio detalhada de como as informaes sobre GPOs so armazenadas no Active Direc-
tory e como utilizar o recurso de distribuio de software via GPOs.
O console de administrao das GPOs.
Existe um console especialmente criado para a criao, configurao e administrao das GPOs. Este console pode
ser aberto de vrias maneiras. Uma das mais utilizadas atravs da janela de propriedades do domnio ou da janela de
propriedades de uma OU do domnio. Nestas janelas est disponvel uma guia chamada Group Policy, na qual so
listadas as GPOs que esto sendo aplicadas. Voc tambm pode criar um console personalizado e adicionar somente o
Snap-in para administrao das GPOs.
Eu, particularmente, prefiro acessar o console atravs das propriedades do domnio ou das propriedades de uma OU,
pois com este mtodo tenho uma viso geral da hierarquia de objetos do Active Directory e posso, rapidamente,
acessar administrar as GPOs de cada objeto. Neste item mostrarei os passos necessrios para acessar o console de
administrao das GPOs, usando o console Usurios e computadores do Active Directory.
Exemplo: Utilizar o console Usurios e Computadores do Active Directory para acessar, rapidamente, as GPOs
configuradas no domnio:
2. Abra o console Usurios e computadores do Active Directory: Iniciar -> Ferramentas administrativas -> Usurios
3. Para abrir a GPO padro do domnio, d um clique com o boto direito do mouse no domnio desejado e, no menu
de opes que exibido, clique em Propriedades. Ser exibida a janela de propriedades do domnio.
4. Clique na guia Diretiva de grupo. Ser exibida a lista de GPOs definidas para o domnio, conforme indicado na
Figura 9.45. Observe que, por padro, est associada uma nica GPO, chamada Default Domain Policy.
Figura 9.45 Lista de GPOs para o domnio abc.com.
5. Clique na GPO Default Domain Policy para selecion-la e em seguida clique no boto Editar. Ser aberto o
console Editor de objeto de diretiva de grupo, com a GPO Default Domain Policy carregada.
6. Feche este console.
7. Clique com o boto direito do mouse em uma das unidades organizacionais criadas pelo administrador desejado e,
no menu de opes que exibido, clique em Propriedades. Ser exibida a janela de propriedades da respectiva OU.
8. Clique na guia Diretiva de grupo. Observe que, por padro, nenhuma GPO definida a nvel de unidade
organizacional.
9. Feche o console Usurios e computadores do Active Directory.
Agora que voc j sabe como acessar o console de administrao de uma determinada GPO, hora de entender as
opes disponveis e aprender a trabalhar com elas.
Usando o console de configurao das GPOs.
Neste tpico mostrarei como navegar pelas opes disponveis em um console
de administrao de uma GPO e como alterar as configuraes das opes
disponveis.
Alterando configuraes de uma GPO: Para alterar as configuraes de uma GPO,
o primeiro passo carregar a GPO a ser alterada no console Group Policy Editor.
No item anterior voc aprendeu duas diferentes maneiras para carregar uma GPO
no console Group Policy Editor.
Exemplo: Para acessar a GPO padro do domnio e fazer alteraes, siga os passos
indicados a seguir:
DICA: Voc pode abrir o console
para edio da GPO local usando o
console gpedit.msc, o qual j
instalado durante a instalao do
Windows Server 2003. Para abrir
este console, basta utilizar o
comando Iniciar -> Executar.Digite
gpedit.msc no campo Abrir e clique
em OK.
2. Abra a GPO Default Domain Policy, usando os passos descritos anteriormente.
3. A interface de administrao de uma GPO muito semelhante a interface de administrao de pastas e subpastas
do Windows Explorer. Observe que, por padro, so exibidas duas opes no painel da esquerda, conforme
Figura 9.46 Opes da GPO Default Domain Policy.
Configurao do computador: Contm as opes de configurao que so aplicadas ao computador, durante o
processo de inicializao, conforme detalhado anteriormente.
Configurao do usurio: Contm as opes de configurao que so aplicadas ao usurio, quando este faz o
logon, conforme detalhado anteriormente.
4. Na parte de baixo do painel da direita, existem duas guias: Estendido e Padro. Por padro selecionada a guia
Estendido. Este um novo modo de visualizao que foi introduzido no Windows XP e que est presente no
Windows Server 2003. No modo de visualizao Estendido, quando voc clica em uma determinada opo no
painel da direita, exibido um texto explicativo sobre a opo. Ao clicar na guia Padro ser exibido o modo
padro de visualizao, sem a explicao relativa ao item selecionado.
5. Clique no sinal de + ao lado da opo Configurao do computador, no painel da esquerda. Ser exibidos trs
grupos de polices que podem ser configuradas:
Configuraes de software
Configuraes do Windows
Modelos administrativos
Figura 9.47 Grupos de Polices disponveis.
6. Agora voc aprender a alterar as configuraes de uma police. Alis, voc
j parou para pensar porque o nome GPO Group Policy Objects. Group
Policy significa um grupo de polticas ou um grupo de diretivas. Isto em
uma GPO esto disponveis centenas de opes de configurao. Cada opo
uma police, uma poltica de segurana. As opes que esto disponveis
dependem dos templates (modelos) de polices, chamados de GPT Group
Policy Templates, os quais so gravados na pasta SYSVOL, conforme descrito
anteriormente. E Objects, porque todos os componentes do Active Directory
so denominados de objetos. Ento uma GPO nada mais do que um objeto
do Active Directory, o qual representa um grupo de polticas, um grupo de
polices um Group Policy. isso.
7. Apenas a ttulo de exemplo, vamos supor que voc queira configurar a police
que oculta o comando Executar do menu iniciar. Nos prximos passos vou
mostrar como configurar esta police, apenas para ilustrar como feita a
configurao de uma police.
NOTA: As configuraes de
computador so aplicadas quando
o computador inicializado,
Porm existem algumas
configuraes de segurana, que
so reaplicadas periodicamente,
normalmente a cada quinze
minutos. Estas opes so
reaplicadas, para garantir que os
computadores esto com as
configuraes de segurana corretas
e para evitar problemas com
segurana.
NOTA: Clique no sinal de + ao lado
da opo Configuraes do usurios.
Observe que so exibidos os
mesmos grupos de polices da opo
Configuraes do computador,
8. Esta police est disponvel no seguinte caminho: Configurao do usurio -> Modelos administrativos -> Menu
Iniciar e Barra de tarefas. Para acessar esta opo basta ir navegando no painel da esquerda, da mesma maneira
que voc navega pelas pastas e subpastas de um volume, usando o Windows Explorer. Por exemplo, clique no
sinal de + ao lado da opo Configurao do usurio, para exibir os grupos de opes disponveis. Clique no sinal
de + ao lado da opo Modelos administrativos, para exibir as opes disponveis. Das opes que so exibidas,
clique em Menu Iniciar e barra de tarefas, para selecion-la. No painel da direita ser exibida a lista de polices
que podem ser configuradas para esta opo, conforme indicado na Figura 9.48:
Figura 9.48 Polices disponveis para a opo Menu Iniciar e barra de tarefas.
9. Observe que somente para este item esto disponveis dezenas de polices que podem ser configuradas. A maioria
das polices est com o staus No-configurado, que na prtica significa: no est sendo aplicada. Para configurar
uma police basta dar um clique duplo nela, para abrir a janela com as opes de configurao. Na listagem de
polices localize a opo Remover o menu Iniciar do menu Executar (mais um exemplo da m qualidade da
traduo que feita no Windows. O correto seria: Remover o comando Executar do menu Iniciar.) e clique nesta
opo para selecion-la. Para configurar a police d um clique duplo nela, para abrir a janela com as opes de
configurao.
10. Ser aberta a janela com as propriedades de configurao da police. Para habilitar esta police e com isto fazer
com que o menu Executar no seja exibido, marque a opo Ativado (ou seja, voc est habilitando a poltica que
faz com que o menu Executar seja retirado do menu Iniciar), conforme indicado na Figura 9.49:
Figura 9.49 Habilitando a police que remove o comando Executar.
11. Clique na guia Explicar. Ser exibido um texto com uma explicao detalhada sobre a aplicao da police, quais
as conseqncias da sua habilitao e todos os demais detalhes sobre a police que est sendo configurada. Para
configurar a police clique em OK. Pronto, na prxima vez que os usurios do domnio fizerem o logon (qualquer
usurio, uma vez que estou fazendo a configurao na GPO padro do domnio, a qual ser aplicada a todos os
usurios do domnio), a police ser aplicada e o comando Iniciar -> Executar no estar mais disponvel.
12. A maioria das polices apresenta as opes No-configurado, Ativado e Desativado. Porm existem polices que
exigem informaes adicionais, como o exemplo da police Limitar tamanho do perfil, a qual encontra-se no
caminho: Configurao do usurio -> Modelos administrativos -> Sistema -> Perfis de usurio. Ao habilitar esta
police, voc tambm deve informar o tamanho mximo que ser configurado para a profile dos usurios, bem
como outras opes de configuraes, conforme indicado na Figura 9.50:
13. Como voc deve ter observado, configurar as polices extremamente simples. uma questo de localizar a
police a ser configurada, dar um clique duplo para abrir a janela de propriedades da police e configur-la. Mas no
localizar a police a ser configurada que reside, talvez, a grande dificuldade. Isso porque eu so milhares de
opes disponveis e localizar exatamente o que voc est precisando, pode no ser uma tarefa das mais simples.
Com o lanamento do Resource Kit do Windows Server 2003, previsto para outubro prximo, provvel que a
Microsoft disponibilize um arquivo de help com a descrio de todas as polices disponveis. Pelo menos no
Windows 2000 Server este arquivo disponibilizado com o Resource Kit do Windows 2000 Server. J est
disponvel para download, uma planilha com a descrio de todas as polices disponveis na opo Administrative
Templates (que a opo com o maior nmero de polices). Esta referncia est no formato de planilha do Excel
e descreve as polices que se aplicam ao Windows 2000, Windows XP Professional e Windows Server 2003. Voc
pode fazer o Download desta planilha no seguinte endereo:
http://download.microsoft.com/download/a/a/3/aa32239c-3a23-46ef-ba8b-da786e167e5e/
PolicySettings.xls
Figura 9.50 Um exemplo de police que precisa de configuraes adicionais.
A seguir mais alguns links teis em relao ao recurso de GPOs no Windows Server 2003:
http://www.microsoft.com/grouppolicy
http://www.microsoft.com/windowsserver2003/technologies/management/grouppolicy/default.mspx
http://www.microsoft.com/windowsserver2003/gpmc/default.mspx
http://www.microsoft.com/windowsserver2003/techinfo/overview/gpintro.mspx
http://www.microsoft.com/windowsserver2003/techinfo/overview/gpintro.mspx
14. importante salientar que quando voc est configurando uma GPO no existe o conceito de salvar as alteraes
que foram efetuadas. Quando voc abre a janela de propriedades de uma police, faz alteraes e clica em OK,
estas alteraes j sero salvas no Active Directory. No preciso executar nenhum comando para salvar as
alteraes, antes de fechar o console de administrao da GPO.
15. Feche o console de administrao da GPO
Criando uma nova GPO e associando-a com uma unidade organizacional:
Neste tpico voc aprender a criar uma novo GPO, associada a uma unidade organizacional e a configurar as
propriedades da GPO e da ligao da GPO associada com a unidade organizacional. Para o exemplo deste item, criarei
uma GPO chamada Configuraes da seo de vendas, a qual ser associada com a Unidade organizacional Vendas,
do domnio abc.com, conforme ilustrado na Figura 9.51:
Figura 9.51 A unidade organizacional Vendas, utilizada neste exemplo.
Exemplo: Para criar uma GPO associada a uma unidade organizacional e configur-la, siga os passos indicados a
seguir:
2. Abra o console Usurios e computadores do Active Directory.
3. Localize a unidade organizacional para a qual voc quer criar uma nova GPO. Clique com o boto direito do
mouse nesta unidade organizacional e, no menu de opes que exibido, clique na opo Propriedades.
4. Ser exibida a janela de propriedades da unidade organizacional. Clique na guia Diretiva de grupo. Sero exibidas
as opes da guia Diretiva de grupo, conforme indicado na Figura 9.52:
Figura 9.52 A guia Diretiva de grupo..
5. Por padro, quando uma unidade organizacional criada, nenhuma GPO associada com a unidade organizacional.
Nesta situao, a unidade organizacional herda as configuraes das GPOs definidas no domnio. Para criar uma
nova GPO d um clique no boto Novo.
6. Ser criada uma nova GPO com o nome de Novo objeto de diretiva de grupo. Neste momento voc deve digitar
um nome para a GPO que est sendo criada. Digite Configuraes da seo de vendas e clique no espao em
branco, fora do nome.
7. A GPO Configuraes da seo de vendas ser criada e j exibida na lista de GPOs associadas a unidade
organizacional. O prximo passo configurar as polices que sero aplicadas pela GPO Configuraes da seo
de vendas.
8. Para configurar as polices que sero aplicadas, basta clicar na GPO Configuraes da seo de vendas e depois
clicar no boto Editar. A GPO Configuraes da seo de vendas ser carregada no console Group Policy Editor.
Neste momento voc pode configurar as polices que sero aplicadas pela GPO Configuraes da seo de vendas.
Para uma descrio resumida das opes disponveis. Aps ter feito as configuraes desejadas, basta fechar o
console Group Policy Editor, no preciso salvar as alteraes, uma vez que estas vo sendo salvas automaticamente,
a medida que voc define as configuraes de cada police.
9. Ao fechar o console Group Policy Editor voc estar de volta guia Diretiva de grupo, da janela de propriedades
da unidade organizacional que est sendo configurada. Observe que nesta janela est disponvel a opo Bloquear
herana de diretiva, j comentada anteriormente. O administrador pode marcar esta opo, para impedir que as
configuraes definidas nos objetos Pai, sejam propagadas para a unidade organizacional que est sendo
configurada. Esta opo no ter efeito, se a opo No sobrescrever tiver sido habilitada nas GPOs dos objetos
pai.
10. Para configurar as opes da GPO, clique na GPO Configuraes da seo de vendas para selecion-la. Em
seguida clique no boto Opes. Ser exibida a janela de opes da GPO Configuraes da seo de vendas,
Figura 9.53 A janela de opes da GPO.
Nesta janela esto disponveis as opes descritas a seguir:
No sobrescrever: Esta opo utilizada para impedir que a aplicao da GPO seja bloqueada nos objetos
filho, atravs do uso da opo Bloquear herana de diretiva, j descrita anteriormente.
Desativado: Ao marcar esta opo, a GPO deixar de ser aplicada a unidade organizacional.
11. Defina as configuraes desejadas e clique em OK.
12. Feitas as configuraes desejadas s clicar no boto Fechar. A GPO foi criada, configurada.
Configurando as Propriedades de uma GPO.
Neste tpico voc aprender a configurar as propriedades de uma GPO. Conforme mostrarei existem uma srie de
opes que podem ser configurada e que afetam a maneira como a GPO ser aplicada.
Exemplo: Para configurar as propriedades de uma GPO, siga os passos indicados a seguir:
2. Abra o console Usurios e computadores do Active Directory.
3. Localize o container (domnio ou unidade organizacional) onde est a GPO a ser configurada. Clique com o
boto direito do mouse neste container e, no menu de opes que exibido, clique na opo Propriedades.
4. Ser exibida a janela de propriedades do container. Clique na guia Diretiva de grupo. Sero exibidas as opes de
configurao da guia Diretiva de grupo.
5. Clique na GPO a ser configurada para selecion-la e em seguida clique no boto Propriedades.
6. Ser exibida a janela de propriedades da GPO, com a guia Geral selecionada, conforme indicado na Figura 9.54:
Figura 9.54 A guia de opes gerais das propriedades da GPO.
7. Nesta guia so exibidas informaes gerais sobre a GPO, tais como a data de criao e data da ltima modificao.
Tambm esto disponveis as opes para desabilitar toda a rvore de configuraes de computador (Desativar
configuraes do computador) e uma opo para desabilitar toda a rvore de configuraes de usurio (Desativar
configuraes do usurio). Estas opes so especialmente teis, em situaes onde voc est enfrentando problemas
com a aplicao das polices. Por exemplo, se voc j identificou que o problema com as polices aplicadas ao
computador, pode marcar a opo Desativar configuraes do computador, para desabilitar estas opes, at que
voc possa fazer uma anlise detalhada e identificar onde esto os problemas.
8. Defina as configuraes desejadas e d um clique na guia Vnculos. Nesta guia voc pode pesquisar em todo o
domnio (em um ou mais domnios), para listar onde a GPO est sendo aplicada. Por exemplo, para listar em quais
unidades organizacionais a GPO est sendo listada. Esta opo especialmente til para a resoluo de problemas
e conflitos na aplicao das GPOs. Ao clicar no boto Localizar agora, ser feita uma pesquisa em todo o domnio
selecionado no campo Domnio. No exemplo da Figura 9.55, foi feita uma pesquisa no domnio abc.com, e como
resultado a GPO est sendo aplicada em duas OUs: abc.com/Contabilidade e abc.com/Vendas.
Figura 9.55 A lista de containers onde a GPO est sendo aplicada.
9. Clique na guia Segurana. Esta guia muito semelhante a guia Segurana, da janela de propriedades de uma pasta
ou arquivo, em um volume formatado com NTFS. Ou seja, uma ACL Access Control List (Lista de Controle
de Acesso). Ou seja, associada a GPO, existe uma lista de controle de acesso. Com esta lista podem ser
implementadas muitas solues prticas, que surgem no dia-a-dia do uso das GPOs. Por exemplo, suponha que o
administrador queira que as configuraes de uma GPO sejam aplicadas apenas para um determinado grupo de
usurios e no para todos os usurios de uma unidade organizacional. Neste caso, basta definir permisses de
acesso apenas para o grupo para o qual devem ser aplicadas as configuraes da GPO. Outra situao que pode
acontecer a seguinte: Imagine que determinadas restries devam ser aplicadas para todos os usurios, com
exceo de um determinado grupo, como por exemplo o grupo Administradores. Neste caso, basta colocar permisso
de acesso negada ao grupo Administradores e permisso de acesso para o grupo Todos. Neste caso as configuraes
sero aplicadas para todos os usurios, com exceo dos usurios do grupo Administradores, o qual teve acesso a
GPO negado. Na Figura 9.56 exibido o exemplo onde foi negada a permisso Aplicar diretiva de grupo (Apply
Group Policy) para o grupo Administradores. A permisso Aplicar diretiva de grupo necessria para os grupos
que devero ter as configuraes aplicadas a seus membros. A permisso Gravao necessria para os usurios
que devam ter permisso de alterar a GPO.
Figura 9.56 A lista de permisses para a GPO.
10. Defina as configuraes de segurana desejadas e clique na guia Filtro WMI. WMI uma tecnologia para
monitorao e gerenciamento do ambiente de hardware e software dos computadores. possvel criar filtros
WMI (como se fossem consultas em um banco de dados), para selecionar apenas computadores que atendam um
ou mais critrios. Por exemplo, possvel aplicar um filtro WMI para selecionar apenas os comutadores que tem
128 MB ou mais de memria RAM. Este filtro WMI pode ser salvo e utilizado para definir em quais computadores
ser aplicado uma GPO. Por exemplo, se voc est fazendo uma distribuio do Office XP, usando a distribuio
de software via GPO. O administrador pode criar um filtro WMI para selecionar apenas os computadores que
atendam as necessidades de hardware do Office XP. Depois o administrador aplica o filtro WMI para que a GPO
seja aplicada apenas aos computadores que atendam os requisitos de instalao do Office XP. O administrador
usa a guia WMI, para indicar o filtro a ser utilizado.
11. Defina as configuraes desejadas e d um clique em OK para aplic-las.
Muito bem, sobre GPO, para o Exame 70-290 isso. Voc precisa conhecer algumas diretivas especficas, as quais
sero abordadas nos captulos onde forem tratados os tpicos relacionados com as diretivas. S a ttulo de exemplo,
vamos citar duas diretivas, as quais controlam o recurso de Assistncia remota, descrito anteriormente neste captulo.
Estas diretivas so acessadas atravs do seguinte caminho: Configuraes do computador -> Modelos administrativos
-> Sistema -> Assistncia remota. A seguir descrevo as duas diretivas disponveis, nesta opo:
Assistncia remota solicitada: Esta diretiva Especifica se os usurios podem solicitar a assistncia de outro
usurio por meio da assistncia remota. Se o status for definido como Ativado, um usurio pode criar um
convite de assistncia remota que uma pessoa (especialista) pode usar em outro computador para se conectar
ao computador do usurio. Se for concedida permisso, o especialista pode ver a atividade da tela, do mouse
e do teclado do usurio em tempo real.
A configurao Permitir controle remoto deste computador especifica se um usurio pode controlar este computador
de um computador diferente. Se o usurio convidar um especialista para se conectar ao computador e lhe der permisso,
o especialista pode assumir o controle do computador. O especialista s pode fazer pedidos para assumir o controle
durante a sesso de assistncia remota. O usurio pode interromper o controle remoto a qualquer momento.
A configurao Tempo mximo da permisso define um limite para o tempo pelo qual o convite de assistncia
remota pode permanecer aberto.
A configurao Selecionar o mtodo para enviar convites por email especifica o padro de email a ser usado para
enviar convites de assistncia remota. Dependendo do seu programa de email, voc pode usar o padro Mailto (o
destinatrio do convite se conecta por meio de um link da Internet) ou o padro SMAPI (Simple MAPI) (o convite
anexado ao email).
Observao: o programa de email deve dar suporte para o padro de email selecionado.
Se o status for definido como Desativado, os usurios no podero pedir assistncia remota e o computador no
poder ser controlado de outro computador.
Observao: um especialista pode se conectar a este computador apenas com a permisso explcita do usurio. Se a
assistncia remota for desativada nesta configurao ou for definida como No configurada e desativada no Painel
de controle, a configurao Oferecer assistncia remota tambm ser desativada.
Se o status for definido como No configurado, os prprios usurios podero ativar ou desativar e configurar a
assistncia remota em Propriedades do sistema no Painel de controle. Se o status for definido como No
configurado, o tempo mximo padro pelo qual o convite de assistncia remota pode permanecer aberto ser
determinado pela configurao do Painel de controle.
Oferecer assistncia remota: Use essa configurao para determinar se uma pessoa de suporte ou administrador
de informtica (conhecida como especialista) pode ou no oferecer assistncia remota a este computador,
sem a solicitao explcita do usurio por meio de um canal, de email ou do Instant Messenger. Usando esta
configurao, um especialista poder oferecer assistncia remota ao computador.
Observao: o especialista no poder se conectar ao computador sem se anunciar nem o controlar sem a permisso
do usurio. Quando o especialista tentar se conectar, o usurio ainda ter a oportunidade de aceitar ou negar a conexo
(concedendo ao especialista privilgios somente para exibio na sua rea de trabalho) e, desse momento em diante, o
usurio dever clicar explicitamente em um boto para permitir que o especialista controle remotamente a rea de
trabalho, se o controle remoto estiver ativado.
Se voc ativar esta configurao, poder oferecer assistncia remota. Ao definir esta configurao, voc tem duas
opes: selecionar Permitir que auxiliares somente vejam o PC ou Permitir que auxiliares controlem remotamente
o computador. Alm de fazer essa seleo, ao definir esta configurao voc tambm especifica a lista de usurios ou
grupos de usurios que tero permisso para usar a assistncia remota. Eles so conhecidos como auxiliares.
Para configurar a lista de auxiliares, clique em Mostrar. Ser aberta uma nova janela, em que voc poder digitar os
nomes dos auxiliares. Adicione cada usurio ou grupo separadamente. Ao digitar o nome do usurio ou grupo de
usurios auxiliares, use o seguinte formato:
<Nome de domnio>\<Nome de usurio> ou
<Nome de domnio>\<Nome de grupo>
Se voc desativar esta configurao de diretiva ou no a definir, os usurios ou grupos no podero oferecer assistncia
remota no solicitada ao computador.
Gerenciamento de Hardware e de Drivers.
Para finalizar a nossa salada de frutas, falarei um pouco sobre o gerenciamento de hardware e de drivers no Win-
dows Server 2003. Sempre manterei o foco apenas nos tpicos relevantes para o Exame 70-290 ou nos tpicos que so
necessrios, para o entendimento de tpicos relevantes para o exame.
Adicionando, removendo e gerenciando o Hardware do computador.
Hardware qualquer equipamento ou placa que faz parte do seu computador. Por exemplo, uma placa de som, um
Modem para acessar a Internet via linha telefnica, uma placa para captura de Vdeo, etc.
Todo hardware fabricado atualmente, segue um padro chamado Plug and Play. Este padro torna extremamente
simples, a instalao de novos componentes de hardware. Basta instal-los fisicamente, e ao ligar o computador, o
Windows Server 2003 reconhece a presena do novo dispositivo de hardware e instala o driver necessrio para que
este funcione. O Padro Plug and Play est presente a partir do Windows 95, e tambm existe no Windows 98 e
Windows 2000 Professional, alm do Windows 2000 Server.
Porm podem existir situaes em que voc tenha que instalar um Hardware mais antigo, o qual no est dentro do
padro Plug and Play, ou tambm pode acontecer de um dispositivo Plug and Play no ser reconhecido automaticamente.
Nestas situaes voc deve utilizar a opo Adicionar hardware no Painel de controle. Com esta opo possvel
fazer com que o Windows Server 2003 detecte o novo hardware instalado, ou caso no seja detectado, voc pode fazer
com que o driver necessrio seja carregado a partir de um disquete ou CD-ROM.
Alm disso, caso um dispositivo de hardware tenha sido retirado do computador, porm o respectivo Driver no tenha
sido corretamente desinstalado, voc pode remover o driver que no mais necessrio utilizando a opo Adicionar
hardware.
Nunca demais ressaltar que a instalao e configurao de novos dispositivos de hardware, envolve conhecimentos
tcnicos de hardware, por isso recomendado que sempre que voc precisar instalar um novo dispositivo, caso voc
no conhea bem hardware, recomendado que voc entre em contato com um tcnico especializado. A instalao de
maneira incorreta de drivers ou dispositivos de hardware, pode fazer com que o Windows Server 2003 deixe de
funcionar corretamente, sendo que em situaes mais graves, pode ser necessria a reinstalao do sistema.
Todo dispositivo de hardware precisa de um ou mais programas o qual permite que o Windows Server 2003 comunique-
se com o dispositivo e vice-versa. O Programa ou conjunto de programas que faz a comunicao do Sistema Operacional
com um dispositivo de hardware, conhecido como Driver do dispositivo. Por exemplo, ao conectar uma nova impressora
no seu computador, voc precisa instalar o driver da impressora, antes que os seus programas possam imprimir corretamente,
ao instalar uma nova placa de rede, voc precisa instalar o Driver da placa de rede e assim por diante. O CD de instalao
do Windows Server 2003 j vem com o Driver para milhares ( isto mesmo: milhares) de dispositivos diferentes. Quando
voc instala um dispositivo de hardware, para o qual o Driver est no CD de instalao do Windows Server 2003, o
processo bastante simples. Voc desliga o computador e instala o dispositivo de Hardware. Ao ligar o computador o
Windows Server 2003 reconhece o dispositivo e j carrega o driver adequado, a partir do CD de instalao do Windows
Server 2003. A nica coisa de diferente que voc v, logo aps ter feito o logon, uma janelinha com uma mensagem de
que um novo Hardware foi encontrado e o respectivo driver est sendo instalado. Pode acontecer de ser aberta uma janela
solicitando que voc coloque o CD de instalao do Windows Server 2003 no drive de CD, para que possam ser copiados
os arquivos necessrios. Tambm pode-se ter situaes em que o driver para o hardware que est sendo instalado, no
esteja no CD de instalao do Windows Server 2003. Porm, todo o dispositivo de Hardware vem com u disquete ou CD-
ROM, no qual esto disponveis os drivers do dispositivo, para as vrias verses do Windows. Nestas situaes, aps ter
reconhecido o dispositivo de Hardware, o Windows Server 2003 solicita que seja fornecido o caminho onde esto os
arquivos de instalao do driver do dispositivo. Agora s informar se os arquivos esto no disquete ou no CD-ROM.
Uma terceira opo que voc tem o Windows Update. O Windows Update um site da Microsoft, no qual so
disponibilizadas todas as atualizaes, correes e Service Packs para o Windows. Pode acontecer de o driver no estar
no CD de instalao do Windows Server 2003, mas estar disponvel no site do Windows Update.
Exemplo: Neste exemplo vou abrir a opo Adicionar hardware, porm no irei instalar nenhum novo dispositivo de
hardware; apenas irei descrever algumas das opes disponveis.
2. Certifique-se de que o modo de exibio tradicional esteja sendo utilizado e no o modo de exibio por categorias.
3. D um clique duplo na opo Adicionar hardware. Ir surgir a tela inicial do assistente de hardware, conforme
Figura 9.57 A tela inicial do assistente de hardware.
4. D um clique no boto Avanar, para ir para a prxima etapa. O Windows Server 2003 pode demorar algum
tempo, pois nesta etapa ele ir procurar por novos dispositivos de Hardware que tenham sido instalados porm
ainda no foram configurados.
5. Surge uma tela com duas opes.
Sim, j conectei um item de Hardware: Utilize esta opo se o dispositivo de Hardware j est instalado fisicamente
no computador, porm no foi detectado automaticamente pelo Windows Server 2003 Se voc marcar esta
opo, ao clicar no boto Avanar, ser exibida uma lista com todos os dispositivos de hardware instalados no
computador. Voc pode marcar um dos dispositivos e clicar no boto Avanar para tentar solucionar problemas
com dispositivos que no esto funcionando.
No, ainda no adicionei o item de hardware: Se voc marcar nesta opo e clicar no boto Avanar, o Win-
dows Server 2003 informa que no possvel continuar com o assistente de Hardware, que voc deve desligar
o computador, instalar o item de hardware e ligar novamente o computador, conforme indicado na Figura 9.58.
Figura 9.58 O assistente de Hardware informa que voc precisa desligar o computador,
instalar o novo dispositivo e ligar o computador novamente.
6. Como voc no ir instalar nenhum novo dispositivo neste momento, clique no boto Cancelar, para fechar o
Assistente de hardware.
O Gerenciador de Dispositivos
O Gerenciador de dispositivos fornece um modo de exibio grfica de todo o hardware instalado no computador.
Voc pode usar o Gerenciador de dispositivos para atualizar os drivers (ou software) de dispositivos de hardware,
modificar configuraes de hardware e solucionar problemas.
Voc pode usar o Gerenciador de dispositivos para:
Determinar se o hardware do seu computador est funcionando corretamente.
Alterar as definies da configurao de hardware.
Identificar os drivers de dispositivos que esto carregados para cada
dispositivo e obter informaes sobre cada driver.
Alterar configuraes avanadas e propriedades dos dispositivos.
Instalar drivers de dispositivo atualizados.
Desativar, ativar e desinstalar dispositivos.
Retornar verso anterior de um driver.
Imprimir um resumo dos dispositivos instalados no computador.
O Gerenciador de dispositivos geralmente utilizado para verificar o status do
hardware e atualizar drivers de dispositivo no computador. Os usurios avanados
com amplo conhecimento sobre hardware de computador podem tambm usar os
recursos de diagnstico do Gerenciador de dispositivos para solucionar conflitos
entre dispositivos e alterar configuraes de recursos, mas isso deve ser feito com
extrema cautela.
Normalmente, no ser necessrio usar o Gerenciador de dispositivos para alterar
configuraes de recursos, pois estes so alocados automaticamente pelo sistema
durante a configurao do hardware.
Voc pode usar o Gerenciador de dispositivos para gerenciar dispositivos apenas
em um computador local. O Gerenciador de dispositivos funcionar apenas no
modo somente leitura em um computador remoto.
A seguir faremos um pequeno exemplo prtico, onde mostrarei como executar
algumas operaes disponveis no Gerenciador de dispositivos.
Exemplo: Para acessar o Gerenciador de Dispositivos, siga os passos indicados a
seguir:
2. Abra o Painel de controle.
3. D um clique duplo no cone Sistema, do Painel de controle
4. Ser aberta a opo Propriedades do sistema. D um clique na guia Hard-
ware. Sero exibidas as opes indicadas na Figura 9.59:
IMPORTANTE: A opo de voltar
verso anterior de um driver um
recurso bastante til, mais conhecido
como Roll back driver. Por exemplo,
imagine que voc instalou uma nova
verso para o drive da placa de rede
de um servidor. O servidor foi
reinicializado, voc fez o logon
normalmente, porm o desempenho
est sofrvel. Voc verifica que o
processador est com uma taxa
constante de ocupao, prximo aos
100%. A causa provvel do problema
a nova verso do driver da placa
de rede. Voc pode usar o recurso de
Roll back, para retornar a verso an-
terior e solucionar o problema de
desempenho. Lembre-se deste
recurso para o exame.
IMPORTANTE: A alterao
incorreta de configuraes de
recursos pode desativar o hardware
e fazer com que o computador no
funcione direito ou fique
inoperante. Apenas os usurios que
tm experincia em hardware e em
configuraes de hardware devem
alterar configuraes de recursos.
IMPORTANTE: Somente contas
com perfil de Administrador, tero
permisso para gerenciar drivers de
dispositivos de hardware.
Figura 9.59 A guia Hardware.
IMPORTANTE: Se voc no puder
acessar o Gerenciador de dispositivos
a partir dos snap-ins de extenso do
Gerenciamento do computador em
um computador remoto, certifique-
se de que o servio Registro remoto
tenha sido iniciado no computador
remoto. O servio de Registro remoto
deve ter sido inicializado, para que
voc possa usar os consoles de
gerenciamento remoto. Voc precisa
dispor das permisses apropriadas no
computador remoto para iniciar o
servio. Voc tambm poder receber
essa mensagem de erro se o
computador remoto estiver
executando o MicrosoftWindows
95. O Gerenciamento do computador
no oferece suporte a acesso remoto
para computadores que estejam
executando o Windows 95.
5. D um clique no boto Gerenciador de dispositivos. Ser aberto o Gerenciador dispositivos, onde exibida uma rvore,
onde so listados todos os dispositivos de hardware instalados no computador, conforme indicado na Figura 9.60:
Figura 9.60 A guia Hardware.
6. Vamos acessar as propriedades de um driver instalado. No meu exemplo, vou clicar no sinal de +, ao lado da
categoria Adaptadores de rede. Ser exibida uma lista de todos os adaptadores de rede instalados. D um clique
duplo em um deles, para exibir as propriedades do respectivo driver, conforme exemplo da Figura 9.61:
Figura 9.61 Acessando as propriedades de um driver.
7. D um clique na guia Driver. Sero exibidas as opes indicadas na Figura 9.62, as quais sero detalhadas logo a
seguir.
Nesta guia, cabe destacar a funo dos seguintes botes:
Detalhes de driver: Ao clicar neste boto, ser aberta uma janela com informaes detalhadas sobre o driver.
Atualizar driver: Clique para alterar ou atualizar o driver de dispositivo selecionado. Isso inicia o Assistente
para atualizao de hardware.
Reverter driver: Este o famoso Roll back, ou seja, desinstalar a verso atual e voltar a verso anterior do
driver. Conforme descrito anteriormente, esta funo til em situaes onde aps a instalao de uma nova
verso de um driver, o sistema comea a apresentar problemas de estabilidade ou de desempenho. Se voc
conseguir fazer o logon no modo normal ou no modo de segurana, ser possvel usar esta funo, para voltar
a verso anterior do driver e solucionar os problemas causados pela nova verso. Lembre-se bem desta funo
para o exame.
Desinstalar: Esta opo pode ser utilizada para desinstalar o driver de um dispositivo.
Figura 9.62 A guia Driver, das propriedades do driver.
8. D um clique na guia Recursos. Nesta guia so exibidos os recursos de hardware utilizados pelo driver, tais como
IRQ, Intervalo de memria e assim por diante. Nesta guia ser informado se o dispositivo est em conflito com
algum outro driver instalado no sistema. Por exemplo, se dois drivers tentarem utilizar a mesma IRQ, haver um
conflito de IRQs.
9. Clique em OK para fechar a janela de propriedades do driver. Voc estar de volta ao Gerenciador de dispositivos.
10. Ao clicar com o boto direito do mouse em um driver, voc tem uma srie de opes, conforme indicado na
Figura 9.63:
Figura 9.63 Opes ao clicar com o boto direito do mouse.
11. Feche o Gerenciador de dispositivos.
Assinatura de drivers
Os arquivos de drivers de dispositivo de hardware e do sistema operacional includos no Windows tm uma assinatura
digital da Microsoft. Uma assinatura digital indica que um driver ou arquivo em particular atendeu a um determinado
nvel de teste e que no foi alterado ou substitudo por outro processo de instalao do programa. Os drivers de
dispositivo para produtos de hardware que tm o logotipo Desenvolvido para Microsoft Windows XP ou Desenvolvido
para Microsoft Windows Server 2003 tm uma assinatura digital da Microsoft, que indica que a compatibilidade do
produto com o Windows foi testada e que esse produto no foi alterado aps os testes.
Dependendo de como o administrador configurou o computador, o Windows ir ignorar os drivers de dispositivo que no
estiverem assinados digitalmente, exibir um aviso quando detectar os drivers de dispositivo que no estiverem assinados
digitalmente (o comportamento padro) ou impedir que voc instale drivers de dispositivo sem assinaturas digitais.
O Windows inclui os seguintes recursos para garantiro que os drivers de dispositivo e arquivos do sistema permaneam
no seu estado original, ou seja, digitalmente assinados.
Proteo de arquivo do Windows
Verificador de arquivos do sistema
Verificao de assinatura de arquivo
No exemplo prtico a seguir, mostro como definir o comportamento do Windows em relao a assinatura de drivers e
quais as opes disponveis.
Exemplo: Para definir opes de verificao de assinatura de arquivo, siga os passos indicados a seguir:
2. Abra o Painel de controle. Dentro do Painel de controle, d um clique duplo na opo Sistema.
3. Clique na guia Hardware. Na guia Hardware, clique no boto Assinatura de driver.
4. Ser aberta a janela Opes de assinatura de driver, indicada na Figura 9.64
Figura 9.64 Opes de assinatura de driver.
5. Esto disponveis as seguintes opes:
Ignorar...: Selecione esta opo para permitir que todos os drivers de dispositivo sejam instalados no computador,
independentemente de terem ou no uma assinatura digital. Essa opo no estar disponvel, a menos que
voc tenha efetuado logon como um administrador ou um membro do grupo Administradores. Tenha cuidado
ao utilizar esta opo, a qual pode representar um problema de segurana, ao permitir que drivers no assinados
sejam instalados.
Avisar...: Selecione esta opo para exibir uma mensagem de aviso sempre que um programa de instalao ou
o Windows tentar instalar um driver de dispositivo sem uma assinatura digital. Esse o comportamento padro
do Windows. Ao tentar instalar um driver no assinado, ser exibida uma mensagem de advertncia, na qual
voc pode escolher entre cancelar a instalao ou instalar o driver, mesmo este no estando assinado digitalmente.
Bloquear...: Selecione esta opo para impedir que um programa de instalao ou o Windows instale drivers de
dispositivo sem uma assinatura digital.
6. Selecione a opo desejada e clique em OK para aplic-la.
7. Voc estar de volta a guia Hardware.
8. Clique em OK para fechar a janela de Propriedades do sistema.
Concluso.
Este foi um captulo no estilo salada de frutas, ou seja, de tudo um pouco.
Abordei uma srie de tpicos importantes para o Exame 70-290. Neste captulo
foram abordados os seguintes tpicos:
O uso do Terminal Services
O Recurso de Desktop Remoto
O Recurso de Shadow Copies
Noes Bsicas sobre GPO Group Policy Objects
Gerenciamento de Hardware e de Drives
Resoluo de Problemas de Hardware e Drives.
DICA: Se voc fez logon como um
administrador ou como um membro
do grupo Administradores, em
Opo do administrador, marque a
opo Tornar esta ao o padro do
sistema para aplicar a configurao
selecionada como padro para
todos os usurios que efetuaram
logon no computador.
IMPORTANTE: Alm do que eu
apresenta em cada captulo
sempre importante que voc pro-
cure complementar os seus estudos,
usando a Ajuda do Windows e a
Internet. Quanto mais materiais
voc utilizar, para se preparar para
o exame, maiores sero as suas
chances de obter aprovao.
C A P T U L O
10
Auditoria, Log de Eventos e
Servios
Introduo
Neste captulo tratarei de assuntos relacionados com Auditoria de eventos no
Windows Server 2003 e com as configuraes dos direitos de usurios e grupos.
Sempre focarei os pontos relacionados ao Exame 70-290.
Vou iniciar o Captulo explorando mais algumas opes do console Computer
Management (Gerenciamento do computador). Voc j utilizou este console em
outros captulos. Com a opo Ferramentas do sistema, do console Gerenciamento
do computador, o administrador tem acesso a uma srie de funes, tais como:
Visualizar eventos: Esta opo ser detalhada durante este captulo, quando
tratarei sobre os Logs de Auditoria do Windows Server 2003.
Pastas compartilhadas: Utilizada para o gerenciamento e criao de pas-
tas compartilhadas no computador local e em outros computadores da
rede. Esta opo foi detalhada no Captulo 6.
Usurios e grupos locais: Utilizada para a criao de contas de usurios e
grupos locais em servidores configurados como Member servers ou
Standalone server. Em DCs esta opo no estar disponvel.
Logs e alertas de desempenho: Esta opo d suporte ao monitoramento
detalhado da utilizao de recursos do sistema operacional. Ser vista no
Captulo 11.
Gerenciador de dispositivos: Voc pode usar o Gerenciador de dispositivos
para atualizar os drivers (ou software) de dispositivos de hardware,
modificar configuraes de hardware e solucionar problemas. Tratei sobre
o Gerenciador de dispositivos no Captulo 9.
Na seqncia voc aprender sobre os logs de auditoria do Windows Server 2003
(opo Visualizar Eventos). Mostrarei o conceito e a implementao prtica de
uma poltica de uso para os logs de auditoria. Tratarei, dentre outros, dos seguintes
tpicos:
Visualizando e configurando eventos de auditoria.
Habilitando e desabilitando eventos de auditoria.
Filtragem e pesquisa nos logs de auditoria.
Configuraes das propriedades do log.
Exportao dos logs para outros formatos.
O prximo passo entender o conceito de Diretivas de Segurana relacionadas
com as configuraes de auditoria. Mostrarei uma srie de diretivas que podem
ser configuradas e que afetam a maneira como a auditoria realizada nos servidores
do domnio.
Na parte final do Captulo mostrarei como habilitar a auditoria em alguns recursos,
nos quais a auditoria por padro no habilitada, como por exemplo: auditoria no
acesso a pastas e arquivos e auditoria no acesso a impressoras. Voc aprender a
habilitar a auditoria nestes objetos e a consultar o log de auditoria, para localizar
os eventos relacionados.
Log de Eventos e de Auditoria Conceito.
Quando voc trabalho com o Windows Server 2003, o qual utilizado como sistema operacional para servidores da
rede, a segurana uma preocupao constante. No poderia ser diferente. O sistema operacional deve ser capaz de
disponibilizar alguns servios bsicos em relao a segurana: identificao (atravs do mecanismo de contas de
usurios, logon e do protocolo Kerberos), restrio de acesso aos recursos (com base no mecanismo de permisses de
acesso, atravs do uso de uma ACL Access Control List, Lista de Controle de Acesso a cada recurso da rede) e
tambm deve ser capaz de registrar as aes que esto sendo executadas nos recursos da rede, juntamente com
informaes sobre o horrio da ao, quem foi o usurio que executou a ao e outras informaes relevantes. O
registro do que feito na rede gravado no Log do Sistema. O sistema de log do Windows Server 2003 permite o
registro de um grande nmero de eventos, conforme mostrarei neste captulo. A ao de pesquisar/consultar o log de
eventos, em busca de informaes conhecido como auditoria.
Auditoria um processo de acompanhamento das aes que so executadas nos servidores do domnio, atravs da
rede, tanto aes do prprio Sistema operacional, como por exemplo a incializao de um servio, mas principalmente
aes do usurio, como um logon ou um acesso aos arquivos de uma pasta compartilhada. Por exemplo, toda vez que
o Windows Server 2003 inicializado uma srie de servios so iniciados automaticamente, como o servio spooler
que controla a impresso, o servio Workstation que controla a interface grfica do Windows Server 2003 e assim por
diante. Cada um destes servios capaz de escrever eventos nos logs de auditoria do Windows Server 2003. Um
evento uma mensagem que pode ser informativa, pode ser um aviso e pode ser uma mensagem de erro. Um outro
exemplo, quando um usurio tenta fazer o logon e informa uma senha errada, um evento gravado no log de segurana,
neste caso gravado uma mensagem (evento) de falha de logon.
A auditoria de segurana monitora vrios eventos relativos segurana. O monitoramento de eventos do sistema
necessrio para detectar invasores e tentativas de comprometer os dados do sistema. Uma tentativa de logon sem xito
um exemplo de um evento que pode ser submetido auditoria.
Os tipos mais comuns de eventos a serem submetidos auditoria so:
Acesso a objetos, como arquivos e pastas: Por exemplo, repetidas tentativas de acessar determinados arquivos,
por um usurio que no tem permisso de acesso, podem caracterizar uma tentativa de quebra de segurana.
Gerenciamento de contas de usurios e grupos: ficam registradas informaes sobre quem fez alteraes nas
contas de usurios e grupos.
Quando os usurios fazem logon e logoff no sistema: Por exemplo, logons efetuados fora do horrio normal de
trabalho, merecem uma ateno especial do administrador.
Alm da auditoria de eventos relacionados segurana, um log de segurana gerado, oferecendo um meio para que
voc visualize os eventos de segurana registrados no log. O log de segurana pode ser exibido com o console Visualizar
eventos, o qual voc aprender a utilizar neste captulo.
Uma mensagem no log do sistema, possui informaes tais como o usurio que executou a ao, a ao executada e se
esta foi executada com sucesso ou no.
O log de eventos do Windows Server 2003 pode ser configurado, de tal maneira que o administrador escolha quais
eventos devem ser gravados no log, como por exemplo: tentativas de logon com sucesso, tentativas de logon sem sucesso
ou ambas . Por exemplo, o administrador pode definir que seja registrado um evento no log de segurana, toda vez que
um usurio tentar acessar um determinado arquivo, sem ter a devida permisso (tentativa de acesso sem sucesso).
Tambm possvel definir se o acesso a arquivos, pastas e impressoras devem ser monitorados ou no (por padro este
monitoramento est desabilitado. Na parte final do captulo mostrarei como habilitar este monitoramento). Alm
disso, voc pode definir se devem ser monitorados somente acessos bem sucedidos ou acessos negados (sem sucesso),
tais como um usurio com permisso somente de leitura que tenta alterar um determinado arquivo, em uma pasta
compartilhada.
Os logs do sistema so acessados utilizando a opo Event Viewer (Visualizar eventos) do console Gerenciamento do
computador. Tambm possvel utilizar o console Visualizar eventos que acessado atravs da opo Iniciar ->
Ferramentas Administrativas -> Visualizar eventos. O console Visualizar eventos configurado para carregar apenas
o Snap-in para trabalhar com eventos, diferente do console Gerenciamento do Computador, o qual configurado para
carregar uma srie de Snap-ins, dentre eles, o Snap-in Visualizar eventos.
Por padro, so criados trs logs no sistema de log do Windows:
Application (Log do aplicativo): Contm erros, avisos e mensagens informativas de diversos programas que
rodam no Windows Server 2003. Por exemplo, o Microsoft SQL Server 2000 (banco de dados da Microsoft),
grava uma srie de eventos no log Aplicativo. O log do aplicativo contm eventos registrados por aplicativos
ou programas. Por exemplo, um programa de banco de dados pode registrar um erro de arquivo no log do
aplicativo. Os desenvolvedores de software decidem quais eventos monitorar, isto , ao desenvolver um
programa, possvel definir quais eventos o programa ir gravar no log de eventos do Windows Server 2003.
Linguagens como o Delphi, VB.NET, Visual Basic 6 e C#, fornecem comandos para que um programa possa
gravar eventos no log do Windows Server 2003.
Security (Log de segurana): Contm informaes sobre o sucesso ou no de eventos de auditoria, de acordo
com definies da poltica de auditoria. Conforme mostrarei mais adiante, a poltica de auditoria define quais
eventos de segurana sero monitorados. O log de segurana registra eventos como tentativas de logon vlidas
e invlidas, assim como eventos relacionados ao uso de recursos, como criar, abrir ou excluir arquivos ou
outros objetos. Um administrador pode especificar os eventos que sero registrados no log de segurana. Por
exemplo, se voc ativou a auditoria de logon, as tentativas de logon no sistema sero registradas no log de
segurana. Por padro somente usurios com permisso de administrador podem acessar o log de segurana.
System (Log do sistema): Contm erros, avisos e informaes geradas pelo prprio Windows Server 2003. O
Windows Server 2003 define quais os eventos sero gerados. O log do sistema contm eventos registrados pelos
componentes de sistema do Windows Server 2003. Por exemplo, a falha de um driver ou de outro componente do
sistema ao ser carregado durante a inicializao registrada no log do sistema. Os tipos de evento registrados no
log pelos componentes do sistema so determinados previamente pelo Windows Server 2003.
Figura 10.1 Opes de log em um DC com o Windows Server 2003.
Cabe aqui salientar que o principal objetivo da existncia de um sistema de Audi-
toria/Log, manter um acompanhamento de tudo o que est acontecendo no
sistema. Quando algum problema acontece, como por exemplo, um servio que
deixa de funcionar, o primeiro lugar que o administrador vai em busca de
informao no log do sistema. Informaes importantes sobre segurana podem
ser encontrados no log de Segurana.
No visualizador de eventos, podem existir cinco tipos diferentes de eventos,
conforme descritos abaixo:
Error (Erro): Representado por um crculo vermelho com um x branco.
Indica um problema srio tal como perda de dados ou de alguma
funcionalidade de um servio ou dispositivo que no est operando
corretamente.. Por exemplo, se um servio falhar durante a inicializao,
um evento de erro ser logado.
Warning (Aviso): Representado por um tringulo amarelo com um ponto
de exclamao. Um evento que no necessariamente um erro, mas pode
representar um problema futuro. Por exemplo, quando o espao em disco
est ficando pequeno, uma aviso ser logado.
Information (Informaes): Representado por um balo branco, com um
ponto de exclamao azul. dentro. Descreve uma operao de sucesso de
uma aplicao, driver ou servio. Por exemplo, quando um driver de rede
carregado com sucesso, um evento de informao logado. Na Figura
10.2, mostrada uma tela onde aparecem os trs tipos de eventos descritos
anteriormente.
NOTA: A medida que novos
servios vo sendo instalados, no-
vas opes vo sendo adicionadas
ao console Visualizar eventos. Por
exemplo, ao instalar o DNS em um
servidor Windows Server 2003,
uma opo DNS adicionada ao
Visualizador de eventos, entrada
essa que trata de eventos
relacionados com o servio de DNS.
Outro exemplo, em um servidor
configurado como DC, uma nova
categoria de eventos criada: Di-
rectory Service (Servio de
Diretrio), conforme exemplo da
Figura 10.1, onde so exibidas as
opes de log disponveis em um DC
com o Windows Server 2003
instalado.
Figura 10.2 Os eventos de Erro, Aviso e Informaes.
Success Audit (Auditoria com xito): Representado por uma chave amarela. Evento gravado no log Segurana.
Indica o evento de um acesso com sucesso. Por exemplo, se for habilitada a auditoria de tentativas de logon
com sucesso, esse evento pode indicar um usurio que fez o logon com sucesso.
Figura 10.3 Os eventos de Auditoria com xito e Auditoria sem xito.
Agora que voc j conhece os tipos de log que existem e os diferentes tipos de eventos que cada log pode apresentar,
hora de aprender a administrar e a consultar os logs do Windows Server 2003.
Trabalhando com o Log de Eventos.
Neste tpico voc aprender a executar uma srie de aes prticas relacionadas com os logs de auditoria do Windows
Server 2003. Desde simplesmente abrir o console Visualizar eventos e acessar os logs, passando pelas configuraes
e propriedades de cada log individualmente, at operaes de exportar as informaes dos logs para formatos que
possam ser lidos em ferramentas como o Excel e o Access. Vou iniciar com um exemplo bsico de utilizao do
console Visualizar de eventos.
Exemplo: Visualizando eventos e detalhes dos eventos.
1. Faa o logon como Administrador ou com uma conta com permisso de administrador.
2. Abra o console Visualizar eventos: Iniciar -> Ferramentas Administrativas -> Visualizar eventos.
3. Ser exibida a janela Visualizar eventos, indicada na Figura 10.4:
Failure Audit (Auditoria sem xito): Representado por um cadeado amarelo. Evento gravado no log Segurana.
Indica o evento de um acesso sem sucesso. Por exemplo, se for habilitada a auditoria de tentativas de logon
sem sucesso, esse evento pode indicar um usurio que no conseguiu efetuar o logon. Na figura 10.3, mostrado
um exemplo dos dois tipos de eventos de segurana: Auditoria com xito e Auditoria sem xito.
Figura 10.4 O console Visualizar eventos.
4. D um clique no log Aplicativo. Ser exibida uma listagem com os diversos
eventos gerados pelos aplicativos instalados no Windows Server 2003.
5. D um clique no log Segurana. Ser exibida uma listagem com os diversos
eventos gerados pelas diversas opes de auditoria de segurana que esto
habilitadas no servidor (mais adiante voc aprender a configurar estas
diretivas de segurana). Por padro o Windows Server 2003 j habilita uma
srie de auditorias relacionadas com segurana (diferente do que acontece,
por exemplo, no Windows XP Professional, onde, por padro, nenhum evento
de segurana est habilitado para ser auditado, isto , para ter eventos gravados
no log de segurana).
6. D um clique no log Sistema. Ser exibida uma listagem com os diversos
eventos gerados pelo prprio Windows Server 2003, conforme exemplo da
Figura 10.5:
NOTA: Observe que alm dos log
padro: Application (Aplicativo),
Security (Segurana) e System
(Sistema), tambm existem logs
para o DNS, Directory Service
(Servios de Diretrio) e para o
servio de replicao de arquivos,
que a equipe de traduo insiste em
traduzir como Servio de duplicao
de arquivos. O servidor que estou
utilizando no exemplo um DC, por
isso os logs do DNS (que est
instalado no prprio DC) e do
servio de diretrio. O logo do
servio de replicao de arquivos foi
instalado quando utilizei o DFS para
criar rplicas de algumas pastas
compartilhadas. O DFS utiliza o
servio de replicao de arquivos do
Windows Server 2003, para manter
as diversas rplicas sincronizadas,
isto , quando alteraes so feitas
em arquivos de uma rplica, o
servio de replicao de arquivos
que repassa estas alteraes para
as demais rplicas. Observe que
cada log ocupa um determinado
espao em disco. No exemplo da
Figura 10.5 Eventos gerados pelo Windows Server 2003.
7. A listagem de eventos pode ser facilmente classificada de acordo com vrios
critrios, conforme exemplificarei mais adiante.
Observe que existem diversas colunas de informao para cada evento. Da esquerda
para a direita, temos, por padro, as seguintes colunas: Tipo, Data, Hora , Fonte,
Categoria, Evento, Usurio e Computador.
Descrio das colunas padro, dos logs do Windows Server 2003:
Tipo: Uma classificao da gravidade do evento. Pode ser um dos seguintes
tipos: Erro, Informaes ou Aviso nos logs do sistema ou do aplicativo,
Auditoria com xito ou Auditoria sem xito no log de segurana. No modo
de exibio de lista normal de Visualizar eventos, cada um destes tipos
representado por um cone diferente, conforme j descrito anteriormente.
Data: A data na qual o evento ocorreu, conforme a configurao de data/
hora do sistema.
Figura 10.4 o log de segurana o
que ocupa o maior espao (48,0
MB). Mostrarei mais adiante, que o
administrador pode configurar o
espao mximo que cada log pode
ocupar e o que fazer com os eventos
mais antigos, quando o espao
mximo atingido.
Hora: A hora local na qual o evento ocorreu, conforme a configurao de data/hora do sistema..
Fonte: O software que registrou o evento, que pode ser um nome de programa, como o SQL Server, ou um
componente do sistema ou de um grande programa, como um nome de driver.
Categoria: Uma classificao do evento definida pela fonte do evento. Essa informao usada principalmente
no log de segurana. Por exemplo, para auditorias de segurana, isso corresponde a um dos tipos de eventos
que podem ser gravados para o log de segurana: Com sucesso ou Sem sucesso.
Evento: Um nmero que identifica o tipo de evento especfico. A primeira linha da descrio normalmente
contm o nome do tipo de evento. Por exemplo, 6005 a identificao do evento que ocorre quando o servio
Log de eventos iniciado. A primeira linha da descrio de um evento O servio Log de eventos foi iniciado.
A identificao do evento e a fonte podem ser usadas pela equipe de suporte para solucionar problemas do
sistema.. No site http://support.microsoft.com voc pode pesquisar maiores detalhes sobre um determinado
nmero de evento.
Usurio: O nome de usurio em nome do qual o evento ocorreu. Este nome a identificao de cliente se o
evento foi realmente causado por um processo do servidor ou a identificao primria se a representao no
estiver ocorrendo. Quando aplicvel, uma entrada de log de segurana conter as identificaes primrias e de
representao, ou seja, o nome de logon do usurio. A representao ocorre quando o Windows Server 2003
permite que um processo assuma os atributos de segurana de outro. Por exemplo, se voc estiver fazendo uma
auditoria, para descobri todos os eventos de tentativa de logon no domnio, com sucesso ou com falha, de um
determinado usurio, digamos jsilva. Neste caso, voc ter que acessar o log de Segurana de todos os DCs do
domnio (j que no existe um sistema centralizado de logs, dentro do domnio) e aplicar um filtro, para que
sejam exibidos apenas os eventos cuja campo Usurio seja jsilva. Em seguida voc pode exportar os resultados
obtidos em cada DC para um arquivo de texto e importar todos os arquivos de texto no Excel ou no Access,
para consolidar todos os eventos para o usurio jsilva e poder fazer pesquisas nestes dados.
Computador: O nome do computador onde o evento foi gerado. O nome do computador normalmente seu
prprio nome, a menos que voc esteja visualizando um log de eventos em outro computador da rede.
8. Se voc clicar no cabealho da coluna Tipo, por exemplo, a listagem de eventos ser classificada pelo tipo de
evento, isto , todos os eventos de erro juntos, todos os eventos de informao juntos e todos os eventos de aviso
juntos e assim por diante. Alm disso surge uma setinha ao lado da palavra Tipo, indicando que a listagem est
classificada pela coluna Tipo, conforme indicado pela Figura 10.6. Voc pode classificar a listagem, por qualquer
uma das colunas, bastando para isso clicar no ttulo da respectiva coluna.
Figura 10.6 Eventos classificados pelo tipo.
9. Para exibir os detalhes de um evento, basta dar um clique duplo no respectivo evento. O Windows Server 2003
abre uma janela com informaes detalhadas sobre o evento, qual a sua origem, causa e qual o usurio relacionado.
Observe na Figura 10.7, onde so exibidos os detalhes sobre um evento de segurana do tipo Auditoria sem xito,
devido a uma falha de logon do usurio Administrador. Conforme o prprio evento informa, a causa mais provvel
foi uma senha digitada incorretamente.
Figura 10.7 Detalhes sobre um evento de segurnaa do tipo Auditoria sem xito.
Figura 10.8 A janela para configurar as colunas a serem exibidas.
Para remover uma coluna, marque-a na lista Colunas exibidas e clique no boto Remover. Para adicionar uma coluna,
marque-a na lista Colunas disponveis e clique em Adicionar. Voc pode alterar a posio das colunas, marcando a
coluna na lista Colunas exibidas e utilizando os botes Mover para cima e Mover para baixo.
11. Faa as configuraes desejadas e clique em OK.
12. Feche o console para visualizao dos eventos.
Exerccio: Abra novamente o Visualizador de eventos e navegue pelos diferentes Logs: Aplicativo, Segurana e Sistema.
D um clique duplo sobre alguns eventos e verifique os detalhes sobre o evento. V para a opo Aplicativo e classifique
a listagem pelo Tipo, depois pela Data.
Habilitando/configurando os eventos do log de segurana.
Conforme foi descrito no item anterior, o Windows Server 2003 permite que o administrador configure quais eventos
de segurana devem e quais no devem ser auditados. Para que sejam auditadas determinadas aes ligadas com a
segurana - tais como tentativas de logon e acesso a arquivos e pastas algumas diretivas tem que ser habilitadas. As
opes de segurana, so habilitadas atravs de diretivas de segurana, configuradas via GPO.
Em um computador com o Windows Server 2003, configurado como member server ou como standalone server, deve
ser utilizado o console Local Security Policy (Diretiva de segurana local), acessada atravs da opo Ferramentas
administrativas.
No exemplo deste item utilizarei o console Domain Security Policy (Diretivas de Segurana do Domnio). Com isso
estou configurando opes que sero vlidas para todos os computadores (clientes e servidores do domnio). Depois
farei uma tentativa de logon com uma senha errada e voc observar se foi gerado um evento no log de segurana.
Ento mos a obra.
10. Voc pode configurar quais colunas de informao so exibidas para cada evento. Selecione o comando Exibir -
> Adicionar/Remover Colunas... Ser exibida a janela indicada na Figura 10.8, onde, por padro, so exibidas
todas as colunas.
Neste exemplo mostrarei como habilitar algumas opes de auditoria, as quais
no esto habilitadas por padro. Por exemplo, a auditoria do acesso arquivos e
pastas no habilitado por padro. Para que o administrador possa auditar o acesso
a pastas e arquivos (isto , fazer com que sejam gravados eventos no log de eventos,
quando os usurios acessam uma determinada pasta e seus arquivos), primeiro o
administrador tem que habilitar uma diretiva de auditoria, para que o Windows
Server 2003 passe a auditar o acesso a pastas e arquivos. Outro exemplo seria a
auditoria do uso de impressoras, a qual por padro tambm desabilitada. Neste
exemplo, mostrarei quais os passos para que o administrador possa habilitar as
diretivas de auditoria e apresentarei uma descrio das diretivas disponveis.
Exemplo: Para habilitar a auditoria de eventos de segurana, siga os seguintes
passos:
2. Abra o console Diretivas de segurana de domnio: Iniciar -> Ferramentas
Administrativas -> Polticas de Segurana do Domnio.
3. Ser aberta a janela Configuraes de segurana padro de Domnio, conforme
NOTA: Se voc estiver em um
Controlador de Domnio, com o Win-
dows 2000 Server ou como Win-
dows Server 2003 instalado, voc
tem duas opes. Pode ser utilizada
a opo Domain Controller Security
Policy (Diretivas de segurana de
controlador de domnio), do menu
Administrative Tools (Ferramentas
Administrativas). Com esta opo
voc est configurando diretivas
vlidas somente para o controlador
de domnio no qual voc est
logado. Tambm pode ser utilizada
a opo Domain Security Policy
(Diretivas de Segurana de
Domnio), do menu Administrative
Tools (Ferramentas
administrativas). Com esta opo
vlidas para todo o domnio.
IMPORTANTE: Porm no basta
habilitar as diretivas. Por exemplo,
no basta habilitar a diretiva que
orienta o Windows Server 2003 a
monitorar o acesso a pastas e
arquivos. Depois de habilitada a au-
ditoria, o administrador tem que
definir quais pastas e arquivos devem
ser monitoradas (por padro
nenhuma pasta monitorada, mesmo
aps a respectiva diretiva de
segurana ter sido habilitada) e para
quais usurios e grupos deve ser feito
o monitoramento. Esta segunda etapa
na configurao de auditoria de acesso
a pastas, arquivos e impressoras ser
descrita em exemplos mais adiante,
neste captulo.
Figura 10.9 O console para configuraes das diretivas de segurana do domnio.
4. Clique no sinal de + ao lado da opo Configuraes de segurana, para
exibir as opes disponveis. Clique no sinal de + ao lado da opo Diretivas
locais, para exibir as opes disponveis.
5. Nas opes que surgem, d um clique na opo Diretivas de auditoria . No
painel da direita so exibidas as vrias diretivas de auditoria disponveis, as
quais so indicadas na Figura 10.10 e explicadas logo a seguir. Observe ao
lado do nome de cada diretiva, o status No-definido, indicando que no
existe definio para esta diretiva, isto , esta diretiva estivesse desabilitada.
Figura 10.10 Opes para configurao das Diretivas de auditoria.
A seguir apresento uma descrio das diretivas de auditoria disponveis:
Audit account logon events (Auditoria de eventos de logon de conta):
Com esta opo voc pode configurar se os eventos de logon devem ou
no ser auditados. So considerados eventos de logon, qualquer logon
feito em uma estao de trabalho da rede, que pertena ao domnio e com
uma conta do domnio.
Conforme descrito anteriormente, a validao do logon feita nos DCs,
onde est instalado o Active Directory. Neste caso se o usurio jsivla fizer
o logon com a sua conta de domnio, na sua estao de trabalho, um evento
de logon ser gerado para este usurio. Alm disso voc define se devem
ser auditados os eventos com sucesso (quando o usurio faz o logon
normalmente) ou com falha (quando o usurio no consegue fazer o logon,
por exemplo, por ter digitado uma senha incorreta). Para configurar esta
auditoria, basta dar um clique duplo nela. Ser aberta a janela Propriedades
de Eventos de logon de conta de auditoria (a confuso no nome por
conta da equipe de traduo). Para habilitar esta diretiva voc deve marcar
a opo Definir as configuraes dessas diretivas (o plural tambm por
conta da equipe de traduo). Ao marcar esta opo, sero habilitadas as
opes xito e Falha. Para passar a registrar os eventos de logon com
sucesso, marque a opo xito. Com isso sempre que um usurio fizer
um logon no domnio, com sucesso, ser registrado um evento no log de
eventos do DC que autenticou o usurio. Para passar a registrar os eventos
de falha de logon, marque a opo Falha. Com isso, sempre que um usurio
fizer uma tentativa de logon sem sucesso, ser registrado um evento no
log de eventos do DC onde a tentativa de logon foi feita. Na Figura 10.11
exibida a janela de propriedades desta diretiva e as opes que podem
NOTA: Estas opes de auditoria
tambm poderiam ser configuradas
atravs da GPO (Group Policy
Objetc) padro do domnio. No
Captulo 9 voc teve uma introduo
ao assunto GPO, focando nos pontos
cobrados no Exame 70-290. Para
um estudo completo sobre GPOs,
consulte o Captulo 18 do meu livro:
Completo, 1568 pginas.
IMPORTANTE: O nome correto
desta auditoria Auditoria de
eventos de logon de conta, porm
no console Configuraes padro de
segurana do domnio, esta diretiva
aparece, incorretamente, com o
seguinte nome: Eventos de logon de
conta de auditoria. Esta mais uma
prola da traduo, que contribui
para tornar confuso um recurso que
fcil de utilizar.
ser configuradas para esta auditoria. Aps ter definido as configuraes
desejadas, basta clicar em OK. O mais comum para este diretiva habilitar
tanto os eventos de sucesso, quanto os eventos de falha, para que fique
registrado no log do servidor, todos os eventos de logon, que seja com
sucesso, quer seja com falha.
IMPORTANTE: muito
importante que voc conhea este
ponto, ou seja, para fazer a audito-
ria de eventos de logon de contas
do domnio, a diretiva a ser
habilitada a diretiva Auditoria de
eventos de logon de conta. Existe
uma outra auditoria, com um nome
semelhante Auditoria de eventos
de logon, porm esta segunda
usada para fazer a auditoria de
eventos de logon usando contas
locais dos computadores e no as
contas do domnio. Certifique-se de
que voc entendeu bem a diferena
entre estas duas diretivas, pois este
um ponto importante para o
exame.
Figura 10.11 Opes para a diretiva de auditoria de eventos de logon.
Audit account management (Auditoria de gerenciamento de contas): Esta diretiva determina se deve ser feita
a auditoria de cada evento de gerenciamento de conta de um usurio, grupo ou computador do domnio. Os
exemplos de eventos de gerenciamento de conta incluem: criao ou alterao de uma conta, renomeao de
uma conta, ativao/desativao da conta, incluir um usurio em um grupo ou retirar o usurio de um grupo,
o administrador definir a senha de uma conta e assim por diante.
As configuraes padro para esta diretiva so as seguintes:
Sucesso em controladores de domnio.
Sem auditoria nos Member Servers
Para configurar esta auditoria, basta dar um clique duplo nela. Ser aberta a janela de propriedades da auditoria.
Para habilitar esta diretiva voc deve marcar a opo Definir as configuraes dessas diretivas. Ao marcar esta
opo, sero habilitadas as opes xito e Falha. Para passar a registrar os eventos de gerenciamento de contas
com sucesso, marque a opo Sucesso. Com isso sempre que o administrador ou outro usurio com as devidas
permisses, fizer alteraes em uma conta, um evento ser gravado no log de eventos Para passar a registrar os
eventos de falha de gerenciamento de contas, marque a opo Failure. Com isso, sempre que o administrador ou
um usurio sem as devidas permisses, fizer uma tentativa alterar uma conta, ser registrado um evento no log de
eventos. Na Figura 10.12 exibida a janela de propriedades desta auditoria e as opes que podem ser configuradas
para esta auditoria. Aps ter definido as configuraes desejadas, basta clicar em OK. O mais comum para esta
diretiva habilitar apenas o log dos eventos sem sucesso, ou seja, de tentativas que um usurio faz de alterar
contas do domnio, sem ter as devidas permisses para isso. Esta situao pode acontecer quando, por exemplo,
um usurio est tentando alterar a senha de outro usurio para fazer um logon com a conta deste segundo usurio.
Figura 10.12 Opes para a diretiva de auditoria de eventos de gerenciamento de contas.
Auditoria de acesso ao servio de diretrio: Define se sero auditadas tentativas de acesso com sucesso, com
falha ou ambas, a objetos do Active Directory, para os quais tenha sido habilitada a auditoria dos acessos. O
Acrive Direcotry, conforme explicado no Captulo 02, a base de dados na qual ficam armazenados uma srie
de objetos, como por exemplo: contas de usurios, grupos de usurios, Unidades organizacionais, domnios,
sites, etc. Por exemplo, podemos implementar uma poltica para detectar tentativas de alterao sem sucesso,
nas contas que fazem parte do grupo Administradores. Por padro esta poltica est desabilitada para
controladores de domnio e indefinida para os demais computadores. Um cuidado que deve ser tomado o de
habilitar somente as auditorias realmente necessrias, de acordo com a poltica de segurana da empresa, pois
se forem habilitadas auditoria em um grande nmero de objetos, pode haver uma queda de desempenho, alm
de um crescimento exagerado no tamanho do log de segurana. Por padro esta auditoria est desabilitada.
Audit logon events (Auditoria de eventos de logon): Esta diretiva determina se deve ser feita a auditoria de
cada instncia de logon ou logoff de usurio, bem como de qualqure conexo de rede com o computador local,
ou no caso com o DC que eu estou utilizando. Se voc estiver registrando no log os eventos da Auditoria de
eventos de logon de conta com xito em um controlador de domnio, as tentativas de logon de um usurio, a
partir da sua estao de trabalho no geraro auditorias de logon (as quais sero geradas se a diretiva Auditoria
de eventos de logon de conta, descrita anteriormente, estiver habilitada) . Somente tentativas de logon de rede
e interativas no prprio controlador de domnio geraro eventos de logon. Resumindo, Auditoria de eventos de
logon de conta so gerados no local onde reside a conta; ou seja, no DC. Eventos de logon so gerados no local
onde ocorre a tentativa de logon. Se for um logon interativo no DC, no prprio DC, se for um logon interativo
em um member server, no log de auditoria local do member server. Voc pode configurar para que sejam
auditadas tentativas de logon com sucesso, com falha ou ambas. No caso de um computador com o Windows
Server 2003, as tentativas de logon so consideradas as tentativas locais ou tentativas feitas via Terminal
Service Client.
Audit object access (Auditoria de acesso a objetos): Determina se deve
ser feita a auditora do acesso de um usurio a um objeto por exemplo,
um arquivo, uma pasta, uma chave da Registry, uma impressora etc. So
considerados objetos, todos aqueles elementos que possuem uma ACL
Access Control List (Lista de Controle de Acesso). Por exemplo, uma
pasta em uma partio NTFS, onde so definidas permisses de acesso
(alm de habilitar esta diretiva, posteriormente a pasta deve ser configurada
para registrar eventos de acesso no log de auditoria, conforme exemplo
mais adiante). Se voc definir esta configurao de diretiva, poder
especificar se haver auditoria de acessos com xito, acessos sem xito
ou se no ocorrer auditoria desse tipo de evento. As auditorias com xito
geram uma entrada de auditoria quando um usurio acessa com xito um
objeto. Por exemplo, o usurio tem permisso de leitura em um arquivo e
ele acessa o arquivo para leitura. Este um evento com sucesso. As
auditorias sem xito geram uma entrada de auditoria quando um usurio
tenta acessar sem xito um objeto, como por exemplo, tentar imprimir em
uma impressora na qual ele no tem permisso ou tentar alterar um arquivo
para o qual ele tenha apenas permisso de leitura. interessante observar
que a definio de Auditoria de acesso a objetos ocorre em duas etapas.
Primeiro o administrador deve habilitar esta diretiva, para acessos com
sucesso, com falha ou ambos. Em seguida, em cada objeto (pasta,
impressora, arquivo, etc) a ser auditado, o administrador deve configurar
a auditoria e especificar quais usurios ou grupos devem ser monitorados.
Apenas habilitar a diretiva no far com que o acesso aos objetos sejam
auditados. Por padro esta diretiva est desabilitada.
IMPORTANTE: Vou insisitir neste
ponto. Lembre-se que a diretiva
Auditoria de eventos de logon de
conta utilizada para fazer audito-
ria de logon de contas do domnio,
j a diretiva Auditoria de eventos
de logon, utilizada para a audito-
locais.
Audit policy change (Auditoria de alterao de diretivas): Determina se deve ser feita a auditoria das alteraes
efetuadas nas diretivas de segurana. O normal habilitar a auditoria de eventos sem sucesso, para tentar
identificar tentativas de alterao das diretivas, por usurios no autorizados. Alterar as diretivas uma das
maneiras de criar brechas na segurana do sistema, por isso somente usurios autorizados devem ter este nvel
de permisso.
Audit process tracking (Auditoria de controle de processos): Determina se deve ser feita a auditoria de
informaes de controle de eventos detalhadas, como ativao de programas, trmino de processo, duplicao
de identificador e acesso indireto a objeto. Esta diretiva utilizada para fazer uma auditoria dos progrmas que
esto rodando no computador, na tentativa de detectar usurios que esto tentando utilizar programas para os
quais eles no tem permisso ou tentando isntalar processos que possam abrir o servidor para ataques de
segurana.
Audit system events (Auditoria de eventos de sistema): Determina se deve ser feita a auditoria quando um
usurio reiniciar ou desligar o computador, ou quando ocorrer um evento que afete a segurana do sistema ou
o log de segurana.
Audit privilege use (Auditoria de uso de privilgios): Determina se deve ser feita a auditoria de cada instncia
do uso de um direito do usurio. Direitos (rights) so permisses especiais, como por exemplo incluir um
computador como membro de um domnio, fazer o logon interativamente nos controladores de domnio, alterar
a hora dos servidores e assim por diante. Estes direitos podem ser configuradas pelo Administrador, o qual
pode dar estes direitos para determinados usurios ou grupos.
Feita a descrio das vrias diretivas, vamos continuar o nosso exemplo.
6. No painel da direita, localize uma diretiva chamada Eventos de logon de conta de auditoria (uma maravilhosa
traduo) e d um clique duplo para abri-la. Ser exibida a janela com as configuraes atuais para esta diretiva.
7. Marque as opes conforme indicado na Figura 10.13 e d um clique em OK para habilitar a auditoria de eventos
de logon de contas do domnio. Observe que est sendo habilitada a auditoria tanto para os eventos com sucesso
quanto para a falha no logon.
Figura 10.13 Habilitando a auditoria de eventos de logon.
8. Voc deve ter voltado para o console Configuraes locais de segurana. Observe que ao lado da diretiva, o status
agora aparece como sendo xito, Falha, diferente do status anterior que era No-Definido. Isso indica que esta
auditoria est habilitada tanto para eventos de sucesso quanto falha de logon.
9. Feche o console para configurao das diretivas de segurana do domnio.
Agora hora de testar se o Windows Server 2003 est fazendo a auditoria de eventos de logon. Farei o logon como
usurio user02 (utilize um usurio qualquer da sua rede, com permisso de logon no DC) e vou informar uma senha
incorreta, para simular uma falha na tentativa de logon. O Windows Server 2003 vai dizer que no pode efetuar o
logon. Depois vou fazer o logon como Administrador e verificar no log de segurana se existe um evento para a
tentativa de logon sem sucesso.
Exemplo: Para gerar um evento de falha de logon e verificar se o evento foi gravado no log de Segurana do Windows
Server 2003.
1. Se estiver logado como Administrador faa o logoff.
2. Tente fazer o logon como usurio user02 (utilize um usurio cadastrado na sua rede), mas digite uma senha
incorreta.
3. O Windows Server 2003 informa que o logon no pode ser feito.
4. Agora faa o logon como Administrador (desta vez digite a senha correta).
Figura 10.14 Falha na tentativa de logon do usurio user2.
9. Para ver uma descrio completa do evento, voc pode copiar o texto do evento para a rea de transferncia do
Windows Server 2003. Para isso clique no boto Copiar (boto com o desenho de duas folhas sobrepostas, logo
abaixo do boto com uma seta para baixo). Depois abra o Bloco de notas e selecione o comando Editar -> Colar.
Para o nosso exemplo, obteremos o texto indicado a seguir:
Tipo de evento: Auditoria sem xito
Fonte de evento: Security
Categoria do evento: Logon/logoff
Id. do evento: 529
Data: 14/4/2002
Hora: 14:00:38
Usurio: AUTORIDADE NT\SYSTEM
Computador: MICROXP01
Descrio:
Falha de logon:
Razo: Nome de usurio desconhecido ou senha incorreta
Nome de usurio: user2
Domnio: MICROXP01
Tipo de logon: 10
6. D um clique na opo Segurana.
7. Na listagem de eventos, procure o primeiro evento do tipo Auditoria sem xito. D um clique duplo sobre o
evento para exibir os seus detalhes.
8. Este evento descreve a tentativa de logon, sem sucesso, do usurio user02, conforme pode ser visto na Figura
10.14.
Processo de logon: User32
Pacote de autenticao: Negotiate
Nome da estao de trabalho: MICROXP01
Para obter mais informaes, visite o Centro de ajuda e suporte em http://go.microsoft.com/fwlink/events.asp.
Observe o seguinte trecho do texto:
Razo: Nome de usurio desconhecido ou senha incorreta
Este trecho indica, com preciso, o motivo que gerou o evento: uma falha de logon devido a um nome de usurio
desconhecido ou senha incorreta. No nosso exemplo o problema foi devido a uma senha digitada incorretamente.
10. D um clique em OK para fechar a janela com os detalhes do evento.
11. Feche o Visualizador de eventos.
Recomendaes da Microsoft, para configuraes de auditoria.
Na documentao oficial do Windows Server 2003, voc encontra algumas
recomendaes sobre as opes de auditoria que devem ser habilitadas. A seguir
coloco estas recomendaes.
Recomendaes da documentao Oficial do Windows Server 2003, sobre audi-
toria de eventos:
Para minimizar o risco de ameaas segurana, h diversas medidas de auditoria
que podem ser tomadas. A seguir exibida uma lista dos vrios eventos para os
quais aconselhado que seja feita uma auditoria, bem como a ameaa especfica
segurana que o evento de auditoria monitora. Na verdade no a auditoria que
ir reduzir os riscos. As informaes obtidas a partir da auditoria de segurana,
permitem que o administrador tome as medidas necessrias para reduzir os riscos
de segurana e bloquear ataques contra a segurana.
NOTA: Por padro somente
usurios com permisso de
administrador, tem permisso para
acessar os eventos do log
Segurana. Os demais logs:
Aplicativo e Sistema, podem ser
acessados por qualquer usurios.
Auditoria de falha ao fazer logon/logoff : Serve como preveno para uma violao por senha aleatria, isto ,
para programas que tentam vrias senhas, na tentativa de adivinhar a senha do usurio. A melhor maneira de
se prevenir deste tipo de ataque configurando as polticas de senha, para que a senha seja bloqueada aps trs
ou quatro tentativas de logon sem sucesso, conforme descrito em detalhes no Captulo 4.
Auditoria de xito ao fazer logon/logoff : Serve com uma proteo para o caso de violao por senha roubada,
ou seja, para detectar quando um usurio conseguiu descobrir a senha de outro(s) usurio(s). Tambm serve
como um registro das atividades de logon no domnio, de tal maneira que seja possvel identificar usurios que
esto fazendo o logon fora do horrio normal de trabalho. Por exemplo, um usurio que est chegando duas
horas antes do expediente ou est vindo noite na empresa, merece um acompanhamento mais cuidadosa.
Auditoria em caso de xito em eventos de uso de privilgios, gerenciamento de usurios e grupos, diretivas de
alterao de segurana, reinicializao, desligamento e sistema: Utilizada para detectar o uso incorreto dos
privilgios, ou a tentativa de utilizar estes privilgios, por usurios no autorizados. Por exemplo, para detectar
se um usurio que no tem permisso para instalar novos programas, est tentando instalar programas ou para
detectar se um usurio que no tem permisso para alterar senhas est tentando alterar a senha das contas de
outros usurios.
Auditoria em caso de xito ou falha para eventos de acesso a arquivos e objetos. Auditoria em caso de xito ou
falha do Gerenciador de arquivos no acesso de leitura/gravao a arquivos confidenciais por usurios ou
grupos suspeitos: Utilizada para monitorar o acesso indevido a arquivos confidenciais, como por exemplo o
banco de dados com informaes sobre salrios, finanas ou com os dados da contabilidade da empresa. Por
exemplo, voc pode definir que sejam auditados os acessos a uma pasta que contm documentos de pesquisas
e desenvolvimentos de novos produtos da empresa, para detectar se algum est tentando acessar estas
informaes sem ter permisso de acesso para tal. Isso pode indicar uma tentativa de espionagem.
Auditoria em caso de xito ou falha para eventos de acesso a objetos e impressoras com acesso a arquivos.
Auditoria em caso de xito ou falha do Gerenciador de impresso no acesso a impressoras por usurios ou
grupos suspeitos: Utilizada para detectar o acesso imprprio a impressoras, como por exemplo um usurio
tentando imprimir um grande nmero de cpias aps o expediente, o que normalmente caracteriza o uso da
impressora da empresa para impresso de trabalhos pessoais.
Auditoria em caso de xito ou falha no acesso gravao de arquivos de programa (extenses .exe e .dll).
Auditoria em caso de xito ou falha no controle de processos: Execuo de programas suspeitos; anlise do
log de segurana para verificar se h tentativas inesperadas de modificar arquivos de programa ou criar processos
inesperados. Execuo apenas quando o log do sistema estiver sendo monitorado ativamente: Utilizada para
detectar quaisquer tentativas de modificar arquivos fundamentais para o funcionamento do Windows Server
2003, o que pode acontecer, por exemplo, no caso de uma infeco por vrus.
Estas so apenas recomendaes gerais. A poltica de segurana da empresa que ir definir, dentro das necessidades
de cada empresa, quais eventos sero auditados e qual a forma de anlise destes eventos.
Filtrando eventos nos logs de auditoria.
A medida que eventos vo sendo gravados nos diferentes logs, a lista de eventos vai ficando bastante extensa, e com
isso fica mais difcil para localizar um determinado evento. Podem existir situaes em que o administrador est
interessado em um nico tipo de evento, ou eventos relacionados com um determinado servio ou programa, ou ainda
somente eventos gerados por um determinado usurio ou computador. Por exemplo, pode ser que o administrador
precise visualizar apenas os eventos sobre tentativas de logon sem xito, ou eventos relacionados ao SQL Server 2000,
ou ainda todos os eventos de logon para a conta jsilva e assim por diante.
No Visualizador de eventos, possvel filtrar os eventos de acordo com determinados critrios, de tal forma que
somente sejam exibidos os eventos que esto de acordo com os critrios especificados. Muitas vezes quando o
administrador est tentando solucionar um determinado problema, pode ser til fazer que sejam exibidos apenas os
eventos de erro, ou mais especificamente, os eventos de erro relacionados com o servio e/ou programa que est
apresentando problemas. O administrador tambm pode filtrar os eventos de segurana por tipo, como por exemplo:
somente com sucesso ou somente com falha e assim por diante. Existem diversas opes de filtragem, conforme
mostrarei nos exemplos prticos, logo a seguir.
Exemplo - Para filtrar os eventos do log do sistema, pelo tipo de evento, siga os passos
indicados a seguir:
3. D um clique na opo Sistema.
4. Observe que esto sendo exibidos eventos de trs diferentes tipos: Erro, Informao e Aviso, conforme indicado
pela Figura 10.15:
Figura 10.15 Listagem exibindo eventos de Erro, Informao e Aviso.
5. Vou fazer com que sejam exibidos somente os eventos do tipo Erro.
6. Selecione o comando Exibir -> Filtro...
7. Ser exibida a janela Propriedades do Sistema, com a guia Filtro selecionada, conforme indicado na Figura 10.16.
Figura 10.16 Janela para definir critrios de filtragem.
8. Na parte de cima da janela, onde exibido o grupo de opes Tipos de eventos, desmarque todas as opes, com
exceo da opo Erro. Neste grupo esto as opes para definir quais tipos de eventos sero exibidos. Como
quero exibir apenas os eventos do tipo Erro, estou deixando marcada apenas a opo Erro.
A lista Fonte do evento permite identificar o software ou servio que registrou o evento em log. Este software pode ser
um aplicativo ou um componente do sistema, como um driver de Hardware, por exemplo. Por padro, todas as fontes
so registradas em log. Para identificar o software que registrou um evento em log, clique com o boto direito do
mouse no evento e, em seguida, clique em Propriedades. Se voc selecionar uma opo nesta lista, sero exibidos
apenas os eventos para a opo selecionada. Por exemplo, se voc deseja exibira apenas eventos de Erro associados
com o CD-ROM, voc marcaria a opo Erro e na lista Fonte de evento, selecionaria CD-ROM.
A lista Categoria lista a categoria do evento, conforme definido pela fonte. Por padro, todas as categorias so registradas em log.
Para identificar a categoria de um evento, clique com o boto direito do mouse no evento e, em seguida, clique em Propriedades.
O Campo Identificao do evento especifica o nmero do evento de um evento especfico. O nmero do evento ajuda a equipe
de suporte tcnico a rastrear os eventos no sistema. Para conhecer a Id. do evento, clique com o boto direito do mouse no evento
e, em seguida, clique em Propriedades. Para uma descrio associada com o Id do evento, consulte os manuais do programa (ou
do Hardware) ao qual o evento se refere. Para pesquisar pelo ID dos eventos gerados pelo Windows Server 2003 ou por um dos
produtos da Microsoft (SQL Server, Exchange Server, etc.), consulte o site http://support.microsoft.com.
O campo Usurio fornece um espao para voc digitar um texto que corresponde exatamente ao texto no campo Nome
de usurio, isto , o nome de logon do usurio. Este campo no diferencia maisculas de minsculas. Para identificar
o usurio de um evento, clique com o boto direito do mouse no evento e, em seguida, clique em Propriedades. Por
exemplo, voc pode fazer com que sejam exibidos, apenas os eventos relacionados a um determinado usurio que est
sob investigao, por sucessivas tentativas de acessar arquivos para os quais ele no tem autorizao.
O campo Computador permite que voc especifique o nome exato do computador em que ocorreu o evento registrado.
Este campo no diferencia maisculas de minsculas. Para identificar o computador em que ocorreu um evento,
clique com o boto direito do mouse no evento e, em seguida, clique em Propriedades.
Nos campos De e At, voc pode limitar o perodo para o qual voc quer que os logs sejam exibidos. O boto Restaurar
Padres utilizado para restaurar as configuraes originais de filtragem para o Windows Server 2003.
9. Clique no boto OK para aplicar o filtro.
Voc ter voltado para o Visualizador de eventos. Observe que somente os eventos do tipo Erro so exibidos, conforme
indicado pela Figura 10.17:
Figura 10.17 Somente os eventos do tipo Erro sendo exibidos.
10. Repita as passos de 6 at 9, s que ao invs de deixar marcada a opo Erro, deixe marcada a opo Informaes.
11. Ao dar um clique em no boto OK, ser exibida uma listagem do log do sistema, apenas com os eventos do tipo
Informao.
12. Para voltar a exibir todas os eventos, d um clique com o boto direito do mouse na opo Sistema e, no menu
que surge aponte para Exibir, e no menu Exibir d um clique na opo Todos os Registros.
13. Feche o visualizador de eventos.
NOTA: Se voc fechar o
Visualizador de eventos, todos os
filtros sero eliminados. Com isso,
na prxima vez que o Visualizador
de eventos for aberto, todos os
eventos estaro sendo exibidos,
sem a aplicao de filtros.
Outro critrio importante que pode ser utilizada para a filtragem dos eventos a
Origem do evento (Event Source). Por exemplo, todos os eventos relacionados
com impressoras tem como origem Print. Eventos relacionados com discos rgidos
tem como origem disk e assim por diante. O fato de ser possvel filtrar os eventos
de acordo com a sua origem, facilita o trabalho de deteco de problemas, pois
permite que sejam exibidos somente os eventos relacionados ao item que est
apresentando problema.
Exemplo: Para filtrar os eventos do log do sistema pelo origem do evento, siga os
2. Abra o console Visualizar eventos: Iniciar -> Ferramentas Administrativas -
> Visualizar eventos.
3. Farei com que sejam exibidos somente os eventos cuja origem ntfs, isto ,
eventos ligados com o sistema de arquivos NTFS.
4. Selecione o comando Exibir -> Filtro...
5. Ser exibida a janela Propriedades do Sistema, com a guia Filtro selecionada
7. Na lista Fonte do evento, selecione ntfs, conforme indicado na Figura 10.18:
Figura 10.18 Selecionando eventos cuja origem ntfs.
8. D um clique no boto OK para aplicar o filtro.
9. Na listagem que surge, observe que somente so exibidos eventos cuja origem ntfs. isso pode ser confirmado
observando-se a coluna Origem.
10. D um clique duplo sobre qualquer um dos eventos, para abrir a janela com detalhes sobre o evento.
11. Observe na mensagem para ver se o evento realmente tem a ver com o sistema de arquivos ntfs.
12. Na janela da Figura 10.19, coloquei um exemplo de um evento que foi gerado, onde a origem o sistema de
arquivos NTFS (observe o campo Fonte, onde o valor ntfs).
Figura 10.19 Evento em que a origem o sistema de arquivos NTFS.
Configurando as propriedades do log.
Existem algumas propriedades importantes dos logs que podem ser configuradas.
A medida que novos eventos vo sendo gravados no log, o tamanho do log vai
aumentando. O log consome espao no disco rgido. Se nos permitssemos que o
log crescesse indefinidamente, poderamos chegar a uma situao em que o espao
em disco iria se esgotar.
Para evitar que isso acontea o administrador pode definir um tamanho mximo
para cada log e definir qual o comportamento do log, quando este tamanho mximo
for atingido. Por exemplo, o administrador define o tamanho mximo que cada
IMPORTANTE: A aplicao de
filtros funciona de maneira
independente entre os diferentes
logs. Por exemplo, se voc aplicar
um filtro para o log Sistema, o filtro
no tem efeito sobre o log Aplicativo
ou sobre o log Segurana.
log pode ocupar, uma vez atingido o tamanho mximo o que fazer continuar gravando e sobrescrever os eventos
mais antigos ou parar de gravar e descartar novos eventos ou at mesmo fazer com que o Windows Server 2003 pare,
at que seja liberado espao no log.
Essas configuraes tambm so independentes para cada tipo de log. Por exemplo o Log de sistema pode ter um
tamanho mximo diferente dos demais logs.
Agora hora de praticar um pouco para aprender a configurar essas propriedades dos logs.
Exemplo - Para definir o tamanho mximo e o local onde o Log gravado, siga os passos
indicados a seguir:
3. Agora vou definir um tamanho mximo para o log Sistema.
4. D um clique com o boto direito do mouse no log Sistema. No menu que surge d um clique em Propriedades.
Ira surgir a janela de propriedades do log Sistema, indicada na Figura 10.20:
Figura 10.20 Prpriedades para a o log Sistema.
No campo Nome do log, est a indicao de onde o Windows Server 2003 grava o arquivo com os eventos do respectivo log.
Cada opo de Log gravada em seu prprio arquivo, isto o log Aplicativo, por padro, gravado em
C:\WINDOWS\system32\config\AppEvent.Evt, o log Segurana, por padro, gravado em C:\WINDOWS\System32\config\
SecEvent.Evt e o log Sistema, por padro, gravado em C:\WINDOWS\system32\config\SysEvent.Evt. Onde estou considerando
WINDOWS a pasta onde est instalado o Windows Server 2003. Se o servidor foi migrado do NT Server 4.0 ou do Windows
2000 Server, para o Windows Server 2003, provvel que ao invs da pasta WINDOWS, esteja sendo utilizada a pasta WINNT.
Observe que o tamanho mximo para o Log de sistema esta definido em 16384 KB (16 MB). Este o valor padro, o
qual pode ser alterado atravs das diretivas de segurana do domnio, que descreverei logo a seguir.
5. Aumente o tamanho do log para 32768 KB (32 MB).
6. Logo abaixo, esto disponveis trs opes a serem utilizadas quando log atingir o tamanho mximos, conforme
descrito a seguir:
Substituir eventos quando necessrio: A medida que o log alcana o tamanho mximo, os eventos mais antigos
vo sendo excludos para que novos eventos possam ser gravados. No exige manuteno, porm voc perde
eventos mais antigos, os quais sero sobre-escritos pelos eventos mais novos. Esta a opo selecionada por
padro.
Substituir eventos com mais de X dias: A medida que o log alcana o tamanho mximo, somente sero eliminados
eventos gravados a X dias, conforme configurado nesta opo. Pode haver perda de eventos, dependendo do
nmero e freqncia na gerao dos eventos.
No substituir eventos (limpar log manualmente): Requer que os eventos sejam manualmente eliminados pelo
administrador. Especifica se eventos existentes sero retidos quando o log estiver cheio. Se o tamanho mximo
do log for atingido, os eventos novos sero descartados. Esta opo requer que voc esvazie o log manualmente.
Selecione esta opo somente se voc precisar reter todos os eventos.
7. Certifique-se de que a opo Substituir eventos conforme necessrio esteja marcada.
8. D um clique em OK para aplicar estas configuraes para o log do Sistema.
Definindo as propriedades dos logs de auditoria, usando as
diretivas de segurana do domnio:
Voc pode definir uma srie de propriedades e caractersticas dos logs do Win-
dows Server 2003, usando as diretivas de segurana do domnio. Por exemplo,
voc pode definir um tamanho mximo para o log de segurana e um tamanho
mximo para o log do sistema, para todos os servidores do domnio, usando para
isso as diretivas de segurana do domnio, conforme descreverei no exemplo a
seguir.
Exemplo: Para definir as diretivas de segurana relacionadas com as propriedades
do log do Windows Server 2003, siga os passos indicados a seguir:
2. Abra o console Diretiva de Segurana de Domnio: Iniciar -> Ferramentas
administrativas -> Diretiva de segurana de domnio.
3. Ser aberta a janela Configuraes padro de segurana de Domnio. Clique
no sinal de +, ao lado de Configuraes de segurana, para exibir as opes
disponveis.
NOTA: Voc tambm pode utilizar o
visualizador de eventos para acessar
o log de outros servidores,
remotamente atravs da rede. Para
isso, clique com o boto direito do
mouse na opo Visualizar eventos
(local). No menu que exibido clique
na opo Conectar-se a outro
computador... Na janela que surge
basta digitar o nome ou o nmero IP
do computador com o qual voc deseja
se conectar e clicar em OK. Feito isso
o Windows Server 2003 conecta com
o computador e exibe os logs de audi-
toria deste computador, desde que
voc tenha as devidas permisses para
acessar os logs de auditoria do
computador especificado.
4. Nas opes que surgem, d um clique na opo Log de eventos . No painel da direita so exibidas as vrias
diretivas de auditoria disponveis, as quais so indicadas na Figura 10.21 e explicadas logo a seguir. Observe ao
lado do nome de cada diretiva, o status No-definido, indicando que no existe definio para esta diretiva, isto ,
como se esta diretiva estivesse desabilitada, situao na qual esto valendo as diretivas do controlador de domnio
ou, se estas tambm estiverem desabilitadas, os valores padro do Windows Server 2003.
Descrio das diretivas de auditoria disponveis:
Tamanho mximo do log de aplicativo: utilizada para definir o tamanho
mximo do log Application (Aplicativo). O maior valor desta diretiva
4GB e o valor definido nesta diretiva deve ser um mltiplo de 64 KB.
Para configurar esta diretiva basta dar um clique duplo nela. Na janela
que exibida, informe o tamanho mximo do log de aplicativo, conforme
exemplo da Figura 10.22 e clique em OK.
Objetc) padro do domnio.
Figura 10.22 Definindo o tamanho
mximo do log de aplicativos.
Tamanho mximo do log de segurana: utilizada para definir o tamanho mximo do log Security (Segurana).
O maior valor que esta diretiva aceita 4GB e o valor definido nesta diretiva deve ser um mltiplo de 64 KB.
Para configurar esta diretiva basta dar um clique duplo nela. Na janela que exibida, informe o tamanho
mximo do log de segurana e clique em OK.
Tamanho mximo do log de sistema: utilizada para definir o tamanho mximo do log System (Sistema). O
maior valor que esta diretiva aceita 4GB e o valor definido nesta diretiva deve ser um mltiplo de 64 KB.
Para configurar esta diretiva basta dar um clique duplo nela. Na janela que exibida, informe o tamanho
mximo do log de segurana e clique em OK.
Impede que o grupo de convidados locais acesse o log de aplicativo: Esta diretiva utilizada para definir se os
membros do grupo Guests (Convidados) podem ou no acessar o log de aplicativo. Para configurar esta diretiva
basta dar um clique duplo nela. Na janela que exibida, marque a opo Definir a configurao da diretiva.
Nas opes que so habilitadas, marque Habilitado, para permitir o acesso do grupo Guests ao log de aplicativo
ou a opo Desabilitar, para impedir o acesso do grupo Guests ao log do aplicativo, conforme exemplo da
Figura 10.23. Depois clique em OK. Esta diretiva somente tem efeito para computadores com verses do
Windows anteriores ao Windows Server 2003, tais como o Windows 2000 Server e o Windows XP.
Figura 10.23 Definindo o acesso do grupo Guests (Convidados).
Impede que o grupo de convidados locais acesse o log de segurana: Esta diretiva utilizada para definir se os
membros do grupo Guests (Convidados) podem ou no acessar o log de segurana. Para configurar esta
diretiva basta dar um clique duplo nela. Na janela que exibida, marque a opo Definir a configurao da
diretiva. Nas opes que so habilitadas, marque Habilitado, para permitir o acesso do grupo Guests ao log de
segurana ou a opo Desabilitar, para impedir o acesso do grupo Guests ao log de segurana. Depois clique
em OK. Esta diretiva somente tem efeito para computadores com verses do Windows anteriores ao Windows
Server 2003, tais como o Windows 2000 Server e o Windows XP.
Impede que o grupo de convidados locais acesse o log de sistema: Esta diretiva utilizada para definir se os
membros do grupo Guests (Convidados) podem ou no acessar o log do sistema. Para configurar esta diretiva
basta dar um clique duplo nela. Na janela que exibida, marque a opo Definir a configurao da diretiva.
Nas opes que so habilitadas, marque Habilitado, para permitir o acesso do grupo Guests ao log do sistema
ou a opo Desabilitar, para impedir o acesso do grupo Guests ao log do sistema. Depois clique em OK. Esta
diretiva somente tem efeito para computadores com verses do Windows anteriores ao Windows Server 2003,
tais como o Windows 2000 Server e o Windows XP.
Reter log de aplicativo: Esta diretiva determina o nmero de dias (perodo em dias), para os quais deve ser
mantido os eventos no log de aplicativo. Esta diretiva somente utilizada se voc tem uma poltica de
armazenamento do log em perodos definidos. Voc deve verificar que o tamanho mximo do log acomoda a
quantidade de eventos gerados durante o perodo entre um e outro arquivamento.
Reter log de segurana: Esta diretiva determina o nmero de dias (perodo em dias), para os quais deve ser
mantido os eventos no log de segurana. Esta diretiva somente utilizada se voc tem uma poltica de
Reter log de sistema: Esta diretiva determina o nmero de dias (perodo em dias), para os quais deve ser
mantido os eventos no log do sistema. Esta diretiva somente utilizada se voc tem uma poltica de
Mtodo de reteno do log de aplicativo: Com esta diretiva voc pode determinar um mtodo de reteno para
o logo de aplicativo. O administrador pode definir um dos mtodos descritos anteriormente: Substituir eventos
periodicamente, Substituir eventos quando necessrio ou No substituir eventos (limpar log manualmente). Se
no existir uma poltica de arquivamento de log, voc deve definir esta diretiva com a opo Substituir eventos
quando necessrio, caso voc tenha uma poltica de arquivamento deste log, em um perodo definido, configure
esta diretiva com a opo Substituir eventos com mais de X dias, onde X representa o perodo de arquivamento.
Mtodo de reteno do log de segurana: Com esta diretiva voc pode determinar um mtodo de reteno para
o logo de segurana. O administrador pode definir um dos mtodos descritos anteriormente: Substituir eventos
Mtodo de reteno do log do sistema: Com esta diretiva voc pode determinar um mtodo de reteno para o
logo do sistema. O administrador pode definir um dos mtodos descritos anteriormente: Substituir eventos
5. Defina as diretivas de acordo com as necessidades do seu domnio.
6. Feche o console para configurao das diretivas de segurana do domnio.
Mais configuraes do log e exportao dos eventos do log de auditoria.
Utilizando o menu Ao, do console visualizador de eventos, o administrador pode definir mais algumas configuraes
e executar algumas aes relacionadas com os logs do Windows Server 2003.
Voc pode utilizar o comando Ao -> Abrir arquivo de log..., para abrir um arquivo onde foram salvos eventos de
auditoria. comum, em redes maiores, que os eventos de vrios servidores e at mesmo de computadores da rede,
sejam salvas em arquivos (conforme voc aprender a fazer logo em seguida). Um administrador pode utilizar esta
opo, para abrir e analisar os diversos arquivos contendo os eventos a serem analisados.
Caso voc precise de um banco centralizado de dados, com o arquivamento dos logs de auditoria de todos ou de um
grande nmero de servidores de um domnio, o mais indicado montar um esquema de arquivamento, onde os logs
so periodicamente exportados, em cada servidor e depois importados em um banco de dados relacional, como o
SQL Server 2000, ORACLE, DB2, etc. A importao pode ser automatizada mediante o uso de scripts.
Voc pode utilizar o comando Ao -> Salvar arquivo de log como..., para salvar os eventos em um arquivo, em
diferentes formatos. Por exemplo, abra o console Visualizar eventos, clique na opo Sistema e selecione o comando
Ao -> Salvar arquivo de log como.... Ser aberta a janela Salvar Sistema como. Nesta janela voc seleciona a
pasta, o nome do arquivo onde sero salvos os eventos e o formato do arquivo. Esto disponveis o formato Log de
eventos (*.evt) que um formato que pode ser aberto somente no Visualizador de eventos; o formato Texto (delimit.
por tab.) (*.txt), que gera um arquivo do tipo texto, onde cada linha corresponde a um evento e os campos so separados
por tabulao e o formato CSV (delimit. por vrg.) (*.csv) que gera um arquivo do tipo texto, onde cada linha corresponde
a um evento e os campos so separados por vrgula. O formato .csv o mais indicado para importao em programas
como o Excel e bancos de dados como o Access ou SQL Server 2000, ou seja, voc exporta os logs para arquivos .csv
e depois importa estes arquivos no Excel ou no Access, para anlise, classificao e filtragem.
Na janela da Figura 10.24, os eventos do log Sistema esto sendo salvos, para um arquivo chamado log-sistema-
Maro-2004.csv, na pasta Meus documentos.
Figura 10.24 Salvando o log Sistema para um arquivo no formato .csv.
Ao clicar em Salvar o Windows Server 2003 salva uma cpia dos eventos, no arquivo especificado. Voc pode abrir
um arquivo .csv (que um arquivo no formato texto), usando o bloco de Notas. Na Figura 10.25 mostro uma viso das
primeiras linhas do arquivo log-sistema-Maro-2004.csv, gerado anteriormente.
Figura 10.25 O arquivo log-sistema-maio-2003.csv, aberto no Bloco de notas.
Voc tambm pode limpar todos os eventos de um dos logs de auditoria. Para isso basta clicar com o boto direito do
mouse no log desejado e, no meu de opes que exibido, selecionar o comando Limpar todos os eventos. Surge uma
janela pedindo se voc deseja salvar os eventos atuais. Se voc responder sim, ser aberta a janela da Figura 10.24,
para voc definir o nome do arquivo, o formato e a pasta de destino; se voc responder no os eventos sero excludos
e no podero ser recuperados.
Configurando a auditoria de acesso a arquivos, pastas e impressoras.
Conforme j descrevi brevemente, no incio do Captulo, a auditoria de acesso a objetos (pastas e impressoras
compartilhadas), um processo em duas etapas, conforme descrito a seguir:
1. Habilitar a Diretiva de auditoria: Auditoria de Acesso a objetos. Esta diretiva habilitada, para sucesso, falha ou
ambas as situaes, utilizando o console Configuraes locais de segurana, j descrito anteriormente. Em um
dos exemplos anteriores voc aprendeu a habilitar esta e outras diretivas de segurana. tambm importante
salientar que, para o Windows Server 2003, considerado objeto, todo elemento que tiver uma Lista de Controle
de Acesso ACL (Access Control List). Com isso, entradas da Registry, todo e qualquer elemento do Active
Directory, so considerados objetos.
2. Aps ter habilitada a Diretiva de auditoria descrita no item 1, o administrador tem que configurar a auditoria em
cada um dos objetos a serem auditados. Por exemplo, para monitorar o acesso a uma pasta e ao contedo desta
pasta (subpastas e arquivos), o administrador deve acessar as propriedades desta pasta e configurar quais usurios/
grupos tero o acesso monitorado. Por exemplo, o administrador pode definir que o grupo Gerentes ter o acesso
a uma determinada pasta monitorado, tanto para evento de sucesso quanto de falha. Com isso, toda vez que um
membro deste grupo acessar o contedo da pasta que est sendo monitorada, ser gravado um evento no log de
eventos.
A habilitao da Diretiva de auditoria j foi feita no item Habilitando/configurando os eventos do log de
segurana. Utilizando os conhecimentos apresentados no referido item, certifique-se de que a diretiva Audito-
ria de acesso a objetos, esteja configurada para monitorar eventos de Sucesso e de Falha, conforme indicado
ilustrado na Figura 10.26.
Figura 10.26 A diretiva Auditoria de acesso a objetos.
Neste item aprender, a ttulo de exemplo, a configurar a pasta C:\Documentos, para que sejam monitorados os
acessos a esta pasta e a seus arquivos. Ao fazer esta configurao, o administrador pode definir para quais usurios o
acesso ser monitorado. Para monitorar o acesso de todo e qualquer usurio, voc deve utilizar o grupo Everyone
(Todos). No exemplo proposto, voc ir configurar o Windows Server 2003, para monitorar o acesso dos usurios
user02 e user03 (utilize usurios do domnio da sua rede). Observe que voc pode fazer com que seja monitorado o
acesso de todo e qualquer usurio, ou apenas de determinados usurios. No exemplo que apresentarei, estou monitorando
apenas o acesso de dois usurios. Esta situao pode ser utilizada, por exemplo, para monitorar tentativas de acesso
sem permisso, para usurios que esto sob investigao ou sob suspeita na empresa.
Exemplo: Configurando a monitorao dos acessos na pasta C:\Documentos, para
os usurios user02 e user03.
administrador.
2. Usando o Meu computador ou o Windows Explorer, acessa a pasta
C:\Documentos ou outra pasta qualquer, para a qual voc deseja configurar o
controle de acesso.
IMPORTANTE: Nunca demais
lembrar: as configuraes de Audi-
toria somente esto disponveis em
volumes formatados com NTFS.
3. Clique com o boto direito do mouse na pasta e no menu que surge clique na opo Propriedades. Ser exibida a
janela de Propriedades da pasta.
4. D um clique na guia Segurana.
5. Clique no boto Avanado. Ser exibida a janela Configuraes de segurana avanadas para Documentos, onde
Documentos o nome da pasta que est sendo configurada.
6. Clique na guia Auditoria. Observe que por padro no existe nenhum usurio na lista, ou seja, no esto sendo
monitorados os acessos a pasta Documentos.
7. D um clique no boto Adicionar... Ser aberta a janela Selecione Usurio, computador ou Grupo, que j foi
utiliza em outros captulos. Digite user2, conforme indicado na Figura 10.27 e clique em OK.
Figura 10.27 Adicionando user02 lista de usurios auditados na pasta Documentos.
8. Ser aberta a janela Entradas de auditoria para Documentos. Nesta janela voc define o tipo de acesso que ser
monitorado para o usurio user2, na pasta Documentos. Por exemplo, pode ser que voc queira monitorar apenas
tentativas de alteraes ou excluses no contedo da pastas Documentos e das suas subpastas. No nosso exemplo
vamos monitorar todos os tipos de acesso. Marque a opo Controle total, na coluna xito. Observe que todas as
demais opes da coluna xito sero marcadas. Agora marque a opo Controle total, na coluna Falha. Observe que
todas as demais opes da coluna Falha sero marcadas, conforme indicado na Figura 10.28. Com isso estamos
pedindo que o Windows Server 2003 monitore todo e qualquer tipo de acesso do usurio user02, com sucesso ou
com falha, pasta Documentos e a todas as suas subpastas e arquivos. Marque a opo Aplicar essas entradas de
auditoria apenas a objetos e/ou recipientes dentro deste recipiente, para fazer com que o Windows Server 2003
aplique estas configuraes de auditoria pasta Documentos e a todas as suas subpastas e arquivos. Clique em OK.
Figura 10.28 Configuraes de auditoria para o usurio user02.
9. Repita os passos 7 e 8 para o usurio user03.
10. Voc estar de volta guia Auditoria, agora com os usurios user02 e user03 j adicionados lista de usurios que
sero auditados quando acessarem a pasta Documentos e o seu contedo, conforme indicado na Figura 10.29:
Figura 10.29 Usurios user02 e user03 j adicionados lista.
11. Marque a opo Substituir as entradas de auditoria em todos os objetos filho pelas entradas aplicveis mostradas
aqui, para substituir outras configuraes de auditoria, que por ventura estejam definidas para as subpastas e
arquivos da pasta Documentos. Clique em OK. Voc estar de volta guia Segurana.
12. Clique em OK para fechar a janela de propriedades da pasta documentos. A partir de agora todos os acesso, com
sucesso ou com falha, dos usurios user02 e user03 sero monitorados.
Para configurar a auditoria de acesso para uma impressora faa o seguinte:
1. Faa o logon como Administrador ou com uma conta com permisso de gerenciar a impressora a ser configurada.
2. Acesse as propriedades da impressora a ser configurada.
3. Clique com o boto direito do mouse na impressora a ser configurada e, no menu de opes que exibido, clique
em Propriedades.
4. Clique na guia Segurana e dentro da guia Segurana, clique no boto Avanado. Depois s seguir os passos
indicados no exemplo anterior, que so os mesmos, quer voc esteja configurando a auditoria para pastas e
arquivos ou para impressoras.
Com isso encerro o estudo sobre auditoria e logs de auditoria no Windows Server 2003. Para aqueles usurios que j
trabalharam com auditoria de eventos no Windows 2000, vero que as configuraes so muito semelhantes. No
Windows 95/98 ou Me no esto disponveis as funes de auditoria e log de eventos.
Na parte final do captulo vou tratar sobre o conceito de servios e vou mostrar como utilizar o console para administrao
de servios.
Gerenciando Servios no Windows Server 2003.
Um Servio um componente de software que inicializado automaticamente quando o Windows Server 2003
inicializado, ou pode ser iniciado a qualquer momento, manualmente, pelo administrador. Um Servio continua
carregado e funcionando, mesmo quando no existe nenhum usurio logado no servidor. Por exemplo o servio Spooler,
responsvel pela impresso continua trabalhando, mesmo quando no existe nenhum usurio logado. O mesmo
vlido para qualquer servio que rode no Windows Server 2003.
A maioria das funcionalidades de rede do Windows Server 2003 fornecida por servios. Por exemplo, para que um
computador com o Windows Server 2003 possa atuar como servidor Web, preciso instalar o servio IIS Internet
Information Services (o qual ser detalhado a partir no Captulo 13). O Servio Server permite que os usurios
acessem o servidor atravs da rede. Existem uma infinidade de servios disponveis no Windows Server 2003 e outros
podem ser acrescentados por programas que so instalados. Por exemplo, quando o Microsoft SQL Server 2000
instalado (Servidor de Banco de dados da Microsoft), 4 novos servios so adicionados.
Acessando informaes sobre servios e administrando os
servios instalados.
No seria exagero dizer que o Windows Server 2003 um conjunto de Servios
que funcionam de maneira integrada. Temos os servios principais, aqueles que
forma o ncleo do Sistema Operacional, tambm conhecido como Kernel do
sistema. Estes servios so responsveis por funes fundamentais tais como o
gerenciamento de memria, gerenciamento do sistema de I/O (entrada e sada),
deteco e configurao do Hardware, gerenciamento da interface grfica e assim
por diante.
sobre o SQL Server 2000 consulte
o livro de minha autoria: SQL
Server 2000 Administrao &
Desenvolvimento Curso
Completo, publicado pela Editora
Axcel Books (www.axcel.com.br)
Existem outros servios que realizam funes especficas, como por exemplo servios para envio e recebimento de
mensagens de alerta e mensagens administrativas, servios para o gerenciamento de impresso, servio para
compartilhamento de pastas e arquivos, servios relacionados a segurana, servios responsveis pela disponibilizao
de recursos compartilhados e assim por diante.
O conceito de Servios surgiu com as verses iniciais do Windows NT, tambm est presente no Windows 2000 e
agora no Windows Server 2003. O conceito de servio tambm existe no Windows NT Workstation 4.0, Windows
2000 Professional e Windows XP. No Windows 9x e Me no existe o conceito de servios como o aqui apresentado.
Existem aplicativos que, ao serem instalados, adicionam servios que so inicializados automaticamente para que o
aplicativo possa funcionar corretamente. Por exemplo, ao instalar o IIS, automaticamente so instalados e inicializados
servios necessrios para que o IIS possa atuar como um servidor de pginas e tambm um servidor de arquivos. Ao
instalar o SQL Server 2000, por exemplo, novos servios sero adicionados para que o SQL Server possa operar
corretamente e assim por diante.
Neste tpico mostrarei como acessar informaes sobre os diversos servios instalados no Windows Server 2003,
como verificar o status destes servios, como configurar um servio para iniciar automaticamente quando o Windows
Server 2003 inicializado e como iniciar um servio manualmente quando necessrio. Tambm mostrarei comandos
que podem ser utilizados para parar e iniciar servios atravs do Prompt de comando.
Exemplo 1: Acessando e configurando informaes sobre os servios instalados no servidor:
2. Abra o console Servios. Iniciar -> Ferramentas administrativas -> Servios.
3. Uma vez aberto o console Servios surge a janela onde exibida uma listagem com todos os servios instalados
no servidor. O console Servios fornece dois modos de visualizao: Estendido um novo modo, o qual contm
algumas opes a mais em relao ao modo Padro. O modo Padro o modo disponvel no Windows 2000
Server. Eu, particularmente, prefiro o modo Padro, indicado na Figura 10.30:
Figura 10.30 Listagem dos servios instalados no servidor.
NOTA: importante salientar que no console Servios so exibidos todos os servios instalados. Porm nem todos os servios so,
obrigatoriamente, inicializados automaticamente durante a inicializao do Windows Server 2003. Para saber quais servios
foram inicializados observe a coluna Status. Nesta coluna aparece o Satatus Iniciado, somente para os servios que esto em
funcionamento, isto , carregados na memria do servidor.
Na parte de baixo da lista de servios, voc tem as opes Estendido e Padro. No modo de visualizo Estendido,
quando voc clica em um determinado servio, informaes adicionais so exibidas sobre o servio, no painel
esquerda da lista de servios. Se voc clicar na guia Padro, ser exibida a visualizao que era utilizada nas verses
anteriores, sem o painel de informaes do lado esquerdo.
4. Observe que so exibidas as seguintes colunas de informao:
Nome: Nome com o qual o servio se registra no Windows Server 2003. este nome que voc deve fornecer
para o comando net start, quando tiver que iniciar o servio via linha de comando, ou para o comando net stop,
quando voc tiver que parar o servio, via linha do comando. Se o nome do servio contiver espaos, o nome
do servio dever ser fornecido, entre aspas, para os comando net start e net stop.
Descrio: Uma breve descrio da funo do servio.
Status: Indica se o servio est ou no carregado (Started).
Tipo de inicializao: Indica se o servio foi inicializado automaticamente (Automatic (Automtico)) na
inicializao do Windows Server 2003, manualmente pelo usurio ou por algum outro servio (Manual) ou se
o servio est desativado (Dsabled (Desativado)).
Fazer logon como: Para que um servio possa ser inicializado, deve ser fornecida uma conta de usurio e senha.
Observe que a maioria dos servios roda com a conta Loca System (Sistema Local) que uma conta especialmente
criada para esse fim. Um detalhe importante que a conta Local System (Sistema Local) somente pode receber
permisses para acessar recursos no prprio computador. Se um servio precisar acessar recursos em outro
computador da rede, a conta Local System (Sistema Local) no dever ser utilizada para inicializar o servio.
Neste caso dever ser utilizada uma conta que tenha permisso de acesso aos recursos que sero acessados pelo
respectivo servio, normalmente uma conta do domnio, especialmente criada para este fim.
5. Para ver maiores detalhes sobre um determinado servio, d um clique duplo na linha do servio.
6. D um clique duplo sobre o servio Agendador de tarefas. Ser exibida a janela indicada na Figura 10.31:
Figura 10.31 Propriedades do servio agendador de tarefas.
7. Na guia Geral so exibidas diversas informaes importantes, tais como o
nome, descrio, caminho do arquivo executvel (que o arquivo que o Win-
dows Server 2003 executa para carregar o servio na memria). Por exemplo,
para o servio agendador de tarefas utilizado o seguinte executvel:
C:\WINDOWS\System32\svchost.exe -k netsvcs
8. Muito importante na guia Geral a seo Status do servio. Nesta seo
existe a indicao da situao atual: Started (Iniciado), Paused (Pausado),
Disabled (Desativado) e assim por diante. Tambm esto disponveis os botes
para Iniciar, Parar, Pausar e Continuar.
9. Voc pode utilizar o boto Iniciar para carregar um servio que no foi
inicializado automaticamente.
11. D um clique na guia Logon. Ser exibida a janela indicada na Figura 10.32:
NOTA: Se este servio no estiver
sendo executado, as tarefas
agendadas no sero executadas
nos horrios e datas programados.
Para maiores detalhes sobre o
Agendamento de tarefas consulte o
Captulo 8
distinguir entre Parar e Pausar um
servio. Para aprender bem este
conceito, vamos imaginar o servio
do servidor Web IIS. Imaginamos
que existam 10 usurios
conectados, se voc Pausar o
servio, os 10 usurios continuam
conectados, porem novas conexes
no sero aceitas. Se voc Parar o
servio no sero aceitas novas
conexes e os 10 usurios
atualmente conectados sero
desconectados.
Figura 10.32 Conta para a inicializao do servio.
10. Nesta guia voc pode configurar com qual conta o servio ir rodar. A maioria dos servios roda com a conta do
Local System (Conta do sistema local). Para isso basta marcar a opo Conta do sistema local. Se voc deseja
especificar uma outra conta, clique na opo Esta conta. Informe o nome da conta e a respectiva senha. Confirme
a senha digitada. Voc tambm pode configurar em quais perfis de Hardware o servio deve ser iniciado e em
quais no deve.
11. D um clique na guia Recuperao. Ser exibida a janela indicada na Figura 10.33:
Figura 10.33 Definindo as opes de recuperao.
12. Nesta guia voc pode definir qual o comportamento do Windows Server 2003 quando o servio falha pela Primeira
vez, Segunda vez e para as Falhas posteriores. Conforme indicado na figura as aes podem ser:
No executar nenhuma ao: Neste caso se o servio falhar o Windows Server 2003 no tentar reinicializa-lo
automaticamente. Somente utilize esta opo se voc deseja verificar pessoalmente as possveis causas para a
falha do servio.
Reiniciar o servio: Se voc selecionar esta opo o Windows Server 2003 tentar reinicializa o servio
automaticamente. Ao selecionar esta opo sero habilitados os campos Zera a contagem de falha aps e
Reiniciar o servio aps. A opo Zera a contagem de falha aps, fornece um espao para voc digitar o
nmero de dias que um servio precisar ser executado com xito antes que a contagem de falhas seja zerada.
Quando a Contagem de falhas for zerada, a prxima falha acionar a ao definida para a primeira tentativa de
recuperao. Se desejar que o servio seja executado corretamente durante vrias semanas entre falhas, digite
um nmero maior. A opo Reiniciar o servio aps, fornece um espao para voc digitar a quantidade de
minutos que se deve aguardar antes de reiniciar o servio. Esta opo somente estar disponvel se voc
selecionar Reiniciar o servio como uma ao a ser executada quando um servio falhar.
Executar um programa: Com esta opo voc pode especificar que o Windows Server 2003 execute um
determinado arquivo quando o servio falhar. Ao selecionar esta opo, o campo Programa ser habilitado.
Neste campo voc digita o caminho para um arquivo executvel vlido. Pode ser um arquivo em lotes (.bat),
um arquivo .cmd ou qualquer executvel vlido para o Windows Server 2003. No campo Parmetros da linha
de comando, voc pode definir parmetros que sero passados para o arquivo que ser executado. Por exemplo,
voc pode fazer que seja executado um Script que envia uma mensagem de email para o Administrador,
informando sobre a falha no servio.
Reinicializar o computador: Esta opo far com que o computador seja reinicializado em caso de falha do
servio. Somente deve ser utilizada para servios realmente crticos em que qualquer falha possa representar
uma ameaa segurana. Se voc selecionar esta opo, o boto Reiniciar as opes do computador (outra
obra de arte da traduo. Obviamente que o ttulo deste boto deveria ser Opes de reinicializao do
computador), ser habilitado. Ao clicar neste boto ser exibida a janela Reiniciar as opes de computador
(mesmo comentrio anterior em relao a traduo, ou seja, o correto seria: Opes de reinicializao do
computador), na qual voc pode definir em quanto tempo (minutos) o computador ser reinicializado e uma
mensagem a ser enviada aos computadores da rede, conforme exemplo da Figura 10.34. Na Figura exibida a
mensagem padro do Windows Server 2003. Voc pode alterar esta mensagem de acordo com as suas
necessidades. O envio da mensagem til, principalmente se o computador que ser reinicializado estiver
compartilhando pastas com os demais computadores da rede. Neste caso os outros usurios tero tempo de
salvar e fechar os arquivos compartilhados que esto no computador que est sendo reinicializado. Isto evita
que os usurios percam as suas alteraes.
Figura 10.34 Definindo as configuraes de reinicializao em caso de falha.
13. D um clique na guia Dependncias. Ser exibida a janela indicada na Figura 10.35.
14. Na parte de cima, so exibidos os servios dos quais o servio atual depende. No exemplo da Figura 10.35
possvel ver que o servio Agendador de tarefas depende do servio Chamada de procedimento remoto (RPC).
Isto significa que para o servio Agendador de tarefas poder iniciar necessrio que o servio RPC j esteja
carregado. O Windows Server 2003 utiliza as informaes de dependncia para definir a ordem de inicializao
dos servios. Por exemplo, como o servio Agendador de tarefas depende do servio Chamada de procedimento
remoto, isto significa que o servio Chamada de procedimento remoto deve ser inicializado antes do servio
Agendador de tarefas, pois caso contrrio ser gerado um erro e o servio Agendador de tarefas no ser inicializado.
O Windows Server 2003 encarregado de gerenciar as dependncias entre os servios, de tal forma que todos os
servios sejam inicializados na ordem correta.
15. Na parte de baixo exibida lista de servios que dependem do servio Agendador de tarefas, no caso nenhum
servio depende do Agendador de tarefas.
Figura 10.35 Exibindo as dependncias do servio.
16. D um clique em OK para fechar as propriedades do servio Agendador de tarefas.
17. Feche o console Servios.
Exemplo 2: Acessando as informaes sobre Servios em um computador remoto.
Voc pode utilizar o console Servios para se conectar e exibir as informaes
sobre os Servios em um computador remoto. O computador remoto pode estar
rodando o Windows NT, Windows 2000 Server ou Professional, Windows XP ou
o Windows Server 2003.
Para acessar as informaes sobre os servios de um computador remoto, siga os
administrador.
2. Abra o console Servios. Observe que automaticamente feita a conexo
com o computador local.
3. Para conectar-se a um computador remoto, clique com o boto direito
do mouse em Servios (local). No menu de opes que exibido clique
em Conectar-se a outro computador... Ser exibida a janela Selecionar
Computador. No campo Outro computador digite o nome ou o endereo
IP do computador com o qual voc deseja se conectar, conforme exemplo
DICA: Um servio que vale a pena
ser comentado o servio Registro
remoto. Este servio fundamental
para que seja possvel fazer a
administrao distncia, usando os
consoles de administrao do Win-
dows Server 2003. Por exemplo,
imagine que voc ir abrir o console
Gerenciamento do computador, no
servidor SRV02. Agora voc decide
conectar o console Gerenciamento do
computador, remotamente, com o
servidor SRV02. Para que isso seja
possvel, o servio Registro Remoto,
deve ter sido inicializado, com
sucesso, no servidor SRV02.
da Figura 10.36. Voc pode utilizar o boto Procurar..., para selecionar o computador na lista de
computadores da rede.
Figura 10.36 Informando o nome do computar a ser conectado.
4. Aps ter especificado o nome do computador ou o nmero IP clique em OK. O Windows Server 2003 conecta-se
com o computador especificado e exibe a lista de servios deste computador.
5. Voc pode escolher diferentes formas de exibio para a lista de servios. Para alternar entre as diferentes opes
de exibio utilize o menu Exibir, do console Servios. Na Figura 10.37 temos a forma de exibio cones grandes,
selecionada atravs do comando Exibir -> cones grandes.
Figura 10.37 Exibio de cones grandes.
6. Voc tambm pode exportar as informaes sobre a lista e as configuraes de cada servio, para um dos seguintes
formatos:
Texto delimitado por tabulao (*.txt).
Texto delimitado por vrgula (*.csv).
7. Para exportar a lista de Servios selecione o comando Ao -> Exportar lista... Ser exibida a janela Exportar
lista, na qual voc define a pasta de destino, o nome e o formato do arquivo de destino.
8. Feche o console de servios.
Exerccio: Abra novamente o console Servios. Verifique o status e as propriedades do servio Server (Servidor).
Acesse a guia de dependncias para verificar quais servios dependem do servio Server. Exporte a lista de Servios
em execuo para um arquivo chamado Servios.txt, na pasta Meus documentos. Utilize o formato Texto delimitado
por vrgula (*.csv). Se voc estiver conectado a uma rede com outros computadores, tente conectar o console Servios
a outro computador da rede. Voc somente conseguir realizar esta operao se a conta com a qual voc estiver logado,
tiver permisso de Administrador no computador com o qual voc deseja se conectar.
Concluso.
Neste captulo tratei de uma srie de assuntos relacionados com logs de eventos e auditoria.
Iniciei o captulo falando sobre o conceito de log e de auditoria. Em seguida fiz um longo estudo sobre a utilizao e
configurao dos logs de auditoria do Windows Server 2003.
Voc aprendeu, atravs de uma srie de exemplos prticos sobre quais os logs disponveis, que cada log configurado
individualmente, que somente o administrador tem acesso ao log de Segurana e que as propriedades de cada log
podem ser configuradas separadamente. Mostrei como filtrar os logs de evento por tipo de log, origem de log e outras
opes.
Tambm mostrei como usar as diretivas de segurana do domnio para configurar uma srie de opes que afetam as
configuraes dos logs e quais eventos so gravados no log. Por exemplo, voc aprendeu que para fazer auditoria do
acesso a pastas, arquivos ou impressoras, so necessrios dois passos, conforme descrito a seguir:
1. Habilitar a seguinte diretiva de auditoria: Auditoria de acesso a objetos. Esta diretiva habilitada, para sucesso,
falha ou ambas as situaes, utilizando o console Configuraes locais de segurana, j descrito anteriormente.
Voc aprendeu, na prtica, os passos necessrios para configurar esta e outras diretivas de auditoria.
2. Aps ter habilitada a Diretiva de auditoria descrita no item 1, o administrador tem que configurar a auditoria em
cada um dos objetos a serem auditados. Por exemplo, para monitorar o acesso a uma pasta e ao contedo desta
pasta (subpastas e arquivos), o administrador deve acessar as propriedades desta pasta e configurar quais usurios/
grupos tero o acesso monitorado. Por exemplo, o administrador pode definir que o grupo Gerentes ter o acesso
a uma determinada pasta monitorado, tanto para evento de sucesso quanto de falha. Com isso, toda vez que um
membro deste grupo acessar o contedo da pasta que est sendo monitorada, ser gravado um evento no log de
eventos. Voc tambm aprendeu as etapas prticas para configurao de auditoria em pastas, arquivos e impressoras.
Para finalizar o captulo apresentei o conceito de servios:
Um Servio um componente de software que inicializado automaticamente quando o Windows Server 2003
inicializado, ou pode ser iniciado a qualquer momento, manualmente, pelo administrador. Um Servio continua
carregado e funcionando, mesmo quando no existe nenhum usurio logado no servidor. Por exemplo o servio Spooler,
responsvel pela impresso continua trabalhando, mesmo quando no existe nenhum usurio logado. O mesmo
vlido para qualquer servio que rode no Windows Server 2003.
Em seguida mostrei como usar o console Services (Servios) para gerenciar os servios disponveis no servidor.
Tambm mostrei como conectar-se a outros servidores da rede, remotamente, para gerenciar os servios em um
servidor remoto.
No prximo captulo falarei sobre a utilizao do console de desempenho para a monitorao do desempenho do
servidor e da taxa de ocupao dos principais servios e recursos de hardware do servidor.
Introduo
Neste captulo tratarei sobre o conceito de monitorao de desempenho dos
componentes de hardware e dos servios de um servidor. A monitorao no
uma tarefa, digamos assim, obrigatria, ou seja, que se no for feita algum servio
deixa de funcionar.
Porm a monitorao uma maneira do administrador acompanhar o aumento de
carga em um ou mais servidores da rede, acompanhando qual a ocupao/utilizao
dos principais elementos de Hardware, tais como memria, processadores, inter-
faces de rede e sistemas de disco. Com o acompanhamento da carga de trabalho
em cada um destes elementos, o administrador pode fazer uma estimativa com
tempo de quando ser necessrio o upgrade de um ou mais destes elementos de
hardware, como por exemplo adicionar mais memria RAM, trocar a placa
controladora de discos por uma mais rpida e assim por diante. Se o administrador
no tem este acompanhamento, o que acontece que chega-se a um ponto onde
os servios tornam-se lentos e os usurios comeam a reclamar. Neste ponto o
administrador no sabe exatamente o que est acontecendo (apenas suspeita que
pode ser sobrecarga no hardware do servidor). Como o administrador no fez a
lio de casa, isto no fez um monitoramento preventivo, ter que tentar
descobrir quais os elementos de hardware que esto sobrecarregados, apresentar
um relatrio solicitando recursos, encomendar o hardware necessrio para
finalmente providenciar a troca. Ou seja, tudo na base do improviso, da pressa.
Definitivamente esta no uma boa maneira de trabalhar.
O monitoramento sistemtico, isto , com regras bem definidas e com uma
metodologia de monitoramento, faz com que o administrador trabalhe de uma
maneira pr-ativa (um amigo meu diria que este termo chique), sempre prevendo
com boa antecedncia as necessidades de upgrade de hardware, evitando com
isso que chegue-se ao ponto em que o desempenho caia exponencialmente e os
usurios comecem a reclamar. Outro fator que tem que ser considerado que
chega-se a um ponto onde o limite do servidor atingido, ou seja, no mais
possvel expandir a memria, no possvel adicionar novos processadores e
assim por diante. Nestas situaes faz-se necessria a troca do servidor por outro
com maiores capacidades. Mais uma vez f ica clara a importncia do
monitoramento para prever, com uma boa antecedncia, uma necessidade de troca
de servidor. Principalmente porque servidor e hardware de servidor no como
hardware de PC, que voc encontra a pronta-entrega no mercado. Normalmente
hardware de servidor feito sob encomenda e demora alguns dias (ou at semanas)
para estar disponvel. Se o administrador no prever com uma boa antecedncia a
necessidade de troca, corre o risco de ter que conviver durante semanas com um
ou mais servidores que no atendem as demandas dos usurios, com um
desempenho sofrvel e o que o pior, com um telefone que no para de tocar, com
usurios reclamando (e com toda a razo), do desempenho do sistema.
Neste captulo voc aprender a utilizar o console para monitorao de
Desempenho, de forma a acompanhar a taxa de utilizao dos principais
elementos do sistema. Mostrarei uma srie de assuntos relacionados com o
monitoramento, otimizao e manuteno do Windows Server 2003. Com os
Monitorao de Desempenho
e Logs de Alerta
11
C A P T U L O
conceitos e exemplos prticos vistos neste captulo, voc ter condies de fazer um monitoramento dos servidores,
atuando de maneira pr-ativa.
Monitorar a utilizao dos principais recursos de um servidor uma tarefa importante para o administrador do
servidor, principalmente em servidores que esto sendo utilizados para o compartilhamento de recursos (por ex.
arquivos e impressoras) na rede. O desempenho de um servidor fica seriamente comprometido se um dos seguintes
elementos estiver sobrecarregado:
Memria RAM.
Processador.
Placa de rede.
Sistema de discos.
Neste captulo mostrarei como utilizar o console Desempenho, para acompanhar a taxa de ocupao de cada um
destes elementos. Tambm mostrarei como configurar o Windows Server 2003 para que faa a coleta automtica,
em perodos definidos, da taxa de ocupao de determinados elementos, de tal maneira que voc possa ter uma
idia da utilizao destes elementos em condies normais de trabalho. Com este acompanhamento voc tambm
ter condies de verificar a evoluo nas taxas de utilizao de cada um dos elementos que esto sendo
monitorados. Assim quando um determinado elemento tiver a sua taxa de utilizao constantemente aumentada,
possvel agir preventivamente, normalmente providenciando a substituio do elemento, como por exemplo a
instalao de um processador mais rpido ou de uma quantidade adicional de memria RAM ou a substituio
de discos IDE por um sistema de discos SCSI.
Monitorao de desempenho conceitos bsicos.
Monitorar a utilizao dos principais recursos de um servidor uma tarefa
importante para o administrador do sistema, principalmente em computadores
que esto sendo utilizados por um grande nmero de usurios da rede, para acesso
a recursos tais como pastas compartilhadas, impressoras, servidores Web de
Intranet, servidores de banco de dados, DCs do domnio e assim por diante. Os
principais elementos de hardware a serem monitorados so os seguintes:
Memria RAM.
Processador.
Placa de rede.
Sistema de discos.
Existem outros elementos que podem prejudicar o desempenho como um todo,
porm estes quatro so os mais importantes. Podem existir situaes, por exemplo,
em que a utilizao da memria RAM e do Processador esteja baixa, porm o
Sistema de discos esteja sobrecarregado, e neste caso, o desempenho do sistema
como um todo fica bastante prejudicado. Dependendo do tipo de funo que o
servidor est exercendo, um recurso de hardware pode ter mais ou menos influncia
no desempenho como um todo. Por exemplo, servidores de banco de dados so
muito dependentes de bons processadores, j servidores de arquivos dependem
de um bom sistema de disco e de uma conexo rpida com a rede.
NOTA: Em alguns livros e na
documentao oficial do Windows
Server 2003, o console Perform-
ance tambm chamado de Sys-
tem Monitor (Monitor do Sistema).
Neste captulo utilizarei os termos
System Monitor ou console Perform-
ance como sinnimos.
IMPORTANTE: Para o exame
muito importante que voc conhea
bem, quais os contadores e
respectivos limites que podem
representar um problema de
sobrecarga do processador,
memria, etc.
Quando um determinado componente est sobrecarregado, dizemos que este componente representa um gargalo
para o sistema (do termo ingls bottleneck), isto , o componente que est limitando (engargalando, se que
existe esta palavra.), o desempenho do sistema como um todo. Ou seja, o desempenho de um sistema to bom quanto
for o desempenho do seu componente mais lento. Por exemplo, de que adianta vrios processadores, com muita
memria RAM e com um sistema de discos antigo, extremamente lento.
Dependendo do papel que o servidor esteja desempenhando na rede, a utilizao de cada um destes componentes ser
maior ou menor. Por exemplo, computadores que atuam como Servidores de Banco de dados (com o Microsoft SQL
Server, por exemplo), ou Servidores de aplicao (com o Microsoft Transaction Server, por exemplo), fazem um uso
muito intensivo dos Processadores. Neste caso pode ser recomendvel, dependendo do nmero de usurios, a utilizao
de servidores multi-processados. J no caso de Servidores de arquivos, a utilizao da interface de rede e do sistema
de discos pode ser bastante elevada, neste caso a utilizao de placas mais velozes ou at mesmo de mais de uma placa
de rede e de sistemas de discos mais rpidos, pode ser uma soluo para melhorar o desempenho.
A monitorao do desempenho ajuda a determinar qual o componente que est sendo o principal limitador do
desempenho do sistema (o gargalo do sistema), alm de permitir a anlise da carga de trabalho a qual o respectivo
componente est submetido (por exemplo, o processador est com 80% de utilizao, o sistema de discos est
constantemente com dados na fila de espera para leitura e gravao e assim por diante). O administrador tambm pode
utilizar a monitorao do desempenho para fazer uma estimativa do crescimento na utilizao dos componentes do
sistema. Com isso fica mais fcil fazer uma previso sobre as necessidades futuras de atualizaes de Hardware. Alm
disso, de posse de dados de monitorao consistentes, fica mais fcil justificar o gasto envolvido na aquisio e
atualizao de componentes de hardware.
Conforme mostrarei nos prximos tpicos, a monitorao feita atravs do console Desempenho, tambm conhecido
como System Monitor. Este console acessado atravs da opo Desempenho, no menu Ferramentas administrativas.
No console de desempenho voc adiciona Objetos a serem monitorados. Um exemplo de objeto pode ser um
Processador, Memria, Disco fsico, Fila de impresso, etc. Um objeto representa um elemento que pode ser monitorado
pelo Windows Server 2003. Para cada objeto, esto disponveis vrios contadores que so indicativos da utilizao dos
recursos do respectivo objeto. Por exemplo para o objeto Processador, dentre outros, existem os seguintes contadores:
Porcentagem de tempo do processador, Interrupes por segundo e assim por diante. Para o objeto Fila de impresso,
existem os contadores Total de pginas impressas, Trabalhos no spool, e assim por diante.
Vrios objetos e seus respectivos contadores so instalados durante a instalao do Windows Server 2003. A medida
que novos servios ou aplicativos so instalados, novos Objetos e contadores so adicionados. Por exemplo, ao instalar
o Microsoft SQL Server 2000, novos objetos so adicionados. Outro exemplo, quando instalado o servidor Web IIS,
novos objetos so adicionados e assim por diante.
Saber exatamente quais objetos e quais contadores utilizar um processo que envolve testes e muita pacincia. Somente
com a experincia que o administrador saber quais os contadores observar para verificar a existncia de problemas
de desempenho.
A otimizao do desempenho um processo contnuo. Muitas vezes em uma primeira anlise, o administrador descobre que
um dos componentes est sendo o gargalo do sistema, por exemplo, a memria RAM. A mais memria RAM acrescentada
ao servidor. Pode ser que outro componente passe a ser o gargalo, por exemplo a Placa de rede ou o processador. Monitorar
e otimizar o desempenho um desafio bastante grande, porm uma necessidade. No possvel simplesmente trocar de
equipamento, toda vez que houver problemas de desempenho, pois isso seria um desperdcio de dinheiro.
Tambm possvel configurar o console Desempenho para que seja feita a captura de dados automaticamente. O
administrador pode configurar a captura de dados para que seja feita a captura apenas de determinados contadores de
determinados objetos, ou seja, somente aqueles contadores que interessam ao administrador. Com base nesta captura
possvel verificar os limites normais de operao para componentes como o Processador, memria RAM e assim por
diante. Entenda-se por limites normais de operao, as taxas de utilizao dos diversos componentes de hardware e
software, durante o horrio normal de expediente. Depois faz-se o agendamento de um monitoramento contnuo e
compara-se os resultados obtidos com os limites de operao obtidos durante a primeira captura. Quando um determinado
componente comear a apresentar aumento na sua taxa de utilizao deve ser verificado o motivo para este aumento
e, se for o caso, providenciar a substituio do dispositivo antes que a sua taxa de utilizao atinja limites que possam
comprometer o desempenho do servidor.
No prximo tpico voc aprender a utilizar o console Performance (Desempenho), atravs de exemplos prticos.
Utilizao do console Desempenho
Neste tpico voc ver vrios exemplos prticos de utilizao do console de desempenho, para monitorao dos
principais elementos de hardware do servidor.
Monitorando o Processador e a Memria do seu Servidor.
Neste item voc aprender a utilizar o console Desempenho. Tambm ver como monitorar alguns contadores
dos objetos Memria e Processador. Apresentarei diversos detalhes sobre a utilizao da interface e das
funcionalidades do console Desempenho. O console Desempenho j vem configurado para carregar o Snap-in
para medio de desempenho.
Exemplo: Monitorando o uso da memria e do processador.
Para utilizar o console Desempenho, para monitorar a Memria e o Processador,
siga os seguintes passos:
1. Faa o logon como Administrador, ou com uma conta com permisso de
administrador.
2. Abra o console Desempenho: Iniciar -> Ferramentas administrativas ->
Desempenho.
3. Ser aberto o console Desempenho, conforme indicado na Figura 11.1:
NOTA: No Windows NT Server 4.0
existe um programa chamada Perform-
ance Monitor, o qual utilizado para a
monitorao de desempenho. A partir
do Windows 2000 est disponvel o con-
sole Desempenho, o qual est tambm
est disponvel no Windows XP e no
Figura 11.1 O console para monitorao do
desempenho.
Observe que, por padro, os seguintes contadores j esto adicionados e sendo monitorados:
O contador Pages/sec do objeto Memory.
Comprimento mdio de fila de disco (Avg. Disk Queue Length) do objeto Physical Disk.
O objeto %Tempo do processador (%Processor Time) do objeto Processor.
Para o exemplo proposto voc ir excluir os contadores que foram adicionados
automaticamente e adicionar outros contadores.
4. Clique no contador Pginas/s (na parte de baixo do painel, abaixo do grfico,
onde aparece a lista de contadores) e pressione a tecla Delete. Repita a
operao para excluir os demais contadores.
5. Neste console, no painel da esquerda, exibida a opo Monitor do sistema,
que a opo utilizada para adicionar novos contadores para os objetos a
serem monitorados, no nosso exemplo a Memria e Processador. A opo
Logs e alertas de desempenho ser vista nos prximos itens.
6. D um clique na opo Monitor do Sistema, para seleciona-la.
7. D um clique no boto Adicionar na barra de ferramentas boto com um
sinal de + na barra de ferramentas ou pressione Ctrl+I. Ser exibida a janela
Adicionar contadores, na qual voc pode selecionar objetos e adicionar os
contadores a serem monitorados, conforme indicado na Figura 11.2.
NOTA: Os grficos que vo sendo
desenhados na tela do console,
indicam os valores associados com
cada um dos contadores. No
exemplo da Figura 11.1 a taxa de
ocupao do processador chegou a
picos de 100% mas, na mdia,
estava abaixo dos 20%.
Figura 11.2 Janela para adicionar os contadores a serem monitorados.
Na lista Objeto de desempenho, por padro j vem selecionado o objeto Processador. Nesta lista voc pode selecionar
um objeto para o qual sero adicionados contadores a serem monitorados. Ao selecionar um objeto na lista de objetos,
ns lista Selecionar contadores na lista, sero exibidos os contadores relacionados ao objeto selecionado. Um mesmo
contador pode ter uma ou mais instncias. Por exemplo, ao selecionar o contador % tempo de processador, em um
computador com dois processadores, na lista Selecionar instncias na lista, sero exibidas as duas instncias do
referido contador, uma para cada processador. Voc pode monitorar somente uma das instncias ou ambas.
8. Certifique-se de que o objeto Processador esteja selecionado na lista de
Objetos. Na caixa de listagem Selecionar contadores na lista, marque o
contador % tempo de processado. Para ver uma explicao detalhada sobre o
que significa este contador, d um clique no boto Explicar. Ser exibida
uma janela com a descrio do contador selecionado, conforme indicado na
Figura 11.3. Voc pode utilizar o boto Explicar para obter um texto explicativo
sobre qualquer contador selecionado.
NOTA: Um detalhe interessante
que, no mesmo console, voc pode
monitorar contadores de um ou mais
computadores. Por exemplo, voc
pode monitorar a utilizao do
processador de dois ou mais
computadores da rede, utilizando um
nico console Desempenho. Para isso,
na janela da Figura 11.2, digite o
nome do computador no campo
Selecionar contadores do computador.
Digite o nome do computador no
formato \\NomeDoComputador. Ao
digitar o nome e pressionar Enter
sero exibidos os objetos do referido
computador. Selecione um ou mais
contadores. Voc pode fazer isso para
os diversos computadores que sero
monitorados simultaneamente. Com
isso, em um mesmo console, voc
poder monitorar contadores de
diferentes computadores da rede.
NOTA: Veja que no campo Selecionar
contadores do computador, j vem,
por padro, o nome do computador
local, onde foi aberto o cosole de
desempenho. Podemos monitorar o
desempenho de outros computadores
da rede. Por exemplo, para acessar
contadores de um computador
chamado SERVER2, basta digitar
\\SERVER2, neste campo e pressionar
Enter. Em poucos instantes o Windows
Server 2003 exibe uma listagem com
os contadores do computador a ser
monitorado. Voc pode adicionar, para
Figura 11.3 Janela que exibida com a explicao sobre o contador selecionado.
9. D um clique no boto Adicionar, para adicionar o contador % tempo de
processador.
10. Agora hora adicionar um contador para a memria. Primeiro, na lista Objeto de
desempenho, selecione o objeto Memria. Na caixa de listagem Selecionar
contadores na lista, so exibidos os contadores disponveis para o objeto Memria.
11. D um clique no contador % de bytes confirmados em uso. Clique no boto
Adicionar e depois d um clique no boto Fechar. Voc estar de volta ao console
de desempenho, sendo que agora os dois contadores que voc adicionou j esto
sendo monitorados, conforme mostrado pelo grfico da Figura 11.4:
Figura 11.4 Um contador do Processador e outro da Memria, sendo monitorados.
12. Observe que o Processador teve picos de quase 100% de utilizao. J a
memria tem se mantido em torno de 25%. Existem alguns indicadores que
podem nos levar a certas concluses interessantes. Por exemplo, se a taxa de
utilizao do Processador permanecer por longos perodos de tempo, sempre
prxima ou acima de 80%, pode ser um indicativo de que o Processador um
gargalo para o sistema. O processador deve ser substitudo por um Processador
mais rpido, ou a utilizao de mais do que um processador deve ser
considerada. Por outro lado picos de 100% so perfeitamente normais. Quando
voc abre uma aplicativo normal que a utilizao do Processador chegue
prxima dos 100%. O que no pode acontecer uma alta taxa de utilizao
permanente prxima ou superior a 80%.
monitorao, contadores de diferentes
computadores, conforme j descrito
anteriormente. Por exemplo, voc
pode adicionar o Percentual de
ocupao do processador para os
diversos servidores da rede, para
determinar qual ou quais esto com
utilizao excessiva do processador.
13. No nosso exemplo a utilizao da memria (em torno de 25%), est em uma patamar timo. At 60% seria um
valor bastante razovel. Lembrando que picos podem acontecer, o que um indicativo de sobrecarga em um dos
componentes de hardware uma taxa de utilizao constante em patamares elevados.
14. O console de desempenho exibe uma srie de informaes para cada um dos contadores que esto sendo
monitorados. Observe que cada um dos contadores possu um grfico com cor diferente. Na parte de baixo do
console, ao clicar em um contador, voc ir seleciona-lo. Observe que logo abaixo do grfico so exibidas diversas
informaes, dependendo do contador selecionado.
15. Ao selecionarmos o contador % tempo de processador, por exemplo, so exibidas diversas informaes, tais
como: valor mdio, valor mnimo, valor mximo e assim por diante.
16. Para adicionar novos contadores, basta utilizar novamente o boto (Adicionar - boto com um sinal de +) ou
pressionar Ctrl+I.
17. Quando voc est monitorando diversos contadores, pode ser til por em destaque o contador selecionado. Para
isso basta pressionar Ctrl+H, que o contador selecionado ser posto em destaque, isto , ficar com a linha do
grfico mais espessa e destacada.
18. Para retirar o destaque do contador, basta pressionar Ctrl+H novamente.
19. Voc pode excluir um contador, simplesmente clicando no contador, na parte de baixo do console, abaixo do
grfico e teclando Delete.
20. Voc pode alterar diversas propriedades do grfico que exibido no console desempenho, como por exemplo: cor
da linha, cor de fundo, exibir uma grade de referncia, etc. Para acessar estas propriedades, d um clique com o
boto direito do mouse em qualquer parte do grfico. No menu que surge clique em Propriedades.
21. Ser exibida a janela Propriedades de Monitor do sistema, onde atravs das guias Geral, Fonte, Dados,
Grfico e Aparncia, voc pode alterar diversas propriedades da exibio do grfico de desempenho. No
exemplo da Figura 11.5, foram includas grades de referncia. Esta configurao feita atravs da guia
Grfico, da janela de propriedades.
22. Feche o console de desempenho.
PRATIQUE UM POUCO: Abra novamente o console desempenho e adicione alguns contadores do Processador e da Memria. Para
o objeto Processador adicione os contadores Interrupes por segundo e % Tempo privilegiado. Utilize o boto Explicao para exibir a
descrio destes contadores. Altere algumas propriedades do grfico. Altere o campo atualizar automaticamente a cada, de 1 segundo
para 2 segundos. Este campo acessvel atravs da guia Geral das propriedades do grfico. Para acessar as propriedades clique com o
boto direito do mouse em qualquer local do grfico, e no menu que surge d um clique na opo Propriedades.
Figura 11.5 Alterando as propriedades do grfico e incluindo grades de referncia.
Monitorando o acesso ao sistema de discos.
Neste item mostrarei como monitorar alguns contadores dos objetos Disco fsico e Disco lgico. importante lembrar
que o objeto Disco fsico se refere a um disco como um todo, independente de o disco estar dividido em parties
(disco bsico) ou volumes (disco dinmico). J o objeto Disco lgico, refere-se as parties ou volumes, independente
de estarem localizadas em um nico disco, ou distribudas ao longo de vrios discos, como no caso de um Volume
RAID-5 ou de um Volume set.
Agora hora de monitorar alguns contadores dos contadores dos objetos Disco
fsico e Disco lgico.
Exemplo: Monitorando a atividade de discos, usando o console de desempenho.
Para monitorar a atividade do sistema de discos, siga os passos indicados a seguir:
administrador.
Desempenho.
3. No painel da esquerda, clique na opo Monitor do sistema, para marc-la.
4. D um clique no boto Adicionar, na barra de ferramentas boto com um
sinal de + ou pressione Ctrl+I. Ser exibida a janela Adicionar contadores, na
qual podemos adicionar os objetos e respectivos contadores que sero
monitorados.
5. No campo Objeto de desempenho, selecione o objeto Disco fsico. Ser exibida
uma listagem com os discos instalados no seu computador e as parties (ou
IMPORTANTE: nunca demais
lembrar que no Windows NT 4.0 os
contadores para o objeto Disco fsico e
Disco lgico esto desabilitados, por
padro. O objeto disco lgico nem
sequer aparecia na listagem de objetos.
O objeto Disco fsico aparecia na
listagem, mas se voc adicionasse
alguns dos seus contadores, estes
ficariam sempre em zero, uma vez que
estavam desabilitados. Para habilitar os
contadores para os objetos Disco fsico
e Disco lgico, no NT 4.0, era necessrio
executar o seguinte comando: diskperf
y e reinicializar o computador para
que os contadores sejam habilitados. NO
WINDOWS SERVER 2003 NO
volumes no caso de discos de Armazenamento dinmico) criadas em cada
um dos discos. No exemplo da Figura 11.6, so exibidos dois discos: Disco 0
e Disco 1. O espao do Disco 0 todo ocupado pelo Volume C: J o espao
do Disco 1 ocupado pelos volumes volume D:, E: e F: Observe que tambm
exibida uma instncia denominada _Total. A instncia _Total utilizada
para monitorar a atividade somada de todos os discos do sistema. Por exemplo,
se voc selecionar o contador Gravaes em disco por segundo e selecionar a
instncia total, estar sendo monitorada a atividade total combinada de escrita
em todos os discos do servidor.
NECESSRIO ESTE PROCEDIMENTO,
POIS OS CONTADORES,TANTO PARA
DISCO FSCIO QUANTO PARA DISCO
LGICO, ESTO HABILITADOS
AUTOMATICAMENTE.
NOTA: Para o exemplo proposto
estou utilizando um computador
com dois discos fsicos, os quis esto
divididos em um ou mais volumes.
Para este exemplo estou utilizando
um servidor com o Windows Server
2003, em Ingls, o que pode ser
comprovado pelas telas em Ingls.
Conforme visto no Captulo 5,
possvel criar mais de um volume
(disco lgico) em um mesmo disco
fsico. Por exemplo, possvel
dividir um disco de 40 GB em dois
volumes de 20 GB. A cada volume
estaria associada uma letra, como
por exemplo: C: e E: Cada volume
representa um disco lgico, isto ,
uma unidade.
Figura 14.6 Monitorando o objeto Disco fsico.
6. Na caixa de listagem Selecionar contadores na lista, selecione o contador Gravaes em disco por segundo. Este
contador uma medida da freqncia das operaes de gravao em disco. Ele ir indicar a atividade de gravao
de informaes no disco.
7. Na caixa de listagem Selecionar instncias na lista, voc tem a opo de definir se quer monitorar todos os discos
fsicos (_Total), ou somente alguns deles. Esta caixa exibe todas as ocorrncias do objeto Disco fsico, isto ,
exibe todos os discos instalados no computador. Por exemplo, para monitor apenas o Disco 0, clique na opo 0
C: para selecionar esta instncia do contador Gravaes em disco por segundo.
8. D um clique no boto Adicionar, para incluir este contador para monitorao.
9. Agora voc ir monitorar a freqncia de gravao somente do volume E: Para isto, na lista Objeto de desempenho,
selecione o objeto Disco lgico.
10. Na caixa de listagem Selecionar contadores na lista, selecione o contador Disk Gravaes em disco por segundo.
11. Observe que na caixa de listagem da direita, exibida uma lista com todas os volumes disponveis. D um clique
no volume E: (ou em um volume disponvel no servidor que voc est utilizando) para marc-lo.
Figura 11.7 Grfico indicativo da atividade de gravao.
15. A monitorao da atividade dos discos, atravs dos diversos contadores disponveis de grande importncia,
principalmente para servidores que atuam como servidores de disco (basicamente com compartilhamento de
pastas e arquivos) ou Servidores Web para a Internet ou para uma Intranet. Normalmente o sistema de discos a
parte mais lenta do sistema. Muitas vezes pode ser necessria a atualizao para discos mais rpidos ou para a
implementao de nveis de RAID-5 ou RAID-10 baseados em Hardware. Porm estas utilizaes somente se
justificam em servidores com um volume de acesso elevado.
16. Feche o console Desempenho.
Exerccio: Abra novamente o console Desempenho e monitore os seguintes contadores para o Disco fsico, para o
Disco 0: Leituras de disco por segundo e Transferncia de disco por segundo. Utilize o boto Explicar para ver o que
representa cada um destes contadores. Feche o console Desempenho.
Contadores a serem monitorados em servidores.
Na tabela a seguir, da ajuda do Windows Server 2003, apresento uma lista de contadores que a Microsoft recomenda
que sejam monitorados permanentemente nos servidores da rede.
12. D um clique no boto Adicionar, para incluir este contador para monitorao.
13. D um clique no boto Fechar.
14. Voc estar de volta ao console Desempenho, com contadores para monitorar a atividade de gravao do Disco 0
e da partio E:, conforme indicado pela Figura 11.7:
Componente Aspecto do desempenho Contadores a monitorar
sendo monitorado
Disco Uso PhysicalDisk\Leituras de disco/s
PhysicalDisk\Gravaes de disco/s
LogicalDisk\% de espao livre
Interprete cuidadosamente o contador % tempo de disco.
Como a instncia _Total desse contador pode no refletir
com preciso o uso em sistemas de vrios discos,
importante usar tambm o contador % Tempo ocioso.
Observe que esses contadores no podem exibir um
valor acima de 100%.
Disco Gargalos Disco fsico\ Comprimento mdio da fila de disco
(todas as instncias)
Memria Uso Memria\Bytes disponveis
Memria\Bytes de cache
Memria Gargalos ou vazamentos Memria\Pginas/s
Memria\Leituras de pgina/s
Memria\Falhas de transio/s
Memria\Bytes de pool paginvel
Memria\Bytes de memria no-paginvel
Embora no sejam especificamente contadores doobjeto
Memria, as opes a seguir tambm so teis para
anlise de memria:
Arquivo de paginao\% uso (todas as instncias)
Cache\Acertos de mapa de dados %
Servidor\Bytes de pool paginvel e
Servidor\Bytes de memria no-paginvel
Rede Taxa de transferncia Contadores de transmisso de protocolo (varia de acordo
com o protocolo de rede); para TCP/IP:
Interface de rede\Total de bytes/s
Interface de rede\Pacotes/s
Servidor\Total de bytes/s ou Servidor\Bytes
transmitidos/s e Servidor\Bytes recebidos/s
Processador Uso Processador\% tempo de processador ( todas as instncias)
Processador Gargalos Sistema\Comprimento da fila de processador
(todas as instncias)
Processador\Interrupes/s
Sistema\Alternncias de contexto/s
Valores indicativos de limites de desempenho para contadores
Definir exatamente qual o limite aceitvel para o valor de um ou mais contadores no uma cincia exata. Por
exemplo, afirmar que sempre que a taxa de utilizao do processador se mantiver em torno de 80%, por longos
perodos, um indicativo de queda no desempenho ou um indicativo de que o processador deve ser substitudo, no
algo preciso. Claro que existem valores para determinados contadores que servem para disparar o alarme, isto ,
servem para alertar o administrador que uma parte do sistema pode estar sendo responsvel pela queda de desempenho,
ou seja, pode estar sendo o que chamamos de gargalo do sistema.
Na tabela a seguir, da Ajuda do Windows Server 2003, apresento alguns valores para determinados contadores, valores
estes que, pelas recomendaes da Microsoft, devem servir de alerta ao administrador.
Recurso Objeto\Contador Limite sugerido Comentrios
Disco Disco fsico\% de espao livre
Disco lgico\% de espao livre 15%
Disco Disco fsico\% tempo de disco
Disco lgico\% tempo de disco 90%
Disco Disco fsico\Leituras de disco/s, Depende das especificaes Verifique a taxa de
Disco fsico\Gravaes de disco/s fabricante transfernciado
especificada para seus
discos, para ter certeza de
que ela no ultrapassa as
especificaes. Em geral, os
discos Ultra Wide SCSI
podem gerenciar de 50 a
70 operaes de E/S por
segundo. Observe que o
fato de a E/S ser seqencial
ou aleatria pode ter um
forte efeito sobre os valores
de leituras de disco/s e
gravaes de disco/s.
Disco Disco fsico\Comprimento Nmero de eixos mais 2 Esse contador instantneo.
da fila de disco atual Observe seu valor durante
vrios intervalos. Para obter
uma mdia ao longo do
tempo, use Disco fsico\
Comprimento mdio da fila
de disco.
Memria Memria\Bytes disponveis Para computadores com mais Pesquise o uso da memria
memria, mais de 4 MB e adicione memria se
necessrio.
Memria Memria\Pginas/s n pginas/s por arquivo Pesquise a atividade de
de paginao paginao. Observe o
volume de E/S transferido
para os discos com arquivos
de paginao.
Arquivo de paginao Arquivo de paginao\% uso Acima de 70% Revise este valor juntamente
com Bytes disponveis e
Pginas/s para entender a
atividade de paginao do
computador.
Processador Processador\% tempo de processador 85% Descubra o processo que
est usando uma alta
porcentagem do tempo do
processador. Atualize para
um processador mais rpido
ou instale um processador
adicional.
Processador Processador\Interrupes/s Depende do processador; um Um aumento brusco no
bom ponto de partida 1.000 valor desse contador, sem
interrupes por segundo um aumento correspondente
na atividade do sistema,
indica um problema de
hardware. Identifique o
adaptador de rede, o disco
ou outro tipo de hardware
que est causando as
interrupes.
Servidor Servidor\Total de bytes/s Se a soma de Total de
bytes/s para todos os
servidores for aproximada-
mente igual s taxas de
transferncia mximas de
sua rede, convm
segmentar a rede.
Servidor Servidor\Falta de itens de trabalho 3 Se o valor atingir este
limite, considere adicionar
as entradas DWORD
InitWorkItems (o nmero de
itens de trabalho alocados
para um processador
durante a inicializao) ou
MaxWorkItems (o nmero
mximo de buffers de
recebimento que um
servidor pode alocar) ao
Registro (em HKEY_LOCAL_
MACHINE\SYSTEM\Current
ControlSet\Services\
LanmanServer\Parameters).
A entrada InitWorkItems
pode variar de 1 a 512,
enquanto MaxWorkItems
pode variar de 1 a 65.535.
Comece por qualquer valor
para InitWorkItems e um
valor igual a 4.096 para
MaxWorkItems e dobre
esses valores at que o
limite de Servidor\Falta de
itens de trabalho fique
abaixo de 3.
Servidor Servidor\Pico de pool paginvel Quantidade de RAM fsica Esse valor um indicador
do tamanho mximo do
arquivo de paginao e da
quantidade de memria
fsica.
Servidor Filas de trabalho do servidor\ 4 Se o valor atingir esse
Comprimento da fila limite, poder haver um
gargalo no processador.
Esse contador instantneo.
Observe seu valor durante
vrios intervalos.
Vrios processadores Sistema\Comprimento da 2 Esse contador instantneo.
fila de processador Observe seu valor durante
vrios intervalos.
Claro que estes so apenas valores sugeridos, os quais servem como alertas para o administrador. Conforme descrito
anteriormente, o processo de monitorao um processo contnuo, de acompanhamento na evoluo dos principais
contadores, sugeridos anteriormente.
A seguir apresento de uma forma resumida, os principais contadores e respectivos limites, ou seja, valores que podem
indicar que o problema com o respectivo componente:
Processador\% tempo de processador: No deve estar por longos perodos acima dos 80%
Sistema\Comprimento da fila de processador: No deve ser maior do que 2.
LogicalDisk\Comprimento da fila de disco atual: Se este valor estiver constantemente acima de 2, o sistema de
discos deve ser substitudo por um sistema mais rpido. Por exemplo, se os discos forem IDE, voc pode substituir
por um sistema SCSI. Outra alternativa implementar um Volume Set sem Paridade.
LogicalDisk\Comprimento da fila de disco atual: Valem os mesmos comentrios do item anterior.
Memria\Pginas/s: Um valor maior do que 20, pode indicar a necessidade de um Upgrade de memria,
normalmente com a adio de mais memria RAM.
Memria\Bytes confirmados: Deve ser sempre menor do que a quantidade total de memria instalada.
Configurando o console Desempenho para capturar dados
automaticamente.
Na introduo sobre a monitorao de desempenho, falei sobre a possibilidade de
configurar o console Desempenho para efetuar a captura automtica de dados,
conforme destacado no trecho a seguir:
Tambm possvel configurar o console Desempenho para que seja feita a
captura de dados automaticamente. O administrador pode configurar o console
desempenho para que sejam capturados dados sobre os Objetos/contadores a
serem monitorados. Com base nesta captura, o administrador pode verificar os
limites normais de operao para componentes como o Processador, memria
RAM e assim por diante. Depois faz-se um monitoramento contnuo e compara-
se os resultados obtidos com os limites de operao obtidos em outras medies.
Quando um determinado componente comear a apresentar aumento na sua taxa
de utilizao o administrador deve verificar o motivo para este aumento e, se for
o caso, providenciar a substituio do elemento que est apresentando elevao
em suas taxas de utilizao, antes que a sua taxa de utilizao atinja limites que
possam comprometer o desempenho do servidor.
IMPORTANTE: Certifique-se de
que voc conhece os limites para os
contadores da lista anterior e que
entendeu o funcionamento de cada
um destes contadores. Este um
ponto importante para o exame.
Conforme pode ser concludo pelo pargrafo anterior, o principal objetivo em configurar a coleta automtica de dados
para determinar quais as taxas normais de utilizao dos componentes a serem monitorados, em situao normal de
uso. Depois so feitas novas observaes para acompanhar a evoluo destas taxas de ocupao, para poder agir
preventivamente quando um determinado componente estiver atingindo nveis elevados de utilizao.
A captura automtica de dados feita utilizando a opo Logs e alertas de desempenho, do console Desempenho.
Com esta opo, voc pode coletar automaticamente dados de desempenho de computadores locais ou remotos. Voc
pode visualizar os dados que foram gravados no log usando a opo Monitor do sistema ou exportar os dados para
programas de planilha ou banco de dados, para fins de anlise e gerao de relatrios. Por exemplo, voc pode importar
os dados gravados em um log de desempenho, para um banco de dados do Microsoft Access e utilizar estes dados para
a criao de relatrios personalizados.
Com a opo Logs e alertas de desempenho, esto disponveis os seguintes recursos:
Coleta de dados em formato separado por vrgulas ou por tabulaes para facilitar a importao por programas
de planilha ou programas de banco de dados. fornecido tambm um formato de arquivo de log binrio para
registro em log circular ou para registro em log de instncias, como segmentos ou processos, que podem comear
depois do incio da coleta de dados. (O registro em log circular o processo de registro contnuo de dados em um
nico arquivo, sobrescrevendo os dados anteriores com novos dados.)
Voc tambm pode coletar dados em formato de banco de dados SQL. Essa opo define o nome de um banco
de dados SQL e conjunto de logs existentes dentro do banco de dados em que os dados de desempenho sero
lidos ou gravados. Esse formato de arquivo til ao coletar e analisar dados de desempenho de toda a empresa,
em vez de servidor por servidor. Por exemplo, a partir de um nico console Desempenho, voc pode obter
dados sobre diversos servidores da rede e armazenar estes dados centralizadamente em um nico banco de
dados do SQL Server.
Os dados do contador coletados podem ser visualizados durante a coleta ou
aps seu trmino.
Como o log funciona da mesma maneira que um servio do Windows Server
2003, a coleta de dados ocorre independentemente de haver um usurio logado
ou no, no servidor que est sendo monitorado.
Voc pode definir os momentos de incio e parada, nomes de arquivos,
tamanho mximo de arquivo e outros parmetros para a gerao
automtica do log.
Voc pode gerenciar vrias sesses de log em uma nica janela de console.
Voc pode definir um alerta em um contador, especificando que uma mensagem
seja enviada, um programa seja executado e uma entrada seja feita no log de
eventos do Windows Server 2003 ou um log seja iniciado quando o valor do
contador selecionado for superior ou inferior a uma configurao especificada.
Por exemplo, voc pode monitorar a taxa de utilizao do processador e solicitar
que o Administrador seja avisado quando esta taxa ultrapassar um determinado
patamar, digamos 85 %, ou voc pode monitorar o espao livre em todas as
unidades de disco ou em todos os volumes, de todos os servidores da rede e
pedir que seja disparado um alerta para o administrador, sempre que uma
unidade apresentar espao livre inferior a 20%.
Exemplo: Verificando as opes de configurao e inicializao do servio Logs
e alertas de desempenho.
administrador..
2. Abra o console Servios que est disponvel no menu Ferramentas
administrativas.
3. Localize o servio Logs e alertas de desempenho e verifique o valor indicado
na coluna Tipo de inicializao. Se o valor desta coluna estiver em Manual,
significa que o servio no est sendo inicializado automaticamente. Se for
este o caso, d um clique duplo no servio para exibir a janela coma as
propriedades do servio.
IMPORTANTE: Lembre-se que
quando houver a necessidade de
capturar dados de desempenho de
diversos servidores e consolidar
estas dados em um nico banco de
dados, a opo mais indicada
fazer com que os dados obtidos,
sejam gravados em um banco de
dados do SQL Server 2000.
NOTA: Para que a coleta de dados
possa funcionar corretamente, o
servio Logs e alertas de
desempenho deve ter sido
inicializado corretamente. Antes de
prosseguir voc ir verificar (no
exemplo logo a seguir) se este
servio est configurado para
inicializao automtica. Caso no
esteja, ir configur-lo para que
seja inicializado automaticamente.
Figura 11.8 Configurando o servio Logs e alertas de
desempenho para iniciar automaticamente.
5. Clique no boto Iniciar para fazer com que o servio seja inicializado imediatamente.
6. Surge a mensagem indicada na Figura 11.9:
4. Na janela de propriedades do servio, na guia Geral, altere o tipo de inicializao para Automtica, conforme
Figura 11.9 Mensagem sobre o servio Logs e alertas de desempenho.
Esta mensagem informa que o servio foi inicializado e encerrado, pois no momento no existe nenhuma coleta de
dados em andamento. Porm o Windows Server 2003 ir iniciar o servio automaticamente, quando uma coleta de
dados for configurada. O Windows Server 2003 detecta que o servio deve estar ativo para que a coleta de dados possa
ser feita e inicializa o servio automaticamente.
7. Clique em OK para fechar a mensagem de aviso. Voc estar de volta janela de propriedades do servio. Clique
em OK para fecha-la.
8. Feche o console Servios.
Uma vez estando configurado corretamente o servio Logs e alertas de desempenho, temos disposio s seguintes
funcionalidades:
Iniciar e parar o log manualmente, por demanda ou automaticamente, com base em um agendamento definido
pelo usurio.
Definir configuraes adicionais para log automtico, como renomear o arquivo automaticamente e definir
parmetros para parar ou iniciar um log com base no tempo decorrido ou no tamanho do arquivo.
Criar logs de rastreamento. Usando o provedor de dados do sistema padro do Windows Server 2003 ou outro
provedor de aplicativos, os logs de rastreamento registram detalhadamente os eventos de aplicativos do sistema,
quando ocorrem certas atividades, como uma operao de entrada/sada (E/S) de disco ou uma falha de pgina.
Quando o evento ocorre, o Windows Server 2003 registra os dados em um arquivo de log especificado pelo
servio de logs e alertas de desempenho. Isso difere da operao dos logs de contadores. Quando eles esto em
uso, o servio obtm dados do sistema no fim do intervalo de atualizao, em vez de esperar por um evento
especfico. Uma ferramenta de anlise necessria para interpretar o resultado do log de rastreamento.
Definir um programa que seja executado quando um log for parado. Por exemplo, voc pode configurar que seja
executado um script que copia os arquivos com os dados para um drive da rede, onde o arquivo ser importado
em um banco de dados. O script tambm pode ser configurado para enviar uma mensagem para o Administrador.
Agora voc acompanhar alguns exemplos prticos de coleta de dados.
Exemplo 1: Configurar o servio de logs e alertas para monitorar a taxa de ocupao
do Processador. Sero monitorados os seguintes contadores:
% tempo de processador
Interrupes/s
Os dados devero ser obtidos em intervalos de 05 segundos e salvos em um arquivo
do tipo texto. Os dados devero ser gravados no arquivo C:\Monitora o
processador_000001.csv.
Para fazer o acompanhamento proposto e gerar o arquivo de log, siga as seguintes etapas:
administrador.
Desempenho.
3. No painel da esquerda, clique no sinal de + ao lado da opo Logs e alertas
de desempenho. Sero exibidas as opes indicadas na Figura 11.10.
NOTA: Se voc desejar exportar
dados do log para o Microsoft Excel,
o servio de logs e alertas de
desempenho dever ser parado,
porque o Microsoft Excel exige acesso
exclusivo ao arquivo de log. No h
informaes sobre outros programas
que exijam esse acesso exclusivo.
Portanto, voc geralmente pode
trabalhar com dados de um arquivo
de log enquanto o servio estiver
coletando dados para esse arquivo.
Para parar o servio de logs e alertas
utilize o console Servios, conforme
descrito no exemplo anterior.
Figura 11.10 Opes de configurao
para logs e alertas de desempenho.
4. Clique na opo Logs do contador. Observe que, por padro, j existe um log configurado. Este log, chamado
Viso geral do sistema, coleta dados de um conjunto de objetos/contadores, os quais fornecem uma viso geral do
desempenho do servidor. Voc pode iniciar a coleta de dados para este log, clicando nele para marc-lo e depois
selecionando o comando Ao -> Iniciar ou clicando no boto Iniciar (boto com o desenho de um pequeno
tringulo para a direita).
5. Neste exemplo voc ir criar um novo log. Para criar um novo log clique na opo Logs do contador e selecione
o comando Ao -> Novas configuraes de log. Surge uma janela solicitando o nome do novo Log. Digite
Monitora o processador, conforme indicado na Figura 1111 e clique em OK.
Figura 11.11 Definindo um nome para o novo log.
Surge a janela Monitora o processador, na qual nos temos as seguintes guias:
Geral: Esta guia utilizada para definir quais objetos/contadores faro parte
do log, definir uma descrio para o log, definir o intervalo de coleta dos
dados e definir se o log executar no contexto do usurio padro do sistema
ou no contexto de uma conta de usurio especfica.
Arquivos de log: Nesta guia voc define o formato para o arquivo de log, a
forma de nomeao dos arquivos, um comentrio e se os arquivos existentes
devem ser sobrescritos ou mantidos. Voc somente poder acessar esta guia
se tiver adicionado pelo menos um objeto ou contador, usando a guia Geral.
Agendar: Nesta guia o administrador pode definir um agendamento para a
coleta. Por exemplo, de segunda a sexta-feira, das 8:00 as 18:00.
Agora voc adicionar os contadores % tempo de processador e Interrupes/s,
do objeto Processador.
6. Clique na guia Geral. Clique no boto Adicionar contadores... Ser exibida a
janela Adicionar contadores que voc j utilizamos nos exemplos anteriores.
Adicione os contadores % tempo de processador e Interrupes/s, do objeto
Processador e clique em Fechar.
7. No campo Intervalo, defina um intervalo de 5 segundos para a coleta dos
dados. A guia Geral deve estar conforme indicado na Figura 11.12:
NOTA: No pode haver nenhum
log selecionado, seno a opo No-
vas configuraes de log..., no ser
exibida no menu Ao. Se esta
opo no estiver sendo exibida,
clique novamente na opo Logs do
contador, no painel da esquereda.
Isso far com que qualquer log que
esteja marcado, seja desmarcado.
Figura 11.12 Configuraes da guia Geral, para o exemplo proposto.
8. Clique na guia Arquivos de log. Para o formato selecione Arquivo de texto (delimitado por vrgulas). Clique no
boto Configurar... para definir o local onde ser criado o arquvio de log e um tamanho mximo.
9. Ao clicar no boto Configurar ser exibida a janela Configurar Arquivos de log). Defina as configuraes indicadas
na Figura 11.13:
Figura 11.13 Definindo configuraes para o arquivo de log.
10. Clique em OK para fechar a janela Confgurar arquivos de log.
11. Voc estar de volta guia Arquivos de log. Clique na guia Agendar.
12. Defina um agendamento para que a coleta seja iniciada e encerrada. Por exemplo, configure o log para iniciar em
uma data e horrio especficos, conforme exemplo indicado na Figura 11.14. Nesta guia voc tambm pode
definir o que deve ser feito, caso o arquivo de log atinja o seu tamanho mximo. Esto disponveis as seguintes
opes: Iniciar um novo arquivo de log ou Executar este comando.
Figura 11.14 Definindo um agendamento para a coleta de dados.
13. Clique em OK. Voc estar de volta ao console Desempenho. O log Monitora o processador foi criado e iniciar
a coleta de dados no horrio determinado, conforme configuraes definidas na guia Agendar. Observe que o log
Monitora o processador j aparece na lista de logs, juntamente com o log Viso geral do sistema, sendo que este
ltimo automaticamente criado pelo Windows Server 2003, conforme descrito anteriormente.
14. O administrador pode fazer com que o log inicie a coleta de dados imediatamente,
independente do agendamento definido. Para isso clique no log Monitora o
processador para marc-lo e selecione o comando Ao -> Iniciar.
15. O log ser inicializado e os dados comearo a ser capturados e salvos no
arquivo C:\Monitora o processador_000001.csv. Aguarde uma meia-hora para
que o Windows Server 2003 possa coletar uma boa quantidade de dados.
Observe que aps ser inicializado, o pequeno cone, ao lado do nome do log
alterna para a cor verde. Este um indicativo de que o log est em execuo.
NOTA: Se voc precisar alterar
alguma configurao de um log,
basta dar um clique duplo no
respectivo log que ser exibida a
janela com as propriedades do log,
onde voc ter acesso s guias
Geral, Arquivos de log e Agendar.
16. Para suspender a execuo do log e a coleta dos dados, basta clicar no log a ser suspenso e depois selecionar o
comando Ao -> Parar. Voc tambm pode clicar com o boto direito do mouse no log e, no menu que exibido,
clicar na opo Parar.
17. Aps meia-hora de coleta, suspenda a execuo do log.
Agora vamos analisar os dados obtidos, os quais foram gravados no arquivo
C:\Monitora o processador_000001.csv.
18. Feche o console desempenho.
Exemplo 2: Analisando os dados obtidos com o log Monitora o processador, criado
no exemplo anterior.
Para abrir o arquivo com os dados obtidos, faa o seguinte:
1. Faa o logon como Administrador ou com uma conta do tipo Administrador
do computador.
2. Abra o Bloco de notas.
3. Abra o arquivo C:\Monitora o processador_000001.csv.
4. Na listagem a seguir temos uma amostra dos dados de monitorao que foram
salvos:
NOTA: Alm do menu Ao, voc
tambm pode utilizar o boto direito
do mouse, clicando no respectivo log,
para ter acesso aos comandos Iniciar
e Parar. Na barra de ferramentas do
console Desempenho, existe o boto
Iniciar - boto com o desenho de um
pequeno tringulo e o boto Parar -
boto com o desenho de um pequeno
quadrado.
05/01/2002 16:31:04.511,99.99991106930112",237.43538236310363",Monitora o processador
**********************************************************************************
A listagem apresenta dados para cerca de 4 minutos, com incio em 16:31:04.511 e trmino em 16:35:04.864. A
primeira coluna representa o horrio da coleta do dado, a segunda coluna o valor correspondente ao contador %
tempo do processador, a terceira coluna o valor correspondente ao contador Interrupes/s. A quarta e ltima
coluna o nome do log, nome este que definido pelo usurio quando da criao do log, conforme visto
anteriormente.
Observe que existe um intervalo de 5 segundos entre uma linha e outra, que exatamente o intervalo que voc
configurou no exemplo de criao do log.
5. Feche o Bloco de Notas.
Com os dados no formato .csv, voc pode import-los facilmente para o Excel ou para o Access, para fazer uma srie
de anlises, usando as ferramentas destes programas. Por exemplo, voc pode utilizar os dados para calcular a taxa
mdia de ocupao do processador, ou o nmero mdio de interrupes por segundo. O formato .csv pode ser aberto
diretamente no Excel e facilmente importado pelo Microsoft Access.
A seguir coloco uma lista resumida (em relao a lista apresentada anteriormente) dos contadores mais comumente
utilizados para verificao do desempenho do computador como um todo e que so candidatos a serem configurados
para coleta automtica, utilizando logs de desempenho. Esta lista obtido na documentao oficial do Windows
Server 2003.
Contadores para identificar gargalos em recursos de memria:
Memria\Bytes disponveis
Memria\Pginas/s
Contadores para identificar gargalos em recursos de disco:
PhysicalDisk -> % tempo de disco e % Tempo ocioso
PhysicalDisk -> Leituras de disco/seg e Gravaes de disco/seg
PhysicalDisk -> Comprimento mdio da fila de disco
LogicalDisk -> % de espao livre
Contadores para identificar gargalos em recursos do processador:
Processador -> Interrupes por segundo
Processador -> % tempo de processador
Processo(processo) -> % tempo de processador
Sistema -> Comprimento da fila de processador
Contadores para identificar gargalos em recursos de rede:
Interface de rede ->Total de bytes/segundo, Bytes enviados/s e Bytes
recebidos/s
Objeto_de_camada_de_protocolo -> Segmentos recebidos/s, Segmentos
enviados/s, Quadros enviados/s e Quadros recebidos/s
Servidor -> Total de bytes/segundo, Bytes recebidos/s e Bytes enviados/s
Contadores para identificar gargalos em recursos de impressora:
Fila de impresso -> Bytes impressos/s
Fila de impresso -> Erros de trabalhos
Montando grficos de desempenho a partir de informaes de
arquivos de log.
possvel utilizar o console Desempenho para acessar as informaes gravadas
em um arquivo de log, como o que criamos no exemplo anterior. Ao abrir o arquivos
podemos especificar para quais contadores queremos montar o grfico. Quando
abrimos um arquivo de log, evidentemente, somente estaro disponveis os
contadores para os quais foram salvas informaes no arquivo.
Vamos a um exemplo prtico, onde acessaremos informaes do arquivo
C:\Monitora o processador_000001.csv, criado no exemplo anterior.
Exemplo: Acessando os dados de um arquivo de log j existente.
IMPORTANTE: Monitore
contadores de memria para
determinar se a paginao excessiva
est sobrecarregando o disco.
Quando o computador tem pouca
memria, o Windows Server 2003
obrigado a utilizar intensivamente o
arquivos de paginao (Swap). O
arquivo de trocas fica na raiz do disco
C:, com o nome de pagefile.sys ou
pode tambm ficar em outros discos
e at mesmo distribudos em dois ou
mais discos, conforme configuraes
efetuadas pelo administrador. Com
o uso intensivo do arquivo de trocas,
as taxas de utilizao do disco rgido
aumentam significativamente,
porm o problema no com o
sistema de discos e sim devido a falta
de memria (que a causa da
paginao excessiva). Ao acrescentar
mais memria RAM, voc ir reduzir
a utilizao do arquivo pagefile.sys
e, conseqentemente, reduzir as
taxas de utilizao do disco rgido.
NOTA: Um nmero muito elevado
de Interrupes por segundo pode
ser causado por problemas em um
dispositivo de Hardware, ou em um
driver de hardware, conforme
Para acessar os dados do arquivo C:\Monitora o processador_000001.csv, siga os seguintes passos:
1. Faa o logon como Administrador, ou com uma conta com permisso de administrador.
2. Abra o console Desempenho: Iniciar -> Ferramentas administrativas -> Desempenho.
3. Ser aberto o console de monitorao de desempenho, com alguns indicadores j adicionados, conforme descrito
anteriormente.
4. Para limpar as configuraes atuais clique no boto Novo conjunto de contadores, que o primeiro boto da barra
de ferramentas ou pressione Ctrl+E. Todos os contadores sero excludos. Agora voc ir carregar o arquivo de
log C:\Monitora o processador_000001.csv, criado anteriormente.
5. Clique no boto Exibir dados de logs, que o quarto boto da esquerda para a direita, na barra de ferramentas, ou
pressione Ctrl+L. Ser exibida a janela Propriedades do Monitor do sistema, com a guia Fonte j selecionada.
Voc utiliza a guia Fonte para informar o arquivo de log a ser carregado.
6. Na guia Fonte clique na opo Arquivos de log e depois clique no boto Adicionar... Ser aberta a janela Selecionar
Arquivo de Log. Selecione o arquivo C:\Monitora o processador_000001.csv, conforme indicado na Figura 11.15:
Figura 11.15 Selecionando o arquivo de log a ser carregado.
7. Clique no boto Abrir. Voc estar de volta a guia Fonte, com o arquivo C:\Monitora o processador_000001.csv j
selecionado.
8. Clique em OK e o arquivo de log ser carregado. Por padro ainda no esto sendo exibidas informaes sobre os
contadores do arquivo de log. Esta a prxima etapa, dentre os contadores que existem no arquivo de log, para
qual ou quais queremos exibir informaes??
9. Clique no boto Adicionar - boto com um sinal de + ou pressione Ctrl+I. Ser exibida a janela Adicionar contadores.
Abra a lista objeto de desempenho. Observe que somente aparece o objeto Processador. Isto acontece porque, no
arquivo de log que abrimos, somente existem informaes sobre os contadores % tempo do processador e
Interrupes/s do objeto Processador.
10. Na lista Selecione contadores da lista, selecione o contador % tempo do processador e clique no boto Adicionar.
Figura 11.16 Grfico montado com informaes do arquivo de log.
Voc pode fazer com que o grfico seja baseado apenas em um determinado perodo e no em toda a janela de tempo
do arquivo de log. Agora voc aprender a limitar o perodo de tempo no qual o grfico baseado.
13. Clique com o boto direito do mouse em qualquer parte do grfico. No menu de opes que exibido clique em Propriedades.
11. Clique em Fechar.
12. Voc estar de volta ao console Desempenho. Observe que foi montado um grfico com os valores do contador %
tempo do processador Time, para o perodo contido no arquivo de log, que conforme podemos observar na Figura
11.16 de 20 minutos e 1 segundo.
Figura 11.17 Definindo uma janela de tempo.
14. Na janela de propriedades que exibida, d um clique na guia Fonte.
15. Na parte de baixo da janela existem dois controles deslizantes, que voc pode deslocar para definir uma janela de
tempo na qual o grfico ser baseado, conforme exemplo da Figura 11.17.
16. Defina uma janela de tempo e clique em OK.
17. Voc estar de volta ao console Desempenho.
18. Observe que o perodo dos dados j foi limitado, conforme pode ser conferido no campo Durao, nos campos
logo abaixo do grfico.
19. Agora voc ir configurar algumas propriedades do grfico.
20. Clique com o boto direito do mouse em qualquer parte do grfico. No menu de opes que exibido clique em
Propriedades.
21. Na janela de propriedades que exibida, d um clique na guia Grfico. Nesta guia voc pode definir um ttulo
para o grfico, se sero exibidas grades verticais e horizontais, bem como definir a escala do eixo vertical. Defina
as opes conforme indicado na Figura 11.18:
Figura 11.18 Configurando opes do grfico.
22. Clique em OK e observe que as alteraes j so aplicadas ao grfico.
23. Veja que o grfico fica com um aspecto bem melhor, conforme indicado na Figura 11.19:
Figura 11.19 O grfico aps as formataes.
Utilizando Alertas para monitorar situaes limite.
O administrador pode configurar alertas com base em contadores de desempenho. Por exemplo, posso configurar um
alerta que disparado sempre que um determinado contador atinge um valor limite. Podem ser configuradas diferentes
aes como resposta a um alerta: Enviar uma mensagem para um usurio, normalmente o Administrador, Gravar um
evento no log de eventos do Windows Server 2003, executar um programa ou iniciar a captura de dados de desempenho,
com base nas configuraes de um log pr-definido.
A seguir apresento um exemplo prtico de criao de um alerta com base no valor limite de um contador.
Exemplo:Criar um alerta que ser disparado sempre que o contador % tempo do processador ultrapassar 5%. Como
resposta ao alerta, uma mensagem deve ser enviada para o usurio Administrador.
Para criar o alerta proposto siga os seguintes passos indicados a seguir:
administrador.
Desempenho.
3. No painel da esquerda, clique no sinal de + ao lado da opo Logs e alertas
de desempenho.
4. Clique na opo Alertas. Observe que, por padro, nenhum Alerta criado.
5. Vou criar um novo Alerta para monitorar o contador % tempo de processador.
6. Para criar um novo Alerta selecione o comando Ao -> Novas configuraes
de alerta...
NOTA: Evidentemente que 5%
um valor muito baixo. Estou
utilizando este valor apenas para
forar que o alerta seja disparado
e com isso voc possa conferir se a
mensagem est realmente sendo
enviada para o Administrador.
Figura 11.20 Definindo o nome do Alerta que est sendo criado.
8. Ser exibida a janela Alerta-Teste com as guias Geral, Ao e Agendar, na qual voc define as caractersticas do
Alerta que est sendo criado.
9. O primeiro passo adicionar o contador (ou os contadores) que sero monitorados. Na guia Geral d um clique no
boto Adicionar... Ser exibida a janela Adicionar contadores, a qual j foi utilizada em exemplos anteriores. Na
lista de objetos selecione Processador e na lista de contadores selecione % tempo de processador. Clique no boto
Adicionar e depois clique no boto Fechar. Voc estar de volta guia Gera) da janela do alerta.
10. Na guia Geral voc tambm pode definir um comentrio e o valor limite para o contador que foi adicionado. No
nosso exemplo digite 5, no campo Limite e certifique-se de que na lista Alertar quando o valor for, esteja selecionado
Superior a. Com isso estou configurando o alerta para ser disparado quando o contador % tempo de processador
atingir um valor superior a 5%. Suas configuraes devem estar conforme indicado na Figura 11.21:
7. Surge uma janela solicitando que voc digite um nome para o Alerta que est sendo criado. Digite Alerta-Teste,
conforme indicado na Figura 11.20 e clique em OK.
Figura 11.21 Configuraes da guia Geral.
11. D um clique na guia Ao. Nesta guia voc define uma ou mais aes que sero executadas quando o Alerta for
disparado. Para o nosso exemplo quero apenas que uma mensagem seja enviada para o usurio Administrador.
Defina as configuraes conforme indicado na Figura 11.22:
Figura 11.22 Configuraes da guia Ao.
12. Clique em OK e o Alerta ser criado e j ser inicializado. Alertas podem ser iniciados e parados, assim como
Logs para a captura automtica de dados que tambm podem ser iniciados e parados. Para parar um Alerta que
est em andamento, clique no boto Parar - boto com o desenho de um quadradinho ou clique com o boto
direito do mouse no Alerta e, no menu de opes que exibido, clique em Parar. A ao associada ao Alerta
somente ser disparada enquanto o Alerta estiver em execuo.
13. Na Figura 11.23 mostro o exemplo da mensagem que enviada para o usurio Administrador quando o Alerta
deste exemplo disparado, ou seja, quando o contador % tempo de processador atingir mais do que 5%. Esta
mensagem foi enviada na estao de trabalho onde o administrador estava logado, que no exemplo era uma
estao de trabalho com o Windows XP Professional. Ou seja, a mensagem enviada para onde o administrador
estiver logado, independente do servidor onde est configurado o alerta.
Figura 11.23 Mensagem enviada em resposta ao Alerta.
Concluso
Neste captulo voc aprendeu sobre a importncia da monitorao de diversos elementos de hardware dos servidores,
para trabalhar de uma maneira pro-ativa, antecipando futuras necessidades de atualizao de hardware.
Tratei de diversos assuntos relacionados a monitorao de desempenho do servidor. Voc aprendeu a utilizar as diversas
opes do console desempenho, para executar aes tais como:
Criar um grfico de monitorao de desempenho.
Configurar a captura automtica de dados de desempenho.
Criar alertas.
Tambm apresentei a lista dos principais contadores e respectivos valores limites, ou seja, valores que quando atingidos
durante perodos prolongados de tempo, so indicativos de problemas no desempenho.
No prximo captulo voc aprender sobre a recuperao a desastres, ou seja, como botar o servidor para funcionar,
aps a ocorrncia de problemas mais graves, os quais muitas vezes fazem com que o Windows Server 2003 deixe de
inicializar.
Introduo
Neste captulo trataremos de assuntos relacionados com a inicializao do Win-
dows Server 2003 (processo de boot) e com tcnicas para recuperao do Win-
dows Server 2003 quando por algum motivo (configuraes incorretas, erros de
operao, etc) o sistema no consegue inicializar normalmente ou inicializa com
problemas que impedem o seu correto funcionamento. Trataremos , dentre outros,
dos seguintes assuntos:
O Processo de boot do Windows Server 2003.
O Registro do sistema Registry.
O Modo Seguro de inicializao.
Last Know good Configuration.
Entendendo e usando o Console de Recuperao do Windows Server 2003.
Criando disquetes de recuperao e de boot.
NOTA: Tambm parte importante do processo de recuperao a desastres do Windows
Server 2003, as operaes de Backup e Restore do Active Directory, as quais foram
abordadas no Captulo 8.
Vamos iniciar o captulo falando sobre o processo de boot do Windows Server
2003. Mostrarei que, em grande parte, este processo muito semelhante ao
processo de boot do Windows 2000 e do Windows XP. Ser apresentada a
seqncia de passos do processo de boot, bem como detalhes sobre os problemas
que podem ocorrer em cada etapa. importante que o leitor entenda o processo
de boot do Windows Server 2003, pois em determinadas situaes muito mais
simples corrigir um problema que ocorre na inicializao do que ter que reinstalar
o Windows Server 2003 novamente. Para o usurio residencial, que tem um
nico computador, reinstalar o Windows Server 2003 pode no ser problema
em termos do tempo necessrio para esta tarefa. Agora imagine a situao de
uma rede empresarial, com milhares de computadores conectados em rede.
Sempre que possvel, a equipe de suporte deve resolver o problema e no
simplesmente reinstalar o Windows Server 2003. Pois alm de economizar
tempo, o usurio poder voltar a utilizar a mquina quanto antes, o que significa
menor tempo de parada.
Ainda dentro do contexto do processo de boot do Windows Server 2003 falarei
sobre a Registry do Windows Server 2003. A Registry um banco de informaes
sobre as configuraes do Windows Server 2003 e dos diversos aplicativos
instalados. A Registry de fundamental importncia para o Windows, a ponto de
o Windows Server 2003 simplesmente no inicializar se ele no tiver acesso ao
banco de informaes da Registry. Antes do lanamento do Windows 2000 havia
rumores de que a Registry seria extinta e todas as informaes de configurao
seriam armazenadas no Active Directory. Porm forem apenas Rumores, ou seja,
mesmo no Windows Server 2003 a Registry continua presente e fundamental
para o funcionamento do Sistema. As informaes da Registry ficam gravadas
C A P T U L O
12
Ferramentas de recuperao
a desastres
em arquivos na seguinte pasta: C:\WINDOWS\system32\config. Supondo que o Windows Server 2003 esteja instalado
no drive C:, na pasta C:\Windows.
Em seguida trataremos de dois tpicos importantes para a resoluo de problemas de inicializao no Windows Server
2003. O Modo seguro uma opo de inicializao, na qual podemos carregar o Windows Server 2003 apenas com
um nmero mnimo de drivers, necessrios ao seu funcionamento. Podemos utilizar o Modo Seguro para inicializar o
Windows Server 2003 e desinstalar algum driver com problemas ou alterar configuraes que foram feitas incorretamente
e esto impedindo a inicializao do Windows Server 2003 no modo normal. A opo Last Know Good Configuration
est relacionada com as configuraes da Registry e ser explicada em detalhes neste captulo.
importante salientar que os tpicos apresentados neste captulo so valiosos, principalmente para quem d suporte
a computadores com o Windows Server 2003 instalado. So tpicos que ajudam a restaurar o Windows Server 2003 a
um estado normal de funcionamento quando surgem problemas.
Entendendo o processo de boot do Windows Server 2003
Neste tpico mostrarei como funciona o processo de boot (inicializao) do Windows Server 2003. O processo de
boot comea quando voc liga o computador e se encerra com o logon no sistema. Analisarei as cinco fases do
processo de boot:
Seqncia de pr-boot
Seqncia de boot
Carga do kernel
Inicializao do kernel
logon
Para que cada fase do processo de boot possa acontecer com sucesso, determinados arquivos so necessrios. Na
tabela 12.1 esto listados os arquivos necessrios a cada fase do processo de boot. Systemroot indica a pasta onde
esto os arquivos do Windows Server 2003 esto instalado, por padro C:\Windows, mas pode ser uma pasta diferente,
dependendo de onde foi instalado o Windows Server 2003.
Tabela 12.1 Arquivos utilizados no processo de boot do Windows Server 2003.
Arquivo Localizao Fase
Ntldr Raiz da partio de sistema C:\ Pr-boot e boot
Boot.ini Raiz da partio de sistema C:\ boot (*)
Bootsect.dos Raiz da partio de sistema C:\ boot
Ntdetect.com Raiz da partio de sistema C:\ boot
Ntoskrnl.exe systemroot\System32 Carga do kernel.
Hal.dll systemroot\System32 Carga do kernel
System systemroot\System32\Config Inicializao do kernel
Device drivers systemroot\System32\Drivers Inicializao do kernel
Na seqncia, apresentamos um pequeno resumo de cada uma das fases envolvidas
no processo de boot.
1. Seqncia de pr-boot: Aps ligado o computador, uma srie de testes de
hardware e deteco de dispositivos Plug and Play processada. O partio
ativa localizada e o setor de boot desta partio carregado na memria e
executado. O arquivo Ntldr carregado na memria e inicializado. Este arquivo
que inicia o processa de carga do Windows Server 2003.
2. Seqncia de boot: Aps ter carregado o arquivo Ntldr na memria, a
seqncia de boot detecta informaes sobre o hardware e os respectivos
drivers, em preparao para as fases de carregamento do Windows Server
2003. Dentro da fase de seqncia de boot, temos quatro etapas bem distintas,
conforme descrito a seguir:
Fase inicial de carga do boot: Nesta subfase, o Ntldr altera o processador
do modo real de memria para o modo de 32 bit, o qual requerido para
a carga das demais funes. Um suporte mnimo de sistema de arquivos
carregado, para que o Ntldr possa achar e carregar o Windows Server
2003, a partir de uma partio FAT ou NTFS.
NOTA: (*.sys): (*) -> Este arquivo
somente est presente quando
temos outros sistemas operacionais
instalados no mesmo computador.
Por exemplo, quando temos o Win-
dows 98 e o Windows Server 2003
instalados, no mesmo computador,
teremos este arquivo. Esta situao
dificilmente acontecer, afinal
quem iria instalar o Windows 98,
com uma partio FAT, junto com o
Windows Server 2003 em um
servidor?
Seleo do Sistema Operacional: Nesta subfase, o Ntldr l o arquivo Boot.ini (que detalharei no prximo item) e
apresenta um menu de opes, de tal forma que o usurio possa escolher qual o sistema operacional ser carregado,
no caso de existir mais de um Sistema operacional instalado. Caso o arquivo Boot.ini tenha sido eliminado por
acidente, o Ntldr tenta carregar o Windows Server 2003 a partir da primeira partio do primeiro disco rgido.
Deteco de hardware: feita pelos arquivos Ntdetect.com e Ntoskrnl.exe. Os dispositivos de hardware detectados
pelo arquivo NTDETECT.COM so passados para o arquivo NTLDR, o qual gravar estas informaes na Registry,
na chave HKEY_LOCAL_MACHINE\HARDWARE. O Windows Server 2003 detecta, automaticamente,
dispositivos tais como: Portas de comunicao, processadores de ponto flutuante, drives de disquete, teclado, mouse,
portas paralelas, dispositivos SCSI, adaptadores de vdeo e assim por diante.
Seleo de configurao: Aps a deteco do hardware, voc ter a
oportunidade de acessar uma lista com diferentes Perfis de Hardware, caso
voc tenha criado outros perfis alm do perfil padro. Um Perfil de Hard-
ware uma configurao que pode fazer com que o Windows Server 2003
ignore determinados componentes de hardware e com isso no carregue os
drivers para estes componentes, quando da inicializao do sistema.
3. Carga do kernel: Durante esta fase, o arquivo Ntoskrnl.exe carregado, porm
ainda no incializado. O arquivo hal.dll carregado na memria. Os driv-
ers para dispositivos de hardware de baixo nvel, como por exemplo, discos
rgidos, so carregados. Dispositivos de hardware de baixo nvel, so aqueles
dispositivos que precisam ser inicializados antes do que os demais, de tal
forma que o processo possa prosseguir. Uma srie de retngulos, em seqncia,
exibida na tela, a medida que os dispositivos so carregados. Neste momento
ainda no foi carregada a interface grfica do Windows Server 2003. Nesta
fase a chave da Registry HKEY_LOCAL_MACHINE\SYSTEM carregada
a partir do arquivo Systemroot\System32\Conf ig\System. Conforme
comentado na introduo deste captulo, as informaes da Registry esto
NOTA: Esta seqncia idntica
(para no dizer igual) a seqncia
de boot do Windows 2000. Compare
o texto deste item com o texto da
Lio 7 da Unidade IX, do livro
Srie Curso Bsico & Rpido
Microsoft Windows 2000 Server,
de minha autoria, publicado pela
Axcel Books (www.axcel.com.br).
gravadas em arquivos na pasta Systemroot\System32\Config, onde Systemroot representa a pasta onde o Win-
dows Server 2003 foi instalada. Em seguida um control set (conjunto de controle) selecionado e carregado.
Um control set representa um conjunto de configuraes que definem quais drivers e servios sero carregados e
inicializados automaticamente pelo Windows Server 2003. Conforme veremos no item sobre Last Know Good
Configuration (ltima configurao vlida), o conceito de control set importante na recuperao do sistema
quando usamos a opo Last Know Good Configuration.
4. Inicializao do kernel: Aps ter sido completada a fase da carga do kernel, este inicializado e o Ntldr passa o
controle para o kernel do sistema. Nesta etapa exibida uma tela grfica, com uma barra de status indicando o
andamento do processo. Nesta etapa os drivers de dispositivos de baixo nvel, carregados na fase anterior, so
inicializados. Tambm nesta fase, que os diversos Servios configurados para inicializar automaticamente, so
inicializados. Por exemplo o DNS, Inetinfo (Servidor Web Internet Information Server), e qualquer outro servio
instalado no Windows Server 2003 As seguintes etapas so executadas durante esta etapa:
A chave HKEY_LOCAL_MACHINE\HARDWARE criada usando como base as informaes coletadas na
etapa de Deteco de Hardware da fase de Seqncia de boot, descrita anteriormente.
Criao de uma cpia do control set utilizado Clone Control set: feita uma cpia do control set utilizado.
Esta cpia poder ser utilizada posteriormente, caso alteraes feitas no control set atual, impeam a inicializao
Os drivers de hardware que foram carregados na fase de Carga do Kernel so agora inicializados. Cada driver
possui um parmetro de configurao chamado ErrorControl. Este parmetro define a maneira como o Windows
Server 2003 ir proceder, caso algum erro acontea na inicializao do driver. Os valores possveis para este
parmetro so os seguintes:
a. 0x0: Ignore. Caso ocorra algum erro na inicializao do driver, o Windows Server 2003 simplesmente
ignora o erro e continua a inicializao dos demais drivers. Nenhuma mensagem de erro ser exibida.
b. 0x1: Normal. Uma mensagem de erro ser exibida e o processo de Inicializao do Kernel continua.
c. 0x2: Severe. O processo de boot falha, o computador ser reinicializado e sero utilizadas as configuraes
definidas no control set Last Know Good Configuration (ltima configurao vlida), ou seja, as
configuraes que foram gravadas como sendo as configuraes da ltima inicializao com sucesso sero
utilizadas. Se o erro ocorrer novamente, quando o computador j est utilizando o control set Last Know
Good Configuration, o erro ser ignorado e a inicializao do Kernel continuar com a inicializao dos
demais drivers.
d. 0x3: Critical. O processo de boot falha, o computador ser reinicializado e sero utilizadas as configuraes
definidas no control set Last Know Good Configuration, ou seja, as configuraes que foram gravadas como
sendo as configuraes da ltima inicializao com sucesso sero utilizadas. Se o erro ocorre novamente,
quando o computador j est utilizando o control set Last Know Good Configuration, a seqncia de boot
ser interrompida e uma mensagem de erro ser exibida. Este valor utilizado para os dispositivos de hard-
ware que so fundamentais para a inicializao do sistema. Por exemplo, o boot no tem como continuar se o
Windows Server 2003 no conseguir inicializar os drivers para acesso ao sistema de discos.
Os servios configurados para inicializao automtica so inicializados e carregados na memria do
computador. Os servios so inicializados em uma ordem especfica, de acordo com as dependncias existentes
entre os respectivos servios. Por exemplo, vrios servios dependem do servio Remote Procedure Call
(RPC). O servio RPC deve ser inicializado antes dos servios que dele dependem, caso contrrios a inicializao
destes ltimos ir falhar.
5. Logon: Nesta fase o subsistema Win32 automaticamente inicializa o servio Winlogon.exe, o qual inicializa a
Autoridade local de segurana LSA Local Security Authority (Lsass.exe), e finalmente a janela de logon
exibida. O processo de inicializao do Windows Server 2003, somente considerado OK, quando o usurio
efetua o logon com sucesso. Aps o logon ter sido feito com sucesso o Windows Server 2003 copia as configuraes
do Clone control set para o Last Know Good Configuration control set, ou seja, o Windows Server 2003 considera
que as configuraes atuais representam a ltima configurao que permitiu uma inicializao com sucesso.
Pode parecer um pouco complexo, porm conhecer o processo de boot do Windows Server 2003 de fundamental
importncia para o Administrador do sistema e para os tcnicos de suporte, principalmente quando surgem problemas
e o computador no consegue inicializar com sucesso. Informaes mais detalhadas sobre o processo de boot podem
ser encontradas na Ajuda do Windows Server 2003.
Agora passaremos a analisar alguns tpicos importantes para a inicializao e manuteno do Windows Server 2003
em funcionamento. Vamos iniciar por um estudo detalhado do arquivo Boot.ini e depois falaremos um pouco mais
sobre a Registry do Windows Server 2003.
O arquivo Boot.ini e caminhos ARC
O arquivo Boot.ini criado durante a instalao do Windows Server 2003. Este arquivo gravado na partio ativa, ou
seja, na partio que utilizada para inicializar o Windows Server 2003. Normalmente a partio ativa o drive C:\.
Durante a fase de inicializao do Windows Server 2003, o arquivo NTLDR l o contedo do arquivo Boot.ini e utiliza
este contedo para montar o menu de opes, no qual voc pode selecionar o Sistema Operacional a ser carregado,
caso haja mais de um sistema operacional instalado no servidor. O arquivo Boot.ini bastante til quando temos mais
de um Sistema Operacional instalado no mesmo computador. Neste caso, as informaes do arquivo Boot.ini so
utilizadas pelo NTLDR para exibir um menu, no qual selecionamos o Sistema Operacional a ser instalado.
Por exemplo, tenho um computador de teste onde esto instaladas verses de avaliao do Windows 98, do Windows
2000 Server em Ingls, do Windows 2000 Server em Portugus, do Windows 2000 Professional e do Windows XP
Professional. Ao inicializar este computador exibido um menu como os diferentes Sistemas operacionais instalados,
no qual seleciono qual o sistema desejo carregar.
Na listagem a seguir coloco uma cpia do arquivo boot.ini do computador citado no pargrafo anterior:
Arquivo boot.ini de um computador com cinco versos diferentes do Windows instaladas:
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(1)partition(2)\WXPPRO
[operating systems]
multi(0)disk(0)rdisk(1)partition(2)\WXPPRO=Microsoft Windows Server 2003 Professional /
fastdetect
multi(0)disk(0)rdisk(1)partition(1)\WINNT=Microsoft Windows 2000 Server - Portugues /
fastdetect
multi(0)disk(0)rdisk(1)partition(1)\W2KSRVIN=Microsoft Windows 2000 Server /fastdetect
multi(0)disk(0)rdisk(1)partition(2)\WINNT=Microsoft Windows 2000 Professional /fastdetect
C:\=Microsoft Windows 98"
O arquivo boot.ini possui duas sees distintas:
[boot loader]
[operating systems]
Na seo [boot loader] informado qual o Sistema Operacional padro, ou seja, qual o Sistema Operacional ser
carregado caso o usurio no selecione uma das opes do menu. Nesta seo tambm definido durante quanto
tempo o menu ser exibido. No nosso exemplo, o menu ser exibido durante 30 segundos: timeout=30. Neste exemplo
tambm est def inido que ser carregado o Sistema Operacional instalado na partio
default=multi(0)disk(0)rdisk(1)partition(2)\WXPPRO. O sistema definido como padro (default), ser carregado se o
usurio no selecionar nenhuma opo do menu.
Na seo [operating systems] exibida a lista de Sistemas Operacionais instalados
e disponveis para uso. Cada linha indica um Sistema Operacional instalado e
para indicar a pasta onde esto os arquivos do respectivo Sistema Operacional
utilizado o caminho ARC, que ser detalhado logo em seguida. Aps o caminho
podem ser fornecidas chaves que alteram a maneira como o respectivo Sistema
inicializado, como no exemplo a seguir, onde foi utilizada a chave /fastdetect.
Estudaremos as chaves disponveis mais adiante.
multi(0)disk(0)rdisk(1)partition(2)\WXPPRO=Microsoft Windows Server
2003 Professional /fastdetect
O que vem aps o sinal de igual (=), entre aspas, simplesmente uma descrio.
Esta a descrio que exibida no menu de inicializao.
Agora precisamos detalhar dois pontos importantes:
A sintaxe dos caminhos ARC.
As chaves que podem ser utilizadas no arquivo Boot.ini.
Entendendo a sintaxe dos caminhos ARC.
Vamos detalhar as diversas partes que compem um caminho ARC. Considere os
dois exemplos a seguir:
multi(0)disk(0)rdisk(1)partition(2)\WXPPRO
scsi(0)disk(0)rdisk(1)partition(2)\WXPPRO
multi ou scsi: Na primeira parte do caminho temos duas opes: multi ou
scsi. Utilizamos scsi em uma nica situao: quando temos uma
controladora SCSI com a BIOS desabilitada, o que uma situao muito
rara. Em todas as demais situaes utilizamos multi para a primeira parte
do caminho ARC. O nmero entre parnteses indica a ordem em que os
adaptadores so carregados. Por exemplo, se voc tiver um computador
com dois adaptadores IDE instalados. O caminho dos discos do primeiro
adaptador inicia com multi(0) e o caminho dos discos do segundo adaptador
inicia com multi(1).
NOTA: Logo em seguida falarei
sobre a sintaxe utilizada pelo
arquivo Boot.ini para indicar a
partio onde esto gravados os
arquivos do Sistema Operacional
associado a cada opo. No nosso
exemplo temos o caminho: default=
multi(0)disk(0)rdisk(1)partition(2)
\WXPPRO. Este caminho tambm
conhecido como caminho ARC - Ad-
vanced RISC Computing.
NOTA: Observe que para o Win-
dows 9x ou Me, fornecido o
caminho tradicional, no nosso
exemplo C:\=Microsoft Windows
98", informando que o Windows 98
est na partio C:\. O que vem aps
o sinal de igual (=), entre aspas,
simplesmente uma descrio. Esta
a descrio que exibida no menu
de inicializao.
disk: Indica a posio (ID) do disco SCSI e somente utilizado quando a primeira parte do caminho comea
com scsi. Quando a primeira parte for multi, esta parte ser sempre disk(0).
rdisk: Um nmero que identifica o disco dentro da controladora. Para controladores SCSI este nmero ser
ignorado. Sempre inicia com o valor zero. Por exemplo, se voc tiver um computador com duas controladores
IDE e dois discos em cada controladora, teremos as seguintes combinaes possveis:
multi(0)disk(0)rdisk(0) -> Primeiro disco da primeira controladora.
multi(0)disk(0)rdisk(1) -> Segundo disco da primeira controladora.
multi(1)disk(0)rdisk(0) -> Primeiro disco da segunda controladora.
multi(1)disk(0)rdisk(1) -> Segundo disco da segunda controladora.
Partition: Indica o nmero da partio dentro do disco. O valor entre parnteses comea com 1, diferente dos
valores dos outros parmetros que iniciam sempre com zero. Por exemplo, se voc tiver um computador com
duas controladores IDE e dois discos em cada controladora. No primeiro disco da primeira controladora voc
tem uma nica partio e nos demais discos duas parties, teremos as seguintes combinaes possveis:
multi(0)disk(0)rdisk(0)partition(1)-> Primeira partio do primeiro disco da primeira controladora.
multi(0)disk(0)rdisk(1)partition(1)-> Primeira partio do segundo disco da primeira controladora.
multi(0)disk(0)rdisk(1)partition(2)-> Segunda partio do primeiro disco da primeira controladora.
multi(1)disk(0)rdisk(0)partition(1)-> Primeira partio do primeiro disco da segunda controladora.
multi(1)disk(0)rdisk(0)partition(2)-> Segunda partio do primeiro disco da segunda controladora.
multi(1)disk(0)rdisk(1)partition(1)-> Primeira partio do segundo disco da segunda controladora.
multi(1)disk(0)rdisk(1)partition(2)-> Segunda partio do segundo disco da segunda controladora.
O que vem aps o caminho ARC o nome da pasta, dentro da partio especificada pelo caminho ARC, onde esto os
arquivos do Sistema Operacional. No exemplo que demos no incio deste tpico temos o seguinte caminho:
multi(0)disk(0)rdisk(1)partition(2)\WXPPRO
O que representa esta caminho? Lendo de trs para frente temos a seguinte interpretao:
A pasta WXPPRO -> \WXPPRO
da segunda partio -> partition(2)
do segundo disco -> rdisk(1) *
da primeira controladora -> multi(0) *
(*): Lembre que para multi, disk e rdisk os valores iniciam em zero e para partition os valores iniciam em um.
As chaves que podem ser utilizadas no arquivo Boot.ini.
Conforme descrito anteriormente, existem algumas chaves que podem ser utilizadas no arquivo Boot.ini, para alterar
a maneira como cada Sistema Operacional utilizado. A seguir descrevemos as chaves disponveis.
/basevideo: Esta chave faz com que o Sistema Operacional seja inicializado utilizando um driver VGA com
configuraes padro mnimas, suportadas pela maioria dos adaptadores de vdeo e monitores. Esta opo
pode ser utilizada se voc instalou um novo adaptador de vdeo (ou um novo monitor), os quais no esto
funcionando corretamente, a ponto de aps feito o logon, no ser possvel ler as informaes exibidas na tela.
Neste caso voc pode fazer a inicializao no Modo seguro, que descreverei mais adiante, alterar o arquivo
boot.ini adicionando a chave /basevideo. Quando o Windows Server 2003 for inicializado sero utilizadas
configuraes bsicas do driver VGA. Voc poder fazer o logon e corrigir as configuraes que esto impedindo
o funcionamento correto do adaptador de vdeo ou do monitor. Feitas as correes voc pode retirar a chave /
basevideo para que o Windows Server 2003 carregue as configuraes de vdeo normalmente. No exemplo a
seguir temos uma ilustrao do uso desta chave:
multi(0)disk(0)rdisk(1)partition(2)\WXPPRO /basevideo
/fastdetect= comx ou /fastdetect= comx, y,z ou /fastdetect: Com esta chave a deteco de mouse serial na
inicializao ser desabilitada. Comx utilizada para especificar se a deteco deve ser desabilitada em um
nica porta com, como por exemplo Com1 ou Com2. possvel desabilitar a deteco em duas ou mais
portas, como por exemplo Com1,2. Se no for especificada a porta Com, a deteco ser desabilitada em todas
as portas. Por padro a chave /fastdetect, sem a especificao de porta, includa em todas as opes de
Sistema Operacional do arquivo boot.ini, com exceo de linhas que correspondem ao Windows 9x ou Me.
/maxmem:n: Com esta chave possvel definir a quantidade mxima de memria RAM disponvel para o
Windows Server 2003. Por exemplo, em um computador com 256 MB de RAM instalados, se voc quiser
utilizar apenas 128, utilize a seguinte chave: /maxmem:128. A nica justificativa para o uso desta chave se
voc quiser detectar se um determinado pente de memria est com problemas.
/noguiboot: Inicializa o Windows Server 2003 sem exibir a tela grfica com informaes sobre o andamento
(Status) da inicializao.
/sos: A medida que os drivers de dispositivos vo sendo carregados, o nome dos arquivos que esto sendo
carregados ser exibido no vdeo. Esta opo til quando o Windows Server 2003 no consegue inicializar
corretamente e voc quer detectar em que ponto da inicializao est o problema. Por exemplo, se voc utilizar
esta chave e a inicializao for interrompida no momento da carga do driver da placa de rede, este um bom
indicativo de que o problema pode ser com este driver ou com algum driver relacionado.
Configuraes de inicializao atravs do utilitrio System (Sistema).
Existe opes relacionadas a inicializao do computador e de recuperao no caso de falhas, tal como a famosa
Blue Screen of Death (Tela azul da morte), que podem ser configuradas atravs da opo System (Sistema) do
Painel de controles. A tela azul da morte exibida quando ocorre um erro grave, que impede o Windows Server 2003
de continuar sendo executado. Normalmente este tipo de erro est relacionado com problemas em drivers de dispositivos
de hardware. Quando ocorre um destes erros, o Windows Server 2003 faz um dump (cpia/despejo) do contedo da
memria RAm em um arquivo no disco. Estas informaes podem ser de grande utilidade para a equipe de suporte
tcnico poder analisar e tentar descobrir as causas do problema.
A seguir apresento um exemplo prtico, passo-a-passo, mostrando as opes de
configuraes da opo Sistema, relacionadas com a inicializao do Windows
Server 2003.
Exemplo: Para configurar as opes de inicializao do Windows Server 2003,
usando a opo Sistema, siga os passos indicados a seguir:
administrador.
3. D um clique duplo na opo Sistema.
DICA: Um atalho para abrir a
opo Sistema clicar com o boto
direito do mouse em Meu
computador e, no menu de opes
que exibido, clicar em
Propriedades.
4. D um clique na guia Avanado. Nesta guia voc tem acesso a diversas opes de configurao, que
afetam a aparncia, o desempenho, o processo de boot e a gerao de relatrios de erros no Windows
Server 2003. Neste exemplo mostrarei como configurar as diversas opes disponveis nesta guia, opes
estas indicadas na Figura 12.1.
5. Clique no primeiro boto Configuraes..., dentro do grupo Desempenho. Ser aberta a janela de configuraes
de desempenho, na qual esto disponveis as guias Efeitos visuais e Avanado. Na guia Efeitos Visuais voc pode
habilitar/desabilitar uma srie de novos efeitos visuais que foram introduzidos inicialmente no Windows XP e que
esto presente tambm no Windows Server 2003. Um detalhe importante que os efeitos visuais utilizam recursos
de memria e processamento. Por isso, se voc est utilizando o Windows Server 2003 em um servidor da rede (a
qual a utilizao mais comum para o Windows Server 2003) aconselhvel desabilitar todos os efeitos visuais,
j que dificilmente voc trabalhar diretamente no console do servidor e o mais importante ser realmente o
desempenho do servidor.
Figura 12.1 Opes avanadas do sistema.
Na guia Visual Efeitos visuais, voc tem as opes indicadas na Figura 12.2 com a explicao.
Figura 12.2 Configurando Efeitos visuais.
Deixar o Windows escolher a melhor configurao para o meu computador: Ao selecionar esta opo, o
prprio Windows Server 2003 definir quais efeitos visuais estaro habilitados e quais estaro desabilitados,
com base nos servios instalados e na ocupao dos recursos de hardware. A medida que aumenta a ocupao
do processador e da memria RAM, o Windows Server 2003 vai desabilitando mais efeitos visuais, para
liberar estes recursos.
Ajustar para obter uma melhor aparncia: Ao marcar esta opo, todos os efeitos visuais sero habilitados.
Lembre-se que os efeitos visuais causam uma utilizao de maior de processamento e memria.
Ajustar para obter um melhor desempenho: Ao marcar esta opo, todos os efeitos visuais sero desabilitados.
Esta a opo mais indicada para servidores, de tal forma que os recursos sejam liberados para os servios
executados pelo servidor.
Personalizar: Ao marcar esta opo, voc poder definir quais recursos visuais sero habilitados e quais sero
desabilitados.
6. Defina as configuraes desejadas e clique na guia Avanado. Sero exibidas as opes indicadas na Figura 12.3:
Figura 12.3 Configurando opes avanadas.
7. Nesta guia voc configura opes relacionadas a prioridade que o Windows Server 2003 dar para programas do
usurio em relao aos servios do sistema operacional e outras opes relacionadas ao desempenho dos programas
e servios. Na opo Agendamento do processador, voc define se os programas executados em primeiro plano,
tais como o Word, Excel, Corel Draw, etc, tero prioridade no uso do processador (opo Programas) ou se os
servios que executam em segundo plano, tais como DNS, DHCP, WINS, RRAS, IIS, etc, tero prioridade no uso
do processador (opo Servios em segundo plano). Nos servidores da rede, tais como DCs, servidores DNS,
DHCP, servidores da Intranet, rodando o IIS, aconselhvel que voc marque a opo Servios em segundo
plano, pois dificilmente voc usar estes servidores para execuo de programas de usurio, mas sim para servios
da rede. Ao marcar esta opo voc d prioridade no uso dos recursos de processamento, para os servios de rede,
que a opo mais indicada para servidores. Os mesmos comentrios so vlidos em relao as opes do gruo
Uso de memria. Se o computador est sendo utilizado como um servidor, marque a opo Cache do sistema; se
o computador estiver sendo utilizado como uma estao de trabalho, executando programas de usurio, marque a
opo Programas.
8. O Windows Server 2003 (a exemplo das demais verses do Windows), utiliza um arquivo de memria virtual em
disco. Este arquivo tambm conhecido como arquivo de troca. O Kernel do Windows Server 2003 fica
constantemente monitorando a memria do computador e move contedo da memria RAM para o arquivo de
trocas no disco rgido e do arquivo de trocas de volta para a memria RAM. So movidos para o arquivo de troca,
pginas de memria que esto h algum tempo sem serem utilizadas. Com este procedimento, o Windows Server
2003 libera memria para a execuo das pginas de memria que esto sendo constantemente utilizadas. Claro
que o acesso ao disco bem mais lento do que o acesso a memria RAM. Por isso o uso de memria virtual em
disco no deve ser visto como uma opo para expandir a memria do servidor. Em situaes onde est havendo
um uso muito intensivo do arquivo de paginao, haver, certamente, uma queda no desempenho do servidor.
Nestas situaes o mais indicado adicionar mais memria RAM, para reduzir o uso intensivo do arquivo de
paginao. Para definir as configuraes do arquivo de paginao, clique no boto Alterar. Ser exibida a janela
Memria virtual, indicada na Figura 12.4:
Figura 12.4 Configurando opes avanadas.
9. Nesta janela voc define o tamanho do arquivo de paginao. O arquivo de paginao gravado com o nome de
pagefile.sys, na raiz de um ou mais volumes do servidor. Tambm possvel criar um arquivo de paginao
distribudo por dois ou mais volumes. Por exemplo, suponhamos que voc tem um servidor com 6 volumes: C, D,
E, F, G e H. Voc pode criar uma arquivo de paginao de 4 GB, utilizando a seguinte configurao: 1 GB em D:,
1GB em E, 1GB em F e 1 GB em G ou outra combinao qualquer. Uma das recomendaes , se possvel,
colocar o arquivo de paginao em um volume em um disco diferente do disco onde est o volume onde o
Windows Server 2003 est instalado. Ao fazer isso, voc evita um acesso intensivo ao disco, pois teramos o
acesso aos arquivos do Windows Server 2003 e o acesso ao arquivo de paginao, simultaneamente, no mesmo
disco. Por isso a recomendao de deslocar o arquivo de paginao para um ou mais volumes, localizados em
outros discos que no o disco onde est instalado o Windows Server 2003. Para definir o tamanho que o arquivo
de paginao ir ocupar em cada volume, basta clicar no respectivo volume e digitar o tamanho a ser utilizado,
nos campos Tamanho inicial e Tamanho mximo. Aps ter definido o tamanho clique em Definir. Outra
recomendao utilizar um arquivo de paginao, com um tamanho de, no mnimo, o dobro da quantidade de
memria RAM instalado. Por exemplo, se voc tem 1 GB de RAM instalada, crie um arquivo de paginao de 2
GB. A seguir mais algumas observaes/recomendaes em relao ao arquivo de paginao, para obter um
melhor desempenho do servidor:
Voc pode colocar um arquivo de paginao em outras unidades de disco. Se voc tiver vrios discos rgidos,
uma boa idia dividir o arquivo de paginao, pois isso deve acelerar o tempo de acesso (leituras simultneas
em vrios discos) e reduzir o acesso concorrente ao arquivo de paginao e aos arquivos do Windows Server
2003. Se voc tiver dois discos rgidos e dividir o arquivo de paginao, ambos os discos rgidos podero
acessar informaes simultaneamente, aumentando muito a taxa de transferncia. Entretanto, se voc tiver
dois discos rgidos e um disco rgido for mais rpido do que o outro, pode ser melhor armazenar o arquivo de
paginao apenas no disco rgido mais rpido.
Voc pode aumentar o tamanho do arquivo de paginao. Quando voc inicia o Windows Server 2003 ele cria
automaticamente um arquivo de paginao (Pagefile.sys) no disco onde est instalado o sistema operacional.
O Windows Server 2003 usa o arquivo de paginao para fornecer a memria virtual. O tamanho recomendado
para o arquivo de paginao equivale a duas vezes quantidade de memria RAM disponvel no seu sistema.
No entanto, o tamanho do arquivo tambm depende do espao livre disponvel em seu disco rgido quando o
arquivo criado. Voc pode descobrir qual o tamanho do arquivo de paginao do seu sistema verificando o
tamanho de arquivo mostrado para Pagefile.sys no Windows Explorer.
Apesar de voc poder redefinir os tamanhos inicial e mximo do arquivo de paginao, melhor expandir o
tamanho do arquivo de paginao inicial, em vez de forar o sistema operacional a alocar mais espao para o
arquivo de paginao conforme os programas forem iniciados, o que fragmenta o disco.
Se o arquivo de paginao alcanar seu tamanho mximo, ser exibido um aviso e o sistema poder ser
interrompido. Para ver se seu arquivo de paginao est se aproximando do limite superior antes de alcanar
este limite, verifique o tamanho real do arquivo e compare-o configurao do tamanho mximo de arquivo
de paginao. Se esses dois nmeros estiverem prximos do mesmo valor, considere aumentar o tamanho do
arquivo de paginao inicial ou executar menos programas.
Os contadores do arquivo de paginao, podem ser utilizados no Console Desempenho e oferecem outra
maneira de verificar se o tamanho do arquivo Pagefile.sys est apropriado:
Paging File\ % Usage (% Uso)
Paging File\ % Usage Peak (% Uso mximo)
Se o valor % Usage Peak se aproximar da configurao mxima do arquivo de paginao ou se % Usage se aproximar
de 100%, considere aumentar o tamanho de arquivo inicial.
7. Defina as configuraes desejadas e clique em OK. Voc estar de volta
guia Avanado da janela Opes de desempenho. D um clique em OK
para fech-la. Voc estar de volta guia Avanado, da janela de
configuraes do sistema. Agora voc aprender a configurar as opes de
inicializao do sistema. Clique no boto Configuraes, ao lado da opo
Inicializao e recuperao. Ser exibida a janela Inicializao e
recuperao, indicada na Figura 12.5:
NOTA: Se vrios arquivos de
paginao estiverem espalhados
por vrias unidades de disco, o
nome do caminho de cada arquivo
aparecer como um exemplo do
tipo de objeto Arquivo de
paginao. possvel adicionar um
contador a cada arquivo de
paginao ou selecionar o exemplo
_Total para verificar os dados de
uso combinados para todos os seus
arquivos de paginao.
Figura 12.5 Opes de inicializao e recuperao.
8. Na lista Sistema operacional padro, voc seleciona qual ser a verso do Windows a ser carregada por padro,
caso haja mais de uma verso instalada no computador. No campo Tempo para exibir a lista de sistemas
operacionais:, voc define quantos segundos a lista de sistemas operacionais ser exibida, caso haja mais de uma
verso do Windows instalada. Este menu montado com base nas informaes do arquivo boot.ini, conforme
descrito anteriormente. Se uma opo no for selecionada, dentro do tempo definido neste campo, o sistema
operacional definido como padro ser carregado. No campo Tempo para exibir a lista de opes de recuperao
se necessrio, voc define o tempo que sero exibidas as opes de recuperao, quando voc estiver inicializando
o servidor para fazer uma recuperao com base em um disquete de recuperao (que ser descrito mais adiante,
conhecido como disquete ASR) ou uma recuperao a partir do CD-ROM. Se voc clicar no boto Editar, o
arquivo boot.ini ser carregado no Bloco de notas, para que voc possa fazer alteraes manualmente. No grupo
Falha do sistema, voc define qual o comportamento do Windows Server 2003 no caso de uma falha grave, na
qual exibida a famosa Blue screen of death (Tela azul da morte). Por padro as opes Enviar um alerta
administrativo e Reiniciar automaticamente. Ao marcar a opo Enviar um alerta administrativo, ser enviada
uma mensagem para os usurios do grupo Administradores. Esta mensagem enviada usando o comando net
send e exibida no computador onde o usurio est logado, no formato de uma caixa de mensagens. Na lista
Gravando informaes de depurao, voc define se uma cpia do contedo atual da memria deve ser gravada
em um arquivo de dump. O nome e o caminho do arquivo definido no campo Dump file (por incrvel que
parea, a traduo oficial para Dump file foi: Eliminar arquivo. Pergunto, o que tem a ver Eliminar arquivo com
o arquivo de Dump de memria. Absolutamente nada. Ou seja, traduo literal, sem levar em considerao os
aspectos tcnicos). O caminho padro %SystemRoot%\MEMORY.DMP, onde %SystemRoot%\ representa a
pasta onde o Windows Server 2003 est instalado.
8. Defina as configuraes desejadas e clique em OK. Voc estar de volta guia Avanado de configuraes do
sistema. Agora voc aprender a configurar as opes de gerao de relatrio de erros quando um programa falha.
Este tipo de erro ocorre quando um programa simplesmente congela e voc tem que fech-lo manualmente (na
marra, usando Ctrl+Alt+Del o Gerenciador de tarefas(, usando o gerenciador de tarefas, que ser descrito mais
adiante. Clique no boto Relatrio de erros. Ser exibida a janela Relatrio de erros, indicada na Figura 12.6:
Figura 12.6 Configurando a gerao de relatrio de erros.
9. Para desabilitar completamente a gerao de relatrios de erros clique em Desativar relatrios de erros. Ao marcar
esta opo, voc poder habilitar/desabilitar a opo Notificar-me quando ocorrerem erros crticos. Ao marcar a
opo Ativar relatrios de erros, voc pode configurar para quais tipos de erros sero gerados relatrios, tais
como: erros do Windows Server 2003, erros de desligamentos no planejados, como por exemplo uma queda de
energia e erros para programas. Voc pode usar o boto Escolher programas..., para definir para quais programas
voc quer que seja feito um relatrio de erro em caso de falha/trancamento do programa
10. Defina as configuraes desejadas e clique em OK. Voc estar de volta guia Avanado de configuraes do
sistema. Clique em OK para fech-la e aplicar as configuraes efetuadas. Dependendo das alteraes que foram
feitas (principalmente no arquivo de paginao), pode ser necessrio reinicializar o servidor.
Com isso conclumos o nosso estudo sobre o processo de boot (inicializao) do Windows Server 2003. No prximo
tpico veremos alguns detalhes sobre a Registry do Windows Server 2003.
A Registry do Windows Server 2003.
A Registry um banco de dados (hierrquico), onde o Windows Server 2003 armazena uma srie de informaes de
configuraes sobre o Hardware e o Software do computador. Informaes importantes de inicializao do Sistema
Operacional esto contidas na Registry. Se o Windows Server 2003 no puder acessar estas informaes, no ser
possvel fazer a inicializao do Sistema. As informaes necessrias para a inicializao de drivers de hardware, de
inicializao e carga de servios, tambm esto armazenadas na Registry. A maioria dos aplicativos, ao serem instalados,
armazenam informaes na Registry do Windows Server 2003. Estas informaes so necessrias para o correto
funcionamento das respectivas aplicaes.
Em resumo, a Registry um banco de dados com informaes vitais para o funcionamento do Windows Server 2003
e dos aplicativos instalados.
As informaes da Registry esto armazenadas na seguinte pasta:
C:\WINDOWS\system32\config. Supondo que o Windows Server 2003 esteja
instalado no drive C:, na pasta C:\Windows.
A seguir descrevo algumas caractersticas gerais da Registry:
As informaes da Registry so divididas em categorias. Por exemplo,
existe uma categoria na qual esto configuraes do computador, ou seja,
que so aplicadas a qualquer usurio que fizer o logon no computador.
Existe uma outra categoria onde esto configuraes de usurios, onde
mantido um conjunto de configuraes separado para cada usurio. Por
isso que possvel manter um ambiente personalizado para cada usurio.
Observe que esta separao entre configuraes do computador e
configuraes do usurio o mesmo princpio utilizado pelo recurso de
Group Policy Objects - GPO. No poderia deixar de ser desta maneira,
uma vez que o recurso de GPO trabalha intimamente relacionado com a
Registry. Quando as configuraes de uma GPO so aplicadas a um
computador ou usurio, o que est sendo feito aplicar uma srie de
alteraes na Registry, alterando-a de acordo com as opes que foram
definidas na GPO que est sendo aplicada.
Os dados da Registry so gravados em arquivos binrios, na pasta
%Windir%\system32\config, onde %Windir%\ representa a pasta onde o
Windows Server 2003 foi instalado. A nica maneira de ter acesso a estes
dados utilizando o editor da Registry, conforme voc aprender mais
adiante ou usando programao. Por exemplo, em linguagens de
programao como Delphi e VB.NET, dentre outras, voc tem comandos
para ler informaes na Registry, criar novas chaves, alterar o valor de
chaves existentes e assim por diante.
As entradas da Registry onde so armazenados os valores, so
conhecidas como chaves. Cada chave def inida como de um
IMPORTANTE: A maioria dos
usurios provavelmente no
necessite ter acesso e fazer
alteraes na Registry. J para o
Administrador do sistema e para os
tcnicos de suporte a Registry uma
ferramenta importante, a qual deve
ser bem conhecida. Tambm
importante salientar que alteraes
incorretas, feitas na Registry,
podem fazer com que o Windows
Server 2003 deixe, inclusive, de
inicializar. Por isso que somente
devem ter acesso a fazer alteraes
na Registry, os usurios com o
conhecimento adequado e que
saibam exatamente o significado
das alteraes que esto fazendo.
determinado tipo de dado (que sero descritos mais adiante). Tambm possvel definir permisses de
acesso aos elementos da Registry, de tal maneira que seja possvel restringir quais usurios tem permisso
a um ou mais conjuntos de chaves.
Acessando e alterando informaes na Registry do Windows Server 2003.
Vamos ver um exemplo prtico, no qual iremos navegar atravs das diversas opes da Registry e aprender a executar
algumas operaes.
Exemplo: Acessando a Registry do Windows Server 2003.
1. Faa o logon como Administrador ou com uma conta do tipo Administrador do computador.
2. Selecione o comando Iniciar -> Executar. A janela Executar ser aberta.
3. No campo Abrir digite regedt32 e clique em OK.
4. O Registry Editor (Editor do Registro) ser aberto, conforme indicado na Figura 12.7:
Figura 12.7 O editor da Registry do Windows Server 2003.
O banco de dados de Registry um banco de dados hierrquico. Usando o Editor de Registro podemos navegar atravs
do banco de dados da Registry, o qual acessado na forma de uma estrutura de rvore de navegao, exatamente igual
a estrutura de pastas e subpastas exibida no Windows Explorer.
O banco de dados da Registry est dividido em cinco grandes segementos, os quais so a seguir descritos. Estes
segmentos so chamados de subchaves da Registry.
Descrio das subchaves da Registry:
HKEY_CLASSES_ROOT: uma subchave de HKEY_LOCAL_MACHINE\Software, porm exibida no
primeiro nvel para facilitar o acesso. As informaes armazenadas nesta subchave garantem que o programa
correto ser aberto quando voc abrir um arquivo usando o Windows Explorer. Em outras palavras, nesta
subchave esto informaes que associam uma determinada extenso de arquivo com o respectivo programa
(.doc com o Word, .xls com o Excel e assim por diante). Por exemplo, quando voc d um clique duplo no
cone de um arquivo .doc, o Windows abre o Word e carrega o arquivo. Isto acontece porque o Windows
associa a extenso do arquivo - .doc, com o Microsoft Word. Esta associao feita atravs de informaes
gravadas nesta subchave, informaes estas que relacionam as extenses dos arquivos com os respectivos
programas. Por exemplo: arquivos .xls com o Microsoft Excel, arquivos .mdb com o Microsoft Access, arquivos
.txt com o Bloco de Notas e assim por diante.
HKEY_CURRENT_USER: Contm a base das informaes de configurao para o usurio que estiver logado
no momento. As configuraes de pastas, de cores de tela e do Painel de controle do usurio so armazenadas
aqui. Essas informaes so chamadas de perfil do usurio. Conforme descrito no Captulo 4, o Windows
Server 2003 mantm um ambiente personalizado para cada usurio que faz o logon no comutador. Este ambiente
mantido atravs de uma estrutura de pastas e subpastas dentro da pasta Documents and Settings, da partio
onde o Windows Server 2003 est instalado. As informaes que definem o ambiente do usurios so carregadas
para esta subchave da Registry, quando o usurio faz o logon.
HKEY_LOCAL_MACHINE: Contm informaes de conf iguraes especficas do computador ,
independentemente do usurio que estiver logado. Por exemplo informaes sobre os aplicativos instalados
(HKEY_LOCAL_MACHINE\SOFTWARE), sobre o control set a ser utilizado (HKEY_LOCAL_
MACHINE\SYSTEM\CurrentControlSet) e assim por diante.
HKEY_USERS: Contm a base de todos os perfis do usurio no computador. HKEY_CURRENT_USER
uma subchave de HKEY_USERS.
HKEY_CURRENT_CONFIG: Contm informaes sobre o perfil de hardware usado pelo computador na
inicializao do sistema.
A forma de navegao da Registry idntica a do Windows Explorer. Voc
clica no sinal de + ao lado de um chave e o Windows Server 2003 exibe as
opes da respectiva chave. Algumas opes podem levar a outras. A forma de
navegao exatamente a mesma do Windows Explorer, onde vamos acessando
pastas, subpastas e os arquivos de cada pasta. Ao acessar uma opo da Regis-
try, no painel do lado direito so exibidos os diversos itens da opo selecionada.
Um item, tambm chamado de entrada ou chave da registry, contm um valor
associado. Antes de prosseguirmos, vamos definir os diversos tipos de
componentes da Registry:
Sub-rvore (Subtree): Uma sub-rvore representa para a Registry, o mesmo
conceito que a pasta raiz representam para um volume no Windows Ex-
plorer. Uma sub-rvore uma diviso lgica da Registry. Por padro
existem as seguintes sub-rvores: HKEY_LOCAL_MACHINE e
HKEY_USERS. Porm para facilitar a localizao e edio das
informaes, o Editor de Registro exibe as informaes divididas em cinco
sub-rvores: HKEY_CLASSES_ROOT, HKEY_CURRENT_USER,
HKEY_LOCAL_MACHINE, HKEY_USERS e HKEY_CURRENT_
CONFIG. Na prtica apenas uma maneira de facilitar a visualizao,j
que existem sub-rvores que, na prtica, so parte integrante de outras.
Como por exemplo a sub-rvore HKEY_CURRENT_USER que faz parte
da sub-rvore HKEY_USERS.
NOTA: Para cada subchave destas
existem dezenas, centenas de
outras opes, sendo que cada
opo pode levar a novas
ramificaes e novos valores de
itens da registry. Existem livros
inteiros somente sobre a Registry
Chaves e subchaves: Cada sub-rvore pode ser dividida em chaves e subchaves. Este conceito idntico a diviso de
um volume em pastas e subpastas. Por exemplo, existe a sub-rvore HKEY_LOCAL_MACHINE j descrita
anteriormente, dentro da qual existem as chaves HKEY_LOCAL_MACHINE\SOFTWARE,
HKEY_LOCAL_MACHINE\SYSTEM, e assim por diante. Dentro da chave HKEY_LOCAL_
MACHINE\SOFTWARE podem existir outras sub-chaves e assim por diante. esta subdiviso que caracteriza o
formato hierrquico da Registry.
Entrada: Uma entrada um item da Registry que possui um valor a ele associado. Dentro de uma chave ou
subchave podem existir diversas entradas. Cada entrada possui um valor associado. Por exemplo considere a
seguinte entrada: HKEY_CURRENT_USER\Control Panel\Keyboard\InitialKeyboardIndicators=2
Estamos na sub-rvore HKEY_CURRENT_USER, dentro da qual estamos na chave Control Panel, dentro da qual na
subchave Keyboard. Dentro da subchave Keyboard estamos considerando a entrada InitialKeyboardIndicators=2, a
qual tem um valor definido como 2.
Existem diferentes tipos de entradas que podem ser criadas. Para cada tipo de
entrada existe um conjunto de valores possveis. Ao definir o tipo associado com
uma Entrada da Registry estamos definindo os valores que podem ser atribudos
a respectiva entrada. No Windows Server 2003 temos os seguintes tipos possveis
de entrada da Registry:
a. REG_SZ: Define a entrada como sendo do tipo String, ou seja, esta entrada
aceita valores do tipo Texto.
b. REG_BINARY: Esta entrada deve receber um valor na forma de uma String
de dgitos Hexadecimais, como por exemplo: 0C 12 B6 D4. Cada par de
valores Hexadecimais interpretado como um byte.
c. REG_DWORD: Esta entrada deve receber um valor na forma de uma String
de 1 a 4 bytes Hexadecimais, como por exemplo: 0C 12 B6 D4. Este tipo de
chave normalmente utilizado para valores do tipo ligado/desligado, on/off,
onde 0 indica desligado e 1 indica ligado.
d. REG_MULTI_SZ: Este tipo de entrada aceita mltiplos valores. Por exemplo,
a lista de servidores DNS e a lista de servidores WINS, configurados nas
propriedades do protocolo TCP/IP, so armazenados em uma chave do tipo
REG_MULTI_SZ.
e. REG_EXPAND_SZ: Semelhante a REG_SZ, com a diferena que este tipo
de entrada pode conter um varivel que substituda pelo valor associado.
Por exemplo, podemos criar uma chave deste tipo que contm a varivel
%CurrentUser%. Quando o usurio faz o logon, o valor desta entrada
definido como sendo o nome de logon do usurio atual, atravs da substituio
da varivel %CurrentUser% pelo respectivo nome de logon do usurio atual.
Hive: Uma Hive um conjunto definido de Chaves, subchaves e as respectivas
entradas, conjunto este normalmente associado a um determinado assunto,
como por exemplo segurana. As entradas associadas a uma Hive so gravadas
em um mesmo arquivo, na pasta %systemroot%\ System32\Config. Para cada
Hive criado um arquivo com o nome da Hive e sem extenso e um arquivo
com o nome da Hive e a extenso .log. Por exemplo, para a Hive SECURITY,
so criados os arquivos SECURITY e SECURITY.LOG, conforme indicado
na Figura 12.8:
NOTA: A entrada InitialKeyboardIn
dicators define se a tecla NumLook
aparecer ligada ou desligada durante
a inicializao do Windows Server 2003.
A maioria dos usurios espera que esta
tecla esteja ligada durante a
inicializao, principalmente para
usurios que fazem o logon em uma
rede baseada no Windows 2000 Server
ou Windows NT Server e utilizam dgitos
como parte da senha. Se a tecla
NumLook estiver desligada o teclado
numrico estar desabilitado, sendo que
os nmeros devero ser digitados nas
teclas numricas do teclado tradicional.
O valor 2 indica que a tecla NumLook
deve ser ligada durante a inicializao
do Windows Server 2003. Este exemplo
nos d uma boa noo sobre a
variedade de aspectos que so
controlados pela Registry. Conforme j
descrito anteriormente, est fora do
escopo deste livro uma ampla descrio
das entradas da Registry. Existem livros,
at o momento apenas em Ingls,
somente sobre a Registry do Windows
2000 e outros sobre a Registry do Win-
dows Server 2003.
Figura 12.8 Arquivos associados a Hive SECURITY.
5. Clique no sinal de + ao lado de HKEY_CURRENT_USER para exibir as opes desta sub-rvore.
6. Nas opes que so exibidas, abaixo de HKEY_CURRENT_USER, clique no sinal de + ao lado da chave Control
Panel. Sero exibidas as subchaves de Control Panel.
7. Nas subchaves de Control Panel clique em Keyboard, para exibir as entradas desta subchave. Observe no Painel
da direita que so exibidas as entradas para a subchave Keyboard, conforme indicado na Figura 12.9:
Figura 12.9 As entradas da subchave HKEY_CURRENT_USER\Control Panel\Keyboard\.
8. Verifique se o valor da entrada InitialKeyboardIndicators est definido em 2. Se no estiver, vamos edit-lo, a
ttulo de exemplo.
9. Para editar uma entrada da Registry basta dar um clique duplo na respectiva entrada que o Windows Server 2003
exibe uma janela com o valor atual da entrada. Nesta janela voc pode alterar o valor desejado, conforme indicado
na Figura 12.10:
Figura 12.10 Editando o valor da entrada InitialKeyboardIndicators.
10. Se o valor estiver diferente de 2 digite 2 e clique em OK. Voc estar de volta ao Editor da Registry.
Em determinadas situaes pode ser que seja necessria a criao de novas chaves ou de novas entradas na Registry.
Na prtica, a maioria das chaves da Registry so criadas, automaticamente, pelo Windows Server 2003 e pelos aplicativos
quando estes so instalados. Porm em determinadas situaes pode ser necessria a criao de chaves ou entradas
diretamente na Registry. Voc deve tomar muito cuidado com este procedimento e somente criar chaves ou entradas
quando este procedimento for recomendado pela documentao do Windows Server 2003, pela documentao do
aplicativo ou pelo manual de algum dispositivo de hardware.
Para criar uma nova chave ou entrada, basta clicar com o boto direito do mouse no local onde a chave/entrada deve ser
criada e selecionar o comando Novo. Ser exibido um menu de opes onde voc pode selecionar se deseja criar uma
nova chave ou uma nova entrada de um dos cinco tipos descritos anteriormente, conforme indicado na Figura 12.11:
Figura 12.11 Criando novas chaves/entradas na Registry.
Para excluir uma chave ou entrada da Registry basta clicar no elemento a ser excludo e pressionar o boto Delete.
Cuidado que ao excluir uma chave, todas as suas subchaves e respectivas entradas sero excludas. Todos os cuidados
que foram recomendados para a adio e alterao de chaves e entradas tambm so vlidas, s que em dobro, para a
excluso. Se voc excluir, por engano, chaves utilizadas pelo Windows Server 2003, poderemos ter situaes em que
o Windows Server 2003 no poder mais reinicializar corretamente.
Podem existir situaes em que partes inteiras da Registry de um computador tenha que ser copiadas para um computador
semelhante. Esta por exemplo uma maneira rpida de copiar as configuraes da registry feitas em um servidor para
vrios outros servidores, sem ter que repetir as configuraes manualmente em cada servidor. Para copiar partes da
Registry utilizamos os seguintes passos:
No computador de origem exporte a parte da registry a ser copiada para outro (ou outros) computador. Para
exportar uma chave e suas subchaves, basta clicar com o boto direito do mouse na chave a ser exportada.
No menu que exibido clique em Exportar. Ser exibida a janela Exportar arquivo de Registro. Nesta janela
voc define a pasta e o nome do arquivo onde as configuraes sero salvas. As configuraes so salvas
em um arquivo .reg.
No computador de origem, onde as configuraes devem ser copiadas basta abrir o Windows Explorer, localizar
o arquivo .reg, gerado no passo anterior e dar um clique duplo no arquivo. O Windows Server 2003 emite uma
mensagem pedindo a confirmao para a importao das entradas contidas no arquivo .reg para a Registry do
sistema, conforme indicado na Figura 12.12. Clique em Sim e as entradas sero importadas.
Figura 12.12 Importando as entradas de um arquivo .reg.
Existem permisses associadas com as chaves e subchaves da Registry. Atravs das permisses o Windows Server
2003 controla quais usurios e grupos podem acessar, alterar e, at mesmo, excluir chaves e subchaves da registry.
Para configurara as permisses associadas a uma chave basta localizar a respectiva Chave, clicar com o boto Direito
do mouse e, no menu que exibido, clicar em Permisses. Ser exibida a janela de Permisses para a chave selecionada,
janela esta indicada na Figura 12.13.
Figura 12.13 Janela para definir permisses na Registry.
A janela de permisses semelhante a janela de permisses para pastas e subpastas, descrita no Captulo 6. possvel,
inclusive, definir auditoria em chaves da Registry, para que fique registrado quais usurios fizeram acesso e quais as
operaes executadas por cada usurio. A auditoria definida para cada chave individualmente. As configuraes de
Auditoria so acessadas atravs do boto Avanado.
Voc tambm pode se conectar com a Registry de outros computadores da rede,
desde que tenha a devida permisso para isso. Para se conectar com a Registry
de outro computador basta utilizar o comando Arquivo -> Conectar Registro da
rede... Ser exibida a janela Selecionar computador. Digite o nome do
computador do qual voc deseja acessar a Registry, conforme exemplo da Figura
12.14 e clique em OK.
IMPORTANTE: Lembre que para
habilitar a auditoria em chaves da
registry, antes voc deve habilitar a
diretiva de auditoria: Auditoria de
acesso a objetos. Esta diretiva deve
ser habilitada quando voc deseja
fazer a auditoria de acesso em pas-
tas e arquivos, em impressoras, em
OUs, em chaves da Registry, enfim,
quando voc deseja fazer auditoria
em qualquer tipo de objeto que tenha
uma lista de permisses associada
(ACL Access Control List).
Figura 12.14 Conectando com a Registry de outro computador, remotamente.
O Editor de Registro faz a conexo e exibe as informaes da Registry do computador remoto, conforme indicado na
Figura 12.15:
Figura 12.15 Informaes da Registry de outro computador da rede (Servidor).
11. Feche o Editor de Registro.
12. Reinicialize o Windows Server 2003 e verifique se a tecla NumLook ligada automaticamente, mesmo antes
de voc fazer o logon no Windows Server 2003. Isto comprova que a alterao que fizemos na Registry,
definindo o valor da chave HKEY_CURRENT_USER\Control Panel\Keyboard\InitialKeyboardIndicators=2
est funcionando corretamente.
O Modo Seguro, Last Know Good Configuration e Control Sets..
Neste tpico veremos conceitos importantes, principalmente quando acontecem problemas na reinicializao do sistema.
Vamos tratar dos seguintes tpicos:
Opes de inicializao do Windows Server 2003 e o Modo seguro.
Last Know Good Configuration e Control Sets.
Ao inicializar o Windows Server 2003, ser exibido um menu de opes (caso esteja instalada mais de uma verso do
Windows Server 2003), menu este que montado a partir de informaes do arquivo boot.ini, conforme descrito
anteriormente. Este menu somente montado e exibido se existirem, pelo menos duas opes de inicializao diferentes,
no arquivo boot.ini. Consideramos como sendo diferentes opes de inicializao, diferentes verses do Windows
(9x, Me, NT, 2000 ou XP) ou uma mesma verso com diferentes chaves de inicializao como por exemplo /fastdetect
e /basevideo. Se houver uma nica opo o menu no ser exibido.
Quando o menu exibido voc pode selecionar uma das opes do menu e pressionar Enter. Logo aps pressionar
Enter exibida a mensagem Iniciando Se neste momento voc pressionar a tecla F8, ser exibido um menu de
opes avanadas de inicializao. Se no for exibido o menu, ou seja, se houver uma nica opo de inicializao,
voc deve ficar atento tela do computador. Quando a as primeiras mensagens comearem a aparecer na tela, voc
deve pressionar a tecla F8 para exibir o menu com as opes avanadas de inicializao, opes estas que sero
descritas neste item.
Safe Mode (Modo seguro)
Safe Mode with Networking (Modo seguro com rede)
Safe Mode with Command Prompt (Modo seguro com prompt de
comando)
Enable Boot Logging (Ativar log de inicializao)
Enable VGA Mode (Ativar modo VGA)
Last Known Good Configuration (Ultima configurao vlida)
Directory Service Restore Mode (Modo de restaurao de servios de
diretrio (s control. de domnio))
Debugging Mode (Modo de depurao)
comum utilizarmos o menu de opes avanadas quando estamos com problemas
na inicializao do Windows Server 2003. Nestas situaes, as opes do menu
avanado podem nos ajudar na soluo de problemas, conforme veremos na
seqncia. Vamos analisar cada uma destas opes, iniciando pelas opes de
Modo seguro.
NOTA: No Windows Server 2003
voc pode pressionar a tecla F8
enquanto o menu de inicializao,
com as diferentes verses do Win-
dows estiver sendo exibido. Ao
pressionar F8 ser exibido o menu
de opes avanadas do Windows,
no qual so exibidas as seguintes
opes de inicializao:
Entendendo o Modo seguro de inicializao Safe mode.
Quando o Windows Server 2003 no est conseguindo inicializar no modo Normal, temos a opo de inicializa-lo no
Modo seguro. No Modo seguro apenas os drivers e servios estritamente necessrios inicializao do sistema so
carregados. O sistema inicializado utilizando um driver de vdeo padro VGA, com resoluo de 640x480 e com
suporte a milhes e cores (24 bits), com suporte ao mouse, teclado, monitor, sistema de armazenamento local (discos
rgidos, disquete, etc). Os programas configurados para serem inicializados automaticamente so ignorados no Modo
seguro. Todo este cuidado tomado para que o Windows Server 2003 possa inicializar, mesmo que com um conjunto
mnimo e drivers e servios. Uma vez inicializado, voc poder alterar as configuraes que esto impedindo que o
Windows Server 2003 inicialize no modo Normal.
A maioria das ferramentas de configurao esto disponveis no modo Seguro, para que voc possa fazer as
configuraes necessrias, para corrigir os problemas que esto impedindo o Windows Server 2003 de inicializar no
modo Normal. Por exemplo, no modo Seguro temos acesso ao Painel de controle, s Ferramentas Administrativas, ao
utilitrio de Backup, ao Editor de registro, s configuraes de rede e assim por diante.
Se voc desconfia que o problema com algum hardware recm instalado ou com o driver de hardware instalado,
utilize o Gerenciador de dispositivos para verificar se existe algum problema de hardware. Se o Windows Server 2003
consegue inicializar no modo Seguro porque os servios bsicos do Sistema Operacional esto funcionando
corretamente. Se o Windows Server 2003 deixou de inicializar normalmente aps a instalao de um driver provvel
que o respectivo driver seja a causa do problema. Estando no Modo Seguro voc pode utilizar o Gerenciador de
Dispositivos para desinstalar ou desabilitar o driver que est causando problemas. Uma vez desabilitado o referido
driver, o Windows Server 2003 dever voltar a inicializar normalmente.
Ao fazer a inicializao no Modo Seguro, o Windows Server 2003 vai exibindo cada driver e servio que vai sendo
carregado. A inicializao no Modo Seguro utiliza a chave /sos, j descrita anteriormente. Ao iniciar o computador no
modo Seguro voc deve fazer o logon como Administrador ou com uma conta do tipo Administrador do computador,
para que voc possa ter acesso a todas as configuraes do Windows Server 2003 e fazer as alteraes necessrias.
Aps fazer o logon uma mensagem emitida, avisando sobre as limitaes do Modo seguro e perguntando se voc
realmente deseja entrar neste modo, conforme indicado na Figura 12.16. Clique em Sim e o Windows Server 2003
ser carregado no Modo seguro.
Figura 12.16 Confirmao para entrar no Modo Seguro.
Uma vez tendo feita as alteraes necessrias voc deve reinicializar o computador para testar se as alteraes que
foram feitas surtiram o efeito desejado, qual seja, permitir que o Windows Server 2003 possa voltar a inicializar no
modo Normal.
Se voc precisa acessar recursos da rede, ao invs da opo Modo seguro, deve
selecionar a opo Modo seguro com rede. Com esta opo o sistema de rede
do Windows ser carregado (desde que no existam problemas que impeam a
carga dos componentes de rede) e, mesmo no Modo Seguro, voc ter acesso
aos recursos da rede.
A opo Modo seguro com prompt de comando carrega o Windows Server 2003
porm no carrega a interface grfica, mas sim a interface de linha de comando
(Cmd.exe) com suporte a todos os comandos reconhecidos pelo Windows Server
2003. Devido s facilidades da interface grfica, dificilmente algum vai optar
por esta opo, a no ser que voc seja um f de carteirinha da interface baseada
na linha de comando.
Em resumo podemos afirmar que o Modo Seguro (ou Modo de Segurana) uma
ferramenta especialmente til quando o Windows Server 2003 est com problemas
para inicializar no Modo Normal. Nestas situaes podemos inicializar no Modo
Seguro e fazer as alteraes necessrias para que o Windows Server 2003 possa
voltar a inicializar no modo Normal.
Agora vamos entender um pouco melhor a opo Ultima configurao vlida
(Last Know Good Configuration) e a sua relao com os chamados Control Sets.
Na parte final deste item trataremos das demais opes do Menu de opes
avanadas do Windows.
NOTA: O Modo Seguro tambm
conhecido como Modo de
Segurana. As duas expresses so
sinnimos.
IMPORTANTE: O Modo seguro
com rede no funcionar em
computadores portteis que esto
utilizando cartes PCMCIA de rede.
O suporte a cartes PCMCIA
desabilitado no Modo seguro,
mesmo quando voc seleciona a
opo Modo seguro com rede.
Last know good configuration e Control Sets.
A opo ltima configurao vlida indicada em situaes onde a instalao de um novo driver est causando
problemas srios, impedindo que o Windows Server 2003 possa inicializar normalmente. Vamos supor que voc
baixou da Internet uma nova verso para o driver da placa de rede do servidor. Voc instala a nova verso do driver
e ao reinicializar o computador, o Windows Server 2003 no consegue inicializar normalmente. Nesta situao
voc pode inicializar utilizando as opes avanadas do menu de inicializao e selecionar a opo Last know good
configuration. Com isso sero carregadas as configuraes da ltima configurao com a qual o Windows Server
2003 conseguiu inicializar normalmente, ou seja, as configuraes anteriores a atualizao do driver que est
causando o problema.
Ao selecionar a opo Last know good configuration o Windows Server 2003 ser inicializado usando as informaes
da Registry que o Windows Server 2003 salvou na ltima vez que voc fez o logon no Windows Server 2003 com
sucesso, ou seja, as informaes da ltima configurao vlida. As informaes sobre a ltima configurao vlida
so armazenadas na Registry do Windows Server 2003.
Ao inicializar um computador com o Windows Server 2003 esto disponveis duas configuraes para inicializao:
Default and LastKnownGood. Estas configuraes so conhecidas como Control Sets. Um Control Set um conjunto
de configuraes da Registry, configuraes estas utilizadas para inicializar o computador. Quando voc faz o logon
no Windows Server 2003 normalmente e faz alteraes nas configuraes, como por exemplo instalar uma nova
verso de um driver, estas alteraes so salvas no Current control set. Ao encerrar o Windows Server 2003 (Shut-
down) as alteraes so copiadas para o control set Default. Na prxima vez que voc fizer o logon com sucesso, as
configuraes do control set Default sero copiadas para o control set Last Know Good Configuration. Se voc no
conseguir fazer o logon com sucesso devido s ltimas alteraes, voc tem a opo de reinicializar o sistema e utilizar
a opo Last know good configuration. Observe que as configuraes da ltima configurao vlida somente so
sobrescritas depois que voc faz as alteraes, reinicializa o computador e consegue fazer o logon com sucesso. Se
devido s alteraes voc no conseguir fazer o logon ou sequer reinicializar o Windows Server 2003, as configuraes
da ltima configurao vlida no sero sobrescritas e voc ter a opo de carreg-las na prxima inicializao,
revertendo as alteraes que foram feitas e esto impedindo o Windows Server 2003 de inicializar corretamente.
Voc pode utilizar a ltima configurao vlida em situaes tais como:
Voc instalou uma novo driver ou uma nova verso de um driver existente e o Windows Server 2003 no
consegue mais inicializar corretamente. Nesta situao voc pode reinicializar utilizando a opo Last know
good configuration. Com isso as configuraes anteriores a alterao que no est funcionando sero carregadas
e o Windows Server 2003 volta a inicializar normalmente.
Por engano ou por sabotagem um dispositivo fundamental, como por exemplo o controlador IDE foi desabilitado.
Se um dispositivo como o controlador IDE for desabilitado, o Windows Server 2003 no conseguir inicializar
normalmente. Nestas situaes voc pode utilizar a ltima configurao vlida para restaurar as configuraes
que estavam funcionando normalmente.
Outras opes de configurao do Menu de opes avanadas
do Windows
Vamos analisar as demais opes do Menu de opes avanadas.
Ativar log de inicializao: Ao selecionar esta opo o Windows Server
2003 cria um log com a descrio da carga e inicializao de drivers e
servios. Este log gravado em um arquivo chamado NTBTLOG.TXT, o
qual gravado na pasta onde o Windows Server 2003 est instalado. Ao
inicializar o Windows Server 2003 no Modo Seguro este log tambm
automaticamente criado.
Ativar modo VGA: Esta opo inicializa o Windows Server 2003 utilizando
um driver VGA com configuraes mnimas. Esta opo til quando
voc est tendo problemas com o driver da placa de vdeo ou do monitor.
Ultima configurao vlida: J descrita anteriormente.
Modo de depurao: Inicializa o Windows Server 2003 no modo de
depurao do Kernel.
IMPORTANTE: Lembre que se
aps ter feito alguma alterao, o
Windows Server 2003 reiniciar e
voc conseguir fazer um logon, as
configuraes do control set Last
Know Good Configuration sero
sobrescritas pelas configuraes
atuais. Nesta situao voc no
poder mais utilizar a opo ltima
configurao vlida, para voltar
situao anterior. Para estas
situaes que existe a opo
Restaurao do sistema, a qual
veremos mais adiante.
Diversas ferramentas de recuperao a desastres.
Neste tpico apresentarei uma srie de itens relacionados a recuperao de um servidor em caso de problemas diversos,
tais como quando um arquivo fundamental corrompido ou quando um driver de hardware causa instabilidade do
sistema e assim por diante. Voc tambm aprender sobre o uso do Console de recuperao. Mostrarei como instalar
o Console de recuperao e quais os principais comandos disponveis.
O recurso ASR Automated System Recovery Disks
No Windows NT Server 4.0 e no Windows 2000 Server o administrador pode criar um disco chamado ERD Emer-
gency Repair Disk. Este disco contm informaes que podem ser utilizadas para reparar o servidor em situaes de
emergncia, como por exemplo quando um arquivo de inicializao (ntldr, ntoskrnl.exe, etc.) corrompido. O
administrador pode dar um boot usando o CD do Windows 2000 Server, iniciar a instalao e bem no incio informar
que ser feita uma reparao de uma instalao j existente. Neste momento que ser necessrio o disquete ERD. J
no Windows Server 2003 este procedimento mudou bastante. No existe mais o conceito de ERD. Ao invs disso foi
criado o chamado ASR - Automated System Recovery (recuperao automatizada do sistema).
O administrador pode criar um conjunto de discos ASR, regularmente, como parte de um plano de recuperao do
sistema em caso de falhas. Os discos do ASR contm informaes fundamentais para o funcionamento do Windows
Server 2003, informaes estas que podem ser utilizadas para substituir arquivos corrompidos, corrigir defeitos no
setor de boot e no ambiente de inicializao do Windows Server 2003. O recurso ASR deve ser utilizado como uma
ltima tentativa de recuperar o sistema, depois que vrias outras tentativas foram esgotadas, tais como usar o modo
seguro, a opo Last Know Good Configuration e o console de recuperao (que ser descrito mais adiante).
O recurso ASR composto de duas partes: O backup ASR e o restore ASR. Para fazer o Backup ASR, utilizamos o
Automated System Recovery Preparation (Assistente de preparao para a recuparao do sistema) do ASR, o qual
est disponvel como uma das opes do utilitrio de backup. Este assistente faz o backup do estado do sistema, dos
servios configurados e de todos os discos associados com a instalao do Windows Server 2003. Tambm criado
um disquete, qual contm informaes sobre o backup, configuraes dos discos do sistema (incluindo informaes
dos discos bsicos e discos dinmicos) e informaes sobre como deve ser efetuada a restaurao do sistema. Este
disquete denominado ASR disk ou disco ASR.
Para fazer a restaurao do sistema, usando os discos criados pelo assistente de backup do ASR, voc deve iniciar uma
instalao normal do Windows Server 2003 (por exemplo, a partir de um boot pelo CD-ROM, usando o CD de
instalao do Windows Server 2003). Em uma das etapas da instalao, bem no incio, ainda na parte de texto, tem
uma mensagem informando que voc pode pressionar a tecla F2 para fazer uma restaurao do sistema. Nesta etapa
voc pressiona F2 e ser solicitado que voc insira o disquete ASR no drive. O ASR l as informaes sobre os discos
do sistema a partir do disquete ASR e restaura todas as assinaturas de discos, volumes e parties, pelo menos nos
discos necessrios para que o Windows Server 2003 seja inicializado. O ASR tentar restaurar as configuraes de
todos os discos e volumes/parties, mas pode acontecer de ele no conseguir restaurar as informaes sobre todos os
volumes. O ASR ir instalar uma verso simplificada do Windows Server 2003, apenas com o suficiente para iniciar
um restore a partir do backup feito pelo ASR, utilizando o Automated System Recovery Preparation Wizard, backup
este que normalmente feito em fita em fita.
Observaes sobre o ASR:
O ASR no faz o backup dos arquivos de dados, apenas dos arquivos do sistema, necessrios ao funcionamento
do ASR. O backup dos dados deve ser feito separadamente, usando uma poltica de backup e agendamento de
tarefas de backup, conforme descrito no Captulo 8.
O ASR tem suporte a volumes FAT16 com tamanho mximo de 2.1 GB. O ASR no tem suporte para volumes
FAT16 com tamanho de 4 GB, volumes estes que utilizam um tamanho de cluster de 64 Kb. Se o servidor tiver
uma partio FAT 16 de 4 GB (o que muito pouco provvel), primeiro voc deve converter este volume para
NTFS, para depois usar o ASR. Para converter um volume de FAT16 ou FAT32 para NTFS basta usar o
comando convert. Por exemplo, para converter o drive C: de FAT para NTFS, utilize o seguinte comando:
convert C: /fs:NTFS
A seguir mostrarei como usar o assistente de backup e o Assistente de preparao para a recuparao do sistema.
Exemplo: Usar o assistente de backup e o Assistente de preparao para a recuparao do sistema, para criar um
conjunto de discos para recuperao automtica do sistema. Para isso siga os passos indicados a seguir:
3. Se for aberto o assistente de backup clique na opo Modo avanado, para abrir o utilitrio de backup no modo
avanado.
4. O utilitrio de backup ser aberto, com a guia Bem vindo selecionada por padro. Nesta guia est disponvel a
opo Assistente para recuperao automtica do sistema, conforme indicado na Figura 12.17:
Figura 12.17 O assistente do ASR.
5. Clique nesta opo.
6. Ser iniciado o assistente Assistente para preparao da recuperao automatizada do sistema. A primeira tela do
assistente apenas informativa. Clique m Avanar, para seguir para a prxima etapa do assistente.
7. Nesta etapa voc deve selecionar o destino para o backup. Se voc tiver um drive de fita instalado, poder gravar
em fita. Esta a opo mais recomendada. Voc tambm pode gravar o backup em disco, preferencialmente em
um disco da rede. Afinal de nada adiantaria gravar o backup do ASR no mesmo disco onde est instalado o
Windows Server 2003, pois se este disco apresentasse problemas, voc perderia o disco e tambm o backup, ou
seja, ficaria sem nada. Selecione o destino para o backup, conforme exemplo da Figura 12.18 e clique em Avanar,
para seguir para a prxima etapa do assistente.
Figura 12.18 Selecionando o destino para o backup do ASR.
8. Ser exibida a tela final do assistente. Clique em Concluir. O processo de
backup para gerar as informaes necessrias para um restaurao do sistema
ser iniciado.
9. Aps a concluso do backup do ASR, o Windows emite uma mensagem
solicitando que voc insira um disco em branco na unidade de disquete,
NOTA: O backup do ASR no
poder ser feito diretamente em CD
ou DVD, mesmo que voc tenha um
drive gravador de CD ou gravador
de DVD.
Figura 12.19 Criao do disquete do ASR.
10. Clique em OK para inicar a criao do disquete do ASR.
11. O disquete ser criado e uma mensagem ser exibida, orientando voc a identificar o disquete e guard-lo em
local seguro. Clique em OK para fechar a mensagem de aviso.
Pronto, o backup do ASR foi criado e poder ser utilizado para restaurar o servidor em caso de falhas graves. Para usar
o backup do ASR voc deve iniciar uma instalao do Windows Server 2003 normalmente e, em uma das etapas
iniciais, fique atento a mensagem que indica que voc deve pressionar a tecla F2 para restaurar o estado do sistema
usando um backup do ASR.
O que contm o disquete do ASR: O disquete do ASR como se fosse um mapa para encontrar as demais
informaes necessrias ao processo de restaurao. No disquete do ASR so gravados os seguintes arquivos:
Setup.log: Contm a localizao dos arquivos do sistema.
Asr.sif: Contm informaes sobre os discos, parties, volumes e sobre a mdia utilizada para fazer o backup
do ASR.
Asrpnp.sif: Contm informaes sobre os dispositivos de hardware, instalados no servidor, e que so compatveis
com o padro Plug and Play.
DICA: Sempre que voc estiver para fazer alteraes importantes no servidor, tais como instalao de novos dispositivos
de hardware ou instalao de novos servios e sistemas, recomendado que, antes de fazer as modificaes, voc faa
um backup do ASR. Com isso, voc poder usar este backup para restaurar o servidor a uma situao de normalidade,
caso acontea algum erro grave, devido as modificaes que esto sendo feitas. importante salientar novamente, que
o restore a partir de um backup do ASR deve ser considerado como uma ltima alternativa, quando outros recursos
como o Modo de segurana e a ltima configurao vlida j falharam. Alteraes tais como insero de um novo
disco ou excluso de volumes e criao de novos volumes tambm podem ser consideradas grande alteraes e,
conseqentemente, antes de fazer estas alteraes, crie um novo backup do ASR. Aps ter feito as alteraes e o
servidor estar funcionando normalmente, hora de criar o backup do ASR novamente, para que agora ele j contenha
as ltimas alteraes, as quais esto funcionando sem problemas.
Criando um disquete de boot.
O conceito de disquete de boot no Windows NT, Windows 2000, Windows XP ou Windows Server 2003 bem
diferente do conceito de disquete de boot no Windows 95/98/Me. No Windows 95/98/Me ao usar um disquete de boot,
o sistema inicializado no modo caractere, aberto um prompt de comando e voc tem acesso ao disco rgido e
demais unidades de disco. J no Windows NT/2000/XP/2003, o disquete de boot no inicializa o sistema no modo
caractere, com um prompt de comando e acesso aos volumes (C:, D:, etc). Alm disso, o uso do disquete de boot ter
pouca utilidade, principalmente com a disponibilidade do Console de recuperao, o qual descreverei mais adiante.
Mas existem algumas circunstncias em que o disquete de boot pode ser til, mais especificamente para auxiliar na
inicializao do sistema, quando ocorrer um dos seguintes problemas:
Quando o setor de boot do disco rgido estiver corrompido.
Quando o MBR master boot Record do disco rgido estiver corrompido.
Quando um vrus tiver infectado o MBR.
Quando os arquivos ntldr ou ntdetect.com estiverem corrompidos ou tiverem sido excludos por engano.
Exemplo: Para criar um disquete de boot para um determinado servidor, siga os
administrador.
2. Insira um disquete em branco no drive de disquete
3. Abra um Prompt de comando: Iniciar -> Todos os programas -> Acessrios -
> Prompt de comando.
4. Execute o comando format a: /u
5. Aguarde a concluso do comando e copie os arquivos Ntdetect.com e Ntldr,
da pasta i386 do CD de instalao do Windows Server 2003, para o disquete.
Copie tambm o arquivo Boot.ini, que se encontra na raiz do C:\.
NOTA: Outra situao prtica em
que o disco de boot pode ser til
quando voc tem um volume
espelhado, no qual est instalado o
Windows Server 2003. Pode
acontecer do disco principal do
espelhamento (aquele a partir do
qual o Windows Server 2003
carregado) apresentar problemas.
Neste caso voc pode usar um
disquete de boot, alterando o
6. Pronto, est criado o CD de boot, o qual especfico para o servidor onde foi
criado e que poder ser utilizado nas situaes descritas no incio deste tpico.
O Console de Recuperao.
O Console de Recuperao foi uma das novidades introduzidas com o Windows
2000 Server e que tambm est presente no Windows XP Professional e no Win-
dows Server 2003. O Console de Recuperao no instalado, automaticamente,
quando o Windows Server 2003 instalado. Neste item mostrarei como instalar o
Console de Recuperao.
Aps instalar o console de recuperao, este ser adicionado como uma opo do
menu de inicializao do computador, conforme descrito anteriormente. Ao
selecionar a opo para inicializar no modo de recuperao, o servidor ser
inicializado em um modo muito parecido com o Prompt de comando. Neste modo
estaro disponveis uma srie de comandos (descritos mais adiante). Esto
disponveis comandos para acessar os arquivos do disco rgido, para habilitar/
desabilitar drivers e assim por diante.
Se o modo de segurana e outras opes de inicializao no funcionarem, voc
poder considerar o uso do Console de recuperao (claro que este deve ter sido
instalado previamente). No entanto, esse mtodo recomendado somente se voc
for um usurio avanado ou administrador que possa usar comandos bsicos para
identificar e localizar drivers e arquivos com problemas.
Para usar o Console de recuperao, voc precisa efetuar o logon na conta
Administrador. Esse console fornece comandos que podem ser usados para
executar operaes simples, como mudar de diretrio ou exibir um diretrio, e
operaes mais complexas, como corrigir o setor de inicializao. Voc pode
acessar a Ajuda para os comandos no Console de recuperao digitando help no
prompt de comando do Console de recuperao.
Ao usar o Console de recuperao, voc pode iniciar e interromper servios, ler e
gravar dados em uma unidade local (inclusive unidades formatadas com o sistema
de arquivos NTFS), copiar dados de um disquete ou CD, formatar unidades, corrigir
o setor de inicializao ou o registro de inicializao mestre (MBR) e executar
outras tarefas administrativas. O Console de recuperao ser especialmente til
se voc precisar reparar o sistema copiando um arquivo de um disquete ou CD-
ROM para a unidade de disco rgido ou se precisar reconfigurar um servio que
est impedindo o computador de ser iniciado corretamente. Por exemplo, o Con-
sole de recuperao poderia ser usado para substituir um arquivo de driver
sobrescrito ou danificado por uma cpia perfeita a partir do disquete.
Exemplo: Para instalar o console de recuperao, siga os passos indicados a seguir:
1. Faa o logon como administrador ou com uma senha com permisso de
administrador.
2. Abra um Prompt de comando e acesse a pasta i386, do cd de instalao do
arquivo boot.ini para que carregue
o Windows Server 2003 a partir do
disco que ainda est funcionando.
O Windows Server 2003
carregado normalmente. A voc
desfaz o espelhamento, desliga o
servidor e substitui o disco com
problemas. Em seguida voc usa o
disquete de boot novamente para
inicializar o servidor, reconhece o
disco recm instalado e refaz o
espelhamento. Pronto, o prximo
boot j pode ser feito a partir do
novo HD instalado e devidamente
espelhado. Este mtodo d bem
menos trabalho (e tem bem menos
probabilidade de dar problemas) do
que usando um backup tradicional,
principalmente se o servidor for um
DC, onde so necessrios cuidados
especiais para o restore do Active
Directory, conforme descrito no
Captulo 8.
IMPORTANTE: O disco de boot que
voc cria em um servidor, servir
para inicializar este servidor e no
qualquer servidor com o Windows
Server 2003. Na prtica outros
servidores podero ser inicializados,
mas somente se tiverem exatamente
as mesmas configuraes de discos
e de volumes, do servidor onde foi
feito o disquete de boot.
Figura 12.20 Instalando o console de recuperao.
5. Clique em Sim, para prosseguir com a instalao do console de recuperao.
6. A instalao concluda e uma mensagem exibida informando que o console de recuperao foi adicionado
como uma das opes de inicializao e que voc pode utilizar o comando HELP, para ver uma lista dos comandos
disponveis. Clique em OK para fechar esta mensagem e pronto, o console de recuperao est instalado. No
prximo exemplo mostrarei como utilizar o console de recuperao.
Exemplo: Para utilizar o console de recuperao, aps t-lo instalado, siga os passos indicados a seguir:
1. Reinicialize o servidor.
2. Ser apresentado um menu, onde a primeira opo a instalao normal do Windows Server 2003. Se houver
outras verses do Windows, estas sero exibidas na seqncia. A ltima opo Microsoft Windows Recovery
Console (Console de Recuperao do Microsoft Windows). Selecione esta opo e pressione Enter.
3. Aps alguns instantes, ser exibido um novo menu de opes para que voc selecione qual instalao do Win-
dows voc deseja acessar. Este menu ser exibido mesmo que haja uma nica instalao do Windows. Digite o
nmero da instalao a ser carregada e pressione Enter. Nesta etapa voc tambm pode digitar Exit e pressionar
Enter para reinicializar o computador.
4. Ser solicitada a senha de acesso. Se o servidor for um DC, importante salientar que est no a senha da conta
Administrator (Administrador) do domnio, mas sim a senha que foi definida durante a instalao do Active
Directory, senha esta que tambm utilizada para inicializar o servidor no modo de Restaurao do Active
Directory, conforme descrito no Captulo 8. Digite a senha e pressione Enter.
5. A inicializao usando o console de recuperao ser completada e ser exibido um prompt de comando. Para
obter uma lista completa dos comandos disponveis digite help e pressione Enter. Ser exibida uma lista com
todos os comandos disponveis no console de recuperao.
6. Para obter ajuda sobre um comando especfico, digite help nome_do_comando e tecle Enter. Por exemplo para
obter ajuda sobre o comando enable, digite help enable e pressione enter.
7. Para sair do console de recuperao e reinicializar o servidor, digite EXIT e pressione Enter. O servidor ser
reinicializado, agora selecione o modo normal de inicializao. A seguir apresento uma descrio resumida dos
principais comandos disponveis no console de recuperao.
3. Para instalar o console de recuperao, execute o seguinte comando:
winnt32 /cmdcons
4. Ser exibida uma mensagem informando que voc pode instalar o console de recuperao como uma das opes
de inicializao do computador, conforme indicado na Figura 12.20:
Principais comandos disponveis no console de recuperao:
ATTRIB: o bom e velho attrib da poca do MS-DOS. utilizado para alterar os atributos de pastas e
arquivos.
BATCH: utilizado para executar uma seqncia de comandos contidos em um arquivo de texto. A sada dos
comandos exibida na tela ou pode ser redirecionada para um outro arquivo de texto.
BOOTCFG: utilizado para exibir e modificar as configuraes do arquivo boot.ini.
CD (CHDIR): O bom e velho comando CD, igualzinho ao que voc utiliza no prompt de comando. utilizado
para alterar a pasta ativa.
CHKDSK: Utilitrio para verificao e correo de erros em unidades de disco. Foi descrito e exemplificado
no Captulo 10.
CLS: Por incrvel que possa parecer ele mesmo: Clear Screen. Utilizado para limpar a tela, desde a poca do
MS-DOS 1.0.
COPY: Mesmo comentrio do item anterior. utilizado para copiar pastas e arquivos. Por exemplo, voc pode
utilizar este comando para copiar um arquivo de inicializao que tenha sido corrompido, do CD de instalao
do Windows Server 2003 para o disco rgido, substituindo desta forma o arquivo corrompido, o que far com
que o Windows Server 2003 possa ser inicializado normalmente.
DELETE (DEL): Utilizado para excluir pastas e arquivos.
DIR: Ele mesmo, com todas as tradicionais opes que voc j conhece a dcadas.
DISABLE: Este um dos comandos mais importantes e normalmente utilizados. Ele utilizado para desabilitar
um driver ou servio. Por exemplo, se o que est impedindo o Windows Server 2003 de inicializar normalmente
um servio, voc pode inicializar o servidor no modo Console de Recuperao. Em seguida voc utiliza o
comando LISTSVC para listar todos os servios instalados no servidor. Anote o nome do servio a ser
desabilitado e em seguida utilize o seguinte comando:
DISABLE NOME_DO_SERVIO
pronto, agora voc pode inicializar o Windows Server 2003 no modo normal e corrigir os problemas com o
servio que estava impedindo o Windows Server 2003 de ser inicializado no modo normal.
EXIT: Sai do console de recuperao e reinicializa o servidor.
EXPAND: Utilizado para descompactar um arquivo compactado.
FIXBOOT: Este tambm um comando muito utilizado. Este comando
recria o cdigo de boot do Windows Server 2003, na partio de boot,
sobrescrevendo o cdigo atualmente existente. indicado para casos em
que o cdigo de boot foi corrompido, o que est impedindo o servidor de
inicializar normalmente.
NOTA: O comando LISTSVC lista os
servios e os drivers instalados no
servidor, bem com o status de cada
um.
FIXMBR: Tambm muito utilizado. utilizado para reparar o Master Boot Record (MBR) da partio de
boot. Normalmente utilizado em situaes onde o MBR foi danificado por vrus, o que est impedindo o
Windows Server 2003 de ser inicializado. Voc deve tentar outros recursos antes de usar este comando.
Primeiro tente utilizar um anti-vrus atualizado. No comum, mas pode acontecer de este comando danificar
a MBR ao invs de corrigir. Nestas situaes voc pode perder completamente o acesso ao disco e somente
uma reinstalao do Windows Server 2003 e uma restaurao a partir do backup, para voltar o sistema ao
estado normal.
FORMAT: O bom e velho format, utilizado para formatar volumes e disquetes.
HELP: Exibe uma lista de todos os comandos disponveis no console de recuperao. Para obter ajuda sobre
um comando especfico, digite help nome_do_comando e tecle Enter. Por exemplo para obter ajuda sobre o
comando enable, digite help enable e pressione enter.
LISTSVC: Exibe uma lista dos servios e drivers instalados no servidor, bem como o status de cada um.
LOGON: Exibe uma lista de todas as instalaes disponveis, para as seguintes verses do Windows: NT, XP,
2000 e Server 2003. exibido um menu, voc digita o nmero da instalao que voc quer acessar. Ser
solicitada a senha de acesso. Se voc digitar a senha incorretamente trs vezes, o servidor ser reinicializado.
MAP: Exibe uma lista das letras de drives em uso, o sistema de arquivos de cada drive e o tamanho de cada
partio.
MD (MKDIR): Ele mesmo, velho conhecido. Utilizado para criar pastas e subpastas.
MORE: Mais um velho conhecido. utilizado para paginar a sada de um comando, quando a sada que
exibida na tela muito extensa. Usando o comando more em conjunto com outros comandos, os resultados
so exibidos uma tela por vez. Para exibir a prxima tela basta pressionar a barra de espaos.
RD (RMDIR): Outro velho conhecido. Utilizado para excluir uma pasta. A pasta deve estar vazia para que o
comando seja executado com sucesso.
REN (RENAME): Utilizado para renomear um arquivo.
SET: Permite que sejam definidas caractersticas de execuo do console de recuperao. Com o comando
SET voc pode definir as seguintes caractersticas:
AllowWildCards: Define se ser permitido o uso de caracteres coringa (*, ?) no console de recuperao.
AllowAllPaths: Define se ser permitido acesso a todas as pastas do disco rgido.
AllowRemovableMedia: Define se ser permitida a cpia de arquivos para mdias mveis, tais como um
disquete ou um Zip Drive.
NoCopyPrompt: Permite a utilizao do comando copy, para sobrescrever arquivos, sem que seja exibida
uma mensagem de aviso.
SYSTEMROOT: Altera para a pasta definida como %systemroot%, ou seja, a pasta onde o Windows Server
2003 est instalado.
TYPE: utilizado para exibir o contedo de um arquivo de texto.
A opo Roll Back Driver.
Outra opo til a opo para reinstalar a verso anterior do driver de um dispositivo de hardware. Esta opo til
quando a instalao de uma nova verso de um driver est causando problemas. Desde problemas como por exemplo
consumo excessivo de memria e processador, at problemas mais graves, como simplesmente fazer com que o
dispositivo de hardware deixe de funcionar aps a atualizao do driver. Nestas situaes, voc pode orientar o Win-
dows Server 2003 a voltar a verso anterior do driver, verso esta que estava funcionando corretamente. No exemplo
a seguir, listo os passos para fazer o Roll Back de um driver.
Exemplo: Para fazer o Roll Back de um driver de dispositivo, siga os passos indicados a seguir:
2. Abra o console Gerenciamento do computador: Iniciar -> Ferramentas Administrativas -> Gerenciamento do
computador.
3. Acesse a opo Ferramentas do Sistema -> Gerenciador de Dispositivos.
4. Localize o dispositivo cujo drive est com problemas e clique com o boto direito nele. No menu de opes que
exibido clique em Propriedades.
5. Na janela de propriedades que exibida, clique na guia Driver. Em seguida clique no boto Roll Back Driver
(Reverter driver), conforme indicado na Figura 12.21. Pronto, ser instalada a verso anterior do driver.
Figura 12.21 A opo Roll Back Driver.
Concluso
Neste captulo tratei de uma srie de assuntos importantes, todos relacionados a manuteno do Windows Server 2003
em funcionamento e do retorno do Windows Server 2003 ao funcionamento normal quando ocorrerem problemas.
Foram abordados os seguintes tpicos:
O Processo de boot do Windows Server 2003.
Registry.
Opes avanadas de inicializao do sistema.
O Modo seguro.
A ltima configurao vlida Last Know Good Configuration.
Outras opes avanadas de inicializao.
O ASR Automatic System Recovery
O console de recuperao.
O recurso de Roll Back driver.
Todas so ferramentas importantes para restaurar o Windows Server 2003 a sua normalidade em caso de problemas.
Mas a principal ferramenta de recuperao a desastres, sem dvidas, um bom planejamento. Planejar com cuidado
a segurana fsica e lgica das informaes, bem com um bom sistema de backup e anti-vrus sempre atualizados.
Combinando os recursos tecnolgicos com uma educao e treinamento contnuo para os usurios, voc ter um
ambiente bem mais seguro, produtivo e preparado para enfrentar os problemas que fatalmente viro.
C A P T U L O
13
Internet Information Services
6.0 IIS 6.0 e Software
Update Services SUS
Introduo
Neste captulo mostrarei como instalar, configurar e utilizar os servios Web em
um servidor com o Windows Server 2003. O servidor Web da Microsoft o Internet
Information Services, que com o Windows Server 2003 chega a sua verso 6.0,
mais conhecido como IIS 6.0. As configuraes que voc aprender se aplicam
tanto se voc estiver usando a edio Windows Server 2003 Web Edition ou
qualquer uma das outras edies do Windows Server 2003, com o IIS 6.0 instalado
e configurado. O desenvolvimento de software atualmente baseado em um
modelo Web. Por isso posso citar vrias situaes onde o uso do Windows Server
2003 como um servidor Web indicado:
Vamos iniciar por uma das aplicaes mais simples. Imagine que voc
esteja utilizando o Windows Server 2003 para montar uma rede de uma
pequena empresa ou de um pequeno escritrio com, digamos, umas 10
mquinas. Voc pode utilizar o Windows Server 2003 como um servidor
Web, para compartilhar documentos como manuais, apostilas de
treinamentos e outras informaes que devam estar disponveis para todos
os usurios da rede. Desta maneira os usurios acessam estes documentos
utilizando o Internet Explorer para acessar a Intranet da empresa. Quando
um dos documentos for alterado no Servidor, automaticamente os usurios
passaro a ter acesso a esta nova verso, sem necessidade de distribuir
uma cpia da nova verso para todos os usurios. Desta maneira garantimos
que todos tero acesso s verses mais atualizadas e ainda economizamos
espao no disco rgido de cada estao de trabalho. Agora estenda este
exemplo para uma rede com milhares de usurios.
Agora vamos a um uso mais sofisticado, onde temos o acesso a bancos de
dados atravs do uso da tecnologia ASP Active Server Pages ou ASP.NET,
a nova tecnologia de pginas dinmicas que faz parte da iniciativa .NET
da Microsoft. Vamos imaginar que existem bancos de dados nos quais os
usurios da rede devam fazer pesquisas. Por exemplo, pode ser um banco
para consulta ao CEP, uma lista de produtos e preos, uma lista de clientes
e assim por diante. Neste caso podemos armazenar os referidos bancos de
dados no computador configurado como servidor Web e criar formulrios
de pesquisa usando pginas ASP ou ASP.NET. Desta maneira todos os
usurios da rede dispem de uma maneira rpida e sempre atualizada de
realizar pesquisas nos bancos de dados utilizados pela empresa. Alm
disso no preciso instalar um programa em cada um dos computadores,
pois todo o acesso feito simplesmente usando um navegador como o
Internet Explorer ou o Netscape Navigator. Se um formulrio de pesquisa
for modificado no servidor Web, automaticamente todos os usurios
passaro a acessar a nova verso do formulrio. Com a tecnologia ASP ou
ASP.NET podemos criar no s formulrios de pesquisa mas tambm
formulrios para cadastramento e alterao de informaes.
Em resumo podemos dizer que com o uso de um servidor Web podemos facilitar
o acesso s informaes, ao mesmo tempo em que a disponibilizar informaes e
aplicativos torna-se um processo bem mais simples.
Vou iniciar o captulo mostrando como a fazer a instalao do IIS Internet Information Services. O IIS o servidor
Web da Microsoft. Ao instalarmos o IIS estamos transformando o computador em um servidor de pginas e de arquivos,
com suporte as tecnologias ASP e ASP.NET. Na seqncia voc aprender sobre o acesso ao servidor Web e sobre a
formao de endereos.
Em seguida mostrarei como configurar e a utilizar os diversos servios oferecidos pelo IIS, desde a simples criao de
pastas virtuais at as configuraes de segurana disponveis no IIS.
O segundo tpico a ser abordado neste captulo o SUS Software Update Services. No Windows Server 2003, em
Portugus, este servio denominado de Servio de Atualizaes Automticas. J h alguns anos, que a Microsoft
disponibiliza o site Windows Update, atravs do qual voc pode baixar e instalar atualizaes e correes de segurana
para as diferentes verses do Windows. Porm o usurio deve tomar a iniciativa de usar o comando Windows Update,
para conectar o seu computador com o site do Windows Update, para fazer a instalao das ltimas correes disponveis.
O SUS leva este processo um nvel a frente. Voc estala o SUS em um servidor da rede e pode configurar este servidor
para baixar, automaticamente, as atualizaes a partir do site Windows Update. Depois de baixadas para o servidor,
estas atualizaes podero ser aplicadas, automaticamente, em todos os demais computadores da rede. Este processo
tem inmeras vantagens, as quais sero descritas neste captulo.
Instalao do IIS 6.0.
Para que voc possa tornar um servidor com o Windows Server 2003 em um servidor Web, voc precisa instalar o IIS
Internet Information Services. O IIS o servio responsvel pela disponibilizao dos servios http (para
disponibilizao de pginas) e ftp (para cpia de arquivos). Outros servios tambm so disponibilizados pelo IIS, tais
como servios de SNMT e NNTP. Para maiores detalhes sobre os servios de SNMT e NNTP, consulte o Captulo 24,
do livro: Windows Server 2003 Curso Completo, 1568 pginas. A verso do IIS disponvel com o Windows Server
2003 a verso 6.0. Neste captulo farei referncia simplesmente utilizando IIS.
Caso voc no tenha instalado o IIS quando da instalao do Windows Server 2003, possvel fazer a instalao
quando for necessrio. No prximo exemplo, voc aprender passo-a-passo a instalar o IIS 6.0. Nunca demais
lembrar que sem o IIS 6.0, no ser possvel testar os exemplos prticos, propostos neste captulo.
Antes de instalar o IIS, importante fazer algumas observaes, relacionadas com a segurana do IIS. No Windows
2000 Server, ao instalar o IIS, por padro, so habilitadas uma srie de funcionalidades. O problema que muitas
destas funcionalidades no so necessrias em muitas situaes prticas. O mais grave que muitas das falhas de
segurana do IIS 5.0, estavam justamente nestas funcionalidades que eram habilitadas automaticamente durante a
instalao do produto. J com o IIS 6.0, no Windows Server 2003, adotada uma poltica de habilitar apenas um
conjunto mnimo de servios, durante a instalao. A medida que o administrador precisa de novas funcionalidades
ele as habilita. Obviamente que os problemas de segurana detectados no IIS 5.0 j foram corrigidos atravs do uso de
Service Packs no Windows 2000 Server e no esto presentes no IIS 6.0. Mas habilitar somente os servios realmente
necessrios, uma poltica bem mais sensata, tanto em termos de segurana, quanto em termos de uso de recursos do
servidor.(tais como memria e processador). Quando houver necessidade de utilizar uma funcionalidade que no est
habilitada, basta que o Administrador configure o IIS para habilitar a respectiva funcionalidade.
Durante a instalao do IIS voc ter a opo de selecionar quais componentes do IIS voc deseja instalar. Por exemplo,
voc pode optar por instalar ou no o gerenciamento do prprio IIS via navegador e assim por diante. No exemplo
prtico, logo a seguir, iremos instalar todos os componentes do IIS. Conforme descrito anteriormente, mesmo instalando
todos os componentes, somente ser habilitado um conjunto mnimo de funcionalidades. A medida que novas
funcionalidades se mostrarem necessrias, o administrador pode habilita-las.
Exemplo: Para instalar o IIS 6.0, siga os passos indicados a seguir:
1. Faa o logon com a conta Administrador ou com uma conta do tipo
Administrador do computador.
3. Abra a opo Adicionar ou remover programas.
4. Surgir a janela Adicionar ou remover programas.
5. No lado esquerdo da janela, d um clique na opo Adicionar/remover
componentes do Windows.
6. Ser aberto o Assistente de componentes do Windows. Com este assistente
podemos adicionar componentes do Windows Server 2003 que no foram
instalados durante a instalao original ou remover componentes que no
sejam mais necessrios.
7. V descendo com a barra de rolagem vertical, at localizar o item Servidor de
aplicativo e clique neste item para marc-lo, conforme indicado na Figura 13.1
instala o IIS, o servio instalado
em um modo de alta segurana. Por
padro, ele est configurado para
servir apenas contedo esttico
(pginas HTML padro). Para que
possam ser executados contedos
dinmicos - pginas ASP e ASP.NET,
scripts CGI, Internet Server Applica-
tion Programming Interface (ISAPI)
e Web Distributed Authoring and
Versioning (WebDAV) estes
recursos devem ser habilitados pelo
administrador, conforme mostrarei
neste captulo.
Figura 13.1 O grupo Servidor de aplicativo.
8. Clique no boto Detalhes. Ser exibida uma lista com os diversos servios relacionados ao desenvolvimento de
aplicaes. Marque a opo Servios de informaes da Intenet (IIS), conforme indicado na Figura 13.2:
Figura 13.2 Selecionando o IIS para instalao.
9. Observe que ao marcar esta opo, o boto Detalhes... habilitado. O IIS formado por uma srie de componentes
e funcionalidades. Existe um servidor de pginas (servidor HTTP), um servidor de ftp, um servidor de notcias
(NNTP) e assim por diante. Ao instalarmos o IIS, podemos escolher um ou mais dos seus componentes, dependendo
das necessidades do nosso servidor Web. No necessrios que todos os componentes do IIS sejam instalados.
Por exemplo, se o servio de cpia de arquivos no for necessrio, no temos porque instalar o servio de FTO.
No nosso exemplo iremos instalar todos os componentes.
10. Clique no boto Detalhes... Ser exibida uma lista com os componentes do IIS.
11. Na lista de opes disponveis, exibida na Figura 13.3, certifique-se de que
todas as opes estejam marcadas, conforme indicado na Figura 13.3. No
esquea de usar a barra de rolagem vertical, para marcar tambm os
componentes que no so exibidos na tela:
DICA: Na prtica, em um servidor
da sua rede, instale somente os
servios realmente necessrios. No
uma boa idia instalar todos os
servios disponveis, mesmo que
somente alguns sejam utilizados.
Quanto mais servios instalados,
maiores as possibilidades de ataque
e quebra da segurana do site, por
parte de um hacker, alm da maior
utilizao de memria e
processador no servidor.
Figura 13.3 Instalando todos os
componentes do IIS.
Figura 13.4 Opes do Servidor World Wide Web.
13. Clique em OK para fechar a janela da Figura 13.4. Voc estar de volta janela Servios de informaes da
Internet, indicada na Figura 13.3. Clique em OK para fecha-la e aplicar as configuraes selecionadas.
14. Voc estar de volta janela do Assistente de componentes do Windows. Observe, que aps ter selecionado os
componentes a serem instalados, o Windows Server 2003 exibe o espao em disco necessrio para a instalao
dos novos componentes selecionados.
16. O Windows Server 2003 exibe uma janela indicando o progresso da Instalao
17. Caso o Windows Server 2003, no encontre os arquivos necessrios instalao do IIS, no Disco rgido, voc ser
solicitado a inserir o CD de instalao do Windows Server 2003.
18. Insira o CD e aguarde. O Windows detecta que o CD foi inserido e inicia, automaticamente, o processo de cpia
dos arquivos,.
19. Aps concluda a cpia dos arquivos, o Assistente emite uma mensagem dizendo que o processo foi concludo
com sucesso.
20. D um clique no boto Concluir para encerrar o Assistente.
21. Voc estar de volta janela Adicionar ou remover programas. D um clique no boto Fechar para sair desta
janela.
22. Voc estar de volta ao Painel de controle. Feche o Painel de controle.
23. Agora o IIS est instalado e pronto para ser utilizado, pelo menos as funcionalidades bsicas do IIS.
Agora que j temos o IIS instalado vamos testar se ele est funcionando corretamente.
12. A opo Servio World Wide Web Service tambm dividida em vrios componentes. Clique nesta opo para
marca-la. Em seguida clique no boto Detalhes.... Ser exibida a janela com os componentes do servio World
Wide Web Service. Certifique-se de que todas as opes estejam marcadas, conforme indicado na Figura 13.4.
Para testar se o IIS foi instalado com sucesso, siga os seguintes passos:
2. Digite o seguinte endereo: http://localhost
3. Ser aberta uma pgina padro (iisstart.htm), que uma pgina apenas
com um aviso de que o site est em construo, conforme indicado na
Figura 13.5:
IMPORTANTE: Nunca demais
repetir que a instalao de todos os
componentes esta sendo feita
apenas para uso didtico, para que
voc aprenda a utiliz-los. Na
prtica, devem ser instalados
apenas os componentes realmente
necessrios, por motivos j expostos
anteriormente.
Figura 13-5 O IIS instalado e funcionando e a pgina padro sendo exibida.
4. Esta a pgina inicial do IIS logo aps a instalao. A pasta padro do IIS em C:\Inetpub\wwwroot. Falaremos
mais sobre pasta padro e como criar pastas virtuais, mais adiante. Isto comprova que o IIS foi instalado com
sucesso. Feche o Internet Explorer.
Preparando o seu computador para acompanhar os exemplos prticos
de utilizao do IIS.
Neste item vamos criar uma pasta chamada exemplos. Dentro desta pasta vamos criar uma subpasta para outros
assuntos, tais como: documentos, aplicativos e assim por diante. Depois aprenderemos a tornar esta pasta, parte
integrante do servidor IIS. No so todas as pastas de um servidor que podem ser acessadas atravs do IIS.
Criando a estrutura de pastas e subpastas.
Utilizando o Windows Explorer, crie uma estrutura de pastas e subpastas, conforme indicado a seguir. importante
que voc no utilize acentos para o nome das subpastas, uma vez que os nomes das pastas passaro a fazer parte do
endereo de acesso, quando estas pastas forem configuradas para fazer parte do IIS.
Cria as seguintes pastas:
C:\exemplos\aplicativos
C:\exemplos\documentos
Agora vamos fazer com que a pasta exemplos (e conseqentemente, todas as suas
subpastas), passem a fazer parte do servidor IIS. O computador que estou utilizando
para os exemplos tem o nome de srv70-290 e faz parte do domnio abc.com. Para
acessar a pgina inicial deste servidor utilizo o seguinte endereo: http://srv70-
290.abc.com. Substitua srv70-290.abc.com pelo nome do computador e domnio
que voc estiver utilizando para acompanhar os exemplos deste livro.
IMPORTANTE: Estou utilizando o
drive C: . Voc pode utilizar
qualquer um dos drives disponveis
no seu computador.
Ao instalar o IIS por padro a pasta C:\Inetpub\wwwroot definida como a pasta home. Dentro da pasta home, um ou
mais arquivos podem ser definidos como o arquivo padro. Quando um usurio acessa o computador, simplesmente
especificando o seu endereo, como por exemplo: http://srv70-290.abc.com, ser carregado o arquivo padro, da
pasta home, que no caso do IIS 6.0 o arquivo iisstart.htm, j citado anteriormente. Outras pastas podem ser criadas
e definidas para ser parte do servidor IIS. Esta pastas so conhecidas como pastas virtuais. Aprenderemos a cria-las
logo em seguida. Tambm veremos como fica o endereo de acesso para as pastas virtuais e para arquivos contidos
nestas pastas.
Tornando a pasta exemplos parte dos servidor IIS criando uma pasta virtual.
Agora vamos aprender passo-a-passo, como tornar a pasta exemplos (e as suas subpastas), parte do servidor IIS. Para
isso utilizaremos o console Gerenciador dos Servios de informaes da Internet (IIS), do Windows Server 2003. Este
console, que est disponvel atravs do menu Ferramentas administrativas, nos d acesso a todas as opes de
configurao do IIS.
Exemplo: Para tornar a pasta exemplos, parte do servidor IIS srv70-290.abc.com, siga os passos indicados a seguir:
2. Clique em Iniciar -> Ferramentas administrativas -> Gerenciador dos Servios de informaes da Internet (IIS).
3. Ser aberta a janela Internet Information Services (IIS) Manager, conforme indicado na Figura 13.6:
Figura 13.6 O console
Internet Information
Services.
Comparanado WebDav com FTP:
NOTA: Voc pode usar a opo
Extenses de servios da Web para
configurar quais extenses do
servidor IIS estaro habilitadas e
quais estaro desabilitadas. Para
habilitar/desabilitar uma
determinada extenso, basta clicar
na extenso a ser habilitada/
desabilitada para marca-la. Em
seguida clique no boto Permitir,
para habilitar a extenso ou no
boto Proibir, para desabilitar a
extenso. Ao clicar em Permitir,
para habilitar uma extenso, ser
exibida uma janela pedindo
confirmao para a habilitao.
Clique em Sim, para prosseguir com
a habilitao. Nunca demais
lembrar que somente devem ser
habilitadas as funcionalidades
realmente necessrias, para evitar
problemas de segurana e uso
desnecessrio dos recursos do
servidor.
IMPORTANTE: A extenso
WebDav deve estar habilitada, para
que voc possa criar os chamados
Web Folders (Pastas Web). Ao
acessar uma pasta de um servidor
IIS, usando o Internet Explorer, se
a extenso WebDav no estiver
habilitada, voc receber uma
mensagem de que no foi possvel
exibir a pasta como uma pasta Web
e perguntando se voc deseja exibi-
la usando o modo padro (modo
usado no Windows Explorer). Isso
acontece quando a extenso
WebDav est desabilitada no
Protocolo Senha de segurana Criptografia de dados
WebDAV Sempre que o servidor Sempre que o servidor
Web estiver usando a SSL; Web estiver usando a
s vezes quando ele no SSL; nunca quando ele
estiver usando no estiver usando
FTP Nunca Nunca
O WebDAV protege a senha e os dados criptografados quando voc envia informaes
para um servidor Web executando SSL (Secure Sockets Layer). Se o servidor no
estiver executando a SSL, o WebDAV poder proteger a sua senha se ele estiver
configurado para usar a autenticao do Windows. Entretanto, voc no pode
criptografar os dados enviados ao servidor, se este no estiver usando SSL. Se o
servidor estiver executando a SSL, o endereo do servidor na Internet ser iniciado
por https:// em vez de http://.
O FTP no usa criptografia ou outro mecanismo de segurana para proteger a sua
senha quando voc faz logon em um servidor. Alm disso, voc no pode criptografar
os dados quando usar o FTP para enviar arquivos para/de um servidor. Isso coloca
suas informaes em risco, pois qualquer pessoa que use hardware ou software de
rede pode captur-las medida que so transferidas.
O uso do WebDAV para a transferncia de arquivos, pastas e outros dados para
servidores Web que executam a SSL a maneira mais segura de transferir informaes.
4. D um clique na opo Sites da Web. No lado direito ser exibida a lista dos sites
configurados durante a instalao do IIS. Com o IIS possvel ter mais de um
site no mesmo servidor. O site Site da Web padro , como o nome sugere, o site
padro do servidor. A pasta raiz deste site C:\Inetpub\wwwroot, conforme
citado anteriormente.
5. D um clique no sinal de +, ao lado da opo Site da Web padro, para expandir
esta opo. As opes que aparecem, so as pastas que j fazem parte do site.
Por padro a pasta home definida como sendo C:\Inetpub\wwwroot. A pasta
home do servio de ftp definida como sendo c:\inetpub\ftproot.
6. D um clique com o boto direito do mouse, na opo Site da Web padro. No
menu que surge, execute o comando Novo -> Diretrio virtual...
7. Ser exibida a primeira tela do Assistente para a criao de diretrio virtual.
Esta tela apenas informativa. D um clique no boto Avanar, para ir para a
segunda etapa do assistente.
8. Nesta segunda etapa, voc precisa definir um nome (Alias), para esta pasta vir-
tual. Este nome far parte do endereo para acessar a referida pasta, conforme
veremos mais adiante no item sobre formao de endereos. Utilizaremos o
mesmo nome da pasta: exemplos. Porm no obrigatrio que utilizemos o
mesmo nome. Por questo de facilidade de administrao e gerenciamento,
sempre utilizo nomes iguais para o nome da pasta no disco rgido e o nome
no utilizado pelo IIS.
9. Digite exemplos, conforme indicado na Figura 13.7. D um clique no boto
Avanar, para ir para a terceira etapa do assistente.
Figura 13.7 Digitando um nome para o diretrio virtual que est sendo criado.
servidor IIS. O WebDAV (Web Dis-
tributed Authoring and Versioning),
tambm conhecido como pastas da
Web, um protocolo de
transferncia de arquivos que
oferece suporte transferncia de
arquivos segura em intranets e na
Internet. Com o WebDAV, possvel
carregar, fazer o download e
gerenciar arquivos em um
computador remoto, atravs da
intranet e pela Internet. O WebDAV
semelhante ao protocolo de
transferncia de arquivo (FTP);
entretanto, o WebDAV proporciona
um ambiente mais seguro para a
transferncia de arquivos pela Web.
10. Na terceira etapa, o assistente pergunta qual a pasta a ser associada com o nome virtual informado na etapa
anterior. Nesta etapa voc pode digitar o caminho completo para a pasta, ou utilizar o boto procurar, para localizar
a pasta desejada. No nosso exemplo, vamos digitar C:\exemplos. Com isso estamos associando a pasta C:\exemplos,
com o diretrio virtual exemplos, do servidor IIS.
11. Digite C:\exemplos, conforme indicado na Figura 13.8, e d um clique no boto Avanar, para ir para a quarta
Figura 13.8 Informando o caminho da pasta C:\exemplos.
Figura 13.9 Configurando as opes de segurana.
13. D um clique em Avanar. Surge a tela final do assistente.
14. D um clique no boto Concluir, para finalizar o assistente.
15. Voc estar de volta ao Gerenciador do Internet Services.
16. Observe que um novo diretrio virtual chamado exemplos, j aparece como parte integrante do servidor IIS,
conforme indicado pela Figura 13.10. Caso o diretrio exemplo ainda no aparea na listagem, pressione F5 para
atualizar a listagem. Clique no sinal de + ao lado de Exemplos e observe que as subpastas Aplicativos e Documentos
tambm so exibidas.
12. Na quarta etapa do assistente, podemos configurar as permisses de acesso pasta exemplos. Certifique-se de
que as opes: Leitura e Executar Scripts (ASP por exemplo), estejam marcadas, conforme indicado pela Figura
13.9. Se a opo Executar Scripts (ASP por exemplo), no estiver marcada, o cdigo ASP ser ignoradas pelo IIS
e as pginas ASP no sero processadas.
Figura 13.10 O diretrio virtual exemplos, recm criado.
17. Feche o console de gerenciamento do IIS.
Como so formados os endereos de acesso pginas do IIS?
Uma vez criado o diretrio virtual exemplos, o qual est associado pasta C:\Exemplos, como posso acessar o contedo
que for colocado dentro deste diretrio, ou em uma das suas subpastas ? Por exemplo, se eu colocar um arquivo
chamado avisos.htm no diretrio virtual Exemplos, qual o endereo que os usurios devem utilizar para acessar a
pgina avisos.htm?
A resposta para a questo acima, bastante simples, basta que entendamos como so formados os endereos em um
servidor como o IIS. No nosso exemplo, vamos imaginar o endereo do servidor como sendo: http://srv-
win2003.abc.com. Ao digitarmos este endereo, estamos acessando a pgina principal do servidor que, por padro,
est na pasta C:\Inetpub\wwwroot, conforme descrito anteriormente. Vamos supor que dentro do diretrio Exemplos,
fosse colocada uma pgina chamada avisos.htm, como faramos para acessar esta pgina, atravs do Navegador? O
endereo da pgina em questo, seria o seguinte:
http://srv-win2003.abc.com/exemplos/avisos.htm.
A Figura 13.11, descreve em detalhes a formao deste endereo:
Figura 13.11 A formao de endereos no servidor IIS.
Observe que primeiro vem o nome do servidor (srv-win2003.abc.com), depois o
nome do diretrio virtual (exemplos) e, finalmente, o nome da pgina a ser acessada
(avisos.htm).
Seguindo o mesmo raciocnio anterior, fica fcil responder a esta pergunta. Vamos
supor que voc queira acessar uma pgina chamada cep.asp, que est na subpasta
aplicativos, a qual est no diretrio virtual exemplos. Como fica o endereo para
acessar esta pgina ? A Figura 13.12, responde esta questo:
IMPORTANTE: Como que fica o
endereo, quando eu quero acessar
uma pgina que est dentro de uma
subpasta do diretrio virtual
exemplos?
Figura 13.12 A formao de endereos em subpastas do diretorio virtual, no servidor IIS.
Com isso, podemos ver que existe uma lgica bem definida para a formao dos endereos. Apenas para confirmar,
vamos dar mais alguns exemplos de formao de endereos. Considere os casos abaixo indicados:
Qual o endereo de uma pgina chamada teste.htm, gravada na pasta Documentos?
Resposta: http://srv-win2003.abc.com /exemplos/documentos/teste.htm
Qual o endereo de uma pgina chamada cadastro.asp, gravada na pasta Aplicativos?
Resposta: http://srv-win2003.abc.com /exemplos/aplicativos/cadastro.asp
importante que voc entenda bem a maneira como o servidor IIS constri os endereos de acesso para as pginas
gravadas em seus diretrios virtuais. Observe que o diretrio virtual, simplesmente um nome que nos leva at o
diretrio real, gravado no disco. Podemos criar diversos diretrios virtuais, em um nico servidor IIS.
Uma vez criada uma estrutura de diretrios virtuais s criar as pginas com o contedo a ser disponibilizado para os
usurios da rede. Para a criao de pginas html simples voc pode utilizar o Microsoft Word, o qual capaz de
converter para html, diversos formatos de documentos. Para pginas mais sofisticadas voc pode utilizar editores
especficos como o Front Page da Microsoft ou o Dreamweaver da Macromedia.
Tudo o que foi visto para o servidor http tambm vlido para o servio de ftp. Por exemplo, voc pode criar uma
pasta C:\pub e associar esta pasta um diretrio virtual de ftp chamado pub. Para acessar o contedo desta pasta, o
usurio utiliza o seguinte endereo:
ftp://srv-win2003.abc.com/pub.
Para criar uma pasta virtual de ftp voc utiliza o console Internet Services Manager. Tambm possvel configurar o
nvel de acesso a uma pasta de ftp, como por exemplo: somente leitura ou leitura e escrita.
Com estas configuraes o seu computador j est configurado para atuar como um servidor http e um servidor de ftp.
Voc pode criar novos diretrios virtuais a adicionar contedo. Depois s criar uma pgina principal onde so
colocados os links para o contedo disponvel.
A seguir veremos mais algumas configuraes do IIS. Veremos configuraes para que possamos personalizar o
servidor IIS, bem como configuraes de segurana.
Configurando opes do servidor de pginas e do servidor ftp.
Aps ter criado um diretrio virtual, quer seja de http ou de ftp, voc pode configurar uma srie de opes para este
diretrio. As configuraes podem ser configuradas para o servidor como um todo, neste caso as configuraes sero
vlidas para todos os diretrios virtuais do servidor. As configuraes tambm pode ser feitas em cada diretrio
virtual, individualmente. No caso de conflito entre as configuraes do servidor e as configuraes de um diretrio
virtual, prevalecem as configuraes do nvel mais inferior, ou seja, do diretrio virtual. Tambm possvel definir
configuraes individuais para pastas e subpastas de um diretrio virtual, quer seja do servidor de pginas (http), quer
seja do servidor de arquivos (ftp).
Vamos ver alguns exemplos de configuraes do IIS.
Exemplo 1: Configurando opes do Default Web Site (Site da Web padro).
Para configurar as opes bsicas do Servidor Web Padro, siga os passos indicados a seguir:
2. Abra o console Gerenciador dos Servios de informaes da Internet (IIS): Iniciar -> Ferramentas administrativas
-> Gerenciador dos Servios de informaes da Internet (IIS).
3. Clique no sinal de + ao lado do nome do Computador para exibir as opes disponveis. Observe que so exibidas
as opes Sites da Web e Sites FTP, dentre outras opes disponveis.
4. Clique no sinal de + ao lado da opo Sites da Web, para exibir os sites
disponveis. Por padro possvel hospedar mais de um site, com endereos
diferentes, em um mesmo servidor IIS. Para maiores detalhes sobre a
hospedagem de vrios sites em um nico servidor, consulte o Captulo 24 do
livro Windows Server 2003 Curso Completo, 1568 pginas, de minha
autoria, publicado pela Editora Axcel Books. Observe que exibida a opo
Site da Web padro. Este o site criado, automaticamente, durante a instalao
do IIS.
5. Clique no sinal de + ao lado de Site da Web padro. Sero exibidos os diretrios
virtuais criados durante a instalao, mais o diretrio exemplos, criado no
exerccio anterior, conforme indicado na Figura 13.13:
NOTA: Dependendo dos
componentes do IIS que voc
instalou, outras opes podero ser
exibidas no console Gerenciador dos
Servios de informaes da Internet
(IIS).
Figura 13.13 Site da Web padro, criado durante a instalao do IIS.
Conforme descrito anteriormente podemos definir configuraes diretamente no Site da Web padro, configuraes
estas que sero vlidas para todos os diretrios virtuais do site. Tambm podemos definir configuraes personalizadas
em um determinado diretrio virtual. Neste caso valero as permisses definidas ao nvel do diretrio virtual. Ao
definir configurae no Site da Web padro, se houver diretrios virtuais com configuraes diferentes, o IIS abre
uma janela perguntando se voc deseja aplicar as novas configuraes a todos os diretrios virtuais ou deseja manter,
nos diretrios virtuais, as configuraes j existentes, mesmo que estas sejam diferentes das configuraes que esto
sendo aplicatas no site principal.
6. Clique com o boto direito do mouse em Site da Web padro. No menu de opes que exibido clique em
Propriedades. Ser exibida a janela de Propriedades, com a guia Site da Web j selecionada, conforme indicado
na Figura 13.14:
Figura 13.14 A guia Site da Web.
Nesta guia podemos definir diversas configuraes.
No grupo Identificao do siste da Web, voc pode definir as seguintes configuraes:
Descrio: Neste espao voc pode digitar uma descrio para o site, como por exemplo: Documentos e
Manuais. A descrio padro Site da Web padro, a qual definida durante a instalao do IIS.
Endereo IP: Caso voc tenha mais de um endereo IP configurado na mesma placa de rede, ou tenha mais de
uma placa de rede, possvel definir qual endereo IP ser associado com o site. Por padro Todos os endereos
IP esto associados com o site padro. O uso de mltiplos endereos IP em uma mesma placa de rede ou de
mltiplas placas de rede, com diferentes endereos IP permite que sejam criados diferentes sites para diferentes
grupos de usurios.
Porta TCP: Cada servio no protocolo TCP/IP configurado para trabalhar em uma porta especfica. O protocolo
HTTP, por padro, configurado para responder na porta 80. Se voc definir uma porta diferente da 80, o
nmero da porta dever ser informado no endereo de acesso. Por exemplo, se voc definir a porta 470, o
endereo para acesso ao site fica da seguinte maneira: http://srv-win2003.abc.com:470. Observe que o nmero
da porta informado aps o endereo, separado deste pelo sinal de dois pontos (:).
No grupo Conexes voc pode definir as seguintes configuraes:
Tempo limite de conexo: Define por quanto tempo (em segundos) o IIS
tenta atender uma determinada requisio. Quando o tempo limite for
atingido, o cliente receber uma mensagem que o servidor no est
respondendo.
Ativar Keep-Alive de http: Por padro, o navegador do cliente faz a
solicitao de uma pgina para o servidor, estabelece uma conexo, recebe
o contedo e fecha a conexo. Se uma nova requisio for feita logo em
seguida, uma nova conexo ser estabelecida, o contedo fornecido e a
conexo ser fechada. Este processo de abrir e fechar uma conexo, a
cada requisio do cliente, faz com que sejam consumidos recursos de
memria e processamento no servidor. Os navegadores atuais permitem
que seja mantida a conexo entre o cliente e o servidor e que vrias
requisies possam ser feitas, dentro da mesma conexo. Esse
procedimento chamado de HTTP Keep-Alives (manter ativada). Keep-
alive uma especificao do protocolo HTTP que permite uma melhora
considervel no desempenho do servidor. Sem ele, um navegador precisaria
fazer numerosas solicitaes de conexo para uma pgina com diversos
elementos, como elementos grficos. Por exemplo, para uma pgina com
20 figuras seriam necessrias 21 conexes: uma para a pgina e um para
cada uma das figuras. Uma conexo separada precisaria ser feita para
cada elemento. Essas solicitaes e conexes adicionais requerem atividade
e recursos adicionais do servidor, como memria e processador,
diminuindo sua eficincia. Elas tambm tornam um navegador muito mais
lento e as pginas menos aptas a responder, especialmente em uma conexo
de alta latncia (lenta), como por exemplo o acesso discado. Por padro, o
HTTP Keep-Alives fica ativado durante o processo de instalao.
recomendado que voc mantenha esta opo sempre ativada.
IMPORTANTE: Voc deve
conhecer o nmero de porta
utilizado pelos principais servios.
http 80, ftp 21, SSL 443, smtp
25, DNS 53, pop3 110, ldap
389.
No grupo Ativar logs voc pode definir se deve ser mantido ou no um log de acesso aos recursos do IIS. Existem
vrios formatos diferentes de log. Por padro utilizado o formato do arquivo de log estendido do W3C. recomendado
que voc mantenha este formato, pois este um formato padro que pode ser lido por muitos dos programas geradores
de estatsticas de acesso, com base nos logs de acesso. Para personalizar o log de acesso d um clique no boto
Propriedades. Ser exbida a janela indicada na Figura 13.15.
Figura 13.15 Configurando as propriedades do log.
Na guia Geral voc define de quanto em quanto tempo um novo arquivo de log deve ser gerado: Por hora, diariamente,
semanalmente, Mensalmente, Tamanho de arquivo ilimitado (usa sempre o mesmo arquivo) ou Quando o tamanho do
arquivo atingir (x MB). A opo a ser escolhida depende das polticas de segurana e do volume de acesso ao site. Por
exemplo, para sites muito acessados a opo por hora pode ser a mais indicada. Na guia Propriedades gerais tambm
possvel def inir a pasta onde os arquivos de log sero gravados. Por padro def inida a pasta:
C:\WINDOWS\System32\LogFiles, onde C:\ o drive onde est instalado o Windows Server 2003 e WINDOWS a
pasta onde o Windows Server 2003 foi instalado. Este caminho poder ser diferente, dependendo do local e do drive
onde foi instalado o Windows Server 2003.
Na guia Avanado, indicada na Figura 13.16, podemos definir informaes adicionais a serem gravadas no log, como
por exemplo: Nome do usurio, Nome do servio, Nome do servidor e assim por diante.
Figura 13.16 A guia Propriedades avanadas.
7. Defina as configuraes desejadas e clique em OK. Voc estar de volta guia Site da web, da janela de propriedades
do site padro.
8. A guia Filtros ISAPI utilizada para a adio ou remoo de Filtros ISAPI, os quais so componentes de Soft-
ware utilizados para responder a solicitaes especficas do usurio. Por exemplo, o processador de pginas ASP
um filtro ISAPI.
9. D um clique na guia Pasta base. Esta guia utilizada para definir qual o diretrio padro do servidor IIS e a qual
pasta ele est associado. Por padro o diretrio base est associado a pasta c:\inetpub\wwwroot, conforme indicado
na Figura 13.17:
Figura 13.17 A guia Diretrio base.
Observe que o diretrio base no precisa, necessariamente, estar associado com uma pasta localizada no mesmo
computador onde o IIS est instalado. Observe que alm da opo Um diretrio localizado neste computador, temos
as opes: Um compartilhamento localizado em outro computador e Um redirecionamento para uma URL.
Nesta guia tambm podemos definir as permisses de acesso ao contedo do diretrio base que, por padro, est
definido apenas como leitura Ler. Uma opo que deve estar sempre desmarcada a opo Pesquisa no diretrio. Se
esta opo estiver marcada e no existir uma pgina padro configurada (conforme mostrarei logo a seguir) e o
usurio digitar o endereo para o diretrio, sem especificar uma pgina, ser exibida uma listagem com todo o contedo
do diretrio, o que pode ser um problema de segurana. Na Figura 13.18 temos o exemplo da listagem que exibida
quando a opo Pesquisa no diretrio est marcada e o diretrio acessado.
Figura 13.18 Listagem de todo o contedo do diretrio.
10. D um clique na guia Documentos. Nesta guia voc pode definir uma lista de documentos como sendo o contedo
padro do diretrio. Por exemplo, se voc define a pgina index.asp como sendo a pgina padro e o usurio
acessa o site, sem especificar um nome de pgina: http://srv-win2003.abc.com - ser carregada a pgina definida
como padro. Para adicionar uma pgina como padro clique no boto Adicionar... Para remover uma pgina da
lista utilize o boto Remover. Com os botes de seta para cima e seta para baixo, voc pode alterar a ordem dos
documentos na lista. possvel ter mais do que uma pgina definida como padro, conforme indicado na Figura
13.19. Neste caso o IIS ir tentar carregar a primeira pgina da lista, se esta no for encontrada o IIS tenta carregar
a segunda e assim por diante.
Com a opo Ativar rodap do documento, possvel configurar o IIS para inserir automaticamente um arquivo em
formato HTML na parte inferior de todas as pginas da Web enviadas pelo servidor (no h suporte para a anexao
de rodaps s pginas ASP). Por exemplo, o arquivo pode conter instrues de formatao HTML para adicionar uma
mensagem de texto simples e um logotipo da empresa em todas as pginas do site.
Nota da documentao do IIS: Os rodaps de documentos podem reduzir o desempenho do servidor Web, especialmente
se uma pgina da Web for acessada com freqncia.
11. Na guia Erros personalizados voc pode associar pginas com mensagens de erro personalizadas para cada tipo
de erro. Por exemplo, o erro mais tradicional o erro 404, o qual indica que a pgina solicitada no foi encontrada.
Quando este erro ocorre exibida uma mensagem de erro padro. Voc pode criar uma pgina HTML mais
elaborada e configurar esta pgina para ser exibida quando o erro 404 ocorrer. A pgina pode conter um link para
o usurio voltar ao site principal e um email para que o usurio informe ao Administrador do site sobre o problema
ocorrido. A guia Erros personalizados utilizada para associar pginas HTML personalizadas com um determinado
tipo de erro.
Figura 13.19 A guia Documentos.
12. Defina as configuraes desejadas e clique no boto OK. Se algum dos diretrios
virtuais apresentar configuraes diferentes das definidas para o site principal,
uma janela ser exibida, listando os diretrios com configuraes diferentes
das do site principal. Voc pode optar por aplicar as configuraes do site
principal a um ou mais dos diretrios ou a nenhum deles.
Exemplo 2: Para configurar as opes do servidor de arquivos Site FTP padro,
administrador.
2. Abra o console Gerenciador dos Servios de informaes da Internet (IIS):
Iniciar -> Ferramentas administrativas -> Gerenciador dos Servios de
informaes da Internet (IIS).
3. Clique no sinal de + ao lado do nome do Computador para exibir as opes
disponveis. Observe que so exibidas as opes Sites da Web e Sites FTP.
4. Clique no sinal de + ao lado da opo Sites FTP, para exibir os sites de ftp
disponveis. Por padro possvel hospedar mais de um site de ftp, com
endereos diferentes, em um mesmo servidor IIS. Observe que exibida a
opo Site FTP padro. Este o site de ftp criado, automaticamente, durante
a instalao do IIS.
NOTA: Para uma descrio
completa dos diferentes tipos
de erros consulte a
documentao do IIS.
NOTA: Dependendo dos
componentes do IIS que voc
instalou, outras opes podero
ser exibidas no console Internet
Services Manager.
5. Clique no sinal de + ao lado de Site FTP padro. Observe que por padro ainda no foi criado nenhum diretrio
virtual alm do diretrio root do ftp que por padro o seguinte: c:\inetpub\ftproot.
6. Clique com o boto direito do mouse na opo Site FTP padro e no menu de opes que exibido d um clique
em Propriedades. Ser exibida a janela de propriedades do site FTP padro com a guia Site FTP selecionada,
Figura 13.20 Janela de propriedades do site FTP padro.
Na guia Site FTP temos opes semelhante s encontradas na guia Site da Web, da janela de propriedades do Site Web
padro.
As opes do grupo Identificao so idnticas s descritas no exemplo anterior. Para maiores detalhes consulte o
Exemplo 1. A nica diferena a porta na qual acessado o servio de FTP que a porta 21, ao invs da porta 80
usada pelo servio HTTP.
No grupo conexo podemos definir se o site de ftp aceitar um nmero ilimitado de conexes simultneas ou se
iremos limitar o nmero de conexes. A configurao padro limitar a 100.000 (cem mil) conexes simultneas.
Voc tambm pode definir um tempo limite para a conexo. Caso no exista uma resposta dentro do tempo limite, a
conexo ser encerrada e uma mensagem de erro ser retornada para o usurio.
Na guia Site ftp voc tambm pode configurar as opes para o log do servio de ftp. Estas configuraes so semelhantes
as vistas no Exemplo 1 para o site Web padro.
7. Clique no boto Sesss atuais... Ser exibida uma janela com a lista de usurios conectados e o tempo de conexo
de cada usurio, conforme indicado na Figura 13.11:
Figura 13.21 Lista de usurios conectados ao site de FTP.
Voc pode desconectar um determinado usurio. Para isso clique no usurio a ser desconectado e depois clique no
boto Desconectar-se. Se voc clicar no boto Desconectar todos, todos os usurios sero desconectados e suas sesses
sero encerradas.
8. Clique no boto Fechar para fechar a janela Sesses de usurio de FTP.
9. Voc estar de volta janela de propriedades do site FTP padro. D um clique na guia Contas de segurana.
Nesta guia voc define se sero permitidas ou no Conexes annimas e qual a conta ser utilizada para conexes
annimas. Ao instalar o IIS criada, automaticamente, uma conta com o nome IUSR_Nome_do_computador. Por
exemplo, em um servidor com o nome SRV-WIN2003, ser criada a conta IUSR_SRV-WIN2003. Durante a instalao
do IIS esta conta criada e configurada para ser utilizada como conta de acesso annimo. Com o acesso annimo, os
usurios podem acessar o site de FTP sem ter que especificar um nome de usurio e uma senha. Esta configurao
ideal quando voc quer criar um site de FTP para acesso pblico ou para acesso interno para os usurios da sua rede.
Com o acesso annimo os usurios no precisam fazer um logon para ter acesso aos arquivos que esto disponveis no
servidor de ftp. Isto facilita e simplifica o acesso. As opes desta guia esto indicadas na Figura 13.22:
Figura 13.22 A guia Contas de segurana.
10. Clique na guia Mensagens. Nesta guia voc pode definir mensagens que sero enviadas para o usurio quando um
dos seguintes eventos ocorre: Boas vindas quando o usurio conecta-se com o servidor; Sada - quando o
usurio encerra a conexo e N mximo de conexes quando o usurio tenta conectar-se mas o nmero mximo
de conexes j foi atingido. Tambm est disponvel a opo Faixa. Neste campo voc define uma mensagem que
ser exibida antes da conexo ser estabelecida. Defina as mensagens desejadas.
11. D um clique na guia Pasta base.
Nesta guia voc define qual o diretrio padro do servidor de ftp, que por padro c:\inetpub\ftproot. Voc
tambm define se o diretrio padro est associado com uma pasta no computador local ou com uma pasta
compartilhada em outro computador. possvel definir permisses de acesso de Leitura, Gravao e se um log
deve ser gravado com informaes sobre o acesso ao diretrio.
12. Defina as opes desejadas e clique em OK para aplica-las.
13. Voc estar de volta ao console de gerenciamento do IIS. Feche-o.
Com isso aprendemos a configurar as principais opes do site Web padro e do site FTP padro. Caso voc crie sites
adicionais, as configuraes sero as mesmas. Quando tenho mais de um site (http ou ftp) as configuraes so mantidas,
separadamente, para cada site. O IIS utiliza, alm do registro do Windows Server 2003, uma base de configuraes
conhecida como Metabase. Para maiores informaes sobre a Metabase consulte a documentao do IIS.
Questes e configuraes de segurana com o IIS.
Neste tpico mostrarei algumas questes relacionadas com a segurana no acesso s informaes disponibilizadas
pelo IIS. Vamos iniciar falando sobre os tipos de autenticao existentes.
Porque devo me preocupar com segurana?
Quando se fala de Internet nos dias de hoje, o assunto mais tratado, sem nenhuma dvida, sobre Segurana,
principalmente devido aos inmeros vrus difundidos nos ltimos meses: I Love You, Nimda, Sircam, Klez, MSBlast,
NetSky e tantas outras pragas que provocaram estragos e prejuzos mundo a fora. Muitos relatos, alguns verdadeiros
e outros mais fantasiosos, sobre invases mirabolantes, roubo de nmero de cartes de crditos, acesso a informaes
sigilosas de rgos governamentais e assim por diante.
No podemos negar que o problema de segurana existe e crtico, principalmente hoje em que o Comrcio Eletrnico
, mais do que uma realidade, uma necessidade e um diferencial competitivo para as empresas. O diferencial competitivo
no entrar ou no no mundo do Comrcio Eletrnico, o diferencial criar servios agregados ao comrcio eletrnico,
capazes de gerar diferenciais que atraem o cliente. Assuntos como fidelizao do cliente, melhorias nos sistemas de
CRM Customer Relationship Management (Gerenciamento das Relaes com o Cliente), B2B Bussines to Bussines,
B2C Bussines to Consumer e outros, esto em evidncia.
Porm sistemas de Comrcio Eletrnico, CRM e assemelhados, exigem acesso a um conjunto de dados estratgicos da
empresa. Uma vez que estes sistemas esto acessveis atravs da Internet, os dados empresariais precisam estar
protegidos. Neste ponto que a questo segurana de fundamental importncia. O ponto de acesso a estes dados
atravs de aplicaes Web, hospedadas em um servidor Web. Por isso a importncia de conhecer os mecanismos de
segurana do IIS e a integrao destes com o Sistema Operacional e com o sistema de banco de dados utilizado.
Existem os mais variados tipos de ataques pela Internet. Um engano comum pensar que nico tipo ataque capaz de
causar prejuzos aquele que rouba ou destri dados. No caso de um site de comrcio eletrnico, qualquer ataque que
torne o site indisponvel por um determinado perodo de tempo, causa prejuzos incalculveis, pois alm das compras
que deixaram de ser feitas no perodo de indisponibilidade, tem a questo da imagem da empresa, sem contar que o
cliente pode ter feito a compra no site do concorrente e passar a fazer as prximas compras no site do concorrente.
Por todos estes motivos que a questo de segurana fundamental e deveria ser prioritria quando tratamos de
aplicaes Web. Outro fato importante a ser mencionado que a maioria dos ataques, ao contrrio do que muitos
pensam, originado dentro da Intranet da prpria empresa, ou seja, por funcionrios da empresa . Pode ser um
funcionrio descontente ou desonesto, ou um usurio com permisses de acesso indevidas que causa algum prejuzo
por impercia tcnica. O fato que a questo de segurana no deve ser tratada apenas como uma questo de proteo
contra as foras do mal que vem da Internet. Precisamos definir uma poltica de segurana que permita que todos
possam realizar o seu trabalho, porm com os nveis de permisso adequados nem mais nem menos do que o
necessrio.
Alm de definir uma poltica de segurana, necessrio a ampla divulgao desta. alarmante constatar que muitas
empresas no possuem uma poltica de segurana definida e amplamente divulgada e em constante reviso e atualizao.
Outro erro bastante comum achar que a questo de segurana responsabilidade somente da equipe de informtica/
tecnologia. Na verdade o item segurana bastante complexo e exige que o todos estejam comprometidos. Veja bem,
no envolvidos e sim comprometidos. A diferena bsica entre comprometido e envolvido ilustrada pela
seguinte histria: Quando voc come ovos com bacon no caf da manh, a galinha est envolvida j o porquinho est
comprometido. isso.
Conforme veremos existem aspectos de segurana que so de responsabilidade do desenvolvimento e outros que so
de responsabilidade da Administrao de rede. Na verdade o que se faz criar vrias barreiras para que o hacker no
tenha sucesso em sua tentativa de invaso. Algumas destas barreiras so criadas na prpria rede da empresa e outras no
servidor Web.
Neste site so divulgados boletins sobre segurana dos produtos Microsoft. Sempre
que algum novo problema descoberto, so divulgadas informaes sobre o
problema, bem como a maneira de corrigi-los. Tambm so disponibilizados
arquivos para Download. Estes arquivos normalmente contm correes (Hot-
fix) que devem ser aplicados para corrigir problemas de segurana.
Autenticao de usurios com o IIS.
Quando um usurio tenta acessar uma pgina no servidor IIS, a primeira coisa
que o servidor precisa determinar a identidade deste usurio, isto , o IIS precisa
conhecer quem est tentando acessar a pgina. Uma das maneiras de saber
quem o usurio que est acessando o site, atravs da utilizao de um Username
e senha. Porm no seria nada simptico apresentar uma tela de logon para o
usurio a primeira vez que ele est acessando o site. Tambm no seria prtico
apresentar uma tela de logon para o funcionrio que est acessando a Intranet da
empresa. At mesmo nas prximas tentativas de acesso, a necessidade de logon
pode acabar afastando o usurio.
NOTA: Quando trabalhamos com
tecnologias da Microsoft como ADO,
Windows Server 2003 e IIS, o
endereo a seguir de consulta
obrigatria para assuntos
relacionados a segurana de
tecnologias Microsoft: http://
www.microsoft.com/security.
Atravs da autenticao do usurio, podem ser definidos os nveis de acesso a informao que ele tem, bem como
podem ser feitos registros das aes realizadas pelo usurio, mediante a gravao de logs de acesso. Existem diversos
tipos de autenticao possveis com o IIS. Passaremos a estud-los individualmente. Os tipos de autenticao existentes
so os seguintes:
Autenticao annima.
Autenticao bsica.
Autenticao avanada.
Autenticao integrada ao Windows.
Autenticao com certificados.
O acesso annimo.
Um tipo de autenticao bastante comum o que permite o acesso annimo. O IIS permite que seja configurado um
tipo de acesso chamado Acesso annimo, no qual no necessrio que o usurio fornea um Username e senha para
ter acesso ao site. Este acesso annimo est ligado a uma nica Conta de usurio do Windows Server 2003, a conta
IUSR_Nome_do_Computador j descrita anteriormente. Todo o usurio que acessar um site configurado para permitir
Acesso annimo, ser identificado como se estivesse autenticado usando a Conta de usurio configurada para o
acesso annimo.
A conta de usurio para Acesso annimo automaticamente criada quando instalamos o Internet Information Serv-
ices. Por padro esta conta possui o seguinte nome:
IUSR_NOME_DO_COMPUTADOR
Por exemplo, ao instalarmos o IIS em um servidor chamado SERVER02SP, ser criada a seguinte conta para permitir
o Acesso annimo:
IUSR_SERVER02SP
A autenticao annima fornece aos usurios acesso a reas pblicas do seu site, sem solicitar um nome de usurio ou
uma senha.
Por padro, a conta IUSR_NOME_DO_COMPUTADOR includa em um grupo de usurios que tem restries de
segurana, impostas pelas permisses do NTFS (sistema de arquivos do Windows Server 2003 que possui recursos de
segurana mais avanados do que o sistema FAT ou FAT32, e que foi descrito no Captulo 5) , que designam o nvel de
acesso e o tipo de contedo disponvel para os usurios pblicos, via acesso annimo. Com isso o usurio possui
limitaes sobre os recursos que ele pode acessar no servidor, sendo que estas limitaes j atuam como um nvel de
segurana.
Se existem vrios sites no seu servidor ou reas no seu site que exigem privilgios de acesso diferentes, voc pode
criar vrias contas para acesso annimo, uma para cada rea site, diretrio ou arquivo.
Por exemplo, voc pode querer medir o nvel de acesso a diferentes reas do seu site, utilizando para isso diferentes
contas para o acesso annimo a cada uma destas reas.
O IIS usa a conta IUSR_NOME_DO_COMPUTADOR da seguinte forma:
1. Quando uma solicitao recebida, o IIS representa, isto , acesso os recursos como se fosse o usurio representado
pela conta IUSR_NOME_DO_COMPUTADOR antes de executar qualquer cdigo ou acessar qualquer arquivo.
O IIS pode representar a conta IUSR_NOME_DO_COMPUTADOR pois conhece o nome de usurio e a senha
dessa conta, conforme veremos logo a seguir. Isso faz com que o usurio somente possa acessar os recursos para
os quais a conta IUSR_NOME_DO_COMPUTADOR tem permisso de acesso.
2. Antes de retornar uma pgina ao cliente, o IIS verifica as permisses dos arquivos e diretrios do NTFS para ver
se a conta IUSR_NOME_DO_COMPUTADOR tem permisso para acessar o arquivo. Neste ponto que podemos
limitar as rea as quais o usurio que entra como acesso annimo tem acesso. Basta configurar as permisses
NTFS para que a conta associada ao acesso annimo somente tenha acesso as reas pblicas do site.
3. Se o acesso for permitido, a autenticao concluda e os recursos tornam-se disponveis para o usurio.
4. Se o acesso no for permitido, o IIS tenta usar outro mtodo de autenticao. Se nenhum mtodo for selecionado,
o IIS retorna uma mensagem de erro HTTP 403 Acesso negado ao navegador do cliente.
Na Figura 13.23, temos uma representao desta seqncia para o acesso annimo.
Figura 13.23 Acesso annimo no IIS.
Considere as observaes a seguir:
Se a autenticao annima for ativada, o IIS tentar sempre a autenticao usando-a primeiro, mesmo se
outros mtodos de autenticao forem ativados.
Em alguns casos, o navegador solicitar ao usurio um nome de usurio e uma senha.
Voc pode alterar a conta usada para a autenticao annima no Snap-in do IIS, no nvel de servio do servidor Web
ou para diretrios virtuais ou arquivos individuais, conforme veremos logo a seguir.
A conta annima deve ter o direito de usurio (right) de efetuar logon localmente. Se a conta no tiver a permisso
Efetuar logon localmente, o IIS no poder atender qualquer solicitao annima. AO instalarmos o IIS,
automaticamente, a permisso Efetuar logon localmente concedida conta IUSR_NOME_DO_COMPUTADOR.
Agora vamos aprender a configurar a conta para acesso annimo, utilizada pelo
IIS.
Como definir a conta para acesso annimo no IIS.
Para definir qual conta ser utilizada para o acesso annimo siga os seguintes
passos:
administrador.
a conta para acesso annimo
precisa da Right de fazer o logon
localmente.
2. Abra o console Gerenciador dos Servios de informaes da Internet (IIS): Iniciar -> Ferramentas administrativas
-> Gerenciador dos Servios de informaes da Internet (IIS).
3. D um clique duplo no nome do computador. No nosso exemplo o nome srv-win2003. Clique no sinal de + ao
lado da opo Sites da Web, para exibir as opes disponveis.
Neste momento podemos configurar o acesso annimo para todos os sites e aplicativos contidos no Servidor ou para
cada site/aplicativo individualmente. Inclusive podemos configurar diferentes contas para ser utilizadas para o acesso
annimo em diferentes reas do site.
No nosso exemplo, iremos configurar uma nica conta para acesso annimo para todo o site padro. O procedimento o
mesmo quer seja para o site como um todo, para uma aplicao Web do site ou para uma pasta dentro da aplicao Web.
4. Clique com o boto direito do mouse sobre a opo Site da Web padro. No menu de opes que surge d um
clique em Propriedades.
5. Ser exibida a janela de propriedades do site padro.
6. D um clique na guia Segurana de diretrio. Sero exibidas as opes indicadas na Figura 13.24.
Figura 13.24 As opes da guia Segurana de diretrio.
7. A primeira opo desta guia Autenticao e Controle de acesso. D um clique no boto Editar..., ao lado desta
opo. Surge a janela Mtodos de autenticao, indicada na Figura 13.25.
Figura 13.25 As opes para mtodos de autenticao.
A primeira opo desta janela Ativar acesso annimo. Para que o acesso annimo seja permitido, esta opo deve
estar marcada.
8. Para definir a conta que ser utilizada para o acesso annimo, d um clique no boto Procurar...
9 Ser exibida a janela para selecionar usurio, j descrita em captulos anteriores. Voc utiliza esta janela para
localizar a conta de usurio que ser utilizada para o acesso annimo. Se voc souber o nome da conta pode digita-lo
diretamente na janela Selecionar usurio, no formato NomeDoComputador\NomeDaconta ou
NomeDoDomnio\NomeDaConta. Se voc no souber o nome da conta, utilize o boto Avanado para exibir uma lista
com as contas disponveis. Selecione a conta desejada e clique em OK.
10. Aps ter configurado as informaes para a conta de acesso annimo, d um clique em OK.
11. Voc estar de volta janela de mtodos de autenticao, d um clique em OK para fech-la.
12. Voc estar de volta janela Propriedades do site da Web padro, d um clique em OK para fech-la.
13. Voc estar de volta ao console de gerenciamento do IIS. Feche-o.
SUS Software Update Services
Introduo ao SUS
O SUS Software Update Services um servio utilizado para automatizar o processo de download e instalao das
correes do Windows, a partir do site Windows Update. No Windows Server 2003, em Portugus, este servio
denominado de Servio de Atualizaes Automticas. J h alguns anos, que a Microsoft disponibiliza o site Windows
Update, atravs do qual voc pode baixar e instalar atualizaes e correes de segurana para as diferentes verses do
Windows. Porm o usurio deve tomar a iniciativa de usar o comando Windows Update, para conectar o seu computador
com o site do Windows Update, para fazer a instalao das ltimas correes disponveis. O SUS leva este processo
um nvel a frente. Voc estala o SUS em um servidor da rede e pode configurar este servidor para baixar,
automaticamente, as atualizaes a partir do site Windows Update. Depois de baixadas para o servidor, estas atualizaes
podero ser aplicadas, automaticamente, em todos os demais computadores da rede. Este processo tem inmeras
vantagens, as quais sero descritas neste captulo.
O SUS instalado como um site/aplicativo Web, baseado no IIS. Conforme voc ver neste tpico, todo o processo de
administrao do SUS feito via browser, atravs da pgina de administrao do SUS.
O SUS uma aplicao Cliente/Servidor. Voc instala o SUS em um servidor
baseado no IIS. No servidor voc configura um agendamento para o download
automtico das atualizaes, aprova as atualizaes crticas de segurana e faz
uma srie de outras configuraes. Nos clientes, voc instala o software client do
SUS, o qual se comunica com o servidor e baixa e instala, automaticamente, as
atualizaes disponveis no servidor.
Componentes do SUS:
Neste item farei uma breve descrio sobre os elementos que compem o SUS,
os quais permitem que seja montado uma infra-estrutura para download e instalao
automtica das atualizaes do Windows. O SUS formato, basicamente, pelos
seguintes componentes:
1. O site do SUS rodando em um servidor com o IIS: Ao instalar o SUS ser
criado um site no servidor IIS, no qual esto todos os recursos necessrios a
administrao e a configurao do SUS. Este o componente de servidor do
SUS. Este o componente responsvel por entrar em contato com o site
Windows Update e por baixar as atualizaes disponveis. Voc ver que
possvel configurar um agendamento, para que o SUS verifique sobre a
disponibilidade de novas atualizaes no site Windows Update. Voc aprender
a instalara o SUS e a fazer as principais configuraes disponveis. Mostrarei
que a interface de administrao do SUS so simplesmente pginas
hospedadas no IIS, as quais voc acessa atravs do Internet Explorer.
2. O site de Administrao do SUS: Esta o componente de administrao do
SUS. A interface de administrao do SUS nada mais do que um conjunto
de pginas, hospedadas em um site do IIS. Ao instalar o SUS, o site de
administrao criado e configurado. Toda a administrao do SUS feita
usando o navegador.
IMPORTANTE: Algumas vezes pode
acontecer de todos os servios do SUS
pararem de funcionar corretamente.
As atualizaes no so mais baixadas
automaticamente, atualizaes que j
foram baixadas no so instaladas ou
voc no consegue se conectar com a
pgina de administrao do SUS.
Nestas situaes, a causa mais
provvel do problema que o prprio
IIS est com problemas. Quando isso
ocorrer recomendado que voc pare
e reinicialize todos os servios
relacionados ao IIS. Normalmente esta
reinicializao dos servios do IIS, faz
com que o SUS normalize tambm.
3. Atualizaes Automticas: Este o componente cliente, na arquitetura Cliente/Servidor do SUS. O cliente
instalado em cada estao de trabalho e pode ser configurado para baixar as atualizaes diretamente do site
Windows Update ou de um servidor SUS. O cliente tambm pode ser configurado para buscar por atualizaes
dentro de um agendamento determinado. Voc pode definir se as atualizaes devem ser aplicadas automaticamente
ou se deve ser apenas exibido um aviso sobre a disponibilidade das novas atualizaes, de tal maneira que o
usurio opte por iniciar ou no a instalao das novas atualizaes.
4. Configuraes das polticas de segurana: Este um aspecto muito importante e que voc deve conhecer muito
bem para o exame. Por padro, o cliente de Atualizaes Automticas, configurado para baixar as atualizaes
a partir do site Windows Update. Voc pode alterar estas configuraes, para fazer com que o cliente de Atualizaes
Automticas, baixe as atualizaes a partir de um servidor com o SUS instalado. Estas configuraes podem ser
feitas via GPO (que a maneira preferencial, a qual automatiza o processo de configurao), ou alterando,
manualmente, a Registry de cada computador da rede. Mais adiante mostrarei qual a diretiva de GPO a ser
alterada e qual a chave da Registry, caso voc tenha optado por fazer as configuraes do cliente via Registry.
Instalando o SUS
O SUS no includo como parte do Windows Server 2003. O SUS gratuito e pode ser copiado do site da Microsoft,
a partir do seguinte endereo:
http://www.microsoft.com/windowsserversystem/sus/default.mspx
Antes de baixar e instalar o SUS importante que voc saiba que a partio onde
o SUS ser instalado e a partio do sistema, devem estar formatadas com o
sistema de arquivos NTFS. Esta no uma recomendao, mas sim um pr-
requisito para que o SUS possa ser instalado.
A instalao do SUS faz com que os seguintes componentes sejam instalados no
servidor:
O servio Software Update Synchronization Service, o qual responsvel
por fazer o download das correes do site Windows Update para o servidor
SUS
Um site no IIS, o qual utilizado para administrao do SUS.
Uma pgina para administrao do SUS, a qual utilizada para
sincronizao do servidor SUS e para aprovao das atualizaes que
foram baixadas, antes que estas sejam instaladas nos clientes.
Ao fazer o download do SUS, voc ir copiar para o servidor o seguinte arquivo:
SUS10SP1.exe
Esta a verso do SUS j com o SP1 do SUS, ou seja, j com um pacote de
correes do SUS, em relao a primeira verso que foi lanada. Este arquivo
tem 32,2 MB. A seguir descrevo os passos para instalao do SUS:
Para instalar o SUS, siga os passos indicados a seguir:
1. Faa um logon com uma conta com permisso de Administrador, em um
servidor com o IIS j instalado.
2. Faa o download do SUS, usando o endereo descrito anteriormente.
3. Aps ter feito o download deste arquivo, basta dar um clique duplo no arquivo
SUS10SP1.exe para iniciar a instalao do SUS. Ao dar um clique duplo no
arquivo SUS10SP1.exe, ser aberto o assistente de instalao do SUS.
4. A primeira tela do assistente apenas informativa. Clique em Next para seguir
IMPORTANTE: No momento em
que escrevo este captulo (22-03-
2004), o SUS est disponvel
somente nas verses em Ingls e
Japons. Um ponto importante a
salientar que o que est em Ingls
a interface de administrao do
SUS, mas isso no impede que voc
possa utiliz-lo para baixar
atualizaes para o Windows em
outros idiomas, como por exemplo,
Portugus do Brasil. Voc ver mais
adiante, que ao configurar o SUS,
voc define para quais idiomas (o
termo tcnico ao invs de Idioma
seria Localidade) voc quer que um
servidor com o SUS baixe as
atualizaes. Por exemplo, se a sua
empresa tem escritrios no Brasil,
EUA e Itlia, voc pode configurar
um nico servidor SUS, para baixar
atualizaes para os trs idiomas.
O cliente de Atualizaes
Automticas saber identificar,
automaticamente, as correes
adequadas ao idioma da estao de
trabalho. Ainda usando o exemplo
da empresa que tem filiais no Brasil,
EUA e Itlia, cabe salientar que se
voc estiver usando um servidor
SUS em cada localidade, voc deve
5. Na segunda etapa voc deve aceitar o contrato de licena. Marque a opo I
accept the terms in the License Agreement e clique em Next para seguir
6. Nesta etapa voc deve optar por fazer uma instalao Tpica (Typical) ou
Personalizada (Custom), conforme indicado na Figura 13.26:
configurar este servidor para baixar
apenas as atualizaes para a
localidade. Por exemplo, o servidor
da filial da Itlia deve ser
configurado para baixar apenas as
atualizaes para o idioma Italiano;
o servidor da filial Brasileira, deve
ser configurado para baixar apenas
as atualizaes para o idioma
Portugus/Brasil e assim por
diante. Este procedimento reduz o
trfego nos links de WAN e libera a
banda disponvel para outros
servios.
IMPORTANTE: As atualizaes
que precisam, obrigatoriamente, ser
aprovadas, antes de serem
instaladas nos clientes, so as
atualizaes crticas de segurana.
Pode ocorrer de ser publicada uma
atualizao da atualizao. Ou em
outras palavras, uma correo da
correo. Nestas situaes, voc
pode configurar o SUS para que ele
aprove automaticamente, uma
correo a uma correo que j foi
aprovada previamente. Por
exemplo, imagine que na segunda-
feira voc baixou uma correo
crtica de segurana e usou o SUS
para aprovar esta correo. Na
sexta-feira, a equipe da Microsoft
disponibiliza uma correo a esta
correo baixada na segunda-feira.
Voc pode configurar o SUS para
que baixe esta correo correo
e que a aprove, automaticamente,
uma vez que ele uma correo a
uma correo j aprovada
anteriormente.
Figura 13.26 Definindo o tipo de instalao do SUS.
7. Clique em Custom.
8. Nesta etapa voc define se o SUS deve baixar as atualizaes para uma pasta
local no servidor (por padro sugerida a pasta C:\SUS) ou se deve deixar as
atualizaes no site Windows Update e baixar apenas as informaes sobre quais
atualizaes esto disponveis. O mais usual baixar as atualizaes para o
disco local do servidor. Os clientes ento conectam-se com o servidor SUS da
rede local e fazem a instalao a partir deste servidor. Certifique-se de que a
opo Save the updates to this local folder esteja selecionada, conforme indicado
na Figura 12.27.
9. Clique em Next para seguir para a prxima etapa do assistente.
10. Nesta etapa que voc define para qual ou quais idiomas que devem ser baixadas
as atualizaes. Vou repetir o que foi colocado antes, devido a importncia. A
interface do SUS, por enquanto, est disponvel apenas em Ingls e Japons.
Neste exemplo estou utilizando a interface em Ingls. Uma coisa o idioma da
interface de administrao e outra, completamente separada o idioma para os
quais sero baixadas as atualizaes. Nesta etapa que voc define para qual ou
quais idiomas, o SUS ir baixar as atualizaes a partir do site Windows Update.
Voc pode selecionar a opo English only, para baixar apenas as atualizaes
para o Windows em Ingls, ou voc pode selecionar All available languages,
para baixar todas as atualizaes disponveis, em todos os idiomas. Conforme descrito anteriormente, esta no
uma boa opo. Voc deve configurar o SUS para baixar as atualizaes, somente para os idiomas que sero
realmente utilizados. Por exemplo, se na rede onde o servidor SUS est sendo instalado, voc tem computadores
que utilizam o Windows em Ingls e outros que utilizam o Windows em Portugus, voc deve configurar o SUS
para baixar as atualizaes apenas para estes dois idiomas. Para configurar quais as verses para as quais sero
baixadas as atualizaes, clique na opo Specific languages. O boto Choose Languages ser habilitado, conforme
IMPORTANTE: O SUS tambm
pode ser instalado em um servidor
com o Windows 2000 Server e com
o IIS 5.0. Neste caso, durante a
instalao, ser executado o
assistente conhecido como
Lockdown Wizzard. Este assistente
ir configurar o IIS para deix-lo
mais seguro, desativando servios
e portas que no sejam necessrias.
Figura 13.27 Baixando as atualizaes para o servidor SUS.
Figura 13.28 A opo Choose Languages.
11. Clique no boto Choose Languages.
12. Na janela que exibida, deixe selecionados apenas os idiomas para os quais voc deseja baixar as atualizaes,
conforme exemplo da Figura 13.29, onde deixei marcado apenas as opes English e Portuguese (Brazilian):
Figura 13.29 Selecionando os idiomas.
13. Aps ter selecionado os idiomas clique em OK. Voc estar de volta ao assistente de instalao do SUS.
15. Nesta etapa que voc define como devero ser tratadas, novas verses de atualizaes j previamente aprovadas.
Voc pode optar por aprovar automaticamente as novas verses de atualizaes j previamente aprovadas (Auto-
matically aprove new versions of previously approved updates) ou pode definir que as novas verses de atualizaes
j previamente aprovadas, devam ser novamente aprovadas pelo Administrador (I will manually aprove new ver-
sions of approved updates). Selecione a opo desejada e clique em Next para seguir para a prxima etapa do
assistente.
16. Ser exibida a tela final do assistente. Nesta tela tem uma informao muito importante. Nesta tela informado o
endereo que deve ser informado nos clientes (quer seja via Registry ou via GPO). Ou seja, informada a URL com
a qual os clientes devem se conectar, para baixar as atualizaes disponveis no SUS. Por padro a URL formada
pelo nome do servidor. No exemplo da figura 13.30, estou instalando o SUS em um servidor cujo nome SRV70-
290. Com isso, a URL de conexo para os clientes http://SRV70-290, conforme destacado na Figura 13.30.
17. Clique em Install para finalizar a instalao do SUS.
18. O assistente ir finalizar o processo de instalao e exibir uma mensagem informando que a instalao foi concluda
com sucesso. Clique em Finish para fechar esta mensagem.
Figura 13.30 A URL de conexo para os clientes.
19. Aps concluir a instalao, a pgina de administrao do SUS ser automaticamente carregada no Internet Ex-
plorer. Observe o endereo da pgina de administrao, o qual no seguinte formato: http://nome-do-servidor/
SUSAdmin. No nosso exemplo, onde o SUS foi instalado no servidor SRV70-290, a pgina de administrao do
SUS acessada no seguinte endereo: http://srv70-290/SUSADmin, conforme indicado na Figura 13.31:
Figura 13.31 O site de administrao do SUS.
20. Mantenha esta pgina aberta, pois iremos utiliz-la nos prximos tpicos.
Muito bem, o SUS foi instalado e est pronto para ser configurado e utilizado. Agora temos mais duas etapas a vencer:
Aprender a administrar o SUS.
Configurar os clientes para utilizar o SUS.
Estes so justamente os assuntos dos prximos tpicos.
Administrando o SUS
Neste tpico, voc acompanhar um exemplo prtico, onde mostrarei as principais opes de configurao do SUS.
Exemplo: Para administrar o SUS, siga os passos indicados a seguir:
2. Abra o Internet Explorer e acesse o seguinte endereo, substituindo SRV70-290 pelo nome do servidor onde o
SUS est instalado:
http://srv70-290/SUSAdmin
3. Ser aberta a pgina de administrao do SUS. No painel da esquerda esto disponveis links para as diversas
categorias de opes de configurao, disponveis no SUS. Na pgina inicial esto disponveis links para um
White Paper sobre o SUS e para um guia de implementao do SUS. D um conferida nestes documentos, vale
realmente a pena.
4. No painel da esquerda, clique em Synchronize Server. Ser carregada uma pgina, onde voc tem duas opes,
Figura 13.32 Oes de sincronizao do SUS.
Voc utiliza a opo Synchronize Now, para fazer com que o SUS se conecte imediatamente com o site do Windows
Update e baixe as atualizaes disponveis. A opo Synchronization Schedule, utilizada para criar um agendamento
de sincronizao. Ou seja, voc define dias e horrios em que o SUS ir se conectar com o site Windows Update e
baixar as atualizaes disponveis. Ao clicar em Synchronization Schedule, ser exibida a janela Indicada na Figura
13.33, na qual voc pode definir um agendamento para o SUS. No exemplo da Figura 13:33 foi definida uma
sincronizao diria, as 00:00 hs.
5. Clique em Synchronize Now,
6. O SUS ir se conectar com o site Windows Update e baixar as atualizaes disponveis. A medida que vai baixando
as atualizaes, o SUS exibe uma barra indicando o percentual do processo que j foi concludo.
Ao finalizar a sincronizao (a primeira sincronizao pode demorar um bom tempo, uma vez que um grande
nmero de atualizaes ser copiado a partir do site Windows Update), ser exibida uma mensagem informando
que o servidor foi sincronizado com sucesso e que agora voc pode selecionar a aprovar as atualizaes que foram
baixadas. Esta mensagem est indicada na Figura 13.33:
Figura 13.33 Sincronizao efetuada com sucesso.
8. A opo Aprove updates ser automaticamente selecionada, no painel da esquerda. No painel da direita ser
exibida a lista de atualizaes aguardando aprovao. Lembre-se de que as atualizaes crticas no sero aplicadas
aos clientes, at que no tenham sido aprovadas pelo administrador do SUS.
9. Para aprovar uma atualizao, basta marc-la e clicar em Approve, conforme indicado na Figura 13.35, onde duas
atualizaes foram marcadas para aprovao.
10. Selecione as atualizaes a serem aprovadas e clique no boto Approve. Surge uma mensagem informando que
voc est aprovando uma nova lista de atualizaes as quais estaro disponveis para os clientes e que esta nova
lista substituir qualquer lista existente previamente. Clique em Sim para criar a nova lista de atualizaes aprovadas
e prontas para serem instaladas nos clientes.
11. Se alguma das atualizaes exigir que voc concorde com um Termo de servios, ser exibida uma mensagem
solicitando que voc aceite o termo de servios. Clique em Accept para aceitar e aprovar a atualizao. Ao final
ser exibida uma mensagem informando que uma nova lista foi criada. Clique em OK para fechar esta mensagem.
12. As atualizaes j aparecem com o status de aprovado (Approved), conforme indicado na figura 13.34.
Figura 13.34 Aprovando atualizaes crticas de segurana.
Figura 13.35 Atualizaes j aprovadas.
13. No painel da esquerda, clique na opo View synchronization log. No painel da direita ser exibido o log de
eventos de sincronizao do servidor SUS. Na listagem a seguir, apresento a parte inicial deste log:
*************************************************************************
Manual Sync Started- segunda-feira, 22 de maro de 2004 22:11:27 Successful
Updates Added:
Security Update, July 19, 2000 - q261255_0F334C94167F1C095608F7B0599891EA83B56A0A.exe
Security Update, July 19, 2000 - q261255_CECBAD4A43916313EC45E5DB5E7A8461E1A01E5F.exe
Q328676: Security Update (Outlook Express 5.5 SP2) -
q328389_3016A5C05107C80B472F83955BDD424027D051C3.exe
q328389_825151815CDA30A1AF0B652FA17A10437C73CF82.exe
Security Update, February 14, 2002 (Internet Explorer 5.01) -
VBS51NEN_6679B4E5AD916D6462A3AB5B4C2B81C2867CA1E6.EXE
VBS51NEN_EA35DB61E858F2175BCF7DEDF0304C6DB48D8763.EXE
October 2003, Cumulative Patch for Internet Explorer 5.01 for Windows 2000 Service Pack 4
(KB828750) - q828750_2d9563d8fbe81b44f9c1ee21e858952.exe
.................
*************************************************************************
14. No painel da esquerda, clique na opo View approval log. No painel da direita ser
exibido o log de eventos relacionados a aprovao de atualizaes no servidor SUS. Na
listagem a seguir, apresento a parte inicial deste log:
*************************************************************************
Approved List Modified-tera-feira, 23 de maro de 2004 19:40:02 Successful
Approved By: ABC\Administrador
List of Approved Updates:
811493: Security Update (Windows 2000)
Critical Update for Microsoft Windows XP Media Center Edition Infrared Receiver
(KB832418)
List of UnApproved Updates:
Security Update for Microsoft Windows XP (KB328940)
329170: Security Update
October 2003, Cumulative Patch for Internet Explorer 5.5 Service Pack 2 (KB828750) -
q828750_f45f5a468a9cd3933305594418529bd.exe
q828750_e79d902ddfeaa3eee5913e2580f4dee.exe
Cumulative Security Update for Internet Explorer 5.5 SP2 (KB824145) -
q824145_81926bcee2daa2c6185379a6722bb05.exe
q824145_0e72e43b82edd2cdc3eb0dd92fd0273.exe
.......
*************************************************************************
15. No painel da esquerda, clique em Set options. Esta opo nos d acesso a uma srie de configuraes do servidor
SUS. Nesta opo voc pode definir se o servidor SUS se conecta diretamente Internet ou atravs de um
servidor Proxy, voc define o nome que deve ser utilizado pelos clientes para se conectar com o servidor SUS,
define se o servidor SUS ir baixar as atualizaes diretamente do site Windows Update ou a partir de outro
servidor SUS da empresa. Por exemplo, voc pode ter um servidor SUS na matriz, sincronizando diretamente
com o site Windows Update e configurar os servidores SUS das filiais, para sincronizar a partir do servidor SUS
da matriz. Com isso as atualizaes so baixadas uma nica vez pela Internet, a partir do site Windows Update
para o servidor SUS da matriz. Do servidor SUS da matriz, as atualizaes so transferidas para os servidores
SUS das filiais. Com isso voc pode montar uma hierarquia de servidores SUS, com dois ou mais nveis. Outra
opo importante que voc pode definir nesta pgina se as novas verses de atualizaes j aprovadas sero
automaticamente aprovadas ou se devero ser aprovadas novamente. Por ltimo voc tambm pode definir um ou
mais idiomas/localidades, para os quais sero baixadas atualizaes.
16. Defina as configuraes desejadas e clique no boto Apply para aplicar as alteraes.
17. Muito bem, sobre as opes de administrao do SUS isso. Feche a pgina de administrao do SUS.
Muito bem, j aprendemos a fazer o download e a instalar o SUS. A prxima etapa aprender a configurar os clientes
da rede, para que estes passem a baixar as atualizaes a partir do servidor SUS. Para que os clientes possam utilizar
o SUS eles devem ter o Cliente de Atualizaes Automticas (Automatic Updates Client) instalado. O Cliente de
Atualizaes Automticas faz parte do Windows 2000, Windows Server 2003 ou Windows XP e instalado,
automaticamente, a primeira vez que voc utilizar o Windows Update.
Figura 13.36 A guia Atualizaes automticas.
A configurao do cliente de atualizaes automticas feita atravs da guia
Atualizaes automticas, da janela de propriedades do Sistema (clique com o
boto direito do mouse em Meu computador e, no menu que exibido, clique em
Propriedades). A janela Atualizaes automticas est indicada na Figura 13.36.
A seguir descrevo as opes disponveis nesta guia:
Manter o meu computador atualizado: Com esta configurao ativa, o
software Windows Update pode ser atualizado automaticamente antes de
voc aplicar outras atualizaes. recomendado que voc mantenha esta
opo sempre marcada.
NOTA: Se por algum motivo o
cliente SUS no estiver instalado,
voc pode fazer o download a partir
do seguinte endereo: http://
www. mi c r o s o f t . c o m/ wi n -
dows2000/downloads/recom-
mended/susclient/default.asp
Avisar antes de fazer o download das atualizaes e de instal-las no computador: Ao marcar esta opo, o
Windows ir avis-lo antes de fazer o download de qualquer atualizao. O Windows ir avis-lo novamente
quando as atualizaes estiverem prontas para serem instaladas.
Fazer o download das atualizaes autoamticamente e avisar quando elas estiverem prontas para serem instaladas:
Esta opo faz com que o Windows faa o download automaticamente das atualizaes disponveis. Aps ter
concludo o download, o Windows aviso o usurio para que este possa iniciar a instalao das atualizaes que
foram baixadas. Esta a opo recomendada se voc quer automatizar o processo de download, mas quer que
o Windows notifique voc antes de instalar as atualizaes, dando a voc a opo de instal-las ou no.
Fazer o download automtico das atualizaes e instal-las de acordo com a agenda especificada: Esta opo
permite que voc defina um agendamento para a instalao das atualizaes. O Winodwos far o download
automtico das atualizaes e ir isntal-las de acordo com o agendamento configurado.
Aps ter definido as configuraes desejadas, clique em OK para aplic-las. Muito bem, a guia Atualizaes automticas,
apenas define de que maneira as atualizaes sero baixadas e aplicadas. A questo agora como fazer com que o
cliente de atualizaes automticas baixe as atualizaes a partir do servidor SUS e no diretamente do site Windows
Update. Muito bem, existem duas maneiras de fazer isso: via GPO ou via Registry das estaes de trabalho. A seguir
mostro estas duas maneiras para configurar os clientes para utilizar o servidor SUS.
Configurando os clientes via GOP:
Voc pode utilizar o recurso de GPOs, descrito no Captulo 9, para configurar os clientes para que utilizem o servidor
SUS, ao invs de se conectar com o site Windows Update. Voc deve acessar o seguinte grupo de GPOs: Configuraes
do computador -> Modelos administrativos -> Componentes do Windows Windows Update, conforme ilustrado na
figura 13.37.
Neste grupo esto disponveis as seguintes polices:
Configurar atualizaes automticas: Ao abrir esta police, sero exibidas as opes indicadas na Figura 13.38.
A police Configurar atualizaes automticas especifica se o computador ir receber atualizaes de segurana e
outros downloads importantes atravs do servio de atualizao automtica do Windows.
Essa configurao permite especificar a ativao das atualizaes automticas no computador. Ao marcar a opo
Ativado, voc deve selecionar uma das opes a seguir, na lista Configurar atualizao automtica (observe que estas
so exatamente as opes disponveis na guia Atualizaes automticas):
Figura 13.38 A police Configurar atualiaes automticas.
Figura 13.37 Opes de GPO relacionadas ao SUS.
2 - Avisar antes de fazer o download das atualizaes e de instal-las no computador: Quando o Windows encontra
atualizaes que se aplicam ao computador, ele exibe um cone na rea de status com uma mensagem para fazer o
download das atualizaes. Clique no cone ou na mensagem a fim de selecionar as atualizaes cujo download voc
deseja fazer. Em seguida, o Windows far o download das atualizaes selecionadas em segundo plano. Quando o
download estiver concludo, o cone aparecer novamente na rea de status, avisando que as atualizaes j esto
disponveis para serem instaladas. Clique no cone ou na mensagem para selecionar as atualizaes que deseja instalar.
3 - (Configurao padro) Fazer o download das atualizaes automaticamente e avisar quando elas estiverem prontas
para serem instaladas: Com esta opo o Windows encontra atualizaes que se aplicam ao computador e faz o
download delas em segundo plano (o usurio no avisado ou interrompido durante esse processo). Quando o download
estiver concludo, o cone aparecer na rea de status, avisando que as atualizaes esto prontas para serem instaladas.
Clique no cone ou na mensagem para selecionar quais atualizaes deseja instalar.
4 - Fazer o download automtico das atualizaes e instal-las no agendamento especificado abaixo: Ao selecionar
esta opo, voc pode especificar o agendamento usando as demais opes disponveis nesta diretiva. Se nenhum
agendamento for especificado, o agendamento padro para todas as instalaes ser todo dia s 15 horas. Se for
necessrio reiniciar o computador para concluir a instalao, o Windows ir reinici-lo automaticamente. (Se um
usurio fizer logon no computador quando o Windows estiver pronto para reiniciar, o usurio ser notificado e ser
fornecida a opo para reiniciar depois.)
Para usar essa configurao, clique em Ativado e selecione uma das opes (2, 3, ou 4). Caso tenha selecionado a
opo 4, possvel configurar um agendamento recorrente (se no houver agendamento especificado, todas as
instalaes iro ocorrer todo dia s 15 horas).
Se o status estiver configurado como Ativado, o Windows reconhecer quando o computador estiver on-line e usar
sua conexo com a Internet para procurar por atualizaes que se apliquem ao computador no site Windows Update.
Se o status estiver configurado como Desativado, devero ser feitos o download e a instalao manual de qualquer
atualizao que esteja disponvel no site Windows Update em http://windowsupdate.microsoft.com.
Se o status estiver definido como No configurado, o uso das atualizaes automticas no ser especificado pelo
nvel da diretiva de grupo. Porm, um administrador ainda pode configurar as atualizaes automticas atravs d guia
Atualizaes Automticas, descrita anteriormente.
Especifique o local do servio de atualiao da Microsoft para a intranet: Ao abrir esta police, sero exibidas
as opes indicadas na Figura 13.39.
Esta a police utilizada para especificar o servidor SUS que ser utilizado pelos clientes. Ou seja, nesta police que
voc informa o nome do servidor SUS a partir do qual os clientes iro copiar as atualizaes disponveis.
Essa configurao permite especificar um servidor na rede para funcionar como um servio de atualizao interno
servidor SUS. O cliente das atualizaes automticas procurar no servio atualizaes que se apliquem aos
Para usar essa configurao, necessrio configurar dois valores de nome de servidor: o servidor a partir do qual o
cliente das atualizaes automticas detecta e faz o download das atualizaes, e o servidor para o qual as estaes de
trabalho atualizadas carregam as estatsticas. possvel configurar os dois valores para o mesmo servidor.
Se o status desta police estiver configurado como Ativado, o cliente das atualizaes automticas se conecta ao
servidor SUS ao invs de se conectar com o site Windows Update, para procurar e fazer o download de atualizaes.
Ativar essa configurao significa que os usurios finais na organizao no precisam atravessar um firewall para
obter atualizaes, assim como permite testar atualizaes antes de implant-las.
Figura 13.39 A police Especifique o local do servio de atualiao da Microsoft para a intranet.
IMPORTANTE: Se a diretiva
Configurar atualizaes
automticas estiver desativada, essa
diretiva no ter efeito.
Se o status estiver configurado como Desativado ou No configurado, e se as
atualizaes automticas no forem desativadas pelas diretivas ou preferncias
do usurio, o cliente das atualizaes automticas ir se conectar diretamente ao
site Windows Update na Internet.
Reagendar instalaes agendadas de atualizaes automticas: Ao abrir
esta police, sero exibidas as opes indicadas na Figura 13.40.
Esta police utilizada para especificar por quanto tempo as atualizaes automticas devem esperar, aps a inicializao
do sistema, para proceder com uma instalao agendada que tenha sido perdida anteriormente, isto , que no tenha
sido feita no horrio agendado anteriormente.
Se o status estiver definido como Ativado, uma instalao agendada que no ocorreu anteriormente ir ocorrer aps o
nmero especificado de minutos nesta police, depois da inicializao do computador.
Se o status estiver definido como Desativado ou No configurado, uma instalao agendada perdida ir ocorrer na
prxima instalao agendada.
Nenhuma reinicializao automtica para instalaes de atualizaes automticas agendadas: Ao abrir esta
police, sero exibidas as opes indicadas na Figura 13.41.
Figura 13.40 A police Reagendar instalaes
agendadas de atualizaes automticas.
Figura 13.41 A police Nenhuma reinicializao automtica para
instalaes de atualizaes automticas agendadas.
Esta police utilizada para definir que, para a concluso de uma instalao
agendada, as atualizaes automticas aguardaro at que o computador seja
reiniciado por qualquer usurio que tenha feito logon, em vez de fazer com que o
computador seja reiniciado automaticamente.
Se o status for definido como Ativado, as atualizaes automticas no reiniciaro
um computador automaticamente durante uma instalao agendada se um usurio
tiver feito logon no computador. Em vez disso, as atualizaes automticas
notificaro o usurio de que necessrio reiniciar o computador para concluir a
instalao.
Se esta police for configurada como Desativado ou No configurado, o cliente de
atualizaes automticas ir notificar o usuri que o computador ir reiniciar,
automaticamente, em cinco minutos, para que as atualizaes recm instaladas
possam ser aplicadas.
Opes da Registry relacionadas com o SUS:
Existem, basicamente, duas chaves da registry relacionadas com o SUS. Estas chaves
so teis em uma situao onde o cliente de atualizaes passa a no receber as
atualizaes, embora elas estejam disponveis no SUS. Nestas situaes, voc deve
acessar o seguinte caminho da Registry: HKEY_LOCAL_MACHINE\Software\
Polices\Microsoft\Windows\WindowsUpdate e verificar o valor das chaves descritas a
seguir:
WUServer: Esta chave deve conter a URL que aponta para o servidor
SUS, como por exemplo: http://SRV70-290
WUStatusServer: Esta chave deve conter a URL do mesmo servidor SUS
indicado na chave WUServer ou a URL de um servidor IIS, o qual
utilizado para gravao das estatsticas de sincronizao.
SubChave UseWUServer: Esta subchave deve sempre estar configurada
com o valor: 00000001.
isso.
IMPORTANTE: Esta diretiva se aplica
somente quando as atualizaes
automticas esto configuradas para
executar instalaes agendadas de
atualizaes. Se a diretiva Configurar
atualizaes automticas estiver
desativada, esta diretiva no tem
efeito algum.
IMPORTANTE: Com esta police
ativada, o cliente de atualizaes
automticas, no conseguir
detectar novas atualizaes at que
o computador tenha sido
reinicializado.
IMPORTANTE: Esta police
somente se aplica quando o cliente
de atualizaes automticas estiver
configurado para fazer atualizaes
agendadas. Se a police Configurar
desabilitadas, esta police no tera
efeito prtico.
Concluso
Neste captulo voc aprendeu a instalar e a fazer configuraes bsicas do IIS 6.0, que o servidor Web da Microsoft.
Voc aprendeu a instalar o IIS, a criar pastas virtuais e a configurar os sites Web e de FTP do servidor IIS.
Voc tambm aprendeu sobre uma das novidades do Windows Server 2003: Software Update Services SUS.
O SUS instalado como um site/aplicativo Web, baseado no IIS. O SUS uma aplicao Cliente/Servidor. Voc
instala o SUS em um servidor baseado no IIS. No servidor voc configura um agendamento para o download automtico
das atualizaes, aprova as atualizaes crticas de segurana e faz uma srie de outras configuraes. Nos clientes,
voc instala o software client do SUS, o qual se comunica com o servidor e baixa e instala, automaticamente, as
C A P T U L O
14
Resumo Final O que voc
no pode esquecer para o
Exame
Introduo
Neste captulo eu apresento um resumo na forma de rpidos lembretes, sobre os
principais pontos que voc deve lembrar para o Exame 70-290. O objetivo lembrar
o amigo leitor sobre os pontos mais importantes, aqueles pontos que tem maior
probabilidade de serem cobrados no exame. Em caso de dvidas sobre um ou
mais pontos citados, voc deve voltar ao respectivo captulo e revisar o contedo
com mais detalhes. No fique limitado ao contedo apresentado neste livro. Em
caso de dvidas, consulte a Ajuda do Windows Server 2003, a qual est bem
completa, detalhada e organizada.
Este captulo indicado para uma leitura aps voc ter detalhadamente estudado os
captulos anteriores, para que voc possa identificar quais pontos precisam de uma
reviso final mais detalhada e de mais estudo. Eu recomendo tambm que voc
faa uma segunda leitura do livro e volte novamente a este resumo. Uma terceira
leitura deste resumo recomendada como um reviso final (juntamente com o
simulado do prximo captulo) para ser feita um ou dois dias antes do exame.
Para facilitar o acompanhamento, dividirei o resumo por assuntos, tais como
Instalao, Active Directory, GPO, Administrao de usurios, Administrao de
grupos, permisses de segurana, administrao de impressoras e assim por diante.
Tem alguns pontos que so de fundamental importncia e devem ser revisados
seguidamente, at que voc tenha um entendimento completo e definitivo sobre o
assunto em questo. Por exemplo, no tem como encarar este exame sem
dominar, com firmeza, tpicos tais como os fundamentos sobre Active Directory,
Backup e Restore, SUS, Administrao de usurios e grupos, administrao de
discos e volumes e assim por diante.
Alm do material contido neste manual, vou listar uma srie de fontes de estudo
da Internet, as quais podem ajud-lo bastante para obter a aprovao neste exame.
No meu objetivo assustar o candidato, mas minha obrigao avisar que
Exame 70-290 apresenta um nvel de dificuldade um pouco maior do que os
exames do MCSE-2000, tais como o 70-210 e 70-215. Por isso preciso dedicao,
estudo, experimentao. Eu recomendo que o candidato somente marque o exame
quando estiver realmente convicto de que entendeu e domina os conceitos
apresentados neste livro, juntamente com uma boa complementao nos endereos
indicados neste captulo. O exame 70-290 exige um bom entendimento sobre a
administrao dos principais recursos de uma rede baseada no Windows Server
2003 e no Active Directory.
Muito bem, vamos a apresentao do resumo para o exame e das dicas para mais
sites com materiais de estudo e referncia.
Resumo para o exame 70-290.
A seguir apresento um resumo, no formato de citao dos tpicos principais, para
o Exame 70-290. Os fatos sero apresentados, divididos por assunto, para facilitar
a identificao das reas onde o amigo leitor ainda possa estar com mais dvidas
e necessita dedicar um pouco mais de tempo.
Redes Baseadas no Windows 2003 Server
O primeiro ponto que tem que ficar bem claro para candidato o papel do Windows Server 2003 dentro da famlia
Windows, onde esto disponveis diferentes verses do Windows.
Uma breve histria dos Windows
Observe bem o ttulo deste item dos Windows. No um erro de portugus que o autor cometeu e que a equipe de
reviso deixou passar. Com o termo dos Windows estou fazendo referncia as inmeras verses do Windows que
foram lanadas na ltima dcada.
Vou apresentar um histrico destas verses, de tal maneira que fique claro onde o Windows Server 2003 se encaixa
nesta histria. Vou iniciar apresentando o histrico das verses do Windows utilizadas em estaes de trabalho e nos
computadores pessoais residenciais. Uma historia que teve incio com o nosso bom e velho MS-DOS.
Os Windows para estaes de trabalho e computadores de uso residencial:
Neste tpico vou mostrar a evoluo que teve incio com o MS-DOS e tem como seu mais novo representante o
Windows XP (Home ou Professional). Uma nova verso do Windows, para estaes de trabalho, j est sendo
desenvolvida. Por enquanto ela tem o codinome de Longhorn e dever ser lanada, provavelmente, em 2005. Considere
o diagrama da Figura 14.1:
Windows Para Estaes de Trabalho
Linha para uso
Residencial
Windows 3.1 Windows 3.11
NT Workstation 3.5 NT Workstation 3.51
Windows 95
Windows 98 Windows 98
Windows Me
XP Home XP Professional
2000 Professional
Linha para uso
Empresarial
Tudo comeou
com o MS-DOS
???
Figura 14.1 A Famlia Windows para estaes de trabalho.
O incio de tudo foi o MS-DOS. Sem nenhuma dvida, independentemente das
qualidades/mritos do produto, foi o produto que transformou a Microsoft de uma
empresa de garagem em uma empresa rumo a tornar-se a gigante dos dias atuais.
Muita gente, inclusive este que escreve este texto, tem saudade de algumas das
caractersticas do bom e velho MS-DOS. Para instalar programas, uma simplicidade:
bastava copiar o diretrio do programa de uma mquina para a outra e pronto. Uma
interface a caractere, porm bastante rpida. Claro que gastvamos o teclado
digitando comandos e mais comandos: dir, type, copy, etc.
NOTA: Para um curso completo
sobre o Windows XP Home & Pro-
fessional, consulte o meu livro: Win-
dows XP Home & Professional Para
Usurios e Administradores, Editora
Axcel Books.
Como sucessor do MS-DOS, porm ainda dependente do MS-DOS, surge o Windows. As verses iniciais do Win-
dows pouco foram utilizadas no Brasil. Embora voc possa no acreditar (ou no possa imaginar como era), existiu
um Windows 1.0, um Windows 2.0 e assim por diante. A primeira verso a tornar-se popular no Brasil foi o Windows
3.1. O Sistema apresentava uma interface grfica onde tnhamos novidades como cones, atalhos e outros enfeites
mais. Muitos classificavam o Windows 3.1 como sendo apenas um Ambiente Operacional e no um Sistema Operacional,
por ser este dependente do MS-DOS para realizar uma srie de tarefas bsicas.
Com a disseminao das redes e a necessidade de compartilhamento de perifricos e de arquivos, foi lanado o
Windows 3.11, tambm conhecido como Windows for Workgroups. As diferenas bsicas em relao ao Windows 3.1
que o Windows for Workgroups, conforme o prprio nome sugere, fornecia um suporte melhorado para trabalho em
rede e um pouco mais de estabilidade em relao ao Windows 3.1. Esta foi a ltima verso do Windows baseada na
tecnologia de 16 Bits. Uma revoluo estava prestes a acontecer.
Em 25 de Agosto de 1995 deu-se a referida revoluo: Foi lanado o Windows 95. Um Sistema Operacional baseado
na tecnologia de 32 bits, com uma interface completamente nova em relao s verses anteriores do Windows. O
boto Iniciar, a barra de tarefas e tantos outros elementos que hoje so muito bem conhecidos, foram novidades
trazidas pelo Windows 95. Nesta mesma poca a Microsoft j disponibilizava verses do NT Workstation e do NT
Server (logo a seguir apresentarei o histrico das verses do Windows para Servidores, onde se encaixa o Windows
Server 2003). Segundo recomendaes da prpria Microsoft o NT Workstation era indicado para uso empresarial, isto
, nas estaes de trabalho das redes das empresas. O NT Workstation 3.5 e 3.51 tinham uma interface idntica a do
Windows 3.1/Windows 3.11 e tambm eram baseados na tecnologia de 16 bits.
Nesta poca iniciava-se a confuso. Por que ter duas linhas diferentes do Windows? Drivers que funcionavam no
Windows 3.1 ou 95 no funcionavam no NT. Instalar determinados dispositivos de Hardware no NT (Workstation ou
Server) era um verdadeiro suplcio. A linha Workstation, segundo a Microsoft, foi criada tendo como fundamentos, a
criao de um sistema mais estvel, com configuraes de segurana mais avanadas e com suporte s tecnologias de
rede existentes. Sem dvida um sistema para uso em redes empresariais. J para o usurio domstico, a Microsoft no
recomendava o uso do NT Workstation, principalmente pelo fato do NT precisar de Hardware mais potente do que o
Windows 3.11 ou 95. Outro motivo que muitos dispositivos de Hardware no tinham driver para NT. Alm disso,
muitos aplicativos que rodavam no Windows 3.11 ou 95 no rodavam no NT, principalmente jogos.
Neste momento a Microsoft j falava em unificar, quem sabe um dia, as duas linhas do Windows, porm este era uma
promessa ainda distante. Uma nova verso do NT foi lanada: NT Workstation 4.0 e NT Server 4.0 (para servidores de
rede). Esta era a verso do NT baseada na tecnologia de 32 Bits e com cara de Windows 95. Melhorias substanciais
forma feitas em relao a verso anterior do NT. Neste momento muitas empresas comeam a adotar o NT Workstation
4.0 como Sistema Operacional para as estaes da rede. Embora o preo da licena do NT Workstation fosse um
pouco mais caro, os benefcios em termos de estabilidade e segurana compensavam. Cabe aqui ressaltar que o NT
Workstation 4.0 muitssimo mais estvel do que o Windows 95, 98 ou Me.
Logo aps o lanamento do NT 4.0 a Microsoft j comeava a falar no lanamento do NT 5.0. Muita expectativa havia
em relao a esta verso do NT. Porm uma srie de fatores fez com que o lanamento do NT 5.0 fosse atrasando mais
e mais. Na introduo do meu primeiro livro, Srie Curso Bsico & Rpido Microsoft Windows 2000 Server, eu
escrevi o seguinte:
Bem-vindo ao Windows 2000 Server. Sem a menor sombra de dvidas o Sistema Operacional mais aguardado de
toda a histria da indstria da Informtica. Nunca falou-se e at mesmo especulou-se tanto sobre um Sistema
Operacional, como se fez a respeito do Windows 2000 Server. No incio do projeto este era chamado de Windows
NT Server 5.0. Aps diversos atrasos e adiamentos, o sistema foi rebatizado para Windows 2000 Server. Finalmente
a data oficial do lanamento est confirmada para o dia 17 de Fevereiro do ano 2000. O cdigo final do produto foi
enviado para produo no dia 15 de Dezembro de 1999, aps diversas verses de avaliao. Atrasos e especulaes
a parte, o fato que o Windows 2000 Server representa um grande esforo da Microsoft em melhorar o seu Sistema
Operacional para servidores de rede. Inmeros recursos novos foram acrescentados, alm da melhoria dos recursos
j existentes.
Conforme descrito no pargrafo anterior, o que seria o NT 5.0, devido a sucessivos atrasos, foi lanado somente em
Fevereiro de 2000, com o nome de Windows 2000. Neste meio tempo foi lanado o Windows 98, idntico ao Windows
95 apenas com algumas melhorias e um nmero muito pequeno de novidades. O Windows 2000, a exemplo do NT 4.0
tem a verso para servidor Windows 2000 Server e a verso para estao de trabalho Windows 2000 Professional.
Embora muitos duvidassem da aceitao do Windows 2000, o fato que a aceitao deste foi um grande sucesso e
muitas empresas adotaram a nova verso e muitas ainda esto em processo de migrao.
Observe que neste momento ainda temos duas linhas bem distintas. Uma com o Windows 9x/Me e outra com o
Windows 2000. O objetivo inicial da Microsoft era que o Windows 2000 realizasse o sonho da unificao entre as
duas linhas do Windows. Algumas integraes j estavam acontecendo, como por exemplo, um modelo de Drivers
para dispositivos de Hardware comum s duas linhas, drivers estes baseados na tecnologia WDM Windows Driver
Model, utilizada tanto no Windows 98 quanto no Windows 2000.
Durante o ano de 2000 ainda foi lanado o Windows Me, que deveria ser o substituto do Windows 98. Como esta
nova verso apresentava poucas diferenas, com apenas algumas inovaes no muito significativas, o ritmo de
adoo do Windows Me foi e continua um pouco lento. Acredito que o sucesso do Windows 2000 tambm colaborou
para a adoo lenta do Windows Me. Principalmente nas empresas, a migrao do Windows 98 foi para o Windows
2000 Professional ao invs do Windows Me, principalmente pela melhor estabilidade do Windows 2000 Profes-
sional e pelas configuraes de segurana disponveis no Windows 2000 Professional e no disponveis no Win-
dows 95/98/Me..
Finalmente, em Outubro de 2001 foi lanado o Windows XP. Segundo a Microsoft XP de Experience. O Windows
XP, conforme visto na Figura 14.1, foi lanado em duas verses: Home e Professional. O Windows XP representa,
agora sim, um passo importante da Microsoft, rumo a unificao das duas linhas do Windows. O XP apresenta uma
interface completamente nova, combinando a facilidade do Windows 95/98/Me, com a estabilidade, confiabilidade e
segurana do Windows 2000.
Nos endereos a seguir, voc encontra informaes detalhadas sobre a histria do Windows:
http://www.computerhope.com/history/windows.htm
http://members.fortunecity.com/pcmuseum/windows.htm
http://www.levenez.com/windows/history.html
http://www.winsupersite.com/reviews/winserver2k3_gold1.asp
Os Windows para Servidores:
Neste tpico vou mostrar a evoluo que teve incio com as primeiras verses do Windows NT Server at a ltima
verso do Windows para Servidores: Windows Server 2003.
Considere o diagrama da Figura 14.2:
Windows Para Servidores de Rede
Windows NT Server 3.1, 3.51
Windows NT Server 4.0
Windows 2000 Server
Windows Server 2003
Windows Server 200?
Grande mudana,
com a introduo
do Active Directory
Figura 14.2 A Famlia Windows para servidores.
A Microsoft entrou na briga dos servidores de rede no incio dos anos 90, com o lanamento do NT Server. NT de
New Tecnolgoy. No incio, na minha opinio, as verses do NT no tinham os mesmos recursos e nvel de desempenho/
segurana do que concorrentes mais antigos, tais como Novell e as verses do UNIX. Porm o NT veio para concorrer
em um mercado ainda pouco explorado (e que poucos acreditavam que teria futuro): O mercado de Servidores baseados
em processadores padro Intel.
Porm a realidade que o NT Server teve uma boa aceitao. At a verso 3.51 o NT tinha a mesma interface do
Windows 3.11. A partir do NT Server 4.0, a interface era a do Windows 95. Com o NT Server 4.0, a participao da
Microsoft no mercado de servidores realmente decolou. Muitas empresas passaram a adotar o NT Server 4.0 como
Sistema Operacional para os seus servidores de rede.
Mas com tudo na vida tem dois lados, mais usurios significa mais exigncias, ou seja, rapidamente as deficincias do
NT Server 4.0 passaram a ser questionadas pelos usurios. A Microsoft em resposta comeou a anunciar o NT 5.0, o
qual conteria uma srie de novos recursos para solucionar os problemas do NT 4.0. Porm o projeto do NT 5.0
comeou a atrasar, conforme j descrito anteriormente (o que fez com que a concorrncia comeasse a chamar o NT
5.0 de Vaporware, em uma aluso a um sistema que no existe).
Finalmente em 17 de Fevereiro de 2000 a Microsoft lana a nova verso, agora rebatizada como Windows 2000
Server. A nova verso representou uma verdadeira revoluo em relao ao NT Server 4.0. Basta citar o Active Direc-
tory para exemplificar esta revoluo, esta verdadeira mudana de paradigma. Apesar das dvidas e da aposta da
concorrncia de que no haveria uma aceitao do Windows 2000 Server, o fato que este foi e continua sendo
amplamente adotado por empresas do mundo inteiro.
Hoje, a maioria dos servidores Intel que rodam alguma verso do Windows, so baseados no Windows 2000 Server.
Existem profissionais capacitados, farta literatura e fontes de referncia na Internet e o Windows 2000 Server tem-se
mostrado bastante estvel e seguro.
Se o Windows 2000 Server est to bom, ento porque uma nova verso? Porque, como sempre, com a utilizao por
milhes de usurios, novas demandas e funcionalidades so solicitadas. Em resposta a estas demandas e necessidades
de melhoria, a Microsoft apresenta o Windows Server 2003, lanado no dia 24 de Abril de 2003. Ou seja, posicionando
o Windows Server 2003, podemos afirmar que ele a verso mais recente, do Windows para Servidores de Rede.
E o futuro? Bem, ainda cedo para especular. Mas provavelmente no incio de 2006 saia uma nova verso do Windows
para estaes de trabalho, ou seja, o sucessor do Windows XP. E em 3 ou 4 anos, saia o sucessor do Windows Server
2003. Mas so apenas especulaes que podem ou no se confirmar.
Definindo exatamente o papel do Windows Server 2003
Neste item farei uma apresentao do Windows Server 2003. Os conceitos apresentados neste item, fornecem uma
viso geral dos elementos que compem uma rede baseada no Windows Server 2003.
O Windows Server 2003 um sistema operacional para ser instalado em servidores de uma rede. Em uma rede de
computadores temos, basicamente, dois tipos de equipamentos conectados (alm dos equipamentos responsveis pela
conectividade da rede, tais como hubs, switchs, roteadores, etc):
Estaes de trabalho
Servidores
Como o prprio nome sugere, um Servidor fornece servios para vrios clientes. Por exemplo, podemos ter um
servidor de arquivos onde ficam gravados arquivos, os quais podem ser acessados atravs da rede, por todos as estaes
da rede (estaes de trabalho), as quais so conhecidas como Clientes. Outro tipo bastante comum de servio uma
impressora compartilhada no servidor, para a qual diversos clientes podem enviar impresses. Poderamos citar uma
srie de servios que podem ser oferecidos por um servidor com o Windows Server 2003 instalado.
Com base na explicao acima, podemos apresentar um outro conceito, que certamente a maioria dos leitores j
conhece: O conceito da Arquitetura Cliente-Servidor. A Arquitetura Cliente-Servidor, de uma maneira simples, nada
mais do que uma rede de dispositivos, normalmente computadores, onde um nmero reduzido de equipamentos atua
como Servidor Disponibilizando recursos e servios para os demais e a maioria dos dispositivos atua como cliente,
acessando os recursos e servios disponibilizados pelos Servidores.
Um exemplo tpico, que com certeza utilizamos diariamente, o acesso Internet. Por exemplo, quando voc acessa
o site da Microsoft na Internet: http://www.microsoft.com. As informaes disponibilizadas no site, ficam gravadas
nos servidores da Microsoft, enquanto que o seu computador, que est acessando estes recursos (informaes), est
atuando como um cliente. Neste caso o tipo de servio que est sendo disponibilizado so informaes em um servidor
Web, tambm conhecido como Servidor HTTP (que o protocolo mais utilizado para o transporte de informaes na
Internet). O Navegador que voc utiliza para acessar estas informaes, est atuando como Cliente.
Sob este ponto de vista, podemos afirmar que a Internet na verdade uma gigantesca rede Cliente-Servidor, de
alcance Mundial, com alguns milhes de servidores e com dezenas ou at centenas de milhes de clientes acessando
os mais variados recursos e servios disponibilizados pelos servidores.
Na Figura 14.3, apresento um diagrama de exemplo de uma rede Cliente-servidor tpica, onde servios de
Compartilhamento de arquivos e de Impresso so oferecidos por dois servidores com o Windows Server 2003 instalado
, recursos estes que so acessados pelos Clientes da rede.
Figura 14.3 Um exemplo simples de uma rede Cliente-servidor.
Em uma rede de computadores (onde temos Servidores e Clientes, conforme descrito anteriormente), todos os
computadores precisam Falar a mesma lngua, para que possam ser trocadas informaes entre os computadores da
rede. Este Falar a mesma lngua, em termos de redes, significa que todos os computadores de uma rede precisam ter
o mesmo Protocolo de comunicao instalado e corretamente configurado.
Um protocolo de comunicao, nada mais do que um conjunto de regras e normas para que os computadores possam
trocar informaes. Dois computadores que no possuem um protocolo em comum, no conseguiro trocar informaes.
como um brasileiro que no sabe Chins, tentando falar com um Chins que no sabe Portugus. O dilogo (ou troca
de informaes) , fica simplesmente impossvel.
Existem vrios protocolos de comunicao entre computadores e outros dispositivos de uma rede. O Windows Server
2003 fornece suporte a uma srie de protocolos, porm o mais utilizado o TCP-IP Transmission Control Protocol
Internet Protocol . Vrios so os motivos que tornaram o TCP-IP, o protocolo mais adotado, e por isso mesmo o
protocolo padro do Windows Server 2003, isto , o protocolo que adicionado durante a instalao do Windows
Server 2003. Um dos principais motivos para a ampla aceitao que o TCP-IP o protocolo utilizado na Internet, isto
, para que um computador possa ter acesso a Internet ele precisa ter o protocolo TCP-IP instalado e corretamente
configurado. Outro motivo a forte aceitao do Mercado em relao ao TCP-IP, uma vez que grande maioria dos
Sistemas Operacionais adota o TCP-IP como protocolo padro.
Servidor de Arquivos Servidor de Arquivos Servidor de Arquivos
Cliente Cliente Cliente Cliente Cliente
Estaes de trabalho (clientes). acessando recursos dos Servidores
No diagrama da Figura 14.3 foram apresentados apenas exemplos de servidores
baseados no Windows Server 2003 atuando nos servios de compartilhamento de
arquivos e de impressoras. Porm o Windows Server 2003 podem desempenhar
diversos outros papis, tais como:
Servidor de Internet/Intranet, prestando servios de hospedagem de sites
(http), cpia de arquivos (ftp), envio de mensagens (SMTP), servidor de
aplicativos Web, hospedando pginas ASP ou ASP.NET, etc. No Captulo
13 voc aprendeu um pouco mais sobre a utilizao do IIS, que o servidor
Web disponibilizado com o Windows Server 2003.
Controlador de domnio DC (Domain Controller): Um servidor onde
est instalado o Active Directory, que o banco de dados onde ficam
gravados as contas de usurios e as senhas dos usurios, contas dos
computadores da rede, nome dos grupos de usurios e a lista de membros
de cada grupos e uma srie de outras informaes necessrias ao
funcionamento da rede. Um servidor com o Active Directory instalado
conhecido como DC Domain Controler.
Servios de rede: Oferecendo servios de resoluo de nomes, tais como
o DNS e WINS, servio de configurao automtica do protocolo TCP/
IP (DHCP), roteamento e acesso remoto (RRAS) e assim por diante.
Servidor de banco de dados: Um servidor com o Windows Server 2003
instalado e com o SQL Server 2000 (ou verso posterior) instalado. O
SQL Server 2000 o banco de dados para uso empresarial, com suporte a
grande volume de acesso.
Servidor de correio eletrnico e de ferramentas de colaborao: Um
servidor como Windows Server 2003 instalado e com o Exchange 2000
(ou posterior) instalado. O Exchange uma plataforma para
desenvolvimento de aplicaes de Workflow, bem como um servidor de
correio eletrnico. Com o Exchange voc pode, facilmente, desenvolver
aplicaes do tipo Workflow, como por exemplo, uma aplicativo para
aprovao de despesas de viajem. O funcionrios que vai viajar preenche
um formulrios solicitando recursos para a viajem. O formulrio enviado,
automaticamente, para o e-mail do chefe. O chefe analisa a solicitao e
aprova ou no. Uma vez aprovada a solicitao, o pedido de liberao de
recursos automaticamente enviada para o e-mail do responsvel pela
liberao e uma cpia enviada para o funcionrio. Uma vez liberados os
recursos, o sistema avisa, via e-mail, o funcionrio. Este tipo de aplicao,
onde um documento eletrnico passa por diversas etapas e enviado para
diferentes pessoas, um exemplo tpico de aplicao do tipo Workflow.
Servidor de aplicao, Firewall, roteamento, etc. So muitas as funes
que um servidor baseado no Windows Server 2003 pode exercer.
Para resumir este item posso dizer o seguinte: O Windows Server 2003 um
Sistema Operacional para uso em servidores de rede. Ele pode ser configurado
para oferecer uma srie de servios aos clientes da rede. Possui novas
funcionalidades e caractersticas em relao ao Windows 2000 Server.
DICA: No Windows Server 2003 o
protocolo TCP/IP
automaticamente adicionado du-
rante a instalao do Sistema
Operacional e no pode ser
desinstalado. Esta uma das
novidades do Windows Server
2003. Fique atente a este ponto.
DICA: Lembre-se de que ao instalar
o Windows Server 2003 no
possvel, durante a instalao, j
definir o servidor como um DC. Voc
deve instalar o Windows Server
2003. Aps a instalao, voc deve
fazer o logon com uma conta com
permisso de Administrador e
executar o comando dcpromo. Ao
executar este comando, ser aberto
o Assistente de Instalao do Active
Directory, o qual ser utilizado para
instalar o Active Directory no
servidor, tornando-o um DC.
DICA: No esquea que o tipo de
registro utilizado, para localizar
servidores de e-mail, via DNS o
registro do tipo MX.
O Protocolo TCP/IP
muito importante que voc volte a este tpico no Captulo 1 e revise todos os itens sobre TCP/IP. Voc deve conhecer
os aspectos bsicos do TCP/IP, tais como o conceito de Mscara de sub-rede e Default Gateway (Gateway Padro).
Revise todos os itens relacionados ao TCP/IP.
O papel do Roteador em uma rede de computadores:
importante que o candidato conhea o papel dos roteadores na ligao entre redes locais (LANs) para formar uma
WAN. Mostrarei um exemplo bsico de roteamento.
Mostrei anteriormente, no Captulo 1, que a mscara de sub-rede utilizada para determinar qual parte do endereo
IP representa o nmero da Rede e qual parte representa o nmero da mquina dentro da rede. A mscara de sub-rede
tambm foi utilizada na definio original das classes de endereo IP. Em cada classe existe um determinado nmero
de redes possveis e, em cada rede, um nmero mximo de mquinas. Com base na mscara de sub-rede o protocolo
TCP/IP determina se o computador de origem e o de destino esto na mesma rede local. Com base em clculos
binrios, o TCP/IP pode chegar a dois resultados distintos:
O computador de origem e de destino esto na mesma rede local: Neste caso os dados so enviados para o
barramento da rede local. Todos os computadores da rede recebem os dados. Ao receber os dados cada
computador analisa o campo Nmero IP do destinatrio. Se o IP do destinatrio for igual ao IP do computador,
os dados so capturados e processados pelo sistema, caso contrrio so simplesmente descartados. Observe
que com este procedimento, apenas o computador de destino que efetivamente processa os dados para ele
enviados, os demais computadores simplesmente descartam os dados.
O computador de origem e de destino no esto na mesma rede local: Neste caso os dados so enviados o
equipamento com o nmero IP configurado no parmetro Default Gateway (Gateway Padro). Ou seja, se
aps os clculos baseados na mscara de sub-rede, o TCP/IP chegar a concluso que o computador de destino
e o computador de origem no fazem parte da mesma rede local, os dados so enviados para o Default Gateway,
o qual ser encarregado de encontrar um caminho para enviar os dados at o computador de destino. Esse
encontrar o caminho tecnicamente conhecido como Rotear os dados at o destino. O responsvel por
Rotear os dados o equipamento que atua como Default Gateway o qual conhecido como Roteador. Com
isso fica fcil entender o papel do Roteador:
o responsvel por encontrar um caminho entre a rede onde est o computador que enviou os dados e a rede onde
est o computador que ir receber os dados.
Quando ocorre um problema com o Roteador, tornando-o indisponvel, voc consegue se comunicar normalmente
com os demais computadores da rede local, porm no conseguir comunicao com outras redes de computadores,
como por exemplo a Internet.
DICA: Para exibir as configuraes do protocolo TCP/IP de um computador com o Windows Server 2003, voc utiliza o comando
ipconfig/all.
Executar um teste de compatibilidade antes da instalao do Windows
Server 2003
Antes de fazer a instalao do Windows Server 2003 recomendvel que voc faa execute um teste de verificao de
compatibilidade, para detectar se existe alguma incompatibilidade de Hardware ou de Software.
Se voc for instalar o Windows Server 2003 em um servidor novo, basta ligar o servidor com o cd do Windows Server
2003 j no drive de CD. Em uma das primeiras telas do processo de instalao, ser exibida uma opo para voc
executar um teste de compatibilidade. Voc usa a opo Checar compatibilidade do sistema (Check System Compat-
ibility), para iniciar um teste de compatibilidade, antes da instalao do Windows Server 2003.
DICA: Voc tambm pode executar
o teste de compatibilidade,
utilizando o comando winnt32.exe,
da pasta i386 do CD de instalao
do Windows Server 2003, com a
opo /chekupgradeonly,conforme
exemplo a seguir: winnt32/
checkupgradeonly
Itens a serem verificados e/ou considerados antes de iniciar a
instalao:
Antes de iniciar a instalao do Windows Server 2003 voc deve fazer uma espcie
de inventrio de alguns fatores. O primeiro deles o teste de compatibilidade
explicado anteriormente. Em seguida voc deve verificar se o hardware atende os
requisitos mnimos para o servidor onde ser instalado o Windows Server 2003.
Os requisitos mnimos dependem de uma srie de fatores, tais como aplicaes e
servios que sero executados no servidor, nmero de usurios simultneos, vol-
ume de informaes que ser acessada e assim por diante.
Os requisitos mnimos de hardware foram apresentados no Captulo 1. Mas lembre
que estes so requisitos mnimos e no requisitos reais, que levam em conta a
carga de trabalho a qual ser submetida o servidor, uma vez que este seja colocado
em operao.
Em seguida voc deve decidir se ser feita uma nova instalao ou se ser feita a atualizao de uma verso anterior do
Windows j instalada, como o Windows 2000 Server ou o NT Server 4.0.
A vantagem de uma nova instalao que voc tem a certeza de partir com uma instalao sem problemas, sem
arquivos corrompidos, sem comportamentos imprevistos e tantos outros problemas que podem surgir em uma instalao
j existente. Ao fazer uma nova instalao recomendado que voc formate o Disco Rgido onde ser feita a instalao
(sempre lembrando de fazer um backup dos dados, se houver dados importantes no disco rgido que ser formatado,
pois este processo exclui toda a informao existente no disco rgido). Isso para o caso de voc fazer uma nova
instalao em um servidor j existente.
A desvantagem de fazer uma nova instalao que todos os programas instalados e configuraes sero perdidas.
Voc ter que reinstalar todos os programas e fazer as configuraes novamente. Se voc estiver fazendo a instalao
de um novo servidor, esta a nica opo disponvel.
Para servidores que j tem o Windows 2000 Server ou o NT Server 4.0 instalado, voc pode optar por fazer uma
atualizao da verso atual para o Windows Server 2003. Ao fazer o upgrade, todos os programas e configuraes
sero mantidos. Porm se houver problemas de sistemas no funcionando direito, com configuraes incorretas ou
arquivos corrompidos, estes problemas tambm estaro presentas aps a atualizao (upgrade) para o Windows Server
2003. A vantagem deste mtodo que no necessria a reinstalao de todos os programas. Mesmo que voc v
fazer um upgrade, sempre recomandvel (eu diria at obrigatrio), que voc faa um bakcup completo do servidor.
Caso haja algum problema durante o processo do upgrade, sempre possvel utilizar o backup para restaurar a verso
anterior do sistema operacional.
Voc somente consegue fazer o upgrade para o Windows 2000 Server, das verses de servidor do Windows. Por
exemplo, no possvel fazer um upgrade do Windows 2000 Professional ou do Windows XP Professional para o
Windows Server 2003. Na Tabela 14.1, voc tem uma relao dos caminhos de atualizao de outras verses do
Windows para o Windows Server 2003.
Tabela 14.1 Caminhos para a atualizao para o Windows Server 2003
Windows NT 3.51 ou anterior No. Primeiro voc deve fazer a atualiao do Windows NT 3.51 ou anterior para o
Windows NT Server 4.0, com Service Pack 5.0 ou superior.
Windows NT 4.0 Server Sim, porm deve estar instalado o Service Pack 5.0 ou superior.
Windows 2000 Server Sim
Windows 2000 Adv. Server Sim
Windows 2000 Professional No
Windows XP Professional No
Outra deciso que voc deve tomar se o servidor que est sendo instalado ser um controlador de domnio ou um
servidor para prestar outros servios, como compartilhamento de arquivos, servidor Web, servidor de banco de dados
e assim por diante. No caso de voc estar fazendo uma atualizao, provvel que o servidor continue a excercer as
funes que estava excercendo antes.
Tambm recomendado que voc reuna as informaes sobre as configuraes
de rede que sero utilizadas no servidor. Por exemplo:
O servidor far parte de um domnio ou de um Workgroup? (maiores
detalhes sobre domnios e workgroups no Captulo 2)
Qual o nome do servidor? Sempre lembrando que no pode haver dois
servidores com o mesmo nome, no mesmo domnio.
Configuraes do protocolo TCP/IP. Sero automticas, obtidas a partir
de um servidor DHCP? Ou sero configuradas manualmente. No caso de
serem conf iguradas manualmente, voc deve obter as seguintes
informaes com o administrador da rede: Nmero IP, mscara de sub-
rede, nmero IP do Default Gateway, nmero IP de um ou mais servidores
DNS, nmero IP de um ou mais servidores WINS (se existir servidores
WINS na sua rede), nome de host e domnio DNS.
sobre a instalao do Active Direc-
tory, domnios e a criao de
Controladores de Domnio, consulte
o Captulo 2.
Eu tambm poderia iniciar uma discusso sobre o sistema de arquivos que deve ser utilizado na partio onde o
Windows Server 2003 ser instalado. Esto disponveis os sistemas de arquivo FAT32 e NTFS, os quais sero
detalhadamente explicados no Captulo 5. Porm so tantas as vantagens do sistema de arquivos NTFS, que nem vale
a pena discutir. Servidor com o Windows Server 2003? Utilize NTFS. No Captulo 5 voc ver o porqu desta
recomendao.
Antes de iniciar a instalao voc tambm deve estar de posse do nmero de licena, o qual normalmente vem impresso
em uma etiqueta colada na caixa do CD de instalao do Windows Server 2003.
Modos de Licenciamento do Windows Server 2003
Por Servidor: Esta forma de licenciamento mais indicado para pequenas empresas, nas quais existe um nico
servidor com o Windows Server 2003 instalado. Com este tipo de licenciamento, o nmero de licenas define
o nmero mximo de usurios conectados simultaneamente ao servidor. Se o nmero mximo de conexes for
atingido e mais um usurio tentar acessar um recurso no servidor, este ltimo usurio no conseguir fazer a
conexo e receber uma mensagem de erro. O nmero de licenas (e conseqentemente de conexes simultneas)
definido pelo nmero de CAL Client Access Licences que voc adquiriu, Ao comprar o Windows Server
2003 este j vem com um determinado nmero de licenas. Se voc precisar de um nmero maior de licenas,
dever adquirir mais CALs, de acordo com o nmero de licenas que for necessrio.
Por dispositivo ou por usurio): Neste modo de licenciamento, uma CAL necessria para cada estao de
trabalho que faz a conexo com o servidor, independentemente de quantas conexes esta estao de trabalho
venha a estabelecer com o servidor. Os clientes podem ser estaes de trabalho baseadas no Windows ou em
outro sistema operacional, como por exemplo um aplicativo em uma estao de trabalho Linux, acessando
dados de um banco de dados SQL Server, em um servidor com o Windows Server 2003. Por exemplo, se a rede
da sua empresa tem 1000 mquinas, voc deve adquirir 1000 CALs, uma para cada estao de trabalho. O
preo de uma CAL para este modo de licenciamento maior do que para o Per Server, mas em compensao
com uma nica CAL, a estao de trabalho pode acessar recursos em qualquer servidor que esteja utilizando
o licenciamento Per Device
Active Directory Conceitos, Estrutura Lgica e Fsica e Componentes
Neste tpico reapresentarei os conceitos sobre os principais elementos do Active Directory, focando nos elementos
que voc deve conhecer para o Exame 70-290.
Entendendo o conceito de Diretrios e Workgroups
Nesta item mostrarei as diferenas entre uma rede baseada no modelo de Workgroup e uma rede baseada no modelo de
diretrios.
Voc entender porque uma rede baseada no conceito de Workgroup (Grupo de trabalho) somente indicada para
redes muito pequenas, entre cinco e dez usurios. E porque para redes maiores seria praticamente impossvel administrar
um modelo de redes baseado em Grupos de Trabalho ao invs de domnios.
Domnios e Grupos de Trabalho (Workgroups):
Um rede baseada no Windows Server 2003 pode ser criada utilizando-se dois conceitos diferentes, dependendo da
maneira com que os Servidores Windows Server 2003 so configurados. Os servidores podem ser configurados para
fazerem parte de um Domnio ou de um Grupo de Trabalho, mais comumente chamado de Workgroup, termo que
utilizarei de agora em diante.
Entendendo o funcionamento de uma rede baseada no modelo de Workgroups:
Em uma rede baseada no modelo de Workgroups cada servidor independente do outro. Em outras palavras, os
servidores do Workgroup no compartilham uma lista de usurios, grupos, configuraes de segurana, polticas,
diretivas e outras informaes. Cada servidor tem a sua prpria lista de usurios e grupos, conforme indicado no
diagrama da Figura 14.4:
Figura 14.4 Uma rede baseada no conceito de Workgroup.
O diagrama demonstra uma rede baseada no modelo de Workgroup. Na rede de exemplo temos trs servidores, onde
cada servidor tem a sua prpria base de usurios, senhas e grupos. Conforme pode ser visto no diagrama, as bases no
esto sincronizadas, existem contas de usurios que foram criadas em um servidor mas no foram criadas nos demais.
Por exemplo, a conta paulo somente existe no Servidor 01, a conta mauro s existe no Servidor 02 e a conta cassia s
existe no servidor 03.
Agora imagine o usurio paulo, que est utilizando a sua estao de trabalho. Ele tenta acessar um recurso (por
exemplo uma pasta compartilhada) no Servidor 01. Uma janela de logon exibida. Ele fornece o seu nome de usurio
e senha e o acesso (desde que ele tenha as devidas permisses) liberado.
e ele fornece o seu nome de usuro e senha. O acesso negado, com uma mensagem de usurio invlido. E o usurio
paulo fica sem entender o que est acontecendo. Or, isso acontece porque o usurio paulo somente est cadastrado no
Servidor 01; para o Servidor 02 e para o Servidor 03 como se o usuro paulo no existisse (usurio invlido). Para
que o usurio paulo possa acessar recursos dos servidores 02 e 03, o Administrador deveria criar uma conta chamada
paulo nestes dois servidores.
Mas a confuso pode ser maior ainda. Imagine que o usurio paulo foi cadastrado pelo administrador com a conta
paulo e senha: abc123de. Muito bem, o administrador fez o cadastro do usurio paulo nos trs servidores: Servidor 01,
Servidor 01
Base de usurios 01:
jsilva
maria
pedro
paulo
zeze
mjose
ana
Servidor 02
Base de usurios 02:
jsilva
maria
mauro
zeze
mjose
ana
Servidor 03
Base de usurios 03:
jsilva
maria
cassio
laura
zeze
mjose
ana
Servidor 02 e Servidor 03. Agora, cerca de 30 dias depois, o usurio paulo resolveu alterar a sua senha. Vamos supor
que ele estava conectado ao Servidor 01, quando fez a alterao da sua senha para: xyz123kj. Agora o usurio paulo
est na situao indicada a seguir:
Servidor Usurio Senha
Servidor 03 paulo xyz123kj
Na concepo do usurio, a partir de agora vale a nova senha, independentemente do servidor que ele esteiver acessando.
Pois para o usurio interessa o recurso que ele est acessando, muitas vezes ele nem sequer tem noo de que o recurso
est em um servidor e muito menos em qual servidor. Para o usurio no interessa se o recurso est no servidor 01, 02
ou outro servidor qualquer. Agora vamos ver o que acontece com o usurio paulo.
O usurio paulo, que est utilizando a sua estao de trabalho. Ele tenta acessar um recurso (por exemplo uma pasta
compartilhada) no Servidor 01. Uma janela de logon exibida. Ele fornece o seu nome de usurio e a nova senha e o
acesso (desde que ele tenha as devidas permisses) liberado.
e ele fornece o seu nome de usuro e a nova senha e a surpresa: O acesso negado, com uma mensagem de falha na
autenticao. A o usurio fica pensando: mas como possvel, eu recm troquei a senha. Ele trocou a senha no
Servidor 01. Para os demais servidores continua valendo a senha antiga. A nica maneira de ele conseguir alterar a
senha fazendo o logon com a senha antiga e alterando para a nova senha, em todos os servidores da rede. Agora
imagine o problema em uma rede de grandes propores, com dezenas de servidores e milhares de funcionrios. Fica
fcil concluir que o modelo de Workgroup ficaria insustentvel, impossvel de ser implementado na prtica.
Eu somente recomendaria modelo de Workgroup para redes pequenas, com um nico servidor e com um nmero de,
no mximo, 10 usurios.
Entendendo o funcionamento de uma rede baseada no conceito de Diretrio Domnio:
Agora vou apresentar o modelo de rede baseado em um diretrio. Vamos iniciar considerando o diagrama da Figura
14.5:
No modelo baseado em diretrio, nos temos uma base de usurios nica, ou seja, todos os servidores da rede
compartilham a mesma base de usurios. O que acontece, na prtica, no que existe uma nica base, armazenada em
um determinado servidor, e todos os demais servidores acessam esta base. No, no isso. O que ocorre na prtica,
que todos os servidores do domnio, configurados como DCs Domain Controllers, contm uma cpia da base de
informaes do diretrio (do Active Directory, no caso do Windows 2000 Server e Windows Server 2003). Alteraes
efetuadas em um dos servidores so repassadas para os demais servidores da rede, para que todos fiquem com uma
cpia idntica da base de dados do diretrio. Esta sincronizao entre os servidores do domnio conhecida como
Replicao do Active Directory.
O que caracteriza uma rede baseada em diretrio o fato de todos os servidores terem acesso a mesma base de
dados, ou seja, todos compartilham o mesmo diretrio, as mesmas informaes sobre usurios, grupos, servidores
e recursos e as mesmas polticas e diretivas de segurana. Mais adiante ser apresentado o conceito de domnio,
Figura 14.5 Uma rede baseada no conceito de Diretrio - Domnio.
No modelo baseado em diretrio, a vida do Administrador fica bem mais fcil. Vamos supor que o usurio paulo
queira acessar um recurso em um dos servidores da rede. Sem problemas, qualquer servidor tem uma cpia da base de
dados do diretrio. Com isso a conta do usurio paulo estar disponvel em qualquer servidor. Com isso ele poder
acessar recursos em qualquer um destes servidores. H, mas se o usurio paulo alterar a sua senha. Isso ser feito na
cpia do banco de dados do diretrio de um dos servidores. Correto? Correto, porm em pouco tempo esta alterao
ser replicada para todos os demais servidores e a senha do usurio paulo estar sincronizada em todos os servidores.
O modelo baseado em diretrios (e no conceito de domnios, florestas, etc) bem mais fcil para administrar e
permite a implementao de redes de grandes propores, tanto geogrficas quanto em nmeros de usurios. Na
empresa onde eu trabalho, temos uma rede baseada no Active Directory. A rede se estende por todos os estados do
territrio nacional e tem cerca de 22.000 usurios. Uma rede e tanto. Seria literalmente impossvel manter uma rede
destas propores sem utilizar o modelo baseado em diretrios.
Domnios, rvores de domnios e Unidades Organizacionais Conceitos.
Agora que voc j conhece bem a diferena entre um modelo de rede baseada em Workgroup e outro de rede baseada
em diretrios, hora de avanar um pouco mais e ns aproximar da terminologia do Active Directory. Neste item vou
apresentar o conceito de diretrio. No um conceito formal, apresentado no Captulo 2, mas sim o conceito de diretrio
que utilizado em redes baseadas no Active Directory e no Windows Server 2003 (ou Windows 2000 Server).
No Windows Server 2003 (e tambm no Windows 2000 Server), o conjunto de servidores, estaes de trabalho,
bem como as informaes do diretrio que formam uma unidade conhecida como Domnio. Todos os servidores
Servidor 01
Base de usurios nica:
jsilva
maria
pedro
paulo
zeze
mjose
ana
Servidor 02 Servidor 03
floresta, relao de confiana, etc. Estes so outros elementos relacionados com o diretrio e que permitem a
criao de redes de grande extenso geogrfica, como por exemplo redes de uma grande empresa com escritrios
no mundo inteiro (Microsoft).
que contm uma cpia da base de dados do Active Directory, fazem parte do domnio. As estaes de trabalho
podem ser configuradas para fazer parte do domnio. No caso de estaes de trabalho com o NT Workstation 4.0,
Windows 2000 Professional ou Windows XP Professional, cada estao de trabalho que faz parte do domnio, tem
uma conta de computador criada no domnio. A conta de computador tem o mesmo nome do computador. Por
exemplo, a estao de trabalho micro-cont-001, tem uma conta de computador, na base de dados do Active Direc-
tory, com o nome de micro-cont-001.
Um domnio pode tambm ser definido com um limite administrativo e de segurana. Ele um limite administrativo,
pois as contas de Administrador tem permisses de acesso em todos os recursos do domnio, mas no em recursos
de outros domnios. Ele um limite de segurana porque cada domnio tem definies de polticas de segurana
que se aplicam as contas de usurios e demais recursos dentro de domnio e no a outros domnios. Ou seja,
diferentes domnios podem ter diferentes polticas e configuraes de segurana. Por exemplo, no domnio A,
posso ter uma poltica de segurana que define um tamanho mnimo de senha como 8 caracteres. Esta poltica ser
vlida para todas as contas de usurio do domnio A. Um segundo domnio B, pode ter uma poltica de segurana
diferente, a qual define um tamanho mnimo de senha de 12 caracteres. Esta poltica ser vlida para todas as
contas de usurios do domnio B.
Um Domnio simplesmente um agrupamento lgico de contas e recursos, os
quais compartilham polticas de segurana. As informaes sobre os diversos
elementos do domnio (contas de usurios, contas de computador, grupos de
usurios, polticas de segurana, etc), esto contidas no banco de dados do Active
Directory.
Em um domnio baseado no Active Directory e no Windows Server 2003 possvel
ter dois tipos de servidores Windows Server 2003:
Controladores de Domnio (DC Domain Controlers)
Servidores Membro (Member Servers).
Falarei um pouco mais sobre Controladores de Domnio e Servidores Membro no
final deste tpico.
A criao de contas de usurios, grupos de usurios e outros elementos do Active
Directory, bem como alteraes nas contas de usurios, nas polticas de segurana
e em outros elementos do Active Directory, podem ser feitas em qualquer um dos
Controladores de Domnio. Uma alterao feita em um DC ser automaticamente
repassadas (o termo tcnico replicada) para os demais Controladores de
Domnio. Por isso se voc cria uma conta para o usurio jsilva e cadastra uma
senha para este usurio, essa conta passa a ser vlida em todo o domnio, sendo
que o usurio jsilva pode receber permisses para acessar recursos e servios em
qualquer servidor do Domnio, seja em um Controlador de Domnio ou em um
Servidor Membro.
Por isso que o Domnio transmite a idia de um agrupamento lgico de Contas de
Usurios e Grupos, bem como de polticas de segurana, uma vez que todo o
Domnio compartilha a mesma lista de Usurios, Grupos e polticas de segurana.
A criao de domnios facilita enormemente a administrao de uma rede baseada
no Windows Server 2003, sendo altamente recomendada para qualquer rede de
maior porte seja criada com base em um ou mais domnios (dependendo do porte
da rede).
IMPORTANTE: Computadores com
o Windows 95/98/Me no tem conta
de computador no domnio.
Computadores com o Windows XP
Home no podem ser configurados
para fazer parte de um domnio
baseado no Active Directory.
IMPORTANTE: Lembre que configu-
raes de polticas de senha so
aplicadas a nvel de domnio. Por
exemplo, voc define a poltica que a
conta deve ser bloqueada, aps trs
tentativas de logon sem sucesso, dentro
de uma hora, a nvel de domnio. No
possvel, por exemplo, configurar
diferentes polticas de senha, dentro do
mesmo domnio. Voc deve conhecer
bem quais as polticas que so aplicadas
ao domnio como um todo e quais
podem ser aplicadas a nvel de Unidade
Organizacional, dentro do domnio.
Em um Domnio todos os Controladores de Domnio, compartilham uma lista de
usurios, grupos e polticas de segurana, alm de algumas outras caractersticas
que falarei no tpico sobre o Active Directory. Alm disso alteraes feitas em
um dos Controladores de Domnio, so automaticamente replicadas para os demais.
DCs
Os DCs tambm so responsveis por fazer a autenticao dos usurios na rede.
Por exemplo, vamos supor que o usurio jsilva trabalha em uma estao de trabalho
com o Windows XP Professional instalado. Esta estao foi configurada para
fazer parte do domnio. Quando o usurio jsilva liga a estao de trabalho e o
Windows inicializado, apresentada a tela de logon para que ele fornea o seu
nome de usurio e senha. O Windows precisa verificar se o nome de usurio e
senha esto corretos. A Windows tenta localizar um DC na rede. no DC que a
verificao feita, comparando as informaes digitadas pelo usurio, com as
informaes da base de dados do Active Directory. Se as informaes esto OK o
logon liberado, o usurio autenticado e a rea de trabalho do Windows exibida.
A partir deste momento, toda vez que o usurio tentar acessar um recurso do
domnio, ser apresentada a sua autenticao, com base nas informaes de logon
apresentadas, para provar a identidade do usurio para a rede. Isso evita que o
usurio tenha que entrar com o seu logon e senha cada vez que for acessar um
recurso em um servidor diferente (que justamente o que acontece no modelo
baseado em Workgroup, conforme descrito anteriormente).
Como os Servidores Membro no possuem uma cpia da lista de usurios e grupos,
estes no efetuam a autenticao dos clientes e tambm no armazenam
informaes sobre as polticas de segurana para o Domnio as quais tambm
so conhecidas por GPO Group Polices Objects.
Quando os servidores Windows Server 2003 so configurados para trabalhar com
um Workgroup, no existe o conceito de domnio e nem de Controlador de
Domnio. Cada servidor mantm uma lista separada para contas de usurios, grupos
e polticas de segurana, conforme descrito anteriormente. Com isso se um usurio
precisa acessar recursos em trs servidores, por exemplo, ser necessrio criar
uma conta para esse usurio nos trs servidores diferentes. Um Workgroup somente
recomendado para redes extremamente pequenas, normalmente com um nico
servidor Windows Server 2003 e no mais do que 10 estaes clientes, conforme
Active Directory
Lembro de j ter escrito a seguinte frase, em um dos captulos deste livro:
O Active Directory , sem dvidas, a mudana mais significativa includa no
Windows 2000 Server e que tambm faz parte do Windows Server 2003.
Mas de uma maneira simples, o que o Active Directory ?
O Active Directory o servio de diretrios do Windows Server 2003. Um Servio
de Diretrios um servio de rede, o qual identifica todos os recursos disponveis
em uma rede, mantendo informaes sobre estes dispositivos (contas de usurios,
IMPORTANTE: Nos Servidores
Membros podem ser criadas contas
de usurios e grupos, as quais
somente sero vlidas no Servidor
Membro onde foram criadas. Estas
contas so chamadas de contas
locais. Embora isso seja
tecnicamente possvel, essa uma
prtica no recomendada, uma vez
que este procedimento dificulta
enormemente a administrao de
um Domnio. Voc pode atribuir
permisses para os Recursos de um
Servidor Membro, contas de
Usurios e Grupos do domnio, sem
a necessidade de criar esses
usurios ou grupos localmente. Por
exemplo, um usurio jsilva, que
pertence ao domnio, pode receber
permisses de acesso em uma pasta
compartilhada de um Servidor
Membro. Com isso voc pode
concluir que um Servidor Membro,
um servidor que embora no
mantenha uma cpia da lista de
usurios e grupos do Active Direc-
tory, este tem acesso a essa lista.
Com isso que podem ser atribudas
permisses nos recursos do Servidor
Membro (tais como pastas
compartilhadas, impressoras, etc )
para as contas e grupos do Domnio.
IMPORTANTE: Estaes de
trabalho com o Windows XP Home,
no podem ser configuradas para
fazer parte de um domnio. Estaes
de trabalho com o Windows 95/98/
Me podem ser configuradas para
fazer parte de um domnio. Para ter
grupos, computadores, recursos, polticas de segurana, etc) em um banco de
dados e torna estes recursos disponveis para usurios e aplicaes.
Pode parecer que o Active Directory , na verdade um banco de dados. Mas no
s isso. Alm do banco de dados com informaes sobre os elementos
(tecnicamente conhecidos como objetos) que compem o domnio, o Active Di-
rectory tambm disponibiliza uma srie de servios que executam as seguintes
funes:
Replicao entre os Controladores de domnio.
Autenticao
Pesquisa de objetos na base de dados
Interface de programao para acesso aos objetos do diretrio
Pela descrio formal, possvel inferir que o Active Directory um servio de
rede, no qual ficam armazenadas informaes sobre dados dos usurios,
impressoras, servidores, grupos de usurios, computadores e polticas de
segurana. Cada um desses elementos so conhecidos como objetos.
acesso a maioria dos recursos do
Active Directory, tambm preciso
instalar o Active Directory Client,
nas estaes de trabalho com o Win-
dows 95/98/Me. Uma estao de
trabalho com o NT Workstation 4.0
tambm pode ser configurada para
fazer parte de um domnio baseado
no Active Directory e no Windows
Server 2003.
O Active Directory alm de armazenar uma srie de informaes sobre os objetos disponveis no domnio (contas de
usurios, grupos de usurios, servidores, computadores, etc), torna fcil para o administrador localizar e fazer alteraes
nos objetos existentes, bem como criar novos objetos ou excluir objetos que no sejam mais necessrios. Em resumo,
com o conjunto de servios oferecidos pelo Active Directory, a administrao da rede fica bem mais fcil.
Os recursos de segurana so integrados com o Active Directory, atravs do mecanismo de logon e autenticao. Todo
usurio tem que fazer o logon (informar o seu nome de usurio e senha), para ter acesso aos recursos da rede. Durante
o logon o Active Directory verifica se as informaes fornecidas pelo usurio esto corretas e ento libera o acesso aos
recursos para os quais o usurio tem permisso de acesso.
Os recursos disponveis atravs do Active Directory , so organizados de uma maneira hierrquica, atravs do uso de
Domnios. Uma rede na qual o Active Directory est instalado, pode ser formada por um ou mais Domnios. Com a
utilizao do Active Directory um usurio somente precisa estar cadastrado em um nico Domnio, sendo que este
usurio pode receber permisses para acessar recursos em qualquer um dos Domnios, que compem a rvore de
domnios da empresa.
A utilizao do Active Directory simplifica em muito a administrao, pois fornece um local centralizado, atravs do
qual todos os recursos da rede podem ser administrados. Todos os Controladores de Domnio (DCs), possuem o
Active Directory instalado. A Maneira de criar um domnio instalar o Active Directory em um Member Server e
informar que este o primeiro Controlador de Domnio. Depois de criado o domnio (a parte prtica da criao de
domnios ser vista na parte final do captulo.) voc pode criar DCs adicionais, simplesmente instalando o Active
Directory outros servidores.
O Active Directory utiliza o DNS (Domain Name System) como servio de nomeao de servidores e recursos e de
resoluo de nomes. Por isso um dos pr-requisitos para que o Active Directory possa ser instalado e funcionar
perfeitamente que o DNS deve estar instalado e corretamente configurado.
O Agrupamento de objetos em um ou mais Domnios permite que a rede de computadores reflita a organizao da sua
empresa. Para que um usurio cadastrado em um domnio, possa receber permisses para acessar recursos em outros
domnios, o Windows Server 2003 cria e mantm relaes de confiana entre os diversos domnios. As relaes de
confiana so bidirecionais e transitivas. Isso significa se o Domnio A confia no Domnio B, o qual por sua vez
confia em um Domnio C, ento o Domnio A tambm confia no Domnio C. Isso bastante diferente do que
acontecia at o NT Server 4.0, uma vez que as relaes de confiana tinham que
ser criadas e mantidas pelos administradores dos domnios, uma a uma. Era um
trabalho e tanto, o que dificultava a implementao de relaes de confiana em
uma rede com muitos domnios.
Todo Domnio possui as seguintes caractersticas:
Todos os objetos de uma rede (contas de usurios, grupos, impressoras,
polticas de segurana, etc) fazem parte de um nico domnio. Cada
domnio somente armazena informaes sobre os objetos do prprio
domnio.
Cada domnio possui suas prprias polticas de segurana.
rvore de domnios:
Quando existem diversos domnios relacionados atravs de relaes de confiana,
criadas e mantidas automaticamente pelo Active Directory, temos uma rvore de
domnios. Uma rvore nada mais do que um agrupamento ou arranjo hierrquico
de um ou mais domnios do Windows Server 2003, os quais compartilham um
espao de nome.
Novidade: No Windows Server
2003, o assistente de instalao
do Active Directory capaz de
instalar e configurar o DNS, caso
ele no encontre um servidor DNS
adequadamente configurado na
rede. Esta no chega a ser
exatamente uma novidade. O que
ocorre na prtica, que o
assistente de instalao do Active
Directory, no Windows Server
2003, consegue na maioria das
vezes configurar o DNS
corretamente, o que no ocorria
no Windows 2000 Server.
Vou explicar em detalhes o que significa a expresso compartilham um espao de nome. Primeiramente observe a
Figura 14.6:
Figura 14.6 Todos os domnios de uma rvore compartilham um espao de nomes em comum.
Observe que exibida uma rvore com 7 domnios. Mas o que significa mesmo compartilham um espao de nome?
Observe que o domnio inicial, tambm conhecido como domnio pai ou domnio root, microsoft.com. Os domnios
seguintes so: vendas.microsoft.com e suporte.microsoft.com. Quando formada uma hierarquia de domnios,
compartilhar um espao de nomes, significa que os nomes dos objetos filho (de segundo nvel, por exemplo:
vendas.microsoft.com e suporte.microsoft.com), contm o nome do objeto pai (microsoft.com). Por exemplo,
vendas.microsoft.com contm microsoft.com. Descendo mais ainda na hierarquia, voc pode observar que este fato
continua verdadeiro. Por exemplo o objeto filho sistemas.vendas.microsoft.com contm o nome do objeto Pai
vendas.microsoft.com.
Com isso uma rvore de diretrios deste tipo forma um espao de nomes contnuo, onde o nome do objeto filho
sempre contm o nome do objeto pai.
Voc pode ainda dividir um Domnio em Unidades Organizacionais. Uma Unidade Organizacional uma diviso
lgica do domnio, a qual pode ser utilizada para organizar os objetos de um determinado domnio em um agrupamento
lgico para efeitos de administrao. Isso resolve uma srie de problemas que existiam em redes baseadas no NT
Server 4.0.
No Windows NT Server 4.0 se um usurio fosse adicionado ao grupo Administradores (grupo com poderes totais
sobre qualquer recurso do domnio), ele poderia executar qualquer ao em qualquer servidor do domnio. Com a
utilizao de Unidades Organizacionais, possvel restringir os direitos administrativos apenas a nvel da Unidade
Organizacional, sem que com isso o usurio tenha poderes sobre todos os demais objetos do Domnio.
domnios, isto , os diversos domnios que formam uma rvore, no precisam ter a mesma estrutura hierrquica de
unidades organizacionais.
No exemplo da Figura 2.4, o domnio vendas.microsoft.com, poderia ter uma estrutura hierrquica de Unidades
Organizacionais, projetada para atender as necessidades do domnio vendas. Essa estrutura poderia ser completamente
diferente da estrutura do domnio suporte.microsoft.com, a qual ser projetada para atender as necessidades do domnio
suporte. Com isso tem-se uma flexibilidade bastante grande, de tal forma que a rvore de domnios e a organizao
dos domnios em uma hierarquia de Unidades Organizacionais, possa atender perfeitamente as necessidades da empresa.
A utilizao de Unidades Organizacionais no obrigatria, porm altamente recomendada,conforme mostrarei em
alguns exemplos mais adiante.
Voc quiser representar a estrutura e organizao da sua companhia em um domnio. Sem a utilizao de
Unidades Organizacionais, todas as contas de usurios so mantidas e exibidas em uma nica lista, independente
da localizao, departamento ou funo do usurio.
Conhecendo os principais Objetos do Active Directory
At aqui apresentei os conceitos bsicos sobre diretrios, domnios, unidades organizacionais e rvores de diretrios.
A partir deste item passarei a descrever os objetos que fazem parte do Active Directory. Na seqncia falarei sobre os
servios que do suporte ao Active Directory, tais como os servios de replicao e o conceito de relaes de confiana
entre diretrios.
Contas de usurios
Todo usurio que quer ter acesso aos recursos dos computadores do domnio
(pastas compartilhadas, impressoras compartilhadas, etc) deve ser cadastrado no
Active Directory. Cadastrar o usurio, significa criar uma conta de usurio e uma
senha. Ao cadastrar um usurio, outras informaes tais como seo, nome
completo, endereo, telefone, etc, podem ser cadastradas, conforme vimos, em
detalhes, no Captulo 4.
Uma conta de usurio um objeto do Active Directory, o qual contm diversas
informaes sobre o usurio, conforme descrito anteriormente. importante
salientar que a conta somente precisa ser criada uma vez, em um dos
Controladores de domnio. Uma vez criada, a conta ser replicada para todos os
demais DCs do domnio.
Embora seja tecnicamente possvel a criao de usurios e grupos locais, nos
Servidores Membros e nas estaes de trabalho, esta prtica no recomendada.
Quando voc trabalha em um domnio, o ideal que contas de usurios e grupos
sejam criadas somente no domnio, isto , nos DCs.
Algumas recomendaes e observaes sobre contas de usurios:
Todo usurio que acessa a rede deve ter a sua prpria conta. No
recomendado que dois ou mais usurios compartilhem a mesma conta. A
conta a identidade do usurio para a rede. Por exemplo, quando o usurio
jsilva faz o logon no domnio, a sua conta a sua identidade para o sistema.
Todas as aes realizadas pelo usurio esto associadas a sua conta. O
Windows Server 2003 tem um sistema de auditoria de segurana, no qual
o Administrador pode configurar quais aes devem ser registradas no
Log de auditoria. Por exemplo, o administrador pode definir que toda
tentativa de alterar um determinado arquivo seja registrada no log de au-
ditoria. Se o usurio jsilva tentar alterar o referido arquivo, ficar registrado
no logo de auditoria que o usurio jsilva, no dia tal, hora tal, tentou alterar
o arquivo tal. Se dois ou mais usurios esto compartilhando a mesma
conta, fica difcil identificar qual o usurio que estava logado no momento.
Para o sistema o jsilva. Agora quem dos diversos usurios que utilizam
a conta jsilva que estava logado e tentou alterar o referido arquivo? Fica
difcil saber. Por isso a recomendao para que cada usurio seja cadastrado
e tenha a sua prpria conta e senha.
Com base nas contas de usurios e grupos, o administrador pode habilitar
ou negar permisses de acesso aos recursos da rede. Por exemplo, o
administrador pode restringir o acesso a pastas e arquivos compartilhados
na rede, definindo quais usurios podem ter acesso e qual o nvel de
acesso de cada usurio leitura, leitura e alterao, excluso e assim
por diante. Mais um bom motivo para que cada usurio tenha a sua
prpria conta e senha.
Outro detalhe que voc deve observar, a utilizao de um padro para o nome
das contas de usurios. Voc deve estabelecer um padro para a criao de nomes,
IMPORTANTE: Voc tambm
pode criar contas nos servidores
membros e nas estaes de trabalho
com Windows 2000 Professional ou
Windows XP Professional. As contas
criadas nestes computadores so
ditas contas locais, ou seja, somente
existem no computador onde foram
criadas. Vamos imaginar que voc
est trabalhando em uma estao
de trabalho com o Windows XP Pro-
fessional instalado. Esta estao foi
configurada para fazer parte do
domnio abc.com.br. Como a estao
de trabalho faz parte do domnio,
voc ter acesso a lista de usurios
e grupos do domnio. Com isso voc
poder, por exemplo, atribuir
permisso de acesso para um
usurio do domnio (ou um grupo
de usurios) em uma pasta
compartilhada na sua estao de
trabalho. Nesta mesma estao
voc tambm poder criar contas de
usurios e grupos locais, os quais
ficam gravados na base de usurios
local e s existe neste computador.
Estes usurios e grupos (criados
localmente), somente podem
receber permisses de acesso para
os recursos do computador onde
foram criados. Voc no conseguir
atribuir permisso de acesso em
uma pasta compartilhada no
servidor, para um usurio local da
sua estao de trabalho.
pois no podem existir dois usurios com o mesmo nome de logon dentro do
mesmo Domnio. Por exemplo se existir no mesmo Domnio, dois Jos da Silva
e os dois resolverem utilizar como logon jsilva, somente o primeiro conseguir,
o segundo ter que se conformar em escolher um outro nome de logon. Para isso
importante que seja definido um padro e no caso de nomes iguais deve ser
definido uma maneira de diferenci-los. Por exemplo poderamos usar como padro
a primeira letra do nome e o ltimo sobrenome. No caso de nomes iguais,
acrescenta-se nmeros. No nosso exemplo o primeiro Jos da Silva cadastrado
ficaria como jsilva, j o segundo a ser cadastrado ficaria como jsilva1. Caso no
futuro tivssemos mais um Jos da Silva dentro da mesma Unidade Organizacional,
este seria o jsilva2 e assim por diante.
Quando for criar nomes de logon para os usurios, leve em considerao os
seguintes detalhes:
Nomes de Usurios do Domnio devem ser nicos dentro do Domnio.
Sempre que voc for cadastrar um usurio tambm deve ser cadastrada uma senha
para o usurio. Conforme mostrarei no Captulo 4, o administrador pode especificar
um nmero mnimo de caracteres aceito para a senha. O nmero mximo de
caracteres da senha 128.
Contas de Computador
Estaes de trabalho que rodam o Windows NT Workstation 4.0, Windows 2000
Professional ou Windows XP Professional e que fazem parte do domnio, devem
ter uma conta de computador no Active Directory. Servidores, quer sejam Mem-
ber Servers ou DCs, rodando Windows NT Server 4.0, Windows 2000 Server ou
Windows Server 2003, tambm tem contas de computador no Active Directory.
A conta de computador pode ser criada antes da instalao do computador ser
adicionado ao domnio ou no momento em que o computador configurado para
fazer parte do domnio. A conta do computador deve ter o mesmo nome do
computador na rede. Por exemplo, um computador com o nome de microxp01,
ter uma conta no Active Directory, com o nome: microxp01.
Para que um usurio possa fazer o logon no domnio preciso que a sua conta de
usurio esteja ativa e que no esteja bloqueada. Alm disso, a conta do computador
onde o usurio faz o logon, tambm deve estar ativa no domnio.
Grupos de usurios
Um grupo de usurios uma coleo de contas de usurios. Por exemplo,
podemos criar um grupo chamado Contabilidade, do qual faro parte todos os
usurios do departamento de Contabilidade (todas as contas de usurios dos
funcionrios do departamento de Contabilidade).
IMPORTANTE: O Administrador
pode utilizar o recurso de GPOs
Group Polices Objects para impedir
que os usurios possam criar contas
de usurios e grupos locais, em suas
estaes de trabalho. O assunto
GPOs abordado, em detalhes, no
Captulo 18 do Livro: Windows
Server 2003 Curso Completo,
1568 pginas.
IMPORTANTE: Conhea bem as
polticas relacionadas as senhas de
contas, as quais foram descritas,
detalhadamente, no Captulo 4 e
para as quais apresentarei um
resumo mais adiante.
rodando Windows 95/98/Me,
mesmo tendo acesso a lista de
usurios e grupos do domnio, no
tero contas de computador criadas
no Active Directory. Computadores
rodando o Windows XP Home, no
podem ser configurados para fazer
parte de um domnio.
recursos, tais como: pastas compartilhadas, impressoras remotas, servios diversos, etc.
permisso ao recurso, basta incluir o usurio no grupo, pois todos os usurios de um determinado grupo, herdam as
permisses dos grupos aos quais o usurio pertence.
Quando um usurio troca de seo, por exemplo, basta trocar o usurio de grupo. Vamos supor que o usurio jsilva
trabalha na seo de contabilidade e pertence ao grupo Contabilidade. Com isso ele tem acesso a todos os recursos
para os quais o grupo Contabilidade tem acesso. Ao ser transferido para a seo de Marketing, basta retirar o usurio
jsilva do grupo Contabilidade e adicion-lo ao grupo Marketing. Com isso o jsilva deixa de ter as permisses atribudas
ao grupo Contabilidade e passa a ter as mesmas permisses que tem o grupo Marketing. Este exemplo simples j
consegue demonstrar o quanto a utilizao de grupos pode facilitar a administrao de atribuio de permisses.
restrito de usurios deve ter acesso, sendo que so usurios de diferentes sees. A maneira mais simples de definir as
permisses de acesso ao sistema SEAT criar um grupo chamado Seat e dar permisses para esse grupo. Assim cada
usurio que precisar acessar o sistema SEAT, deve ser includo no grupo Seat. Quando o usurio no deve mais ter
acesso ao sistema SEAT, basta remov-lo do grupo Seat. Simples, fcil e muito prtico.
Quando estiver trabalhando com grupos de usurios, considere os fatos a seguir:
Contas de computadores podem ser membros de um grupo (novidade do Windows Server 2003).
Agora vou falar sobre os tipos de grupos existentes no Windows Server 2003. Os
grupos so classificados de acordo com diferentes critrios, tais como: tipo, escopo
e visibilidade.
Podemos ter dois tipos de grupos no Windows Server 2003 : Grupos de segurana
( Security Groups) e Grupos de distribuio (Distribution Groups).
Grupos de segurana: Normalmente utilizado para atribuir permisses de
acesso aos recursos da rede. Por exemplo, ao criar um grupo Contabilidade,
o qual conter todas as contas dos funcionrios do departamento de
contabilidade, o qual ser utilizado para atribuir permisses de acesso a
uma pasta compartilhada, devo criar este grupo como sendo do tipo Grupo
de segurana. Um grupo de segurana tambm pode ser utilizado como
um grupo de distribuio, embora essa no seja uma situao muito
comum. Esses grupos, assim coma as contas de usurios so armazenados
no Banco de dados do Active Directory.
Grupos de distribuio: So utilizados para funes no relacionadas com
segurana ( atribuio de permisses) . Normalmente so utilizados em
conjunto com servidores de e-mail, tais como o Exchange 2000, para o
envio de e-mail para um grupo de usurios. Uma das utilizaes tpicas
para um Grupo de distribuio o envio de mensagens de e-mail para um
grupo de usurios de uma s vez. Somente programas que foram
programados para trabalhar com o Active Directory, podero utilizar
Grupos de distribuio (como o caso do Exchange 2000 citado
anteriormente). Provavelmente as novas verses dos principais sistemas
de correio eletrnico estaro habilitadas para trabalhar com o Active
Directory. No possvel utilizar grupos de distribuio para funes
relacionadas com segurana.
Quando criamos um grupo de usurios, devemos selecionar um tipo (descrito
anteriormente) e um escopo. O Escopo permite que o grupo seja utilizado de
diferentes maneiras para a atribuio de permisses. O escopo de um grupo,
determina em partes do domnio ou de uma floresta de domnios, o grupo
visvel, ou seja, pode ser utilizado para receber permisses de acesso aos recursos
da rede.
Existem trs escopos para grupos de usurios, conforme descrito a seguir: Uni-
versal, Global e Local do domnio. Vamos apresentar as diversas caractersticas e
usos de cada tipo de grupo.
Como o prprio nome sugere so grupos que podem ser utilizados em qualquer
parte de um domnio ou da rvore de domnios e podem conter como membros,
grupos e usurios de quaisquer domnios. Em resumo:
IMPORTANTE: Para o exame de
fundamental importncia que voc
conhea, bem, os diferentes tipos e
escopos de grupo de usurios,
disponveis no Windows Server
2003. Tambm importante que
voc saiba quais objetos podem ser
membros de cada tipo de grupo e
quando utilizar cada tipo. Estes
conceitos sero salientados em
alguns estudos de caso, mais
adiante, neste resumo.
no possvel atribuir permisses
de acesso, quer seja permisses de
compartilhamento, permisses NTFS
ou permisses de impresso, para
grupos do tipo Grupo de
Distribuio. S permitido atribuir
permisses de acesso para grupos
do tipo Grupo de Segurana. No
esquea deste detalhe.
IMPORTANTE: possvel con-
verter um grupo do tipo Segurana
para distribuio e vice-versa. Para
tal preciso que o domnio esteja,
pelo menos, no modo Windows
2000 Nativo. Para domnios que
ainda estejam no modo Windows
2000 Mixed, esta converso no
ser possvel. Mais adiante falarei
sobre Modos de um Domnio e
Modos de uma rvore de Domnios.
Este outro detalhe que voc no
deve esquecer, de jeito nenhum.
Pode ser membro de: Grupos locais do domnio ou grupos universais de qualquer domnio.
grupos Universais:
Server 2003, os seguintes elementos podem ser includos como membros de um grupo universal: Usurios,
Quando o nvel de funcionalidade do Domnio est configurado como Windows 2000 Misto, no possvel
criar grupos Universais. Este outro detalhe de grande importncia, ou seja, no possvel o uso de grupos
Universais, quando o modo do domnio for Modo Misto. No esquea, de jeito nenhum, deste detalhe.
Server 2003, um grupo Universal pode ser colocado como membro de um outro grupo Universal e permisses
podem ser atribudas em qualquer domnio.
Um grupo pode ser convertido de Universal para Global ou de Universal para Local do domnio. Nos dois
casos esta converso somente pode ser feita se o grupo Universal no tiver como um de seus membros, outro
grupo Universal.
Quando devemos utilizar grupos universais:
Quando voc deseja consolidar diversos grupos globais. Voc pode fazer isso criando um grupo Universal e adicionando
os diversos grupos globais como membros do grupo Universal.
Grupo global:
Um grupo Global global quanto aos locais onde ele pode receber permisses de acesso, ou seja, um grupo Global
pode receber permisses de acesso em recursos (pastas compartilhadas, impressoras, etc) de qualquer domnio. Em
resumo, considere as afirmaes a seguir:
Pode conter: Contas de usurios e grupos globais do mesmo domnio, ou seja, somente pode conter membros
do domnio no qual o grupo criado.
Pode ser membro de: Grupos universais e Grupos locais do domnio, de qualquer domnio.
grupos Globais:
de usurios do prprio domnio que podem ser membros de um grupo Global.
Por exemplo, se voc cria um grupo global chamado WebUsers, no domnio abc.com.br e este domnio est no modo
Misto, ento somente contas de usurios do domnio abc.com.br que podero ser membros do grupo WebUsers.
nenhum outro grupo Global.
Quando devemos utilizar grupos globais:
replicadas somente dentro do domnio onde foi criado o grupo Global e no atravs de toda a rvore de domnios. Com
isso o volume de replicao reduzido, o que permite a utilizao de grupos Globais para a administrao de objetos
que mudam freqentemente.
Grupos locais do domnio (Domain local group):
Somente pode receber permisses para o domnio no qual o grupo foi criado.
grupos Globais:
outro grupo Local.
Quando devemos utilizar grupos Locais:
Os grupos Locais so utilizados para atribuir permisses de acesso aos recursos da rede. Conforme discutirei mais
adiante, a Microsoft recomenda uma estratgia baseada nos seguintes passos:
Criar as contas de usurios.
Adicionar as contas de usurios a grupos Globais (confere com o que foi dito anteriormente, onde falei que os
grupos Globais so utilizados para gerenciar os objetos do dia-a-dia, tais como contas de usurios).
Adicione os grupos globais ou Universais (se for o caso) como membros dos grupos Locais.
Atribua permisses de acesso para os grupos Locais.
Atribuio de permisses em mltiplos domnios estudos de caso.
Neste tpico vou analisar um exemplo de uma rede onde existe uma rvore de domnios, ou seja, vrios domnios
formando uma rvore de domnios. Com base no diagrama apresentado na Figura 14.7, apresento alguns estudos de
caso logo em seguida.
Figura 14.7 Uma rvore de domnios.
Uma rvore com sete domnios:
No diagrama proposto na Figura 14.7, exibida uma rvore com sete domnios. O domnio principal, tambm conhecido
como domnio root tem o nome DNS: abc.com. Um domnio tem normalmente dois nomes:
O nome DNS, que o nome completo, no padro do DNS. No nosso exemplo temos os domnios: abc.com,
vendas.abc.com, prod.abc.com e assim por diante.
O nome NETBIOS do domnio, que normalmente a primeira parte do nome DNS. No nosso exemplo temos
os domnios: ABC, VENDAS, PROD, EURO e assim por diante.
Observe que a rvore forma um espao contnuo de nomes, conforme descrito anteriormente. Cada domnio filho
contm o nome completo do domnio pai. Veja a descrio a seguir:
Domnio root principal:
abc.com
Domnios de segundo nvel, filhos do abc.com contm abc.com no nome:
vendas.abc.com
prod.abc.com
Domnios de terceiro nvel, filhos dos domnios de segundo nvel contm o nome do domnio de segundo nvel:
Filhos do vendas.abc.com:
abc.com
euro.vendas.abc.com
asia.vendas.abc.com
Filhos do prod.abc.com:
amer.prod.abc.com
eua.prod.abc.com
Neste exemplo temos uma rvore com sete domnios. Este um exemplo de rvore de domnios perfeitamente possvel
de ser implementada com o uso do Windows Server 2003 e do Active Directory. Nesta rvore o primeiro domnio a ser
instalado deve ser o domnio root: abc.com. Em seguida um dos domnios filhos, por exemplo vendas.abc.com e assim
por diante.
Um pouco sobre nomenclaturas de objetos no domnio, LDAP e caminhos UNC:
O Active Directory alm de uma base de dados e um conjunto de servios, tambm interage e dependo de vrios
outros servios e padres para o seu completo funcionamento. J citamos anteriormente que o DNS o servio de
resoluo de nomes no qual se baseia o Active Directory. O Active Directory foi projetado baseado em padres de
diretrios, definidos por entidades internacionais de padronizao.
Entidades internacionais tais como a Internactional Telecommunication Union (ITU), International Organization for
Standardization (ISSO) e o Internet Enginnering Task Force (IETF) trabalham em conjunto ou em colaborao para
definir uma srie de padres que do suporte a servios de diretrios.
Um padro de uso genrico o X.500. Este padro apesar de sua grande abrangncia bastante complexo e acabou
por no ser adotado na sua ntegra como um padro de mercado para a criao de servios de diretrios. Um padro
mais light e que efetivamente tornou-se um padro de mercado o LDAP Lightweight Directory Access Protocol.
O protocolo LDAP fornece mecanismos de acesso aos objetos do Active Directory, de tal maneira que qualquer
programa ou sistema habilitado ao padro LDAP, seja capaz de acessar as informaes do Active Directory, desde que
devidamente identificado e tendo as devidas permisses. No incio do captulo, quando falei sobre diretrios, mltiplas
senhas e afirmei que a viso de futuro da Microsoft uma empresa onde todos os sistemas sejam integrados com o
Active Directory, eu estava pensando no padro LDAP. Com o uso deste padro, possvel desenvolver sistemas
integrados com o Active Directory.
O padro LDAP define um sistema de nomeao hierrquico, atravs do qual possvel referenciar qualquer objeto do
Active Directory. Voc deve estar pensando que o LDAP e o DNS esto sendo utilizados para a mesma funo. No
exatamente isso. Sem entrar nas especificaes tcnicas de cada protocol, arrisco a fazer as seguintes colocaes:
O DNS o sistema de resoluo de nomes utilizado pelos clientes para localizar recursos na rede, tais como o
nome de um servidor ou uma pasta compartilhada em um servidor.
O LDAP um padro para acesso e referncia aos objetos do Active Directory. Com base neste padro
possvel criar APIs (Application Program Interfaces) que facilitam a criao de aplicaes integradas ao Active
Directory.
Um nome LDAP formato pelo caminho completo do objeto, partindo do domnio raiz, at chegar ao objeto
referenciado. Nesta nomenclatura hierrquica so utilizados algumas abreviaturas, conforme descrito a seguir:
CN: common name: por exemplo, o nome da conta de um usurio, grupo ou computador.
OU: faz referncia a uma unidade organizacional.
DC: um componente de domnio. Normalmente o nome de um domnio.
O: Nome da organizao. Normalmente representado pelo nome do domnio Root.
C: Country: Identificao de pas. No normalmente utilizado.
Para entender como formado um nome LDAP, melhor analisarmos alguns exemplos. Considere os exemplos a
seguir:
CN=jsilva,OU=contabilidade,DC=vendas,DC=abc.com -> Este nome representa o usurio jsilva, cuja conta
est contida na unidade organizacional contabilidade, no domnio vendas.abc.com (observe que juntamos os
dois componentes de domnio).]
CN=maria,OU=auditoria,OU=financas,DC=euro,DC=vendas,DC=abc.com -> Este nome representa o usurio
maria, cuja conta est contida na unidade organizacional auditoria, a qual est contida dentro da unidade
organizacional financas do domno euro.vendas.abc.com.
Conforme j descrito anteriormente, os nomes LDAP e o protocolo LDAP so importantes para quem pretende
desenvolver aplicaes integradas com o Active Directory. Para efeitos de localizao de recursos e identificao
de objetos da rede, interessa mais o nome DNS e a nomenclatura de objetos do domnio, conforme descreverei
logo a seguir.
A nomenclatura para localizao de recursos em um servidor segue o padro UNC Universal Naming Convention.
Neste padro um recurso identificado pelo nome do servidor, separado do nome do recurso por uma barra. Considere
\\server01.vendas.abc.com\documentos
Este o caminho para uma pasta compartilhada com o nome de compartilhamento documentos, no servidor server01
do domnio vendas.abc.com. Ao invs do nome DNS do servidor tambm poderia ser utilizado o nmero IP do
\\10.10.20.5\documentos
Outro exemplo:
\\pr-server.prod.abc.com\laser01
Este o caminho para uma impressora compartilhada com o nome de compartilhamento laser01, no servidor pr-
server do domnio prod.abc.com. Ao invs do nome DNS do servidor tambm poderia ser utilizado o nmero IP do
\\10.10.30.5\laser01
Outro ponto que convm ser abordado neste momento a nomenclatura
simplificada de identificao dos usurios. Considere o exemplo a seguir:
vendas.abc.com\jsilva
Este nome faz referncia ao usurio jsilva do domnio vendas.abc.com. Outra
forma de referncia seria utilizar apenas o nome NETBIOS do domnio, ao invs
do nome DNS completo, como no exemplo a seguir:
VENDAS\jsilva
O padro NomeDoDomnio\NomeDoObjeto
NOTA: Voc utilizar nomes no
padro UNC em diversos exemplos
prticos, ao longo dos demais
captulos deste livro.
Estudo de caso 01: Exemplo de uso de Grupos Universais:
Para este primeiro estudo de caso vamos imaginar a rvore de domnios indicada
na Figura 14.8, onde todos os domnios esto no modo Windows Server 2003, o
que implica que possvel a utilizao de grupos Universais.
IMPORTANTE: Esta nomenclatura
tambm pode ser utilizada para
referencia contas locais em um Member
Server ou em uma estao de trabalho.
Por exemplo, para fazer referncia a
conta Administrador, do Member Server
srv01, voc utiliza a seguinte
nomenclatura: srv01\ Administrador.
Agora que j apresentei os aspectos
bsicos de nomeao de objetos e
recursos no Active Directory, hora
de apresentar alguns estudos de
casos, para que voc possa entender,
na prtica, os escopos de grupos (Uni-
versal, Global e Local) e como feita
a utilizao de grupos para
simplificar o processo de atribuio
de permisses de acesso aos recursos
da rede.
Figura 14.8 Uso de grupos Universais.
Neste exemplo, existe uma aplicao Web no servidor srv01.abc.com. Esta aplicao
exige que o usurio seja autenticado antes de ter acesso a aplicao. Esta exigncia
para que possa ser registrado no log do servidor, as aes realizadas por cada usurio.
Em cada domnio, apenas alguns usurios, de diferentes sees, devero ter permisso
de acesso a esta aplicao. Qual a soluo recomendada para simplificar a
administrao deste sistema de permisses de acesso?
Soluo proposta: Este um exemplo tpico para o uso de uma combinao de Grupos
Universais e Grupos Globais. Como os domnios esto no modo Windows Server
2003, possvel a criao de Grupos Universais (o que tambm seria possvel se os
domnios estivessem no modo Windows 2000 Nativo). Em cada domno voc cria
um grupo Global. aconselhvel que o nome do grupo seja descritivo do seu objetivo.
Voc adiciona os usurios que devem ter acesso a aplicao Web, como membros do
grupo Global do seu respectivo domnio. No domnio abc.com voc cria um grupo
Universal e, adiciona como membros deste grupo, o grupo global de cada domnio,
grupos estes criados anteriormente e aos quais foram adicionados os usurios que
devem ter acesso a aplicao Web. No servidor srv01.abc.com voc atribui as
permisses necessrias ao grupo Universal criado no domnio abc.com (do qual so
membros os respectivos grupos globais de cada domnio).
Ao atribuir as permisses necessrias ao grupo universal do domnio abc.com, os
grupos globais que so membros deste grupo iro herdar as mesmas permisses, as
quais sero herdadas pelos membros do grupo. Observe que o efeito de atribuir a
permisso ao grupo universal no domnio abc.com que esta permisso propaga-se
at os usurios em seus respectivos domnios.
abc.com
Dando nome aos grupos e dividindo a soluo em etapas, poderamos descrever a soluo proposta da seguinte maneira:
Criar um grupo global em cada um dos domnios, conforme sugesto a seguir:
Domnio Nome do Grupo Global
abc.com G-Glob-abc-com-AcessoWeb
vendas.abc.com G-Glob-vendas-abc-com-AcessoWeb
euro.vendas.abc.com G-Glob-euro-vendas-abc-com-AcessoWeb
asia.vendas.abc.com G-Glob-asia-vendas-abc-com-AcessoWeb
prod.abc.com G-Glob-prod-abc-com-AcessoWeb
amer.prod.abc.com G-Glob-prod-amer-abc-com-AcessoWeb
eua.prod.abc.com G-Glob-prod-eua-abc-com-AcessoWeb
Em cada domnio voc inclui os usurios que devem ter acesso aplicao
Web, ao grupo global do respectivo domnio, criado no passo anterior.
Crio um grupo Universal no domnio abc.com:
Domnio Nome do Grupo Universal
abc.com G-Univ-abc-com-AcessoWeb
Incluo os grupos globais criados na primeira etapa como membros do
grupo Universal:
Membros do grupo G-Univ-abc-com-AcessoWeb:
G-Glob-abc-com-AcessoWeb
G-Glob-vendas-abc-com-AcessoWeb
G-Glob-euro-vendas-abc-com-AcessoWeb
G-Glob-asia-vendas-abc-com-AcessoWeb
G-Glob-prod-abc-com-AcessoWeb
G-Glob-prod-amer-abc-com-AcessoWeb
G-Glob-prod-eua-abc-com-AcessoWeb
NOTA: Estas so apenas sugestes
de nomes. Eu procurei utilizar
nomes que identificassem que o
grupo do tipo Global, a qual
domnio ele pertence e qual a sua
finalidade.
Pronto, est implementada a soluo para definio das permisses de acesso a aplicao Web no servidor
srv01.abc.com. Com esta soluo, sempre que um usurio precisar de acesso aplicao Web, basta inclu-lo
no grupo global do seu respectivo domnio. Se o usurio no deve mais ter acesso aplicao, basta retir-lo
do respectivo grupo global. Observe que a administrao das permisses fica bem simplificada. uma simples
questo de incluir ou retirar o usurio de um determinado grupo.
Estudo de caso 02: Analisando o escopo de grupos em relao a membros e permisses de
acesso:
Para este estudo de caso vou continuar considerando a rvore de domnios da Figura 14.8. Vamos colocar algumas
questes para anlise:
Questo 01: Vamos supor que voc crie um grupo Global chamado AcessoFinana, no domnio vendas.abc.com.
O grupo AcessoFinana pode ter usurios e grupos de que domnio(os) como membros do grupo?
Como o grupo AcessoFinana Global e foi criado no domnio vendas.abc.com, ele somente pode conter como
membros, usurios e outros grupos globais do prprio domnio vendas.abc.com. Esta uma das caractersticas
dos grupos Globais, ou seja, somente podem conter como membros, usurios e outros grupos globais do seu
prprio domnio.
Em qual ou quais domnios o grupo AcessoFinana pode receber permisses de acesso?
Um grupo Global pode receber permisses de acesso a recursos em qualquer domnio na rvore de domnios.
Normalmente para atribuir permisses a um grupo Global, em outro domnio, basta colocar o grupo Global como
membro de um grupo Local do domnio de destino (onde est localizado o recurso) e atribuir permisso para o
grupo Local. Este o procedimento recomendado pela Microsoft. Por exemplo, vamos supor que o grupo global
AcessoFinana, do domnio vendas.abc.com, precise de acesso a uma pasta compartilhada em um servidor do
domnio prod.abc.com. O processo recomendado pela Microsoft incluir o grupo global AcessoFinana, do
domnio vendas.abc.com, como membro de um grupo local do domnio prod.abc.com e atribuir as permisses
necessrias para este grupo local. Com isso o grupo global herda as permisses e todos os usurios do grupo
Global tambm herdam as permisses.
Questo 02: Vamos supor que voc crie um grupo Local chamado UsuriosMemo, no domnio vendas.abc.com.
O grupo UsuriosMemo pode ter usurios e grupos de que domnio(os) como membros do grupo?
Como o grupo UsuriosMemo Local, ele pode ter como membros, usurios e grupos do seu prprio domnio e
tambm usurios e grupos de outros domnios. Por exemplo, posso incluir um grupo global do domnio
prod.abc.com, como membro de um grupo local do domnio vendas.abc.com.
Em qual ou quais domnios o grupo UsuriosMemo pode receber permisses de acesso?
Como o grupo Local ele somente pode receber permisses de acesso a recursos localizados em servidores do
seu prprio domnio, ou seja, a recursos localizados em servidores do domnio vendas.abc.com, onde o grupo
UsuriosMemo foi criado.
Questo 03: Vamos supor que voc crie um grupo Universal chamado AcessoWeb, no domnio abc.com. Considere os
itens a seguir:
O grupo AcessoWeb pode ter usurios e grupos de que domnio(os) como membros do grupo?
De qualquer domnio, pois ele um grupo Universal.
Em qual ou quais domnios o grupo Acesso Web pode receber permisses de acesso?
Em qualquer domnio, pois ele um grupo Universal.
Agora chegado o momento de analisar mais alguns elementos que formam a infra-estrutura que permite o
funcionamento do Active Directory. Vou falar um pouco mais sobre Unidades organizacionais. Na seqncia falarei
sobre Relaes de confiana e florestas.
Entendendo as Unidades organizacionais.
O conceito de Unidade organizacional foi introduzido no Windows 2000 Server, juntamente com o Active Directory
e veio para solucionar um problema srio de Administrao existente no Windows NT Server 4.0.
usurio. Imagine uma empresa que tem uma rede, com filiais em todos os estados brasileiros. Por questes de
simplicidade vamos supor que a rede composta de seis domnios, sendo que em cada domnio esto as filiais de 4 ou
mais estados. Vamos supor que um dos domnios seja composto pelas redes das filiais do RS, SC, PR e SP. Com o NT
da filial do RS. Uma vez que voc atribua permisses de Administrador, o usurio teria estas permisses em todos os
recursos do domnio. No nosso exemplo, o usurio seria Administrador nos servidores das filiais do RS, SC, PR e SP,
ou seja, em todos os servidores do domnio.
cada unidade organizacional, as contas de usurios e computadores, de acordo com critrios geogrficos ou funcionais.
Em seguida voc pode delegar tarefas administrativas a nvel de Unidade organizacional (OU Organizational Unit).
Vamos considerar o exemplo anterior, onde tnhamos um domnio formado pelas redes das filiais do RS, SC, PR e SP.
Neste exemplo, o Administrador do domnio poderia criar quatro unidades organizacionais:
RS
SC
PR
SP
Figura 14.9 Diviso de um domnio em OUs.
Domnio formado pelas redes dos escritrios do RS, SC, PR e SP
regiao-01.abc.com.br
regiao-01.abc.com/RS
OU = RS
regiao-01.abc.com/SC
OU = SC
regiao-01.abc.com/PR
OU = PR
Diviso do domnio em Unidades Organizacionais (OU). Com isso possvel definir permisses
administrativas a nvel de OU, o que facilita a descentralizao das tarefas administrativas.
Em seguida ele move as contas de usurios e computadores e contas de grupos para as respectivas OUs. O ltimo
passo atribuir permisses de administrao em cada OU. Por exemplo, para o Administrador da filial do RS, seriam
delegadas permisses de administrao na OU RS, para o Administrador da filial de SC, seriam delegadas permisses
de administrao na OU SC e assim por diante. O diagrama da Figura 14.9 ilustra a diviso de um domnio em OUs.
No diagrama est representada a diviso do domnio regiao-01.abc.com.br em OUs. Dentro de uma OU possvel
criar outras OUs. Por exemplo, dentro da Unidade Organizacional RS, o administrador poderia criar outras unidades
organizacionais, tais como: Usurios,Grupos e Computadores. Em seguida, todas as contas de usurios da filial do
RS, seriam deslocadas para a OU Usurios, dentro da OU RS; todas as contas dos computadores da filial do RS seriam
deslocadas para a OU Computadores, dentro da OU RS e asism por diante.
Observem que, basicamente, a utilizao de OUs facilita a descentralizao das tarefas administrativas, atravs da
delegao de tarefas para pores especficas de um domnio. A utilizao de OUs tambm desempenha um papel
importante no gerenciamento das polticas de segurana, atravs do uso de Group Polices Objects (GPOs). Para um
estudo completo de GPOs, consulte o Captulo 18 do livro Windows Server 2003 Curso Completo, 1568 pginas.
Relaes de confiana e florestas.
atravs do uso de relaes de confiana entre domnios, que possvel que um usurio de um domnio possa fazer
o logon com sua conta de usurio e senha, mesmo utilizando um computador de um outro domnio. Por exemplo, o
usurio jsilva est cadastrado no domnio A e viaja para a filial da empresa, a qual pertence ao domnio B. O usurio
jsilva est utilizando um computador que faz parte do domnio B. Durante o processo de logon ele informa o seu nome
de usurio, senha e seleciona o domnio no qual ele quer fazer o logon (no exemplo o domnio A) e consegue fazer o
logon normalmente.
Como foi possvel ao domnio B (mais especificamente a um DC do domnio B), verificar as credenciais do usurio
(logon e senha) e permitir o logon? Isso foi possvel graas ao mecanismo de relaes de confiana existente no
Windows Server 2003, o qual muito semelhante ao que existe no Windows 2000 Server, porm completamente
diferente do que acontecia no Windows NT Server 4.0. Neste item apresentarei em mais detalhes, o mecanismo de
relaes de confiana entre domnios no Windows Server 2003.
Como eram as relaes de confiana na poca do NT Server 4.0?
As relaes de confiana no NT Server 4.0 so definidas por trs caractersticas principais:
So unilaterais: Se o domnio A confia no domnio B, isso no significa que o domnio B confia no domnio
A automaticamente. Para que haja essa confiana recproca preciso criar duas relaes de confiana: uma
para definir que o domnio A confia no domnio B e outra para definir que o domnio B confia no domnio A.
A Figura 14.10, da ajuda do Windows Server 2003, ilustra este conceito:
Neste exemplo do Dom A confia no Dom B. Isso significa que as contas do Dom B so visveis no Dom A, ou seja,
possvel atribuir permisses de acesso para as contas do Dom B, em recursos do Dom A. O contrrio no verdadeiro,
ou seja, no possvel atribuir permisses de acesso para as contas do Dom A, em recursos do domnio B. Para que
isso fosse possvel teria que ser criada mais uma relao de confiana, agora com o Dom B confiando nas contas do
Dom A. Isso tudo acontece porque as relaes de confiana no NT Server 4.0 so unilaterais.
Figura 14.10 Relao de confiana unilateral.
No so transitivas: Se o Dom A confia no Dom B e o Dom B confia no domnio C, isso no implica que o
Dom A tambm confia no Dom C. Para que o Dom A confie no Dom C, uma relao de confiana entre os
dois domnios tem que ser manualmente criada pelo Administrador.
Devem ser criadas manualmente pelos Administradores: As relaes de confiana no so criadas
automaticamente e devem ser criadas pelos Administradores de cada domnio. O processo bem trabalhoso.
Para que o Dom A possa confiar no Dom B, primeiro o Administrador do Dom B tem que fazer uma configurao
dizendo que ele aceita que o Dom A confie no Dom B. O prximo passo o Administrador do Dom A
estabelecer a relao de confiana com o Dom B. Para que o Dom B tambm possa confiar no Dom A, todo o
processo (s que na direo inversa) tem que ser repetido.
Para uma rede com 10 domnios, para que todos possam confiar em todos os outros, so necessrias 90 relaes de
confiana. O nmero de relaes de confiana, com base no nmero de domnios, pode ser calculada pela frmula a
seguir:
n*(n-1)
onde n o nmero de domnios.
Para 10 domnios teremos:
10*(10-1)
10*9
90
A Figura 14.11, obtida do Resource Kit do Windows 2000 Server, mostra como seria uma rvore de domnios no NT
Server 4.0, onde foram implementadas relaes de confianas entre todos os domnios:
Figura 14.11 Relaes de confiana unidirecionais, no transitivas do NT Server 4.0.
E como so as relaes de confiana no Windows Server 2003?
No Windows Server 2003 (bem como no Windows 2000 Server) as relaes de confiana so criadas automaticamente
entre os domnios de uma rvore de domnios. As relaes so bi-direcionais, ou seja, se o Dom A confia no Dom A,
isso significa que o Dom B tambm confia no Dom A. As relaes de confiana so transitivas, ou seja se o Dom A
confia no Dom B, o qual confia no Dom C, ento o dom A tambm confia no Dom C e vice-versa. A Figura 14.12
ilustra as relaes de confiana no Windows Server 2003.
Figura 14.12 Relaes de confiana bi-direcionais e transitivas do Windows Server 2003.
As relaes de confiana criadas automaticamente, entre os domnios de uma rvore no Windows Server 2003,
apresentam as caractersticas descritas anteriormente: Automaticamente criadas, bi-direcionais e transitivas.
Porm existem situaes em que pode ser necessria a criao de outros tipos de relaes de confiana. Por exemplo,
pode ser necessria a criao de uma relao de confiana entre um dos domnios da sua rede, com um domnio
baseado no Windows NT Server da rede de um fornecedor ou parceiro de negcio. Ou pode ser necessria a criao de
uma relao de confiana entre um domnio da sua rede (baseado no Windows Server 2003) com um domnio da rede
de outra empresa, tambm baseado no Windows Server 2003. Neste caso voc teria que criar uma relao de confiana
com um domnio em outra rvore de domnios. A seguir vou analisar e exemplificar os tipos de relaes de confiana
que existem.
Tipos padro de relaes de confiana:
Existem dois tipos padro de relao de confiana, conforme descrito a seguir:
Transitiva bi-direcional entre um Domnio pai e um Domnio filho: Quando o Administrador cria um domnio
filho, uma relao de confiana bi-direcional e transitiva criada, automaticamente, pelo assistente de instalao
do Active Directory. Por exemplo, se voc tem um domnio root chamado abc.com e cria um domnio filho
chamado vendas.abc.com, o assistente de instalao do Active Directory, automaticamente cria durante a
criao do domnio vendas.abc.com, uma relao de confiana bi-direcional e transitiva entre os dominios
abc.com e vendas.abc.com.
Transitiva bi-direcional entre uma rvore de domnios e o domnio root de uma floresta: Voc pode juntar
vrias rvores de domnios para formar um floresta. Este tipo de relao de confiana automaticamente
criado, quando voc cria um novo domnio em uma floresta j existente. A relao estabelecida.
Existem outros tipos padro de relao de confiana, conforme descrito a seguir:
Externa, no transitiva, unidirecional ou bi-direcional: Este tipo de relacionamento criado com um domnio externo,
baseado no Windows NT Server 4.0 ou com um domnio baseado no Windows Server 2003 ou Windows 2000 Server,
localizado em outra floresta. Se o domnio for baseado no NT Server 4.0 a relao ser unidirecional, caso contrrio
ser bi-direcional.
O exemplo da Figura 4.13 ilustra bem as situaes onde pode ser criada uma relao de confiana deste tipo.
Realm, transitiva ou no transitiva, unidirecional ou bi-direcional: Este tipo de relao criado entre um
domnio baseado no Windows Server 2003 e outros domnios, tambm baseados no protocolo Kerberos, como
por exemplo o UNIX. O protocolo Kerberos um padro de fato que fornece, dentre outros, servios de
autenticao em um domnio do Windows 2000 Server ou Windows Server 2003. Outros sistemas operacionais
tambm utilizam o Kerberos. Este tipo de relacionamento poderia ser utilizado, por exemplo, para que as
contas de um domnio baseado no UNIX, pudessem receber permisses de acesso em recursos de um domnio
baseado no Windows Server 2003.
Entre florestas, transitiva, unidirecional ou bi-direcional: Este tipo de relacionamento criado entre os domnios
root de duas florestas. Pode ser do tipo unidirecional ou bi-direcional Se for do tipo bi-direcional, os usurios de
uma floresta podem acessar recursos nos domnios da outra floresta e vice-versa. Um exemplo prtico de uso
deste tipo de relao de confiana seria quando feita a fusod e duas empresas e voc precisa permitir que os
usurios de uma empresa possam acessar recursos nos servidores da rede da outra empresa e vice-versa.
Figura 4.13 Relaes de confiana externas unidirecional ou bi-direcional.
Shortcut, transitiva, unidirecional ou bi-direcional: Este tipo de relao de confiana utilizado para melhorar
o tempo de logon entre dois domnios, em uma floresta. Considere o exemplo da Figura 4.14:
Figura 414 Relaes de confiana do tipo Shortcut (atalho).
Neste exemplo foram criadas trs relaes de confiana do tipo Shortcuot:
Entre os domnios B e D.
Entre os domnios A e 1.
Entre os domnios D e 2.
O principal objetivo deste tipo de relao de confiana otimizar os tempos de logon. No exemplo da Figura 2.13, vou
analisar o que acontece quando um usurio do Dom B precisa acessar um recurso no Dom D. O primeiro passo
autenticar o usurio. Se no houver a relao do tipo Shortcut entre B e D, o Windows Server 2003 precisa percorrer
o caminho de relaes de confiana na rvore (De B para A e da A para D), para poder autenticar o usuro do domnio
D. J com a relao do tipo shortcut entre B e D, existe um caminho direto entre estes dois domnios, o que diminui o
tempo de logon/autenticao. Quanto mais afastados (quanto maior o caminho e o nmero de relaes de confiana a
ser percorrido), mais ser reduzido o tempo de logon entre os domnios, se o Administrador criar uma relao de
confiana do tipo Shortcut.
Servidores de Catlogo Global (Global Catalogs)
Pelo que foi visto at aqui, possvel perceber que o Active Directory no Win-
dows Server 2003 bastante flexvel, permitindo que usurios de um domnio
acessem recursos em servidores de outro domnio ou at mesmo outra floresta,
sem ter que entrar novamente com o seu login e senha. Para que isso seja possvel,
o Active Directory mantm uma base com algumas informaes sobre objetos de
todos os domnios. Esta base de informaes mantidas em Controladores de
Domnio (DCs), configurados para atuar como Servidores de Catlogo Global
(Global Catalog Servers). Nem todo DC um Global Catalog, mas para ser Glo-
bal Catalog tem que ser um DC, no pode ser um Member Server. Neste item vou
apresentar informaes detalhadas sobre os Servidores de Catlogo Global.
IMPORTANTE: S faz sentido criar
este tipo de relao de confiana,
se for comum usurios de um
domnio acessarem recursos do
outro domnio e se o tempo de logon
estiver apresentando tempos muito
elevados.
Figura 4.15 Informaes armazenadas em um Servidor de Catlogo Global.
Um Servidor de Catlogo Global armazena uma cpia de todos os objetos do Active Directory, de todos os domnios
em uma ou mais rvores de domnios de uma floresta. No Servidor de Catlogo Global fica uma cpia completa de
todos os objetos do prprio domnio do servidor e uma cpia parcial de todos os objetos dos demais domnios. Esta
estrutura indicada na Figura 14.15:
Observe que um servidor que DC mas no est configurado como Servidor de Catlogo Global, contm uma cpia
completa de todos os objetos do seu domnio, mas no tem cpia de objetos de outros domnios. J um DC habilitado
como Servidor de Catlogo Global, tem, alm da cpia completa dos objetos do seu prprio domnio, cpias parciais
de todos os objetos dos demais domnios. Quando se fala em cpias parciais, significa que o Servidor de Catlogo
Global mantm cpia de todos os objetos, mas no de todos os atributos de um objeto de outro domnio. Por exemplo,
o Servidor de Catlogo Global tem cpia de todos os usurios de outros domnios, mas para cada usurio apenas
alguns atributos (nome, senha, etc) so armazenados no Catlogo Global e no todos os atributos.
Os atributos de cada objeto que so copiados para o Catlogo Global so aqueles atributos mais utilizados para a
realizao de pesquisas no Active Directory. Por exemplo nome do usurio, nome de compartilhamento e tipo da
impressora e assim por diante. A definio de quais atributos so armazenados no Catlogo Global e quais no so
feita no Schema. Conforme mostrarei mais adiante o Schema como se fosse (na prtica eu considero que ) a
definio da estrutura do banco de dados do Active Directory. Falarei mais sobre Schema no prximo item.
Ao armazenar os atributos mais utilizados no Catlogo Global, o Windows Server 2003 aumenta o desempenho das
pesquisa no Active Directory. Se no houvesse um Catlogo Global, as pesquisas teriam que percorrer todo o caminho
da rede, da origem, at encontrar um servidor (um DC) no domnio de destino e os resultados percorrer o caminho
inverso. Em redes maiores, com mais domnios, isso representaria um srio problema de desempenho, alm de gerar
um excessivo trfego de rede. Evidentemente que a manuteno do Catlogo Global atualizado em todos os Servidor
de Catlogo Global, gera trfego de replicao, mas o resultado final um ganho de performance e reduo do trfego
de rede, em comparao se no existisse o Catlogo Global.
Quando um domnio criado, com a instalao do primeiro DC do domnio, este DC automaticamente configurado
com Servidor de Catlogo Global. Os prximos DCs do domnio no sero automaticamente configurados como
Servidor de Catlogo Global, mas voc poder configur-los posteriormente.
Principais funes desempenhadas por um Servidor de Catlogo Global:
Um Servidor de Catlogo Global desempenha importantes funes, dentre as quais podemos destacar as indicadas a
seguir:
Pesquisa de objetos no Active Directory: Com o uso de Servidor de Catlogo Global, o usurio capaz de
pesquisar objetos em todos os domnios de uma floresta. A velocidade das pesquisas melhora bastante, uma
vez que a pesquisa feita no Servidor de Catlogo Global mais prximo do usurio, no seu prprio domnio e
no no servidor de destino ou no caso de uma pesquisa genrica (por exemplo, pesquisar silva no campo
Sobrenome dos objetos usurios) em todos os servidores de todos os domnios.
Fornece autenticao para nomes de usurios de outro domnio:O Catlogo Global utilizado para a resoluo de
nomes de usurios (ou de outros objetos do Active Directory), quendo o DC que autenticou o usurio no tem
informaes sobre a referida conta. Por exemplo, se o usurio jsilva do domnio vendas.abc.com precisa fazer o
logon como jsilva@vendas.abc.com em um computador pertencente ao domnio prod.abc.com, o DC do domnio
prod.abc.com no ser capaz de localizar o usurio jsilva@vendas.abc.com (pois o DC do domnio prod.abc.com
tem informaes somente sobre os usurios do seu prprio domnio e no dos demais domnios. Estas informaes
esto nos Servidores de Catlogo Global). O DC no domnio prod.abc.com ir contatar um Servidor de Catlogo
Global para poder completar o processo de logon do usurio jsilva@abc.com, com sucesso.
IMPORTANTE: Se no estiver
disponvel um Servidor de Catlogo
Global, o computador no qual o
usurio fez o logon ir utilizar as
informaes armazenadas no cache
do computador, caso o usurio j
tenha feito um logon anterior neste
computador. Se for o primeiro logon
do usurio neste computador e no
estiver disponvel um Servidor de
Catlogo Global, o usurio no
conseguir fazer o logon no
domnio. Ele conseguir fazer o
logon apenas localmente no
computador, usando uma das contas
locais ao invs de uma conta do
domnio.
IMPORTANTE: Quando a rede
formada por um nico domnio, no
necessrio que os usurio
obtenham informaes sobre os
grupos Universais durante o logon,
a partir de um Servidor de Catlogo
Global. Isso acontece porque
quando existe um nico domnio, o
Active Directory capaz de detectar
que no existem outros domnios e
que no necessria uma pesquisa
no Catlogo Global (uma vez que a
pesquisa pode ser feita no prprio
DC que est autenticando o usurio)
Disponibiliza informaes sobre os membros dos grupos universais, em
um ambiente com mltiplos domnios: As informaes sobre os membros
dos grupos locais so armazenadas apenas no domnio onde o grupo
criado. Por isso que um grupo local somente pode receber permisses de
acesso aos recursos do domnio onde o grupo foi criado. J as informaes
sobre os membros dos grupos Universais so armazenadas somente nos
Servidor de Catlogo Global. Por isso que recomenda-se que sejam
inseridos como membros dos grupos Universais, apenas outros grupos e
no usurios individualmente. Se forem inseridos usurios
individualmente, cada vez que um usurio for adicionado ou excludo de
um grupo universal, todas as informaes do grupo Universal sero
replicadas entre todos os Servidor de Catlogo Global da floresta. Por
exemplo, quando um usurio que pertence a um grupo universal faz o
logon em um domnio configurado para o modo Windows 2000 Nativo
ou Windows Server 2003, o Catlogo Global fornece informaes sobre a
quais grupos universais a conta do usurio pertence.
Existe uma exceo esta regra, que quando a conta do usurio pertence ao
grupo Administradores do Domnio (Domain Admins). Neste caso, o usurio
conseguir fazer o logon, mesmo que um Servidor de Catlogo Global no esteja
disponvel e mesmo que seja o seu primeiro logon no computador.
Validao de referncias a objetos em uma floresta: O Catlogo Global
utilizado pelos DCs para validar referncias a objetos de outros domnios
de uma floresta. Quando um DC trata com um objeto onde um dos seus
atributos contm referncias a um objeto em outro domnio, esta referncia
validada pelo Catlogo Global. Mais uma vez importante salientar o
papel dos Servidores de Catlogo Global em melhorar o desempenho do
Active Directory. Nesta situao, se no existisse o Catlogo Global, a
validao da referncia ao objeto teria que ser feito por um DC do domnio
do objeto referenciado. S nestas situaes (muito comuns na utilizao
diria da rede), imagine quanto trfego de validao seria gerado atravs
dos links de WAN da rede. Sem contar tambm a demora adicional at
que a validao fosse feita atravs da rede, no domnio de destino e a
resposta retornasse.
Replicao de informaes entre os Servidor de
Catlogo Global:
Conforme descrito anteriormente, o Catlogo Global contm informaes
completas sobre todos os objetos do seu domnio e informaes parciais sobre
todos os objetos dos demais domnios. Alteraes so efetuadas diariamente em
diversos objetos da rede. Por exemplo, usurios so renomeados, novos grupos
criados, usurios so adicionados ou retirados de grupos e assim por diante.
Todas estas alteraes tem que ser replicadas entro os vrios Servidores de Catlogo
Global de todos os domnios, para que estes estejam sempre atualizados. A estrutura
de replicao do Catlogo Global criada e gerenciada automaticamente por um processo do Active Directory, conhecido
como Knowledge Consistency Checker (KCC). O KCC responsvel por determinar a melhor topologia de replicao
do Global Catalog, de tal maneira que a rede no seja sobrecarregada com trfego excessivo devido replicao.
Algumas consideraes devem ser feitas em relao a replicao dos grupos Universais. Os grupos Universais e
informaes sobre os seus membros esto contidas somente no Catlogo Global, conforme descrito anteriormente.
Grupos Globais e Locais so tambm listados no Catlogo Global, porm no Catlogo Global no so armazenadas
informaes sobre os membros dos grupos Globais e Locais. Com isso o tamanho do Catlogo Global reduzido,
bem como o trfego de replicao associado com a atualizao do Catlogo Global. Para recursos e objetos que
sofrero alteraes constantes, aconselhvel que voc utilize grupos Globais e Locais para a definio de permisses,
pois com isso voc reduzir o trfego de replicao, comparativamente se voc utilizasse grupos Universais. Como as
informaes sobre os membros dos grupos Universais so armazenadas no Catlogo Global, sempre que houver uma
alterao na lista de membros de um grupo Universal, ser necessrio replicar esta informao para todos os Servidores
de Catlogo Global de todos os domnios. Isso justifica a recomendao feita anteriormente, de somente adicionar
grupos como membros de grupos Universais e no usurios.
O Schema do Active Directory.
No Schema, uma classe de objetos representa uma categoria de objetos do Active Directory, como por exemplo contas
de usurios, contas de computadores, impressoras ou pastas compartilhadas publicadas no Active Directory e assim
por diante. Na definio de cada classe de objetos do Active Directory, est contida uma lista de atributos que podem
ser utilizadas para descrever um objeto da referida classe. Por exemplo, um objeto usurio contm atributos de nome,
senha, validade da conta, descrio, etc. Quando um novo usurio criado no Active Directory, o usurio torna-se uma
nova instncia da classe User do Schema e as informaes que voc digita sobre o usurio, tornam-se instncias dos
atributos definidos na classe user.
Cache do Schema.
Nveis de funcionalidade de um domnio.
comum a rede da empresa conviver com diferentes verses do Windows. Isso aconteceu na migrao do NT
Server 4.0 para o Windows 2000 Server, onde durante um bom tempo ainda existiam (na prtica sabemos que ainda
existem) servidores com o NT Server 4.0 em utilizao na rede.
funcionalidade, com base nos tipos de DCs instalados na rede. Neste tpico vou descrever os nveis de funcionalidade
disponveis e as diferentes funcionalidades que esto disponveis em cada nvel de funcionalidade.
2000 Server.
Existem quatro nveis de funcionalidade no Windows Server 2003: Windows 2000 mixed, Windows 2000 native,
Windows Server 2003 interim, and Windows Server 2003.
da floresta disponveis: Windows 2000, Windows Server 2003 interim, and Windows Server 2003. Por padro
selecionado o nvel Windows 2000. Muitas das novidades do Windows Server 2003 em relao ao Active Directory
somente esto disponveis nos nveis mais avanados: Windows Server 2003 interim ou Windows Server 2003.
A seguir descrevo quais as verses do Windows que podem ser utilizadas nos DCs, para cada um dos modos de
funcionalidade de domnio:
Server 2003. Neste nvel de funcionalidade no possvel a utilizao de grupos Universais.
Windows 2000 native: Suporta DCs com o Windows 2000 Server ou com o Windows 2003 Server. Neste nvel
de funcionalidade so suportados grupos Universais.
Windows Server 2003: Somente DCs com o Windows Server 2003. Este o nvel onde esto disponveis todos
os recursos e novidades do Active Directory.
Muito bem, j vimos um bocado de teoria sobre o Active Directory. Nos prximos
tpicos voc aprender a instalar o Active Directory, transformando um Member
Server em DC e tambm aprender sobre as modificaes introduzidas pela
instalao do Active Directory.
Preparao para a instalao do Active Directory.
Para que o Active Directory possa ser instalado, transformando um Member Server
em Controlador de Domnio, dois pr-requisitos bsicos devem ser atendidos:
Um volume formatado com NTFS
Um servidor DNS padro Windows 2000 Server ou Superior
O volume NTFS necessrio para gravar os arquivos da base de dados do Active
Directory. Se no houver um volume com NTFS, o assistente de instalao do
Active Directory ser cancelado. Coloco esta recomendao apenas para deixar
registrada esta exigncia, mas muito pouco provvel que algum utilize FAT ou
FAT 32 em parties de um servidor. No Captulo 5 falarei sobre as diferenas
entre os sistemas de arquivo FAT/FAT 32 e NTFS. Voc ver que, principalmente,
em relao a segurana, a nica escolha recomendada NTFS.
Modificaes feitas com a instalao do Active
Directory.
A primeira e mais bvia modificao o fato do servidor ter sido promovido de
Member Server para Controlador de Domnio (Domain Controler -DC). Tambm
foram criadas as pastas NTDS e SYSVOL, dentro da pasta onde o Windows Server
2003 est instalado. Na pasta NTDS so gravados os arquivos com a base de
dados do Active Directory e com o log de transaes desta base de dados. Na
Figura 14.16 esto indicados os arquivos que so criados na pasta NTDS:
altera de um modo de
funcionalidade para o outro, no
ser mais possvel criar DCs com
verses no suportadas do Win-
dows. Por exemplo, quando voc
passa do modo Windows 2000
mixed para o modo Windows 2000
Native, no ser mais possvel
inserir DCs com o NT Server 4.0 e
nem ser voltar para o nvel de
funcionalidade anterior.
Figura 14.16 A pasta NTDS.
Tambm criada a pasta SYSVOL e, dentro desta pasta, uma estrutura de outras pastas que do suporte a uma srie de
atividades do Active Directory, tais como scripts de logon, aplicaes de Poltcias de segurana e assim por diante.
Alm destas alteraes, novas ferramentas de administrao so instaladas. Estas novas ferramentas esto disponveis
no menu Ferramentas Administrativas, do menu Iniciar. A seguir descrevo, brevemente, as novas ferramenas
administrativas que so instaladas quando o Active Directory instalado:
Domnios e relaes de confiana do Active Directory: Este console utilizado para o gerenciamento das
relaes de confiana entre os domnios (relaes que so criadas explicitamente pelo Administrador e no as
relaes de confiana criadas automaticamente pelo Windows Server 2003), para configurar o nvel de
funcionalidade do domnio (conforme descreverei mais adiante) e para gerenciar o sufixo que utilizado pelas
contas dos usurios. Por exemplo, o usurio jsilva, do domnio abc.com, pode fazer o logon como usurio
jsilva@abc.com. Onde abc.com o sufixo deste usurio.
Servios e sites do Active Directory: Este console utilizado para gerenciar a replicao de dados do Active
Directory. Com este console voc cria sites e links entre sites, para implementar uma poltica de replicao
otimizada.
Usurios e computadores do Active Directory: Este um dos consoles mais utilizados pelo Administrador.
Com este console possvel gerenciar contas de usurios e grupos de usurios, criar unidades organizacionais
e mover usurios e grupos para dentro de uma unidade organizacional. Utilizaremos bastante este console no
Captulo 4 e nos demais captulos do livro.
Diretiva de segurana do controlador de domnio: Este console utilizado para administrar as polticas de
segurana que sero aplicadas ao controlador de domnio com o qual o console est conectado, normalmente
o servidor local. As polticas definidas com este console no tero efeito em todo o domnio, mas somente no
servidor onde foram configuradas.
NOTA: Para um estudo completo sobre GPOs, consulte o Captulo 18 do livro Windows Server 2003 Curso Completo, 1568
pginas, de minha autoria, publicado pela Axcel Books.
Diretiva de segurana do domnio: Este console utilizado para configurar as polticas de segurana que sero
aplicados em todos os servidores e estaes de trabalho do domnio.
No exemplo do item anterior, quando deixamos a cargo do assistente a instalao do DNS, foi instalado e configurado
o DNS no prprio DC. Com isso mais uma modificao foi feita (a instalao do DNS) e mais um console est
disponvel, que o console de administrao do DNS: Inicar -> Ferramentas Administrativas -> DNS.
Neste exemplo foi criada uma zona direta no DNS, com o mesmo nome do domnio, ou seja: abc.com, conforme
indicado na Figura 14.17. Este fato ressalta bem a dependncia entre o DNS e o Active Directory. O nome do domnio
tambm o nome da zona DNS direta.
Figura 14.17 A zona DNS direta abc.com.
Outras mudanas, menos visveis tambm so feitas com a instalao do Active
Directory. Novos contadores so disponibilizados no console de monitorao de
desempenho (Captulo 11), uma nova opo adicionada no menu de inicializao
avanada (Captulo 12) e assim por diante.
Dicas de sites com mais material de estudo sobre
o Active Directory:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/col-
umns/profwin/pw0503.asp
http://www.microsoft.com/windowsserver2003/techinfo/overview/
adam.mspx
http://www.microsoft.com/windowsserver2003/evaluation/whyupgrade/
nt4/nt4domtoad.mspx
http://www.microsoft.com/windowsserver2003/techinfo/overview/
activedirectory.mspx
NOTA: No Captulo 16 do livro Win-
dows Server 2003 Curso
Completo, 1568 pginas voc
aprende todos os detalhes sobre o
DNS, sobre zonas diretas e inversas.
Estes tpicos no so abordados
neste livro, pois no fazem parte
do programa oficial do Exame 70-
290.
http://www.microsoft.com/windowsserver2003/evaluation/overview/technologies/activedirectory.mspx
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/columns/profwin/pw0303.asp
http://support.microsoft.com/default.aspx?scid=kb;en-us;325363
Administrao de contas de usurios e grupos do Active Directory.
Neste tpico do resumo, voc ir revisar os seguintes conceitos:
Ferramentas para executar outras tarefas no Active Directory.
Quando voc trabalha na rede da empresa, o Windows Server 2003 precisa de uma maneira para poder identificar
quem o usurio logado e quais aes ele est realizando. O Windows Server 2003 tambm precisa identificar cada
usurio para liberar ou no o acesso a recursos protegidos por permisses de acesso. Por exemplo, suponha que voc
tem uma pasta compartilhada chamada Docs, no servidor SRV01. Nesta pasta o Administrador configurou as permisses
de acesso, de tal maneira que somente o usurio Jos da Silva, logon jsilva, possa acessar esta pasta. O Windows
Server 2003 precisa saber quem o usurio que est tentando acessar a pasta. Se for o Jos da Silva, o Windows
Server 2003 libera o acesso, caso contrrio o acesso negado.
O Windows Server 2003 identifica cada usurio pelas informaes de logon nome e senha. Quem informaes so
essas? Um nome com o qual o usurio foi cadastrado na rede e a respectiva senha. Por exemplo, o nosso usurio Jos
da Silva poderia ser cadastrado como jsilva, j a Maria Aparecida poderia ser cadastrada como mariaap, e assim por
diante. Ou seja, o primeiro passo para que um usurio possa ter acesso aos recursos da rede cadastrar o usurio.
Cadastrar o usurio significa criar uma conta de usurio e um senha no Active Directory. Na primeira parte deste
tpico voc revisar os conceitos sobre contas de usurios. Inicialmente apresentarei alguns detalhes tericos sobre
contas de usurio e aps a teoria, mostrarei a parte prtica, ou seja, como criar e administrar contas de usurios.
Uma vez entendido o conceito de usurios, voc aprender sobre grupos de usurios. Mostarei que existem diferentes
tipos de grupo e com diferentes escopos de utilizao. No Captulo 2 fiz uma discusso terica (de fundamental
importncia para a eficiente administrao das permisses de acesso aos recursos) sobre as estratgias de utilizao
de grupos de usurios, para atribuio de permisses aos recursos da rede: pastas e impressoras compartilhadas,
aplicativos Web, bancos de dados e assim por diante. Neste captulo voc aprender a parte prtica de criao de
grupos. No Captulo 6 voc aprendeu a implementar, na prtica, a estratgia explicada no Captulo 2.
Entendidos os conceitos de contas de usurios e grupos de usurios, hora de
revisar mais alguns itens sobre unidades organizacionais. Vou mostrar o que
uma Unidade organizacional, como ela difere de um domnio, quando usar
Unidades Organizacionais e quando utilizar domnios. Tambm mostrarei a parte
prtica de criao e administrao de Unidades Organizacionais, bem como
operaes de mover contas de usurios e grupos de uma unidade organizacional
para outra.
Contas de usurios
IMPORTANTE: O tpico sobre
permisses NTFS, permisses de
compartilhamento e atribuio de
permisses usando grupos de fun-
damental importncia para o
exame. Voc deve conhecer estes
tpicos, em detalhes.
Quando voc trabalha em uma rede de computadores, segurana um dos itens de maior importncia. O Administrador
deve ser capaz de permitir que cada usurio somente tenha acesso aos recursos sejam eles arquivos, impressoras ou
servios os quais sejam necessrios para a realizao do seu trabalho. Por exemplo, um usurio que trabalha no
departamento de bagagem no deve ser capaz de acessar informaes sobre salrios contidas nos arquivos de um
Computador do departamento de Recursos Humanos.
No Captulo 1 voc aprendeu sobre redes de computadores e os diferentes papis que o Windows Server 2003 pode
desempenhar em uma rede. Mostrei que, em uma configurao tpica, o Windows Server 2003 pode estar configurado
como um servidor de arquivos, onde existem pastas compartilhadas que os usurios acessam atravs da rede.
No Captulo 2 voc aprendeu sobre o conceito de Domnio. Quando voc cria um domnio, os servidores e tambm as
estaes de trabalho dos usurios, devem ser configuradas para fazer parte do domnio. Quando um usurio liga a sua
estao de trabalho (quer ele esteja configurada com o Windows 95/98/Me, 2000, NT Workstation ou XP Profes-
sional), o Windows inicializado e em seguida apresentada a tela de logon no domnio, conforme indicado na Figura
14.18, onde temos o exemplo do usurio jsilva fazendo o logon no domnio ABC.
Figura 14.18 A tela de logon no domnio.
As informaes sobre as contas de usurios e grupos ficam gravadas na base de dados do Active Directory, nos
servidores configurados como DCs do domnio. Quando o usurio liga a sua estao de trabalho e digita o seu nome
de usurio e senha, estas informaes so repassadas para um DC do domnio, onde as informaes so verificadas.
Se o nome de usurio existir, a senha estiver correta e a conta do usurio no estiver bloqueada, o logon ser liberado
e a rea de trabalho do Windows ser carregada. Uma vez que o usurio fez o logon no domnio, ele passou a estar
identificado, ou seja, todas as aes que o usurio executar estaro associadas com a sua conta de usurio. Por exemplo,
se o usurio jsilva fizer o logon no domnio ABC e tentar acessar um arquivo para o qual ele no tem permisso, ficar
registrado nos logs de auditoria do servidor as seguintes informaes (isso se o administrador configurou a auditoria
de acesso a pastas e arquivos, conforme mostrarei no Captulo 10):
Identificao do usurio no exemplo jsilva.
Data e hora da tentativa de acesso.
Nome do arquivo e/ou pasta que o usurio tentou acessar.
Em um domnio, alm de servidores configurados como DCs, voc pode ter
servidores configurados como Member Servers. Um member server no tem o
Active Directory instalado e, portanto, no tem uma cpia de toda a lista de usurios
e grupos do domnio e nem das demais informaes contidas no Active Direc-
tory. Um member server normalmente um servidor que desempenha um papel
especfico, tal como servidor de arquivos, servidor de impresso, servidor de
acesso remoto, servidor Web e assim por diante.
IMPORTANTE: Observe que a
conta do usurio utilizada como a
sua identidade na rede.
Como o servidor faz parte do domnio (member server), as contas de usurios e grupos do domnio podem receber
permisses para acessar os recursos disponibilizados pelo member server. Um detalhe interessante que possvel
criar uma lista de usurios e grupos de usurios no prprio member server. Estas contas somente so vlidas para o
logon localmente no servidor onde foram criadas e so conhecidas como contas locais.
Por exemplo, ao instalar o Windows Server 2003 em um member server, automaticamente criada a conta Administrador,
com permisses de administrador em todos os recursos do member server. IMPORTANTE: As contas e grupos locais,
criados em um member server, somente podem receber permisses de acesso aos recursos do servidor onde foram
criadas, j que estas contas no so visveis em outro servidor que no o prprio onde foram criadas. Embora seja
possvel criar contas e grupos locais, esta no uma prtica recomendada. Sempre que possvel voc deve utilizar as
contas e grupos do domnio. Uma exceo a conta local Administrador, a qual criada automaticamente com a
instalao do Windows Server 2003. Esta conta tem permisses totais em todos os recursos do servidor. Um
procedimento normalmente adotado definir a mesma senha para todas as contas Administrador de todos os member
servers do domnio. Normalmente esta senha de conhecimento apenas dos administradores do domnio. A conta
local Administrador pode ser utilizada para fazer configuraes no servidor quando, por algum motivo, no for possvel
fazer o logon no domnio.
Contas criadas em um DC so chamadas de Domain User Accounts (Contas de
Usurios do Domnio). Essas contas permitem que o usurio faa o logon em
qualquer computador do domnio e receba permisses para acessar recursos em
qualquer computador do domnio.
Contas criadas em um Servidor Membro so chamadas de Local User Accounts
(Contas de Usurios Locais). Essas contas somente permitem que o usurio faa
o logon e receba permisses para acessar recursos do servidor onde a conta foi
criada. Sempre que possvel evite criar Contas Locais em servidores que fazem
parte de um domnio. Utilizar as contas do Domnio, as quais ficam armazenadas
no Active Directory, torna a administrao bem mais fcil.
IMPORTANTE: Uma conta pode
ser criada em um DC situao em
que a conta vlida e reconhecida
em todo o domnio; ou a conta pode
ser criada em um member server
situao em que a conta somente
vlida e reconhecida no member
server onde ela foi criada.
Quando exibida a tela de logon em um member server, o usurio pode escolher entre fornecer uma conta e senha do
domnio ou uma conta e senha local. Na lista Log on to o usurio seleciona o nome do domnio no qual ele quer fazer
o logon ou o nome do servidor local, para fazer o logon com uma conta local. A criao e administrao de contas de
usurios e grupos locais feita utilizando-se o console Gerenciamento do Computador (Computer Management),
descrito no Captulo 7. As etapas para a criao e administrao de contas e grupos locais so semelhantes as etapas
para a criao e administrao de contas do Active Directory.
No Windows Server 2003, possvel limitar os recursos aos quais cada usurio tem acesso, atravs do uso de permisses
de acesso . Por exemplo, o administrador pode definir uma lista de usurios com acesso a uma pasta compartilhada,
podendo definir, inclusive, nveis de acesso diferentes. Um determinado grupo tem acesso completo (leitura, gravao
e excluso), j um segundo tem acesso mais restrito (leitura e gravao) e um terceiro grupo tem acesso ainda mais
restrito (leitura). Para que seja possvel atribuir permisses, cada usurio deve ser cadastrado no domnio. Cadastrar o
usurio significa criar uma Conta de Usurio. Com uma conta o usurio pode efetuar o logon e receber permisses
para acessar os mais variados recursos disponibilizados na rede.
Reunindo esta histria toda, cada usurio deve ser cadastrado. Cadastrar o usurio significa criar uma conta de usurio
no Active Directory (veja exemplos prticos mais adiante). Uma vez que a conta foi criada, o usurio pode utiliz-la
para fazer o logon em qualquer computador da rede. Antes de partir para a parte prtica, apresentarei mais algumas
recomendaes e detalhes relacionados com contas de usurios:
Observaes sobre o nome das contas de usurios
Quando o administrador cria nomes de logon para os usurios, devem ser levados em considerao os seguintes fatos:
O nome de logon deve ser nico no domnio. Veja o exemplo do item anterior, onde mostrei que no seria
possvel criar dois usurios com nome de logon jsilva, no mesmo domnio.
O nome de logon tambm no pode ser igual ao nome de um grupo do domnio. Por exemplo, se j existe um
grupo chamado Contabilidade, voc no poder criar uma conta de usurio com o campo nome de logon
preenchido como Contabilidade.
O nome de logon pode conter espaos em branco e pontos, porm no pode ser formado somente por espaos
e pontos. conveniente evitar o uso de espaos em branco, pois contas com espaos em branco no nome, tero
que ser escritas entre aspas, quando voc utiliza scripts para administrao do Windows Server 2003.
O Windows Server 2003 no diferencia entre maisculas e minsculas para o nome de logon. Por exemplo,
para o Windows Server 2003 jsilva, JSILVA ou Jsilva representa o mesmo usurio.
Questes relacionadas com a definio da senha do usurio
Sempre que voc for cadastrar um usurio tambm deve ser cadastrada uma senha para ele. No Windows 2000 Server,
por padro, era aceito que o administrador definisse uma senha em branco. Caso fosse necessrio, o administrador
poderia definir um nmero mnimo de caracteres para as senhas dos usurios. No Windows Server 2003, a preocupao
com a segurana est presente desde o momento da instalao. No Windows Server 2003.
No Windows Server 2003, por padro, so definidas as seguintes polticas de segurana em relao as senhas de
usurios:
A senha no pode conter parte ou todo o nome da conta. Por exemplo, se
o nome da conta for jsilva, a senha no poder conter a slaba sil ou a
palavra silva.
Ter pelo menos seis caracteres. O nmero mnimo de caracteres pode ser
aumentado, configurando-se as polticas de segurana para senhas,
conforme mostrarei mais adiante.
Deve conter caracteres de pelo menos trs dos quatro grupos a seguir:
letras maisculas de A at Z, letras minsculas de a at z, dgitos de 0 a 9
ou caracteres especiais (:, !, @, #, $, %, etc.).
alterada. Com os requisitos de complexidade habilitados, as senhas a seguir seriam
vlidas:
AbCsenha1
AbcSenha#
Abc123
Abc;;senha
abcsenha123: (contm somente caracteres de dois dos quatro grupos: letras
minsculas e nmeros).
abc;senha: (contm somente caracteres de dois dos quatro grupos: letras
minsculas e caracteres especiais).
Opes padro do console Usurios e Computadores do Active
Directory:
IMPORTANTE: Com a opo A
senha deve atender critrios de
complexidade (Password must meet
complexity requirementes)
habilitada por padro, uma srie de
requisitos devem ser atendidos para
que a senha seja aceita.
IMPORTANTE: O grupo Opers. de
contas criado automaticamente
durante a instalao do Active Di-
rectory. Membros deste grupo
podem realizar tarefas relacionadas
a criao e administrao de contas
de usurios no domnio.
Builtin: Nesta opo esto os chamados grupos Builtin, ou seja, aqueles grupos criados automaticamente
quando o Active Directory instalado. Estes grupos so utilizados para funes de administrao do domnio.
Por exemplo, os membros do grupo Administradores (Administrators) tem permisses administrativas em
todo o domnio, j membros do grupo Opers. de contas (Account Operators) tem permisses para criar e
administrar contas de usurios no domnio e assim por diante. Os grupos que ficam nesta opo so grupos
Locais do domnio. Mais adiante neste captulo, descreverei as diferenas entre grupos Locais, Globais e
Universais.
Computers (Computadores): Nesta opo ficam as contas de todos os computadores do domnio, a no ser que
tenham sido criadas outras unidades organizacionais e contas tenham sido movidas para estas unidades
organizacionais. importante lembrar que somente computadores com o Windows NT 4.0, Windows 2000,
Windows Server 2003 ou Windows XP Professional, possuem conta de computador. Computadores com o
Windows 95/98/Me no tem contas de computador no domnio.
Domain Controllers (Controladores de domnio): Nesta opo ficam as contas de computadores dos DCs do
domnio.
ForeignSecurityPrincipals: Nesta opo ficam objetos relacionados a relaes de confiana criadas manualmente
pelo administrador.
Users: Nesta opo ficam as contas que foram criadas automaticamente pelo Active Directory, bem como os
grupos Globais criados automaticamente. Um exemplo de conta criada automaticamente a conta Administrador
(Administrator), a qual tem permisses de administrador em todos os recursos de todos os servidores do
domnio. Por padro nesta opo que criamos novas contas de usurios. Conforme mostrarei mais adiante
voc tambm pode criar novas unidades organizacionais e criar contas de usurios dentro destas unidades
organizacionais, o que tambm ser visto neste captulo.
Opes de configurao durante a criao de uma nova conta de usurio:
O usurio deve alterar a senha no prximo logon : Se esta opo estiver marcada, a primeira vez que o usurio
A senha nunca expira: Ao marcar esta opo, independente das polticas de segurana do domnio, o usurio
nunca precisar trocar a sua senha. Caso contrrio de tempos em tempos (conforme configurado nas polticas
Conta desativada: O Administrador marca esta opo para desativar/bloquear a conta de um usurio. Usurios
com a conta bloqueada no podem mais efetuar logon e, consequentemente, no podem mais acessar recursos
da rede. Esta opo normalmente utilizada para desativar, temporariamente, a conta de empregados que
esto em frias. Quando o empregado retorna ao servio, o Administrador libera a sua conta, simplesmente
desmarcando esta opo. No possvel fazer o logon enquanto a conta estiver Desativada. Contas desativadas
so exibidas com um X vermelho, na listagem de contas do Active Directory. Desativada diferente de bloqueada.
Uma conta bloqueada, quando o usurio erra a senha, um determinado nmero de vezes, dentro de um
determinado perodo, conforme configurado nas polticas de conta do domnio. Contas bloqueadas no so
exibidas com o X vermelho, somente contas Desativadas que so exibidas com o X vermelho.
Configurando opes importantes da conta do usurio
A seguir descrevo opes importantes de configurao das contas de usurios do Active Directory, opes estas que
voc deve conhecer para o exame.
Na lista Opes da conta, o administrador pode configurar uma srie de opes, descritas a seguir:
O usurio deve alterar a senha no prximo logon: Se esta opo estiver
marcada, a prxima vez que o usurio fizer o logon, ser solicitado que
ele altere a sua senha. Esta opo utilizada para que o usurio possa
colocar uma senha que somente ele conhece. Quando o usurio
cadastrado, a senha digitada pelo Administrador, o qual fica sabendo a
senha do usurio. No prximo logon o usurio obrigado a alterar a senha
de tal maneira que somente ele saiba qual a senha est definida para a sua
conta.
O usurio no pode alterar a senha: Se esta opo estiver marcada, a senha
somente pode ser alterada pelo Administrador. Normalmente utilizada
para empregados temporrios e para estagirios. Para as contas utilizadas
A senha nunca expira: Ao marcar esta opo, independente das polticas
de segurana do domnio, o usurio nunca precisar trocar a sua senha.
Caso contrrio de tempos em tempos (conforme configurado nas polticas
Gravar senha c/ criptografia reversvel: Esta opo somente deve ser
marcada se o usurio precisa fazer o logon no domnio, a partir de estaes
de trabalho padro Apple/Macintosh.
Conta desativada: O Administrador marca esta opo para desativar a conta
de um usurio. Usurios com a conta desativada no podem mais efetuar
o logon no domnio e, consequentemente, no podem mais acessar recursos
da rede. Esta opo normalmente utilizada para desativar,
temporariamente, a conta de empregados que esto em frias. Quando o
empregado retorna ao servio, o Administrador libera a sua conta,
simplesmente desmarcando esta opo.
Carto inteligente necess. p/ logon interativo: Se esta opo estiver
marcada, o usurio somente poder fazer o logon se estiver utilizando um
Smart card. O uso de Smart card aumenta bastante a segurana no logon,
uma vez que mesmo de posse da senha do usurio, outra pessoa no
conseguir fazer o logon se no tiver tambm o Smart card do usurio.
um nvel de segurana adicional. Um dos fatores que impedem (ou esto
atrasando) o uso em larga escala de Smart card o custo dos leitores de
Smart card.. Quando esta opo for utilizada, a senha da conta do usurio
automaticamente e aleatoriamente criada pelo Windows Server 2003,
usando requisitos de complexidade e a opo Password never expires (A
senha nunca expira) selecionada.
Conta sensvel segurana no pode ser deleg.: Esta uma opo que
deve ser utilizada com muito cuidado, pois pode gerar problemas em
relao segurana. Com esta opo marcada, um hacker poderia tentar
fazer se passar por um servio vlido para executar em nome da conta.
Com isso o falso servio teria todas as permisses atribudas a conta. J
imaginou se isso acontecesse com a conta Administrador? O falso servio
simplesmente teria permisses totais em todo o domnio, ou seja, um
verdadeiro desastre.
IMPORTANTE: A opo A conta
est bloqueada: Por padro,
definido no domnio, um nmero
mximo de tentativas de logon sem
sucesso que o usurio pode fazer,
dentro de um perodo de tempo. Se
este limite for ultrapassado, a conta
ser bloqueada automaticamente.
Por exemplo, pode ser definido que
se o usurio fizer trs tentativas de
logon sem sucesso, dentro de 20
minutos, a conta fique bloqueada
por 24 horas. Ou tambm possvel
definir que, uma vez bloqueada, a
conta somente possa ser
desbloqueada pelo administrador.
Estas configuraes fazem parte das
diretivas de segurana do domnio
e sero explicadas mais adiante.
Quando uma conta est bloqueada,
a opo Conta bloqueada aparece
habilitada e marcada. Para
desbloquear a conta, basta que o
administrador desmarque esta
opo. O Administrador no pode
bloquear uma conta. Ele pode
desativar a conta, conforme
veremos mais adiante, mas a nica
maneira de bloquear uma conta
o usurio fazer o nmero definido
de tentativas de logon sem sucesso,
dentro do perodo configurado no
domnio.
Use tipos de criptografia DES p/ esta conta: Habilita suporte para o tipo de criptografia conhecido como DES,
o qual suporta diversos nveis de criptografia, incluindo MPPE Standard (40-bit), MPPE Standard (56-bit),
MPPE Strong (128-bit) IPSec DES (40-bit), Ipsc 56-bt DES e IPSec Trible DES (3DES).
No exige pr-autenticao Kerberos: O Kerberos um protocole de autenticao. Ao marcar esta opo voc
permite que a conta seja autenticada por servidores utilizando diferentes verses e implementaes do protocolo
Kerberos.
Criando e utilizando uma conta modelo.
As contas de usurios de uma mesma seo, normalmente, compartilham algumas
propriedades em comum. Por exemplo, todas as contas dos funcionrios da seo
de contabilidade (ou a maioria das contas), ter campos em comum, tais como
nmero de telefone, escritrio, grupos aos quais a conta pertence e assim por
diante.
Nestas situaes, indicado que voc crie uma conta modelo. Por exemplo, voc
poderia criar uma conta chamada Modelo_Contabilidade. Ao criar a conta modelo
contabilidade, voc define as propriedades que sero comuns a todas as contas da
seo de contabilidade. Depois voc pode usar este modelo, para criar novas contas.
As novas contas j iro vir com as propriedades da conta modelo e voc s precisar
definir as propriedades que so diferentes para cada conta, tais como senha e
nome de logon. A vantagem do uso de um modelo de conta que a criao de
novas contas facilitada e voc consegue manter um padro, para as propriedades
que so comuns a todas as contas. A desvantagem que no mantido um vnculo
entre as contas criadas a partir de um modelo e o respectivo modelo. Por exemplo,
se voc alterar a conta modelo, as contas que foram criadas a partir do modelo,
no iro ser atualizadas com as alteraes feitas na conta modelo. Talvez em uma
prxima verso do Windows, tenhamos este mecanismo de herana implementado.
Para criar uma conta modelo voc usa os passos descritos nos exemplos prticos
anteriores, ou seja, a conta modelo uma conta normal, como qualquer outra.
IMPORTANTE: Como a conta modelo ser usada para a criao de novas contas, a partir
dela, a conta modelo deve estar com a opo Conta desativada, marcada. Isso porque a
conta modelo no deve ser usada para fazer o logon no domnio. Por isso, para impedir
que a conta possa ser usada para fazer o logon no domnio, que voc deve marcar a
opo Conta desativada.
A seguir descrevo quais propriedades, uma nova conta herda da conta modelo:
Guia Geral: Nenhuma propriedade herdada do modelo.
Guia Endereo: Todas as propriedades so herdadas, com exceo do
campo Rua.
Guia Conta: Todas as propriedades so herdadas, com exceo dos campos
Nome de logon do usurio e Nome de logon do usurio (anterior ao Win-
dows 2000).
IMPORTANTE: O Administrador
tambm pode definir se a conta nunca
expira (Nunca) ou se a conta deve
expirar em um determinada data.
Expirar significa que a partir da data
de expirao, no ser mais possvel
utilizar a conta que expirou para fazer
o logon no domnio, a no ser que o
administrador acesse as propriedades
da conta e defina uma nova data de
expirao. Um exemplo prtico onde
voc utiliza esta opo para contas
utilizadas por estagirios ou
empregados temporrios. Vamos supor
que voc contrata os estagirios por
perodos definidos. Com isso voc pode
cadastrar o estagirio e j configurar
esta conta para que expire na data de
encerramento do estgio. Com isso
exatamente no dia e hora do
encerramento do estgio a conta ser
desativada. Agora vamos supor que um
novo estagirio tenha sido contratado
para substituir o que saiu. Basta ativar
novamente a conta e renome-la.
Informe a conta renomeada para o
novo estagirio. Com isso no preciso
reconfigurar as permisses de acesso,
uma vez que a conta a mesma
(apenas foi renomeada), o estagirio
que chega tem exatamente as mesmas
permisses de acesso do que o que saiu.
O que faz sentido, j que ele est
substituindo o anterior.
Guia Perfil: Todas as propriedades so copiadas, porm so adaptadas para refletir o nome de logon do usurio
que est sendo criado. Por exemplo, se a Pasta base do modelo est em: \\servidor\profiles\modelocont, e est
sendo criado um usurio chamado jsilva2, a pasta base do usurio que est sendo criado, ser:
\\servidor\profiles\jsilva2.
Guia Telefones: Nenhuma propriedade copiada.
Guia Organizao: Todas as propriedades so copiadas, com exceo do campo Ttulo.
Guia Membro de: Todas as informaes so copiadas, ou seja, a nova conta, criada a partir de um modelo,
pertencer exatamente aos mesmos grupos aos quais pertence a conta modelo.
Guias Discagem, Ambiente, Sesses, Controle remoto, Perfil de servios de terminal e COM+: Nenhuma
informao copiada destas guias, do modelo para a nova conta que est sendo criada.
Comandos para trabalhar com contas de usurios.
Alm da interface grfica, usando o console Usurios e computadores do Active
Directory, o Administrador tem acesso a uma srie de comandos, os quais esto
diretamente relacionados com a criao, edio e administrao de contas de
usurios, bem como a Administrao do Active Directory. Estes comandos,
normalmente, so utilizados em scripts, para executar uma srie de tarefas
repetitivas, em um grande nmero de contas no Active Directory.
IMPORTANTE: Voc no precisa conhecer a sintaxe detalhada de cada comando. Para o
exame, o que voc precisa conhecer em que situao cada comando utilizado. Por
exemplo, falou em importar informaes de contas de usurios ou de grupos, que esto
em um arquivo do tipo Delimitado por Vrgula, voc tem que lembrar na hora que o
comando CSVDE que utilizado para fazer esta importao. Voc no precisa decorar a
sintaxe e todas as opes de cada comando, apenas saber para que utilizado cada
comando.
A seguir descrevo os principais comandos relacionados ao gerenciamentos de
contas de usurios e ao gerenciamento do Active Directory.
O comando CSVDE:
Este comando utilizado para importar e exportar dados do e para o Active Di-
rectory usando arquivos que armazenam dados no formato de valores separados
por vrgula (CSV). Voc tambm pode oferecer suporte a operaes em lotes no
padro do formato de arquivo CSV. Um arquivo no formato CSV, apresenta um
registro em cada linha e os campos de cada registro so separados por vrgula.
IMPORTANTE: Quando voc cria
uma nova conta, a partir de um
modelo, a nova conta pertencer
aos mesmos grupos aos quais
pertence a conta modelo.Com isso,
a nova conta, herdar as permisses
de acesso, que forem atribudas a
estes grupos. Porm, permisses
que tenham sido atribudas
diretamente a conta modelo, no
sero herdadas pela nova conta,
criada a partir da conta modelo.
Fique atento a este detalhe, pois ele
pode ser a diferena entre acertar
e errar uma ou mais questes no
exame. Voc tambm deve lembrar
que as configuraes para acesso,
via Terminal Services, no so
herdadas por uma nova conta,
criada a partir de uma conta
modelo. isso.
O comando DSADD:
Este comando utilizado para adicionar tipos especficos de objetos ao Active Directory, tais como usurios, grupos,
etc. A seguir descrevo as diferentes opes do comando DSADD
dsadd computer: utilizado para adicionar um nico computador ao diretrio.
dsadd group: Este comando utilizado para adicionar um nico grupo ao diretrio.
dsadd ou: Este comando utilizado para adicionar uma nica unidade organizacional ao diretrio.
dsadd user: Adiciona um usurio nico ao diretrio.
dsget user
Este comando utilizado para exibir as vrias propriedades de um usurio no diretrio. Esse comando dispe de duas
variaes. A primeira permite exibir as propriedades de vrios usurios. A segunda permite exibir as informaes de
participao em um grupo de um usurio nico.
Outros commandos disponveis:
A seguir apresenta uma lista de outros comandos disponveis. Voc encontra informaes detalhadas sobre estes
comandos, na Ajuda do Windows Server 2003, digitando o nome do comando, no campo de pesquisa da Ajuda.
dsmod: utilizado para modificar atributos selecionados de um objeto existente no Active directory. Por
exemplo, pode ser utilizado para modificar informaes sobre um usurio, grupo ou unidade organizacional
dsquery: utilizado para localizar objetos no Active Directory, de acordo com um ou mais critrios de pesquisa,
especificados.
dsmove: utilizado para mover um objeto de seu local atual para um novo local pai.
dsrm: utilizado para remover um objeto, a subrvore completa abaixo de um objeto no diretrio, ou ambos.
O conceito de Profiles
O Windows Server 2003 (a exemplo do que ocorre no Windows 2000 e no Windows XP), mantm configuraes de
ambiente separadas para cada usurio. Por exemplo, o usurio jsilva faz o logon e cria um cone na rea de trabalho.
Este cone no ser exibido na rea de trabalho de outros usurios, quando estes fizerem o logon no computador. O
Windows tambm mantm diversas outras configuraes separadamente para cada usurio, como por exemplo: papel
de parede, opes do menu iniciar, configuraes do Internet Explorer e do Outlook Express, associao de extenses
de arquivos, configuraes da barra de tarefas e assim por diante. A pasta Meus documentos tambm individualizada
para cada usurio. O Windows Server 2003 mantm estas configuraes separadamente para cada usurio, atravs de
uma estrutura de pastas e subpastas, dentro da pasta C:\Documents and settings. Dentro desta pasta o Windows Server
2003 cria uma pasta para cada usurio, pasta esta com o nome de logon do usurio.
Por exemplo, todas as configuraes do usurio jsilvap so gravadas e mantidas em uma estrutura de subpastas, dentro
de C:\Documents and settings\jsilvap; todas as configuraes do usurio pedro2 so gravadas e mantidas em uma
estrutura de subpastas, dentro de C:\Documents and settings\paulo2 e assim por diante.
Este conjunto de configuraes, que define o ambiente de trabalho de cada usurio, conhecido como Profile do usurio
(User Profile). Quando voc trabalha em um ambiente de rede, baseado em um domnio do Windows 2000 Server ou do
Windows Server 2003, possvel salvar as configuraes da Profile de cada usurio em pastas em um servidor da rede.
Este tipo de Profile conhecido como Roaming Profile (eu me arriscaria a traduzir como Profile Viajante).
O Roaming significa que a Profile acompanha (viaja com) o usurio atravs da rede. Ou seja, independente da estao
de trabalho que o usurio estiver utilizando, ele receber as configuraes de sua Profile, as quais sero carregadas a
partir da rede. Com a combinao do recurso de User Profiles com a distribuio de Software via GPO (assunto
abordado em detalhes no Captulo 18 do livro: Windows Server 2003 Curso Completo, 1568 pginas), possvel
fazer com que os programas e as configuraes sigam o usurio atravs da rede, ou seja, em qualquer estao de
trabalho que o usurio faa o logon, ele ter a mesma rea de trabalho, com o mesmo conjunto de cones, atalhos e
programas. Neste tpico voc aprender sobre Profiles.
Vantagens de se utilizar Profiles:
Vrios usurios podem utilizar o mesmo computador, sem que as configuraes feitas por um dos usurios,
afetem o ambiente de trabalho dos demais usurios. Quando o usurio faz o logon ele recebe exatamente o
mesmo ambiente de trabalho que ele deixou, quando fez o ltimo log off.
User profiles podem ser gravadas em uma pasta compartilhada em um servidor, de tal maneira que as
configuraes sigam o usurio atravs da rede. Esta opo est disponveis para computadores rodando o
Windows NT, Windows 2000, Windows XP ou Windows Server 2003. No est disponvel para o Windows
95/98/Me. O uso de User Profiles uma ferramenta de grande auxlio para o administrador, principalmente
para a padronizao do ambiente de trabalho dos usurios. O administrador pode utilizar o conceito de User
Profiles para executar, dentre outras, as seguintes configuraes:
Criar uma profile padro e distribuir esta profile para um grupo de usurios da rede. Esta opo til para
usurios que devam ter acesso restrito as opes de personalizao do windows. Por exemplo, posso usar uma
profile para definir, automaticamente, os cones da rea de trabalho para um grupo de usurios.
Voc pode criar as chamadas Mandatory user profile. Este tipo de profile no permite que o usurio faa
alteraes nas configuraes definidas na profile. O usurio at consegue alterar o seu ambiente de trabalho,
receber as configuraes definidas na profile, sem as alteraes que ele fez, mas que no foram salvas. As
configuraes so copiadas para o computador do usurio cada vez que este faz o logon. Quando o usurio faz
alteraes, estas so feitas na sua cpia local da profile. Ao fazer o logoff, estas alteraes no so repassadas
para a profile que est gravada no servidor. No prximo logon esta profile que est no servidor (sem alteraes)
que novamente copiada para a estao de trabalho do usurio, sobrescrevendo as alteraes que por ventura
ele tenha feito. O resultado prtico que sempre que o logon feito, so carregadas as configuraes definidas
na profile do tipo Mandatory, armazenada no servidor e para a qual somente o Administrador tem permisso
para fazer alteraes.
Tipos de User Profile:
Local user profile (profile de usurio local): Este tipo de profile criada
a primeira vez que o usurio faz o logon em um computador com o Win-
dows NT 4.0 (Server ou Workstation), com o Windows 2000 (Server ou
Professional), com o Windows XP (Home ou Professional) ou com o
Windows Server 2003. A profile criada dentro de uma pasta com o
mesmo nome do usurio, em C:\Documents and settings. Por exemplo, a
primeira vez que o usurio jsilva fizer o logon no comutador, a sua profile
ser criada em C:\Documents and settings\jsilva. Dentro de jsilva sero
criadas diversas pastas onde esto as configuraes do usurio jsilva. Um
profile local especfica para o computador onde ela foi criada. Por
exemplo, se o usurio jsilva faz o logon no computador micro01 e faz
IMPORTANTE: No esquea, de
jeito nenhum, que para tornar uma
Profile Mandatory s renomear o
arquivo Ntuser.dat para
Ntuser.man.
alteraes em sua profile local, estas alteraes no estaro presentes quando ele fizer o logon no micro02.
Cada micro tem a sua prpria profile local para o usurio jsilva.
Roaming user profile: Este tipo de profile criada pelo administrador e depois armazenada em um servidor. Por
exemplo, o administrador faz o logon em uma estao de trabalho e faz as configuraes padro para a profile.
Vamos supor que o administrador fez o logon com a conta Administrator (Administrador). A sua profile ser
armazenada em C:\Documents and settings\Administrator. Se for uma conta do domnio, o nome do domnio
anexado ao nome da conta por um ponto. Por exemplo, a profile para o usurio Administrator, do domnio ABC,
seria gravada na pasta C:\Documents and settingszAdministrator.Abc, do computador onde o administrador fez o
logon. O administrador faz as alteraes necessrias. Estas so salvas na sua profile local. Em seguida o administrador
pode fazer uma cpia desta profile padro para o servidor. Por exemplo, pode ser criada uma pasta compartilhada
chamada Profiles, no servidor srv01. Neste caso o caminho para esta pasta seria: \\srv01\profiles. Dentro da pasta
profiles pode ser criada uma pasta para cada usurio, por exemplo: \\srv01\profiles\jsilva, \\srv01\profiles\maria,
\\srv01\profiles\Pedro e assim por diante. Para copiar a profile da sua mquina local para a rede, basta que o
administrador copie todo o contedo da pasta C:\Documents and settings\Administrator para a pasta de cada usurio.
Depois o administrador deve definir as permisses de acesso em cada profile criada no compartilhamento profiles.
Por exemplo, na pasta \\srv01\profiles\jsilva, somente o usurio jsilva deve ter permisso de acesso, na pasta
\\srv01\profiles\maria, somente o usurio maria deve ter permisso de acesso e assim por diante. O passo final, para
que o usurio possa utilizar esta profile armazenada no servidor, informar nas propriedades da conta do usurio, o
caminho para a respectiva profile. Isso feito na guia Perfil, das propriedades da conta do usurio. Por exemplo, nas
propriedades da conta do usurio jsilva o administrador informa o caminho \\srv01\profiles\jsilva, nas propriedades
da conta do usurio maria o administrador informa o caminho \\srv01\profiles\maria e por a vai. Feito isso, sempre
que o usurio fizer alteraes em suas configuraes do ambiente de trabalho do Windows, estas alteraes sero
salvas na profile armazenada no servidor. Por exemplo, quando o usurio jsilva faz alteraes nas configuraes do
ambiente de trabalho, estas alteraes so salvas em \\srv01\profiles\jsilva. Quando o usurio jsilva fizer o logon em
uma outra estao de trabalho da rede (diferente da estao na qual ele fez as alteraes), as suas configuraes
sero carregadas (durante o logon), a partir de \\srv01\profiles\jsilva, em qualquer computador do domnio, onde o
usurio faa o logon. Com isso as alteraes que ele fez em uma estao de trabalho, estaro disponveis em
quaisquer estao da rede na qual ele fizer o logon, pois estas configuraes so copiada a partir do servidor e
seguem (viajam com Roaming) o usurio em qualquer estao de trabalho na qual ele fizer o logon. Combinando
o uso de Roaming Profiles com GPOs (Captulo 18 do livro: Windows Server 2003 Curso Completo, 1568
pginas), possvel que o ambiente de trabalho do usurio siga o usurio atravs da rede.
Mandatory user profile: Este tipo de profile uma profile do tipo somente
leitura. As alteraes feitas pelo usurio no sero salvas na profile. Quando
o usurio fizer o logon, ele obtm sempre o mesmo ambiente de trabalho,
independente das alteraes que ele fez durante o seu ltimo logon
(alteraes estas que so abandonadas). Este tipo de profile no permite
que o usurio faa alteraes nas configuraes definidas na profile. O
usurio at consegue alterar o seu ambiente de trabalho, mas no momento
em que ele fizer o log off, as alteraes no sero salvas. Ao fazer o prximo
logon, o usurio receber as configuraes definidas na profile que est
no servidor, sem as alteraes que ele fez, mas que no foram salvas. As
configuraes so copiadas para o computador do usurio cada vez que
este faz o logon. Quando o usurio faz alteraes, estas so feitas na sua
cpia local da profile. Ao fazer o log off, estas alteraes no so repassadas
IMPORTANTE: Ao informar o
caminho da profile, ao invs de usar
diretamente o nome de logon do
usurio, voc pode utilizar a
varivel %username%. Desta
maneira. O prprio Windows, ao
salvar as alteraes nas
propriedades da conta do usurio,
substitui %username% pelo nome
de logon do usurio. O uso da
varivel %username%
recomendada, pois evita problemas
para a profile que est gravada no servidor. No prximo logon esta
profile que est no servidor (sem alteraes) que novamente copiada
para a estao de trabalho do usurio, sobrescrevendo as alteraes que
por ventura ele tenha feito. O resultado prtico que sempre que o logon
feito, so carregadas as configuraes definidas na profile do tipo Man-
datory, armazenada no servidor e para a qual somente o Administrador
tem permisso para fazer alteraes. Este tipo de profile utilizado para
manter ambientes altamente padronizados, onde os usurios no devem
poder fazer alteraes nas configuraes do seu ambiente de trabalho.
Somente o administrador pode fazer alteraes na profile do tipo Manda-
tory, armazenada no servidor. Na prtica, a maioria das configuraes de
uma profile esto em um arquivo chamada NTuser.dat. Para tornar uma
profile do tipo Mandatory, basta renomear este arquivo para NTuser.man.
No esquea deste detalhe.
com erros de digitao. Desta
forma, voc informa o caminho da
profile dos usurios, usando o
seguinte formato: \\srv01\profiles\
%username%, neste caso supondo
que as profiles so armazenadas em
uma pasta compartilhada como pro-
files, no servidor srv01.
Temporary user profile: Uma profile temporria ser criada sempre que algum erro ocorrer durante o logon
do usurio, erro este que impea que uma profile seja carregada, quer seja uma profile local, quer seja uma
profile carregada a partir de um servidor. Alteraes feitas nesta profile temporria (enquanto o usurio est
logado) sero descartadas quando o usurio fizer o log off.
Entendendo o contedo de uma User profile
Neste item descreverei em detalhes as configuraes e o contedo que salva em um profile de usurio. Conforme
descrito anteriormente, todas as informaes de configurao contidas na Profile do usurio so gravadas em um
conjunto de arquivos e pastas dentro de uma pasta com o nome de logon de usurio, no caminho C:\Documents and
settings. Por exemplo, as configuraes da profile local para o usurio jsilva so gravadas em um conjunto de arquivos
e pastas dentro de C:\Documents and settings\jsilva.
Dentro da pasta onde fica a profile de cada usurio, existem uma srie de subpastas. Por
exemplo, dentro da pasta C:\Documents and settings\Administrator existem diversas
outras pastas, conforme indicado na Figura 14.19. Cada uma tem uma funo especfica.
IMPORTANTE: A primeira vez que
o usurio faz o logon em um
computador, o Windows Server 2003
(ou Windows 2000 ou NT 4 ou XP)
cria a profile do usurio, baseada na
profile Default User (C:\Documents
and settings\Default User). Se voc
quiser que determinados itens, tais
como atalhos, estejam presentes
para todos os novos usurios que
fizerem o logon em um computador,
voc deve acrescentar estes itens
profile Default User. A maioria das
configuraes da profile esto
contidas no arquivo NTuser.dat. Por
exemplo, para o usurio jsilva as
configuraes esto no arquivo
Figura 14.19 Subpastas da profile de usurio.
A seguir descrevo o contedo destas pastas:
Application Data (Dados de Aplicativo): Nesta pasta ficam configuraes
dos programas utilizados no computador. Por exemplo, configuraes do
Outlook Express, do Off ice, tais como modelos e dicionrios
personalizados criados pelo usurio e assim por diante.
Cookies: Informaes do usurio referentes a sites que ele visitou. Por
exemplo, existem sites no qual voc deve fazer um cadastro para fazer
compras. A maioria dos sites de livrarias on-line, por exemplo, exige o
cadastro. Voc faz o cadastro e preenche um formulrio. Algumas destas
informaes so gravadas em pequenos arquivos conhecidos como Cook-
ies. Futuramente, quando voc visita o site novamente, voc surpreendido
com uma mensagem Bem vindo fulano de tal. Mas como que o site sabe
que voc o fulano de tal? Ele leu as informaes no Cookie que ele
havia gravado anteriormente. Os cookies gravados pelos diversos sites
que voc visita ficam gravados na pasta Cookies, dentro da profile do
usurio.
C:\Documents and settings\jsilva\
NTuser.dat. As configuraes do
menu Todos os programas (All pro-
grams) so copiadas da profile All
Users (C:\Documents and settings\All
Users\Start Menu\ Programs. Ou
seja, os atalhos que esto dentro
desta pasta, automaticamente sero
copiados para a nova profile que
criada, a primeira vez que o usurio
faz o logon no computador.
Desktop: Esta pasta contm os atalhos, arquivos, pastas e demais itens que so exibidos na rea de trabalho do
usurio.
Favoritos: Contm a estrutura de Favoritos do Internet Explorer.
Configuraes locais: Configuraes de aplicativos locais, o histrico de navegao na Internet e arquivos
temporrios. Estas informaes viajam com o usurio, isto , acompanham o usurio pela rede quando este
est utilizando Roaming Profiles.
Meus documentos: Esta a pasta padro para gravao dos arquivos de dados do usurio. Por exemplo, quando
voc executa o comando Arquivo -> Salvar, no Word, por padro selecionada a pasta Meus documentos.
Documentos Recentes: Contm atalhos para os documentos recentemente utilizados pelo usurio. Estes atalhos
facilitam a abertura de documentos e pastas que o usurio est utilizando seguidamente.
Ambiente de rede: Contm atalhos para os itens contidos na opo Meus locais de rede.
Ambiente de impresso: Atalhos para as impressoras instaladas pelo usurio.
SendTo: Contm atalhos para os itens que aparecem quando voc clica com o boto direito do mouse em um
arquivo ou pasta e seleciona o comando Enviar para. Por exemplo, se voc quer que aparea no menu Enviar
para o nome de uma pasta onde voc faz cpias de Backup, basta adicionar um atalho para esta pasta, dentro
da pasta SendTo, na profile do usurio.
Menu Iniciar: Esta pasta contm uma subpasta chamada Programas. Esta subpasta contm todos os itens do
menu Todos os programas.
Modelos: Arquivos de modelos do Office, utilizados pelo usurio.
A profile do usurio tambm contm o arquivo NTuser.dat: O arquivo NTuser.dat contm a parte das
configuraes que so armazenadas na Registry do sistema (para mais detalhes sobre a Registry consulte o
Captulo 12. Enquanto o usurio est logado e faz alteraes em suas configuraes, estas so feitas diretamente
na Registry (mais especificamente na chave HKEY_CURRENT_USER). Quando o usurio faz o log off, o
Windows grava as alteraes feitas pelo usurio no arquivo NTuser.dat. Com isso na prxima vez que o usurio
fizer o logon, o Windows l as configuraes a partir do arquivo NTuser.dat e carrega-as novamente na Regis-
try. O efeito prtico que as alteraes so mantidas e o usurio recebe o mesmo ambiente de trabalho de
quando ele fez o log off pela ltima vez.
A pasta All Users
Dentro da pasta Documents and Settings, existe uma profile chamada All Users.
As configuraes desta pasta definem itens do menu programas e atalhos da rea
de trabalho, os quais estaro disponveis para qualquer usurio que fizer o logon
no computador. Por exemplo, se voc quer que um atalho para uma determinada
pasta seja exibida na rea de trabalho, independentemente do usurio logado.
s colocar este atalho na pasta Desktop da profile All Users. Quando o usurio
faz o logon, o Windows utiliza as configuraes da profile do prprio usurio,
mais os atalhos da rea de trabalho, do menu Todos os programas e da barra de
tarefas da profile All Users.
A profile All Users contm atalhos para os chamados programas comuns, ou
seja, programas que esto disponveis para todos os usurios que fizerem o logon
no computador. Os atalhos para programas individuais ou privativos, ou seja,
somente disponveis para um determinado usurio, so gravados na profile do
respectivo usurio.
A seguir descrevo quais as configuraes que so gravadas na profile de cada
usurio e, portanto, so individualizadas para cada usurio que faz o logon no
computador.
Configuraes feitas no Windows Explorer, tais como Opes de pasta,
de visualizao e assim por diante.
Arquivos da pasta Meus documentos. A pasta Meus documentos
individualizada para cada usurio.
Minhas figuras: Esta pasta fica dentro da pasta Meus documentos e a
pasta padro para gravao de figuras. Por exemplo, quando voc usa o
comando Arquivo -> Salvar no Paint Brush, por padro j vem selecionada
a pasta Minhas figuras.
Favoritos do Internet Explorar. A lista de favoritas tambm individual,
ou seja, fica gravada na profile de cada usurio.
Drives de rede mapeados via script de logon ou manualmente mapeados
pelo usurio.
Informaes da pasta Meus locais de rede, a qual contm atalhos para
outros computadores e recursos da rede.
Os itens da rea de trabalho.
Configuraes do vdeo.
Configuraes de aplicativos (tais como Office, Outlook Express, Internet
Explorer, etc.)
Configuraes de impressoras.
Conexes de rede.
Configuraes feitas atravs das opes do Painel de controle
IMPORTANTE: Por padro algumas
pastas da profile do usurio so
marcadas como pastas ocultas e no
sero exibidas no Windows Explorer,
a no ser que voc configure o Win-
dows para exibir pastas e arquivos
ocultos. Por padro as seguintes pas-
tas so ocultas: Ambiente de rede,
Ambiente de impresso,
Configuraes locais, Arquivos
recentes e Modelos. Para exibir os
arquivos e pastas ocultas abra o Win-
dows Explorer, selecione o comando
Ferramentas -> Opes de pasta,
clique na guia Exibir e marque a opo
Exibir pastas e arquivos ocultos. Clique
em OK.
IMPORTANTE: Em um computador
com o Windows Server 2003, somente
usurios com permisso de
administrador tero permisso para
modificar a pasta All Users. Neste caso,
se voc deseja instalar um programa
cujo atalho deve estar disponveis para
todos os usurios do computador, voc
deve estar logado com uma conta com
permisso de administrador, para fazer
a instalao do programa. Se a
instalao for feita com uma conta que
no tem permisso de administrador,
o atalho ser criado somente na profile
da conta logada. Quando outros
usurios fizerem o logon, o respectivo
atalho no estar disponvel. Este um
dos erros mais comuns e que geram
muitas chamadas do suporte. Do outro
lado da linha o usurio diz:O Programa
X no est instalado na minha
mquina. Na verdade o programa X
est instalado, o que acontece que
no foi criado o atalho para o
programa.
Menu Acessrios
Outros programas instalados e que tenham sido programados para manter configuraes separadas para cada usurio
e salvar estas configuraes na profile do usurio. Os programas que tem o logo do Windows Server 2003, ou seja,
aprovados para uso no Windows Server 2003, devem ser capazes de gravar configuraes separadas para cada usurio.
Atalhos colocados como favoritos na documentao do Windows Server 2003, tambm so individualizados por
usurio.
Opes de configurao da guia Perfil, das propriedades de uma conta de usurio:
Na guia Perfil voc pode informar mais algumas configuraes, conforme descrito a seguir:
Script de logon: Neste campo voc informa o nome do script de logon (normalmente um arquivo .bat ou .cmd),
que ser executado quando o usurio fizer o logon. O script de logon normalmente um arquivo .bat e deve ser
gravado em uma pasta especfica nos controladores de domnio. Em todo DC do domnio existe um
compartilhamento chamado Netlogon. neste compartilhamento que deve ser gravado um ou mais arquivos
que sero utilizados como script de logon. O prximo passo informar, no campo Script de logon, o nome do
script associado com a conta do usurio. Durante o logon, o Windows Server 2003 procura, no compartilhamento
Netlogon, do DC que est autenticando o usurio, um arquivo com o nome informado no campo Script de
logon. Se o arquivo for encontrado e for um arquivo com comandos vlidos, os comando sero executados.
Neste script devem ser colocados comandos que devem ser executados automaticamente quando o usurio faz
o logon, como por exemplo comandos para mapear unidades de rede, atulizar o anti-vrus e assim por diante.
O contedo do compartilhamento Netlogon replcado, automaticamente, pelo Active Directory, entre todos
os DCs do domnio.
Pasta base (Home folder) : Neste grupo o administrador pode informar um caminho local, como por exemplo
c:\documentos ou um drive de rede por exemploX:, associado com o caminho \\srv01\home\jsilva. O conceito
de pasta base pode ser utilizado para consolidar os arquivos de dados dos usurios em um ou mais servidor da
rede. Isso traz muitas vantagens, sendo a principal delas a possibilidade de fazer o backup dos dados dos
usurios de uma maneira centralizada. Ao invs de gravar os dados no prprio computador, o usurio pode
salv-los em sua pasta base, diretamente no servidor. A grande vantagem que o usurio ter acesso a esta
pasta em qualquer computador da rede onde ele fizer o logon e no apenas no seu prprio computador. A
desvantagem que se o usurio estiver sem acesso a rede, ele perder acesso a estes dados (este problema pode
ser minimizado com o uso de Pastas Off-line, conforme mostrei no Captulo 6). Para montar uma estrutura de
pastas base, o administrador deve reservar espao em um volume em um dos servidores da rede. Em seguida
ele cria uma pasta, por exemplo ele pode criar uma pasta chamada homeusers. Dentro desta pasta o administrador
cria uma subpasta para cada usurio que ir utilizar uma pasta base. Por exemplo, ele cria uma subpasta jsilva,
a qual ser a pasta base da conta de logon jsilva, cria uma subpasta maria, a qual ser a pasta base da conta de
logon maria e assim por diante. Cada pasta individual compartilhada, com o nome de compartilhamento
igual ao nome de logon. Por exemplo, a pasta jsliva compartilhada como jsliva, a pasta maria compartilhada
como maria e assim por diante. Com isso o caminha da pasta base dos usurios jsila e maria fica conforme
exemplo a seguir:
\\srv01\homeusers\jsilva
\\srv01\homeusers\maria
O prximo passo definir as permisses de acesso em cada pasta. Por padro deve ser definido que apenas o prprio
usurio deve ter permisso de acesso a sua pasta base. Dependendo das polticas de segurana da empresa, pode ser
necessrio definir permisso de acesso tambm para o grupo Administradores do domnio. Criada a estrutura de
pastas em um dos servidores da rede, agora s informar no campo Conectar, a letra do drive que ser associado a
pasta base do usurio. No campo a, o administrador informa o caminho de rede para a pasta base do usurio. No
exemplo da Figura 14.20 est sendo associado o drive X, com a pasta base \\srv01\homeusers\jsilva. Neste exemplo,
toda vez que o usurio jsilva fizer o logon, em qualquer computador da rede, ser disponibilizado um drive X:, o qual
est associado com o caminho \\srv01\homeusers\jsilva.
Figura 14.20 Informando o caminho da pasta base e da profile do usurio.
Ao salvar as alteraes, o Windows Server 2003 substitui %username% pelo nome
de logon do usurio, o que reduz erros devido a erros de digitao no nome de
logon do usurio.
Mais algumas observaes sobre contas de usurios:
IMPORTANTSSIMO: Por que nomes iguais no significam contas iguais?
Esta uma questo fundamental e um erro comum que Administradores com
pouca experincia podem cometer. Me explico melhor. Quando voc cria uma
conta de usurio (quer seja uma conta local quer seja uma conta no domnio),
voc atribui um nome de logon para a conta, por exemplo: jsilva. Alm do nome,
o Windows Server 2003 cria um SID Security Identifier (Identificador de
segurana) para cada objeto do Active Directory. Para o Windows Server 2003 o
que vale, na prtica, o SID do objeto. Agora imagine que voc criou o usurio
IMPORTANTE: Ao invs de
informar o nome do usurio, no
caminho da pasta base, voc pode
utilizar a varivel %username%,
conforme exemplo a seguir:
\\srv01\ homeusers\%username%
jsilva, incluiu ele em diversos grupos e atribuiu permisses de acesso para este usurio. Internamente, o que o Win-
dows Server 2003 usa para identificar o usurio jsilva o SID associado a conta jsilva. O erro que muitos administradores
cometem o seguinte:
Vamos supor que, por engano, a conta jsilva foi excluda. Voc pode raciocinar assim: no tem problema, s criar a
conta jsilva novamente, definir a mesma senha e inclu-la nos mesmos grupos de antes que automaticamente a conta
jsilva ter todas as permisses de acesso que tinha antes. Certo? Nada disso, absolutamente errado. Ao excluir a conta
e cri-la novamente, um novo SID ser gerado para a conta jsilva. Embora o nome de logon seja o mesmo, para o
Windows Server 2003 como se fossem contas completamente diferentes. Porm, nos recursos da rede, est a permisso
de acesso para o SID antigo. Por isso que a nova conta, mesmo com o mesmo nome, no consegue acessar os recursos
que a antiga acessava, pois so SIDs diferentes. Na prtica o que tem que ser feito excluir a conta jsilva das listas de
permisso de todos os recursos e inclu-la novamente, para que seja utilizado o novo SID. Veja que um trabalho e
tanto, mas existem motivos relacionados segurana, para que seja utilizado um SID associado com cada objeto do
Active Directory, conforme descreverei na parte de segurana, mais adiante.
Ento no esquea: Ao excluir uma conta e cri-la novamente, com o mesmo nome e a mesma senha, para o Windows
Server 2003 no a mesma conta, porque um novo SID foi gerado quando a conta criada novamente. Por exemplo,
se voc havia criptografado uma pasta com a conta antiga, a nova conta, mesmo tendo o mesmo nome e a mesma
senha, no conseguir descriptografar esta pasta, porque para o Windows uma conta diferente, porque o SID interno
diferente.
Outra situao que pode acontecer simplesmente o usurio esquecer a senha da
sua conta. Situao que comum em ambientes de redes com mltiplos diretrios,
o que sinnimo de mltiplas senhas para lembrar, conforme descrito no Captulo
2. Quando o usurio esquece a senha, o administrador pode definir uma nova
senha para a conta do usurio. O administrador deve definir a nova senha, inform-
la ao usurio usando os procedimentos definidos nas polticas de segurana da
empresa e deve configurar a conta do usurio para que seja solicitada a troca da
senha no primeiro logon. Esta ltima opo importante para que o usurio possa
trocar a sua senha, de tal maneira que somente ele saiba a senha de sua conta (e de
preferncia no esquea mais).
Built-in Groups.
Quando um domnio criado (com a instalao do Active Directory no primeiro
DC do domnio), uma srie de grupos so criados. Estes grupos podem ser
acessados usando o console Usurios e computadores do Active Directory. Na
opo Builtin so exibidos os grupos locais do domnio, criados automaticamente
durante a criao do domnio, conforme indicado na Figura 14.21:
IMPORTANTE: Desabilitar
diferente de bloquear. Uma conta
bloqueada, automaticamente,
quando o usurio tenta fazer o
logon sem sucesso (por exemplo,
digitou a senha incorretamente),
um determinado nmero de vezes
(por padro trs vezes) dentro de
um perodo determinado (por
padro uma hora). Nesta situao
o Active Directory bloqueia a conta
automaticamente. O administrador
pode acessar as propriedades de
uma conta bloqueada, clicar na guia
Conta e desmarcar a opo A conta
est bloqueada, para desbloquear
a conta. Por padro a conta ser
desbloqueada, automaticamente,
dentro de 24 horas, caso o
administrador no a tenha
desbloqueado manualmente.
Figura 14.21 Grupos locais do domnio, criados automaticemente.
Outros grupos tambm so criados automaticamente. Estes grupos ficam na opo Users. Nesta opo so criados
grupos Locais, Globais e universais, conforme indicado na Figura 14.22:
Figura 14.22 Grupos locais, globais e universais, criados automaticemente na opo Users.
A seguir descrevo os diversos grupos que so criados automaticamente pelo Active Directory, os chamados Built-in
groups.
Grupos locais criados na opo Builtin:
Account Operators (Opers. de conta): Membros deste grupo podem criar, modificar e excluir contas de usurios,
grupos e computadores localizadas nas opes Users e Computers e tambm localizadas em Unidades
organizacionais do domnio. A exceo so as contas de DCs localizadas na opo Domain Controllers, para
as quais somente membros do grupo Administradores tem permisso. Membros do grupo Account Operators
no podero modificar a conta Administrator (Administrador) e nem o grupos Domain Admins (Admins. do
Domnio). Tambm no tem permisso para modificar as contas que pertencem ao grupo Domain Admins.
Observe que o objetivo impedir que membros deste grupo possam se incluir no grupo Admins. ou modificar
uma conta que j est neste grupo (por exemplo alterando a senha de uma destas contas), para poder fazer o
logon com permisso de administrador. Os membros deste grupo podem fazer o logon local nos DCs do
domnio e tambm tem permisso para desligar estes servidores. Membros deste grupo tem um nvel de
permisso elevado, principalmente pelo fato de poder alterar contas de usurios, por isso a administrador deve
ter cuidado ao adicionar membros a este grupo. Por padro os membros deste grupo tambm tem os seguintes
direitos de usurio: Allow log on locally; Shut down the system.
Administrators (Administradores): Podem tudo dentro do domnio.
Membros deste grupo tem controle e permisso total, em todos os DCs
do domnio. Por padro, o grupo Domain Admins (Adminis. do Domnio)
e o grupo Enterprise Admins (maravilhosamente traduzido como
Administradores de empresa), so membros do grupo local Administra-
tors. A conta Administrator (Administrador) tambm membro deste
grupo, por padro. Por padro os membros deste grupo tambm tem os
seguintes direitos de usurio: Access this computer from the network;
Adjust memory quotas for a process; Back up files and directories; By-
pass traverse checking; Change the system time; Create a pagefile; De-
bug programs; Enable computer and user accounts to be trusted for del-
egation; Force a shutdown from a remote system; Increase scheduling
priority; Load and unload device drivers; Allow log on locally; Manage
auditing and security log; Modify firmware environment values; Profile
single process; Profile system performance; Remove computer from dock-
ing station; Restore files and directories; Shut down the system; Take
ownership of files or other objects. Como os membros deste grupo tem
controle total em todos os DCs do domnio, seja cuidadoso e somente
adicione novos membros a este grupo quando realmente for necessrio.
IMPORTANTE: Os direitos de
usurios so uma srie especial de
permisses (tais como fazer o logon
localmente, desligar o servidor,
incluir um computador no domnio
e assim por diante), as quais so
atribudas a grupos e usurios. O
administrador pode atribuir
diferentes direitos para grupos e
usurios.
Backup Operators (Opers. de Cpia): Os membros deste grupo podem fazer o backup de pastas e arquivos,
mesmo que no tenham permisso de acesso (permisses NTFS Captulo 6) as pastas e arquivos. Isso
permite que a administrao das cpias de segurana (backup) seja realizada centralizadamente, sem que
tenha que ser atribuda permisso de acesso para o administrador do backup, em todos os recursos que fazem
parte do backup. Por padro este grupo no tem nenhum membro. O administrador dever adicionar membros
a este grupo. Por padro os membros deste grupo tambm tem os seguintes direitos de usurio: Back up files
and directories; Allow log on locally; Restore files and directories; Shut down the system
Guests (Convidados): Por padro, o grupo Domain Guests (Convidados do Domnio) e a conta Guest
(Convidado) so membros deste grupo. Por padro nenhum direito de usurio atribudo a este grupo.
Incoming Forest Trust Builders (Criadores de confiana de floresta de entrada). Membros deste grupo tem
permisso para criar relaes de confiana one-way (unilateral) com domnio root de outras florestas. Por
exemplo, membros deste grupo, pertencente a um domnio da floresta A, podem criar uma relao de confiana
one-way (unilateral) com um domnio pertencente a uma floresta X, de tal maneira que as contas do domnio
na floresta A, podem receber permisses de acesso aos recursos do domnio na floresta X, ou seja, o domnio
na floresta X, passou a confiar nas contas do domnio da floresta A. Este grupo, por padro, no tem nenhum
membro e tambm no tem nenhum direito de usurio atribudo ao grupo.
Network Configuration Operators (Operadores de Configuraes de Rede): Membros deste grupo podem
fazer alteraes nas configuraes do TCP/IP nos DCs do domnio e tambm podem usar o comando ipconfig/
renew e o comando ipconfig/release. Por padro este grupo no tem nenhum membro e nenhum direito de
Performance Monitor Users (Usurios do monitor de Desempenho): Membros deste grupo tem permisso
para usar o Console de Desempenho para monitorar os contadores de desempenho dos DCs, tanto localmente
quanto a partir de uma estao de trabalho da rede. Estas permisses, por padro, so atribudas a este grupo
e aos grupos Administrators (Administradores) e Performance Log Users (Usurios dos log de desempenho).
Por padro este grupo no tem nenhum membro e nenhum direito de usurio atribudo a este grupo.
Performance Log Users (Usurios dos log de desempenho): Membros deste grupo tem permisso para usar o
Console de Desempenho para monitorar os contadores e logs de desempenho, bem como alertas de desempenho
nos DCs, tanto localmente quanto a partir de uma estao de trabalho da rede. Estas permisses, por padro,
so atribudas a este grupo e aos grupos Administrators (Administradores) e Performance Log Users (Usurios
de log de desempenho). Por padro este grupo no tem nenhum membro e nenhum direito de usurio
atribudo a este grupo.
Pre-Windows 2000 Compatible Access (Acesso compatvel com verses anteriores ao Windows 2000): Membros
deste grupo tem permisso de acesso de leitura (Read) em todos os objetos do tipo usurios e grupos do
domnio. Este grupo disponibilizado por questes de compatibilidade com estaes de trabalho rodando o
Windows NT 4.0 ou verso anterior. Por padro, o objeto Everyone (Todos) membro deste grupo. Somente
adicione usurios a este grupo, se eles estiverem utilizando uma estao de trabalho com o NT 4.0 ou verso
anterior. Por padro os membros deste grupo tambm tem os seguintes direitos de usurio: Access this compu-
ter from the network; Bypass traverse checking.
Print Operators (Opers. de Impresso): Membros deste grupo tem permisso para gerenciar, criar, compartilhar
e excluir impressoras conectadas em DCs do domnio. Eles tambm tem permisso para gerenciar impressoras
que foram publicadas no Active Directory (No Captulo 7 voc aprender a publicar e a pesquisar impressoras
no Active Directory). Os membros deste grupo tambm tem permisso para fazer o logon localmente e para
desligar os DCs do domnio. Por padro este grupo no tem nenhum membro. Por padro os membros deste
grupo tambm tem os seguintes direitos de usurio: Allow log on locally; Shut down the system..
Remote Desktop (Usurios da rea de trabalho remota): Membros deste
grupo tem permisso para fazer o logon remotamente nos DCs do domnio.
a mesma funcionalidade de desktop remoto, introduzida inicialmente
no Windows XP. Voc aprendeu a utilizar esta funcionalidade no Captulo
12. Por padro este grupo no tem nenhum membro e nenhum direito de
Replicator (Duplicadores): Este grupo d suporte as funcionalidades de
replicao do Active Directory e utilizado pelo servio de replicao de
arquivos que roda nos DCs do domnio. No adicione usurios a este
grupo. Por padro este grupo no tem nenhum membro e nenhum direito
de usurio atribudo a este grupo.
IMPORTANTE: No esquea que, para
que um usurio possa fazer o logon via
Terminal Services, sendo um usurio sem
privilgios de administrador, este usurio
deve pertencer ao grupo Usurios da
rea de trabalho remota. Por exemplo,
se um usurio estiver tendo permisso
negada para acessar um servidor, via
Terminal Services, a soluo incluir a
conta deste usurio, no grupo Usurios
da rea de trabalho remota.
Server Operators (Opers. De Servidores): Os membros deste grupo podem realizar uma srie de operaes
nos DCs do domnio, tais como: logar localmente, criar e deletar compartilhamentos, inicializar e parar servios,
fazer o backup e o restore de arquivos, formatar um disco rgido e desligar o servidor. Por padro este grupo
no tem nenhum membro. Por padro os membros deste grupo tambm tem os seguintes direitos de usurio:
Back up files and directories; Change the system time; Force shutdown from a remote system; Allow log on
locally; Restore files and directories; Shut down the system.
Users (Usurios): Os membros deste grupo tem permisso para executar as tarefas mais comuns do dia-a-dia,
tais como: executar programas,usar impressoras locais e da rede e bloquear o servidor. Por padro os seguintes
grupos so membros deste grupo: Domain Users (Usurios do domnio), Authenticated Users (Usurios
autenticados) e Interactive (Interativo este um grupo especial interno do Windows Server 2003, o qual no
exibido no console Active Directory Users and Computers). Com isso qualquer conta do domnio far parte
deste grupo. Por padro nenhum direito de usurio atribudo a este grupo.
A seguir descrevo os grupos que so criados, automaticamente, na opo Users. Nesta opo so criados grupos
locais, globais e universais, dependendo do modo de funcionalidade do domnio.
Grupos criados na opo Users:
Cert Publishers (Editores de certificados): Grupo local. Membros deste grupo tem permisses para publicar
certificados para contas de usurios e computadores. Por padro este grupo no tem nenhum membro e nenhum
direito de usurio atribudo ao grupo.
DnsAdmins (em Portugus o nome do grupo tambm DnsAdmins): Grupo local. Este grupo somente
criado quando o DNS instalado no servidor. Membros deste grupo tem acesso administrativo ao servidor
DNS, ou seja, podem executar quaisquer aes nas configuraes do servidor DNS. Por padro este grupo no
tem nenhum membro e nenhum direito de usurio atribudo ao grupo.
DnsUpdateProxy (em Portugus o nome tambm DnsUpdateProxy): Grupo global. Este grupo somente
criado quando o DNS instalado no servidor. Membros deste grupo so clientes DNS que podem fazer
atualizaes dinmicas em nome de outros clientes, como por exemplo um servidor DHCP. Por padro este
grupo no tem nenhum membro e nenhum direito de usurio atribudo ao grupo.
Domain Admins (Admins. do domnio): Grupo global. Membros deste
grupo tem controle total nos recursos do domnio. Por padro, este grupo
membro do grupo local Administrators (Administradores) em todos os
DCs, em todas as estaes de trabalho e em todos os member servers do
domnio. Esta incluso feita, automaticamente, quando a estao de
trabalho ou o member server configurado para fazer parte do domnio.
Por padro a conta Administrator (Administrador) faz parte deste grupo.
Tenha cuidado ao incluir uma nova conta neste grupo, pois voc dar
poderes totais a esta conta. Por padro os membros deste grupo tambm
tem os seguintes direitos de usurio: Access this computer from the net-
work; Adjust memory quotas for a process; Back up files and directories:
Bypass traverse checking; Change the system time; Create a pagefile;
Debug programs; Enable computer and user accounts to be trusted for
delegation; Force a shutdown from a remote system; Increase scheduling
priority; Load and unload device drivers; Allow log on locally; Manage
auditing and security log; Modify firmware environment values; Profile
NOTA: No Captulo 16, do livro
Completo, 1568 pginas, quando
voc estudar o DNS e o DHCP em
detalhes, voc encontra uma
descrio detalhada desta interao
entre o DNS e o DHCP.
single process; Profile system performance; Remove computer from docking station; Restore files and direc-
tories; Shut down the system; Take ownership of files or other objects.
Domain Computers (Computadores do domnio): Grupo Global. Este grupo contm as contas de todas as
estaes de trabalho e servidores (member servers) que fazem parte do domnio. Por padro, qualquer conta
de computador criada no domnio, far parte deste grupo. Por padro nenhum direito de usurio atribudo ao
grupo.
Domain Controllers (Controladores de domnio): Grupo Global. Este grupo contm as contas de todos os DCs
do domnio. Por padro nenhum direito de usurio atribudo ao grupo.
Domain Guests (Convidados domnio): Grupo Global. Este grupo contm a conta Convidado como seu nico
membro. Por padro nenhum direito de usurio atribudo ao grupo.
Domain Users (Usurios do domnio): Grupo Global. Este grupo contm todos os usurios do domnio. Quando
uma nova conta de usurio criada, ela automaticamente adicionada a este grupo. Este grupo pode ser
utilizado para representar todos os usurios do domnio. Por exemplo, se voc quer que todos os usurios do
domnio tenham acesso de leitura aos arquivos de uma pasta compartilhada, basta dar permisso de leitura
para este grupo. Por padro nenhum direito de usurio atribudo ao grupo.
Enterprise Admins (Administrao de empresa este grupo somente exibido no domnio root de uma rvore
de domnios): Grupo Universal se o modo de funcionalidade do domnio aceita grupos Universais, caso contrrio
ser um grupo Global. Membros deste grupo tem controle total em todos os domnios de uma floresta. Por
padro este grupo membro do grupo Administrators (Administradores) em todos os DCs da floresta. Por
padro a conta Administrator (Administrador) membro deste grupo. Existem determinadas operaes que
somente podem ser realizadas por membros deste grupo, como por exemplo autorizar um servidor DHCP no
Active Directory (no esquea deste importante detalhe). Por padro, os membros deste grupo tambm tem os
seguintes direitos de usurio: Access this computer from the network; Adjust memory quotas for a process;
Back up files and directories; Bypass traverse checking; Change the system time; Create a pagefile; Debug
programs; Enable computer and user accounts to be trusted for delegation; Force shutdown from a remote
system; Increase scheduling priority; Load and unload device drivers; Allow log on locally; Manage auditing
and security log; Modify firmware environment values; Profile single process; Profile system performance;
Remove computer from docking station; Restore files and directories; Shut down the system; Take ownership
of files or other objects.
Group Policy Creator Owners (Proprietrios criadores de diretiva de grupo): Grupo global. Membros deste
grupo podem modificar as polticas de segurana (GPOs) do domnio. Por padro a conta Administrator
(Administrador) membro deste grupo. . Por padro nenhum direito de usurio atribudo ao grupo.
IIS_WPG (somente est disponvel quando o IIS instalado no servidor. Para detalhes sobre o IIS consulte o
Captulo 13). Este grupo representa o processo de execuo do IIS 6.0. Por padro no tem nenhum membro
e nenhum direito de usurio atribudo a este grupo.
RAS and IAS Servers: Servidores que so membros deste grupo tem permisso para acessar as propriedades
de acesso remoto dos usurios. Por padro nenhum direito atribudo a este grupo.
Schema Admins (Administradores de esquemas somente exibido no domnio root): Membros deste grupo
podem modificar o esquema do Active Directory. Conforme vimos no Captulo 2, o esquema a definio da
estrutura de dados do Active Directory. Por padro a conta Administrator (Administrador) membro deste
grupo. Muito cuidado ao adicionar contas a este grupo, pois modificao indevidas no esquema podem causar
verdadeiros desastres em todos os domnios da sua rede. Por padro nenhum direito atribudo a este grupo.
Delegando tarefas administrativas a nvel de OU:
Conforme descrito nos Captulo 1 e 2 e reforado no captulo 4, uma das grandes vantagens/utilizaes das OUs,
justamente a possibilidade de descentralizar tarefas administrativas, com a possibilidade de delegar permisses para
determinados usurios executarem tarefas especficas, apenas nos objetos (usurios, grupos e computadores), contidos
dentro de uma determinada OU.
Por exemplo, imagine uma rede onde temos um domnio chamado regiaosul.com.br. Neste domnio temos trs redes
locais, uma em Curitiba, outra em Florianpolis e outra em Porto Alegre. Voc pode montar uma estrutura de tal
maneira que apenas um grupo restrito (talvez um ou dois usurios), tenham poderes de Administrador em todo o
domnio, isto , somente um ou dois usurios pertenam ao grupo Admins. do domnio.
Em seguida voc pode criar trs unidades organizacionais, por exemplo: Curitiba, Florianpolis e Porto Alegre. O
prximo passo mover as contas de usurios, computadores e grupos da rede de Curitiba, para dentro da OU Curitiba;
mover as contas de usurios, computadores e grupos da rede de Florianpolis para a OU Florianpolis e, por fim,
mover as contas de usurios, computadores e grupos da rede de Porto Alegre para a OU Porto Alegre.
Agora voc pode descentralizar algumas tarefas administrativas, dando permisses para que um ou mais usurios
possam executar algumas tarefas administrativas nas contas de usurios, grupos e computadores da prpria OU. Por
exemplo, voc pode criar um grupo chamada Administradores da OU Curitiba, dentro da OU Curitiba. Em seguida
voc pode delegar tarefas para este grupo, em relao a OU Curitiba. Por exemplo, voc pode permitir que os membros
do grupo Administradores da OU Curitiba, possam criar novas contas de usurios e editar as contas j existentes
somente dentro da OU Curitiba. O mesmo pode ser feito em relao as demais OUs do domnio.
Observe que o com o uso de OUs, na prtica, possvel descentralizar uma srie de tarefas administrativas, delegando
tarefas para que um administrador da prpria OU, execute as tarefas mais comuns do dia-a-dia, tais como administrao
de contas de usurios e de recursos compartilhados, dentro dos recursos da prpria OU. No Captulo 4 voc encontra
um exemplo prtico, de como delegar permisses a nvel de OU.
Propriedades e Permisses de Segurana em Unidades Organizacionais.
Todos os objetos do Active Directory (usurios, grupos, computadores, Unidades Organizacionais e assim por diante)
tem um conjunto de propriedades e uma lista de permisses associadas. Neste item mostrarei as principais propriedades
de uma OU e as configuraes de segurana associadas.
DICA: Para que todas as opes da janela de propriedades de um objeto do Active Directory estejam disponveis, voc deve fazer
com que as opes avanadas sejam exibidas. Para tal basta usar o comando Exibir -> Recursos avanados, no console Usurios e
Computadores do Active Directory. Execute este comando antes de seguir adiante.
Para acessar as propriedades de uma OU, basta abrir o console Usurios e Computadores do Active Directory, localizar
a OU desejada, clicar com o boto direito na OU e, no menu de opes que exibido, clicar em Propriedades. Ser
exibida a janela de Propriedades da OU, com a guia Geral selecionada por padro, conforme indicado na Figura 14.23:
Figura 14.23 A janela de propriedades da OU.
Na guia Geral so exibidas informaes sobre a OU, tais como Cidade, pas, etc. Na guia Gerenciado por voc pode
selecionar um usurios que ser o contato e o responsvel pelo gerenciamento da OU. Normalmente o usurio que
recebeu permisses para gerenciar os objetos da OU, atravs do uso do assistente para Delegao de controle, descrito
anteriormente. Clique na guia Segurana. Ser exibida uma lista de usurios e grupos, com permisses de acesso a OU
e aos objetos da OU. Este uma lista de permisso de segurana igual a tantas outras utilizadas no Windows Server
2003, como por exemplo uma lista de permisses NTFS de acesso a pastas e arquivos (Captulo 6), conforme exemplo
da Figura 14.24:
Figura 14.24 Permisses bsicas de segurana para a OU.
Alm das permisses bsicas, tais como Controle total, Leitura, Gravao, Criar todos os objetos filho e Excluir todos
os objetos filho, voc pode definir permisses bem mais refinadas. Para isso clique no boto Avanado. Ser exibida
a janela de Configuraes de controle de acesso. Para definir uma grande variedade de permisses para um determinado
usurio ou grupo, clique no respectivo usurio ou grupo para selecion-lo e em seguida clique no boto Exibir/editar...
Ser aberta a janela Entrada de permisso, na qual voc tem um grande nmero de permisses, conforme indicado na
Figura 14.25:
Figura 14.25 Diversas permisses de segurana para a OU.
Na lista aplicar em voc ainda pode selecionar um determinado tipo de objeto. Ao selecionar um tipo de objeto, sero
exibidas apenas as permisses relacionadas ao tipo de objeto selecionado. Aps ter definido as permisses desejadas
clique em OK. Voc estar de volta janela de Configuraes de controle de acesso. Clique em OK para fech-la.
Voc estar de volta janela de propriedades da OU, com a guia Segurana selecionada. Clique em OK para fech-la.
Contas de computadores
Todos os computadores que executam o Windows NT, o Windows 2000, o Windows XP ou um servidor que executa
Windows Server 2003 que se associa a um domnio tm uma conta de computador. Semelhantes a contas de usurio,
as contas de computador fornecem um meio de autenticar e auditar o acesso do computador rede e aos recursos de
domnio. Cada conta de computador deve ser exclusiva, isto , no podem haver duas contas, com o mesmo nome, no
mesmo domnio.
As contas de usurio e computador so adicionadas, desabilitadas, redefinidas e
excludas usando o console Usurios e computadores do Active Directory. Uma
conta de computador tambm pode ser criada quando voc inclui um computador
em um domnio. Uma conta de computador mais um tipo de objeto, armazenado
no Active Directory. Quando um administrador configura uma estao de trabalho,
para fazer parte de um domnio, ser criada no Active Directory, uma conta para
o computador que est ingressando no domnio. O nome da conta ter o mesmo
nome do computador.
Todo computador que faz parte de um domnio (com exceo de computadores
com o Windows 95/98/Me), tem uma conta de computador criada no Active Di-
rectory. Alm da conta criada tambm uma senha, porm esta senha gerada,
automaticamente, pelo Active Directory. Esta senha tambm alterada,
periodicamente, pelo Active Directory.
Ao instalar o Windows Server 2003 em um servidor ou em uma estao de trabalho,
o padro que o computador seja configurado para fazer parte de um Workgroup.
Para que o computador faa parte de um domnio, baseado no Active Directory,
voc deve executar os seguintes passos:
Criar uma conta de computador, com o mesmo nome do computador.
Configurar o computador para fazer parte do domnio.
NDComputador: Obrigatrio. Especifica o nome distinto do computador
a ser adicionado. Se o nome distinto for omitido, ele ser retirado da entrada
padro (stdin).
Polticas de Senha para o Domnio
Ao criar um domnio, com a instalao do Active Directory no primeiro DC do
domnio, por padro so definidas algumas polticas de segurana relacionadas
com as senhas dos usurios. Por exemplo, por padro definido que a senha deve
ter no mnimo 7 caracteres e que deve ser trocada a cada 42 dias, dentre outras
definies. O administrador do sistema pode alterar estas polticas de segurana,
para adequ-las as necessidades da sua rede.
As polticas de segurana so definidas para o domnio como um todo, ou seja,
uma vez definidas elas passam a valer em todo o domnio. Alis esta um das
caractersticas determinantes de um domnio, ou seja, o compartilhamento de um
conjunto nico de polticas de segurana.
Neste item voc aprender a configurar as polticas de segurana relacionadas
com a senha do usurio. Estas polticas esto divididas em trs grupos, conforme
descrito a seguir:
Password Policy (Polticas de Senha): Estas polticas definem as
caractersticas que as senhas devem ter. Por exemplo: qual o nmero
mnimo de caracteres, devem ser trocadas de quantos em quantos dias,
devem ou no atender a critrios de complexidade e assim por diante.
executando Windows 95 e Windows
98 no tm recursos de segurana
avanados e no tm contas de
computador atribudas a eles.
IMPORTANTE: Quando o nvel
funcional de domnio foi definido
como Windows Server 2003, um
novo atributo lastLogonTimestamp
usado para rastrear o ltimo
horrio de logon de uma conta de
usurio ou computador. Este
atributo replicado no domnio e
pode fornecer informaes
importantes sobre o histrico de um
usurio ou computador.
IMPORTANTE: Voc pode criar
uma conta de computador, usando
o comando dsadd computer. A
forma mais simples deste comando,
est descrita a seguir: dsadd com-
puter NDComputador
DICA: Outro comando que pode ser
utilizado para criar uma conta de
computador o comando NETDOM,
o qual est contido no arquivo
Support.cab, da pasta
Support\Tools, do CD de instalao
Account Lockout Policy (Polticas para Bloqueio de Senha): Estas polticas definem quando uma conta ser
bloqueada, com base em um nmero de tentativas de logon sem sucesso. Por exemplo, o administrador pode
definir que se o usurio tentar fazer trs logons sem sucesso (por exemplo digitando uma senha incorreta para
a sua conta) dentro do perodo de uma hora, que a conta seja bloqueada. Estas polticas so utilizadas para
evitar que um usurio mal intencionado tente sucessivamente fazer o logon, usando diferentes senhas, em um
tentativa de adivinhar a senha do usurio.
Kerberos Policy (Polticas do Kerberos): O Kerberos um protocolo de autenticao utilizado por muitos
sistemas operacionais, como por exemplo o Windows 2000 Server, Windows Server 2003 e muitas verses do
UNIX. um protocola padro e muito utilizado. Existem algumas polticas de segurana relacionadas ao
protocolo Kerberos que podem ser definidas pelo administrador.
Estas polticas so configuradas usando o console Diretiva de segurana de domnio, o qual acessado Iniciar ->
Ferramentas Administrativas.
Ao abrir o console Diretiva de segurana de domnio sero exibidas diversas opes de configuraes de polticas de
segurana do domnio. Clique no sinal de +, ao lado da opo configuraes de segurana. Sero exibidas vrias
opes. A primeira opo, no painel da esquerda, : Diretivas de conta. Ao clicar no sinal de + ao lado desta opo, so
exibidas as opes Diretivas de senha, Diretivas de bloqueio de conta e Diretivas do Kerberos, conforme indicado na
Figura 14.26:
Figura 14.26 As opes de diretivas de contas do domnio.
Ao clicar em uma das opes, por exemplo Diretivas de senha, as diversas diretivas da opo selecionada sero
exibida no painel da direita, conforme indicado na Figura 14.27:
Figura 14.27 Diretivas da opo Diretivas de senha.
Para alterar uma diretiva basta dar um clique duplo na respectiva diretiva. Por exemplo, d um clique duplo na diretiva
Tempo de vida mximo da senha. Por padro definido o valor de 42 dias para esta diretiva. Ao dar um clique duplo
nesta diretiva ser aberta uma janela onde so exibidas as configuraes atuais da diretiva e onde voc pode fazer as
alteraes necessrias, conforme exemplo da Figura 14.27 onde so exibidas as configuraes da diretiva Tempo de
vida mximo de senha:
Figura 14.28 Configurando os valores da diretiva Tempo de vida mximo de senha.
Aps ter definido as configuraes desejadas s clicar em OK. Observe a opo Definir a configurao da diretiva.
Voc pode desabilitar uma diretiva, fazendo com que ela deixe de ser aplicada, simplesmente desmarcando esta opo.
A seguir descrevo as diretivas dos grupos Diretivas de senha e Diretivas de bloqueio de senha. Estas so as diretivas
cobradas no Exame 70-290.
so definidas as seguintes polticas de segurana em relao as senhas de usurios:
Quando o usurio vai trocar a senha, no pode ser utilizada uma senha igual as 24 ltimas (haja criatividade para
inventar senhas).
Com a opo A senha deve atender critrios de complexidade (Password must meet complexity requirementes)
habilitada por padro, uma srie de requisitos devem ser atendidos para que a senha seja aceita. A seguir
descrevo estes critrios:
AbCsenha1
AbcSenha#
Abc123
Abc;;senha
IMPORTANTE : Para as senhas, o
abc;senha: (contm somente caracteres de dois dos quatro grupos: letras minsculas e caracteres especiais).
Todas estas configuraes de senha so definidas pelas diretivas de segurana do grupo Diretivas de senha, as quais
esto descritas a seguir:
Aplicar histrico de senhas: Nesta diretiva o administrador informa o nmero de senhas que sero gravadas no
histrico de senhas do usurio. Por exemplo, se esta diretiva estiver definida com um valor 5, significa que ao
trocar a senha, o usurio no poder utilizar uma das ltimas cinco senhas que ele utilizou. Esta diretiva
utilizada para evitar que o usurio possa repetir sempre as mesmas senhas. Por padro ela tem o seu valor
definido como 24, ou seja, ao trocar a senha, o usurio no poder utilizar uma senha igual a uma das ltimas
24 que ele utilizou.
Tempo de vida mximo da senha: Esta diretiva define um tempo mximo de durao da senha. Uma vez
transcorrido este perodo o usurio obrigado a alterar a senha. Esta diretiva aceita valores na faixa entre 1 e
999. Se voc definir um valor 0 para este diretiva, equivale a definir que
as senhas nunca expiram (embora no seja nada recomendado definir que
as senhas nunca expiram). Se o valor desta diretiva for definido na faixa
entre 1 e 999, o valor da diretiva Minimum password age (Tempo de vida
mnimo da senha), deve ser menor do que o valor definido na diretiva
Maximum password age (Tempo de vida mximo da senha). Em outras
palavras, o tempo mnimo de vida deve ser menor do que o tempo mximo,
o que faz sentido evidentemente. O valor padro para esta diretiva de 42
dias. recomendado um valor entre 30 e 45 dias para esta diretiva.
Tempo de vida mnimo da senha: Esta diretiva define o tempo mnimo,
em dias, pelo qual a senha deve ser utilizada, antes que ele possa ser
novamente alterada. Por exemplo, se esta diretiva estiver definida com
um valor igual a 5 e o usurio alterar a sua senha hoje, significa que ele
somente poder alterar novamente esta senha daqui a cinco dias. Este
diretiva, conforme descrito anteriormente, deve ser utilizada em conjunto
com a diretiva Enfore password history (Aplicar histrico de senhas), para
efetivamente forar que seja mantido um histrico de senhas e que o usurio
no possa utilizar uma senha igual as ltimas x senhas, sendo o valor x
definido na diretiva Enfore password history (Aplicar histrico de senhas).
O valor desta diretiva pode estar na faixa de 1 a 998. Um valor 0 significa
que no existe tempo de vida mnimo da senha, ou seja, o usurio pode
alterar a senha a qualquer momento e repetidamente. Por padro definido
o valor 1 nos DCs e 0 nos member servers. Uma regra normalmente
utilizada definir esta diretiva com um valor correspondente a um tero
do valor definido na diretiva Maximum password age (Tempo de vida
mximo da senha).
NOTA: O valor de 24 para este
diretiva o padro em DCs do
domnio. Em member servers o
valor padro zero, ou seja, sem
histrico de senha. Para que esta
diretiva tenha efeito, ele deve ser
utilizada em conjunto com a diretiva
Minimum password age (Tempo de
vida mnimo da senha). Se no
houver um tempo mnimo de vida
para a senha, o usurio poderia tro-
car a senha 24 vezes no mesmo dia.
Com isso ele poderia simplesmente
continuar utilizando sempre a
mesma senha.
Comprimento mnimo da senha: Esta diretiva define o nmero mnimo de caracteres que deve ter a senha.
Voc pode definir um valor entre 1 e 14. Para definir que no exigido um comprimento mnimo, defina esta
diretiva com o valor 0. Por padro definido o valor 7 nos DCs e 0 nos member servers.
A senha deve satisfazer a requisitos de complexidade: Esta diretiva habilitada por padro. Com isso, uma
srie de requisitos devem ser atendidos para que a senha seja aceita, conforme descrevi anteriormente.
Armazenar senhas usando criptografia reversa: Esta diretiva somente deve ser habilitada quando houver
aplicaes que necessitam deste padro de senhas. Mais especificamente so aplicaes que precisam conhecer
a senha do usurio por questes de autenticao. Esta diretiva, em termos de segurana, muito semelhante a
armazenar a senha como texto sem criptografia, ou seja, no recomendada em termos de segurana e somente
deve ser habilitada quando realmente houver necessidade por questes de compatibilidade com algum sistema
de aplicao crtica para a empresa. Esta diretiva requerida tambm em algumas situaes especficas, por
exemplo, quando utilizado o protocolo CHAP para autenticao atravs do RRAS ou do IAS. Tambm
requerida quando for usada a autenticao do tipo Digest Authentication com o IIS. Por padro esta diretiva
est desabilitada.
Descrio das diretivas do grupo Diretivas de bloqueio de conta
Limite de bloqueio de conta: Esta diretiva define o nmero de tentativas
de logon sem sucesso que sero necessrias para que a conta seja
bloqueada. Este nmero de tentativas deve ocorrer dentro do perodo
definido pela diretiva Zerar contador de bloqueios de conta aps. Vamos
supor que a diretiva Limite de bloqueio de conta esteja definida com o
valor trs e que a diretiva Zerar contador de bloqueios de conta aps esteja
definida com o valor 60 minutos. Isso significa que se o usurio fizer trs
tentativas de logon sem sucesso, dentro de uma hora, a sua conta ser
bloqueada. Esta diretiva pode ter um valor entre 1 e 999. Um valor igual a
0 significa sem bloqueio, ou seja, o usurio poder fazer quantas tentativas
quiser, que a conta no ser bloqueada.
Zerar contador de bloqueios de conta aps: Esta diretiva define o perodo
dentro do qual as tentativas de logon sem sucesso devem ser feitas para
que a conta seja bloqueada. Por exemplo, vamos imaginar que esta diretiva
estiver definida como 60 minutos e o usurio tenha feito duas tentativas
de logon sem sucesso. Se ele fizer mais uma tentativa nos prximos
sessenta minutos, a conta ser bloqueada. Se transcorrer 60 minutos sem
nenhuma tentativa sem sucesso, o contador ser zerado. Esta diretiva pode
conter valores na faixa de 1 a 99999 minutos. Esta diretiva somente pode
ser habilitada quando a diretiva Limite de bloqueio de conta, estiver
habilitada.
IMPORTANTE: A seguir descrevo
as diretivas deste grupo, as quais
so utilizadas para definir quando
uma conta deve ser bloqueada,
aps sucessivas tentativas de logon
sem sucesso. Conhea bem estas
diretivas, pois elas so um ponto
importante para o Exame 70-290.
IMPORTANTE: Tentativas de
desbloqueio de estaes de trabalho
e member servers, sem sucesso,
tambm contam para o nmero de
tentativas sem sucesso.
Durao do bloqueio de conta: Esta diretiva define o tempo, em minutos, pelo qual a conta permanecer
bloqueada, uma vez que tenha sido bloqueada por sucessivas tentativas de logon sem sucesso. O valor pode
variar de 1 a 99999. Um valor 0 significa que a conta no ser desbloqueada automaticamente. Com esta
configurao o Administrador ter que desbloquear a conta do usurio. Esta diretiva somente ter efeito quando
a diretiva Limite de bloqueio de conta tiver sido definida.
Gerenciamento de discos e Volumes no Windows Server 2003
Existem alguns conceitos, termos e definies que voc precisa conhecer sobre o gerenciamento de discos e volumes,
no Windows Server 2003. Por exemplo, fundamental que voc saiba a diferena entre um Disco fsico e um Volume
lgico. Neste tpico vou apresentar uma reviso sobre os diversos termos relacionados com o gerenciamento de discos
e volumes no Windows Server 2003.
Disco Fsico
Chamamos de Disco Fsico, a cada HD (antigamente mais conhecido por Winchester) instalado no computador. O
primeiro HD instalado denominado de Disco 0, o Segundo HD chamado de Disco 1 e assim por diante. Um disco
fsico pode ser configurado como Disco Bsico ou Disco Dinmico. Mais adiante voc entender as diferenas entre
um disco bsico e um disco dinmico. Um disco bsico, pode ser dividido em uma ou mais parties e um disco
dinmico, pode ser dividido em um ou mais volumes.
Duas observaes importantes:
Sistemas operacionais anteriores ao Windows 2000, no conseguem acessar discos dinmicos. Por isso, se
voc est utilizando um sistema multi-boot, com mais de uma verso do Windows instalada, tenha cuidado ao
converter um disco de dinmico para bsico, pois isso far com que verses do Windows, anteriores ao Win-
dows 2000, no consigam mais inicializar e ter acesso ao disco dinmico. Voc aprender o conceito de disco
dinmico e bsico, bem como as aes prticas relacionadas, neste captulo.
Em servidores, onde utilizada uma placa da RAID por hardware, pode acontecer de um conjunto de trs ou
mais discos fsicos, que fazem parte do RAID, aparecerem para o Windows Server 2003 como um nico
disco. Por exemplo, pode acontecer de voc ter cinco discos de 50 GB formando o RAID, e estes discos
aparecerem como um nico disco fsico, de 160 GB (eu no errei na soma no, quando estudarmos RAID,
voc entender o porqu desta perda de 20% no espao total do RAID).
Volumes Lgicos
Um volume lgico aparece para o sistema operacional, normalmente, como uma unidade a mais, tal como F:, G:, M: e
assim por diante. Voc pode dividir um disco fsico em um ou mais volumes. Por exemplo, um disco de 80 GB, pode ser
dividido em trs volumes. Por exemplo, voc pode criar o C: com 40 GB, onde ser instalado o Windows Server 2003 e
os aplicativos, pode criar um D: com 20 GB, onde sero gravados arquivos de log do Sistema Operacional, o banco de
dados do Active Directory e arquivos de log de outros servios, como por exemplo os arquivos de Log de Transaes do
SQL Server 2000 e, finalmente, um E:, com os 20 GB restantes, onde sero gravados arquivos dos usurios. Observe que
neste exemplo temos um disco fsico (Disco 0), o qual foi dividido em trs Volumes Lgicos (C:, D: e E:).
A definio oficial de volume, contida na Ajuda do Windows Server 2003 a seguinte:
Volume uma rea de armazenamento em um disco rgido (disco fsico). Um volume formatado usando um
sistema de arquivos, tais como FAT ou NTFS, e tem uma letra de unidade atribuda a ele. Voc pode visualizar o
contedo de um volume clicando em seu cone no Windows Explorer ou em Meu computador. Um nico disco rgido
pode ter vrios volumes, que tambm podem abranger vrios discos.
A ltima parte da definio que pode parecer um pouco esquisita: ...que podem abranger vrios discos. Voc ver,
neste captulo, que determinados tipos de volumes, podem ocupar reas em dois ou mais discos.
Armazenamento Bsico e Armazenamento Dinmico
Antes que seja possvel utilizar um novo disco no Windows Server 2003, o administrador deve realizar algumas
operaes. Um dos aspectos que o administrador deve definir o tipo de armazenamento que ser utilizado no disco.
No Windows Server 2003 (a exemplo do que acontece no Windows 2000 Server) possvel optar entre dois tipos de
armazenamento: Armazenamento bsico ou o Armazenamento dinmico. A seguir descreverei estes dois tipos de
armazenamento em detalhes.
Armazenamento bsico
o tipo de armazenamento que vem sendo utilizado desde a poca do bom e velho (talvez no to bom) MS-DOS.
utilizado por sistemas como o Windows 95, Windows 98, Windows NT Server 4.0 e Windows NT Workstation 4.0.
o tipo de armazenamento padro no Windows Server 2003, isto , todos os novos discos so criados com Armazenamento
bsico. Caso seja necessrio o administrador pode transform-los para armazenamento dinmico sem perda de dados.
Um disco com armazenamento bsico chamado de disco bsico.
No armazenamento bsico, o disco dividido em parties. Uma partio uma
parte, um pedao do disco que se comporta como se fosse uma unidade de
armazenamento separada. Por exemplo, em um disco de 4GB, posso criar duas
parties de 2GB, que na prtica se comportam como se fossem dois discos de
2GB independentes. Em um disco com armazenamento bsico, possvel ter
Parties primrias, parties estendidas e Drivers lgicos. Mostrarei mais detalhes
sobre estes elementos, bem como exemplos de utilizao de cada um deles.
Partio primria: O Windows Server 2003 pode utilizar uma partio primria,
para inicializar o computador, sendo que somente parties primrias podem ser
marcadas como ativas. Uma partio ativa onde o computador procura pelos
arquivos de inicializao para efetuar o processo de boot do Sistema Operacional.
Um disco bsico somente pode possuir uma partio marcada como ativa. Um
disco bsico pode conter no mximo quatro parties primrias. Considere o
exemplo da Figura 14.29, onde um disco de 7 GB foi dividido em quatro parties
primrias. Trs de 2 GB e uma de 1GB. Observe que para cada partio primria
atribuda uma letra de unidade: C:, D: e assim por diante.
NOTA: Utilizarei a palavra disco
como sendo sinnimo de um disco
rgido, ou seja, um disco fsico. Ento
sempre que voc encontrar uma
referncia a disco, entenda como
sendo um disco rgido e no um
disquete ou outro tipo de mdia.
Tambm importante salientar que
uso a palavra disco em referncia
ao disco fsico, o qual pode ser
dividido em vrias parties (no
caso de armazenamento bsico) ou
vrios volumes (no caso de
armazenamento dinmico).
salientar que um disco somente
pode ser configurado para um tipo
de armazenamento. No possvel,
por exemplo, ter uma parte do disco
configurada como armazenamento
bsico e o restante como
Figura 14.29 No mximo podem ser criadas quatro parties primrias em um disco bsico.
Partio estendida: Apenas uma partio estendida pode ser criada em um disco bsico. Parties estendidas so
criadas a partir do espao livre no disco bsico. Espao livre o espao que no est sendo ocupado por nenhuma
partio. Por isso aconselhvel, quando da criao de uma partio estendida, que todo o espao livre seja ocupado.
A partio estendida dividida em segmentos, sendo que cada segmento representar um drive lgico. Deve ser
atribuda uma letra para cada drive lgico e este deve ser formatado com um sistema de arquivos FAT, FAT32, NTFS
ou NTFS 5 (nova verso do NTFS disponvel a partir do Windows 2000). Com o uso de uma partio estendida e
drivers lgicos, possvel superar o limite de quatro unidades por disco, que imposto quando se utiliza apenas
parties primrias.
Considere o exemplo da Figura 14.30, onde exibido um disco com trs parties primrias (C:, D: e E:), e um
volume estendido, no qual foram criados dois drivers lgicos (F: e G:).
Figura 14.30 Utilizando parties estendidas.
Para o Windows Server 2003 existem duas parties que so muito importantes. A Partio do Sistema System
Partition a Partio ativa, a qual contm os arquivos necessrios para o processo de boot do Windows Server 2003
(normalmente a primeira partio ativa do primeiro disco). A Partio de boot Boot partition, uma partio
primria, ou um drive lgico onde esto instalados os arquivos do Windows Server 2003, normalmente em uma pasta
chamada WINNT ou WINDOWS. Muitas vezes estes conceitos causam uma certa confuso, porque podemos dizer
que a Partio do Sistema contm os arquivos de boot e a Partio de boot contm os arquivos do Sistema Operacional.
Normalmente a Partio do Sistema e a Partio de boot, esto na mesma partio, tipicamente no drive C:
Dependendo da maneira com que as parties so criadas ou combinadas, podem existir diversos tipos de parties
em um disco de armazenamento bsico, conforme descrito a seguir:
Partio do Sistema: Contm os arquivos necessrios para o boot do Windows Server 2003.
Partio de boot: Contm os arquivos do Windows Server 2003, tipicamente em uma pasta WINNT ou WINDOWS.
Volume set: Para criar um Volume set usado o espao de duas ou mais parties, no mesmo disco ou em
discos diferentes, de tal forma que estas parties apaream, para o Windows Server 2003 como uma nica
unidade. Por exemplo posso combinar uma partio de 1 GB com outra de 4 GB, para formar uma unidade de
5 GB. Posso aumentar o tamanho de um Volume set (operao chamada de estender o Volume set), porm no
posso reduzir o tamanho sem que haja perda dados. possvel usar at 32 parties para criar um Volume set.
O Windows Server 2003 preenche todo o espao da primeira partio, depois o da segunda e assim por diante.
Se uma das parties apresentar problemas, todo o Volume set ser perdido. Posso juntar parties de tamanhos
diferentes. Um Volume set no pode conter a Partio do sistema, nem a Partio de boot.
Stripe set: Para criar um Stripe set combina-se espaos iguais de dois ou mais discos. No podem ser utilizadas
duas parties do mesmo disco. Posse utilizar at 32 parties. Os dados so gravados em todas as parties de
uma maneira uniforme, isto , o espao de cada partio vai sendo preenchido a medida que os dados so
gravados. No apresenta tolerncia a falhas, pois se uma das parties apresentar problemas, todo o Stripe Set
ser perdido. Uma das vantagens do Stripe set que o desempenho melhora devido as gravaes simultneas
em mais de um disco. No pode conter a Partio do sistema, nem a Partio de boot.
Mirror set Raid 1: Permite a duplicao de uma partio em um disco bsico. Com isso a medida que os
dados vo sendo gravados, o Windows Server 2003, automaticamente vai duplicando os dados na partio
espelhada. Pode conter a Partio do sistema e tambm a Partio de boot. O maior inconveniente que existe
um comprometimento de 50% do espao em disco. Por exemplo, para fazer o espelhamento de uma partio
de 2 GB, sero necessrios 4 GB de espao em disco (2 GB da partio
original mais 2 GB da partio espelhada). Apresenta tolerncia a falhas,
pois se uma das parties espelhadas falhar, a outra continua funcionando.
O administrador pode substituir o disco defeituoso e restabelecer o
espelhamento.
Stripe set com paridade Raid 5: Um Stripe set com paridade um Stripe
set com tolerncia a falhas. Junto com os dados, o Windows Server 2003
grava informaes de paridade (obtidas a partir de clculos matemticos)
nos vrios discos que formam o Stripe set com paridade. Com isso, no
evento de falha de um dos discos, toda a informao do disco com
problemas, pode ser reconstituda a partir das informaes de paridade
dos outros discos. O disco defeituoso pode ser substitudo e a informao
nele contida pode ser recriada a partir da informao de paridade nos
demais discos do RAID-5. Para que possa ser criada uma partio do tipo
RAID-5, um mnimo de trs discos necessrio. Porm se dois discos
falharem, ao mesmo tempo, no ser possvel recuperar a informao.
Tambm existem implementaes de RAID-5 em hardware, que so mais
rpidas, porm tem um custo maior.
a partio do sistema e a partio
de boot, no pode ser uma partio
do tipo Volume set, Stripe set sem
paridade ou Stripe Set com Paridade
(RAID-5). Ou de uma maneira mais
simples, as parties do sistema e
de boot, somente podem ser do tipo
partio simples ou do tipo Mirror
set (Raid-1).
No armazenamento dinmico, criada uma nica partio com todo o espao do disco. Um disco configurado com
armazenamento dinmico chamado de Disco dinmico. Um disco dinmico pode ser dividido em volumes. Um
volume pode conter uma ou mais partes de um ou mais discos. Tambm possvel converter um disco bsico para
disco dinmico, diretamente, sem perda de dados. Existem diferentes tipos de volumes. O tipo de volume a ser utilizado,
determinado por fatores tais como espao disponvel, performance e tolerncia a falhas. A tolerncia a falhas, diz
respeito a possibilidade do Windows Server 2003 manter as informaes, mesmo no evento de comprometimento de
um disco ou volume.
Em discos de volume dinmico podem ser criados os seguintes tipos de volumes:
Volume simples: criado usando todo ou parte do espao de um nico disco. Tambm pode ser criado usando
duas ou mais partes de um mesmo disco dinmico. No fornece nenhum mecanismo de tolerncia a falhas,
isto , se houver algum problema com o disco onde est o volume, toda a informao ser perdida. O Windows
Server 2003 pode ser instalado em um volume simples. Se o volume simples no for utilizado como volume
do sistema (onde esto os arquivos de boot do Windows Server 2003) ou como volume de boot (onde esto os
arquivos do Sistema Operacional), ele pode ser estendido (adicionadas novas pores) usando partes do mesmo
disco ou de outros discos. No possvel estender um volume simples se ele for o volume de boot ou o volume
do sistema. Ao estender um volume simples, usando pores de dois ou mais discos, ele torna-se um Spanned
volume (Volume estendido).
Volume estendido: Pode incluir espao de at 32 discos. O Windows Server 2003 comea a preencher o espao
do primeiro disco, aps este estar esgotado, passa para o espao disponvel no segundo disco e assim por
diante. No fornece nenhum mecanismo de tolerncia a falhas. Se um dos discos que formam o volume
apresentar problemas, todo o volume estar comprometido. Tambm no oferece melhoria no desempenho,
uma vez que a informao somente gravada ou lida em um disco ao mesmo tempo.
Volume espelhado (Mirrored volume Raid-1): formado por duas cpias idnticas do mesmo volume,
sendo que as cpias so mantidas em discos separados. Volumes espelhados oferecem proteo contra falha,
uma vez que se um dos discos falhar, a informao do outro disco pode ser utilizada. O espelhamento pode ser
desfeito, o disco defeituoso substitudo, e o espelhamento pode ser refeito. O nico inconveniente que devido
a duplicidade das informaes, o espao de armazenamento necessrio exatamente o dobro. Por exemplo,
para espelhar um volume de 10 GB voc precisar de um espao adicional de 10 GB em outro disco rgido. Ou
seja, para 10 Gb de informaes voc utiliza 20 GB, sendo os 10 GB adicionais para o espelhamento.
Striped Volume: Podem ser combinadas reas de espao livre de at 32 discos. No apresenta nenhum mecanismo
de tolerncia a falhas, pois se um dos discos do Striped Volume falhar, toda a informao estar comprometida.
Uma das vantagens que o desempenho melhora, uma vez que as informaes so gravadas nos diversos
discos ao mesmo tempo.
Volume do tipo RAID-5: Um volume do tipo RAID-5 um Striped volume, porm com tolerncia a falhas.
Junto com os dados, o Windows Server 2003 grava informaes de paridade (obtidas a partir de clculos
matemticos) nos vrios discos que formam o volume do tipo RAID-5. Com isso, no evento de falha de um
dos discos, toda a informao do disco com problemas, pode ser reconstituda a partir das informaes de
paridade, contida nos demais discos. O disco defeituoso pode ser substitudo e a informao nele contida pode
ser recriada a partir da informao de paridade gravada nos demais discos do volume RAID-5. Para que voc
possa criar um volume do tipo RAID-5, necessrio espao disponvel em, pelo menos, trs discos fsicos
diferentes. O mecanismo de tolerncia falhas restringe-se a falha de um dos discos do volume, se dois discos
falharem ao mesmo tempo, no ser possvel recuperar os dados
Existem mais alguns detalhes importantes que devem ser conhecidos:
reconhecidos pelo Windows Server 2003.
Pode acontecer de aps o administrador ter instalado, fisicamente o disco e
inicializado o servidor, de o disco ter sido reconhecido no Setup do computador,
porm ainda no estar disponvel para uso no Windows Server 2003. Nestas
situaes o disco pode apresentar diferentes Status, dependendo de o disco j
estar sendo utilizado em outro servidor, de estar ou no formatado, de fazer ou
no parte de um volume set ou de um volume RAID-5 e assim por diante. No
prximo exemplo mostrarei uma situao onde dois novos discos foram instalados
no servidor. O Windows Server 2003 reconheceu a presena destes discos, porm
marcou-os com o Status Foreign (Externo). Este status, normalmente, indica dis-
cos que estavam sendo utilizados em outros computadores e foram instalados no
servidor no qual voc est trabalhando. No exemplo a seguir mostrarei como
tornar estes discos disponveis para o Windows Server 2003. Voc ir, primeiro,
importar os discos.
Exemplo: Para tornar disponveis discos com o status Foreign (Externo), siga os
administrador.
2. Abra o console Gerenciamento do computador.
NOTA: Dispositivos de
armazenamento removveis, com um
Zip drive, somente suportam
armazenamento bsico e somente
podem ter parties primrias. Alm
disso uma partio primria deste tipo
de dispositivo, no pode ser marcada
como ativa, para que seja possvel dar
o boot a partir desta partio.
IMPORTANTE: muito importante
lembrar, que o armazenamento
dinmico somente suportado pelo
Windows 2000 (Professional e Server
e tambm pelo Windows XP) e pelo
Windows Server 2003, sendo que dis-
cos dinmicos no sero reconhecidos
por outros sistemas operacionais como
o Windows NT Server 4.0, Windows
95, Windows 98 e Windows NT
Workstation 4.0.
4. Em alguns instantes so exibidos os discos disponveis no computador. No exemplo da Figura 14.31 so exibidos
dois discos com o status Foreign (Externo). Neste exemplo voc ir importar estes discos e depois ir excluir os
volumes (ou volume) neles existentes.
Figura 14.31 Discos com o status Foreign.
Observe que o Disco 2 e o Disco 3 esto com o status Foreign (Externo). O Windows Server 2003 numera os discos a
partir do zero. No servidor da Figura 5.6 existem 4 discos instalados (Disco 0, Disco 1, Disco 2 e Disco 3). Voc ir
importar os discos 2 e 3, os quais esto com o status Foreign (Externo).
5. Clique com o boto direito do mouse prximo ao ponto de exclamao, ao lado de Disco 2. No menu de opes
que exibido clique na opo Importar discos externos.
6. Ser exibida a janela Importar discos externos. Nesta janela j vem selecionado o disco no qual voc clicou com
o boto direito do mouse, conforme indicado na Figura 14.32. Se voc clicar no boto Discos, ser exibido o disco
no qual voc clicou com o boto direito do mouse. Nesta janela somente pode ser selecionado um disco por vez,
ou seja, no possvel importar mais de um disco ao mesmo tempo.
7. Clique em OK e pronto, o disco ser importado. Observe que o disco que voc acabou de importar j est disponvel
para uso.
8. Agora clique com o boto direito do mouse no outro disco a ser importado. Selecione o comando Importar discos
externos...
Figura 14.32 Discos com o status Externo.
9. A janela Importar discos externos ser exibida. Clique em OK. Se houver algum volume que possa ser utilizado
no Windows Server 2003, disponvel no disco que est sendo importado, ser exibida a janela Foreign Disk
Volumes (Volumes do disco externo).
10. Clique em OK para fechar esta janela.
11. Pronto, o disco foi importado e est disponvel para uso, conforme indicado na Figura 14.33, onde no existe mais
nenhum disco com o status Foreign (externo). Todos os discos esto com o status Online. Observe que no ltimo
disco que foi importado (Disco 3) existe um volume simples (formado por duas pores do disco, uma de 2 GB
e outra de 512 MB e um espao no alocado de 1,51 GB).
Figura 14.33 Volumes existentes no disco que foi importado.
A seguir apresenta uma descrio de cada um dos possveis Status que podem ser exibidos para um disco, no console
Status Externo:
O status Externo ocorre quando voc move um disco dinmico de um computador que esteja executando o Windows
2000, Windows XP Professional, ou a famlia de sistemas operacionais Windows Server 2003 para o computador
local. O status Externo tambm pode ocorrer em computadores executando o Windows XP Home Edition que estejam
configurados como multi boot, com outro sistema operacional que use discos dinmicos (como o Windows 2000
Professional ou o Windows XP Professional). No h suporte para discos dinmicos no Windows XP Home Edition
ou em notebooks. Um cone de aviso exibido nos discos que exibem o status Externo.
Para acessar os dados no disco, voc deve adicionar o disco configurao de sistema do computador. Para adicionar
um disco configurao de sistema do computador, importe o disco externo (conforme descrito no exemplo anterior).
Todos os volumes existentes no disco externo se tornam visveis e acessveis quando voc importa o disco.
Em alguns casos, um disco que foi previamente conectado ao sistema pode exibir
o status Externo. Os dados de configurao dos discos dinmicos so armazenados
em todos os discos dinmicos. Portanto, as informaes sobre quais discos
pertencem ao sistema se perdem quando todos os discos dinmicos falham.
Status Inicializando:
O status Inicializando um status temporrio que ocorre quando voc converte
um disco bsico em dinmico. Quando a inicializao termina, o status do disco
alterado para On-line.
Status Faltando:
O status Faltando ocorre quando um disco dinmico corrompido, desligado ou
desconectado. Em vez de ser exibido na coluna de status, o status Faltando
exibido como nome de disco. Aps reconectar ou ligar o disco ausente, abra o
console Gerenciamento de disco, clique com o boto direito do mouse no disco
ausente e, em seguida, clique em Reativar disco. Se houver mais de um disco
faltando no grupo, o Gerenciamento de disco tentar reativar todos os discos.
Status No inicializado:
O status No inicializado ocorre quando um disco no contm uma assinatura
vlida. Depois que voc instala um novo disco, o Windows XP Professional ou a
famlia de sistemas operacionais Windows Server 2003 deve gravar um registro
de inicializao principal (MBR) ou uma tabela de partio GUID (GPT) para
que seja possvel criar parties no disco. Quando voc iniciar o Gerenciamento
de disco pela primeira vez aps a instalao de um novo disco, ser exibido um
assistente que fornece uma lista dos novos discos detectados. Se voc cancelar o
assistente antes que a assinatura de disco seja gravada, o status do disco
permanecer como No inicializado at que voc clique com o boto direito do
mouse no disco e, em seguida, clique em Inicializar disco. O status do disco se
altera brevemente para Inicializando e, em seguida, para On-line.
IMPORTANTE: No entanto, voc
no poder acessar dados no disco
se estiver executando o Windows XP
Home Edition. Para usar o disco no
Windows XP Home Edition,
necessrio convert-lo em disco
bsico, o que destri todos os dados
contidos nele. Tambm importante
salientar, que computadores
mveis, como Notebooks, no tem
suporta a discos dinmicos.
IMPORTANTE: No converta um
disco dinmico em bsico, a menos
que voc tenha certeza de que no
precisar mais dos dados contidos
nesse disco. A converso de um
disco dinmico em bsico destruir
todos os dados do disco.
Status On-line:
O status On-line ocorre quando um disco bsico ou dinmico pode ser acessado e aparenta no ter nenhum problema.
Este o status normal de um disco. No necessria nenhuma ao do usurio.
Status On-line (erros):
O status On-line (erros) ocorre quando os erros de E/S (entrada e sada) so detectados em uma regio de um disco
dinmico. Um cone de aviso exibido no disco dinmico com erros.
Se os erros de E/S forem temporrios, (por exemplo, devido a um fio solto que j esteja no lugar) o disco retornar
para o status On-line quando voc reativ-lo.
Status Off-line:
O status Off-line ocorre quando um disco dinmico no pode ser acessado. O disco dinmico pode estar corrompido
ou temporariamente no disponvel. Um cone de erro exibido no disco dinmico off-line.
Se o status do disco for Off-line e o nome do disco for alterado para Faltando, sinal de que o disco estava recentemente
disponvel no sistema, mas no pode mais ser localizado ou identificado. O disco ausente pode estar corrompido,
desligado ou desconectado.
Colocando um disco que est off-line e ausente novamente on-line:
Repare qualquer disco, controlador ou problema de cabo e certifique-se de que o disco fsico est ligado, conectado
fonte de energia e instalado no computador. No Gerenciamento de disco, clique com o boto direito do mouse no disco
e, em seguida, clique em Reativar disco para colocar o disco novamente on-line.
Se o status do disco permanecer Off-line, o nome do disco continuar como Faltando e voc determinar que o disco est
com um problema que no pode ser reparado, remova o disco do sistema (usando o comando Remover disco). Entretanto,
antes de remover o disco, exclua todos os volumes (ou espelhos) do disco. Voc pode salvar todos os volumes espelhados
do disco removendo o espelho, em vez de remover todo o volume. A excluso de um volume destruir os dados do
volume. Portanto, voc deve remover um disco somente se estiver absolutamente certo de que o disco est definitivamente
danificado ou inutilizado.
Colocando um disco que est off-line e ainda chamado de Disco n (no ausente) novamente on-line:
No Gerenciamento de disco, clique com o boto direito do mouse no disco e, em seguida, clique em Reativar disco
para colocar o disco novamente on-line. Se o status do disco continuar Off-line, verifique os cabos e o controlador do
disco, e certifique-se de que o disco fsico est ntegro. Corrija quaisquer problemas e tente reativar o disco novamente.
Se a reativao do disco tiver xito, todos os volumes do disco retornaro automaticamente ao status ntegro.
Status Ilegvel:
O status Ilegvel ocorre quando um disco bsico ou dinmico no pode ser acessado. O disco pode estar com uma
falha de hardware, corrompido ou com erros de E/S. A cpia do banco de dados de configurao de disco do sistema
pertencente ao disco pode estar corrompida. Um cone de erro exibido nos discos que exibem o status Ilegvel.
Os discos podem exibir o status Ilegvel enquanto esto girando ou quando o Gerenciamento de disco est examinando
novamente todos os discos do sistema. Em alguns casos, um disco ilegvel apresenta falha e no pode ser recuperado.
Nos discos dinmicos, o status Ilegvel geralmente provocado por danos e erros de E/S em parte do disco, e no por
falhas no disco inteiro. Voc pode examinar novamente os discos (clique em Ao e, em seguida, clique em Examinar
discos novamente) ou reiniciar o computador para ver se o status do disco foi alterado.
Convertendo um disco de Armazenamento bsico para
possvel converter um disco de Armazenamento bsico para Armazenamento
dinmico, sem perda de dados. Para efetuar a converso para Armazenamento
dinmico, deve haver pelo menos 1 MB de espao no alocado, no disco a ser
convertido, para que a converso possa ser feita com sucesso. O console de
Gerenciamento de disco, automaticamente reserva este espao ao criar parties
ou volumes em um disco. Porm discos com parties ou volumes criados por
outros sistemas operacionais, podem no ter este espao no alocado, disponvel.
Um disco com Armazenamento dinmico no ter parties ou drivers lgicos,
ao invs disso o disco dividido em volumes, conforme detalhado no incio
deste captulo.
Quando voc converte um disco de Armazenamento bsico para Armazenamento
dinmico, o Windows Server 2003 efetua o mapeamento das parties existentes
para os tipos de volume indicados na Tabela 14.1.
Tabela 14.1 Converso de armazenamento bsico para dinmico.
IMPORTANTE: Discos dinmicos
so reconhecidos apenas pelo Win-
dows 2000 (Server e Professional).
Windows XP Professional e Windows
Server 2003. O Windows XP Home,
verses anteriores do Windows (95/
98/Me, NT 4.0) no reconhecem
discos dinmicos. Tambm no
possvel utilizar discos dinmicos em
computadores portteis, tais como
Notebooks, independentemente da
verso do Windows.
IMPORTANTE: Converter um disco de
Armazenamento dinmico de volta
para Armazenamento bsico
diretamente, no possvel, sem perda
de dados. Primeiro voc deve excluir
todos os volumes existentes no disco
de Armazenamento dinmico, para
depois revert-lo para armazenamento
bsico. Porm isso causa a perda de
toda a informao armazenada no
disco, a qual deve ser restaurada a partir
de uma cpia de segurana (backup).
Disco Bsico Disco Dinmico
Partio do sistema Volume simples
Partio do boot Volume simples
Partio primria Volume simples
Partio estendida Um volume simples para cada drive lgico e
qualquer espao no alocado restante
Drive lgico Volume simples
Valome set Spanned volume
Stripe set Striped volume
Disk mirror Mirrored volume
Stripe set com paridade Volume RAID-5
IMPORTANTE: Se um disco bsico possui parte de uma partio que se estende por mais
de um disco (Volume set, Stripe set, Disk mirror ou Stripe set com paridade), todos os
discos que contm as partes da partio devem ser convertidos ao mesmo tempo. Todos os
discos devem conter, pelo menos, 1 MB de espao no alocado, caso contrrio a converso
ir falhar. Este espao de 1 MB pode existir mesmo que no seja visvel no Snap-in de
Gerenciamento de disco, conforme descrito anteriormente.
Caso programas instalados no disco a ser atualizado, estejam abertos, estes devem ser fechados antes que a atualizao
possa ser feita.
As parties de boot e do sistema somente so convertidas aps uma reinicializao do computador. Todas as outras
parties sero atualizadas imediatamente.
Restabelecendo um volume do tipo Mirror (Espelhado Raid-1):
Pode acontecer de um dos discos onde est o espelhamento apresentar falhas. Por exemplo, uma falha fsica que
compromete todo o disco. Neste caso existem alguns passos que devem ser efetuados para que o Mirror (Espelhamento)
possa ser restabelecido, conforme descrito a seguir.
Passos para restabelecer ume espelhamento:
1. Quebrar o espelhamento. Para isso basta acessar o console de Gerenciamento de discos, clicar com o boto direito
do mouse em uma das partes do espelhamento (de preferncia na parte que est no disco bom, sem problemas).
No menu que exibido clique em Quebrar o Volume espelhado...
2. Surge uma mensagem avisando que se o espelhamento for quebrado no haver mais tolerncia a falhas, conforme
Figura 14.34 Confirmando a quebra do espelhamento.
3. Clique em Sim para confirmar a quebra do espelhamento.
5. Reinicialize o servidor e faa o espelhamento novamente, usando espao no alocado no novo disco. Pronto, o
espelhamento ser restabelecido e novamente haver tolerncia falhas, no caso de falha de um dos discos.
Restabelecendo um volume do tipo RAID-5:
Pode acontecer de um dos discos onde que compem um voluma RAID-5, falhar. Por exemplo, uma falha fsica que
compromete todo o disco. Neste caso existem alguns passos que devem ser efetuados para que o RAID-5 possa ser
restabelecido, conforme descrito a seguir.
Passos para restabelecer ume volume do tipo RAID-5:
2. Reinicialize o servidor, acesse o console de Gerenciamento de disco. Clique com o boto direito do mouse no
volume RAID-5 e no menu de opes que exibido clique em Reativar Volume. Surge uma mensagem de aviso
informando que recomendado o uso do comando chkdsk no volume que est sendo reativado. O comando
chkdsk utilizado para detectar erros em um volume e ser explicado mais adiante.
4. O volume ser reativado e o status mudar de failed redundancy (Falha na redundncia) para Resynching
(resincronizando) e depois para Healthy (algo parecido com saudvel, com sade, disponvel).
5. Pronto, o RAID-5 foi restabelecido e com tolerncia a falhas. importante salientar que mesmo durante a falha
de um dos discos, o volume RAID-5 continua disponvel para ser utilizado, porm sem fornecer tolerncia a
falha, uma vez que se mais um disco falhar (enquanto o primeiro ainda no foi substitudo), os dados sero
perdidos, a s restaurando a partir do Backup. Quando um volume RAID-5 apresenta falha em um dos discos e
continua sendo utilizado, o desempenho cai muito, a velocidade de acesso fica muito prejudicada.
O comando Convert:
Este comando utilizado para converter volumes FAT (file allocation table) e FAT32 para o sistema de arquivos
NTFS, deixando intactos os arquivos e pastas existentes. Os volumes convertidos ao sistema de arquivos NTFS no
podero ser convertidos de volta em FAT ou FAT32.
Sintaxe:
convert [Volume] /fs:ntfs [/v] [/cvtarea:NomeDoArquivo] [/
nosecurity] [/x]
O comando convert tem os seguintes parmetros:
Volume: Especifica a letra da unidade (seguida de dois-pontos), o ponto
de montagem ou o nome do volume a ser convertido em NTFS.
/fs:ntfs: Necessrio. Converte o volume em NTFS.
/v: Especifica o modo de detalhe, isto , todas as mensagens sero exibidas
durante a converso.
/cvtarea:nome_de_arquivo: Apenas para usurios avanados. Especifica
que a tabela de arquivos mestre (MFT) e outros arquivos de metadados
NTFS sero gravados em um arquivo existente de espao reservado
contguo. O arquivo deve estar localizado na pasta raiz do sistema de
arquivos a ser convertido. O uso do parmetro /CVTAREA poder resultar
em um sistema de arquivos menos fragmentado aps a converso. Para
obter melhores resultados, o tamanho do arquivo deve ser 1 KB
multiplicado pelo nmero de arquivos e pastas contidos no sistema de
arquivos, no entanto, o utilitrio de converso aceita arquivos de qualquer
tamanho.
possvel usar o comando convert,
para converter um volume de FAT
ou FAT32 para NTFS, sem perda de
dados. Por outro lado, no
possvel converter um volume NTFS
de volta para FAT ou FAT32. Neste
caso, preciso fazer um backup
completo dos dados, excluir o vol-
ume, recri-lo novamente como FAT
ou FAT32 e depois baixar os
arquivos do backup.
/nosecurity: Especifica que as configuraes de segurana das pastas e arquivos convertidos podero ser
acessadas por qualquer pessoa.
/x: Desmonta o volume, se necessrio, antes de ser convertido. Os identificadores abertos para o volume no
sero mais vlidos.
Se o comando convert no puder bloquear a unidade (por exemplo, o volume do sistema ou a unidade atual), ele
sugerir que o volume seja convertido na prxima vez que o computador for reiniciado. Se voc no puder reiniciar o
computador imediatamente para concluir a converso, planeje o momento de reiniciar o computador e reserve um
tempo adicional para o processo de converso.
No caso de volumes convertidos de FAT ou FAT32 em NTFS, devido utilizao de disco j existente, a MFT criada
em um local diferente, em comparao a um volume originalmente formatado com NTFS. Devido a isso, o desempenho
do volume pode no ser to bom quanto em volumes originalmente formatados com NTFS. Para obter o desempenho
ideal, considere a possibilidade de recriar esses volumes e format-los com o sistema de arquivos NTFS.
Os volumes convertidos de FAT em NTFS deixam os arquivos intactos, porm, podero no dispor de alguns benefcios
de desempenho se comparados a volumes inicialmente formatados com NTFS. Em volumes convertidos, por exemplo,
a MFT pode ficar fragmentada. Alm disso, em volumes de inicializao convertidos, o convert aplica a mesma
segurana padro que aplicada durante a instalao do Windows.
Exemplo: Para converter o volume na unidade E em NTFS e exibir todas as mensagens, digite:
convert e: /fs:ntfs /v
Criptografia definies e conceitos
O Windows Server 2003 fornece suporte a criptografia de pastas e arquivos atravs do EFS Encripted File System
(Sistema de arquivos com Criptografia). O suporte ao EFS foi introduzido no Windows 2000 Server e tambm est
disponvel no Windows 2000 Professional e Windows XP Professional. Com o uso de criptografia o usurio tem um
nvel de segurana maior do que somente com o uso de permisses NTFS (assunto do Captulo 6). Somente possvel
criptografar arquivos e pastas em volumes formatados com o sistema de arquivos NTFS. Com a criptografia o Win-
dows Server 2003 garante que somente o usurio que criptografou um determinado arquivo tenha acesso ao arquivo.
Criptografia o processo de converter dados em um formato que no possa ser lido por um outro usurio, a no ser o
usurio que criptografou o arquivo. Depois que um usurio criptografar um arquivo, esse arquivo permanecer
automaticamente criptografado quando for armazenado em disco.
Descriptografia o processo de converter dados do formato criptografado no seu formato original. Depois que um
usurio descriptografar um arquivo, esse arquivo permanecer descriptografado quando for armazenado em disco.
Com as permisses NTFS (veja Captulo 6) temos alguns problemas quanto a segurana dos dados:
O Administrador da mquina pode usar o recurso de Take Ownership (Tornar-se dono), tornando-se desta
forma dono dos arquivos/pastas desejados, mesmo sem ter permisso de acesso a estes arquivos/pastas. Aps
ter dado um Take Ownership, o Administrador pode atribuir permisses de acesso para si mesmo e, com
isso, acessar qualquer arquivo ou pasta.
Um usurio pode utilizar um disquete de boot ou instalar um outro sistema operacional no computador e
utilizar alguns programas comerciais existentes, para ter acesso a pastas e arquivos protegidas por
permisses NTFS.
A grande questo a seguinte: Com o uso da criptografia, mesmo que o seu computador seja roubado ou que outro
usurio tenha acesso ao computador, no ser possvel acessar os arquivos e pastas que voc criptografou. A nica
maneira de ter acesso fazendo o logon com a sua conta e senha. Em resumo: Com a criptografia, os dados esto
protegidos, mesmo que outras pessoas tenham acesso ao seu computador, a nica maneira de acessar os arquivos
criptografados fazendo o logon com a conta do usurio que criptografou os arquivos ou com a conta configurada
como Agente de Recuperao, conforme descreverei mais adiante. J com as permisses NTFS, conforme descrito
anteriormente, este nvel de proteo no existe, no caso do computador ser roubado ou de um usurio mal intencionado
ter acesso ao computador.
Claro que existem situaes adversas que podem surgir com o uso da criptografia. Por exemplo, vamos supor que um
funcionrio criptografou arquivos importantes para a empresa. Neste meio tempo o funcionrio foi demitido. Como
que a empresa poder ter acesso aos arquivos criptografados se o funcionrio demitido se negar a fazer o logon com a
sua conta e descriptografar o s arquivos ou se a sua conta tiver sido excluda?? Por isso que o EFS permite que uma ou
mais contas sejam configuradas como Agente de Recuperao, a qual pode ser utilizada em situaes como a descrita
neste pargrafo. Mais adiante tratarei, em detalhes, sobre o agente de recuperao.
O uso de criptografia especialmente recomendado para usurios de notebooks e outros dispositivos semelhantes.
No raro a ocorrncia de roubos de notebooks, sendo que estes podem conter dados importantes da empresa, tais
como planos estratgicos e relatrios de pesquisa e desenvolvimento de novos produtos. O uso da criptografia a
forma mais indicada para proteger estes dados, mesmo em situaes de roubo de um notebook.
A criptografia transparente para o usurio que criptografou o arquivo. Isso significa que o usurio no precisa
descriptografar manualmente o arquivo criptografado para poder us-lo. Ele pode abrir e alterar o arquivo da maneira
habitual. Por exemplo, vamos supor que voc criptografou um documento do Word. Ao dar um clique duplo no
documento, o Windows Server 2003 descriptografa, automaticamente, o arquivo, abre o Word e carrega o arquivo para
voc. Observe que para o usurio toda a operao transparente, ou seja, como se o arquivo no estivesse criptografado.
Se outro usurio, que no o que criptografou o arquivo, tentar utiliz-lo, receber uma mensagem de acesso negado.
O uso do EFS semelhante ao uso de permisses para arquivos e pastas. Ambos os mtodos podem ser usados para
restringir o acesso aos dados. No entanto, um intruso que obtenha acesso fsico no-autorizado aos seus arquivos ou
pastas criptografados no conseguir acess-los. Se o intruso tentar abrir ou copiar sua pasta ou arquivo criptografado,
ver uma mensagem de acesso negado. As permisses definidas para arquivos e pastas no os protege contra ataques
fsicos no-autorizados, conforme j descrito anteriormente.
Voc criptografa ou descriptografa uma pasta ou arquivo definindo a propriedade de criptografia para pastas e arquivos
da mesma forma como define qualquer outro atributo, como somente leitura, compactado ou oculto. Se voc criptografar
uma pasta, todos os arquivos e subpastas criados na pasta criptografada sero automaticamente criptografados.
recomendvel que voc use a criptografia para pastas e no para arquivos individualmente, pois isso facilita a
administrao dos arquivos criptografados.
Observaes importantes sobre a criptografia no Windows Server 2003:
Somente arquivos e pastas em volumes NTFS podem ser criptografados.
As pastas e os arquivos compactados no podem ser criptografados. Se o
usurio marcar um arquivo ou pasta para criptograf ia, ele ser
descompactado. Falei sobre a compactao de pastas e arquivos em vol-
umes NTFS, no Captulo 6.
NOTA: Voc tambm pode
criptografar ou descriptografar um
arquivo ou pasta usando o comando
cipher.
Se voc mover arquivos descriptografados para uma pasta criptografada, esses arquivos sero automaticamente
criptografados na nova pasta. No entanto, a operao inversa no descriptografa automaticamente os arquivos.
Nesse caso, necessrio descriptografar manualmente os arquivos.
Os arquivos marcados com o atributo Sistema no podem ser criptografados, bem como os arquivos da pasta raiz do
sistema, isto C:\ ou D:\ e assim por diante.
Criptografar um arquivo ou uma pasta no protege contra excluso ou listagem de arquivos ou pastas. Qualquer
pessoa com permisses NTFS adequadas pode excluir ou listar pastas ou arquivos criptografados. A proteo
da criptografia contra o acesso aos arquivos, ou seja, somente o usurio que criptografou o arquivo ter
acesso. Para proteo contra listagem e excluso recomenda-se o uso do EFS em combinao com permisses
NTFS (descritas no Captulo 6), utilizando as permisses NTFS para impedir que outros usurios possam
excluir e at mesmo listar os arquivos que esto em um pasta criptografada.
Voc pode criptografar ou descriptografar pastas e arquivos localizados em um computador remoto ativado
para criptografia remota. No entanto, se voc abrir o arquivo criptografado na rede, os dados transmitidos na
rede atravs desse processo no sero criptografados. Outros protocolos, como SSL/TLS ou IP Seguro (IPSec),
devem ser usados para criptografar dados durante a transmisso.
Garantindo a recuperao dos dados.
A criptografia utilizada pelo Windows Server 2003 baseada na utilizao de um par de chaves de criptografia. Uma
chave utilizada para criptografar os dados e a outra chave do par utilizada para descriptografar os dados. A nica
maneira de descriptografar os dados e ter acesso s informaes tendo acesso as chaves de criptografia. Estas chaves
so armazenadas em um Certificado digital, certificado este que gerado, automaticamente, pelo Windows Server
2003, a primeira vez que o usurio criptografa um arquivo ou pasta. Neste Certificado digital esto todas as informaes
necessrias para criptografar e descriptografar arquivos.
Cada usurio que criptografa/descriptografa arquivos, possui o seu prprio Certificado digital, gerado automaticamente
pelo Windows Server 2003. Um certificado adicional tambm gerado para a conta configurada como Agente de
recuperao. Desta maneira se o usurio que criptografou arquivos ou pastas deixar a empresa, ser possvel
descriptografar os seus dados, utilizando a conta configurada como Agente de recuperao, uma vez que esta conta
possui cpia do Certificado digital necessrio a tal operao.
O Certificado digital nada mais do que um arquivo que contm as informaes necessrias para trabalhar com
criptografia no Windows Server 2003. Como todo arquivo, fica gravado no disco rgido do computador. Acontece que
se houver um problema com o disco rgido, a cpia do certificado do usurio e do certificado do agente de recuperao
sero perdidas (caso no haja uma cpia de segurana) e, sem um destes certificados, ficar impossvel descriptografar
os arquivos/pastas criptografados pelo usurio. Na prtica, significa que o acesso aos dados criptografados ser perdido.
Para evitar que isto acontea, deve ser feita uma cpia de segurana, preferencialmente em disquete ou em um drive de
rede, do Certificado digital gerado para o usurio. importante lembrar que este certificado, somente ser gerado na
primeira vez que o usurio criptografar alguma pasta ou arquivo.
Algumas observaes muito importantes e que no devem ser esquecidas para o
exame:
As pastas e os arquivos compactados no podem ser, ao mesmo tempo,
criptografados. Se voc criptografar uma pasta ou um arquivo compactado,
essa pasta ou esse arquivo ser descompactado.
Os arquivos marcados com o atributo Sistema no podem ser
criptografados, bem como os arquivos que se encontram na estrutura de
diretrios raiz dos volumes (C:\, D:\ e assim por diante).
NOTA: Para todos os detalhes e
exemplos prticos de como fazer o
Bakcup e o Restore dos certificados
digitais do usurios e do Agente de
Recuperao, consulte o Captulo 5.
Ao criptografar um nico arquivo, voc poder optar se deseja criptografar a pasta que contm o arquivo. Se
voc escolher essa opo, todos os arquivos e subpastas que forem adicionados posteriormente pasta sero
criptografados quando forem adicionados.
Ao criptografar uma pasta, voc poder optar se deseja que todos os arquivos e subpastas dentro da pasta
tambm sejam criptografados. Se voc escolher essa opo, todos os arquivos e subpastas atualmente na pasta
sero criptografados, bem como quaisquer arquivos e subpastas que forem adicionados pasta mais tarde. Se
voc optar por criptografar somente a pasta, todos os arquivos e subpastas que se encontram atualmente na
pasta no sero criptografados. No entanto, quaisquer arquivos e subpastas que forem adicionados pasta
mais tarde sero criptografados quando forem adicionados. aconselhvel que voc sempre opte por criptografar
todo o contedo da pasta. Com isso voc no ter que manter um controle sobre quais pastas e/ou arquivos
esto criptografados e quais no esto.
Operaes com arquivos criptografados (para o exame, no
esquea destes detalhes).
Ao copiar ou mover arquivos criptografados, diferentes situaes podem ocorrer
dependendo de a pasta de destino ser ou no criptografada e de estar ou no em
um volume formatado com NTFS. A seguir descrevo algumas situaes envolvendo
aes de copiar e mover com arquivos criptografados.
Ao copiar um arquivo no criptografado, para uma pasta criptografada, a
cpia do arquivo ser criptografada na pasta de destino. Por exemplo,
voc copia o arquivo no criptografado memo.doc, da pasta Meus
documentos para a pasta Documentos pessoais, a qual est criptografada.
O arquivo memo.doc copiado para a pasta Documentos pessoais ser
criptografado.
Ao copiar um arquivo criptografado, para um volume NTFS em outro
computador com o Windows 2000, Windows XP Professional ou Win-
dows Server 2003, o arquivo manter a criptografia. Se o computador de
destino estiver rodando o Windows NT ou o volume for formatado com
FAT, a cpia do arquivo no ser criptografada.
Se voc mover um arquivo criptografado para outra pasta, no mesmo vol-
ume, o arquivo mantm a criptografia. Se voc mover um arquivo
criptografado para outro volume, o Windows Server 2003 considerar
esta operao como sendo uma cpia, onde o arquivo excludo na pasta
de origem e copiado para a pasta de destino. Neste caso, o arquivo segue
as regras explicadas no primeiro item.
Se voc renomear um arquivo criptografado, o arquivo continuar
criptografado.
Ao excluir um arquivo, a cpia do arquivo que fica na Lixeira, continuar
criptografada.
Se voc fizer uma cpia de segurana de arquivos criptografados para
uma fita de Backup ou para um outro volume NTFS, a cpia de segurana
permanecer criptografada.
Se voc quiser utilizar arquivos criptografados em outro computador, ter
que importar o seu Certificado digital no computador de destino, conforme
IMPORTANTE: Voc tambm pode
criptografar arquivos e pastas que
esto em pastas compartilhadas, em
outros computadores da rede. Basta
mapear uma unidade para a pasta
compartilhada (pastas compartilhadas
e mapeamento de unidades ser
assunto do Captulo 6), onde esto os
arquivos e pastas a ser criptografados
e utilizar os procedimentos descritos
neste tpico, para criptograf-los.
IMPORTANTE: Se voc tentar
mover um arquivo criptografado
por outro usurio, para um volume
formatado com FAT, na tentativa de
obter uma cpia no criptografada
do arquivo, voc receber uma
mensagem de Acesso negado, pois
para descriptografar o arquivo (o
que necessrio para mov-lo para
um volume FAT), voc teria que ter
acesso ao Certificado digital do
usurio que criptografou o arquivo,
Recomendaes sobre a criptografia de pastas e arquivos.
Neste item coloco algumas recomendaes sobre a criptografia de pastas e arquivos. Estas recomendaes so baseadas
na documentao oficial da Microsoft:
Para obter o mximo de segurana, criptografe as pastas antes de criar arquivos importantes nelas. Isso faz
com que os arquivos criados sejam automaticamente criptografados e seus dados nunca sejam gravados em
disco como texto sem formatao.
Se voc salvar a maior parte dos seus documentos na pasta Meus documentos, criptografe-a. Isso assegura que
seus documentos pessoais sejam criptografados por padro. No caso de perfis de usurios mveis, deve-se
fazer isso apenas se a pasta Meus documentos for redirecionada para um local de rede.
Criptografe pastas em vez de arquivos individuais para que, caso um programa crie arquivos temporrios
durante a edio, eles tambm sejam criptografados.
O agente de recuperao designado dever exportar o certificado de recuperao de dados e a chave particular
para um disco, guard-los em um local seguro e excluir do sistema a chave particular de recuperao de dados.
Dessa forma, a nica pessoa que poder recuperar dados do sistema ser aquela que possui acesso fsico
chave particular de recuperao de dados. Estes procedimentos foram descritos no incio deste tpico.
Deve-se manter o menor nmero possvel de agentes de recuperao designados. Desse modo, menos chaves
ficaro expostas ao ataque criptogrfico e haver mais garantias de que os dados criptografados no sejam
descriptografados inadequadamente.
Alguns links com mais material d estudo:
http://www.microsoft.com/windowsserver2003/techinfo/overview/file.mspx
http://www.microsoft.com/windowsserver2003/techinfo/overview/storage.mspx
http://www.microsoft.com/windowsserver2003/techinfo/overview/dfs.mspx
http://www.microsoft.com/windowsserver2003/techinfo/overview/scr.mspx
Pastas compartilhadas, Permisses de Compartilhamento e Permisses
NTFS.
Quando o administrador compartilha uma pasta, ele est permitindo que o contedo da pasta seja acessado por outros
computadores da rede. Quando uma pasta compartilhada, os usurios podem acess-la atravs da rede, bem como o
contedo (subpastas e arquivos) da pasta que foi compartilhada. Por exemplo, voc pode criar uma pasta compartilhada
onde so colocados documentos, orientaes e manuais, de tal forma que os estes possam ser acessados a partir de
qualquer estao de trabalho conectada rede.
Ao compartilhar uma pasta todo o contedo da pasta passa a estar disponvel para acesso atravs da rede. Isso significa que
se houverem outras subpastas, dentro da pasta compartilhada, estas tambm estaro disponveis para acesso pela rede.
Considere o exemplo da Figura 14.35. Se a pasta C:\Documentos for compartilhada, todo o seu contedo e tambm o
contedo das subpastas C:\Documentos\Ofcios e C:\Documentos\Memorandos estaro disponveis para acesso atravs
da rede.
Figura 14.35 Ao compartilhar uma pasta, todo o seu contedo estar disponvel.
Quando uma pasta compartilhada em um computador, criado um caminho para acessar esta pasta a partir dos
demais computadores da rede. Este caminho segue o padro UNC Universal Naming Convention (Conveno Uni-
versal de Nomes). Todo caminho que segue o padro UNC inicia com duas barras invertidas, seguida pelo nome do
computador onde est o recurso compartilhado (que pode ser uma pasta compartilhada, um impressora compartilhada,
etc), mais uma barra invertida e o nome do compartilhamento. Imagine que voc est compartilhando recursos em um
servidor da rede cujo nome : SRVRS001. Neste servidor so criadas trs pastas compartilhadas com os seguintes
nomes de compartilhamento: documentos, manuais e memorandos. No servidor SRVRS001 voc tambm compartilha
uma impressora com o nome de compartilhamento lasera1. Qual seria o caminho para acessar estes recursos, segundo
o padro UNC?
\\SRVRS001\documentos
\\SRVRS001\manuais
\\SRVRS001\memorandos
\\SRVRS001\lasera1
Restringindo o acesso s pastas compartilhadas.
Porm quando uma pasta compartilhada, no significa que o seu contedo deva ser acessado por todos os usurios
da rede. possvel restringir quais usurios tero acesso pasta compartilhada, e qual o nmero mximo de usurios
que podem acessar a pasta simultaneamente. Esta restrio feita atravs de Permisses de compartilhamento.
Com o uso de permisses de compartilhamento possvel definir quais os usurios que podero acessar o contedo da
pasta compartilhada e qual o nvel de acesso de cada usurio. Para isso, criada uma lista com o nome dos usurios e
grupos que possuem permisso de acesso. Esta lista tecnicamente conhecida como ACL Access Control List (Lista
de Controle de Acesso).
Tambm possvel limitar o que os usurios com permisso de acesso podem
fazer. Pode haver situaes em que alguns usurios devem ter permisso apenas
para ler o contedo da pasta compartilhada, podem haver outras situaes em que
alguns usurios devem ter permisso de leitura e escrita, enquanto outros devem
ter permisses totais, tais como leitura, escrita e at excluso de arquivos e assim
por diante.
Na Figura 14.36, mostro um exemplo, em que o grupo Gerentes possui permisses
de Controle total, enquanto o grupo Usurios possui permisses apenas para leitura.
IMPORTANTE: O nome do
compartilhamento no precisa ser
igual ao da pasta que est sendo
compartilhada. recomendado que
o nome do compartilhamento sirva
como indicao para o contedo da
pasta compartilhada, para facilitar
a localizao dos recursos
disponveis na rede e a pesquisa no
Active Directory.
compartilhada, desde somente
leitura, at um controle total sobre
o contedo da pasta compartilhada.
Porm as permisses de
compartilhamento somente tem
efeito se o acesso for feito pela rede.
Se o usurio fizer o logon no
compartilhada e acessa-la
localmente, atravs do drive C: (ou
outro drive qualquer onde est a
pasta compartilhada), as
no sero verificadas e, portanto,
no tero nenhum efeito. Para
limitar o acesso, mesmo localmente,
usa-se as permisses NTFS, as quais
sero descritas mais adiante.
IMPORTANTE: Vou insistir para
que voc no esquea, de jeito
nenhum: Permisses de
localmente, isto , se um usurio
Figura 14.36 Grupos diferentes com permisses diferentes.
Entendendo as permisses de compartilhamento.
Existem trs nveis de permisses de compartilhamento, conforme descrito a
seguir:
Leitura: A permisso de Leitura permite ao usurio:
Listar os nomes de arquivos e de subpastas, dentro da pasta compartilhada.
Acessar as subpastas dentro da pasta compartilhada.
Abrir os arquivos para leitura.
Execuo de arquivos de programa (.exe, .com, etc).
Alterao: Permite ao usurio os mesmos direitos da permisso leitura, mais os
seguintes direitos:
Criao de arquivos e subpastas.
Alterao de dados nos arquivos
Excluso de subpastas e arquivos
Controle total: Esta a permisso padro que se aplica a todos os novos
compartilhamentos. Essa permisso era atribuda ao grupo Everyone
(Todos) ao compartilhar um recurso no Windows 2000 Server. J no Win-
dows Server 2003 atribuda a permisso Read (Somente Leitura) ao
grupo Everyone (Todos) por padro, quando um novo compartilhamento
criado. Controle total possibilita as mesmas operaes que Leitura e
Alterao, mais as seguintes:
Alterao de permisses (apenas para arquivos e pastas do NTFS)
Apropriao (Take Ownership), apenas para arquivos e pastas em um
volume formatado com NTFS.
As permisses de compartilhamento: Leitura, Alterao e Controle total, podem
ser Permitidas ou Negadas. Ou seja podemos permitir o acesso com um
determinado nvel (leitura, alterao ou Controle total) ou negar explicitamente o
acesso para um usurio ou grupo para quaisquer uma destas permisses. Considere
um exemplo prtico. Suponha que todos os usurios do grupo Gerentes devem ter
acesso de Leitura a uma pasta compartilhada, com exceo de um gerente cuja
conta de usurio jsilva, o qual deve ter negado o direito de leitura na referida
pasta. Para simplificar a atribuio de permisses o administrador faz o seguinte:
Permisso de Leitura para o grupo Gerentes Permitir.
Permisso de Leitura para o usurio jsilva Negar.
Com isso todos os usurios do grupo Gerentes tero permisso de leitura, com
exceo do usurio jsilva, o qual teve a permisso de leitura negada. Outra
recomendao que sempre devemos atribuir permisses para grupos de usurios,
ao invs de atribuir para usurios individuais, pois isso facilita a administrao,
conforme descrito no Captulo 4.
IMPORTANTE: Negar sempre tem precedncia sobre permitir. Por exemplo, se o usurio
pertencer a cinco grupos, sendo que quatro dos quais tem permisso de acesso e o outro
grupo tem negada a permisso de acesso, o usurio ter negada a permisso de acesso. A
permisso negar acesso, herdada de um dos grupos, ter precedncia sobre todas as
demais permisses herdadas dos demais grupos. No esquea deste detalhe, para o exame.
fizer o logon no computador onde
est a pasta compartilhada, o
usurio ter acesso a todo o
contedo da pasta, a menos que as
Permisses NTFS estejam
IMPORTANTE: Pastas e arquivos
possuem atributos, que o Windows
Server 2003 utiliza para gerenciar
os arquivos. Por exemplo, existe um
atributo Somente leitura, que uma
vez marcado torna o arquivo
somente leitura, isto , no podem
ser feitas alteraes no arquivo.
Para ver os atributos de um arquivo
ou pasta, basta dar um clique com
o boto direito do mouse no arquivo
ou pasta, e no menu que surge d
um clique na opo Propriedades.
O Windows Server 2003 exibe uma
janela onde possvel verificar e
modificar os atributos do arquivo ou
pasta, desde que o usurio tenha
as devidas permisses.
IMPORTANTE: No Windows
Server 2003, objetos como pastas
e arquivos possuem um dono, o
qual por padro o usurio que
estava logado e que criou a pasta
ou arquivo. Conforme mostrarei no
final deste captulo possvel, ao
Administrador, tornar-se dono de
uma pasta ou arquivo, utilizando
uma ao de Take Ownership
(Tornar-se dono).
Quando um usurio pertence a mais de um grupo, como que fica a permisso efetiva do
usurio?
Quando um usurio pertence, por exemplo, a dois grupos e os dois grupos recebem permisso para acessar um
compartilhamento, sendo que os dois grupos possuem permisses diferentes, por exemplo, um tem permisso de
Leitura e o outro de Alterao. Como que ficam as permisses do usurio que pertence aos dois grupos?
Para responder a esta questo, considere as seguintes observaes:
Quando um usurio pertence a mais de um grupo, cada qual com diferentes nveis de permisses para uma
pasta compartilhada, o nvel de permisso para o usurio que pertence a mais de um grupo, a combinao
das permisses atribudas aos diferentes grupos.
No exemplo a seguir, o usurio pertence a dois grupos, um com permisso de somente leitura e outro com permisso
de alteraes. A nvel de permisso do usurio de alteraes, pois a soma das permisses dos dois grupos, conforme
Figura 14.37 Usurio que pertence a mais de um grupo.
Negar tm precedncia sobre quaisquer outras permisses.
Vamos considerar o exemplo do usurio que pertence a trs grupos. Se em um
dos grupos ele tiver permisso de leitura e em outro grupo permisso de alterao.
Mas se para o terceiro grupo, for negada a permisso de leitura, o usurio ter o
acesso negado, uma vez que Negar tem precedncia sobre quaisquer outras
permisses, conforme indicado pela Figura 14.38.
IMPORTANTE: Quando uma
pasta compartilhada copiada, a
pasta original permanece
compartilhada, porm a cpia no
compartilhada. Quando o
administrador move uma pasta
compartilhada , a pasta deixa de ser
compartilhada.
Figura 14.38 Negar tem precedncia sobre permitir.
Orientaes para a criao de pastas compartilhadas:
Todo compartilhamento deve ter um nome, para que o compartilhamento
possa ser acessado pela rede, conforme descrito anteriormente e ser
demonstrado na parte prtica mais adiante. O nome do compartilhamento
pode ser diferente do nome da pasta. Uma recomendao importante
para que seja escolhido um nome descritivo do contedo da pasta, de tal
maneira que o compartilhamento seja mais facilmente localizada na rede.
Voc no colocaria um nome de compartilhamento Projetos em uma
pasta compartilhada com documentos contbeis?
Organize os recursos, de tal maneira que todos os pastas que devam ser
acessadas pelo mesmo grupo de usurios, com o mesmo nvel de
permisso, estejam dentro da mesma pasta compartilhada. Por exemplo,
se voc possui sete pastas com documentos e programas, os quais devem
ser acessados pelos grupos Contabilidade e Marketing. Coloque estas
pastas dentro de uma pasta principal e compartilhe a pasta principal, ao
invs de criar sete compartilhamentos individuais. Em seguida atribua
permisses de acesso somente para os grupos Contabilidade e Marketing.
Configure o nvel de permisso mnimo necessrio para que os usurios
realizem o seu trabalho. Por exemplo se os usurios precisam apenas ler
os documentos em uma pasta compartilhada, atribua permisso de Leitura
e no de Alterao ou Controle total.
Sempre que possvel, atribua permisses para grupos de usurios e no
para usurios individuais, pois isso facilita a administrao, conforma j
salientado diversas vezes neste captulo e no Captulo 4.
Determine quais grupos necessitam acesso a quais pastas compartilhadas
e com quais nveis de permisso. Documente bem todo esse processo,
para que voc possa ter um bom controle sobre os recursos compartilhados
e as permisses atribudas.
NOTA: Se voc ainda tem clientes
baseados no Windows 3.x ou no MS-
DOS, voc deve utilizar nomes de
compartilhamento com o mximo
de 8 caracteres para o nome. Nomes
de compartilhamento maiores do
que 8 caracteres no estaro visveis
para clientes baseados no Windows
3.x e no MS-DOS. Estes clientes
vero os nomes de pastas e artigos
no formato truncado, adaptado
para o formato 8.3 (oito caracteres
para o nome e trs caracteres para
a extenso), que o formato
suportado pelo Windows 3.x e pelo
MS-DOS.
Sistemas de arquivos e permisses NTFS conceito.
Agora mostrarei alguns detalhes sobre os sistemas de arquivos que o Windows
Server 2003 reconhece e tambm sobre permisses NTFS.
Um sistema de arquivos determina a maneira como o Windows Server 2003
organiza e recupera as informaes no Disco rgido ou em outros tipos de mdia.
O Windows Server 2003 reconhece os seguintes sistemas de arquivos:
FAT
FAT32
NTFS
NTFS 5
O sistema FAT vem desde a poca do MS-DOS e tem sido mantido por questes
de compatibilidade. Alm disso se voc tiver instalado mais de um Sistema
Operacional no seu computador, alguns sistemas mais antigos (DOS, Windows
3.x e as primeiras verses do Windows 95 ) somente reconhecem o sistema FAT.
Com o sistema de arquivos FAT, a nica maneira de restringir o acesso ao contedo
de uma pasta compartilhada, atravs das permisses de compartilhamento, as
quais, conforme descrito anteriormente, no tero nenhum efeito se o usurio
estiver logado localmente, na mquina onde a pasta foi compartilhada. Com a
utilizao do sistema FAT, alguns recursos avanados, tais como compresso,
criptografia e auditoria , no esto disponveis.
O sistema FAT32 apresenta algumas melhorias em relao ao sistema FAT. Existe
um melhor aproveitamento do espao no disco, o que conseqentemente gera
menor desperdcio do espao em disco (este melhor uso do espao em disco tem
a ver com a questo da Fragmentao de Volumes, discutida no Captulo 5). Um
grande inconveniente do sistema FAT32 que ele no reconhecido pelo Win-
dows NT Server 4.0. Com o sistema de arquivos FAT32, a nica maneira de
restringir o acesso ao contedo de uma pasta compartilhada, atravs das
permisses de compartilhamento, as quais, conforme descrito anteriormente, no
tero nenhum efeito se o usurio estiver logado localmente, na mquina onde a
pasta foi compartilhada. Com a utilizao do sistema FAT32, alguns recursos
avanados, tais como compresso e criptografia e auditoria , no esto disponveis.
O sistema de arquivos NTFS utilizado no Windows NT Server 4.0 e foi mantido
no Windows 2000 Server por questes de compatibilidade. um sistema bem
mais eficiente do que FAT e FAT32, alm de permitir uma srie de recursos
avanados, tais como:
Permisses de controle de acesso a arquivos e pastas permisses NTFS.
Compresso de arquivos e pastas.
Auditoria de acesso.
Parties bem maiores do que as permitidas com FAT e FAT32.
Desempenho bem superior do que com FAT e FAT32.
Menor ndice de fragmentao de parties e volumes.
IMPORTANTE: Se voc quiser ocultar
um compartilhamento, de tal maneira
que ele no seja exibido na lista de
recursos compartilhados quando for
usado o comando
\\nome_do_computador, basta
finalizar o nome do compartilhamento
com o caractere $. Por exemplo, se voc
criar um compartilhamento chamado
Docs$, este ser um compartilhamento
oculto, o qual somente poder ser
acessado se for utilizado o caminho
c o m p l e t o :
\\nome_do_computador\Docs$. Por
padro, o Windows Server 2003 cria
alguns compartilhamentos ocultos para
funes especficas do prprio Sistema
Operacional. Estes compartilhamentos
tambm tem permisses especficas.
Por exemplo, criado um compar-
tilhamento C$, o qual d acesso a pasta
raiz do disco rgido, porm somente
usurios com conta de Administrador
tem acesso a este compartilhamento.
No esquea: Para ocultar um
compartilhamento, basta acrescentar o
sinal de $ como ltimo caractere do
nome do compartilhamento. Lembre-
se deste detalhe para o exame.
Uma das principais vantagens do NTFS que o ele permite que sejam definidas permisses de acesso para arquivos e
pastas, isto , posso ter arquivos em uma mesma pasta, com permisses diferentes para usurios e grupos diferentes.
Alm disso, as permisses NTFS tm efeito localmente, isto , mesmo que o usurio faa o logon no computador onde
um determinado arquivo existe, se o usurio no tiver as permisses NTFS necessrias, ele no poder acessar o
arquivo. Isso confere um alto grau de segurana, desde que as permisses NTFS sejam configuradas corretamente.
No Windows 2000 Server foi introduzido NTFS 5, a nova verso do NTFS, que a verso utilizada pelo Windows
Server 2003. O NTFS 5 apresenta diversas melhorias em relao a verso mais antiga do NTFS, tais como:
Criptografia de arquivos e pastas (a criptografia uma maneira de embaralhar a informao de tal forma que
mesmo que um arquivo seja copiado, o arquivo se torna ilegvel, a no ser para a pessoa que possui a chave para
descriptografar o arquivo). Para detalhes sobre Criptografia de arquivos e pastas consulte o Captulo 5.
Quotas de usurio, fazendo com que seja possvel limitar o espao em disco que cada usurio pode utilizar.
Gerenciamento e otimizao melhorados.
Figura 14.39 Aes associadas com as permisses de pasta e arquivos.
Conforme descrito anteriormente, o administrador pode definir permisses de acesso para pastas ou arquivos, mas
somente em unidades formatadas com o sistema de arquivos NTFS (seja na verso do NT Server 4.0 ou o NTFS 5 do
Windows 2000 Server/Windows Server 2003 ). Por isso que aconselhvel instalar o Windows Server 2003 sempre
em unidades formatadas com NTFS, pois isso permite uma maior segurana e proteo dos dados. As parties NTFS
apresentam um desempenho um pouco inferior do que as parties FAT32, em termos de velocidade. Porm em
termos de segurana no existe comparao, por isso recomendo a utilizao do sistema NTFS. Se voc estiver em
dvidas, no momento da instalao do Windows Server 2003, pode optar por formatar o disco rgido utilizando FAT
32. Depois possvel converter para NTFS, sem perda de dados. Porm cuidado, uma vez convertido o disco rgido
para NTFS no possvel reverter para FAT32. A nica maneira fazer um backup do disco rgido, formatando-o
novamente com FAT32 e restaurar o backup.
Com relao as permisses NTFS, existe um conjunto diferente de permisses quando tratamos de pastas ou arquivos.
Na Figura 14.39 apresento um resumo das permisses de pasta e de arquivos, com as aes associadas com cada
permisso.
A seguir apresento a descrio, com maiores detalhes, para cada uma das permisses listadas na Figura 14.39:
Traverse Folder/Execute File (Permisso Desviar pasta/Executar arquivo): Estas permisses so aplicadas a
pastas e arquivos. Para as pastas, Desviar pasta permite ou nega o movimento atravs de pastas para acessar
outros arquivos ou pastas, mesmo que o usurio no tenha permisses referentes s pastas desviadas (aplica-
se somente a pastas). Por exemplo vamos supor que o usurio tem permisso na pasta C:\Documentos, no
tem permisso na pasta C:\Documentos\Ofcios e tem na pasta C:\Documentos\Ofcios\2001. Neste caso, o
usurio para chegar at a pasta 2001, ter que passar pela pasta Ofcios, para a qual ele no tem permisso.
Para que o usurio possa passar pela pasta Ofcio, o administrador deve atribuir-lhe a permisso Desviar pasta.
Desviar pasta tem efeito apenas quando o grupo ou usurio no tem o direito de usurio Ignorar verificao
com desvio no snap-in de diretivas de grupo. (Por padro, o grupo Todos tem o direito de usurio Ignorar
verificao com desvio.)
Para os arquivos: Execute File (Executar arquivo) permite ou nega a execuo de arquivos de programa (aplica-
se somente a arquivos). Ao definir a permisso Traverse Folder (Desviar Pasta) em uma pasta, voc no est
Permisso List Folder/Read Data (Listar Pasta/Ler Dados): List Folder (Listar Pasta) permite ou nega a exibio
de nomes de arquivos e subpastas dentro da pasta. Essa permisso afeta apenas o contedo da pasta em questo,
no afetando o fato de a pasta na qual a permisso est sendo definida ser listada ou no. Aplica-se somente a
pastas. Read Data (Ler Dados) permite ou nega a exibio de dados em arquivos (aplica-se somente a arquivos).
Por exemplo, se o usurio tem permisso de Ler dados em um arquivo do Word, este usurio poder abrir o
arquivo, porm no poder alter-lo ou exclu-lo.
Permisso Read Attributes (Ler Atributos): Permite ou nega a exibio de atributos de um arquivo ou pasta,
como os atributos somente leitura ou oculto. Os atributos so definidos pelo NTFS. Para acessar os atributos
de uma pasta ou arquivo, clique com o boto direito do mouse na pasta/arquivo e, no menu que surge, d um
clique na opo Properties (Propriedades).
Permisso Read Extended Attributes (Ler Atributos Estendidos): Permite ou nega a exibio de atributos
estendidos de um arquivo ou pasta. Os atributos estendidos so definidos por programas e podem variar de
acordo com o programa.
Permisso Create Files/Write Data (Criar Arquivos/Gravar Dados): Criar arquivos permite ou nega a criao
de arquivos dentro da pasta (aplica-se somente a pastas). Gravar dados permite ou nega as alteraes no
arquivo e a substituio de um contedo existente (aplica-se somente a arquivos). Esta permisso mais
conhecida por permisso de Escrita (ou Alterao).
Create Folders/Append Data (Permisso Criar Pastas/Acrescentar Dados): Criar pastas permite ou nega a
criao de pastas dentro da pasta na qual a permisso foi definida (aplica-se somente a pastas). Acrescentar
dados permite ou nega as alteraes no final do arquivo, mas no a alterao, excluso ou substituio de
dados existentes (aplica-se somente a arquivos).
Permisso Write Attributes (Gravar Atributos): Permite ou nega a alterao de atributos de um arquivo ou
pasta, como somente leitura ou oculto. Os atributos so definidos pelo NTFS. A permisso Gravar atributos
no implica na criao ou excluso de arquivos ou pastas, apenas inclui a permisso para efetuar alteraes
nos atributos de um arquivo ou de uma pasta.
Permisso Write Extended Attributes (Gravar Atributos Estendidos): Permite ou nega a alterao de
atributos estendidos de um arquivo ou pasta. Os atributos estendidos so definidos por programas e
podem variar de acordo com o programa. A permisso Gravar atributos estendidos no implica na criao
ou excluso de arquivos ou pastas, apenas inclui a permisso para efetuar alteraes nos atributos de um
arquivo ou de uma pasta
Permisso Delete Subfolders and Files (Excluir Subpastas e Arquivos): Permite ou nega a excluso de subpastas
e arquivos, mesmo que a permisso Excluir no tenha sido concedida na subpasta ou arquivo. (aplica-se a
pastas). Por exemplo, se voc no tem permisso de Excluir na pasta Documentos, mas tem permisso de
Excluir em um arquivo memo.doc, que est na pasta Documentos, voc conseguir Excluir o documento
memo.doc, pois as permisses de arquivo tem precedncia sobre as permisses de pastas, quando conflitantes.
Permisso Delete (Excluir): Permite ou nega a excluso da pasta e/ou arquivo. Se o usurio no tiver permisso
de excluir em um arquivo ou pasta, ele ainda poder excluir o arquivo ou pasta, se ele tiver permisso Delete
Subfolders and Files (Excluir Subpastas e Arquivos) na pasta pai. Por exemplo, suponha uma pasta Documentos,
na qual o usurio tem permisso Delete Subfolders and Files. Dentro da pasta Documentos tem a pasta Ofcios,
na qual o usurio no tem permisso Delete. Mesmo assim ele poder excluir a pasta Ofcios, pois ele tem
permisso Delete Subfolders and Files na pasta Pai de Ofcios que a pasta Documentos.
Permisso Read Permissions (Ler Permisses): Permite ou nega a leitura de permisses do arquivo ou pasta,
como Controle total, Ler e Gravar. Se o usurio no tiver esta permisso, ele no poder exibir a lista com as
permisses definidas para um arquivo e/ou pasta.
Permisso Change Permissions (Alterar Permisses): Permite ou nega a alterao de permisses do arquivo ou
pasta, como Controle total, Ler e Gravar. Esta uma permisso poderosa e que deve ser utilizada com
cuidado. Uma vez que o usurio tem permisso para Alterar permisses, ele pode perfeitamente atribuir Controle
total para ele mesmo, ou seja, para a sua conta de usurio.
Permisso Take Ownership (Apropriar-se) : Permite ou nega a apropriao (tornar-se dono) do arquivo ou
pasta. O proprietrio de um arquivo ou pasta sempre pode alterar permisses, independentemente de qualquer
permisso existente que proteja o arquivo ou pasta. O dono de um arquivo ou pasta, por padro, o usurio
que cria o arquivo /pasta.
Todo arquivo ou pasta em uma unidade formatada com NTFS, possui uma Lista de controle de acesso (Access
Control List ) ACL. Nesta ACL fica uma lista de todas as contas de usurios e grupos para os quais foi garantido
acesso para o recurso, bem como o nvel de acesso de cada um deles.
IMPORTANTE: Existem alguns detalhes que devem ser reforados/revisados sobre as permisses NTFS. Para o exame, no
esquea os seguintes detalhes:
Permisses NTFS so cumulativas, isto , se um usurio pertence a mais de um grupo, os quais tem diferentes
nveis de permisso para um recurso, a permisso efetiva do usurio a soma das permisses atribudas aos
Permisses NTFS para um arquivo tm prioridade sobre permisses NTFS para pastas. Por exemplo se um
usurio tm permisso NTFS de escrita em uma pasta, mas somente permisso NTFS de leitura para um
arquivo dentro desta pasta, a sua permisso efetiva ser somente a de leitura, pois a permisso para o arquivo
tem prioridade sobre a permisso para a pasta.
Negar uma permisso NTFS tem prioridade sobre permitir. Por exemplo, se um usurio pertence a dois grupos
diferentes. Para um dos grupos foi dado permisso de leitura para um arquivo e para o outro grupo foi Negada
a permisso de leitura, o usurio no ter o direito de leitura, pois Negar tem prioridade sobre Permitir.
Combinando permisses de compartilhamento e permisses NTFS estudo de casos.
Voc pode estar se perguntando como que o Windows Server 2003 trata quando existem diferenas entre as permisses
de compartilhamento e as permisses NTFS. Por exemplo se nas permisses de compartilhamento o usurio maria
tem direito de Controle total e nas permisses NTFS o usurio maria tem direito apenas de Leitura. Qual a permisso
efetiva do usurio maria?
Eu j fiz alguns comentrios sobre a combinao entre as permisses de compartilhamento e as permisses NTFS.
Neste tpico vou detalhar este assunto atravs do uso de mais alguns exemplos.
hora de analisar algumas situaes prticas para fixar bem a combinao entre
permisses de compartilhamento e NTFS.
Exemplo 01: Considere a situao indicada na Figura 14.40. Qual a permisso
efetiva do usurio jsilva2, na pasta compartilhada Documentos ?
IMPORTANTE: Quando existem
diferenas entre as permisses efetivas
resultantes de compartilhamento e as
permisses efetivas resultantes NTFS, a
permisso efetiva a MAIS RESTRITIVA,
isto , aquele que restringe mais as aes
que podem ser tomadas. No exemplo
do primeiro pargrafo, a permisso
efetiva para o usurio maria seria Leitura,
a qual mais restritiva do que Controle
total.
Figura 14.40 A permisso efetiva a mais restritiva.
Para entender a situao da Figura 14.40, voc deve ter em mente que no caso de diferenas entre as permisses de
compartilhamento e as permisses NTFS, a permisso efetiva a mais restritiva.
No exemplo da figura a permisso efetiva do usurio jsilva2 Leitura a qual a mais restritiva entre Controle total (a
permisso NTFS do usurio jsilva2) e Leitura (permisso de compartilhamento do usurio jsilva2). A mesma anlise
vlida em relao ao usurio maria.
Agora considere uma situao um pouco mais complexa, onde tem que ser considerada a combinao das permisses
dos diferentes grupos aos quais pertence um usurio, alm da combinao entre permisses de compartilhamento e
permisses NTFS.
Figura 14.41 Usurio jsilva2 pertence aos grupos Marketing e Contabilidade.
Para definir a permisso efetiva para o usurio jsilva2, devem ser levadas em consideraes diversos regras, j
apresentadas ao longo deste captulo:
Quando um usurio pertence a vrios grupos, os quais recebem diferentes permisses (quer sejam permisses
de compartilhamento ou NTFS), a permisso efetiva a soma das permisses. Alm disso voc deve lembrar
que Negar tem prioridade sobre permitir. No caso das permisses de compartilhamento, um dos grupos ao
qual o usurio jsilva2 pertence grupo Contabilidade tem a permisso de leitura negada. Logo a permisso
efetiva de compartilhamento para jsilva2 Negar leitura, independente das demais permisses atribudas aos
grupos aos quais pertence o usurio jsilva2.
A permisso efetiva NTFS para o usurio jsilva2 a soma das permisses do usurio com as permisses dos grupos
Marketing e Contabilidade. Com isso a permisso NTFS efetiva Permitir Controle total.
Com isso possvel reduzir a situao proposta inicialmente, na Figura 14.41, a uma situao mais simplificada,
Admita que o usurio jsilva2 pertena aos grupos Contabilidade e Marketing. Com base na Figura 14.41, qual seria a
permisso efetiva para o usurio jsilva2 na pasta compartilhada Documentos?
Figura 14.42 Simplificando a situao.
Agora hora de lembrar que quando existe diferena entre as permisses de compartilhamento e NTFS vale
a mais restritiva.
Com isso possvel determinar que a permisso efetiva do usurio jsilva2 no compartilhamento Documentos Negar
Leitura, isto , o usurio no conseguir nem listar o contedo da pasta.
Pastas Off-line: conceito e utilizaes.
Com o Windows Server 2003 (j era possvel com o Windows 2000 e tambm no Windows XP Professional), voc
pode configurar uma pasta compartilhada, para que o usurio possa ter acesso aos arquivos do compartilhamento,
mesmo quando no estiver conectado rede. Em um primeiro momento pode parecer estranho: Como ter acesso aos
arquivos de uma pasta compartilhada, sem estar conectado rede?? Na prtica o que acontece que, ao configurar
um compartilhamento para acesso Off-line, o administrador est orientando os clientes que acessam o compartilhamento,
a fazer uma cpia local dos arquivos do compartilhamento, com isso o usurio fica trabalhando na cpia local, em
caso de perda da conexo com a rede. De tempos em tempos as alteraes feitas na cpia local (tambm conhecido
como Cache local de arquivos), so sincronizadas com a cpia original, na pasta compartilhada. Se por algum motivo,
o computador perder o acesso rede, o usurio continua trabalhando na cpia local, podendo inclusive desligar o
computador. Na prxima vez que o computador for conectado rede, os arquivos sero sincronizados. Voc deve ter
notado que o uso de pastas Off-line ideal para usurios de Notebooks, que precisam trabalhar e alterar arquivos
quando no esto conectados rede da empresa, como por exemplo em casa, em aeroportos ou em uma sala de reunio
na empresa de um cliente.
Quando estiver trabalhando com arquivos off-line, voc poder exibi-los na sua pasta Arquivos off-line e exclu-
los dela. Tambm poder especificar quando e como os arquivos sero sincronizados ou ento criptografar os
arquivos off-line.
O primeiro passo configurar os computadores dos clientes para que estes possam trabalhar com arquivos off-line.
Por exemplo, voc dever fazer as configuraes indicadas a seguir no notebook de um usurio que precise utilizar os
arquivos off-line. Para detalhes prticos sobre estas configuraes, consulte o Captulo 6.
Em seguida voc deve configurar os compartilhamentos que daro suporte ao uso de arquivos off-line. Estas
configuraes so feitas nas pastas compartilhadas nos servidores da rede. Para detalhes prticos sobre estas
configuraes, consulte o Captulo 6. Ao habilitar o uso de pastas Off-line em um compartilhamento, voc tem as
seguintes opes:
Voc pode utilizar uma das opes descritas a seguir:
Apenas os arquivos e programas que os usurios especificarem estaro disponveis off-line: Ao marcar esta
opo (que a padro), somente sero armazenados on cache off-line, na estao de trabalho do cliente,
aqueles arquivos e programas que o usurio especificamente definiu para estarem disponveis off-line. Esta
opo a mais indicada para compartilhamentos acessados por muitos usurios, pois a cada usurio marca
para acesso off-line somente os arquivos que forem do seu interesse.
Todos os arquivos e programas que os usurios abrirem do compartilhamento estaro automaticamente
disponveis off-line: Com esta opo, sempre que o usurio abrir um arquivo da pasta compartilhada, este
arquivo ser marcado para estar disponvel para acesso off-line. Esta opo ideal para compartilhamentos
que contm arquivos que no so alterados com freqncia e podem estar disponveis para acesso off-line.
Os arquivos ou programas do compartilhamento no estaro disponveis off-line: Ao marcar esta opo voc
desabilita o acesso off-line aos arquivos do compartilhamento.
Por padro os arquivos off-line so sincronizados durante o logon e tambm
durante o logoff, para garantir que voc sempre tenha uma cpia atualizada
dos arquivos.
Se voc trabalhou desconectado da rede e alterou algum arquivo off-line
e o arquivo no foi alterado na pasta compartilhada, o Windows atualiza a
verso que est na pasta compartilhada a partir do arquivo atualizado no
seu computador.
Se voc trabalhou desconectado da rede e no alterou nenhum arquivo
off-line porm arquivos foram alterados na pasta compartilhada no
servidor, o Windows atualiza a sua cpia off-line, para ficar sincronizada
com as alteraes que houve na pasta compartilhada.
Se as duas verses de um arquivo, no servidor e na sua cpia local, foram
alteradas, o Windows Server 2003 exibe uma caixa de dilogo perguntando
se voc deseja manter ambas as verses ou salvar uma em detrimento da
outra.
Se uma das duas verses for excluda e a outra no foi alterada, durante a
sincronizao, a outra cpia tambm ser excluda. Por exemplo, se
enquanto voc esteve off-line, um arquivo foi excludo na pasta
compartilhada e voc no alterou este arquivo, durante a sincronizao, a
sua cpia off-line do arquivo tambm ser excluda. Se voc alterou o
arquivo enquanto esteve off-line, uma caixa de dilogo ser exibida,
perguntando se voc deseja salvar a verso alterada off-line, para a pasta
compartilhada no servidor.
marca uma pasta para estar
disponvel off-line, o Windows
disponibilizar todo o contedo da
pasta (subpastas e arquivos) para
estar disponvel off-line. Se a pasta
tiver subpastas, ser exibida uma
janela perguntando se voc deseja
tornar as subpastas tambm
disponveis off-line. Ao fazer esta
configurao, o Windows faz uma
cpia dos arquivos selecionados
para o cache local do computador e
passa a fazer a sincronizao entre
a cpia local e os arquivos na pasta
compartilhada, de acordo com as
seguintes regras:
Se voc excluir a verso local e a verso no servidor tiver sido alterada, uma caixa de dilogo ser exibida,
perguntando se voc deseja excluir a verso no servidor ou copiar a verso alterada para o cache local.
Se novos arquivos forem adicionados no servidor, estes arquivos sero copiados para o seu cache local, caso
voc tenha configurado a pasta onde os arquivos foram adicionados, para acesso off-line.
Instalao, Configurao e Administrao de Impressoras.
Neste item do resumo, apresento alguns tpicos sobre impresso, os quais voc no pode esquecer, de maneira alguma,
para o exame.
Termos utilizados pelo sistema de impresso do Windows Server 2003:
Talvez por excesso de criatividade, a equipe da Microsoft tem feito um belo trabalho para confundir o administrador
do sistema de impresso, ao usar diferentes termos para fazer referncia a impressora propriamente dita e ao driver da
impressora (o software de controle da impressora instalado no servidor).
Para piorar um pouco mais, esta terminologia mudou novamente no Windows Server 2003, em relao a terminologia
que era utilizada no Windows NT Server 4.0 e no Windows 2000 Server. Para ajudar o amigo leitor a se situar um
pouco melhor neste emaranhado de termos, descrevo a terminologia oficial, utilizada nas diferentes verses do
Windows, em relao Impressoras.
No Windows NT Server 4.0 e no Windows 2000 Server so utilizados os seguintes termos:
print device (dispositivo de impresso): Este termo refere-se a impressora propriamente dita, ao hardware. Ou
seja, uma HP Deskjet 660 C, uma Rima Okidata 1100, uma Epson LX 300 e assim por diante.
printer (impressora): faz referncia ao driver da impressora, ao software instalado e que controla a impressora.
o elemento que aparece na pasta Printers (Impressoras).
Impresso atravs da Internet.
Uma novidade que foi introduzida no Windows 2000 Server e que foi melhorada no Windows Server 2003 a impresso
atravs da Internet (ou da Intranet da empresa). Voc pode configurar uma impressora para que ele seja visvel atravs
da Internet ou da Intranet da empresa. Voc pode definir quais usurios tero permisso para utilizar esta impressora,
a exemplo do que acontece com qualquer tipo de impressora instalada no Windows Server 2003. A impresso via
Internet feita atravs do protocolo Internet Printing Protocol IPP. O suporte ao protocolo IPP depende da impressora.
Se a impressora no vier de fbrica com suporte a este protocolo, voc dever instalar o protocolo no Windows Server
2003 e tambm o IIS para que voc possa administrar a impressora usando o Browser. No Captulo 13 voc aprender
a instalar, utilizar e administrar o IIS 6.0.
As impressoras com suporte ao protocolo IPP, normalmente, vem com uma interface de administrao via Browser.
Ou seja, voc conecta o Browser diretamente com o IP configurado para a impressora e aberta uma pgina com uma
srie de comandos de administrao da impressora. Normalmente exigida uma senha para que possa ser feita a
administrao da impressora, para evitar que qualquer usurio que conhea o IP da impressora faa a conexo e altere
as configuraes da impressora.
Depois de instalada uma impressora e habilitada para o protocolo IPP, voc pode conectar com a impressora, facilmente,
usando o Internet Explorer 4.0 ou superior. Por exemplo, para exibir a lista de impressoras do domnio abc.com, basta
utilizar o endereo a seguir:
http://abc.com/printers
Para fazer a conexo diretamente com uma impressora, cujo nome de compartilhamento seja las-col-01, no domnio
abc.com, basta utilizar o endereo a seguir:
http://abc.com/ las-col-01
Ser exibida uma lista de comandos da impressora Basta clicar em Install e pronto, o driver da impressora ser
instalado e voc poder imprimir diretamente neste impressora. Para o usurio aparece com mais uma impressora
(logical driver) na lista de impressoras instaladas. Quando o usurio envia uma impresso, o protocolo IPP responsvel
por enviar os dados para a impressora de destino para que a impresso seja realizada.
Padronizao de nomes e outros detalhes importantes para o uso de impressoras em rede.
O administrador pode selecionar o nome de compartilhamento de cada impressora da rede, bem como definir os
comentrios, descrio e outras informaes sobre cada impressora. Porm aconselhvel que sejam seguidas
determinadas recomendaes, as quais iro facilitar para o usurio a localizao das impressoras atravs da rede e
tambm as pesquisas no Active Directory. Com a definio de normas para as informaes a serem cadastradas
para cada impressora, o administrador facilita a vida do usurio, o qual pode fazer pesquisas pelo tipo de impressora
(laser, jato de tinta, jato de cera, etc), pela localizao, pelas caractersticas, pela velocidade e por outros detalhes
que possam ser relevantes.
tambm importante manter um padro para a nomeao das impressoras, sempre tendo em mente que o
objetivo desta padronizao fazer com que seja fcil para o usurio, localizar uma impressora com as
caractersticas que ele precisa.
Cada impressora instalada e compartilhada em um servidor tem dois nomes. O primeiro nome o nome da prpria
impressora, nome este que exibido na janela Impressoras ou no Browser, quando o administrador est gerenciando
impressoras atravs do Browser (conforme mostrarei no final deste captulo). O nome da impressora pode ter at 220
caracteres de comprimento. O outro nome o nome de compartilhamento. o nome que exibido na lista de recursos
compartilhados quando o usurio acessa os recursos de um servidor usando o cone Meus locais de rede ou usando o
comando net view \\nome-do-servidor, para exibir a lista de recursos compartilhados em um servidor.
O nome de compartilhamento pode ter at 80 caracteres de comprimento. Porm importante lembrar que clientes
mais antigos, como o Windows 3.x ou MS-DOS, no reconhecem mais do que 8 caracteres como nome de
compartilhamento. Somente clientes com o Windows 2000 Server, Windows XP ou Windows Server 2003 so capazes
de reconhecer nomes de compartilhamento que contenham espaos. Por isso se voc tem clientes baseados no Win-
dows 95/98/Me ou no NT Workstations 4.0, evite utilizar nomes de compartilhamento com espaos.
A idia bsica que o nome da impressora deve conter informaes bsicas, tais como o tipo da impressora, localizao
e indicao de uma caracterstica principal, como nos exemplos a seguir:
HP Laser Colorida Fiscalizao
Cnon Laser Monocromtica Contabilidade
HP Laser Suporte A3 Pesquisa
Estes nomes indicam a marca (poderamos tambm ter includo o modelo), uma caracterstica principal (no ltimo
exemplo o suporte a papel tamanho A3) e a localizao da impressora.
Os nomes de compartilhamento tambm deve ser indicativos das caractersticas e da localizao da impressora. Considere
LasMonoContab
LasColPesquisa
CeraColRecepo
LasColSalaPresidente
Atribuindo permisses de acesso para a impressora.
Neste item mostrarei um exemplo prtico de como definir permisses de acesso para uma impressora compartilhada.
Tambm farei uma descrio detalhada dos diferentes nveis de permisso que podem ser definidos para o acesso a
ume impressora. As permisses podem ser atribudas a usurios ou a grupos. A exemplo da recomendao que foi
feita para o caso de pastas compartilhadas, para impressoras compartilhadas tambm recomendado sempre definir
as permisses para grupos, o que simplifica e facilita a administrao destas permisses.
Assim como possvel atribuir permisses para uma pasta compartilhada, possvel definir permisses de acesso
para uma impressora compartilhada. As permisses definem quais os usurios que podem utilizar a impressora e qual
o nvel de permisso de cada usurio. Ao definir permisses para um grupo, os membros do grupo herdam as permisses.
Se o usurio pertencer a mais de um grupo, a sua permisso efetiva ser a soma das permisses atribudas a todos os
grupos aos quais ele pertence. Negar uma permisso de impresso tem precedncia sobre todas as demais permisses.
Por exemplo, se o usurio pertence a cinco grupos, grupos estes que tem diferentes permisses de acesso a uma
impressora compartilhada. Se ele for includo em um sexto grupo, o qual tem negada a permisso de acesso impressora,
a permisso efetiva do usurio ser acesso negado, ou seja, o negar que ele herdou do sexto grupo, tem precedncia
sobre todas as demais permisses que ele herdou dos demais grupos aos quais ele pertence.
Quando uma impressora instalada em uma rede, so atribudas permisses de impresso padro, as quais permitem
que todos os usurios imprimam e que grupos selecionados gerenciem a impressora, documentos enviados a elas ou
ambos. Por padro definida a permisso Print (Imprimir) para o grupo Everyone (Todos); a permisso Print (Imprimir),
Manage Documents (Gerenciar Documentos) e Manage Printers (Gerenciar Impressoras) para os grupo locais do
domnio Administrators (Administradores), Server Operators (Operadores de Servidores) e Print Operators (Operadores
de Impresso). Tambm adicionada permisses totais para o usurio dono da impressora, que o usurio que estava
logado quando a impressora foi instalada. Como a impressora est disponvel, por padro, para todos os usurios na
rede (permisso Imprimir para o grupo Todos), convm limitar o acesso de algumas pessoas atribuindo permisses de
impressoras especficas. Por exemplo, voc pode conceder a permisso Print (Imprimir) a todos os usurios no
administrativos de um departamento e as permisses Print (Imprimir) e Manage Documents (Gerenciar documentos)
somente para os gerentes. Desse modo, todos os usurios e gerentes podero imprimir documentos, mas somente os
gerentes podero alterar o status de impresso de qualquer documento enviado impressora. (gerenciar documentos).
O Windows fornece trs nveis de permisses de segurana de impresso: Print (Imprimir), Manage Printers (Gerenciar
impressoras) e Manage Documents (Gerenciar documentos). Quando vrias permisses so atribudas a um grupo de
usurios, as permisses menos restritivas se aplicam, ou seja, a permisso efetiva do usurio a soma das permisses
atribudas aos grupos aos quais ele pertence, mais as permisses atribudas diretamente a sua conta. No entanto, se a opo
Negar tiver sido atribuda, ela ter precedncia sobre qualquer permisso, a exemplo do que acontece com as permisses de
compartilhamento e com as permisses NTFS. Existem trs nveis de permisso, conforme detalhado a seguir:
documento para a impressora, o usurio torna-se o dono daquele documento, por isso que ele pode administrar
os documentos por ele enviados. Esta permisso normalmente atribuda para aqueles usurios que simplesmente
precisam enviar documentos para a impressora. Por padro, quando uma nova impressora instalada, a permisso
Print (Imprimir) atribuda ao grupo Everyone (Todos), conforme descrito anteriormente.
compartilhar a impressora, alterar as propriedades da impressora, eliminar a impressora e alterar as permisses
de impresso. Normalmente atribuda a um usurio que deve ter poderes completos na administrao da
impressora, inclusive podendo remove-la do sistema. Por padro, os membros dos grupos Administrators
(Administradores), Print Operators (Opers.de Cpia) e Server Operators (Opers.de Servidores) tm esta
permisso.
importante salientar, que as permisses para o uso da impressora tem efeito
tanto localmente, quanto para o acesso atravs da rede. Alm disso caso um usurio
pertena a mais de um grupo que possui permisses para a impressora, a sua
permisso efetiva a soma das permisses. Tambm um permisso Negar tem
prioridade sobre Permitir (sei que estou repetindo isso pela terceira vez, mas o
objetivo exatamente fazer com que o amigo leitor no esquea destes detalhes).
Por exemplo se o usurio jsilva pertence aos grupos Contabilidade e Marketing.
O grupo Contabilidade possui permisso Print (Imprimir), j o grupo Marketing
tem permisso Deny Print (Negar Imprimir), ento a permisso efetiva do usurio
jsilva ser Deny Print (Negar Imprimir).
O servio Spooler de Impresso:
Podem ocorrer problemas mais srios, onde o administrador no consegue eliminar
os documentos da fila de impresso e a impressora continua imprimindo uma
srie de pginas com uns caracteres meio estranhos, ou seja, lixo. Ou pode ocorrer
de os usurios estarem enviando os trabalhos de impresso, os trabalhos so
colocados na f ila de impresso mas no so impressos. Muitas vezes o
Administrador acaba reinicializando o servidor para poder suspender as impresses
com problema.
Quem controla toda a impresso no Windows Server 2003 um Servio chamado
Spooler. Um servio nada mais do que um programa que inicializa,
automaticamente, quando o Windows Server 2003 inicializado. O servio
inicializado e continua operando, sem a necessidade de que ao administrador
faa o logon no servidor.
Para eliminar todos os documentos de uma fila de impresso quando a impresso
est apresentando problemas maiores, os quais voc no consegue solucionar
simplesmente administrando a fila de impresso, a maneira mais simples parar
o servio Spooler e inicializa-lo novamente. Ao fazer isso, todos os documentos
que esto na fila de impresso, sero removidos, inclusive o documento que est
atualmente sendo impresso.
Para parar o servio Spooler e inicializa-lo novamente.
2. Para parar o servio Spooler digite o seguinte comando:
net stop spooler
3. Pressione Enter. O servio Spooler ser finalizado e todos os documentos
sero removidos da fila de impresso.
IMPORTANTE: Um caso especial o
caso do usurio Administrador ou de
qualquer usurio que pertena ao grupo
Administradores. Mesmo que um
usurio do grupo Administradores no
possua nenhuma permisso de acesso
impressora, , ele poder ter acesso a
guia segurana e atribuir permisses
para si mesmo. Isso feito para que os
Administradores possam ter controle
sobre todos os recursos da rede.
IMPORTANTE: Pode parecer que no
existe diferena entre uma Impressora
de rede e uma Impressora conectada
a outro computador. Mas existe sim
diferenas. Uma Impressora de rede
uma impressora que tem instalada uma
placa de rede e ligada diretamente
na rede, atravs desta placa de rede,
tendo inclusive sido configurada com
um endereo IP. Uma impressora de
rede no ligada diretamente a
nenhum servidor. J uma impressora
conectada a outro comutador, uma
impressora ligada na porta paralela (ou
em outra porta, como por exemplo
Serial ou USB) de um servidor da rede.
Esta impressora passa a estar acessvel
pela rede, quando ela compartilhada.
4. Para reiniciar o servio Spooler digite o seguinte comando:
net start spooler
5. Pressione Enter. O servio Spooler ser reinicializado.
6. Na janela da Figura 14.43, mostro a execuo dos dois comandos, onde o servio Spooler foi parado e inicializado
novamente:
Figura 14.43 Parando e reinicializando o servio Spooler.
7. Para sair do Prompt de comando, digite exit e tecle Enter.
Configurando propriedades importantes e outras aes.
Existem algumas opes e propriedades das impressoras, que so bastante teis.
O administrador deve conhecer e saber configurar estas propriedades, bem como
entender em que situaes prticas devem ser utilizadas.
Uma das opes importantes a disponibilidade. Por padro, quando uma
impressora instalada, ela fica disponvel 24 horas por dia, 7 dias por semana. O
administrador pode limitar o tempo em que uma impressora fica disponvel.
Quando um documento enviado durante um perodo em que a impressora est
configurada para no estar disponvel, o documento fica na fila de impresso e
quando chegar o horrio em que a impressora est configurada para voltar a estar
disponvel, o documento ser impresso, sempre respeitando a ordem de chegada
na fila de impresso e a prioridade de cada documento. Configurar o horrio de
disponibilidade, pode ser usado para evitar que documentos extensos sejam
impressos fora do horrio do expediente, sem que o administrador tome
conhecimento.
Esta opo pode ser utilizada para fazer com que uma impressora, esteja disponvel,
em determinados horrios do dia, somente para um determinado grupo. Por
exemplo, imagine que voc tem uma impressora Laser Colorida, a qual na parte
da manh, deve estar disponvel apenas para o Grupo Gerentes. No restante do
dia, a impressora deve estar disponvel para todos. O que voc faz? Muito simples,
voc instala esta impressora, duas vezes, no mesmo servidor. Na primeira
instalao, voc define que a impressora estar disponvel durante todo o dia e
DICA: Quando uma impressora tem
trabalhos em sua fila de impresso,
um cone com uma figura de uma
impressora, exibido ao lado da
hora do sistema, bem no canto in-
ferior direito do vdeo. Para abrir a
janela que exibe a fila de
impresso, basta dar um clique
duplo neste cone. Depois s
utilizar os comandos que voc
aprendeu no exemplo anterior,
para Gerenciar os documentos da
fila de impresso.
define permisso de acesso para o grupo Gerentes e Nega o acesso para os demais grupos. Voc oriente os gerentes a
utilizar esta impressora. A segunda instalao voc compartilha com o grupo Todos, porm configura para estar
disponvel somente no horrio da tarde. Com isso, a impressora, na prtica, na parte da manh, somente poder ser
acessada pelo grupo Gerentes. isso.
Neste item descreverei quais os passos necessrios para que o administrador possa definir diferentes prioridades, para
diferentes grupos, no uso da mesma impressora. Esta uma situao bastante comum. Imagine a situao descrita a seguir:
Uma nova impressora Laser, Colorida, de alta resoluo e de alta velocidade (15 pginas por minuto) foi instalada no
andar da direo. Neste andar, alm dos executivos da empresa tambm trabalham as secretrias e uma equipe de
estagirios que fazem uma srie de trabalhos de apio. Todos devem ter permisso para usar a nova impressora, a qual
ser instalada e compartilhada em um servidor Windows Server 2003 localizado no mesmo andar. Todos os executivos
fazem parte do grupo Administrao, todas as secretrias fazem parte do grupo Secretrias e todos os estagirios
fazem para do grupo Estagirios. Voc, como administrador, foi solicitado para permitir que os grupos Administrao,
Secretrias e Estagirios tenham acesso a esta nova impressora, porm com diferentes prioridades. O grupo
Administrao deve ter prioridade Mxima e o grupo Secretrias deve ter uma prioridade menor do que o grupo
Administrao, porm maior do que o grupo Estagirios. Quais os passos que voc deve executar, para implementar a
configurao proposta?
Esta uma questo bastante comum no dia-a-dia da administrao de impressoras em uma rede, ou seja, permitir o
uso de uma impressora, por diferentes grupos, com diferentes prioridades. Voc no tem como definir, nas propriedades
da impressora, diferentes prioridades para diferentes grupos. Quando voc define uma determinada prioridade para
uma impressora (logical printer) voc est definindo esta mesma prioridade para todos os usurios que tem permisso
de acesso impressora. Para solucionar esta questo preciso apelar para a criatividade do ser humano. Felizmente
somos seres criativos, curiosos por natureza. A resoluo deste problema bastante simples (embora d um pouco de
trabalho manual) e passa pela execuo dos seguintes passos:
1. Instale a impressora (instalar o driver da impressora) trs vezes, porm com nomes diferentes. No exemplo da
Figura 14.44, instalei a impressora HP Deskjet 660C trs vezes, porm com nomes diferentes.
Figura 14.44 - Impressora instalada trs vezes com nomes diferentes.
2. As trs impressoras tambm foram compartilhadas com nomes de compartilhamento diferentes, conforme indicado
a seguir:
Grupo Nome da impressora Nome de compartilhamento
Estagirios HP DeskJet 660C Estagirios HP660Est
Secretrias HP Deskjet 660C Secretrias HP660Sec
Administrao HP DeskJet 660C Administrao HP660Adm
3. A prxima etapa definir diferentes propriedades para cada uma das instalaes da impressora. Para definir a
prioridade de uma instalao basta clicar com o boto direito do mouse na impressora a ser configurada. No menu
de opes que exibido clique em Propriedades. Clique na guia Avanado. No campo Prioridade, informe um
valor entre 1 e 99. Quanto maior o valor, maior a prioridade da instalao no uso da fila de impresso. Na Figura
14.45 exibido o campo para configurao da prioridade da impressora.
Figura 14.45 Definindo a prioridade da impressora.
Basta definir a prioridade e clicar em OK. Defina as seguintes prioridades para cada uma das instalaes:
Com isso cada grupo somente poder acessar a sua respectiva instalao, com o nvel de prioridade adequado a cada
grupo.
5. Agora configure para que cada usurio acesse o respectivo compartilhamento, conforme indicado a seguir:
Grupo Nome da impressora Nome de compartilhamento Prioridade
Estagirios HP DeskJet 660C Estagirio HP660Est 10
Secretrias HP Deskjet 660C Secretrias HP660Sec 50
Administrao HP DeskJet 660C Administrao HP660Adm 99
4. Define permisses de acesso especficas em cada instalao, conforme indicado a seguir:
Grupo Nome da impressora Permisso para o grupo
Estagirios HP DeskJet 660C Estagirios Estagirios
Secretrias HP Deskjet 660C Secretrias Secretrias
Administrao HP DeskJet 660C Administrao Administrao.
Grupo Nome de compartilhamento Prioridade
Estagirios HP660Est 10
Secretrias HP660Sec 50
Administrao HP660Adm 99
Pronto, agora cada usurio somente consegue acessar uma das instalaes da
impressora e de acordo com o nvel de prioridade definido para o respectivo grupo.
Este um exemplo simples, de uma soluo que no existe pronta no Windows
Server 2003, mas combinando o conhecimento sobre impressoras, com uma pitada
de criatividade, o administrador consegue implementar uma soluo para uma
demanda real. um erro esperar por solues prontas para todas as demandas do
mundo real, por que as demandas so muitas e variadas. O trabalho do
administrador utilizar os recursos disponveis e a sua criatividade para
implementar solues para os problemas reais do dia-a-dia. At porque, se o sistema
operacional j apresentasse solues prontas para todos os problemas reais, no
seria necessria a figura do administrador, ou seja, o prprio sistema operacional
tomaria conta de tudo. Bem, deixando a filosofia de lado, vamos a mais uma
situao prtica que pode ocorrer no caso de grandes volumes de impresso.
NOTA: Todos os passos para
executar as aes prticas deste
exemplo, tais como instalar uma
impressora, compartilhar a
impressora e definir permisses,
foram descritos no Captulo 7.
Tudo o que voc no pode esquecer sobre Backup e Restore
Este um tpico que voc deve conhecer, super bem. Principalmente a parte de tipos de backup e estratgias de
Backup/Restore, com base nos tipos de backup que esto sendo utilizados. fundamental que voc conhea as
caractersticas de cada tipo de backup e como cada tipo utilizado, quando da necessidade do Restore dos dados.
Vamos aos principais tpicos sobre backup e restore.
possvel criar mltiplos agendamentos para uma mesma tarefa de backup ou
qualquer tarefa agendada. Podem existir situaes em que uma determinada tarefa
tenha que ser executada em diversos horrios, os quais impossvel configurar
em um nico agendamento. Por exemplo, voc pode ter que agendar uma tarefa
de backup para rodar todos os dias, s 2:00 hs. da madrugada e nas segundas,
quartas e sextas, alm das duas da madrugada, tambm no horrio do almoo, por
exemplo, s 12:00 hs. Neste exemplo, voc ter que criar dois agendamentos: Um
com programao semanal, para todos os dias da semana, com execuo para as
2:00 hs. da manh. Outro com programao semanal, para execuo s segundas,
quartas e sextas-feiras s 12:00 hs.
Fazer o Backup, significa fazer uma ou mais cpias de segurana dos dados
dos servidores e tambm da instalao do Windows Server 2003 das configuraes
do servidor (Backup do Estado do Sistema). Muitos usurios e at mesmo pequenas
empresas simplesmente ignoram a necessidade de implementar uma poltica de
Backup. Muitas vezes os usurios s se do conta do problema quando tarde
demais, ou seja, quando houve uma perda de dados importantes. o usurio que
perdeu os documentos do Word e figuras da sua tese de mestrado, a vdeo locadora
que perdeu os dados de anos de locaes, o Dentista que perdeu as informaes
sobre as fichas dos pacientes, sobre quais pacientes deviam e assim por diante.
Claro que na rede da sua empresa, a necessidade de backup indiscutvel. Perder
dados significa sistemas fora do ar, perda de clientes, e assim por diante. Em
resumo: grandes dores de cabea e prejuzos. Fazer cpia de segurana uma
necessidade real, no temos como fugir deste fato. Alm disso o custo
insignificante, isto mesmo: insignificante se compararmos com os prejuzos que
podem ser causados pela perda de dados.
Neste tpico apresentarei alguns detalhes sobre os tipos de backup existentes e
sobre estratgias de backup que podem ser implementadas. Tambm darei algumas
sugestes sobre os dispositivos de Backup que voc pode utilizar caso nos
servidores da rede da sua empresa.
Definindo o tipo de Backup a ser utilizado.
Dependendo da quantidade de dados e do tempo disponvel para o backup, podem
ser utilizadas diferentes estratgias de backup. As estratgias de backup so
baseadas em um ou mais tipo de backup. Voc pode ter estratgias bastante simples,
IMPORTANTE: Volte e revise
completamente o Captulo 8. Este
um captulo realmente importante
e voc deve dominar todos os
conceitos apresentados neste
captulo.
IMPORTANTE: Lembre-se deste
detalhe, que em determinadas
situaes voc ter que usar a opo
de agendamento mltiplo. Esta
opo prefervel ao invs da
criao de tarefas separadas, uma
para cada agendamento. Lembre-
se disso.
IMPORTANTE: Conhea bem os
tipos de backup, as diferenas en-
tre os tipos e em que situaes
prticas cada tipo deve ser utilizado.
Este um dos tpicos fundamentais
NOTA: Neste tpico utilizarei a
palavra Backup como sinnimo de
Cpia de segurana, por ser este
termo j conhecido e consagrado.
baseadas na cpia completa de todos os arquivos, at estratgias mais sofisticadas, baseadas na combinao entre
diferentes tipos de backup. Vou, inicialmente apresentar os diferentes tipos de backup.
backup, ou seja, o atributo de arquivamento desmarcado. Cada arquivo tem um atributo que pode ser marcado
ou desmarcado. Este atributo serve para informar ao Windows Server 2003 se o arquivo foi ou no modificado
desde o ltimo backup normal. A principal vantagem do backup normal a facilidade para fazer a restaurao
dos arquivos, quando necessrio. Com o backup do tipo normal, para restaurar os dados, voc precisa apenas
do ltimo backup normal que foi criado. A desvantagem o tamanho do backup e o tempo para execuo Em
cada execuo do backup, todos os arquivos e pastas sero copiados, independentemente de terem sido alterados
ou no, desde que o ltimo backup normal foi efetuado. Geralmente, o backup normal executado quando
voc cria um conjunto de backup pela primeira vez. Nos backup subseqentes comum a utilizao de outros
tipos de backup, conforme descreverei logo a seguir.
Copy (Cpia): Backup que copia todos os arquivos selecionados, mas no marca cada arquivo como tendo
sofrido backup (em outras palavras, o atributo de arquivamento no desmarcado). idntico ao backup Nor-
mal, com a diferena de que os arquivos no so marcados como tendo sido copiados. A cpia til caso voc
queira fazer backup de arquivos entre os backups normal e incremental (veja descrio do backup incremental
logo a seguir), pois ela no afeta essas outras operaes de backup ou quando voc precisa fazer uma cpia extra
dos dados para enviar para um filial da empresa ou para manter a cpia armazenada em um local seguro.
Incremental (Incremental): Este tipo de backup copia somente os arquivos criados ou alterados desde o ltimo
backup normal ou desde o ltimo backup incremental. Os arquivos copiados para o backup so marcados (ou
seja, o atributo de arquivamento desmarcado). Se voc utilizar uma combinao de backups normais e
incrementais para restaurar os seus dados, ser preciso ter o ltimo backup normal e todos os conjuntos de
backups incrementais feitos aps este backup normal e restaur-los na seqncia correta. A grande vantagem
do backup incremental que ele reduz o tempo necessrio para a execuo do backup, pois somente feita a
cpia dos arquivos que foram criados ou modificados desde o ltimo backup normal ou incremental. A grande
desvantagem que para fazer a restaurao necessrio o ltimo backup normal e todos os backups incrementais
subseqentes. Os backups incrementais devem ser restaurados na seqncia cronolgica em que foram criados.
Alm disso, se um dos backups incrementais apresentar problemas, no ser possvel restaurar os dados at o
ponto do ltimo backup incremental.
Differential (Diferencial): Este tipo de backup faz a cpia de todos os arquivos criados ou alterados desde o
ltimo backup normal ou incremental. Os arquivos que sofreram backup no so marcados como tal (ou seja,
o atributo de arquivamento no desmarcado). Com isso cada backup diferencial, copia todos os arquivos que
foram modificados desde o ltimo backup normal (ou incremental, caso algum tenha sido feito). Se voc
estiver executando uma combinao de backups normal e diferencial, a restaurao de arquivos e pastas exigir
que voc tenha o ltimo backup normal e o ltimo backup diferencial. A restaurao mais rpida do que
quando voc usa backups incrementais, pois somente necessrio o ltimo backup diferencial, porm cada
backup diferencial passa a ser maior, pois contm a cpia de todos os arquivos criados ou modificados desde
o ltimo backup normal ou incremental.
Daily (Dirio): Este tipo de backup copia todos os arquivos selecionados que forem alterados no dia de execuo
do backup dirio. Os arquivos que sofreram backup no so marcados como tal (ou seja, o atributo de
arquivamento no desmarcado). No um tipo muito utilizado. Pode ser utilizado em conjunto com backups
do tipo normal e incremental.
Porm voc tem que estar atentos a alguns detalhes importantes. Por exemplo, no adianta voc fazer o backup dos
arquivos, no mesmo disco rgido onde esto gravados os arquivos originais (pois voc pode fazer o backup em fita, em
disco rgido e em vrios outros tipos de mdia suportados pelo Windows Server 2003). Neste caso se o disco rgido
pifar, ou seja, for danificado e no puder ser recuperado, voc perder os arquivos e tambm o backup. Para usurios
domsticos e pequenas empresas, os quais no tem grandes volumes de dados, a utilizao de um segundo disco
rgido, no qual sero feitas as cpias de backup, pode ser uma estratgia eficiente. A possibilidade de os dois discos
rgidos apresentarem problemas ao mesmo tempo muito pequena. J para empresas de grande porte o ideal ter um
conjunto de mdias separado dos servidores e dedicado ao backup. Pode ser uma biblioteca de fitas de backup ou um
espao de armazenamento em disco rgido.
Uma opo muito utilizada o uso de drives de fita como por exemplo do tipo DLT4 de 40 ou 80 GB (j existem
padres de maior capacidade e maior velocidade do que a DLT4). Alm disso aps feito o backup, as fitas devem ser
armazenadas em local separado da sala dos servidores. Se armazenarmos as fitas, na mesma sala onde esto os dados,
corremos o risco de perder os dados e tambm o backup, em caso de incndio, inundao ou outro desastre. Claro que
uma estratgia deste tipo requer investimentos considerveis, mas com certeza so investimentos plenamente justificados
pela importncia dos dados para a empresa.
Outro detalhe importante que as cpias de segurana devem ser sempre testadas. Aps fazer o backup, voc deve
fazer um teste de restaurao para verificar se a cpia realmente foi feita com sucesso. Nada pior do que descobrir, na
hora do restore, que o backup no foi feito adequadamente. Existe at um piada bastante conhecida entre os
administradores de rede e de bancos de dados: O backup sempre funciona, o que no funciona, s vezes, o restore.
Ou seja, o objetivo no o sucesso do backup e sim que, quando necessrio, seja possvel fazer o restore dos dados a
partir do backup. Para garantir que isto seja possvel, preciso que exista uma definio de uma poltica para testes
peridicos do backup.
Exemplos de estratgias de backup/restore.
Agora irei analisar algumas estratgias de backup/restore, baseadas nos diferentes tipos de backup, descritos
anteriormente.
Exemplo 1: feito diariamente um backup Normal, as 23:00 da pasta Meus
documentos. Na sexta-feira, as 14:30 ocorre um problema e a pasta Meus
documentos excluda.
Nesta situao voc tem que restaurar o backup Normal feito na quinta-feira.
Todos as alteraes feitas na sexta-feira sero perdidas, ou seja, os arquivos voltaro
a situao que estavam na quinta-feira, quando foi feito o ltimo backup normal.
Exemplo 2: No domingo feito um backup normal. De segunda a sbado feito
um backup Incremental noite. Na quinta-feira, as 16:00 ocorre um problema e
os dados so excludos.
Voc deve restaurar o backup normal do domingo, o backup incremental da segunda-
feira, o backup incremental da tera-feira e o backup incremental da quarta-feira,
nesta seqncia. Todas as alteraes feitas na quinta-feira sero perdidas.
IMPORTANTE: Entenda bem as
diferentes polticas de Backup/Re-
store, com base nos diferentes tipos
de Backup, disponveis no Windows
Server 2003.
Exemplo 3: feito um backup normal aos domingos. De segunda a sbado so feitos os seguintes backups incrementais:
2:00, 9:00, 12:00, 15:00, 17:00 e 21:00 hs. Na quarta-feira, as 14:30 ocorre um problema e os dados tem que ser
restaurados do backup.
Voc deve restaurar o backup normal do domingo e todos os backups incrementais, em ordem cronolgica, at o
backup incremental da quarta-feira as 12:00, que o ltimo backup incremental feito antes da ocorrncia do problema
as 14:30. Todas as alteraes feitas entre as 12:00 hs. e as 14:30 sero perdidas. Observe que com a utilizao de
backups incrementais durante o dia, voc reduz a possibilidade de perda de dados, porm a restaurao torna-se mais
trabalhosa, pois existe um grande nmero de backups incrementais a serem restaurados. Uma estratgia deste tipo
normalmente utilizada por grandes empresas, que trabalham com grande volumes de dados e no podem nem sequer
pensar em perda de dados.
Exemplo 4: feito um backup normal aos domingos. De segunda a sbado so feitos backups incrementais as 2:00 da
madrugada. Toda quarta-feira feito um backup diferencial as 3:00 da madrugada. Na sexta-feira, as 14:30 ocorre um
problema e os dados tem que ser restaurados do backup.
Voc deve restaurar o backup normal do domingo, o backup diferencial da quarta-feira e o backup incremental da
quinta-feira, nesta seqncia. Todas as alteraes feitas na sexta-feira sero perdidas.
Observe que a utilizao de um backup diferencial, em conjunto com os backups incrementais, reduziu o nmero de
backups a serem restaurados. Neste caso somente foi necessrio restaurar o ltimo backup normal, o ltimo diferencial
e os backups incrementais posteriores. Esta a estratgia mais complexa, mas que ao mesmo tempo otimiza o tempo
de backup e o tempo de restaurao. especialmente indicada para grandes volumes de dados, onde o tempo de
parada um fator crtico.
IMPORTANTE: Quando voc usa uma estratgia de um Backup normal semanal e backups diferenciais dirios, possvel restaurar
os dados utilizando somente duas fitas de backup. A do Backup normal e o ltimo backup Diferencial. Esta estratgia tem a
vantagem de utilizar apenas duas fitas para a restaurao, mas tem a desvantagem de fazer o backup de um volume maior de
dados, todos os dias, uma vez que o backup Diferencial faz o backup de todos os arquivos que foram alterados, desde o ltimo
backup Normal, independentemente de quantos backups Diferenciais tenham sido feitos neste meio tempo.
Dados do estado do sistema:
Com o utilitrio de backup, voc pode fazer backup dos seguintes componentes de sistema e restaur-los para fazer
backup do estado do sistema. estado do sistema. O estado do sistema
uma coleo de dados especficos do sistema mantidos pelo sistema operacional dos quais deve ser feito backup como
um todo. No um backup de todo o sistema. Os dados do estado do sistema incluem o Registro, o banco de dados de
registro de classe COM+, os arquivos do sistema, os arquivos de inicializao e os arquivos sob a Proteo de arquivos
do Windows. Para servidores, os dados do estado do sistema tambm incluem o banco de dados dos servios de
certificados (se o servidor for um servidor de certificados). Se o servidor for um controlador de domnio, os dados do
estado do sistema incluiro o banco de dados do Active Directory e o diretrio SYSVOL. Se o servidor for um n em
um cluster, ele incluir as informaes do banco de dados do cluster. A metabase IIS estar includa se o IIS estiver
instalado.
Na Tabela a seguir, descrevo os componentes do Estado do sistema e quando eles so includos no Backup do Estado
do sistema.
O utilitrio de backup se refere a esses componentes de sistema como os dados do
estado do sistema. O total de componentes do sistema que constituem os dados
do estado do sistema depende do sistema operacional e da configurao do
computador.
O log do backup
O Windows Server 2003 mantm um registro das operaes de backup e
restaurao. Este registro pode ser utilizado pelo Administrador para verificar se
as tarefas de backup esto sendo executadas com sucesso.
Fazendo o Backup e o Restore do Active Direc-
tory..
A base de dados do Active Directory contm informaes das quais depende todo
o funcionamento da rede. Apenas para citar as mais conhecidas, no Active Di-
rectory que ficam armazenadas informaes sobre todas as contas de usurios do
domnio, sobre todos os grupos, sobre relaes de confiana, sobre contas de
computadores, sobre OUs, enfim, informaes das quais depende o funcionamento
da rede.
claro que o fato de existir vrios DCs em um domnio, cada DC com uma cpia
completa do Active Directory, reduz os riscos de perdas destas informaes. Em
caso de catstrofe, tal como a perda do HD onde est instalado o Windows Server
2003, sempre ser possvel reinstalar o Windows Server 2003 e, atravs da
replicao, obter uma cpia integral do Active Directory a partir de outros DCs
IMPORTANTE: Preste ateno
quando houver referncia a fazer
backup da Registry, do Active Di-
rectory ou de outras informaes
que fazem parte do estado do
sistema. Se houver este tipo de
referncia em alguma questo, voc
deve considerar a hiptese de que
a questo refere-se a necessidade
de fazer o Backup do estado do
sistema.
IMPORTANTE: Vou repetir para
voc no esquecer. Pode haver
situaes prticas onde voc ter
que executar um Backup com
periodicidades diferentes, como por
exemplo: todos os dias as 2:00 da
madrugada e somente no Sbado
as 8:00 da manh. Nestas situaes
voc tem que criar mltiplos
agendamentos. Um agendamento
para fazer o backup de segunda a
sexta, as 2:00 da madrugada e um
Componente Quando este componente includo no
estado do sistema?
Registro Sempre
Banco de dados de registro de classe COM+ Sempre
Arquivos de inicializao, incluindo os arquivos de sistema Sempre
Banco de dados de servios de certificados Se for um servidor de servios de certificados
Servio de diretrio Active Directory Se for um controlador de domnio
Pasta SYSVOL Somente se for um controlador de domnio
Informaes do servio de cluster Se estiver dentro de um cluster
Metadiretrio IIS (Metabase) Se estiver instalado o IIS
Arquivos de sistema que esto na Proteo de arquivo do Windows Sempre
do domnio. O Backup til para agilizar este processo, uma vez que, dependendo
do volume de dados do Active Directory, pode demorar algum tempo (at mesmo
alguns dias), at que o DC consiga receber uma cpia completa do Active Direc-
tory, atravs da replicao de outros DCs do domnio.
Neste tpico voc aprender sobre como realizar o Backup do Active Directory,
sobre conceitos tais como Backup com e sem autoridade e como fazer o restore
do Active Directory. O backup do Active Directory feito com o utilitrio de
backup, discutido nos tpicos anteriores. O restore feito com este mesmo utilitrio
em conjunto com o comando Ntdsutil, o qual pode ser utilizado para fazer um
restore seletivo, apenas de partes especficas do Active Directory.
Backup do Active Directory:
Com o utilitrio de Backup do Windows Server 2003 voc pode fazer o backup
do Active Directory com o DC estando ligado e na rede e pode ser feito o backup
somente do Active Directory ou do Active Directory juntamente com os dados do
servidor. O backup pode ser feito em disco ou em qualquer mdia suportada pelo
utilitrio de backup do Windows Server 2003.
Um detalhe importante a ser observado que quando feito o backup do Active
Directory, o nico tipo de backup suportado o backup normal. Ou seja, no
podem ser utilizados os backups do tipo incremental, diferencial, cpia ou dirio,
quando feito o backup do Active Directory. O backup normal faz uma cpia de
todo o contedo do servidor. Na hora de fazer o restore basta ter disponvel o
ltimo backup normal que foi efetuado.
Ao fazer o backup do Active Directory, o utilitrio de backup do Windows Server
2003 tambm realiza o backup de todas as informaes das quais depende o
funcionamento do Active Directory, tais como registros de componentes e DLLs,
registry do sistema e assim por diante. Este conjunto de informaes conhecido
como estado do sistema. As informaes que compem o estado do sistema so
as seguintes:
Arquivos de inicializao
Registros de componentes COM+
Pasta SYSVOL
Base de dados do Certificados Digitais (se instalado o Certificate Serv-
ices)
Base do DNS (se instalado)
Informaes de cluster (se o servidor participa de um cluster)
Active Directory
Restore do Active Directory
Existem duas abordagens diferentes que podem ser utilizadas para restaurar os
dados do Active Directory, em caso de falhas que provoquem perda ou corrupo
dos dados do Active Directory:
segundo agendamento para fazer
o backup, aos Sbados, as 8:00 da
manh. Para criar mltiplos
agendamentos voc usa a opo
Mostrar vrios agendamentos, a
qual j foi descrita no tpico sobre
Tarefas agendadas, no incio do
captulo 8.
IMPORTANTE: O log de Backup
gravado como parte da Profile da
conta com a qual est sendo
executado o Backup. Por exemplo,
se o usurio jsilva estiver em sua
estao de trabalho micro01,
fazendo o bakcup de pastas de um
Servidor server02, o log de bakcup
ser gravado na Profile do usurio
jsilva, no computador micro01. O
log de Backup um arquivo de
texto, o qual pode ser visualizado
com o Bloco de Notas. O Log de
Backup no faz parte do Log do
Sistema e, portanto, no
visualizado usando o console
Visualizador de Eventos.
para fazer um Backup do Certifi-
cate Services voc precisa fazer o
Backup do Estado do Sistema.
1. Reinstalar o Windows Server 2003, promov-lo a DC e deixar que o mecanismo padro de replicao entre DCs
se encarregue de restaurar a base completa do Active Directory. Esta opo pode ser invivel para escritrios
ligados rede da empresa atravs de links de WAN de baixa velocidade, principalmente se a base de dados do
Active Directory for grande (1 GB ou mais).
Ou
2. Fazer o restore a partir de um backup efetuado previamente. No caso do restore a partir do backup, existem dois
mtodos diferentes de restore que podem ser executados, conforme descrito a seguir:
2.1. Nonauthoritative (Sem autoridade): Este um restore normal. Os dados sero restaurados a partir do backup.
Uma vez concluda a restaurao, o DC passar a receber as atualizaes dos outros DCs. Sempre que um outro
DC contiver informaes mais atualizadas do que as que foram restauradas do backup, estas informaes sero
replicadas para o DC onde foi feito o restore. o processo padro de restore.
2.2. Authoritative (Com autoridade): Esta uma situao especial. Para ilustrar este tipo de restore, vou utilizar uma
situao prtica onde ele seria necessrio. Imagine que, por engano, um administrador excluiu uma OU e todo o
seu contedo. Esta informao (ou seja a informao de que a OU foi excluda) ser replicada para os demais DCs
do domnio. O efeito prtico que esta OU ser excluda em todos os DCs do domnio. Voc pode imaginar o
seguinte: Basta restaurar a OU a partir do Backup e pronto, as informaes da OU sero replicadas para os demais
DCs e os dados sero recuperados. Nada disso. Ao restaurar a OU usando o mtodo normal (Nonauthoritative), os
dados da OU sero considerados mais antigos do que a informao de que no existe a OU. Quando houver a
replicao entre o DC onde foi feito o restore da OU e qualquer outro DC do domnio, o que ir acontecer que
a OU ser novamente excluda e no enviada para os outros DCs, pois a informao de que ela foi excluda, mais
recente do que os dados da OU. Com o uso de um restore Authoritative possvel recuperar esta informao.
Nesta situao, o administrador utiliza o comando Ntdsutil para fazer um restore Authoritative (Com autoridade)
da OU que foi excluda. Fazer um restore authoritative significa alterar o nmero de srie dos dados que esto
sendo restaurados, de tal maneira que eles sejam considerados as atualizaes mais recentes. Com isso, quando
houver a replicao entre o DC onde foi feito o restore e os demais DCs, os dados da OU sero considerados mais
recentes e a OU e todo o seu contedo ser replicada para os demais DCs. O efeito prtico que os dados da OU
sero recuperados.
Quem tem permisso para fazer o backup do estado do sistema?
Para fazer o backup ou um restore do tipo nonauthoritative, o usurio deve ter as seguintes permisses e direitos de
usurio:
Para fazer o backup do estado do sistema, o usurio deve pertencer ao grupo Backup Operators (Opers. de
cpia) ou ao grupo Local do domnio Administrators (Administradores).
(Administradores).
A base de dados do Active Directory composta dos seguintes arquivos, localizados na pasta %windir%\ntds (a no
ser que voc tenha especificado um caminho diferente quando o servidor foi promovido a DC), onde %windir%
refere-se a pasta onde o Windows Server 2003 est instalado:
Ntds.dit: Este o banco de dados do Active Directory.
Ebb.chk: O arquivo de checkpoin, utilizado pelo mecanismo de banco de dados do Active Directory.
Ebb*.log: Arquivos onde so registrados os logs de transaes do banco de dados do Active Directory. A cada
10 MB iniciado um novo arquivo de log.
Res1.log e Res2.log: Log de transaes, reservado.
Fazer o backup do Active Directory, significa fazer o backup do Estado do Sistema, conforme descrito no exemplo
prtico logo a seguir.
Fazendo o restore do Active Directory.
Conforme descrito anteriormente existem dois mtodos para fazer o restore do
Active Directory. O primeiro reinstalar o Windows Server 2003, usar o comando
dcpromo para instalar o Active Directory e deixar que o processo de replicao
entre os DCs do domnio se encarregue de sincronizar o novo DC com os demais
DCs do domnio. Com este mtodo o Active Directory restaurado e sincronizado
com as ltimas alteraes do domnio. Outro mtodo restaurar o Active Direc-
tory a partir de um backup. Este mtodo restaura o Active Directory at a situao
do momento em que foi feito o backup. Alteraes que foram efetuadas aps o
backup, sero recebidas a partir dos outros DCs, atravs do processo de replicao.
Observe que com este segundo mtodo, somente sero replicadas as alteraes
que foram efetuadas aps o backup.
Ao fazer o restore a partir do backup voc tambm tem a disposio diferentes
mtodos. Um dos mtodos conhecido como nonauthoritative (sem autoridade).
Este o mtodo que ser utilizado normalmente. O restore feito a partir de um
backup feito previamente. O restore feito utilizando o utilitrio de backup do
Windows Server 2003. Por exemplo, imagine que houve um problema com o
disco rgido onde estava instalado o Windows Server 2003, em um DC do domnio.
Neste caso voc pode substituir o HD, reinstalar o Windows Server 2003 e depois
restaurar o backup do estado do sistema. Com isso o Active Directory tambm
ser restaurado. As alteraes que foram efetuadas aps o backup, sero repassadas
para o DC atravs do mecanismo de replicao. Observe que este mtodo tem a
vantagem de reduzir a quantidade de trfego gerado na WAN, em relao ao mtodo
que restaura toda a base de dados usando replicao. Neste mtodo, grande parte
da base de dados do Active Directory restaurada a partir do backup. Somente as
alteraes efetuadas aps o backup ter sido feito que sero replicadas.
IMPORTANTE: Voc no pode
fazer o backup do Estado do
Sistema remotamente atravs da
rede. Ou seja, para fazer o backup
do Estado do Sistema de um
servidor, por exemplo o servidor
SRV01, voc tem que estar logado
localmente neste servidor ou o script
que faz o backup tem que estar
agendado para execuo no
servidor SRV01. Os dados do
backup podem ser gravados em um
volume do prprio servidor SRV01
ou em um drive de rede ou fita de
backup, mas a tarefa que executa
o backup tem que ser executada no
prprio servidor.
Conforme descrito anteriormente, outro mtodo de fazer o restore o restore authoritative (com autoridade), na qual
voc marca uma parte do Active Directory para ser restaurada com autoridade, o que significa que esta informao
ser considerada como sendo a mais atualizada e ser replicada para os demais DCs. Para fazer um backup authorita-
tive, o administrador tem que utilizar o comando Ntdsutil.
Efetuando um restore nonauthoritative, usando o utilitrio de backup.
Para fazer o restore do Active Directory, voc precisa reinicializar o DC em um modo especial, conhecido como
Directory Services Restore Mode. Ou seja, o restore no feito no modo normal, com o DC inicializado normalmente.
preciso reinicializar o servidor e entrar no modo especial Directory Services Restore Mode.
Para colocar o servidor no modo especial Directory Services Restore Mode, siga os passos indicados a seguir:
qual falei no Captulo 12).
4. O DC ser reinicializado no modo de restaurao do Active Directory. Neste modo o Active Directory no
inicializado e, portanto, voc no poder usar as contas do Active Directory para fazer o logon. Mas se no posso
usar as contas do Active Directory para fazer o logon, que contas vou utilizar? A conta local de administrador que
foi definida quando o servidor ainda era um Member server. Use esta conta e a respectiva senha para fazer o
logon.
5. Pronto, o DC est no modo de restaurao do Active Directory. Agora s utilizar o utilitrio de Backup, para
restaurar os dados do Active Directory, conforme exemplo prtico apresentado no Captulo 8.
Terminal Services (Servios de Terminal):
Outro tpico que bastante cobrado no exame sobre o Terminal Services. Voc deve conhecer detalhes sobre a
utilizao, configurao e permisses de acesso, os quais descrevo a seguir.
Introduo
O Terminal Services foi criado para ser uma ferramenta que facilite a administrao dos servidores com o Windows
2000 Server e tambm com o Windows Server 2003, mas tambm para ser uma ferramenta de compartilhamento de
aplicaes, conforme descreverei neste captulo.
A primeira verso do que hoje a tecnologia do Terminal Services foi introduzida com o Windows NT Server 4.0, em
uma verso separada do NT 4.0, conhecida como: Terminal Server Edition. A partir do Windows 2000 Server e
tambm no Windows Server 2003, o Terminal Services (a partir do Windows 2000 os servios deixaram de ter a
nomenclatura Server para ter a nomenclatura Services) faz parte do prprio sistema operacional.
O Terminal Services trabalha em um modelo Cliente/Servidor, onde o servio fica instalado em servidores com o
Windows Server 2003 ou Windows 2000 Services e diferentes clientes podem se conectar ao servidor. Existe tambm
uma verso reduzida do Terminal Services que disponibilizada com o Windows XP. Esta verso permite apenas um
nico usurio conectado ao Windows XP, no recurso conhecido como Desktop Remoto.
Como funciona o Terminal Services.
A idia bsica do Terminal Services bastante simples. Usando um software
cliente, como por exemplo o Terminal Services Client no Windows 2000 Server
ou o Remote Desktop no Windows Server 2003, voc pode se conectar a um
servidor no qual est rodando o Terminal Services. A se conectar ao servidor,
voc recebe uma tela de logon, conforme exemplo da Figura 14.46, onde estou
fazendo a conexo usando o cliente Remote Desktop em um computador com o
Windows Server 2003, para me conectar a um servidor com o Windows 2000
Server, onde est instalado o Terminal Services.
NOTA: Para detalhes sobre a
configurao e utilizao do Desk-
top Remoto no Windows XP, consulte
o Captulo 17 do livro: Windows XP
Home & Professional Para Usurios
e Administradores, 820 pginas,
Axcel Books.
Figura 14.46 A tela de logon ao se conectar com o Terminal Services.
O usurio fornece as informaes de logon e clica em OK e pronto. A conexo com o Terminal Services efetuada e
o console (a rea de trabalho) do servidor carregada no computador do cliente, conforme indicado na Figura 14.47.
Ou seja, como se voc estivesse localmente conectado e tivesse feito o logon diretamente no servidor de destino,
onde Terminal Services est instalado. Na prtica muito parecido com o que acontece quando voc usa o comando
telnet para fazer uma conexo com um servidor UNIX ou Linux, so que com o Terminal Services o console grfico.
Uma vez feita a conexo, como se voc tivesse loclamente logado no servidor remoto. Exatamente a mesma rea de
trabalho carregada, com boto Iniciar, barra de tarefas e tudo mais. Observe que com o Terminal Services o
administrador pode se conectar a qualquer servidor da rede (desde que o servidor tenha o Terminal Services instalado)
e administr-lo como se estivesse localmente logado. Por exemplo, o administrador, da matriz da empresa em So
Paulo, pode se conectar, via Terminal Services, com um servidor da filial no Rio de Janeiro e trabalhar como se
estivesse sentado na frente do servidor no Rio de Janeiro.
A tecnologia do Terminal Services oferece eficintes mecanismos de compactao e cache de telas, transmitindo somente
o que muda de uma tela para outra, o que permite que o acesso via Terminal Services tenha desempenho bastante
satisfatrio, mesmo para conexes remotas, feitas via links de WAN de baixa velocidade.
O cliente envia para o servidor, atravs da rede, apenas os toques de teclado e as aes de mouse e recebe apenas as
atualizaes de tela. Este mecanismo de funcionamento, juntamente com a possibilidade de compactao dos dados
que so transmitidos e do cache de telas no cliente, faz com que o Terminal Services gere uma quantidade reduzida de
trfego na rede e por isso possa trabalhar com desempenho aceitvel, mesmo atravs de links de WAN de baixa
velocidade.
Figura 14.47 A rea de trabalho do servidor, carregada via Terminal Services.
O Terminal Services pode ser utilizado em dois modos diferentes:
Modo de Administrao Remota: Neste modo o Terminal Services utilizado pelos administradores da rede,
para se concectar remotamente aos servidores da rede e executar tarefas administrativas remotamente, como
se estivessem localmente logados nos respectivos servidores. Para utilizar o Terminal Services neste modo,
basta instalar o servio nos servidores que devero ser administrados remotamente e instalar o cliente em sua
estao de trabalho (Remote Desktop no Windows XP e no Windows Server 2003 ou o Terminal Services
Cliente no Windows 2000). Ao instalar o Terminal Services no mode de Administrao Remota, este instalado
com licena para at duas conexes simultneas. Voc no precisa adquirir nenhuma licena adicional e no
tem prazo de validade para estas licenas.
Modo de Compartilhamento de Aplicaes: Neste modo, o Terminal Services utilizado para o
compartilhamento de aplicaes. Por exemplo, voc pode querer instalar o Terminal Services no modo de
Compartilhamento de Aplicaes, para instalar o Microsoft Office no servidor. Desta maneira, os clientes
podero se conectar, at mesmo usando estaes de trabalho mais antigas, como por exemplo um 486, apenas
com um cliente de acesso ao Terminal Services instalado. O cliente faz a conexo e tem acesso rea de
trabalho do servidor, na qual ele pode usar os aplicativos instalados no servidor, tais como o Word, Excel,
Access e PowerPoint, ou quaisquer outros aplicativos instalados para o modo de Compartilhamento de
Aplicaes. O cliente pode usar os programas no servidor e gravar os dados em sua pasta home (home folder)
na rede ou em disquete. A grande vantagem deste procedimento, que o cliente poder se conectar ao Termi-
nal Services, usando qualquer computador da rede, no qual exista um cliente de conexo com o Terminal
Services. Ao se conectar, usando qualquer um dos computadores da rede, ele receber sermpre a mesma rea
de trabalho (com os mesmso cones e configuraes) e ter acesso aos seus arquivos de dados. Quando um
cliente faz uma conexo com o Terminal Services e faz alguma alteao no ambiente de trabalho, como por
exemplo, adicionar um atalho rea de trabalho, esta alterao mantida e estar disponvel na prxima
conexo que o usurio fizer. Com isso possvel manter o ambiente do usurio e este ambienta acompanha-
o em qualquer computador no qual ele fizer a conexo com o Terminal Services, porque na verdade todas as
configuraes esto no servidor. Para utilizar o Terminal Services neste modo, voc deve adquirir uma licena
de conexo para cada usurios que ir utilizar o Terminal Services no modo de Compartilhamento de Aplicaes.
Mais adiante falarei um pouco mais sobre o licenciamento neste modo.
O uso do Terminal Services tras inmeras vantagens, dentre as quais podemos destacar as seguintes:
1. O administrador pode se conectar a qualquer servidor da rede, com o Terminal Services instalado e administrar
este servidor como se estivesse localmente logado.
2. Com o uso do Terminal Services no modo de compartilhamento de aplicaes, voc pode criar um ambiente
mais seguro e padronizado, onde os usurios acessam suas aplicaes diretamente do servidor e gravam seus
dados na rede.
3. Com o uso do Terminal Services no modo de compartilhamento de aplicaes, fica mais fcil para instalar aplicaes
e mant-las atualizadas, uma vez que a instalao e futuras atualizaes precisam ser feitas apenas no servidor e
no em cada estao de trabalho individualmente.
4. Com o uso do Terminal Services no modo de compartilhamento de aplicaes, voc pode utilizar clientes de
menor capacidade de processamento, os quais no seriam mais aproveitados no modelo tradicional, onde o Win-
dows e todos os aplicativos so instalados na estao de trabalho do cliente.
5. O cliente pode rodar, inclusive, em outros sistemas operacionais. Por exemplo, existem programas clientes para o
Terminal Services, fornecido por terceiros, para se conectar atravs de uma estao de trabalho com o UNIX,
Linux, Macintosh e assim por diante. Ou seja, pode haver um cliente UNIX na rede, conectado ao Terminal
Services e utilizando o Word.
6. possvel tambm criar um modelo misto de estao de trabalho, na qual o cliente tem o Windows instalado e
alguns programas de uso especfico, instalados localmente. J programas de uso geral na empresa, tais como o
Word, Excel, Email, etc, o cliente acessa via Terminal Services. Com isso possvel manter um ambiente
padronizado e de fcil manuteno para as aplicaes utilizadas por todos na empresa, ao mesmo tempo que
permite que cada usurio tenha acesso a aplicaes especficas, relacionadas com o seu trabalho dirio.
7. Reduo do trfego de WAN: Por exemplo, vamos imaginar uma empresa com o servidor de email na sede da
empresa e os clientes das filiais com suas caixas de correio neste servidor de email. No modelo tradicional, cada
cliente teria o software de email instalado em sua estao de trabalho e acessaria o servidor de email da matriz,
atravs do link de WAN. Neste modelo, todas as mensagens e demais informaes so transmitidas do servidor de
email para o cliente e de volta para o servidor de email, atravs do link de WAN. Quem j tentou utilizar um
cliente de email como o Lotus Notes, para acessar um servidor que est do outro lado de um link de WAN de 64
ou 129 Kbps, sabe o quanto penosa esta operao. So minutos para abrir uma nica mensagem. J com o
Terminal Services, o cliente abriria o programa de email diretamente no servidor, no mesmo servidor onde est o
servidor de email. Com isso, s transmitido atravs do link de WAN, os
toques de teclado e mouse do cliente e as atualizaes de tela do servidor
para o cliente. Alm de uma considervel reduo no trfego de WAN, o
acesso ao email e demais aplicaes fica muito mais rpido.
Para dada usurio que se conecta via Terminal Services criada uma sesso
completamente isolada das demais sesses. Ou seja, se um programa apresentar
problemas e travar a sesso de um dos usurios conectados, as demais sesses
continuaro funcionando normalmente e no sero afetadas. O Windows Server
2003 tambm grava informaes sobre o ambiente de trabalho de cada usurio
quando ele se conecta via Terminal Services. Ou seja, o conceito de Profiles,
visto no Captulo 4 vlido tambm para conexes via Terminal Services.
Outra rea onde o Terminal Services pode ser utilizado com grandes vantagens
para oferecer acesso a usurios remotos, tais como vendedores que trabalham
usando um Notebook para acessar a rede da empresa ou funcionrios que trabalham
em casa mas precisam ter acesso aos recursos da rede da empresa. Estes usurios
podem fazer a conexo rede da empresa usando uma linha discada e ter acesso
aos aplicativos que precisam via Terminal Services. Este meio de acesso bem
mais eficiente e rpido do que o acesso atravs de programas clientes instalados
no prprio Notebook e atravs de drives de redes mapeados, uma vez que neste
modo como se o usurio estivesse diretamente conectado ao servidor da empresa,
sendo transmitido atravs da conexo discada, somente os toques de teclado e
mouse do usurio e as atualizaes de tela do servidor. Muito mais rpido do que
fazer a conexo e depois usar um programa cliente, instalado no prprio Note-
book, para fazer conexo com os aplicativos e dados da empresa. Neste segundo
modelo, toda a informao e os dados so transmitidos atravs da conexo discada,
o que gera um grande trfego e tempos de respostas bem mais altos do que com o
uso do Terminal Services.
Algumas consideraes importantes sobre o Terminal Services:
Por padro, somente os membros do grupo Administrators (Administradores) tem
permisso para conectar-se remotamente ao Terminal Services no modo de
compartilhamento de aplicao. Para permitir que outros usurios possam fazer
essa conexo remotamente, voc deve adicionar as contas dos usurios que faro
a conexo, ao grupo Remote Desktop Users (Usurios da rea de trabalho re-
mota), grupo este j descrito anteriormente.
IMPORTANTE: Aps a instalao no modo de Compartilhamento de aplicaes, o termi-
nal services funcionar pro 120 dias e depois passar a recusar conexes. Durante este
perodo voc deve adquirir as licenas necessrias junto Microsoft e configur-las utilizando
o Terminal Server Licensing. No esquea deste detalhe para os exames de Certificao do
MCSE 2003. Seria uma boa questo.
IMPORTANTE: Quando o usurio
conecta com o Terminal Services ele
est utilizando recursos tais como
memria RAM e processador, do
Servidor. Por isso, se voc pretende
utilizar o Terminal Services no modo
de Compartilhamento de Aplicaes,
importante fazer um
planejamento cuidadoso da
quantidade de recursos de hard-
ware, necessria no servidor. Mais
adiante apresentarei mais detalhes
sobre a quantidade mdia de
recursos de hardware necessria
para cada cliente.
IMPORTANTE: Ao adicionar
usurios, com permisso para fazer
o acesso remoto, na verdade, voc
adiciona estes usurios, como
membros do grupo: Usurios da
rea de trabalho remota. Ou seja,
na prtica, para dar permisso a
uma conta de usurio, para fazer a
conexo remota, basta incluir a
referida conta, como membro do
grupo Usurios da rea de trabalho
remota. Na Figura 14.48, mostro
que a lista de membros do grupo
Usurios da rea de trabalho re-
mota. No esquea deste detalhe.
Se algum usurio tentar fazer a
concexo remota e receber uma
mensagem de que a sua conta no
tem permisso de logon
remotamente, basta incluir a
referida conta no grupo Usurios da
rea de trabalho remota, para que
este usurio passe a ter permisso
de se conectar, remotamente.
Figura 14.48 Membros do grupo Usurios da rea de trabalho remota.
O Terminal Server requer licenas para que os clientes possam fazer o logon no modo de Compartilhamento de
aplicaes. Qualquer cliente que tente fazer o logon no Terminal Services, deve ser capaz de receber uma licensa de
acesso vlida, a qual disponibilizada pelo Licenciamento do Terminal Server. Sem receber a licena, no ser permitido
o logon do cliente.
O licensiamento do terminal services separado do licenciamento do Windows Server 2003. Conforme comentado
no Captulo 1, sobre instalao do Windows Server 2003, devem ser adquiridas as chamadas CAL Cliente Access
License, para que clientes da rede possam se conectar aos servidores com o Windows Server 2003. J para o Terminal
Server outro tipo de licena, ou seja, o fato de ter licenas para conectar com o Windows Server 2003, no implica
que estas licenas tambm sejam vlidas para o Terminal Server no modo de compartilhamento de aplicaes. Licenas
especficas, para acessar o Terminal Server no modo de compartilhamento de aplicaes, devem ser ativadas.
Aps ter comprado as licenas de acesso via Terminal Server, junto Microsoft, voc deve utiliar o console
Licenciamento do Terminal Server para configur-las. As informaes sobre o nmero total de licenas disponveis, o
nmero de licenas em uso e o nmero de licenas ainda livres para serem utilizadas por novas conexes, so
armazenadas no Licenciamento do Terminal Server. Quando um cliente tenta fazer uma conexo com o Terminal
Server, este entra em contato com o Licensiamento do Terminal Server, para verificar se existem licenas disponveis,
ou melhor, se existe, pelo menos, uma licena disponvel para o novo cliente que est tentando se conectar.
Um nico Servidor de licenciamento do Terminal Server, pode ser utilizado por vrios servidores com o Terminal
Server em modo de compartilhamento de aplicao.
Aps ter instalado o Licenciamento do Terminal Server voc deve ativ-lo e instalar
as licenas de acesso que foram adquiridas junto Microsoft. Isso feito atravs
do uso do Assistente para ativao das licenas do Terminal Server
Administrao do Terminal Services.
Uma vez que voc instalou e colocou o Terminal Services para funcionar, hora
de conhecer as ferramentas de administrao e as opes de configurao
disponveis. Existem, basicamente, trs consoles para administrao do Terminal
Services:
Gerenciador dos servios de terminal: Esta ferramenta utilizada para
monitorar e controlar as conexes com o Terminal Services. Com esta
ferramenta voc pode exibir todas as conexes estabelecidas com o Ter-
minal Services.
Configurao dos servios de terminal: Esta ferramenta executada no
servidor onde o Terminal Server est instalado. utilizada para configurar
uma srie de propriedades do Terminal Server, conforme voc aprender
logo em seguida.
Licenciamento do Terminal Server: Esta ferramenta, j utilizada
anteriormente, utilizada para ativar o Terminal Server e para configurar
o nmero de licenas de acesso disponveis.
Configuraes do Terminal Services:
A maioria das configuraes disponveis so feitas atravs da opo Conexes,
do console Configurao dos servios de terminal.. Clique na opo Conexes.
No painel da direita ser exibida a opo RDP-Tcp. Clique com o boto direito
do mouse nesta opo. No menu de opes que exibido, clique em Propriedades.
Ser aberta a janela de propriedades, na qual voc pode definir uma srie de
propriedades que sero aplicadas s conexes do Terminal Server. Por padro, a
guia Geral vem selecionada.
A guia Sesso da janela de Propriedades RDP-Tcp: Nesta guia so exibidas as
opes indicadas na Figura 14.49.
Nesta guia esto disponveis as seguintes opes de configurao (as quais voc
deve conhecer, detalhadamente, para o exame):
Primeira opo - Ignorar configuraes do usurio: Especifica se sero
substitudas as configuraes definidas por padro na conta do usurio
(Guia Terminal Services). Ao marcar esta opo, sero habilitadas as listas:
Finalizar uma seo desconectada, Limite de sesso ativa e Limite de
sesso ociosa.
Na lista Finalizar uma seo desconectada, voc pode digitar ou selecionar o
tempo mximo que uma sesso desconectada permanecer no servidor. Quando
o tempo limite alcanado, a sesso desconectada ser encerrada. Quando uma
sesso encerrada, ela excluda permanentemente do servidor. Selecione Nunca
NOTA: Aps a instalao do Ter-
minal Server no modo de
compartilhamento de aplicaes,
ser possvel utiliz-lo, sem a
compra das licenas de acesso,
durante um perodo de 120 dias.
Terminado este perodo, os clientes
no conseguiro mais se conectar,
enquanto no forem ativadas e
configuradas as licenas de acesso.
Estou repetindo este tpico, vrias
vezes, propositadamente.
NOTA: Para uma descrio completa,
de todas as opes de todas as Guias
da janela de Propriedades da conexo
RDP-Tcp, consulte o Captulo 16. A
seguir descrevo apenas as opes mais
importantes, diretamente relacionadas
com tpicos do Exame 70-290.
IMPORTANTE: Para o exame,
voc deve conhecer bem as opes
de configurao da opo RDP-Tcp.
IMPORTANTE: Saiba que possvel
sobrescrever as configuraes
definidas nas propriedades da conta
do usurio, em relao ao Terminal
Server. Tambm importante que
voc conhea bem, as opes da guia
Sesses. Estes so tpicos importantes
para o Exame 70-290. Na janela de
propriedades da conta do usurio, est
disponvel a guia Perfil de servios de
terminal. Estas configuraes podem
ser sobrescritas, pelas configuraes
definidas na guia Sesses, das
propriedades do RDP-Tcp.
para permitir que as sesses desconectadas permaneam no servidor indefinidamente. Voc pode selecionar o espao
de tempo ou digitar o nmero de minutos, horas ou dias na caixa. Especifique as unidades de tempo usando m para
minutos, h para horas e d para dias. O tempo mximo que pode ser especificado de 49 dias e 17 horas. No uma boa
prtica permitir que sesses desconectadas permaneam por muito tempo no servidor, antes de serem finalizadas, pois
isso faz com que sejam ocupados recursos (memria e processador), do servidor. Pode haver situaes onde o tempo
de resposta do servidor fica extremamente elevado, devido a um grande nmero de sesses desconectadas, que continuam
ocupando recursos do servidor. Nestas situaes, a soluo indicada diminuir o tempo para que uma seo desconectada
seja finalizada.
Na lista Limite de sesso ativa, voc pode digitar ou selecionar o tempo mximo que uma sesso de usurio pode
permanecer ativa no servidor. Quando o tempo limite for alcanado, o usurio ser desconectado da sesso ou a sesso
ser encerrada. Quando uma sesso encerrada, ela excluda permanentemente do servidor. Selecione Nunca para
permitir que a sesso continue indefinidamente. Voc pode selecionar o espao de tempo ou digitar o nmero de
minutos, horas ou dias na caixa. Especifique as unidades de tempo usando m para minutos, h para horas e d para dias.
O tempo mximo que pode ser especificado de 49 dias e 17 horas.
Na lista Limite de sesso ociosa, voc pode digitar ou selecionar o tempo mximo que uma sesso ociosa (sesso sem
atividade do cliente) permanece no servidor. Quando o tempo limite alcanado, o usurio desconectado da sesso
ou a sesso encerrada. Quando uma sesso encerrada, ela excluda permanentemente do servidor. Selecione
Nunca para permitir que as sesses desconectadas permaneam no servidor indefinidamente. Voc pode selecionar o
espao de tempo ou digitar o nmero de minutos, horas ou dias na caixa. Especifique as unidades de tempo usando m
para minutos, h para horas e d para dias. O tempo mximo que pode ser especificado de 49 dias e 17 horas.
Segunda opo - Ignorar configuraes do usurio: Ao selecionar esta opo, sero habilitadas opes para
voc definir qual deve ser o comportamento do Terminal Server quando o limite de tempo da sesso for
atingido ou a conexo for interrompida, sobrescrevendo as opes definidas nas propriedades da conta do
usurio, no domnio. Ao marcar esta opo, sero habilitadas as opes a seguir:
Desconectar-se da seo: Esta opo especifica que o usurio ser desconectado da sesso quando o limite da
sesso for alcanado ou quando a conexo for interrompida.
Encerrar a sesso: Esta opo especifica que uma sesso ser encerrada quando seu tempo limite for alcanado
ou a conexo for interrompida. Quando uma sesso encerrada, ela excluda permanentemente do servidor.
Terceira opo Ignorar configuraes do usurio - Permitir reconexo: Ao selecionar esta opo, sero
habilitadas opes para voc definir qual deve ser o comportamento do Terminal Server em relao reconexes,
sobrescrevendo as opes definidas nas propriedades da conta do usurio, no domnio. Ao marcar esta opo,
sero habilitadas as opes a seguir
De qualquer cliente: Esta opo especifica que os usurios tm permisso para reconectar-se com uma sesso
desconectada a partir de qualquer computador. Por padro, Servios de terminal permite a reconexo com
uma sesso desconectada em qualquer computador.
Do cliente anterior: Esta opo especifica que os usurios tm permisso para reconectar-se com uma sesso
desconectada apenas a partir do computador no qual a sesso teve origem. Essa opo somente oferece suporte
a clientes Citrix ICA que fornecem um nmero de srie ao conectar-se.
A guia Configuraes do cliente, da janela de Propriedades RDP-Tcp: Nesta guia so exibidas as opes indicadas na
Figura 14.50:
Com as opes desta guia voc define uma srie de configuraes relacionadas ao cliente que est criando a sesso.
Usar configuraes de conexo do usurio: Esta opo define se as configuraes de conexo, definidas nas
propriedades da conta do usurio sero utilizadas. Ao desmarcar esta opo, sero habilitadas as seguintes
configuraes adicionais:
Conectar unidades cliente ao efetuar o logon: Essa opo define se todos os drives de rede, mapeados pelo
usurio, devem ser reconectados automaticamente durante o logon.
Conectar impressoras cliente ao efetuar o logon: Essa opo define que as impressoras de rede, do cliente,
devem ser reconectadas automaticamente, durante o logon.
Definir a impressora cliente principal como padro: Define a impressora padro do cliente como sendo tambm
a impressora padro para a sesso. Ou seja, se dentro da sesso, o usurio enviar alguma impresso, esta ser
enviada para a impressora definida como padro, no computador a partir do qual o usurio se conectou ao
Terminal Server.
Limitar profundidade mxima de cor: Define o nmero mximo de cores, para configurao da tela, que pode
ser utilizada atravs de uma sesso com o Terminal Services.
Desativar o seguinte: Neste grupo esto disponveis uma srie de opes para desabilitar recursos especficos,
tais como:
Mapeamento de unidade: Marque esta opo para desabilitar o mapeamento de drivers do cliente.
Mapeamento de impressoras do Windows: Especifica se o mapeamento da impressora cliente do Windows
ser desativado. Por padro, esse recurso est desmarcado (ativado). Quando ativado (desmarcado), os clientes
podem mapear as impressoras do Windows e todas as filas da impressora cliente sero reconectadas
automaticamente quando for efetuado logon. No entanto, quando os mapeamentos de porta LPT e COM
forem desativados (marcados), no ser possvel criar as impressoras manualmente. Quando desativado
(marcado), os clientes no podero mapear as impressoras do Windows e as filas da impressora cliente no
sero reconectadas quando for efetuado logon. Entretanto, ser possvel reconectar impressoras manualmente
se o mapeamento de porta LPT ou COM estiver ativado (desmarcado).
Mapeamento de portas LPT: Especifica se o mapeamento de porta LPT de cliente ser desativado. Por padro,
esse recurso est desmarcado (ativado). Quando ativado (desmarcado), as portas LPT do cliente sero mapeadas
automaticamente para impresso e estaro disponveis na lista de portas do Assistente para adicionar impressora.
Ser preciso criar manualmente a impressora para a porta LPT usando o Assistente para adicionar impressora.
Quando desativado (marcado), as portas LPT do cliente no sero mapeadas automaticamente. Voc no
poder criar manualmente impressoras usando portas LPT.
Mapeamento de portas COM: Especifica se o mapeamento de porta COM de cliente ser desativado. Por
padro, este recurso est desmarcado (ativado). Quando ativado (desmarcado), as portas COM de cliente sero
mapeadas automaticamente para impresso e estaro disponveis na lista de portas do Assistente para adicionar
impressora. Ser preciso criar manualmente a impressora para a porta COM usando o Assistente para adicionar
impressora. Quando desativado (marcado), as portas COM de cliente no sero mapeadas automaticamente.
Voc no poder criar manualmente impressoras para portas COM.
Mapeamento da rea de transferncia: Especifica se o mapeamento da rea de transferncia do cliente ser
desativado. Por padro, este recurso est desmarcado (ativado).
Mapeamento de udio: Define se o mapeamento de udio do cliente deve ou no ser desabilitado.
O novo recurso de Shadow Copies.
O recurso de shadow copies uma das novidades do Windows Server 2003. Este
recurso pode ser habilitado individualmente, em cada volume de um servidor
com o Windows Server 2003. Uma vez habilitado este recurso, todas as pastas
compartilhadas no volume passaro a utilizar o recurso de shadow copies.
O recurso de shadow copies permite que o Windows Server 2003 mantenha cpias
de vrias verses de um mesmo arquivo e permite que o usurio, tenha acesso as
diferentes verses disponveis (na prtica, havendo espao disponvel, um histrico
de at 64 verses do mesmo arquivo, pode ser mantido).
Por exemplo, vamos supor que voc crie um arquivo do Word e salve ele em um
volume com o recurso de shadow copies habilitado. Daqui a uma semana voc
abre este mesmo arquivos, faz algumas alteraes e salva o arquivo novamente.
Com o recurso de shadow copies, ser mantida uma cpia da verso anterior,
cpia esta que poder inclusive ser acessada, se for necessrio. Podem ser mantidas
vrias verses do mesmo arquivo. O nmero de verses que mantida pelo recurso
de shadow copies depende do tamanho do prprio arquivo e do espao em disco
reservado para este recurso.
NOTA: Permitam que eu me
queixe, mais uma vez, das
tradues que so feitas. J vi
algumas tradues de shadow cop-
ies como sendo sombras de cpia,
mas, sinceramente, me recuso a
utilizar esta traduo. Por isso, neste
tpico, vou utilizar o termo origi-
nal: shadow copies.
Este recurso funciona como se fosse uma lixeira da rede, porm uma lixeira modificada, onde so mantidas vrias
verses do mesmo arquivo, podendo estas verses serem acessadas pelo cliente. Este recurso funciona tambm como
um backup alternativo. Rapidamente o usurio pode recuperar uma verso mais recente do arquivo (provavelmente
mais recente do que a verso que est na fita de backup), sem ter que esperar uma hora ou mais at que o arquivo seja
restaurado a partir de uma fita de backup.
O recurso de shadow copies traz muitos benefcios, dentre os quais gostaria de destacar os seguintes:
Recuperao rpida e fcil de arquivos que foram excludos acidentalmente. Se voc excluir, por engano, um
arquivo, poder abrir uma verso anterior e copi-la para um local seguro.
Recuperao rpida e fcil de arquivos que foram sobrescritos por engano.
Comparao de verses dos arquivos. Voc pode utilizar uma verso anterior para identificar as mudanas que
foram efetuadas em um determinado arquivo.
fundamental lembrar que o recurso de shadow copies no um recurso que ir
substituir o backup. Principalmente porque as diferentes verses do mesmo arquivo
so gravadas no mesmo disco. Ou seja, se o disco for danificado voc perder a
ltima verso e tambm todas as verses mantidas no recurso de shadow copies.
Nesta situao a nica maneira de recuperar as informaes restaurando a partir
do backup. Existe a possibilidade de configurar o recurso de Shadow Copies,
para que as copias sejam armazenadas em um volume diferente do volume origi-
nal. Esta pode ser uma boa estratgia em termos de desempenho, porm nem
nesta situao, o recurso de Shadow Copies deve ser considerado um substituto
para o Backup.
Quando o espao reservado para a manuteno de verses anteriores dos arquivos
for preenchido, os arquivos mais antigos sero descartados, para que novos possam
ser gravados. Voc aprender a configurar o espao reservado para o recurso de
shadow copies mais adiante, nos exemplos prticos.
NOTA: O recurso de shadow copies
configurado atravs da janela de
propriedades do volume (C:,D: e assim
por diante), na guia Shadow Copies,
conforme mostrarei na parte prtica
mais adiante. importante salientar
que o recurso de Shadow Copies
habilitado a nvel de volume e no a
nvel de pasta ou compartilhamento.
Ou seja, uma vez habilitado o recurso
de Shadow Copies em um volume, todas
as pastas e compartilhamentos do vol-
ume, passaro a ter o recurso de
Shadow Copies habilitado.
Mais algumas observaes sobre o recurso de shadow copies.
A quantidade mnima de espao que pode ser reservada para este recurso de 100
MB. O valor padro 10% do tamanho do volume onde o recurso de shadow
copies ser habilitado. As verses antigas, mantidas pelo recurso de shadow cop-
ies podero ser gravadas em um volume diferente do volume original.
O volume a ser reservado para este recurso depende da forma como os arquivos
so utilizados. Se voc tem arquivos que so alterados diariamente, ser necessrio
uma boa quantidade de espao para este recurso. Se voc tem arquivos que
raramente so alterados, a quantidade de 10% do volume pode ser mais do que
suficiente.
O agendamento do recursos de shadow copies.
Quando voc habilita o recurso de shadow copies, o Windows Server 2003 cria
um agendamento padro e define um intervalo. A cpia dos arquivos feita de
acordo com este agendamento.
Este agendamento pode ser alterado e deve ser adaptado de acordo com as
caractersticas de uso do volume. Na parte prtica voc aprender a alterar este
agendamento.
Instalando o cliente de shadow copies.
Para que um usurio acessando uma pasta compartilhada no servidor (pasta esta
que est em um volume para o qual o recurso de shadow copies foi habilitado)
possa utilizar o recurso de shadow copies, necessrio que o cliente de shadow
copies seja instalado na estao de trabalho do usurio. Os arquivos de instalao
do cliente shadow copies esto disponveis na seguinte pasta, de qualquer servidor
com o Windows Server 2003 instalado:
%systemroot%\system32\clients\twclient\x86\twcli32.msi
Onde %systemroot% a pasta onde o Windows Server 2003 foi instalado.
O arquivo twcli32.msi um arquivo de instalao, no padro do Microsoft In-
staller. Este arquivo pode ser instalado em todas as estaes de trabalho da rede,
usando o recurso de distribuio de software via GPO ou pode ser disponibilizado
em um drive de rede para que os usurios instalem em suas estaes de trabalho.
Este arquivo tem apenas 287 KB.
Log de Eventos e de Auditoria Conceito.
Quando voc trabalho com o Windows Server 2003, o qual utilizado como
sistema operacional para servidores da rede, a segurana uma preocupao
constante. No poderia ser diferente. O sistema operacional deve ser capaz de
disponibilizar alguns servios bsicos em relao a segurana: identificao
(atravs do mecanismo de contas de usurios, logon e do protocolo Kerberos),
IMPORTANTE: Para que os
clientes possam utilizar o recurso de
shadow copies, deve ser instalado
o software cliente de shadow cop-
ies em cada estao de trabalho que
ir utilizar este recurso. Na parte
prtica mostrarei como fazer esta
instalao. Em resumo, para o
exame, no se esquea que para
habilitar o recurso de Shadow Cop-
ies, so necessrios dois passos. O
primeiro habilitar este recurso no
volume onde est a pasta
compartilhada, que ser acessada
atravs da rede. O segundo passo
instalar o cliente de Shadow Cop-
ies, em todas as estaes de
trabalho que devero ter acesso a
este recurso. Lembre-se bem destes
dois passos, para o exame.
IMPORTANTE: As verses
anteriores dos arquivos, mantidas
pelo recurso shadow copies so
somente leitura, ou seja, voc no
poder fazer alteraes
diretamente nestas cpias. Voc
poder abrir estas cpias e salvar
em uma nova pasta e fazer
alteraes, mas no diretamente
nas cpias mantidas pelo recurso de
shadow copies. Por exemplo, se
voc abrir uma planilha do Excel ou
um documento do Word, a partir de
uma cpia mantida pelo recurso de
Shadow Copies, esta cpia ser
somente leitura. Se voc fizer
alteraes e tentar salvar, ser
emitida uma mensagem
restrio de acesso aos recursos (com base no mecanismo de permisses de acesso,
atravs do uso de uma ACL Access Control List, Lista de Controle de Acesso a
cada recurso da rede) e tambm deve ser capaz de registrar as aes que esto
sendo executadas nos recursos da rede, juntamente com informaes sobre o
horrio da ao, quem foi o usurio que executou a ao e outras informaes
relevantes. O registro do que feito na rede gravado no Log do Sistema. O
sistema de log do Windows Server 2003 permite o registro de um grande nmero
de eventos, conforme mostrarei neste captulo. A ao de pesquisar/consultar o
log de eventos, em busca de informaes conhecido como auditoria.
Auditoria um processo de acompanhamento das aes que so executadas nos
servidores do domnio, atravs da rede, tanto aes do prprio Sistema operacional,
como por exemplo a incializao de um servio, mas principalmente aes do
usurio, como um logon ou um acesso aos arquivos de uma pasta compartilhada.
Por exemplo, toda vez que o Windows Server 2003 inicializado uma srie de
servios so iniciados automaticamente, como o servio spooler que controla a
impresso, o servio Workstation que controla a interface grfica do Windows
Server 2003 e assim por diante. Cada um destes servios capaz de escrever
eventos nos logs de auditoria do Windows Server 2003. Um evento uma
mensagem que pode ser informativa, pode ser um aviso e pode ser uma mensagem
de erro. Um outro exemplo, quando um usurio tenta fazer o logon e informa uma
senha errada, um evento gravado no log de segurana, neste caso gravado uma
mensagem (evento) de falha de logon.
A auditoria de segurana monitora vrios eventos relativos segurana. O
monitoramento de eventos do sistema necessrio para detectar invasores e
tentativas de comprometer os dados do sistema. Uma tentativa de logon sem xito
um exemplo de um evento que pode ser submetido auditoria.
Os tipos mais comuns de eventos a serem submetidos auditoria so:
Acesso a objetos, como arquivos e pastas. Por exemplo, repetidas tentativas
de acessar determinados arquivos, por um usurio que no tem permisso
de acesso, podem caracterizar uma tentativa de quebra de segurana.
Gerenciamento de contas de usurios e grupos: ficam registradas
informaes sobre quem fez alteraes nas contas de usurios e grupos.
Quando os usurios fazem logon e logoff no sistema. Por exemplo, logons
efetuados fora do horrio normal de trabalho, merecem uma ateno
especial do administrador.
Alm da auditoria de eventos relacionados segurana, um log de segurana
gerado, oferecendo um meio para que voc visualize os eventos de segurana
registrados no log. O log de segurana pode ser exibido com o console Visualizar
eventos, o qual voc aprender a utilizar neste captulo.
informando que a cpia somente
leitura. Voc pode usar o comando
Arquivo -> Salvar como, para salvar
a cpia em um local alternativo. A
cpia salva no local alternativo,
usando o comando Arquivo ->
Salvar como, poder ser alterada.
NOTA: Se voc tiver que alterar o
volume onde so gravadas as
cpias, todas as cpias existentes
sero excludas e um novo histrico
comear a ser criado no novo vol-
ume. Por isso importante planejar
com cuidado o espao necessrio,
antes de habilitar o recurso de
shadow copies em um volume. Este
mais um dos motivos pelos quais
o recurso de Shadow Copies no
pode ser utilizado em substituio
ao Backup.
NOTA: Para as aes prticas
relativas ao recurso de Shadow Cop-
ies, consulte o Captulo 9.
IMPORTANTE: No utilize o
recurso de shadow copies em
servidores que esto configurados
para dual-boot com outras verses
do Windows. Nestes casos pode
acontecer de os arquivos de shadow
copies serem corrompidos.
Uma mensagem no log do sistema, possui informaes tais como o usurio que executou a ao, a ao executada e se
esta foi executada com sucesso ou no.
O log de eventos do Windows Server 2003 pode ser configurado, de tal maneira que o administrador escolha
quais eventos devem ser gravados no log, como por exemplo: tentativas de logon com sucesso, tentativas de
logon sem sucesso ou ambas . Por exemplo, o administrador pode definir que seja registrado um evento no log de
segurana, toda vez que um usurio tentar acessar um determinado arquivo, sem ter a devida permisso (tentativa
de acesso sem sucesso).
Tambm possvel definir se o acesso a arquivos, pastas e impressoras devem ser monitorados ou no (por padro este
monitoramento est desabilitado. Alm disso, voc pode definir se devem ser monitorados somente acessos bem
sucedidos ou acessos negados (sem sucesso), tais como um usurio com permisso somente de leitura que tenta alterar
um determinado arquivo, em uma pasta compartilhada.
Os logs do sistema so acessados utilizando a opo Event Viewer (Visualizar eventos) do console Gerenciamento do
computador. Tambm possvel utilizar o console Visualizar eventos que acessado atravs da opo Iniciar ->
Ferramentas Administrativas -> Visualizar eventos. O console Visualizar eventos configurado para carregar apenas
o Snap-in para trabalhar com eventos, diferente do console Gerenciamento do Computador, o qual configurado para
carregar uma srie de Snap-ins, dentre eles, o Snap-in Visualizar eventos.
Por padro, so criados trs logs no sistema de log do Windows:
Application (Log do aplicativo): Contm erros, avisos e mensagens informativas de diversos programas que
rodam no Windows Server 2003. Por exemplo, o Microsoft SQL Server 2000 (banco de dados da Microsoft),
grava uma srie de eventos no log Aplicativo. O log do aplicativo contm eventos registrados por aplicativos
ou programas. Por exemplo, um programa de banco de dados pode registrar um erro de arquivo no log do
aplicativo. Os desenvolvedores de software decidem quais eventos monitorar, isto , ao desenvolver um
programa, possvel definir quais eventos o programa ir gravar no log de eventos do Windows Server 2003.
Linguagens como o Delphi, VB.NET, Visual Basic 6 e C#, fornecem comandos para que um programa possa
gravar eventos no log do Windows Server 2003.
Security (Log de segurana): Contm informaes sobre o sucesso ou no de eventos de auditoria, de acordo
com definies da poltica de auditoria. Conforme mostrarei mais adiante, a poltica de auditoria define quais
eventos de segurana sero monitorados. O log de segurana registra eventos como tentativas de logon vlidas
e invlidas, assim como eventos relacionados ao uso de recursos, como criar, abrir ou excluir arquivos ou
outros objetos. Um administrador pode especificar os eventos que sero registrados no log de segurana. Por
exemplo, se voc ativou a auditoria de logon, as tentativas de logon no sistema sero registradas no log de
segurana. Por padro somente usurios com permisso de administrador podem acessar o log de segurana.
System (Log do sistema): Contm erros, avisos e informaes geradas pelo prprio Windows Server 2003. O
Windows Server 2003 define quais os eventos sero gerados. O log do sistema contm eventos registrados pelos
componentes de sistema do Windows Server 2003. Por exemplo, a falha de um driver ou de outro componente do
sistema ao ser carregado durante a inicializao registrada no log do sistema. Os tipos de evento registrados no
log pelos componentes do sistema so determinados previamente pelo Windows Server 2003.
NOTA: A medida que novos servios vo sendo instalados, novas opes vo sendo adicionadas ao console Visualizar eventos. Por
exemplo, ao instalar o DNS em um servidor Windows Server 2003, uma opo DNS adicionada ao Visualizador de eventos,
entrada essa que trata de eventos relacionados com o servio de DNS. Outro exemplo, em um servidor configurado como DC, uma
nova categoria de eventos criada: Directory Service (Servio de Diretrio), conforme exemplo da Figura 14.51, onde so exibidas
as opes de log disponveis em um DC com o Windows Server 2003 instalado:
Figura 14.51 Opes de log em um DC com o Windows Server 2003.
Cabe aqui salientar que o principal objetivo da existncia de um sistema de Auditoria/Log, manter um acompanhamento
de tudo o que est acontecendo no sistema. Quando algum problema acontece, como por exemplo, um servio que
deixa de funcionar, o primeiro lugar que o administrador vai em busca de informao no log do sistema. Informaes
importantes sobre segurana podem ser encontrados no log de Segurana.
Habilitando eventos de auditoria.
O Windows Server 2003 permite que o administrador configure quais eventos de
segurana devem e quais no devem ser auditados. Para que sejam auditadas
determinadas aes ligadas com a segurana - tais como tentativas de logon e acesso
a arquivos e pastas algumas diretivas tem que ser habilitadas. As opes de
segurana, so habilitadas atravs de diretivas de segurana, configuradas via GPO.
Em um computador com o Windows Server 2003, configurado como member
Server ou como standalone Server, deve ser utilizado o console Local Security
Policy (Diretiva de segurana local), acessada atravs da opo Ferramentas
administrativas.
No exemplo a seguir, utilizarei o console Domain Security Policy (Diretivas de
Segurana do Domnio). Com isso estou configurando opes que sero vlidas
para todos os computadores (clientes e servidores do domnio). Depois farei uma
tentativa de logon com uma senha errada e voc observar se foi gerado um
evento no log de segurana. Ento mos a obra.
Neste exemplo mostrarei como habilitar algumas opes de auditoria, as quais
no esto habilitadas por padro. Por exemplo, a auditoria do acesso arquivos e
pastas no habilitado por padro. Para que o administrador possa auditar o acesso
a pastas e arquivos (isto , fazer com que sejam gravados eventos no log de eventos,
quando os usurios acessam uma determinada pasta e seus arquivos), primeiro o
administrador tem que habilitar uma diretiva de auditoria, para que o Windows
IMPORTANTE: Os logs so
gravados individualmente, em cada
servidor. Este um problema que
j existia no Windows 2000 Server
e no foi solucionado no Windows
Server 2003, ou seja, no existe
uma base nica, centralizada, com
todos os eventos de Log da rede.
Imagine que voc est investigando
um funcionrio suspeito de
participar de uma fraude. Como
voc far para ter acesso a todos
os eventos de logon no domnio, da
conta do usurio? Voc ter que
conectar o console Visualizador de
eventos com cada DC do domnio,
aplicar um Filtro para exibir apenas
os eventos para o usurio que est
sendo investigado, exportar estas
informaes para o formato de
arquivo .txt e depois importar todos
Server 2003 passe a auditar o acesso a pastas e arquivos. Outro exemplo seria a
auditoria do uso de impressoras, a qual por padro tambm desabilitada. Neste
exemplo, mostrarei quais os passos para que o administrador possa habilitar as
diretivas de auditoria e apresentarei uma descrio das diretivas disponveis.
IMPORTANTE: Porm no basta habilitar as diretivas. Por exemplo, no basta habilitar
a diretiva que orienta o Windows Server 2003 a monitorar o acesso a pastas e arquivos.
Depois de habilitada a auditoria, o administrador tem que definir quais pastas e arquivos
devem ser monitoradas (por padro nenhuma pasta monitorada, mesmo aps a respectiva
diretiva de segurana ter sido habilitada) e para quais usurios e grupos deve ser feito o
monitoramento. Esta segunda etapa na configurao de auditoria de acesso a pastas,
arquivos e impressoras ser descrita em exemplos mais adiante, neste captulo.
Exemplo: Para habilitar a auditoria de eventos de segurana, siga os seguintes
passos:
2. Abra o console Diretivas de segurana de domnio: Iniciar -> Ferramentas
Administrativas -> Polticas de Segurana do Domnio.
3. Ser aberta a janela Configuraes de segurana padro de Domnio, conforme
estes arquivos em um banco de
dados como o Microsoft Access ou
SQL Server 2000. Ufa, um trabalho
e tanto. Seria bem mais simples se
houvesse uma base nica de logs,
para todo o domnio.
NOTA: Se voc estiver em um
Controlador de Domnio, com o Win-
dows 2000 Server ou como Win-
dows Server 2003 instalado, voc
tem duas opes. Pode ser utilizada
a opo Domain Controller Security
Policy (Diretivas de segurana de
controlador de domnio), do menu
Administrative Tools (Ferramentas
Administrativas). Com esta opo
vlidas somente para o controlador
de domnio no qual voc est
logado. Tambm pode ser utilizada
a opo Domain Security Policy
(Diretivas de Segurana de
Domnio), do menu Administrative
Tools (Ferramentas
administrativas). Com esta opo
vlidas para todo o domnio.
Figura 14.52 O console para configuraes das diretivas de segurana do domnio.
4. Clique no sinal de + ao lado da opo Configuraes de segurana, para exibir as opes disponveis. Clique no
sinal de + ao lado da opo Diretivas locais, para exibir as opes disponveis.
5. Nas opes que surgem, d um clique na opo Diretivas de auditoria . No painel da direita so exibidas as vrias
diretivas de auditoria disponveis, as quais so indicadas na Figura 14.53 e explicadas logo a seguir. Observe ao
lado do nome de cada diretiva, o status No-definido, indicando que no existe definio para esta diretiva, isto ,
esta diretiva estivesse desabilitada.
A seguir apresento uma descrio das diretivas de auditoria disponveis:
Com esta opo voc pode configurar se os eventos de logon devem ou no ser
auditados. So considerados eventos de logon, qualquer logon feito em uma estao
de trabalho da rede, que pertena ao domnio e com uma conta do domnio.
IMPORTANTE: muito importante que voc conhea este ponto, ou seja, para fazer a
auditoria de eventos de logon de contas do domnio, a diretiva a ser habilitada a diretiva
Auditoria de eventos de logon de conta. Existe uma outra auditoria, com um nome
semelhante Auditoria de eventos de logon, porm esta segunda usada para fazer a
auditoria de eventos de logon usando contas locais dos computadores e no as contas do
domnio. Certifique-se de que voc entendeu bem a diferena entre estas duas diretivas,
pois este um ponto importante para o exame.
Conforme descrito anteriormente, a validao do logon feita nos DCs, onde est
instalado o Active Directory. Neste caso se o usurio jsivla fizer o logon com a
sua conta de domnio, na sua estao de trabalho, um evento de logon ser gerado
para este usurio. Alm disso voc define se devem ser auditados os eventos com
sucesso (quando o usurio faz o logon normalmente) ou com falha (quando o
usurio no consegue fazer o logon, por exemplo, por ter digitado uma senha
incorreta). Para configurar esta auditoria, basta dar um clique duplo nela. Ser
aberta a janela Propriedades de Eventos de logon de conta de auditoria (a confuso
Objetc) padro do domnio. No
Captulo 9 voc teve uma introduo
ao assunto GPO, focando nos pontos
cobrados no Exame 70-290. Para
um estudo completo sobre GPOs,
consulte o Captulo 18 do meu livro:
Completo, 1568 pginas.
IMPORTANTE: O nome correto desta
auditoria Auditoria de eventos de
logon de conta, porm no console
Configuraes padro de segurana do
domnio, esta diretiva aparece,
incorretamente, com o seguinte nome:
Eventos de logon de conta de audito-
ria. Esta mais uma prola da traduo,
que contribui para tornar confuso um
recurso que fcil de utilizar.
no nome por conta da equipe de traduo). Para habilitar esta diretiva voc deve marcar a opo Definir as configuraes
dessas diretivas (o plural tambm por conta da equipe de traduo). Ao marcar esta opo, sero habilitadas as
opes xito e Falha. Para passar a registrar os eventos de logon com sucesso, marque a opo xito. Com isso sempre
que um usurio fizer um logon no domnio, com sucesso, ser registrado um evento no log de eventos do DC que
autenticou o usurio. Para passar a registrar os eventos de falha de logon, marque a opo Falha. Com isso, sempre que
um usurio fizer uma tentativa de logon sem sucesso, ser registrado um evento no log de eventos do DC onde a
tentativa de logon foi feita. Na Figura 14.54 exibida a janela de propriedades desta diretiva e as opes que podem
ser configuradas para esta auditoria. Aps ter definido as configuraes desejadas, basta clicar em OK. O mais comum
para este diretiva habilitar tanto os eventos de sucesso, quanto os eventos de falha, para que fique registrado no log
do servidor, todos os eventos de logon, que seja com sucesso, quer seja com falha.
Figura 14.54 Opes para a diretiva de auditoria de eventos de logon.
Audit account management (Auditoria de gerenciamento de contas): Esta diretiva determina se deve ser feita
a auditoria de cada evento de gerenciamento de conta de um usurio, grupo ou computador do domnio. Os
exemplos de eventos de gerenciamento de conta incluem: criao ou alterao de uma conta, renomeao de
uma conta, ativao/desativao da conta, incluir um usurio em um grupo ou retirar o usurio de um grupo,
o administrador definir a senha de uma conta e assim por diante.
As configuraes padro para esta diretiva so as seguintes:
Sucesso em controladores de domnio.
Sem auditoria nos Member Servers
Para configurar esta auditoria, basta dar um clique duplo nela. Ser aberta a janela de propriedades da auditoria. Para
habilitar esta diretiva voc deve marcar a opo Definir as configuraes dessas diretivas. Ao marcar esta opo, sero
habilitadas as opes xito e Falha. Para passar a registrar os eventos de gerenciamento de contas com sucesso,
marque a opo Sucesso. Com isso sempre que o administrador ou outro usurio com as devidas permisses, fizer
alteraes em uma conta, um evento ser gravado no log de eventos Para passar a registrar os eventos de falha de
gerenciamento de contas, marque a opo Failure. Com isso, sempre que o administrador ou um usurio sem as
devidas permisses, fizer uma tentativa alterar uma conta, ser registrado um evento no log de eventos. Na Figura
14.55 exibida a janela de propriedades desta auditoria e as opes que podem ser configuradas para esta auditoria.
Aps ter definido as configuraes desejadas, basta clicar em OK. O mais comum para esta diretiva habilitar apenas
o log dos eventos sem sucesso, ou seja, de tentativas que um usurio faz de alterar contas do domnio, sem ter as
devidas permisses para isso. Esta situao pode acontecer quando, por exemplo, um usurio est tentando alterar a
senha de outro usurio para fazer um logon com a conta deste segundo usurio.
Figura 14.55 Opes para a diretiva de auditoria de eventos de gerenciamento de contas.
Auditoria de acesso ao servio de diretrio: Define se sero auditadas tentativas de acesso com sucesso, com
falha ou ambas, a objetos do Active Directory, para os quais tenha sido habilitada a auditoria dos acessos. O
Acrive Direcotry, conforme explicado no Captulo 02, a base de dados na qual ficam armazenados uma srie
de objetos, como por exemplo: contas de usurios, grupos de usurios, Unidades organizacionais, domnios,
sites, etc. Por exemplo, podemos implementar uma poltica para detectar tentativas de alterao sem sucesso,
nas contas que fazem parte do grupo Administradores. Por padro esta poltica est desabilitada para
controladores de domnio e indefinida para os demais computadores. Um cuidado que deve ser tomado o de
habilitar somente as auditorias realmente necessrias, de acordo com a poltica de segurana da empresa, pois
se forem habilitadas auditoria em um grande nmero de objetos, pode haver uma queda de desempenho, alm
de um crescimento exagerado no tamanho do log de segurana. Por padro esta auditoria est desabilitada.
Audit logon events (Auditoria de eventos de logon): Esta diretiva determina se deve ser feita a auditoria de
cada instncia de logon ou logoff de usurio, bem como de qualqure conexo de rede com o computador local,
ou no caso com o DC que eu estou utilizando. Se voc estiver registrando no log os eventos da Auditoria de
eventos de logon de conta com xito em um controlador de domnio, as tentativas de logon de um usurio, a
partir da sua estao de trabalho no geraro auditorias de logon (as quais sero geradas se a diretiva Auditoria
de eventos de logon de conta, descrita anteriormente, estiver habilitada) . Somente tentativas de logon de rede
e interativas no prprio controlador de domnio geraro eventos de logon. Resumindo, Auditoria de eventos de
logon de conta so gerados no local onde reside a conta; ou seja, no DC. Eventos de logon so gerados no local
onde ocorre a tentativa de logon. Se for um logon interativo no DC, no prprio DC, se for um logon interativo
em um member server, no log de auditoria local do member server. Voc pode configurar para que sejam
auditadas tentativas de logon com sucesso, com falha ou ambas. No caso
de um computador com o Windows Server 2003, as tentativas de logon
so consideradas as tentativas locais ou tentativas feitas via Terminal
Service Client.
Audit object access (Auditoria de acesso a objetos): Determina se deve
ser feita a auditora do acesso de um usurio a um objeto por exemplo,
um arquivo, uma pasta, uma chave da Registry, uma impressora etc. So
considerados objetos, todos aqueles elementos que possuem uma ACL
Access Control List (Lista de Controle de Acesso). Por exemplo, uma
pasta em uma partio NTFS, onde so definidas permisses de acesso
(alm de habilitar esta diretiva, posteriormente a pasta deve ser configurada
para registrar eventos de acesso no log de auditoria, conforme exemplo
mais adiante). Se voc definir esta configurao de diretiva, poder
especificar se haver auditoria de acessos com xito, acessos sem xito
ou se no ocorrer auditoria desse tipo de evento. As auditorias com xito
geram uma entrada de auditoria quando um usurio acessa com xito um
objeto. Por exemplo, o usurio tem permisso de leitura em um arquivo e
ele acessa o arquivo para leitura. Este um evento com sucesso. As
auditorias sem xito geram uma entrada de auditoria quando um usurio
tenta acessar sem xito um objeto, como por exemplo, tentar imprimir em
uma impressora na qual ele no tem permisso ou tentar alterar um arquivo
para o qual ele tenha apenas permisso de leitura. interessante observar
que a definio de Auditoria de acesso a objetos ocorre em duas etapas.
Primeiro o administrador deve habilitar esta diretiva, para acessos com
sucesso, com falha ou ambos. Em seguida, em cada objeto (pasta,
impressora, arquivo, etc) a ser auditado, o administrador deve configurar
a auditoria e especificar quais usurios ou grupos devem ser monitorados.
Apenas habilitar a diretiva no far com que o acesso aos objetos sejam
auditados. Por padro esta diretiva est desabilitada.
IMPORTANTE: Vou insisitir neste
conta utilizada para fazer audito-
ria de logon de contas do domnio,
j a diretiva Auditoria de eventos
de logon, utilizada para a audito-
locais.
Audit policy change (Auditoria de alterao de diretivas): Determina se deve ser feita a auditoria das alteraes
efetuadas nas diretivas de segurana. O normal habilitar a auditoria de eventos sem sucesso, para tentar
identificar tentativas de alterao das diretivas, por usurios no autorizados. Alterar as diretivas uma das
maneiras de criar brechas na segurana do sistema, por isso somente usurios autorizados devem ter este nvel
de permisso.
Audit process tracking (Auditoria de controle de processos): Determina se deve ser feita a auditoria de
informaes de controle de eventos detalhadas, como ativao de programas, trmino de processo, duplicao
de identificador e acesso indireto a objeto. Esta diretiva utilizada para fazer uma auditoria dos progrmas que
esto rodando no computador, na tentativa de detectar usurios que esto tentando utilizar programas para os
quais eles no tem permisso ou tentando isntalar processos que possam abrir o servidor para ataques de
segurana.
Audit system events (Auditoria de eventos de sistema): Determina se deve ser feita a auditoria quando um
usurio reiniciar ou desligar o computador, ou quando ocorrer um evento que afete a segurana do sistema ou
o log de segurana.
Audit privilege use (Auditoria de uso de privilgios): Determina se deve ser feita a auditoria de cada instncia
do uso de um direito do usurio. Direitos (rights) so permisses especiais, como por exemplo incluir um
computador como membro de um domnio, fazer o logon interativamente nos controladores de domnio, alterar
a hora dos servidores e assim por diante. Estes direitos podem ser configuradas pelo Administrador, o qual
pode dar estes direitos para determinados usurios ou grupos.
Configurando a auditoria de acesso a arquivos, pastas e
impressoras.
Conforme j descrevi brevemente, no incio do Captulo, a auditoria de acesso a
objetos (pastas compartilhadas, impressoras compartilhadas e qualquer outro
objeto para o qual seja permitido definir uma lista de permisses de acesso, tais
como objetos do Active Directory, chaves da Registry e assim por diante), um
processo em duas etapas, conforme descrito a seguir:
IMPORTANTE: Conhea bem
estas diretivas. Este um tpico
muito importante para o Exame 70-
290.
1. Habilitar a Diretiva de auditoria: Auditoria de Acesso a objetos. Esta diretiva habilitada, para sucesso, falha ou
ambas as situaes, utilizando o console Configuraes locais de segurana, j descrito anteriormente. Em um
dos exemplos anteriores voc aprendeu a habilitar esta e outras diretivas de segurana. tambm importante
salientar que, para o Windows Server 2003, considerado objeto, todo elemento que tiver uma Lista de Controle
de Acesso ACL (Access Control List). Com isso, entradas da Registry, todo e qualquer elemento do Active
Directory, so considerados objetos.
2. Aps ter habilitada a Diretiva de auditoria descrita no item 1, o administrador tem que configurar a auditoria
em cada um dos objetos a serem auditados. Por exemplo, para monitorar o acesso a uma pasta e ao contedo
desta pasta (subpastas e arquivos), o administrador deve acessar as propriedades desta pasta e configurar quais
usurios/grupos tero o acesso monitorado. Por exemplo, o administrador pode definir que o grupo Gerentes
ter o acesso a uma determinada pasta monitorado, tanto para evento de sucesso quanto de falha. Com isso,
toda vez que um membro deste grupo acessar o contedo da pasta que est sendo monitorada, ser gravado um
evento no log de eventos.
Monitorao de desempenho
Sobre este tpico, o mais importante voc conhecer os valores limite, que indicam problemas de desempenho com os
principais objetos, tais como Memria, Processador e Sistema de discos. Existem alguns indicadores que mostram,
claramente, que existe um problema de desempenho em um destes componentes. A soluo fazer um upgrade no
referido componente.
Monitorao de desempenho conceitos bsicos.
Monitorar a utilizao dos principais recursos de um servidor uma tarefa importante para o administrador do
sistema, principalmente em computadores que esto sendo utilizados por um grande nmero de usurios da rede, para
acesso a recursos tais como pastas compartilhadas, impressoras, servidores Web de Intranet, servidores de banco de
dados, DCs do domnio e assim por diante. Os principais elementos de hardware a serem monitorados so os seguintes:
Memria RAM.
Processador.
Placa de rede.
Sistema de discos.
Existem outros elementos que podem prejudicar o desempenho como um todo, porm estes quatro so os mais importantes.
Podem existir situaes, por exemplo, em que a utilizao da memria RAM e do Processador esteja baixa, porm o
Sistema de discos esteja sobrecarregado, e neste caso, o desempenho do sistema como um todo fica bastante prejudicado.
Dependendo do tipo de funo que o servidor est exercendo, um recurso de hardware pode ter mais ou menos influncia
no desempenho como um todo. Por exemplo, servidores de banco de dados so muito dependentes de bons processadores,
j servidores de arquivos dependem de um bom sistema de disco e de uma conexo rpida com a rede.
Quando um determinado componente est sobrecarregado, dizemos que este componente representa um gargalo
para o sistema (do termo ingls bottleneck), isto , o componente que est limitando (engargalando, se que
existe esta palavra.), o desempenho do sistema como um todo. Ou seja, o desempenho de um sistema to bom quanto
for o desempenho do seu componente mais lento. Por exemplo, de que adianta vrios processadores, com muita
memria RAM e com um sistema de discos antigo, extremamente lento.
Dependendo do papel que o servidor esteja desempenhando na rede, a utilizao de cada um destes componentes ser
maior ou menor. Por exemplo, computadores que atuam como Servidores de Banco de dados (com o Microsoft SQL
Server, por exemplo), ou Servidores de aplicao (com o Microsoft Transaction Server, por exemplo), fazem um uso
muito intensivo dos Processadores. Neste caso pode ser recomendvel, dependendo do nmero de usurios, a utilizao
de servidores multi-processados. J no caso de Servidores de arquivos, a utilizao da interface de rede e do sistema
de discos pode ser bastante elevada, neste caso a utilizao de placas mais velozes ou at mesmo de mais de uma placa
de rede e de sistemas de discos mais rpidos, pode ser uma soluo para melhorar o desempenho.
A monitorao do desempenho ajuda a determinar qual o componente que est sendo o principal limitador do
desempenho do sistema (o gargalo do sistema), alm de permitir a anlise da carga de trabalho a qual o respectivo
componente est submetido (por exemplo, o processador est com 80% de utilizao, o sistema de discos est
constantemente com dados na fila de espera para leitura e gravao e assim por diante). O administrador tambm pode
utilizar a monitorao do desempenho para fazer uma estimativa do crescimento na utilizao dos componentes do
sistema. Com isso fica mais fcil fazer uma previso sobre as necessidades futuras de atualizaes de Hardware. Alm
disso, de posse de dados de monitorao consistentes, fica mais fcil justificar o gasto envolvido na aquisio e
atualizao de componentes de hardware.
A monitorao feita atravs do console Desempenho, tambm conhecido como System Monitor. Este console
acessado atravs da opo Desempenho, no menu Ferramentas administrativas. No console de desempenho voc
adiciona Objetos a serem monitorados. Um exemplo de objeto pode ser um Processador, Memria, Disco fsico,
Fila de impresso, etc. Um objeto representa um elemento que pode ser monitorado pelo Windows Server 2003. Para
cada objeto, esto disponveis vrios contadores que so indicativos da utilizao dos recursos do respectivo objeto.
Por exemplo para o objeto Processador, dentre outros, existem os seguintes contadores: Porcentagem de tempo do
processador, Interrupes por segundo e assim por diante. Para o objeto Fila de impresso, existem os contadores
Total de pginas impressas, Trabalhos no spool, e assim por diante.
Vrios objetos e seus respectivos contadores so instalados durante a instalao do Windows Server 2003. A medida
que novos servios ou aplicativos so instalados, novos Objetos e contadores so adicionados. Por exemplo, ao instalar
o Microsoft SQL Server 2000, novos objetos so adicionados. Outro exemplo, quando instalado o servidor Web IIS,
novos objetos so adicionados e assim por diante.
Saber exatamente quais objetos e quais contadores utilizar um processo que envolve testes e muita pacincia. Somente
com a experincia que o administrador saber quais os contadores observar para verificar a existncia de problemas
de desempenho.
A otimizao do desempenho um processo contnuo. Muitas vezes em uma primeira anlise, o administrador descobre que
um dos componentes est sendo o gargalo do sistema, por exemplo, a memria RAM. A mais memria RAM acrescentada
ao servidor. Pode ser que outro componente passe a ser o gargalo, por exemplo a Placa de rede ou o processador. Monitorar
e otimizar o desempenho um desafio bastante grande, porm uma necessidade. No possvel simplesmente trocar de
equipamento, toda vez que houver problemas de desempenho, pois isso seria um desperdcio de dinheiro.
Tambm possvel configurar o console Desempenho para que seja feita a captura de dados automaticamente. O administrador
pode configurar a captura de dados para que seja feita a captura apenas de determinados contadores de determinados objetos,
ou seja, somente aqueles contadores que interessam ao administrador. Com base nesta captura possvel verificar os limites
normais de operao para componentes como o Processador, memria RAM e assim por diante. Entenda-se por limites normais
de operao, as taxas de utilizao dos diversos componentes de hardware e software, durante o horrio normal de expediente.
Depois faz-se o agendamento de um monitoramento contnuo e compara-se os resultados obtidos com os limites de operao
obtidos durante a primeira captura. Quando um determinado componente comear a apresentar aumento na sua taxa de utilizao
deve ser verificado o motivo para este aumento e, se for o caso, providenciar a substituio do dispositivo antes que a sua taxa
de utilizao atinja limites que possam comprometer o desempenho do servidor.
Contadores a serem monitorados em servidores.
Na tabela a seguir, da ajuda do Windows Server 2003, apresento uma lista de contadores que a Microsoft recomenda
que sejam monitorados permanentemente nos servidores da rede.
Componente Aspecto do desempenho sendo monitorado Contadores a monitorar
Disco Uso PhysicalDisk\Leituras de disco/s
PhysicalDisk\Gravaes de disco/s
LogicalDisk\% de espao livre
Interprete cuidadosamente o contador % tempo de disco. Como a instncia _Total desse
contador pode no refletir com preciso o uso em sistemas de vrios discos, importante
usar tambm o contador % Tempo ocioso. Observe que esses contadores no podem exibir
um valor acima de 100%.
Disco Gargalos Disco fsico\ Comprimento mdio da fila de disco (todas as instncias)
Memria Uso Memria\Bytes disponveis
Memria\Bytes de cache
Memria Gargalos ou vazamentos Memria\Pginas/s
Memria\Leituras de pgina/s
Memria\Falhas de transio/s
Memria\Bytes de pool paginvel
Memria\Bytes de memria no-paginvel
Embora no sejam especificamente contadores do objeto Memria, as opes a seguir
tambm so teis para anlise de memria:
Arquivo de paginao\% uso (todas as instncias)
Cache\Acertos de mapa de dados %
Servidor\Bytes de pool paginvel e Servidor\Bytes de memria no-paginvel
Valores indicativos de limites de desempenho para contadores.
Definir exatamente qual o limite aceitvel para o valor de um ou mais contadores
no uma cincia exata. Por exemplo, afirmar que sempre que a taxa de utilizao
do processador se mantiver em torno de 80%, por longos perodos, um indicativo
de queda no desempenho ou um indicativo de que o processador deve ser
substitudo, no algo preciso. Claro que existem valores para determinados
contadores que servem para disparar o alarme, isto , servem para alertar o
administrador que uma parte do sistema pode estar sendo responsvel pela queda
de desempenho, ou seja, pode estar sendo o que chamamos de gargalo do sistema.
Na tabela a seguir, da Ajuda do Windows Server 2003, apresento alguns valores
para determinados contadores, valores estes que, pelas recomendaes da
Microsoft, devem servir de alerta ao administrador.
Componente Aspecto do desempenho sendo monitorado Contadores a monitorar
Rede Taxa de transferncia Contadores de transmisso de protocolo (varia de acordo com o
protocolo de rede); para TCP/IP:
Interface de rede\Total de bytes/s
Interface de rede\Pacotes/s
Servidor\Total de bytes/s ou Servidor\Bytes transmitidos/s e Servidor\Bytes recebidos/s
Processador Uso Processador\% tempo de processador ( todas as instncias)
Processador Gargalos Sistema\Comprimento da fila de processador (todas as instncias)
Processador\Interrupes/s
Sistema\Alternncias de contexto/s
IMPORTANTE: Para o exame de
fundamental importncia que voc
saiba quais os valores limites para
os contadores indicados na tabela
a seguir. Valor limite significa que
uma vez atingido este valor, o
respectivo objeto est causando um
problema de desempenho e deve
ser substitudo ou deve ser feito um
Upgrade.
Disco Disco fsico\% de espao livre 15%
Disco lgico\% de espao livre
Disco Disco fsico\% tempo de disco 90%
Disco lgico\% tempo de disco
Disco Disco fsico\Leituras de disco/s, Depende das especificaes Verifique a taxa de transferncia
Disco fsico\Gravaes de disco/s do fabricante especificada para seus discos, para
ter certeza de que ela no
ultrapassa as especificaes. Em
geral, os discos Ultra Wide SCSI
podem gerenciar de 50 a 70
operaes de E/S por segundo.
Observe que o fato de a E/S ser
seqencial ou aleatria pode ter
um forte efeito sobre os valores de
leituras de disco/s e gravaes de disco/s.
Disco Disco fsico\Comprimento da fila Nmero de eixos mais 2 Esse contador instantneo.
de disco atual Observe seu valor durante vrios
intervalos. Para obter uma mdia
ao longo do tempo, use Disco
fsico\ Comprimento mdio da fila
de disco.
Memria Memria\Bytes disponveis Para computadores com Pesquise o uso da memria e
mais memria, mais de 4 MB adicione memria se necessrio.
Memria Memria\Pginas/s n pginas/s por arquivo de Pesquise a atividade de paginao.
paginao Observe o volume de E/S
transferido para os discos com
arquivos de paginao.
Arquivo de Arquivo de paginao\% uso Acima de 70% Revise este valor juntamente com
paginao Bytes disponveis e Pginas/s para
entender a atividade de paginao
do computador.
Processador Processador\% tempo de processador 85% Descubra o processo que est
usando uma alta porcentagem do
tempo do processador. Atualize
para um processador mais rpido
ou instale um processador adicional.
Processador Processador\Interrupes/s Depende do processador; Um aumento brusco no valor desse
um bom ponto de partida contador, sem um aumento
1.000 interrupes correspondente na atividade do
por segundo sistema, indica um problema de
hardware. Identifique o adaptador
de rede, o disco ou outro tipo de
hardware que est causando as
interrupes.
Servidor Servidor\Total de bytes/s Se a soma de Total de bytes/s para
todos os servidores for
aproximadamente igual s taxas
de transferncia mximas de sua
rede, convm segmentar a rede.
Servidor Servidor\Falta de itens de trabalho 3 Se o valor atingir este limite,
considere adicionar as entradas
DWORD InitWorkItems (o nmero
de itens de trabalho alocados para
um processador durante a
inicializao) ou MaxWorkItems (o
nmero mximo de buffers de
recebimento que um servidor pode
alocar) ao Registro (em
HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\
LanmanServer\Parameters). A
entrada InitWorkItems pode variar
de 1 a 512, enquanto
MaxWorkItems pode variar de 1 a
65.535. Comece por qualquer
valor para InitWorkItems e um
valor igual a 4.096 para
MaxWorkItems e dobre esses
valores at que o limite de
Servidor\Falta de itens de trabalho
fique abaixo de 3.
Servidor Servidor\Pico de pool paginvel Quantidade de RAM fsica Esse valor um indicador do
tamanho mximo do arquivo de
paginao e da quantidade de
memria fsica.
Servidor Filas de trabalho do servidor\ 4 Se o valor atingir esse limite,
Comprimento da fila poder haver um gargalo no
processador. Esse contador
instantneo. Observe seu valor
durante vrios intervalos.
Vrios Sistema\Comprimento da 2 Esse contador instantneo.
processadores fila de processador Observe seu valor durante vrios
intervalos.
Claro que estes so apenas valores sugeridos, os quais servem como alertas para o administrador. Conforme descrito
anteriormente, o processo de monitorao um processo contnuo, de acompanhamento na evoluo dos principais
contadores, sugeridos anteriormente.
A seguir apresento de uma forma resumida, os principais contadores e respectivos limites, ou seja, valores que podem
indicar que o problema com o respectivo componente:
Processador\% tempo de processador: No deve estar por longos perodos acima dos 80%
Sistema\Comprimento da fila de processador: No deve ser maior do que 2.
LogicalDisk\Comprimento da fila de disco atual: Se este valor estiver constantemente acima de 2, o sistema
de discos deve ser substitudo por um sistema mais rpido. Por exemplo, se os discos forem IDE, voc pode
substituir por um sistema SCSI. Outra alternativa implementar um Volume Set sem Paridade.
LogicalDisk\Comprimento da fila de disco atual: Valem os mesmos comentrios do item anterior.
Memria\Pginas/s: Um valor maior do que 20, pode indicar a necessidade de um Upgrade de memria,
normalmente com a adio de mais memria RAM.
Memria\Bytes confirmados: Deve ser sempre menor do que a quantidade total de memria instalada.
Configurando o console Desempenho para capturar dados
automaticamente.
Na introduo sobre a monitorao de desempenho, falei sobre a possibilidade de
configurar o console Desempenho para efetuar a captura automtica de dados,
conforme destacado no trecho a seguir:
Tambm possvel configurar o console Desempenho para que seja feita a captura
de dados automaticamente. O administrador pode conf igurar o console
desempenho para que sejam capturados dados sobre os Objetos/contadores a serem
monitorados. Com base nesta captura, o administrador pode verificar os limites
normais de operao para componentes como o Processador, memria RAM e
assim por diante. Depois faz-se um monitoramento contnuo e compara-se os
resultados obtidos com os limites de operao obtidos em outras medies. Quando
um determinado componente comear a apresentar aumento na sua taxa de
utilizao o administrador deve verificar o motivo para este aumento e, se for o
caso, providenciar a substituio do elemento que est apresentando elevao em
suas taxas de utilizao, antes que a sua taxa de utilizao atinja limites que possam
comprometer o desempenho do servidor.
IMPORTANTE: Certifique-se de
que voc conhece os limites para os
contadores da lista anterior e que
entendeu o funcionamento de cada
um destes contadores. Este um
ponto importante para o exame
Conforme pode ser concludo pelo pargrafo anterior, o principal objetivo em configurar a coleta automtica de dados
para determinar quais as taxas normais de utilizao dos componentes a serem monitorados, em situao normal de
uso. Depois so feitas novas observaes para acompanhar a evoluo destas taxas de ocupao, para poder agir
preventivamente quando um determinado componente estiver atingindo nveis elevados de utilizao.
A captura automtica de dados feita utilizando a opo Logs e alertas de desempenho, do console Desempenho.
Com esta opo, voc pode coletar automaticamente dados de desempenho de computadores locais ou remotos. Voc
pode visualizar os dados que foram gravados no log usando a opo Monitor do sistema ou exportar os dados para
programas de planilha ou banco de dados, para fins de anlise e gerao de relatrios. Por exemplo, voc pode importar
os dados gravados em um log de desempenho, para um banco de dados do Microsoft Access e utilizar estes dados para
a criao de relatrios personalizados.
Com a opo Logs e alertas de desempenho, esto disponveis os seguintes recursos:
Coleta de dados em formato separado por vrgulas ou por tabulaes para facilitar a importao por programas
de planilha ou programas de banco de dados. fornecido tambm um formato de arquivo de log binrio para
registro em log circular ou para registro em log de instncias, como segmentos ou processos, que podem
comear depois do incio da coleta de dados. (O registro em log circular o processo de registro contnuo de
dados em um nico arquivo, sobrescrevendo os dados anteriores com novos dados.)
Voc tambm pode coletar dados em formato de banco de dados SQL. Essa opo define o nome de um banco
de dados SQL e conjunto de logs existentes dentro do banco de dados em que os dados de desempenho sero
lidos ou gravados. Esse formato de arquivo til ao coletar e analisar dados de desempenho de toda a empresa,
em vez de servidor por servidor. Por exemplo, a partir de um nico console Desempenho, voc pode obter
dados sobre diversos servidores da rede e armazenar estes dados centralizadamente em um nico banco de
dados do SQL Server.
Os dados do contador coletados podem ser visualizados durante a coleta
ou aps seu trmino.
Como o log funciona da mesma maneira que um servio do Windows
Server 2003, a coleta de dados ocorre independentemente de haver um
usurio logado ou no, no servidor que est sendo monitorado.
Voc pode definir os momentos de incio e parada, nomes de arquivos, tamanho
mximo de arquivo e outros parmetros para a gerao automtica do log.
Voc pode gerenciar vrias sesses de log em uma nica janela de console.
Voc pode definir um alerta em um contador, especificando que uma
mensagem seja enviada, um programa seja executado e uma entrada seja
feita no log de eventos do Windows Server 2003 ou um log seja iniciado
quando o valor do contador selecionado for superior ou inferior a uma
configurao especificada. Por exemplo, voc pode monitorar a taxa de
utilizao do processador e solicitar que o Administrador seja avisado
quando esta taxa ultrapassar um determinado patamar, digamos 85 %, ou
voc pode monitorar o espao livre em todas as unidades de disco ou em
todos os volumes, de todos os servidores da rede e pedir que seja disparado
um alerta para o administrador, sempre que uma unidade apresentar espao
livre inferior a 20%.
Mais um resumo de contadores, para voc no esquecer:
A seguir coloco uma lista resumida (em relao a lista apresentada anteriormente)
dos contadores mais comumente utilizados para verificao do desempenho do
computador como um todo e que so candidatos a serem configurados para coleta
automtica, utilizando logs de desempenho. Esta lista obtido na documentao
oficial do Windows Server 2003.
Contadores para identificar gargalos em recursos de memria:
Memria\Bytes disponveis
Memria\Pginas/s
Contadores para identificar gargalos em recursos de disco:
PhysicalDisk -> % tempo de disco e % Tempo ocioso
PhysicalDisk -> Leituras de disco/seg e Gravaes de disco/seg
IMPORTANTE: Lembre-se que
quando houver a necessidade de
capturar dados de desempenho de
diversos servidores e consolidar
estas dados em um nico banco de
dados, a opo mais indicada
fazer com que os dados obtidos,
sejam gravados em um banco de
dados do SQL Server 2000.
IMPORTANTE: Para que a coleta
de dados possa funcionar
corretamente, o servio Logs e
alertas de desempenho deve ter
sido inicializado corretamente.
Antes de prosseguir voc ir
verificar (no exemplo logo a seguir)
se este servio est configurado
para inicializao automtica. Caso
no esteja, ir configur-lo para que
seja inicializado automaticamente.
PhysicalDisk -> Comprimento mdio da fila de disco
LogicalDisk -> % de espao livre
Contadores para identificar gargalos em recursos do processador:
Processador -> Interrupes por segundo
Processador -> % tempo de processador
Processo(processo) -> % tempo de processador
Sistema -> Comprimento da fila de processador
Contadores para identificar gargalos em recursos de rede:
Interface de rede ->Total de bytes/segundo, Bytes enviados/s e Bytes
recebidos/s
Objeto_de_camada_de_protocolo -> Segmentos recebidos/s, Segmentos
enviados/s, Quadros enviados/s e Quadros recebidos/s
Servidor -> Total de bytes/segundo, Bytes recebidos/s e Bytes enviados/s
Contadores para identificar gargalos em recursos de impressora:
Fila de impresso -> Bytes impressos/s
Fila de impresso -> Erros de trabalhos
NOTA: O administrador pode configurar alertas com base em contadores de desempenho.
Por exemplo, posso configurar um alerta que disparado sempre que um determinado
contador atinge um valor limite. Podem ser configuradas diferentes aes como resposta
a um alerta: Enviar uma mensagem para um usurio, normalmente o Administrador,
Gravar um evento no log de eventos do Windows Server 2003, executar um programa ou
iniciar a captura de dados de desempenho, com base nas configuraes de um log pr-
definido.
Ferramentas de recuperao a desastres.
Sem dvidas, a principal ferramenta de recuperao desastres o Backup/Re-
store, j descrito anteriormente neste resumo. Nunca demais salientar que de
fundamental importncia que voc conhea os tipos de backup e como utiliz-los
em diferentes estratgias de Backup/Restore. Tambm importante que voc re-
vise os tpicos sobre o processo de Boot do Windows Server 2003, o arquivo
Boot.ini e os caminhos ARC e o tpico sobre a Registry d Windows Server 2003,
tpicos estes apresentados no Captulo 12.
O Modo Seguro, Last Know Good Configuration e Control Sets..
IMPORTANTE: Monitore
contadores de memria para
determinar se a paginao
excessiva est sobrecarregando o
disco. Quando o computador tem
pouca memria, o Windows Server
2003 obrigado a utilizar
intensivamente o arquivos de
paginao (Swap). O arquivo de
trocas fica na raiz do disco C:, com
o nome de pagefile.sys ou pode
tambm ficar em outros discos e at
mesmo distribudos em dois ou mais
discos, conforme configuraes
efetuadas pelo administrador. Com
o uso intensivo do arquivo de trocas,
as taxas de utilizao do disco rgido
aumentam significativamente,
porm o problema no com o
sistema de discos e sim devido a
falta de memria (que a causa da
paginao excessiva). Ao
acrescentar mais memria RAM,
voc ir reduzir a utilizao do
arquivo pagefile.sys e,
conseqentemente, reduzir as taxas
de utilizao do disco rgido.
NOTA: Um nmero muito elevado
de Interrupes por segundo pode
ser causado por problemas em um
dispositivo de Hardware, ou em um
driver de hardware, conforme
Neste tpico veremos conceitos importantes, principalmente quando acontecem problemas na reinicializao do sistema.
Vamos tratar dos seguintes tpicos:
Last Know Good Configuration e Control Sets.
Ao inicializar o Windows Server 2003, ser exibido um menu de opes (caso esteja instalada mais de uma verso do
Windows Server 2003), menu este que montado a partir de informaes do arquivo boot.ini, conforme descrito
anteriormente. Este menu somente montado e exibido se existirem, pelo menos duas opes de inicializao diferentes,
no arquivo boot.ini. Consideramos como sendo diferentes opes de inicializao, diferentes verses do Windows
(9x, Me, NT, 2000 ou XP) ou uma mesma verso com diferentes chaves de inicializao como por exemplo /fastdetect
e /basevideo. Se houver uma nica opo o menu no ser exibido.
Quando o menu exibido voc pode selecionar uma das opes do menu e pressionar Enter. Logo aps pressionar
Enter exibida a mensagem Iniciando Se neste momento voc pressionar a tecla F8, ser exibido um menu de
opes avanadas de inicializao. Se no for exibido o menu, ou seja, se houver uma nica opo de inicializao,
voc deve ficar atento tela do computador. Quando a as primeiras mensagens comearem a aparecer na tela, voc
deve pressionar a tecla F8 para exibir o menu com as opes avanadas de inicializao, opes estas que sero
descritas neste item.
No Windows Server 2003 voc pode pressionar a tecla F8 enquanto o menu de inicializao, com as diferentes verses
do Windows estiver sendo exibido. Ao pressionar F8 ser exibido o menu de opes avanadas do Windows, no qual
so exibidas as seguintes opes de inicializao:
Safe Mode (Modo seguro)
Safe Mode with Networking (Modo seguro com rede)
Safe Mode with Command Prompt (Modo seguro com prompt de comando)
Enable Boot Logging (Ativar log de inicializao)
Enable VGA Mode (Ativar modo VGA)
Last Known Good Configuration (Ultima configurao vlida)
Directory Service Restore Mode (Modo de restaurao de servios de diretrio (s control. de domnio))
Debugging Mode (Modo de depurao)
comum utilizarmos o menu de opes avanadas quando estamos com problemas na inicializao do Windows
Server 2003. Nestas situaes, as opes do menu avanado podem nos ajudar na soluo de problemas, conforme
veremos na seqncia. Vamos analisar cada uma destas opes, iniciando pelas opes de Modo seguro.
Entendendo o Modo seguro de inicializao Safe mode.
Quando o Windows Server 2003 no est conseguindo inicializar no modo Normal, temos a opo de inicializa-lo no
Modo seguro. No Modo seguro apenas os drivers e servios estritamente necessrios inicializao do sistema so
carregados. O sistema inicializado utilizando um driver de vdeo padro VGA, com resoluo de 640x480 e com
suporte a milhes e cores (24 bits), com suporte ao mouse, teclado, monitor, sistema de armazenamento local (discos
rgidos, disquete, etc). Os programas configurados para serem inicializados automaticamente so ignorados no Modo
seguro. Todo este cuidado tomado para que o Windows Server 2003 possa inicializar, mesmo que com um conjunto
mnimo e drivers e servios. Uma vez inicializado, voc poder alterar as configuraes que esto impedindo que o
Windows Server 2003 inicialize no modo Normal.
A maioria das ferramentas de configurao esto disponveis no modo Seguro, para que voc possa fazer as
configuraes necessrias, para corrigir os problemas que esto impedindo o Windows Server 2003 de inicializar no
modo Normal. Por exemplo, no modo Seguro temos acesso ao Painel de controle, s Ferramentas Administrativas, ao
utilitrio de Backup, ao Editor de registro, s configuraes de rede e assim por diante.
Se voc desconfia que o problema com algum hardware recm instalado ou com o driver de hardware instalado,
utilize o Gerenciador de dispositivos para verificar se existe algum problema de hardware. Se o Windows Server 2003
consegue inicializar no modo Seguro porque os servios bsicos do Sistema Operacional esto funcionando
corretamente. Se o Windows Server 2003 deixou de inicializar normalmente aps a instalao de um driver provvel
que o respectivo driver seja a causa do problema. Estando no Modo Seguro voc pode utilizar o Gerenciador de
Dispositivos para desinstalar ou desabilitar o driver que est causando problemas. Uma vez desabilitado o referido
driver, o Windows Server 2003 dever voltar a inicializar normalmente.
Ao fazer a inicializao no Modo Seguro, o Windows Server 2003 vai exibindo cada driver e servio que vai sendo
carregado. A inicializao no Modo Seguro utiliza a chave /sos, j descrita anteriormente. Ao iniciar o computador no
modo Seguro voc deve fazer o logon como Administrador ou com uma conta do tipo Administrador do computador,
para que voc possa ter acesso a todas as configuraes do Windows Server 2003 e fazer as alteraes necessrias.
Aps fazer o logon uma mensagem emitida, avisando sobre as limitaes do Modo seguro e perguntando se voc
realmente deseja entrar neste modo, conforme indicado na Figura 14.56. Clique em Sim e o Windows Server 2003
ser carregado no Modo seguro.
Figura 14.56 Confirmao para entrar no Modo Seguro.
Uma vez tendo feita as alteraes necessrias voc deve reinicializar o computador
para testar se as alteraes que foram feitas surtiram o efeito desejado, qual seja,
permitir que o Windows Server 2003 possa voltar a inicializar no modo Normal.
Se voc precisa acessar recursos da rede, ao invs da opo Modo seguro, deve
selecionar a opo Modo seguro com rede. Com esta opo o sistema de rede do
Windows ser carregado (desde que no existam problemas que impeam a carga
dos componentes de rede) e, mesmo no Modo Seguro, voc ter acesso aos recursos
da rede.
NOTA: O Modo Seguro tambm
conhecido como Modo de
Segurana. As duas expresses so
sinnimos.
A opo Modo seguro com prompt de comando carrega o Windows Server 2003
porm no carrega a interface grfica, mas sim a interface de linha de comando
(Cmd.exe) com suporte a todos os comandos reconhecidos pelo Windows Server
2003. Devido s facilidades da interface grfica, dificilmente algum vai optar
por esta opo, a no ser que voc seja um f de carteirinha da interface baseada
na linha de comando.
Em resumo podemos afirmar que o Modo Seguro (ou Modo de Segurana) uma
ferramenta especialmente til quando o Windows Server 2003 est com problemas
para inicializar no Modo Normal. Nestas situaes podemos inicializar no Modo
Seguro e fazer as alteraes necessrias para que o Windows Server 2003 possa
voltar a inicializar no modo Normal.
IMPORTANTE: O Modo seguro
com rede no funcionar em
computadores portteis que esto
utilizando cartes PCMCIA de rede.
O suporte a cartes PCMCIA
desabilitado no Modo seguro,
mesmo quando voc seleciona a
opo Modo seguro com rede.
Agora vamos entender um pouco melhor a opo Ultima configurao vlida (Last Know Good Configuration) e a
sua relao com os chamados Control Sets. Na parte final deste item trataremos das demais opes do Menu de
opes avanadas do Windows.
Last know good configuration e Control Sets.
A opo ltima configurao vlida indicada em situaes onde a instalao de um novo driver est causando
problemas srios, impedindo que o Windows Server 2003 possa inicializar normalmente. Vamos supor que voc
baixou da Internet uma nova verso para o driver da placa de rede do servidor. Voc instala a nova verso do driver e
ao reinicializar o computador, o Windows Server 2003 no consegue inicializar normalmente. Nesta situao voc
pode inicializar utilizando as opes avanadas do menu de inicializao e selecionar a opo Last know good con-
figuration. Com isso sero carregadas as configuraes da ltima configurao com a qual o Windows Server 2003
conseguiu inicializar normalmente, ou seja, as configuraes anteriores a atualizao do driver que est causando o
problema.
Ao selecionar a opo Last know good configuration o Windows Server 2003 ser inicializado usando as informaes
da Registry que o Windows Server 2003 salvou na ltima vez que voc fez o logon no Windows Server 2003 com
sucesso, ou seja, as informaes da ltima configurao vlida. As informaes sobre a ltima configurao vlida
so armazenadas na Registry do Windows Server 2003.
Ao inicializar um computador com o Windows Server 2003 esto disponveis duas configuraes para inicializao:
Default and LastKnownGood. Estas configuraes so conhecidas como Control Sets. Um Control Set um conjunto
de configuraes da Registry, configuraes estas utilizadas para inicializar o computador. Quando voc faz o logon
no Windows Server 2003 normalmente e faz alteraes nas configuraes, como por exemplo instalar uma nova
verso de um driver, estas alteraes so salvas no Current control set. Ao encerrar o Windows Server 2003 (Shut-
down) as alteraes so copiadas para o control set Default. Na prxima vez que voc fizer o logon com sucesso, as
configuraes do control set Default sero copiadas para o control set Last Know Good Configuration. Se voc no
conseguir fazer o logon com sucesso devido s ltimas alteraes, voc tem a opo de reinicializar o sistema e utilizar
a opo Last know good configuration. Observe que as configuraes da ltima configurao vlida somente so
sobrescritas depois que voc faz as alteraes, reinicializa o computador e consegue fazer o logon com sucesso. Se
devido s alteraes voc no conseguir fazer o logon ou sequer reinicializar o Windows Server 2003, as configuraes
da ltima configurao vlida no sero sobrescritas e voc ter a opo de carreg-las na prxima inicializao,
revertendo as alteraes que foram feitas e esto impedindo o Windows Server 2003 de inicializar corretamente.
Voc pode utilizar a ltima configurao vlida em situaes tais como:
Voc instalou uma novo driver ou uma nova verso de um driver existente e o Windows Server 2003 no
consegue mais inicializar corretamente. Nesta situao voc pode reinicializar utilizando a opo Last know
good configuration. Com isso as configuraes anteriores a alterao que no est funcionando sero carregadas
e o Windows Server 2003 volta a inicializar normalmente.
Por engano ou por sabotagem um dispositivo fundamental, como por exemplo o controlador IDE foi desabilitado.
Se um dispositivo como o controlador IDE for desabilitado, o Windows Server 2003 no conseguir inicializar
normalmente. Nestas situaes voc pode utilizar a ltima configurao vlida para restaurar as configuraes
que estavam funcionando normalmente.
Outras opes de configurao do Menu de opes avanadas
do Windows.
Vamos analisar as demais opes do Menu de opes avanadas.
Ativar log de inicializao: Ao selecionar esta opo o Windows Server
2003 cria um log com a descrio da carga e inicializao de drivers e
servios. Este log gravado em um arquivo chamado NTBTLOG.TXT, o
qual gravado na pasta onde o Windows Server 2003 est instalado. Ao
inicializar o Windows Server 2003 no Modo Seguro este log tambm
automaticamente criado.
Ativar modo VGA: Esta opo inicializa o Windows Server 2003 utilizando
um driver VGA com configuraes mnimas. Esta opo til quando
voc est tendo problemas com o driver da placa de vdeo ou do monitor.
Ultima configurao vlida: J descrita anteriormente.
Modo de depurao: Inicializa o Windows Server 2003 no modo de
depurao do Kernel.
O recurso ASR Automated System Recovery Disks
No Windows NT Server 4.0 e no Windows 2000 Server o administrador pode
criar um disco chamado ERD Emergency Repair Disk. Este disco contm
informaes que podem ser utilizadas para reparar o servidor em situaes de
emergncia, como por exemplo quando um arquivo de inicializao (ntldr,
ntoskrnl.exe, etc.) corrompido. O administrador pode dar um boot usando o CD
do Windows 2000 Server, iniciar a instalao e bem no incio informar que ser
feita uma reparao de uma instalao j existente. Neste momento que ser
necessrio o disquete ERD. J no Windows Server 2003 este procedimento mudou
bastante. No existe mais o conceito de ERD. Ao invs disso foi criado o chamado
ASR - Automated System Recovery (recuperao automatizada do sistema).
IMPORTANTE: Lembre que se
aps ter feito alguma alterao, o
Windows Server 2003 reiniciar e
voc conseguir fazer um logon, as
configuraes do control set Last
Know Good Configuration sero
sobrescritas pelas configuraes
atuais. Nesta situao voc no
poder mais utilizar a opo ltima
configurao vlida, para voltar
situao anterior. Para estas
situaes que existe a opo
Restaurao do sistema, a qual
veremos mais adiante.
O administrador pode criar um conjunto de discos ASR, regularmente, como parte de um plano de recuperao do
sistema em caso de falhas. Os discos do ASR contm informaes fundamentais para o funcionamento do Windows
Server 2003, informaes estas que podem ser utilizadas para substituir arquivos corrompidos, corrigir defeitos no
setor de boot e no ambiente de inicializao do Windows Server 2003. O recurso ASR deve ser utilizado como uma
ltima tentativa de recuperar o sistema, depois que vrias outras tentativas foram esgotadas, tais como usar o modo
seguro, a opo Last Know Good Configuration e o console de recuperao (que ser descrito mais adiante).
O recurso ASR composto de duas partes: O backup ASR e o restore ASR. Para fazer o Backup ASR, utilizamos o
Automated System Recovery Preparation (Assistente de preparao para a recuparao do sistema) do ASR, o qual
est disponvel como uma das opes do utilitrio de backup. Este assistente faz o backup do estado do sistema, dos
servios configurados e de todos os discos associados com a instalao do Windows Server 2003. Tambm criado
um disquete, qual contm informaes sobre o backup, configuraes dos discos do sistema (incluindo informaes
dos discos bsicos e discos dinmicos) e informaes sobre como deve ser efetuada a restaurao do sistema. Este
disquete denominado ASR disk ou disco ASR.
Para fazer a restaurao do sistema, usando os discos criados pelo assistente de backup do ASR, voc deve iniciar uma
instalao normal do Windows Server 2003 (por exemplo, a partir de um boot pelo CD-ROM, usando o CD de
instalao do Windows Server 2003). Em uma das etapas da instalao, bem no incio, ainda na parte de texto, tem
uma mensagem informando que voc pode pressionar a tecla F2 para fazer uma restaurao do sistema. Nesta etapa
voc pressiona F2 e ser solicitado que voc insira o disquete ASR no drive. O ASR l as informaes sobre os discos
do sistema a partir do disquete ASR e restaura todas as assinaturas de discos, volumes e parties, pelo menos nos
discos necessrios para que o Windows Server 2003 seja inicializado. O ASR tentar restaurar as configuraes de
todos os discos e volumes/parties, mas pode acontecer de ele no conseguir restaurar as informaes sobre todos os
volumes. O ASR ir instalar uma verso simplificada do Windows Server 2003, apenas com o suficiente para iniciar
um restore a partir do backup feito pelo ASR, utilizando o Automated System Recovery Preparation Wizard, backup
este que normalmente feito em fita.
Observaes sobre o ASR:
O ASR no faz o backup dos arquivos de dados, apenas dos arquivos do sistema, necessrios ao funcionamento
do ASR. O backup dos dados deve ser feito separadamente, usando uma poltica de backup e agendamento de
tarefas de backup, conforme descrito no Captulo 8.
O ASR tem suporte a volumes FAT16 com tamanho mximo de 2.1 GB. O ASR no tem suporte para volumes
FAT16 com tamanho de 4 GB, volumes estes que utilizam um tamanho de cluster de 64 Kb. Se o servidor tiver
uma partio FAT 16 de 4 GB (o que muito pouco provvel), primeiro voc deve converter este volume para
NTFS, para depois usar o ASR. Para converter um volume de FAT16 ou FAT32 para NTFS basta usar o
comando convert. Por exemplo, para converter o drive C: de FAT para NTFS, utilize o seguinte comando:
convert C: /fs:NTFS
Aps a criao do Backup via ASR, ele poder ser utilizado para restaurar o
servidor em caso de falhas graves. Para usar o backup do ASR voc deve iniciar
uma instalao do Windows Server 2003 normalmente e, em uma das etapas
iniciais, fique atento a mensagem que indica que voc deve pressionar a tecla F2
para restaurar o estado do sistema usando um backup do ASR.
O que contm o disquete do ASR: O disquete do ASR como se fosse um
mapa para encontrar as demais informaes necessrias ao processo de
restaurao. No disquete do ASR so gravados os seguintes arquivos:
Setup.log: Contm a localizao dos arquivos do sistema.
Asr.sif: Contm informaes sobre os discos, parties, volumes e sobre
a mdia utilizada para fazer o backup do ASR.
Asrpnp.sif: Contm informaes sobre os dispositivos de hardware, instalados
no servidor, e que so compatveis com o padro Plug and Play.
IMPORTANTE: O backup do ASR
no poder ser feito diretamente
em CD ou DVD, mesmo que voc
tenha um drive gravador de CD ou
gravador de DVD.
Criando um disquete de boot.
O conceito de disquete de boot no Windows NT, Windows 2000, Windows XP ou
Windows Server 2003 bem diferente do conceito de disquete de boot no Win-
dows 95/98/Me. No Windows 95/98/Me ao usar um disquete de boot, o sistema
inicializado no modo caractere, aberto um prompt de comando e voc tem acesso
ao disco rgido e demais unidades de disco. J no Windows NT/2000/XP/2003, o
disquete de boot no inicializa o sistema no modo caractere, com um prompt de
comando e acesso aos volumes (C:, D:, etc). Alm disso, o uso do disquete de
boot ter pouca utilidade, principalmente com a disponibilidade do Console de
recuperao, o qual descreverei mais adiante.
Mas existem algumas circunstncias em que o disquete de boot pode ser til,
mais especificamente para auxiliar na inicializao do sistema, quando ocorrer
um dos seguintes problemas:
Quando o setor de boot do disco rgido estiver corrompido.
Quando o MBR master boot Record do disco rgido estiver corrompido.
Quando um vrus tiver infectado o MBR.
Quando os arquivos ntldr ou ntdetect.com estiverem corrompidos ou
tiverem sido excludos por engano.
IMPORTANTE: Outra situao prtica em que o disco de boot pode ser til quando
voc tem um volume espelhado, no qual est instalado o Windows Server 2003. Pode
acontecer do disco principal do espelhamento (aquele a partir do qual o Windows Server
2003 carregado) apresentar problemas. Neste caso voc pode usar um disquete de boot,
alterando o arquivo boot.ini para que carregue o Windows Server 2003 a partir do disco
que ainda est funcionando. O Windows Server 2003 carregado normalmente. A voc
desfaz o espelhamento, desliga o servidor e substitui o disco com problemas. Em seguida
voc usa o disquete de boot novamente para inicializar o servidor, reconhece o disco
recm instalado e refaz o espelhamento. Pronto, o prximo boot j pode ser feito a partir
do novo HD instalado e devidamente espelhado. Este mtodo d bem menos trabalho (e
tem bem menos probabilidade de dar problemas) do que usando um backup tradicional,
principalmente se o servidor for um DC, onde so necessrios cuidados especiais para o
restore do Active Directory, conforme descrito no Captulo 8.
IMPORTANTE: O disco de boot que voc cria em um servidor, servir para inicializar
este servidor e no qualquer servidor com o Windows Server 2003. Na prtica outros
servidores podero ser inicializados, mas somente se tiverem exatamente as mesmas
configuraes de discos e de volumes, do servidor onde foi feito o disquete de boot.
IMPORTANTE: Sempre que voc
estiver para fazer alteraes
importantes no servidor, tais como
instalao de novos dispositivos de
hardware ou instalao de novos
servios e sistemas, recomendado
que, antes de fazer as modificaes,
voc faa um backup do ASR. Com
isso, voc poder usar este backup
para restaurar o servidor a uma
situao de normalidade, caso
acontea algum erro grave, devido
as modificaes que esto sendo
feitas. importante salientar
novamente, que o restore a partir
de um backup do ASR deve ser
considerado como uma ltima
alternativa, quando outros recursos
como o Modo de segurana e a
ltima configurao vlida j
falharam. Alteraes tais como
insero de um novo disco ou
excluso de volumes e criao de
novos volumes tambm podem ser
consideradas grande alteraes e,
conseqentemente, antes de fazer
estas alteraes, crie um novo
backup do ASR. Aps ter feito as
alteraes e o servidor estar
funcionando normalmente, hora
de criar o backup do ASR
novamente, para que agora ele j
contenha as ltimas alteraes, as
quais esto funcionando sem
problemas.
Exemplo: Para criar um disquete de boot para um determinado servidor, siga os passos indicados a seguir:
2. Insira um disquete em branco no drive de disquete
3. Abra um Prompt de comando: Iniciar -> Todos os programas -> Acessrios -> Prompt de comando.
4. Execute o comando format a: /u
5. Aguarde a concluso do comando e copie os arquivos Ntdetect.com e Ntldr, da pasta i386 do CD de instalao do
Windows Server 2003, para o disquete. Copie tambm o arquivo Boot.ini, que se encontra na raiz do C:\.
6. Pronto, est criado o CD de boot, o qual especfico para o servidor onde foi criado e que poder ser utilizado nas
situaes descritas no incio deste tpico.
O Console de Recuperao.
O Console de Recuperao foi uma das novidades introduzidas com o Windows 2000 Server e que tambm est
presente no Windows XP Professional e no Windows Server 2003. O Console de Recuperao no instalado,
automaticamente, quando o Windows Server 2003 instalado. Neste item mostrarei como instalar o Console de
Recuperao.
Aps instalar o console de recuperao, este ser adicionado como uma opo do menu de inicializao do computador,
conforme descrito anteriormente. Ao selecionar a opo para inicializar no modo de recuperao, o servidor ser
inicializado em um modo muito parecido com o Prompt de comando. Neste modo estaro disponveis uma srie de
comandos (descritos mais adiante). Esto disponveis comandos para acessar os arquivos do disco rgido, para habilitar/
desabilitar drivers e assim por diante.
Se o modo de segurana e outras opes de inicializao no funcionarem, voc poder considerar o uso do Console
de recuperao (claro que este deve ter sido instalado previamente). No entanto, esse mtodo recomendado somente
se voc for um usurio avanado ou administrador que possa usar comandos bsicos para identificar e localizar drivers
e arquivos com problemas.
Para usar o Console de recuperao, voc precisa efetuar o logon na conta Administrador. Esse console fornece
comandos que podem ser usados para executar operaes simples, como mudar de diretrio ou exibir um diretrio, e
operaes mais complexas, como corrigir o setor de inicializao. Voc pode acessar a Ajuda para os comandos no
Console de recuperao digitando help no prompt de comando do Console de recuperao.
Ao usar o Console de recuperao, voc pode iniciar e interromper servios, ler e gravar dados em uma unidade local
(inclusive unidades formatadas com o sistema de arquivos NTFS), copiar dados de um disquete ou CD, formatar
unidades, corrigir o setor de inicializao ou o registro de inicializao mestre (MBR) e executar outras tarefas
administrativas. O Console de recuperao ser especialmente til se voc precisar reparar o sistema copiando um
arquivo de um disquete ou CD-ROM para a unidade de disco rgido ou se precisar reconfigurar um servio que est
impedindo o computador de ser iniciado corretamente. Por exemplo, o Console de recuperao poderia ser usado para
substituir um arquivo de driver sobrescrito ou danificado por uma cpia perfeita a partir do disquete.
Exemplo: Para instalar o console de recuperao, siga os passos indicados a seguir:
1. Faa o logon como administrador ou com uma senha com permisso de administrador.
2. Abra um Prompt de comando e acesse a pasta i386, do cd de instalao do Windows Server 2003.
3. Para instalar o console de recuperao, execute o seguinte comando:
winnt32 /cmdcons
Figura 14.57 Instalando o console de recuperao.
5. Clique em Sim, para prosseguir com a instalao do console de recuperao.
6. A instalao concluda e uma mensagem exibida informando que o console de recuperao foi adicionado
como uma das opes de inicializao e que voc pode utilizar o comando HELP, para ver uma lista dos comandos
disponveis. Clique em OK para fechar esta mensagem e pronto, o console de recuperao est instalado. No
prximo exemplo mostrarei como utilizar o console de recuperao.
Exemplo: Para utilizar o console de recuperao, aps t-lo instalado, siga os passos indicados a seguir:
1. Reinicialize o servidor.
2. Ser apresentado um menu, onde a primeira opo a instalao normal do Windows Server 2003. Se houver
outras verses do Windows, estas sero exibidas na seqncia. A ltima opo Microsoft Windows Recovery
Console (Console de Recuperao do Microsoft Windows). Selecione esta opo e pressione Enter.
3. Aps alguns instantes, ser exibido um novo menu de opes para que voc selecione qual instalao do Win-
dows voc deseja acessar. Este menu ser exibido mesmo que haja uma nica instalao do Windows. Digite o
nmero da instalao a ser carregada e pressione Enter. Nesta etapa voc tambm pode digitar Exit e pressionar
Enter para reinicializar o computador.
4. Ser solicitada a senha de acesso. Se o servidor for um DC, importante salientar que est no a senha da conta
Administrator (Administrador) do domnio, mas sim a senha que foi definida durante a instalao do Active
Directory, senha esta que tambm utilizada para inicializar o servidor no modo de Restaurao do Active
Directory, conforme descrito no Captulo 8. Digite a senha e pressione Enter.
5. A inicializao usando o console de recuperao ser completada e ser exibido um prompt de comando. Para
obter uma lista completa dos comandos disponveis digite help e pressione Enter. Ser exibida uma lista com
todos os comandos disponveis no console de recuperao.
6. Para obter ajuda sobre um comando especfico, digite help nome_do_comando e tecle Enter. Por exemplo para
obter ajuda sobre o comando enable, digite help enable e pressione enter.
7. Para sair do console de recuperao e reinicializar o servidor, digite EXIT e pressione Enter. O servidor ser
reinicializado, agora selecione o modo normal de inicializao. A seguir apresento uma descrio resumida dos
principais comandos disponveis no console de recuperao.
4. Ser exibida uma mensagem informando que voc pode instalar o console de recuperao como uma das opes
de inicializao do computador, conforme indicado na Figura 14.57:
Internet Information Services 6.0 IIS 6.0 e
Software Update Services SUS
Neste tpico voc deve conhecer, principalmente o funcionamento do SUS. Pelo
fato de o SUS ser uma novidade do Windows Server 2003, certamente ser um
tpico bastante explorado no Exame 70-290.
Pontos importantes sobre o IIS, a serem lembrados para o
exame:
Para que voc possa tornar um servidor com o Windows Server 2003 em um
servidor Web, voc precisa instalar o IIS Internet Information Services. O IIS
o servio responsvel pela disponibilizao dos servios http (para disponibilizao
de pginas) e ftp (para cpia de arquivos). Outros servios tambm so
disponibilizados pelo IIS, tais como servios de SNMT e NNTP. Para maiores
detalhes sobre os servios de SNMT e NNTP, consulte o Captulo 24, do livro:
Windows Server 2003 Curso Completo, 1568 pginas. A verso do IIS disponvel
com o Windows Server 2003 a verso 6.0. Neste captulo farei referncia
simplesmente utilizando IIS.
NOTA: Para uma referncia sobre os
principais comandos que podem ser
utilizados no Console de Recuperao,
consulte o Captulo 12.
Caso voc no tenha instalado o IIS quando da instalao do Windows Server 2003, possvel fazer a instalao
quando for necessrio. No prximo exemplo, voc aprender passo-a-passo a instalar o IIS 6.0.
Antes de instalar o IIS, importante fazer algumas observaes, relacionadas com a segurana do IIS. No Windows
2000 Server, ao instalar o IIS, por padro, so habilitadas uma srie de funcionalidades. O problema que muitas
destas funcionalidades no so necessrias em muitas situaes prticas. O mais grave que muitas das falhas de
segurana do IIS 5.0, estavam justamente nestas funcionalidades que eram habilitadas automaticamente durante a
instalao do produto. J com o IIS 6.0, no Windows Server 2003, adotada uma poltica de habilitar apenas um
conjunto mnimo de servios, durante a instalao. A medida que o administrador precisa de novas funcionalidades
ele as habilita. Obviamente que os problemas de segurana detectados no IIS 5.0 j foram corrigidos atravs do uso de
Service Packs no Windows 2000 Server e no esto presentes no IIS 6.0. Mas habilitar somente os servios realmente
necessrios, uma poltica bem mais sensata, tanto em termos de segurana, quanto em termos de uso de recursos do
servidor.(tais como memria e processador). Quando houver necessidade de utilizar uma funcionalidade que no est
habilitada, basta que o Administrador configure o IIS para habilitar a respectiva funcionalidade.
IMPORTANTE: Quando voc instala o IIS, o servio instalado em um modo de alta segurana. Por padro, ele est configurado
para servir apenas contedo esttico (pginas HTML padro). Para que possam ser executados contedos dinmicos - pginas ASP
e ASP.NET, scripts CGI, Internet Server Application Programming Interface (ISAPI) e Web Distributed Authoring and Versioning
(WebDAV) estes recursos devem ser habilitados pelo administrador, conforme mostrarei neste captulo.
Voc pode usar a opo Extenses de servios da Web para configurar quais extenses do servidor IIS estaro habilitadas
e quais estaro desabilitadas. Para habilitar/desabilitar uma determinada extenso, basta clicar na extenso a ser
habilitada/desabilitada para marc-la, no console de Gerenciamento do IIS. Em seguida clique no boto Permitir, para
habilitar a extenso ou no boto Proibir, para desabilitar a extenso. Ao clicar em Permitir, para habilitar uma extenso,
ser exibida uma janela pedindo confirmao para a habilitao. Clique em Sim, para prosseguir com a habilitao.
Nunca demais lembrar que somente devem ser habilitadas as funcionalidades realmente necessrias, para evitar
problemas de segurana e uso desnecessrio dos recursos do servidor.
Comparando WebDav com FTP:
Protocolo Senha de segurana Criptografia de dados
WebDAV Sempre que o servidor Web estiver Sempre que o servidor Web estiver usando a SSL;
usando a SSL; s vezes quando nunca quando ele no estiver usando
ele no estiver usando
FTP Nunca Nunca
O WebDAV protege a senha e os dados criptografados quando voc envia informaes para um servidor Web executando
SSL (Secure Sockets Layer). Se o servidor no estiver executando a SSL, o WebDAV poder proteger a sua senha se
ele estiver configurado para usar a autenticao do Windows. Entretanto, voc no pode criptografar os dados enviados
ao servidor, se este no estiver usando SSL. Se o servidor estiver executando a SSL, o endereo do servidor na Internet
ser iniciado por https:// em vez de http://.
O FTP no usa criptografia ou outro mecanismo de segurana para proteger a sua senha quando voc faz logon em um
servidor. Alm disso, voc no pode criptografar os dados quando usar o FTP para enviar arquivos para/de um servidor.
Isso coloca suas informaes em risco, pois qualquer pessoa que use hardware ou software de rede pode captur-las
medida que so transferidas.
O uso do WebDAV para a transferncia de arquivos, pastas e outros dados para servidores Web que executam a SSL
a maneira mais segura de transferir informaes.
SUS Software Update Services
Introduo ao SUS
O SUS instalado como um site/aplicativo Web, baseado no IIS. Conforme voc ver neste tpico, todo o processo de
administrao do SUS feito via browser, atravs da pgina de administrao do SUS.
O SUS uma aplicao Cliente/Servidor. Voc instala o SUS em um servidor
baseado no IIS. No servidor voc configura um agendamento para o download
automtico das atualizaes, aprova as atualizaes crticas de segurana e faz
uma srie de outras configuraes. Nos clientes, voc instala o software client do
SUS, o qual se comunica com o servidor e baixa e instala, automaticamente, as
Componentes do SUS:
Neste item farei uma breve descrio sobre os elementos que compem o SUS,
os quais permitem que seja montado uma infra-estrutura para download e instalao
automtica das atualizaes do Windows. O SUS formato, basicamente, pelos
seguintes componentes:
1. O site do SUS rodando em um servidor com o IIS: Ao instalar o SUS ser
criado um site no servidor IIS, no qual esto todos os recursos necessrios a
administrao e a configurao do SUS. Este o componente de servidor do
SUS. Este o componente responsvel por entrar em contato com o site
Windows Update e por baixar as atualizaes disponveis. Voc ver que
possvel configurar um agendamento, para que o SUS verifique sobre a
disponibilidade de novas atualizaes no site Windows Update. Voc aprender
a instalara o SUS e a fazer as principais configuraes disponveis. Mostrarei
que a interface de administrao do SUS so simplesmente pginas
hospedadas no IIS, as quais voc acessa atravs do Internet Explorer.
2. O site de Administrao do SUS: Esta o componente de administrao do
SUS. A interface de administrao do SUS nada mais do que um conjunto
de pginas, hospedadas em um site do IIS. Ao instalar o SUS, o site de
administrao criado e configurado. Toda a administrao do SUS feita
usando o navegador.
IMPORTANTE: Algumas vezes pode
acontecer de todos os servios do SUS
pararem de funcionar corretamente.
As atualizaes no so mais baixadas
automaticamente, atualizaes que j
foram baixadas no so instaladas ou
voc no consegue se conectar com a
pgina de administrao do SUS.
Nestas situaes, a causa mais
provvel do problema que o prprio
IIS est com problemas. Quando isso
ocorrer recomendado que voc pare
e reinicialize todos os servios
relacionados ao IIS. Normalmente esta
reinicializao dos servios do IIS, faz
com que o SUS normalize tambm.
3. Atualizaes Automticas: Este o componente cliente, na arquitetura Cliente/Servidor do SUS. O cliente
instalado em cada estao de trabalho e pode ser configurado para baixar as atualizaes diretamente do site
Windows Update ou de um servidor SUS. O cliente tambm pode ser configurado para buscar por atualizaes
dentro de um agendamento determinado. Voc pode definir se as atualizaes devem ser aplicadas automaticamente
ou se deve ser apenas exibido um aviso sobre a disponibilidade das novas atualizaes, de tal maneira que o
usurio opte por iniciar ou no a instalao das novas atualizaes.
4. Configuraes das polticas de segurana: Este um aspecto muito importante e que voc deve conhecer muito
bem para o exame. Por padro, o cliente de Atualizaes Automticas, configurado para baixar as atualizaes
a partir do site Windows Update. Voc pode alterar estas configuraes, para fazer com que o cliente de Atualizaes
Automticas, baixe as atualizaes a partir de um servidor com o SUS instalado. Estas configuraes podem ser
feitas via GPO (que a maneira preferencial, a qual automatiza o processo de configurao), ou alterando,
manualmente, a Registry de cada computador da rede. Mais adiante mostrarei qual a diretiva de GPO a ser
alterada e qual a chave da Registry, caso voc tenha optado por fazer as configuraes do cliente via Registry.
Instalando o SUS
O SUS no includo como parte do Windows Server 2003. O SUS gratuito e
pode ser copiado do site da Microsoft, a partir do seguinte endereo:
http://www.microsoft.com/windowsserversystem/sus/default.mspx
Antes de baixar e instalar o SUS importante que voc saiba que a partio onde
o SUS ser instalado e a partio do sistema, devem estar formatadas com o
sistema de arquivos NTFS. Esta no uma recomendao, mas sim um pr-
requisito para que o SUS possa ser instalado.
A instalao do SUS faz com que os seguintes componentes sejam instalados no
servidor:
O servio Software Update Synchronization Service, o qual responsvel
por fazer o download das correes do site Windows Update para o servidor
SUS
Um site no IIS, o qual utilizado para administrao do SUS.
Uma pgina para administrao do SUS, a qual utilizada para
sincronizao do servidor SUS e para aprovao das atualizaes que
foram baixadas, antes que estas sejam instaladas nos clientes.
As atualizaes que precisam, obrigatoriamente, ser aprovadas, antes de serem
instaladas nos clientes, so as atualizaes crticas de segurana. Pode ocorrer de
ser publicada uma atualizao da atualizao. Ou em outras palavras, uma correo
da correo. Nestas situaes, voc pode configurar o SUS para que ele aprove
automaticamente, uma correo a uma correo que j foi aprovada previamente.
Por exemplo, imagine que na segunda-feira voc baixou uma correo crtica de
segurana e usou o SUS para aprovar esta correo. Na sexta-feira, a equipe da
Microsoft disponibiliza uma correo a esta correo baixada na segunda-feira.
Voc pode configurar o SUS para que baixe esta correo correo e que a
aprove, automaticamente, uma vez que ele uma correo a uma correo j
aprovada anteriormente.
O SUS tambm pode ser instalado em um servidor com o Windows 2000 Server
e com o IIS 5.0. Neste caso, durante a instalao, ser executado o assistente
conhecido como Lockdown Wizzard. Este assistente ir configurar o IIS para
deix-lo mais seguro, desativando servios e portas que no sejam necessrias.
Ao fazer o download do SUS, voc ir copiar para o servidor o seguinte arquivo:
SUS10SP1.exe
Esta a verso do SUS j com o SP1 do SUS, ou seja, j com um pacote de
correes do SUS, em relao a primeira verso que foi lanada. Este arquivo
tem 32,2 MB. A seguir descrevo os passos para instalao do SUS:
Para instalar o SUS, siga os passos indicados a seguir:
IMPORTANTE: No momento em que
escrevo este resumo (04-04-2004), o
SUS est disponvel somente nas
verses em Ingls e Japons. Um ponto
importante a salientar que o que est
em Ingls a interface de administrao
do SUS, mas isso no impede que voc
possa utiliz-lo para baixar atualizaes
para o Windows em outros idiomas,
como por exemplo, Portugus do Brasil.
Voc ver mais adiante, que ao
configurar o SUS, voc define para quais
idiomas (o termo tcnico ao invs de
Idioma seria Localidade) voc quer que
um servidor com o SUS baixe as
atualizaes. Por exemplo, se a sua
empresa tem escritrios no Brasil, EUA
e Itlia, voc pode configurar um nico
servidor SUS, para baixar atualizaes
para os trs idiomas. O cliente de
Atualizaes Automticas saber
identificar, automaticamente, as
correes adequadas ao idioma da
estao de trabalho. Ainda usando o
exemplo da empresa que tem filiais no
Brasil, EUA e Itlia, cabe salientar que
se voc estiver usando um servidor SUS
em cada localidade, voc deve
configurar este servidor para baixar
apenas as atualizaes para a
localidade. Por exemplo, o servidor da
filial da Itlia deve ser configurado para
baixar apenas as atualizaes para o
idioma Italiano; o servidor da filial
Brasileira, deve ser configurado para
baixar apenas as atualizaes para o
idioma Portugus/Brasil e assim por
diante. Este procedimento reduz o
trfego nos links de WAN e libera a
banda disponvel para outros servios.
1. Faa um logon com uma conta com permisso de Administrador, em um servidor com o IIS j instalado.
2. Faa o download do SUS, usando o endereo descrito anteriormente.
3. Aps ter feito o download deste arquivo, basta dar um clique duplo no arquivo SUS10SP1.exe para iniciar
a instalao do SUS. Ao dar um clique duplo no arquivo SUS10SP1.exe, ser aberto o assistente de instalao
do SUS.
4. A primeira tela do assistente apenas informativa. Clique em Next para seguir para a prxima etapa do assistente.
5. Na segunda etapa voc deve aceitar o contrato de licena. Marque a opo I accept the terms in the License
Agreement e clique em Next para seguir para a prxima etapa do assistente.
6. Nesta etapa voc deve optar por fazer uma instalao Tpica (Typical) ou Personalizada (Custom), conforme
Figura 14.58 Definindo o tipo de instalao do SUS.
7. Clique em Custom.
8. Nesta etapa voc define se o SUS deve baixar as atualizaes para uma pasta local no servidor (por padro
sugerida a pasta C:\SUS) ou se deve deixar as atualizaes no site Windows Update e baixar apenas as informaes
sobre quais atualizaes esto disponveis. O mais usual baixar as atualizaes para o disco local do servidor. Os
clientes ento conectam-se com o servidor SUS da rede local e fazem a instalao a partir deste servidor. Certifique-
se de que a opo Save the updates to this local folder esteja selecionada, conforme indicado na Figura 14.59:
Figura 14.59 Baixando as atualizaes para o servidor SUS.
10. Nesta etapa que voc define para qual ou quais idiomas que devem ser baixadas as atualizaes. Vou repetir o
que foi colocado antes, devido a importncia. A interface do SUS, por enquanto, est disponvel apenas em Ingls
e Japons. Neste exemplo estou utilizando a interface em Ingls. Uma coisa o idioma da interface de administrao
e outra, completamente separada o idioma para os quais sero baixadas as atualizaes. Nesta etapa que voc
define para qual ou quais idiomas, o SUS ir baixar as atualizaes a partir do site Windows Update. Voc pode
selecionar a opo English only, para baixar apenas as atualizaes para o Windows em Ingls, ou voc pode
selecionar All available languages, para baixar todas as atualizaes disponveis, em todos os idiomas. Conforme
descrito anteriormente, esta no uma boa opo. Voc deve configurar o SUS para baixar as atualizaes,
somente para os idiomas que sero realmente utilizados. Por exemplo, se na rede onde o servidor SUS est sendo
instalado, voc tem computadores que utilizam o Windows em Ingls e outros que utilizam o Windows em Portugus,
voc deve configurar o SUS para baixar as atualizaes apenas para estes dois idiomas. Para configurar quais as
verses para as quais sero baixadas as atualizaes, clique na opo Specific languages. O boto Choose Lan-
guages ser habilitado, conforme indicado na Figura 14.60.
11. Clique no boto Choose Languages.
12. Na janela que exibida, deixe selecionados apenas os idiomas para os quais voc deseja baixar as atualizaes,
conforme exemplo da Figura 14.61, onde deixei marcado apenas as opes English e Portuguese (Brazilian).
13. Aps ter selecionado os idiomas clique em OK. Voc estar de volta ao assistente de instalao do SUS.
15. Nesta etapa que voc define como devero ser tratadas, novas verses de atualizaes j previamente aprovadas.
Voc pode optar por aprovar automaticamente as novas verses de atualizaes j previamente aprovadas (Auto-
matically aprove new versions of previously approved updates) ou pode definir que as novas verses de atualizaes
j previamente aprovadas, devam ser novamente aprovadas pelo Administrador (I will manually aprove new versions
of approved updates). Selecione a opo desejada e clique em Next para seguir para a prxima etapa do assistente.
Figura 14.60 A opo Choose Languages.
Figura 14.61 Selecionando os idiomas.
16. Ser exibida a tela final do assistente. Nesta tela tem uma informao muito importante. Nesta tela informado o
endereo que deve ser informado nos clientes (quer seja via Registry ou via GPO). Ou seja, informada a URL com
a qual os clientes devem se conectar, para baixar as atualizaes disponveis no SUS. Por padro a URL formada
Figura 14.62 A URL de conexo para os clientes.
17. Clique em Install para finalizar a instalao do SUS.
18. O assistente ir finalizar o processo de instalao e exibir uma mensagem informando que a instalao foi concluda
com sucesso. Clique em Finish para fechar esta mensagem.
pelo nome do servidor. No exemplo da figura 13.30, estou instalando o SUS em um servidor cujo nome SRV70-
290. Com isso, a URL de conexo para os clientes http://SRV70-290, conforme destacado na Figura 14.62:
Figura 14.63 O site de administrao do SUS.
19. Aps concluir a instalao, a pgina de administrao do SUS ser automaticamente carregada no Internet Ex-
plorer. Observe o endereo da pgina de administrao, o qual no seguinte formato: http://nome-do-servidor/
SUSAdmin. No nosso exemplo, onde o SUS foi instalado no servidor SRV70-290, a pgina de administrao do
SUS acessada no seguinte endereo: http://srv70-290/SUSADmin, conforme indicado na Figura 14.63:
20. Mantenha esta pgina aberta, pois iremos utiliz-la nos prximos tpicos.
Muito bem, o SUS foi instalado e est pronto para ser configurado e utilizado. Agora temos mais duas etapas a vencer:
Aprender a administrar o SUS.
Administrando o SUS
Neste tpico, voc acompanhar um exemplo prtico, onde mostrarei as principais opes de configurao do SUS.
Exemplo: Para administrar o SUS, siga os passos indicados a seguir:
2. Abra o Internet Explorer e acesse o seguinte endereo, substituindo SRV70-290 pelo nome do servidor onde o
SUS est instalado:
http://srv70-290/SUSAdmin
3. Ser aberta a pgina de administrao do SUS. No painel da esquerda esto disponveis links para as diversas
categorias de opes de configurao, disponveis no SUS. Na pgina inicial esto disponveis links para um
White Paper sobre o SUS e para um guia de implementao do SUS. D um conferida nestes documentos, vale
realmente a pena.
4. No painel da esquerda, clique em Synchronize Server. Ser carregada uma pgina, onde voc tem duas opes,
Figura 14.64 Oes de sincronizao do SUS.
Voc utiliza a opo Synchronize Now, para fazer com que o SUS se conecte imediatamente com o site do Windows
Update e baixe as atualizaes disponveis. A opo Synchronization Schedule, utilizada para criar um agendamento
de sincronizao. Ou seja, voc define dias e horrios em que o SUS ir se conectar com o site Windows Update e
baixar as atualizaes disponveis. Ao clicar em Synchronization Schedule, ser exibida a janela Indicada na Figura
14.65, na qual voc pode definir um agendamento para o SUS. No exemplo da Figura 14:65 foi definida uma
sincronizao diria, as 00:00 hs.
Figura 14.65 Definindo um agendamento.
5. Clique em Synchronize Now,
6. O SUS ir se conectar com o site Windows Update e baixar as atualizaes disponveis. A medida que vai baixando
as atualizaes, o SUS exibe uma barra indicando o percentual do processo que j foi concludo.
6. Ao finalizar a sincronizao (a primeira sincronizao pode demorar um bom tempo, uma vez que um grande
nmero de atualizaes ser copiado a partir do site Windows Update), ser exibida uma mensagem informando
que o servidor foi sincronizado com sucesso e que agora voc pode selecionar a aprovar as atualizaes que foram
baixadas.
Figura 14.66 Aprovando atualizaes crticas de segurana.
8. A opo Aprove updates ser automaticamente selecionada, no painel da esquerda. No painel da direita ser
exibida a lista de atualizaes aguardando aprovao. Lembre-se de que as atualizaes crticas no sero aplicadas
aos clientes, at que no tenham sido aprovadas pelo administrador do SUS.
9. Para aprovar uma atualizao, basta marc-la e clicar em Approve, conforme indicado na Figura 14.66, onde duas
atualizaes foram marcadas para aprovao.
10. Selecione as atualizaes a serem aprovadas e clique no boto Approve. Surge uma mensagem informando que
voc est aprovando uma nova lista de atualizaes as quais estaro disponveis para os clientes e que esta nova
lista substituir qualquer lista existente previamente. Clique em Sim para criar a nova lista de atualizaes aprovadas
e prontas para serem instaladas nos clientes.
11. Se alguma das atualizaes exigir que voc concorde com um Termo de servios, ser exibida uma mensagem
solicitando que voc aceite o termo de servios. Clique em Accept para aceitar e aprovar a atualizao. Ao final
ser exibida uma mensagem informando que uma nova lista foi criada. Clique em OK para fechar esta mensagem.
12. As atualizaes j aparecem com o status de aprovado (Approved), conforme indicado na figura 14.67:
Figura 14.67 Atualizaes j aprovadas.
13. No painel da esquerda, clique na opo View synchronization log. No painel da direita ser exibido o log de
eventos de sincronizao do servidor SUS. Na listagem a seguir, apresento a parte inicial deste log:
*************************************************************************
Manual Sync Started- segunda-feira, 22 de maro de 2004 22:11:27 Successful
Updates Added:
Security Update, July 19, 2000 - q261255_0F334C94167F1C095608F7B0599891EA83B56A0A.exe
Security Update, July 19, 2000 - q261255_CECBAD4A43916313EC45E5DB5E7A8461E1A01E5F.exe
q328389_3016A5C05107C80B472F83955BDD424027D051C3.exe
q328389_825151815CDA30A1AF0B652FA17A10437C73CF82.exe
VBS51NEN_6679B4E5AD916D6462A3AB5B4C2B81C2867CA1E6.EXE
VBS51NEN_EA35DB61E858F2175BCF7DEDF0304C6DB48D8763.EXE
October 2003, Cumulative Patch for Internet Explorer 5.01 for Windows 2000 Service Pack 4
(KB828750) - q828750_2d9563d8fbe81b44f9c1ee21e858952.exe
.................
*************************************************************************
14. No painel da esquerda, clique na opo View approval log. No painel da direita ser exibido o log de eventos
relacionados a aprovao de atualizaes no servidor SUS. Na listagem a seguir, apresento a parte inicial deste log:
*************************************************************************
Approved List Modified-tera-feira, 23 de maro de 2004 19:40:02 Successful
Approved By: ABC\Administrador
List of Approved Updates:
Critical Update for Microsoft Windows XP Media Center Edition Infrared Receiver
(KB832418)
List of UnApproved Updates:
Security Update for Microsoft Windows XP (KB328940)
329170: Security Update
q828750_f45f5a468a9cd3933305594418529bd.exe
q828750_e79d902ddfeaa3eee5913e2580f4dee.exe
q824145_81926bcee2daa2c6185379a6722bb05.exe
q824145_0e72e43b82edd2cdc3eb0dd92fd0273.exe
.......
*************************************************************************
15. No painel da esquerda, clique em Set options. Esta opo nos d acesso a uma srie de configuraes do servidor
SUS. Nesta opo voc pode definir se o servidor SUS se conecta diretamente Internet ou atravs de um
servidor Proxy, voc define o nome que deve ser utilizado pelos clientes para se conectar com o servidor SUS,
define se o servidor SUS ir baixar as atualizaes diretamente do site Windows Update ou a partir de outro
servidor SUS da empresa. Por exemplo, voc pode ter um servidor SUS na matriz, sincronizando diretamente
com o site Windows Update e configurar os servidores SUS das filiais, para sincronizar a partir do servidor SUS
da matriz. Com isso as atualizaes so baixadas uma nica vez pela Internet, a partir do site Windows Update
para o servidor SUS da matriz. Do servidor SUS da matriz, as atualizaes so transferidas para os servidores
SUS das filiais. Com isso voc pode montar uma hierarquia de servidores SUS, com dois ou mais nveis. Outra
opo importante que voc pode definir nesta pgina se as novas verses de atualizaes j aprovadas sero
automaticamente aprovadas ou se devero ser aprovadas novamente. Por ltimo voc tambm pode definir um ou
mais idiomas/localidades, para os quais sero baixadas atualizaes.
16. Defina as configuraes desejadas e clique no boto Apply para aplicar as alteraes.
17. Muito bem, sobre as opes de administrao do SUS isso. Feche a pgina de administrao do SUS.
Muito bem, j aprendemos a fazer o download e a instalar o SUS. A prxima etapa aprender a configurar os clientes
da rede, para que estes passem a baixar as atualizaes a partir do servidor SUS. Para que os clientes possam utilizar
o SUS eles devem ter o Cliente de Atualizaes Automticas (Automatic Updates Client) instalado. O Cliente de
Atualizaes Automticas faz parte do Windows 2000, Windows Server 2003 ou Windows XP e instalado,
automaticamente, a primeira vez que voc utilizar o Windows Update.
A configurao do cliente de atualizaes automticas feita atravs da guia
Atualizaes automticas, da janela de propriedades do Sistema (clique com o
boto direito do mouse em Meu computador e, no menu que exibido, clique em
Propriedades). A janela Atualizaes automticas est indicada na Figura 14.68:
NOTA: Se por algum motivo o
cliente SUS no estiver instalado,
voc pode fazer o download a partir
do seguinte endereo: http://
www. mi c r o s o f t . c o m/ wi n -
dows2000/downloads/recom-
mended/susclient/default.asp
Figura 14.68 A guia Atualizaes automticas.
A seguir descrevo as opes disponveis nesta guia:
Manter o meu computador atualizado. Com esta configurao ativa, o software Windows Update pode ser
atualizado automaticamente antes de voc aplicar outras atualizaes. recomendado que voc mantenha esta
opo sempre marcada.
Avisar antes de fazer o download das atualizaes e de instal-las no computador: Ao marcar esta opo, o
Windows ir avis-lo antes de fazer o download de qualquer atualizao. O Windows ir avis-lo novamente
quando as atualizaes estiverem prontas para serem instaladas.
Fazer o download das atualizaes autoamticamente e avisar quando elas estiverem prontas para serem instaladas:
Esta opo faz com que o Windows faa o download automaticamente das atualizaes disponveis. Aps ter
concludo o download, o Windows aviso o usurio para que este possa iniciar a instalao das atualizaes que
foram baixadas. Esta a opo recomendada se voc quer automatizar o processo de download, mas quer que
o Windows notifique voc antes de instalar as atualizaes, dando a voc a opo de instal-las ou no.
Fazer o download automtico das atualizaes e instal-las de acordo com a agenda especificada: Esta opo
permite que voc defina um agendamento para a instalao das atualizaes. O Winodwos far o download
automtico das atualizaes e ir isntal-las de acordo com o agendamento configurado.
Aps ter definido as configuraes desejadas, clique em OK para aplic-las. Muito bem, a guia Atualizaes automticas,
apenas define de que maneira as atualizaes sero baixadas e aplicadas. A questo agora como fazer com que o
cliente de atualizaes automticas baixe as atualizaes a partir do servidor SUS e no diretamente do site Windows
Update. Muito bem, existem duas maneiras de fazer isso: via GPO ou via Registry das estaes de trabalho. A seguir
mostro estas duas maneiras para configurar os clientes para utilizar o servidor SUS.
Configurando os clientes via GOP:
Voc pode utilizar o recurso de GPOs, descrito no Captulo 9, para configurar os clientes para que utilizem o servidor
SUS, ao invs de se conectar com o site Windows Update. Voc deve acessar o seguinte grupo de GPOs: Configuraes
do computador -> Modelos administrativos -> Componentes do Windows Windows Update, conforme ilustrado na
figura 14.69:
Figura 14.69 Opes de GPO relacionadas ao SUS.
Neste grupo esto disponveis as seguintes polices:
Configurar atualizaes automticas: Ao abrir esta police, sero exibidas as opes indicadas na Figura 14.70:
Figura 14.70 A police Configurar atualiaes automticas.
A police Configurar atualizaes automticas especifica se o computador ir receber atualizaes de segurana e
outros downloads importantes atravs do servio de atualizao automtica do Windows.
Essa configurao permite especificar a ativao das atualizaes automticas no computador. Ao marcar a opo
Ativado, voc deve selecionar uma das opes a seguir, na lista Configurar atualizao automtica (observe que estas
so exatamente as opes disponveis na guia Atualizaes automticas):
2 - Avisar antes de fazer o download das atualizaes e de instal-las no computador: Quando o Windows encontra
atualizaes que se aplicam ao computador, ele exibe um cone na rea de status com uma mensagem para fazer o
download das atualizaes. Clique no cone ou na mensagem a fim de selecionar as atualizaes cujo download voc
deseja fazer. Em seguida, o Windows far o download das atualizaes selecionadas em segundo plano. Quando o
download estiver concludo, o cone aparecer novamente na rea de status, avisando que as atualizaes j esto
disponveis para serem instaladas. Clique no cone ou na mensagem para selecionar as atualizaes que deseja instalar.
3 - (Configurao padro) Fazer o download das atualizaes automaticamente e avisar quando elas estiverem prontas
para serem instaladas: Com esta opo o Windows encontra atualizaes que se aplicam ao computador e faz o
download delas em segundo plano (o usurio no avisado ou interrompido durante esse processo). Quando o download
estiver concludo, o cone aparecer na rea de status, avisando que as atualizaes esto prontas para serem instaladas.
Clique no cone ou na mensagem para selecionar quais atualizaes deseja instalar.
4 - Fazer o download automtico das atualizaes e instal-las no agendamento especificado abaixo: Ao selecionar
esta opo, voc pode especificar o agendamento usando as demais opes disponveis nesta diretiva. Se nenhum
agendamento for especificado, o agendamento padro para todas as instalaes ser todo dia s 15 horas. Se for
necessrio reiniciar o computador para concluir a instalao, o Windows ir reinici-lo automaticamente. (Se um
usurio fizer logon no computador quando o Windows estiver pronto para reiniciar, o usurio ser notificado e ser
fornecida a opo para reiniciar depois.)
Para usar essa configurao, clique em Ativado e selecione uma das opes (2, 3, ou 4). Caso tenha selecionado a
opo 4, possvel configurar um agendamento recorrente (se no houver agendamento especificado, todas as
instalaes iro ocorrer todo dia s 15 horas).
Se o status estiver configurado como Ativado, o Windows reconhecer quando o computador estiver on-line e usar
sua conexo com a Internet para procurar por atualizaes que se apliquem ao computador no site Windows Update.
Se o status estiver configurado como Desativado, devero ser feitos o download e a instalao manual de qualquer
atualizao que esteja disponvel no site Windows Update em http://windowsupdate.microsoft.com.
Se o status estiver definido como No configurado, o uso das atualizaes automticas no ser especificado pelo
nvel da diretiva de grupo. Porm, um administrador ainda pode configurar as atualizaes automticas atravs d guia
Atualizaes Automticas, descrita anteriormente.
Especifique o local do servio de atualiao da Microsoft para a intranet: Ao abrir esta police, sero exibidas
as opes indicadas na Figura 14.71:
Figura 14.71 A police Especifique o local do servio de atualiao da Microsoft para a intranet.
Esta a police utilizada para especificar o servidor SUS que ser utilizado pelos clientes. Ou seja, nesta police que
voc informa o nome do servidor SUS a partir do qual os clientes iro copiar as atualizaes disponveis.
Essa configurao permite especificar um servidor na rede para funcionar como um servio de atualizao interno
servidor SUS. O cliente das atualizaes automticas procurar no servio atualizaes que se apliquem aos
Para usar essa configurao, necessrio configurar dois valores de nome de servidor: o servidor a partir do qual o
cliente das atualizaes automticas detecta e faz o download das atualizaes, e o servidor para o qual as estaes de
trabalho atualizadas carregam as estatsticas. possvel configurar os dois valores para o mesmo servidor.
Se o status desta police estiver configurado como Ativado, o cliente das atualizaes automticas se conecta ao
servidor SUS ao invs de se conectar com o site Windows Update, para procurar e fazer o download de atualizaes.
Ativar essa configurao significa que os usurios finais na organizao no precisam atravessar um firewall para
obter atualizaes, assim como permite testar atualizaes antes de implant-las.
Se o status estiver configurado como Desativado ou No configurado, e se as atualizaes automticas no forem
desativadas pelas diretivas ou preferncias do usurio, o cliente das atualizaes automticas ir se conectar diretamente
ao site Windows Update na Internet.
Reagendar instalaes agendadas de atualizaes automticas: Ao abrir esta po-
lice, sero exibidas as opes indicadas na Figura 14.72:
IMPORTANTE: Se a diretiva
Configurar atualizaes automticas
estiver desativada, essa diretiva no
ter efeito.
Figura 14.72 A police Reagendar instalaes agendadas de atualizaes automticas.
Esta police utilizada para especificar por quanto tempo as atualizaes automticas devem esperar, aps a inicializao
do sistema, para proceder com uma instalao agendada que tenha sido perdida anteriormente, isto , que no tenha
sido feita no horrio agendado anteriormente.
Se o status estiver definido como Ativado, uma instalao agendada que no ocorreu anteriormente ir ocorrer aps o
nmero especificado de minutos nesta police, depois da inicializao do computador.
Se o status estiver definido como Desativado ou No configurado, uma instalao agendada perdida ir ocorrer na
prxima instalao agendada.
Nenhuma reinicializao automtica para instalaes de atualizaes
automticas agendadas: Ao abrir esta police, sero exibidas as opes
indicadas na Figura 14.73:
IMPORTANTE: Esta diretiva se
aplica somente quando as
atualizaes automticas esto
configuradas para executar
instalaes agendadas de
atualizaes. Se a diretiva
Configurar atualizaes
automticas estiver desativada,
esta diretiva no tem efeito algum.
Figura 14.73 A police Nenhuma reinicializao automtica
para instalaes de atualizaes automticas agendadas.
Esta police utilizada para definir que, para a concluso de uma instalao agendada, as atualizaes automticas
aguardaro at que o computador seja reiniciado por qualquer usurio que tenha feito logon, em vez de fazer com que
o computador seja reiniciado automaticamente.
Se o status for definido como Ativado, as atualizaes automticas no reiniciaro um computador automaticamente
durante uma instalao agendada se um usurio tiver feito logon no computador. Em vez disso, as atualizaes
automticas notificaro o usurio de que necessrio reiniciar o computador para concluir a instalao.
Se esta police for configurada como Desativado ou No configurado, o cliente de
atualizaes automticas ir notificar o usuri que o computador ir reiniciar,
automaticamente, em cinco minutos, para que as atualizaes recm instaladas
possam ser aplicadas.
Opes da Registry relacionadas com o SUS:
Existem, basicamente, duas chaves da registry relacionadas com o SUS. Estas chaves
so teis em uma situao onde o cliente de atualizaes passa a no receber as
atualizaes, embora elas estejam disponveis no SUS. Nestas situaes, voc deve
acessar o seguinte caminho da Registry: HKEY_LOCAL_MACHINE\Software\
Polices\Microsoft\Windows\WindowsUpdate e verificar o valor das chaves descritas
a seguir:
WUServer: Esta chave deve conter a URL que aponta para o servidor
SUS, como por exemplo: http://SRV70-290
WUStatusServer: Esta chave deve conter a URL do mesmo servidor SUS
indicado na chave WUServer ou a URL de um servidor IIS, o qual
utilizado para gravao das estatsticas de sincronizao.
SubChave UseWUServer: Esta subchave deve sempre estar configurada
com o valor: 00000001.
IMPORTANTE: Com esta police
ativada, o cliente de atualizaes
automticas, no conseguir detectar
novas atualizaes at que o
computador tenha sido reinicializado.
IMPORTANTE: Esta police
somente se aplica quando o cliente
de atualizaes automticas estiver
configurado para fazer atualizaes
agendadas. Se a police Configurar
desabilitadas, esta police no tera
efeito prtico.
Concluses finais e uma proposta de Plano de Estudos.
Neste livro apresentei todos os tpicos que fazem parte do programa oficial para o Exame 70-290. Alm dos conceitos
tericos, associados a cada tpico, apresentei tambm exemplos prticos, detalhados passo-a-passo, para melhor fixao
dos contedos.
O candidato pode e deve complementar os seus estudos, pesquisando na Ajuda do Windows e na Internet, mais
detalhes sobre algum tpico que no tenha sido perfeitamente compreendido. Eu classificaria o Exame 70-290 com
um grau de dificuldade de 3,8, em uma escala que vai entre 1 e 5. No dos exames mais difceis, mas exige um bom
conhecimento do candidato.
Sugesto de plano de estudos:
Vamos supor que voc disponha de trs semanas para se preparar para o Exame 70-290. Voc precisa passar neste
exame para garantir o seu emprego. Voc trabalha durante o dia. Para isso voc est disposto a estudar 4 horas todas as
noites e oito horas nos finais de semana. A pergunta : Voc tem tempo suficiente para se preparar para o exame?
A resposta um sonoro SIM , voc tem tempo at de sobra.
Assim, voc tem um total de 108 horas para estudar: 15 dias a 4 horas por dia, mais 6 dias (trs finais de semana) a 8
horas por dia. A questo a seguinte: Com o tempo disponvel possvel passar neste exame? A resposta um
sonoro sim . Eu at diria que voc tem tempo de sobra. Sugiro o seguinte programa de estudo:
Seguindo este plano, voc candidato ter grandes chances de ser aprovado. Volto a repetir: Eu estou at exagerando no
tempo necessrio e na quantidade de materiais a serem utilizados. Seguindo este plano de estudos voc ter excelentes
chances de ser aprovado.
um exame difcil? No muito, desde que voc esteja bem preparado. perfeitamente possvel de ser aprovado. Com
uma boa dose de dedicao e estudo voc conseguir ser aprovado, no tenha dvidas disso.
Agradeo imensamente por ter adquirido e estudado este livro. meu mais sincero desejo que voc seja aprovado em
mais este exame. No deixe de enviar suas sugestes e crticas para o meu email: webmaster@juliobattisti.com.br.
Consulte periodicamente meu site www.juliobattisti.com.br, para novos artigos, dicas, tutoriais, simulados e um
frum de discusso exclusivo sobre as Certificaes da Microsoft. Vale a pena conferir.
Material utilizado Tempo de estudo
Livros: Sugiro a utilizao de dois livros: Este Livro que voc est lendo 60 horas
O Training Kit Oficial Para o Exame, em Ingls
Resumos: Disponveis nos sites: 10 horas
\t _blank www.cramsession.com
\t _blank www.examnotes.net
Simulado da Transcender: Fazer e revisar os resultados. 20 horas
\t _blank www.transcender.com
Reviso do livro e dos resumos. 10 horas
Reviso final : Principalmente do Transcender e 08 horas
dos resumos, para ser feita na vspera do exame.
Total: 108 horas
C A P T U L O
15
Simulado para o Exame 70-
290 60 Questes
Neste captulo eu apresento um simulado com 60 questes. Em cada questo
apresento, alm da resposta, comentrios sobre a questo, sempre salientando os
pontos principais relacionados e cobrados na referida questo. Peo que o amigo
leitor estude com muita ateno o contedo que foi apresentado neste livro, bem
como o resumo do Captulo 14, este simulado e os links indicados ao longo do livro.
Outra excelente fonte de informaes e de estudos para o exame 70-290 o simulado
Transcender (www.transcender.com). Este simulado tem dois pontos, digamos
assim, que podem representar problemas: caro (cerca de 150 dlares) e somente
est disponvel em Ingls. Mas para o amigo leitor que domina a leitura do Ingls
tcnico, o Transcender uma excelente opo. So trs simulados com 45 questes
cada um. Alm das questes, voc encontra explicaes detalhadas sobre cada
questo. Voc tambm tem a opo de imprimir os simulados com as respostas e
comentrios de cada questo. Ao imprimir os trs simulados sero mais de 200
pginas de excelente contedo.
Simulado para o Exame 70-290 60 questes
respostas comentrios:
Questo 01: Voc o Administrador da rede da empresa, a qual baseada no Win-
dows Server 2003 Server e no Active Directory. A rede foi a pouco tempo migrada
para o Windows Server 2003 e formada por um nico domnio: abc.com. Voc
ainda no implementou uma estrutura de Unidades Organizacionais. Com isso voc
teve que incluir oito contas de usurios como membros do grupo Admins. do Domnio,
para que estes usurios possam administrar os servidores, usurios e grupos de suas
localidades. Um dos administradores est excluindo, indevidamente, contas de
usurios de outras localidades. Como voc pode descobrir qual dos administradores
est fazendo estas excluses indevidas?
a) Abra o console Usurios e Computadores do Active Directory e pesquise por
registros de excluses de conta em todo o domnio.
b) Abra o console Usurios e Computadores do Active Directory e pesquise por
registros de uso do direito de excluso de contas.
c) Faa uma pesquisa no log de Segurana de todos os controladores de domnios
do domnio abc.com, pesquisando por eventos de gerenciamento de contas
de usurios.
d) Faa uma pesquisa no log de Segurana de todos os controladores de domnios
do domnio abc.com, pesquisando por eventos de acesso s contas de usurios.
e) Faa uma pesquisa no log do Sistema de todos os controladores de domnios
do domnio abc.com, pesquisando por eventos de gerenciamento de contas
de usurios.
Resposta certa: c
Comentrios: Esta questo descreve um dos problemas que, sem sombra de dvidas,
mais irritava os administradores de redes baseadas no Windows 2000 Server e que,
para minha surpresa, persiste com o Windows Server 2003: No existe uma consolidao, em uma base de dados
centralizada, dos logs de evento de todos os servidores de um domnio. Ou seja, o log individual, separado em cada
servidor (DC ou member server) do domnio. Esta questo ilustra bem este problema. Neste caso, o administrador ter
que pesquisar o log de Segurana em cada DC do domnio, para identificar eventos de gerenciamento de contas de
usurios. Um dos tipos de eventos de gerenciamento de contas de usurios a excluso de usurios. Nestes eventos
fica registrada, dentre outras, informaes do nome da conta excluda, o nome do usurio que excluiu a conta e a data
e hora da excluso. Mas o problema , digamos assim, mais problemtico, porque o usurio que excluiu a conta, tem
permisso de Administrador (pertence ao grupo Admins. do Domnio) e, com isso, poderia tambm limpar o log de
Segurana em todos os DCs. Ou seja, poderia cometer o crime e destruir as provas.
Questo 02: Voc o administrador de uma rede baseada no Windows Server 2003 Server e no Active Directory. A
rede formada por um nico domnio e todos os servidores esto baseados no Windows Server 2003. Para descentralizar
a administrao dos recursos do domnio, tais como contas de usurios, grupos e computadores, voc criou uma
estrutura de Unidades Organizacionais e usou o Assistente para delegao de Tarefas, para delegar tarefas, em nvel de
Unidade Organizacional. Voc usou o Assistente de Delegao para delegar tarefas tais como gerenciamento de contas
de usurios e adio de novas contas de computadores ao domnio. Como administrador do domnio, voc gostaria de
ter gravado nos Logs do sistema, as aes executadas pelos usurios que tiveram permisses delegadas em uma ou
mais OUs do domnio. Foram delegadas permisses somente para atuar sobre objetos do Active Directory, tais como
contas de usurios, computadores e grupos. Quais os passos para implementar a gravao de eventos descrita?
a) Crie um grupo chamado Gerentes de OUs.
Adicione ao grupo Gerentes de OUs, as contas dos usurios que tiveram tarefas delegadas.
Crie uma nova GPO e associe-a ao container Domain Controllers.
Configure as permisses desta GPO, de tal maneira que seja aplicada apenas ao grupo Gerentes de OUs.
Configure esta GPO para auditar o acesso aos servios do Active Directory e ao gerenciamento de contas.
b) Crie um grupo chamado Gerentes de OUs.
Crie uma nova GPO e associe-a ao domnio abc.com
c) Crie uma nova GPO e associe-a ao container Domain Controllers.
d) Crie um grupo chamado Gerentes de OUs.
Configure as permisses da GPO padro do domnio, de tal maneira que seja aplicada apenas ao grupo
Gerentes de OUs.
Configure a GPO padro do domnio para auditar o acesso aos servios do Active Directory e ao gerenciamento
de contas.
e) Configure as permisses da GPO padro do domnio, de tal maneira que seja aplicada apenas ao grupo Gerentes
de OUs.
Configure a GPO padro do domnio para auditar o acesso aos servios do Active Directory e ao gerenciamento
de contas.
Resposta certa: a
Comentrios: Esta questo testa uma srie de conhecimentos sobre GPO, auditoria e grupos. Primeiro recomendado
que voc crie um grupo e inclua, neste grupo, as contas que receberam permisses nas OUs, via delegao de tarefas.
Em seguida voc cria uma nova GPO e configura as permisses de segurana da GPO, de tal maneira que a GPO
somente seja aplicada ao grupo criado no primeiro passo. A prxima etapa associara a GPO ao container Domain
Controllers. Isso porque foram delegadas tarefas relativas a objetos do Active Directory, ou seja, todas as aes ocorrero
nos DCs dos domnios. Por isso que a GPO ser associada ao container Domain Controllers. O passo final configurar
essa GPO para fazer a auditoria das aes que foram delegadas para os usurios. <body text>Questo 03: Quais as
condies necessrias para que um usurio possa fazer o logon em um computador com o Windows XP Professional,
o qual faz parte de um domnio baseado no Windows Server 2003 e no Active Directory:
I. O computador deve ter uma conta no Active Directory.
II. A conta de computador deve estar habilitada..
III. O usurio deve ter uma conta de usurio no Active Directory.
IV. A conta do usurio no pode estar bloqueada.
V. A conta do usurio no pode estar desativada.
Esto corretas as seguintes afirmativas:
a) I, II
b) I, II e III
c) I, II e IV
d) II, III, IV e V
e) I, II, III, IV e V
Resposta certa: e
Comentrios: Todas estas condies tem que ser atendidas, para que o usurio possa fazer o logon em um domnio do
Active Directory. Primeiro o computador que est sendo utilizado deve ter uma conta no Active Directory e esta conta
no pode estar desabilitada. Contas desabilitadas aparecem marcadas com um x vermelho, no console Usurios e
Computadores do Active Directory. Voc pode habilitar uma conta que foi desabilitada, clicando com o boto direito
do mouse na respectiva conta e, no menu de opes que exibido, clicar em Ativar conta. Alm da conta de computador,
o usurio que est fazendo o logon deve ter uma conta de usurio vlida no Active Directory e esta conta no pode
estar bloqueada e nem desativada. Uma conta bloqueada, normalmente, quando o usurio faz um determinado
nmero de tentativas de logon sem sucesso, dentro de um determinado intervalo. Como por exemplo, trs logons sem
sucesso, dentro de uma hora. O administrador pode desbloquear uma conta, acessando as propriedades da conta,
clicando na guia Conta e desmarcando a opo A conta est bloqueada.
Questo 04: Voc o Administrador da rede da sua empresa. A rede baseada em servidores com o Windows Server
2003 Server instalado e com o Active Directory. A rede possui um nico domnio: abc.com.br. O domnios est no
modo Windows 2000 Nativo. Voc criou um grupo de escopo Global, do tipo Distribuio, chamada Gerentes e
adicionou todos os gerentes, como membros deste grupo. Voc deseja utilizar este grupo, para atribuir permisses de
acesso ao grupo Gerentes, nos compartilhamentos \\srv01\docs e \\srv01\memos, as quais devem ter acesso restrito
aos gerentes. O que voc deve fazer para limitar o acesso aos compartilhamentos, somente ao grupo Gerentes.
a) Altera o modo do domnio para Windows Server 2003
b) Altera o modo do domnio para Windows Server 2003
Atribua as permisses de compartilhamento e NTFS,somente para o grupo Gerentes.
c) Exclua o grupo Gerentes.
Crie-o novamente, como sendo do tipo Segurana.
Configure as permisses NTFS e de Compartilhamento, de tal maneira que somente o grupo Gerentes tenha
acesso aos compartilhamentos docs e memos.
d) Exclua o grupo Gerentes.
Crie-o novamente, como sendo do tipo Segurana.
Adicione todos os gerentes como membros do grupo Gerentes.
e) Altere o tipo do grupo Gerentes de Distribuio para Segurana.
Resposta certa: e
Comentrios: Esta questo bastante interessante, pois ela tenta distrair o candidato, em torno de pontos que no
so relevantes para a questo. Nesta questo existe um nico ponto que deve ser focado: GRUPOS DO TIPO
DISTRIBUIO NO PODEM SER UTILIZADOS PARA RECEBER PERMISSES DE COMPARTILHAMENTO
E NTFS. Portanto a soluo fazer com que o grupo Gerentes seja do tipo Segurana.Aqui pode surgir uma outra
dvida: Para alterar o tipo de um grupo preciso exclu-lo e cri-lo novamente, ou basta acessar as propriedades do
grupo? A resposta que voc pode alterar o tipo de um grupo, sem ter que exclu-lo e cri-lo novamente. Para isso
basta acessar a guia Geral, das propriedades do grupo e clicar no tipo desejado, para alterar o tipo do grupo. Com isso
ficamos com a alternativa E, ou seja, voc deve alterar o tipo do grupo e depois configurar as permisses de tal
maneira que somente os membros do grupo Gerentes, tenham acesso aos compartilhamentos docs e memos.
rede formada por um nico domnio juliobattisti.com.br. Neste domnio voc o responsvel por administrar uma
impressora Laser, de alta velocidade, a qual est compartilhada para os usurios do setor de projetos. Um usurio entra
em contato, informando que um trabalho que ele enviou as 8:30 para a impressora, ainda no foi impresso e j so
11:30. O trabalho tem apenas duas pginas e no poderia demorar tanto tempo para ser impresso. Voc verifica a fila
de impresso da impressora e descobre que 23 trabalhos de impresso que foram enviados esto na fila e no foram
impressos. Como primeira opo voc tenta excluir os trabalhos da fila, mas o Windows no consegue eliminar os
trabalhos da fila. O que voc deve fazer para que os usurios possam imprimir normalmente?
a) Reinicialize o servidor onde a impressora est compartilhada.
Aps a reinicializao os trabalhos voltaro a ser impressos, normalmente.
b) Reinicialize o servidor onde a impressora est compartilhada.
Faa o logon como Administrador e exclua todos os trabalhos da fila de impresso.
Pea aos usurios que enviem os trabalhos novamente.
c) Use o comando net stop spooler para parar o servio de impresso.
Use o comando net start spooler para reiniciar o servio de impresso.
d) Desligue a impressora.
Exclua os documentos da fila de impresso.
e) Acesse as propriedades da Impressora e altere o horrio de disponibilidade, de tal maneira que os trabalhos da fila
de impresso possam ser impressos.
Resposta certa: c
Comentrios: Existe um ponto que a chave para esta questo, que a seguinte afirmao, contida no enunciado da
questo: Como primeira opo voc tenta excluir os trabalhos da fila, mas o Windows no consegue eliminar os
trabalhos da fila. Esta afirmao o indicativo claro, de que o servio de impresso (Spooler) est com problema.
Este servio em determinadas situaes mostra-se instvel e deixa de funcionar corretamente. O maior indcio de
que o servio Spooler est com problemas quando voc tenta excluir servios da fila de impresso e o Windows
mostra o status Excluindo mas no vai adiante e no consegue excluir os trabalhos da fila de impresso.Nestas
situaes s resta um remdio. Parar o servio de impresso usando o comando net stop spooler. Reiniciar o servio
usando o comando net start spooler. Em algumas situaes, aps reiniciar o servio Spooler,os trabalhos ainda
estaro na fila de impresso, porm agora voc conseguir exclu-los, sem problemas. Outra situao que pode
acontecer voc mandar imprimir um documento e o Windows emitir uma mensagem de erro, dizendo que antes de
imprimir voc deve ter uma impressora configurada. Este erro causado tambm pelo servio Spooler, o qual em
algumas situaes para por conta prpria. Ou seja, estando o servio Spooler parado como se no existisse
nenhuma impressora disponvel. Nestas situaes, basta executar o comando net start spooler, para reinicializar o
servio de impresso. Com isso ficamos com a letra C.
Questo 06: Voc o Administrador de uma rede com servidores baseados no Windows Server 2003 Server e no
Active Directory. Os clientes so baseados no Windows 2000 Professional e alguns clientes no Windows XP Profes-
sional. A rede formada por um nico domnio: juliobattisti.com.br. Como parte da poltica de segurana da empresa,
voc quer registrar nos logs de auditoria, todas as tentativas de logon no domnio, quer seja logon com sucesso, quer
seja logon com falha. Qual a maneira mais fcil de implementar esta exigncia?
a) Altere as diretivas de segurana local em cada Controlador de Domnio.
Habilite a diretiva: Auditoria de Eventos de Logon, tanto para Sucesso quanto para Falha.
b) Altere as diretivas de segurana local em cada Controlador de Domnio.
Habilite a diretiva: Eventos de Logon de Conta de Auditoria, tanto para Sucesso quanto para Falha.
(a traduo no minha, a diretiva original em Ingls : Audit account logon events. A traduo um
verdadeiro desastre)
c) Altere GPO padro do domnio.
Habilite a diretiva: Eventos de Logon de Conta de Auditoria, tanto para Sucesso quanto para Falha.
(a traduo no minha, a diretiva original em Ingls : Audit account logon events. A traduo um
verdadeiro desastre)
d) Altere GPO padro do domnio.
e) Crie uma nova GPO e associe com a OU Domain Controllers.
Resposta certa: c
Comentrios: O primeiro ponto importante, nesta questo a seguinte parte do enunciado: Qual a maneira mais
fcil de implementar esta exigncia? A maneira mais fcil alterar a GPO padro do domnio, com isso as
configuraes sero aplicadas em todo o domnio. Isso j descarta as alternativas a e b. O prximo ponto que o
candidato deve conhecer que a diretiva Auditoria de Eventos de Logon, utilizada para auditar o logon local,
usando contas locais nos computadores do domnio. Para auditar as tentativas de logon no domnio, deve ser utilizada
a diretiva, Audit account logon events, maravilhosamente traduzida como: Eventos de Logon de Conta de Auditoria.
Com isso ficamos com a letra C.
Active Directory. A rede formada por um nico domnio: abc.com. Os clientes so baseados no Windows 2000
Professional e alguns clientes no Windows XP Professional. Voc gostaria de restringir o acesso as configuraes de
rede, tais como as configuraes do protocolo TCP/IP para os usurios da rede. Estas restries sero impostas via
GPO. Voc criou uma nova GPO chamada SemAcessoRede, na qual voc fez as configuraes para desabilitar o
acesso as propriedades de configurao da interface de rede local. A GPO foi associada ao domnio abc.com. Pergunta-
se: a soluo proposta atende os requisitos de bloquear o aceso dos usurios as propriedades de configurao da
interface de rede e apresenta algum inconveniente?
a) A soluo proposta atende os requisitos e no apresenta nenhum inconveniente.
b) A soluo proposta no apresenta nenhum inconveniente porm no atende aos requisitos.
c) A soluo proposta no apresenta nenhum inconveniente porm atende apenas parcialmente aos requisitos, uma
vez que atravs da linha de comando, os usurios conseguiro alterar as propriedades da interface de rede.
d) A soluo proposta atende os requisitos mas apresenta o inconveniente de bloquear o acesso inclusive dos
administradores, s propriedades de configurao da rede.
e) A soluo proposta atende os requisitos mas apresenta o inconveniente de bloquear o acesso inclusive dos
administradores, s propriedades de configurao da rede, fazendo com que estes somente possam alterar estas
propriedades atravs de um Prompt de comando, usando o comando ipconfig /all.
Resposta certa: d
Comentrios: Ao aplicar uma GPO que nega o acesso s propriedades de configurao da interface de rede, esta GPO
ser aplicada a todos os usurios do domnio, inclusive aos membros do grupo Admins. do Domnio (Domain Admins).
O inconveniente que os membros do grupo Admins. de Domnio (Domain Admins) devem ter acesso a estas
propriedades, para poder configurar as estaes de trabalho da rede e prestar suporte aos usurios com problemas. Na
prtica, inclusive o grupo de tcnicos de suporte tambm deve ter acesso a estas propriedades. Por isso ficamos com
a alternativa d, ou seja, a GPO como proposta, atende aos requisitos, mas com o inconveniente (ou efeito colateral
como prefiram) de bloquear o acesso tambm para os membros dos grupos que precisam acesso a estas propriedades,
tais como Administradores e Tcnicos de suporte. A boa notcia que tem soluo para este problema. Veja a questo
08 para a descrio da soluo para este inconveniente.
Active Directory. A rede formada por um nico domnio: abc.com. Os clientes so baseados no Windows Server
2003 Professional e alguns clientes no Windows XP Professional. Voc gostaria de restringir o acesso as configuraes
de rede, tais como as configuraes do protocolo TCP/IP para os usurios da rede. Estas restries sero impostas via
GPO. Voc criou uma nova GPO chamada SemAcessoRede, na qual voc fez as configuraes para desabilitar o
acesso as propriedades de configurao da interface de rede local. A GPO foi associada ao domnio abc.com. Porm
voc quer que o acesso s propriedades de configurao da interface de rede sejam liberadas para os membros dos
grupos Domain Admins. (Admins. do Domnio) e Suporte Tcnico. Quais os passos para que as restries sejam
aplicadas a todos os usurios, com exceo dos membros dos grupos Domain Admins e Suporte Tcnico?
a) Crie um grupo chamado Usurios da rede ou outro nome que preferir.
Inclua as contas de todos os usurios neste grupo, menos as contas dos administradores e dos tcnicos.
Na GPO SemAcessoRede, garante a permisso Apply Group Policy (Aplicar diretiva de grupo), para o grupo
Usurios da rede.
Na GPO SemAcessoRede, marque a opo Deny (Negar), para a permisso Apply Group Policy (Aplicar diretiva
de grupo), para os grupos Domain Admins e Suporte Tcnico.
b) Crie um grupo chamado Usurios da rede ou outro nome que preferir.
Usurios da rede.
c) Crie um grupo chamado Usurios da rede ou outro nome que preferir.
Usurios da rede.
Na GPO SemAcessoRede, marque a opo Deny (Negar), para o grupo Everyone (Todos).
d) Crie um grupo chamado Usurios da rede ou outro nome que preferir.
Na GPO SemAcessoRede, marque a opo Deny (Negar), para a permisso Apply Group Policy (Aplicar diretiva
de grupo), para os grupos Domain Admins e Suporte Tcnico.
e) No possvel implementar a soluo proposta.
Resposta certa: a
Comentrios: Continuando a discusso da questo 07, a soluo para o inconveniente descrito na questo 07, que o
que pede o enunciado da questo 08, est descrito na alternativa a. Primeiro cria-se um grupo com todos os usurios
para os quais deve-se aplicar a permisso e atribui-se a permisso Apply Group Policy (Aplicar diretiva de grupo) a
este grupo. Com isso, as configuraes da GPO sero aplicadas a este grupo, o que na prtica ir bloquear o acesso as
configuraes da rede para este grupo. O prximo passo fazer com que as configuraes da GPO no sejam aplicadas
aos grupos Domain Admins e Suporte Tcnico. Para tal basta negar a permisso Apply Group Policy (Aplicar diretiva
de grupo) para estes grupos. O resultado prtico que os grupos Domain Admins e Suporte Tcnico no tero o
acesso s propriedades da rede, bloqueado, ou seja, exatamente o que propem o enunciado da questo.
Questo 09: Voc o Administrador de uma rede com servidores baseados no Windows Server 2003 e no Active
Directory. O servidor SRVSUS01 ser utilizado com servidor SUS, o qual ser utilizado para distribuir aplicaes
crticas para as estaes cliente da rede. Inicialmente voc instalou e configurou o IIS neste servidor. O prximo passo
instalar o SUS. Voc instalou e configurou o SUS para fazer a distribuio de atualizaes para os clientes da rede.
Agora voc precisa fazer o backup das configuraes do SUS, para que estas possam ser rapidamente restauradas, em
caso de falha. Quais os passos para fazer o backup das informaes de configurao do SUS?
a) Faa um backup do Estado do Sistema.
b) Faa um backup do Estado do Sistema.
Faa um backup da pasta C:\InetPub
c) Faa um backup do Metabase do IIS (IIS Metabase)
Em seguida use o Backup de Utilitrio para fazer um backup do arquivo de backup da Metabase e das demais
configuraes do IIS.
d) Faa um backup do Metabase do IIS (IIS Metabase)
e) Use o utilitrio de Backup, para fazer um backup completo do IIS.
Resposta certa: c
Comentrios: Esta questo interessante e exige que o candidato lembre de alguns pontos importantes: Primeiro voc
fazer um backup da Metabase, a qual contm uma srie de configuraes do IIS. O SUS depende do IIS, por isso voc
deve fazer, alm do backup da Metabase, um backup das configuraes do IIS, tal como o Site Padro e outras. Feito
o backup da Metabase em um arquivo, voc pode utilizar o utilitrio de backup, para fazer um backup deste arquivo.
Com isso ficamos com a alternativa C, ou seja, primeiro uso o console de Administrao do IIS para fazer um backup
da Metabase e em seguida, uso o utilitrio de backup do Windows, para fazer o backup deste arquivo e das demais
configuraes do IIS.
Questo 10: Considere as afirmaes a seguir, em relao aos tipos de Backup do Windows Server 2003:
I. Backup Normal: Com este tipo de backup todos os arquivos so copiados, toda vez que o backup for executado,
backup, ou seja, o atributo de arquivamento desmarcado
II. Backup Cpia: Backup que copia todos os arquivos selecionados, mas no marca cada arquivo como tendo sofrido
backup (em outras palavras, o atributo de arquivamento no desmarcado). idntico ao backup Normal, com a
diferena de que os arquivos no so marcados como tendo sido copiados.
III. Cada arquivo tem um atributo que pode ser marcado ou desmarcado. Este atributo serve para informar ao Windows
Server 2003 se o arquivo foi ou no modificado desde o ltimo backup normal
IV. A principal vantagem do backup normal a facilidade para fazer a restaurao dos arquivos, quando
necessrio. Com o backup do tipo normal, para restaurar os dados, voc precisa apenas do ltimo backup
normal que foi criado.
V. A desvantagem do backup normal o tamanho do backup e o tempo para execuo Em cada execuo do backup,
todos os arquivos e pastas sero copiados, independentemente de terem sido alterados ou no.
So verdadeiras as seguintes afirmaes:
a) I, II, III
b) I, II, IV
c) I, II, III, IV
d) I, III, IV, V
e) I, II, III, IV e V
Resposta certa: e
Comentrios: Esta questo testa os conhecimentos do candidato em relao aos tipos de Backup disponveis no Win-
dows Server 2003. Todas as afirmaes esto corretas e descrevem as caractersticas dos backups do tipo Normal e
Cpia. muito importante que voc conhea bem os diferentes tipos de Backup disponveis no Windows Server 2003
e as diferentes estratgias de Backup/Restore. Estes so pontos muito importantes para o exame.
Questo 11: Considere as afirmaes a seguir, em relao aos tipos de Backup do Windows Server 2003:
I. Geralmente, o backup normal executado quando voc cria um conjunto de backup pela primeira vez. Nos
backup subseqentes comum a utilizao de outros tipos de backup, tais como o tipo Incremental ou Diferencial.
II. O Backup do tipo cpia til caso voc queira fazer backup de arquivos entre os backups normal e incremental,
pois ela no afeta essas outras operaes de backup ou quando voc precisa fazer uma cpia extra dos dados para
enviar para um filial da empresa ou para manter a cpia armazenada em um local seguro.
III. Backup Incremental: Este tipo de backup copia somente os arquivos criados ou alterados desde o ltimo backup
normal ou desde o ltimo backup incremental. Os arquivos copiados para o backup so marcados (ou seja, o
atributo de arquivamento desmarcado).
IV. Se voc utilizar uma combinao de backups normais e incrementais para restaurar os seus dados, ser preciso ter
o ltimo backup normal e todos os conjuntos de backups incrementais feitos aps este backup normal e restaur-
los na seqncia correta.
V. A grande vantagem do backup incremental que ele reduz o tempo necessrio para a execuo do backup, pois
somente feita a cpia dos arquivos que foram criados ou modificados desde o ltimo backup normal ou
incremental. A grande desvantagem que para fazer a restaurao necessrio o ltimo backup normal e todos os
backups incrementais subseqentes.
VI. Os backups incrementais devem ser restaurados na seqncia cronolgica em que foram criados. Alm disso, se
um dos backups incrementais apresentar problemas, no ser possvel restaurar os dados at o ponto do ltimo
backup incremental.
So verdadeiras as seguintes afirmaes:
a) I, II, III, IV
b) I, II, IV
c) I, II, III, IV, VI
d) I, III, IV, V
e) I, II, III, IV, V e VI
Resposta certa: e
Comentrios: Esta questo testa os conhecimentos do candidato em relao aos tipos de Backup disponveis no Win-
dows Server 2003. Todas as afirmaes esto corretas e descrevem as caractersticas dos backups do tipo Normal e
todos os detalhes sobre o Backup do tipo Incremental. muito importante que voc conhea bem os diferentes tipos
de Backup disponveis no Windows Server 2003 e as diferentes estratgias de Backup/Restore. Estes so pontos muito
importantes para o exame.
Questo 12: Voc o Administrador de uma rede formada por um nico domnio: abc.com. Todos os servidores so
baseados no Windows Server 2003. O servidor SRVDC01 um controlador de domnio. Voc o Administrador
responsvel por este servidor. Voc est planejando uma poltica de Backup para o servidor SRVDC01. O Backup
deve incluir cpias de segurana da Registry, dos arquivos de inicializao, das informaes do servidor de Certificados
e informaes sobre o registro das classes COM+. Qual opo de backup voc deve utilizar?
a) Backup da pasta %SystemRoot%
b) Backup Normal do C:
c) Backup de Cpia do C:
d) Backup do Estado do Sistema (System State)
e) Backup da pasta %Windir%
Resposta certa: d
Comentrios: Para fazer o Backup das informaes citadas - Registry, arquivos de inicializao, informaes do
servidor de Certificados e Registro das classes COM+, deve ser feito um backup do Estado do Sistema. O Backup do
Estado do Sistema (System State), inclui as seguintes informaes (informaes e dados que so includos neste tipo
de Backup):
Registro
COM+ Banco de dados de registro de classe
Arquivos de inicializao, incluindo os arquivos de sistema
Banco de dados Servios de certificados
Servio de diretrio do Active Directory
Diretrio SYSVOL
Informaes do servio de cluster
O Backup se refere a esses componentes de sistema como os dados do estado do sistema. Para o Windows 2000
Professional, os dados do estado do sistema incluem somente o registro, o COM+ Banco de dados de registro de classe
e os arquivos de inicializao. Para os sistemas operacionais do Windows 2000 Server, os dados do estado do sistema
incluem o registro, o COM+, Banco de dados de registro de classe, os arquivos de inicializao e o banco de dados
Servios de certificados (caso o servidor seja um servidor de certificados - Certificate Services). Se o servidor for um
controlador de domnio, o diretrio SYSVOL e o Active Directory tambm sero includos nos dados do estado do
sistema. Alm disso, se voc estiver executando o domain name service (DNS, sistema de nomes de domnios) em um
controlador de domnio, a parte do Active Directory dos dados do estado do sistema tambm ir conter todas as
informaes da rea do DNS. Se o servidor estiver executando o servio de cluster, os dados do estado do sistema
tambm iro incluir quaisquer pontos de verificao do registro de recurso e o log de recuperao do recurso de
quorum que contm as informaes mais recentes do banco de dados de cluster.
Quando voc escolhe fazer backup ou restaurar os dados do estado do sistema, todos os dados do estado do sistema
relevantes ao computador so restaurados ou colocados em backup. Voc no pode escolher fazer backup ou restaurar
componentes individuais dos dados do estado do sistema. Isso devido s dependncias entre os componentes do
estado do sistema. Porm, voc pode restaurar os dados do estado do sistema em um local alternativo. Se voc fizer
isso, somente os arquivos da Registry, os arquivos de diretrio SYSVOL, os arquivos de informaes do banco de
dados do agrupamento e os arquivos de inicializao do sistema sero restaurados no local alternativo. O banco de
dados de servios de diretrio do Active Directory, os bancos de dados Servios de certificados e o COM+ Banco de
dados de registro de classe no sero restaurados se voc designar um local alternativo ao restaurar os dados do estado
do sistema.
Alm disso, se voc possuir mais de um controlador de domnio na sua organizao e o servio de diretrio do Active
Directory for replicado para qualquer um desses outros servidores, voc talvez tenha que restaurar com autorizao
quaisquer dados do Active Directory que deseje restaurar. Para fazer isso, voc precisa executar o utilitrio Ntdsutil
aps ter restaurado os dados do estado do sistema mas antes de reiniciar o servidor na rede. O utilitrio Ntdsutil
permite a voc marcar objetos do Active Directory para restaurao de autorizao. Isso ir assegurar que quaisquer
dados distribudos ou replicados que voc restaurar sejam replicados corretamente ou distribudos na sua organizao.
Por exemplo, se voc inadvertidamente excluir ou modificar objetos armazenados no servio de diretrio do Active
Directory e esses objetos forem replicados ou distribudos para outros servidores, voc precisar restaurar a autorizao
desses objetos para que sejam replicados ou distribudos a outros servidores. Se voc no restaurar a autorizao
desses objetos, eles nunca sero replicados ou distribudos aos seus outros servidores pois iro parecer serem mais
antigos do que os objetos atualmente nos seus outros servidores. Usar o utilitrio Ntdsutil para marcar objetos para
restaurao de autorizao assegura que os dados que voc deseja restaurar sero replicados ou distribudos na sua
organizao. Por outro lado, se o seu disco de sistema falhou ou o banco de dados do Active Directory foi corrompido,
voc pode simplesmente restaurar os dados sem autorizao sem usar o utilitrio Ntdsutil.
O utilitrio de linha de comando Ntdsutil pode ser executado a partir do prompt de comando. Tambm possvel obter
ajuda para o utilitrio Ntdsutil no prompt de comando digitando ntdsutil /?.
Observaes:
Voc deve ter permisses ou direitos de usurio especficos para fazer o backup de arquivos e pastas.
Para restaurar os dados do estado do sistema em um controlador de domnio, voc deve primeiro iniciar o
computador no modo de restaurao de servios de diretrio. Isso ir permitir a voc restaurar o diretrio
SYSVOL e o Active Directory.
Voc s pode fazer o backup e restaurar os dados do estado do sistema em um computador local. Voc no
pode fazer o backup e restaurar os dados do estado do sistema em um computador remoto.
Embora voc no possa alterar quais os componentes do estado do sistema dos quais foi feito backup, pode
fazer backup de todos os arquivos de sistema protegidos com os dados do estado do sistema definindo as
opes de backup avanadas.
Active Directory. Para auxiliar na administrao do ambiente, voc est utilizando o recurso de Assistncia Remota.
Voc gostaria de utilizar este recurso, mesmo quando estiver acessando a rede da empresa a partir de casa, atravs de
uma conexo via Internet. Toda conexo da rede da Empresa para a Internet e vice-versa feita atravs de um Firewall.
Para que voc possa utilizar o recurso de Administrao remota, atravs do Firewall, o que deve ser feito?
a) A porta 3389 deve ser habilitada no Firewall
b) A porta 443 deve ser habilitada no Firewall
c) A porta 80 deve ser habilitada no Firewall
d) O recurso de NAT dever ser desabilitado.
e) O recurso de VPN dever ser desabilitado.
Resposta certa: a
Comentrios: Como usar a assistncia remota atravs de um firewall:
A assistncia remota usa o protocolo de rea de trabalho remota (RDP - Remot Desktop Protocol) para estabelecer
uma conexo entre um usurio que est solicitando ajuda e um assistente que est oferecendo a ajuda. O RDP usa a
porta TCP 3389 para essa conexo. Para permitir que os usurios de uma organizao solicitem ajuda fora da organizao
usando a assistncia remota, a porta 3389 dever estar aberta no firewall. Para proibir os usurios de solicitarem ajuda
fora da organizao, essa porta dever estar fechada no firewall.
Se fechar a porta 3389, voc tambm bloquear todos os servios de terminal e de
rea de trabalho remota. Se desejar permitir esses servios, mas limitar as
solicitaes de assistncia remota, use o recurso de GPOs, para configurar as
diretivas relacionadas a assistncia remoto e ao terminal services. Se a porta estiver
aberta somente para trfego de sada, um usurio poder solicitar assistncia remota
usando o Windows Messenger.
Com isso ficamos com a alternativa a, ou seja, a porta 3389 deve ser habilitada. A
porta 443 utilizada pelo protocolo SSL - Security Sockets Layer. A porta 80 a
porta padro para o HTTP. E o uso da assistncia remota no tem nada a ver com
o fato de os recursos de NAT ou VPN estarem sendo utilizados.
Questo 14: Considere as afirmativas a seguir, em relao as diretivas de auditoria
que podem ser configuradas via recurso de GPO, para um domnio baseado no
IMPORTANTE: O firewall de
conexo com a Internet (ICF) da
Microsoft permite trfego de entrada
e sada de assistncia remota,
contanto que a solicitao inicial de
assistncia tenha sido feita no
computador em que o firewall est
ativado. O ICF foi projetado para ser
usado somente com computadores
autnomos ou pertencentes a um
grupo de trabalho.
I. A diretiva Audit account logon events (Auditoria de eventos de logon de conta) deve ser habilitada quando voc
deseja fazer a auditoria de eventos de logon feitos com contas pertencentes ao domnio.
II. O nome correto desta auditoria Auditoria de eventos de logon de conta, porm no console Configuraes padro de
segurana do domnio, esta diretiva aparece, incorretamente, com o seguinte nome: Eventos de logon de conta de
auditoria. Esta mais uma prola da traduo, que contribui para tornar confuso um recurso que fcil de utilizar.
III. Com esta diretiva voc pode configurar se os eventos de logon devem ou no ser auditados. So considerados
eventos de logon, qualquer logon feito em uma estao de trabalho da rede, que pertena ao domnio e com
IV. Existe uma outra auditoria, com um nome semelhante Auditoria de eventos de logon, porm esta diretiva usada
para fazer a auditoria de eventos de logon usando contas locais dos computadores e no as contas do domnio.
a) I
b) I e II
c) I, II e III
d) I, II e IV
e) I, II, III e IV
Resposta certa: e
Comentrios: Esta questo testa o conhecimento do candidato sobre duas diretivas muito importantes, as quais tem
nome semelhantes. Para piorar um pouco a situao, uma das diretivas foi pessimamente traduzida. Para responder
corretamente a esta questo, o candidato deve conhecer bem as seguintes diretivas:
Com esta opo voc pode configurar se os eventos de logon devem ou
no ser auditados. So considerados eventos de logon, qualquer logon
feito em uma estao de trabalho da rede, que pertena ao domnio e com
Conforme descrito anteriormente, a validao do logon feita nos DCs,
onde est instalado o Active Directory. Neste caso se o usurio jsivla fizer
o logon com a sua conta de domnio, na sua estao de trabalho, um evento
de logon ser gerado para este usurio. Alm disso voc define se devem
ser auditados os eventos com sucesso (quando o usurio faz o logon
normalmente) ou com falha (quando o usurio no consegue fazer o logon,
por exemplo, por ter digitado uma senha incorreta). Para configurar esta
auditoria, basta dar um clique duplo nela. Ser aberta a janela Propriedades
de Eventos de logon de conta de auditoria (a confuso no nome por
conta da equipe de traduo). Para habilitar esta diretiva voc deve marcar
a opo Definir as configuraes dessas diretivas (o plural tambm por
conta da equipe de traduo). Ao marcar esta opo, sero habilitadas as
opes xito e Falha. Para passar a registrar os eventos de logon com
sucesso, marque a opo xito. Com isso sempre que um usurio fizer
um logon no domnio, com sucesso, ser registrado um evento no log de
eventos do DC que autenticou o usurio. Para passar a registrar os eventos
de falha de logon, marque a opo Falha. Com isso, sempre que um usurio
fizer uma tentativa de logon sem sucesso, ser registrado um evento no
log de eventos do DC onde a tentativa de logon foi feita. O mais comum
para este diretiva habilitar tanto os eventos de sucesso, quanto os eventos
de falha, para que fique registrado no log do servidor, todos os eventos de
logon, que seja com sucesso, quer seja com falha.
Audit logon events (Auditoria de eventos de logon):
Esta diretiva determina se deve ser feita a auditoria de cada instncia de
logon ou logoff de usurio, bem como de qualquer conexo de rede com
o computador local, ou no caso com o DC que eu estou utilizando. Se
voc estiver registrando no log os eventos da Auditoria de eventos de
logon de conta com xito em um controlador de domnio, as tentativas de
logon de um usurio, a partir da sua estao de trabalho no geraro
auditorias de logon (as quais sero geradas se a diretiva Auditoria de
eventos de logon de conta, descrita anteriormente, estiver habilitada) .
Somente tentativas de logon de rede e interativas no prprio controlador
de domnio geraro eventos de logon.
Resumindo, Auditoria de eventos de logon de conta so gerados no local
onde reside a conta; ou seja, no DC. Eventos de logon so gerados no local
onde ocorre a tentativa de logon. Se for um logon interativo no DC, no prprio
DC, se for um logon interativo em um member Server, no log de auditoria
local do member server. Voc pode configurar para que sejam auditadas
tentativas de logon com sucesso, com falha ou ambas. No caso de um
computador com o Windows Server 2003, as tentativas de logon so
consideradas as tentativas locais ou tentativas feitas via Terminal Service Client.
IMPORTANTE: O nome correto
desta auditoria Auditoria de
eventos de logon de conta, porm
no console Configuraes padro de
segurana do domnio, esta diretiva
aparece, incorretamente, com o
seguinte nome: Eventos de logon de
conta de auditoria. Esta mais uma
prola da traduo, que contribui
para tornar confuso um recurso que
fcil de utilizar.
IMPORTANTE: muito
importante que voc conhea este
ponto, ou seja, para fazer a audito-
do domnio, a diretiva a ser
habilitada a diretiva Auditoria de
eventos de logon de conta. Existe
uma outra auditoria, com um nome
semelhante Auditoria de eventos
de logon, porm esta segunda
usada para fazer a auditoria de
eventos de logon usando contas
locais dos computadores e no as
contas do domnio. Certifique-se de
que voc entendeu bem a diferena
entre estas duas diretivas, pois este
um ponto importante para o
exame.
IMPORTANTE: Vou insistir neste
conta utilizada para fazer
auditoria de logon de contas do
domnio, j a diretiva Auditoria de
eventos de logon, utilizada para
a auditoria de eventos de logon de
contas locais.
rede formada por um nico domnio: abc.com. Voc o administrador responsvel pela monitorao do desempenho
de 15 servidores da rede. O objetivo coletar os dados de diversos contadores (tais como % tempo de processador,
bytes comprometidos, etc) e armazenar estas informaes em um banco de dados centralizado, onde voc possa fazer
anlises, pesquisas e comparaes. Das opes a seguir, qual a mais indicada para implementar a soluo desejada?
a) Salvar os dados coletados no formato de arquivos .csv, em um drive de rede.
Criar scripts para importar estes dados em um banco de dados do SQL Server.
b) Salvar os dados coletados no formato de arquivos .csv, em um drive de rede.
Criar scripts para importar estes dados em um banco de dados do Microsoft Access.
c) Salvar os dados coletados no formato de arquivos .csv, em um drive de rede.
Utilizar o Microsoft Excel para importar os arquivos .csv.
d) Criar um log onde voc adicionar contadores dos diversos servidores.
Configurar o tipo de arquivo de log, para salvar os dados em um banco de dados do SQL Server.
e) Criar um log onde voc adicionar contadores dos diversos servidores.
Configurar o tipo de arquivo de log, para salvar os dados em um arquivo binrio.
Importar o arquivo binrio em um banco de dados do SQL Server.
Resposta certa: d
Comentrios: Esta questo testa se o candidato conhece a possibilidade de configurar um log, para que salve os
dados diretamente em um banco de dados do SQL Server. Ao criar um novo log, voc pode acessar as propriedades
do log e clicar na guia Arquivos de log. Na lista Tipo de arquivo de log, voc pode selecionar a opo Banco de
dados SQL. Selecione esta opo e clique no boto Configurar... Ser aberta uma janela, para que voc selecione
uma fonte ODBC, do tipo DSN de sistema, a qual faz a conexo com o banco de dados do SQL Server. Antes de
usar esta opo, voc j deve ter criada a fonte ODBC, usando a opo Iniciar -> Ferramentas administrativas ->
Fontes de dados (ODBC).
Active Directory. A rede formada por um nico domnio: abc.com. A WAN da empresa formada pela rede local da
matriz em SP e pelas redes locais das filiais em SC, RS e PR. Voc est em fase de implementao da rede e gostaria
de limitar o nmero de usurios com permisses de Administrador em todos os recursos do domnio, ou seja, voc
quer reduzir o nmero de usurios que sero includos no grupo Admins. do Domnio (Domain Admins.). Porm voc
gostaria de ter usurios com permisso para gerenciar recursos tais como contas de usurios e computadores em cada
uma das redes local. Por exemplo, voc gostaria de permitir que um usurio da matriz em SP possa gerenciar recursos
apenas para os usurios, servidores e recursos da rede local de SP. Que tipo de objeto do Active Directory voc pode
utilizar para implementar a soluo proposta?
a) Unidades Organizacionais
b) Group Policy Objects
c) Diretivas de IPSec
d) Diretivas locais de segurana
e) Grupos de distribuio
Resposta certa: a
Comentrios: O conceito de Unidade organizacional foi introduzido no Windows 2000 Server, juntamente com o
Active Directory e veio para solucionar um problema srio de Administrao existente no Windows NT Server 4.0.
usurio apenas para parte dos recursos do domnio. Imagine uma empresa que tem uma rede, com filiais em todos os
estados brasileiros. No nosso exemplo, o domnio composto pelas redes das filiais do RS, SC, PR e SP. Com o NT
recursos do domnio. No nosso exemplo, o usurio seria Administrador nos servidores e em todos os recursos das
filiais do RS, SC, PR e SP, ou seja, em todos os servidores do domnio.
Com a disponibilidade de Unidades Organizacionais, a partir do Windows Server 2003 Server, este problema foi
minimizado. Agora voc pode criar, dentro do domnio, vrias Unidades organizacionais. Em seguida voc desloca
para dentro de cada unidade organizacional, as contas de usurios, grupos e computadores, de acordo com critrios
geogrficos ou funcionais. Em seguida voc pode delegar tarefas administrativas a nvel de Unidade organizacional
(OU Organizational Unit).
Questo 17: O usurio jsilva pertence aos seguintes grupos: Gerentes, Tcnicos e Marketing. O usurio jsilva precisa
ter acessos somente de leitura nos documentos do Word que esto em uma pasta compartilhada, no servidor
\\SRV01\worddocs. O usurio deve ter permisso somente de leitura, quer ele esteja acessando a pasta worddocs
atravs da rede ou localmente logado no servidor SRV01.
As permisses NTFS e de compartilhamento desta pasta e o seu contedo, esto configuradas da seguinte maneira:
Permisses NTFS:
Gerentes: Leitura e alterao
Tcnicos: Leitura
Marketing: Acesso total
Permisses de Compartilhamento:
Gerentes: Leitura
Tcnicos: Leitura
Marketing: Leitura
O que deve ser alterado para que o usurio jsilva no possa alterar os documentos desta pasta, mas sim somente ler o
contedo dos documentos, quer seja atravs da rede, quer seja acessando localmente no servidor SRV01?
a) Atribua a permisso Negar Leitura a conta jsilva.
b) Retire o usurio jsilva do grupo Gerentes.
c) Retire o usurio jsilva do grupo Marketing.
d) Define permisso de leitura para a conta jsilva.
e) Retire o usurio jsilva do grupo Gerentes e tambm do grupo Marketing.
Resposta certa: e Voc Respondeu:
Comentrios: Para responder corretamente a esta questo, importante que voc lembre de algumas regras bsicas
das permisses NTFS, quando o usurio pertence a mais de um grupo:
A permisso efetiva a soma das permisses de todos os grupos aos quais o usurio pertence.
Negar tem precedncia sobre qualquer outra permisso.
Quando combinamos a permisso de compartilhamento resultante, com a permisso NTFS resultante, vale a
mais restritiva.
Tambm importante lembrar que quando existem diferenas entre as permisses NTFS e as permisses de
Compartilhamento, vale a mais restritiva. Neste caso a permisso mais restritiva a de compartilhamento que
somente Leitura. Neste caso o usurio jsilva, quando acessando atravs da rede, ter somente leitura. No esquea que
as permisses de compartilhamento somente tem efeito para o acesso atravs da rede. Se o usurio jsilva fizer o logon
no servidor SRV01 e acessar a pasta worddocs localmente, valero apenas as permisses NTFS. Neste ltimo caso,
acessando localmente, o usurio jsilva teria permisso Controle Total na pasta worddocs. Por isso devemos retir-lo
dos grupos Gerentes e Marketing para que, localmente, ele tambm tenha permisso somente de leitura, a qual
herdada do grupo Tcnicos.
Questo 18: Como administrador da rede voc est em busca de uma soluo que possa reduzir o nmero de drives de
rede utilizados pelos usurios. Atualmente voc est utilizando sete drives diferentes, conforme descrito a seguir:
Drive Servidor Compartilhamento Descrio
F SRV01 Docs Documentos de domnio pblico
G SRV01 Manuais Manuais de treinamentos.
H SRV02 Programas Programas de instalao.
I SRV02 Contab Usados pela seo de contabilidade.
J SRV02 Pessoais Documentos pessoais dos usurios.
K SRV03 Modelos Modelos de memorandos e ofcios.
L SRV03 Projetos Documentos compartilhados por projeto.
Ao invs de usar sete drives diferentes, voc gostaria de usar um nico drive e que, cada compartilhamento, aparecesse
como uma pasta dentro deste drive. Por exemplo, voc gostaria de utilizar um drive R: e dentro do R: deveriam
aparecer as pastas Docs, Manuais, Programas, Contab, Pessoais, Modelos e Projetos. Qual tecnologia/servio voc
deve utilizar para implementar a soluo proposta?
a) Utilize Mounted Volumes.
b) Crie um volume do tipo Striped Set com Paridade, usando um disco para cada partio.
c) Utilize o DFS - Distributed File System.
d) Utilize links simblicos.
e) Utilize o Script de Logon para consolidar os diversos compartilhamentos em um nico drive.
Resposta certa: c
Comentrios: Para consolidar diversos compartilhamentos em um nico ponto de acesso, utilizamos o servio DFS -
Distributed File System. O DFS j faz parte do Windows 2000 Server e do Windows Server 2003, sendo instalado
automaticamente durante a instalao do Windows. Para configurar o DFS usamos o console Distributed File Sys-
tem, o qual acessado atravs do menu Ferramentas Administrativas.
Active Directory. Os clientes so baseados no Windows 2000 Professional e alguns clientes no Windows XP Profes-
sional. A rede formada por um nico domnio: abc.com. Todas as estaes de trabalho esto configuradas para fazer
parte do domnio. Voc quer implementar configuraes de tal maneira que os usurios tenham acesso a todas as suas
configuraes da rea de trabalho (Desktop), pasta Meus documentos e aos seus aplicativos em qualquer computador
da rede, independentemente de onde o usurio estiver logado. Por questes de segurana e facilidade de Backup, voc
quer que a pasta Meus documentos dos usurios, fiquem gravadas em servidores da rede. Quais recursos voc deve
utilizar para implementar as funcionalidades propostas?
a) Roaming Profiles.
Usar GPO para redirecionar a pasta Meus documentos dos usurios.
Usar GPO para associar programas com os usurios.
b) Configurar a Registry de cada estao de trabalho, para redirecionar o usurio para uma profile em um servidor
da rede.
c) Configurar Script de logon de cada usurio, para redirecionar o usurio para uma profile em um servidor da rede,
quando este fizer o logon.
d) Configurar nas propriedades da conta do usurio, para que ele utilize Roaming Profiles, para que seja redirecionada
a pasta Meus documentos para uma pasta em um servidor da rede e para definir quais programas devem ser
associados com o usurio.
e) Configurar Script de Inicializao de cada estao de trabalho, para redirecionar o usurio para uma profile em
um servidor da rede, quando este fizer o logon.
Resposta certa: a
Comentrios: Esta questo testa os conhecimentos do candidato em relao as configuraes do ambiente do usurio.
Para que o usurio tenha as mesmas configuraes da rea de Trabalho e do menu Iniciar, independentemente da
estao na qual ele fizer o logon, voc deve configurar uma Roaming Profile para o usurio. Esta configurao feita
nas propriedades da conta do usurio, na guia Perfil. Para redirecionar a pasta Meus documentos e para associar
Software com o usurio (distribuio de Software), utilizado o recurso de Group Policy Objects - GPO
Active Directory. Ao todo voc tem 100 estaes de trabalho com o Windows XP Professional, sendo que todas as
estaes esto configuradas para fazer parte do domnio abc.com. A rede formada por um nico domnio: abc.com.
Em um computador chamado FILES01, voc compartilhou uma pasta com o nome de compartilhamento DOCS. Voc
configurou o script de logon, para mapear uma unidade M:, automaticamente, durante o logon. A unidade M: est
associada com o caminho \\FILES01\DOCS. Em alguns horrios do dia, voc recebe chamadas dos usurios, informando
que no possvel usar o drive M, que a conexo com FILES01 recusada. Voc observou que no so sempre os
mesmos usurios que tem o problema de conexo, ou seja, usurios que em determinados momentos conseguem
acessar o drive M:, em outros momentos no conseguem e vice-versa. Qual a causa mais provvel deste problema?.
a) Problemas nas permisses NTFS da pasta DOCS
b) O computador FILES01 um computador com o Windows XP Professional.
c) Problemas nas permisses de compartilhamento da pasta DOCS
d) A pasta DOCS est criptografada.
e) A pasta DOCS est compactada.
Resposta certa: b
Comentrios: Existe um trecho do enunciado que fundamental para esta questo: Voc observou que no so
sempre os mesmos usurios que tem o problema de conexo, ou seja, usurios que em determinados momentos
conseguem acessar o drive M:, em outros momentos no conseguem e vice-versa. Este trecho uma indicao clara
de que no um problema de permisso (isso descarta as alternativas a e c) e nem um problema de criptografia
(isso descarta a alternativa D). A alternativa e no tem nada a ver. A causa mais provvel deste problema, que o
computador FILES01 um computador com o Windows XP Professional instalado. Computadores com o Windows
XP Professional, Windows 2000 Professional ou Windows NT Workstation 4.0, tem uma limitao de, no mximo, 10
conexes simultneas. Esta uma limitao das verses clientes do Windows. Em um ambiente de rede, com 100
estaes de trabalho, certamente este limite ser alcanado. Quando o limite de 10 conexes atingido, novas conexes
so recusadas. Por isso a mensagem de erro que alguns usurios recebem ao tentar fazer a conexo.
Questo 21: Voc o Administrador da rede da empresa, a qual baseada no Windows Server 2003 Server e no Active
Directory. As estaes de trabalho da rede so baseadas no Windows XP Professional e no Windows 2000 Profes-
sional. Voc quer implementar um ambiente personalizado, onde determinados atalhos devem estar presentes na rea
de trabalho dos usurios, independentemente do computador no qual o usurio fizer o logon. Alm disso, o usurio
no deve ser capaz de fazer alteraes neste ambiente personalizado. O objetivo desta padronizao deve garantir
um ambiente padronizado e reduzir o nmero de chamadas de suporte tcnico. O que voc deve fazer para implementar
o ambiente personalizado, descrito nesta questo?
a) Utilize o recurso de GPOs, para criar Roaming Profiles para os usurios.
b) Utilize o DFS para criar Roaming Profiles para os usurios.
c) Crie uma profile com as configuraes desejadas.
Copie a profile para um servidor da rede.
Renomeie o arquivo Ntuser.dat para Ntuser.man
Configure as propriedades da conta de cada usurio, para que seja utilizada uma profile em um servidor da rede.
d) Crie uma profile com as configuraes desejadas.
Copie a profile para um servidor da rede.
Renomeie o arquivo Ntuser.dat para Ntuser.pol
Configure as propriedades da conta de cada usurio, para que seja utilizada uma profile em um servidor da rede.
e) No possvel implementar a soluo proposta.
Resposta certa: c
Comentrios: Esta questo testa o conhecimento do usurio em relao ao recurso de Profiles do Windows. O Win-
dows mantm configuraes separadas para cada usurio. Por exemplo, o usurio jsilva faz o logon e cria um cone na
rea de trabalho. Este cone no ser exibido na rea de trabalho de outros usurios, quando estes fizerem o logon no
computador. O Windows tambm mantm diversas outras configuraes separadamente para cada usurio, como por
exemplo: papel de parede, opes do menu iniciar, configuraes do Internet Explorer e do Outlook Express, associao
de extenses de arquivos, configuraes da barra de tarefas e assim por diante. A pasta Meus documentos tambm
individualizada para cada usurio. O Windows Server 2003 mantm estas configuraes separadamente para cada
usurio, atravs de uma estrutura de pastas e subpastas, dentro da pasta C:\Documents and settings. Dentro desta pasta
o Windows Server 2003 cria uma pasta para cada usurio, pasta esta com o nome de logon do usurio. Por exemplo,
todas as configuraes do usurio jsilvap so gravadas e mantidas em uma estrutura de subpastas, dentro de
C:\Documents and settings\jsilvap; todas as configuraes do usurio pedro2 so gravadas e mantidas em uma estrutura
de subpastas, dentro de C:\Documents and settings\paulo2 e assim por diante.
Este conjunto de configuraes, que define o ambiente de trabalho de cada usurio, conhecido como Profile do
usurio (User Profile). Quando voc trabalha em um ambiente de rede, baseado em um domnio do Windows 2000
Server ou do Windows Server 2003, possvel salvar as configuraes da Profile de cada usurio em pastas em um
servidor da rede. Este tipo de Profile conhecido como Roaming Profile (eu me arriscaria a traduzir como Profile
Viajante). O Roaming significa que a Profile acompanha (viaja com) o usurio atravs da rede. Ou seja, independente
da estao de trabalho que o usurio estiver utilizando, ele receber as configuraes de sua Profile, as quais sero
carregadas a partir da rede. Com a combinao do recurso de User Profiles com a distribuio de Software via GPO,
possvel fazer com que os programas e as configuraes sigam o usurio atravs da rede, ou seja, em qualquer
estao de trabalho que o usurio faa o logon, ele ter a mesma rea de trabalho, com o mesmo conjunto de cones,
atalhos e programas.
O caminho onde fica armazenada a Roaming Profile para o usurio informada nas propriedades da conta do usurio,
na guia Perfil, usando o campo Caminho do Perfil. Nesta guia voc informa o caminho onde encontra-se a profile do
usurio, como por exemplo: \\serv01\profiles\jsilva. O mais comum , ao invs de informar o nome do usurio, usar a
varivel %username%, conforme exemplo a seguir: \\serv01\profiles\%username%. O uso da varivel %username%
evita problemas devido a erros de digitao. Para que o usurio no possa fazer alteraes nas configuraes contidas
na Profile, voc deve renomear o arquivo Ntuser.dat para Ntuser.man. Com isso voc torna a profile Mandatory, ou
seja, obrigatria, no sentido de que o usurio no pode alterar as configuraes da profile. Ele at conseguir alterar,
mas ao fazer o logoff no computador, as alteraes sero descartadas. Com isso ficamos com a alternativa C.
rede formada por um nico domnio e todos os servidores esto baseados no Windows Server 2003. Como parte da
poltica de segurana da empresa, voc instalou o SUS - Software Update Services (Servio de Atualizao Automtica)
em um dos servidores da Intranet. Ao consultar o site www.microsoft.com/security voc ficou sabendo que trs novas
atualizaes crticas de segurana, foram disponibilizadas. Voc acessou a pgina de administrao do SUS e verificou
que as novas atualizaes j foram baixadas. Qual o prximo passo para que estas atualizaes crticas de segurana
sejam aplicadas nas estaes de trabalho dos usurios?
a) Voc deve reinicializar todas as estaes de trabalho dos usurios.
b) Voc deve configurar a GPO padro do domnio, para aplicar as novas atualizaes.
c) Voc deve usar a pgina de administrao do SUS para aprovar as novas atualizaes crticas de segurana.
d) Use o comando gpudate em todas as estaes de trabalho.
e) Basta reinicializar o IIS, no servidor onde o SUS est instalado.
Resposta certa: c
Comentrios: O SUS utilizado para automatizar o download de correes a partir do Windows Update. Um servidor
com o SUS instalado, pode ser configurado consultar periodicamente o site Windows Update e fazer o download de
novas atualizaes, sempre que estas estiverem disponveis. As chamadas atualizaes crticas de segurana, aps
terem sido copiadas pelo SUS, devem ser aprovadas pelo Administrador, antes de serem aplicadas nas estaes de
trabalho da rede. Em situaes onde as atualizaes crticas j foram baixadas mas ainda no foram aplicadas, a causa
mais provvel que estas ainda no foram aprovadas pelo Administrador. Para aprov-las, basta que o administrador
acesse a pgina de Administrao do SUS e aprove as atualizaes crticas.
Questo 23: Considere as afirmaes a seguir em relao aos usos que o Administrador pode fazer do recurso de
User Profiles:
I. O uso de User Profiles uma ferramenta de grande auxlio para o administrador, principalmente para a padronizao
do ambiente de trabalho dos usurios.
II. O Administrador pode criar uma profile padro e distribuir esta profile para um grupo de usurios da rede. Esta
opo til para usurios que devam ter acesso restrito as opes de personalizao do Windows. Por exemplo,
posso usar uma profile para definir, automaticamente, os cones da rea de trabalho.
III. O Administrador pode utilizar o recurso de profiles para automatizar a distribuio de software para as estaes
de trabalho da rede.
IV. O Administrador pode criar as chamadas Mandatory user profile. Este tipo de profile no permite que o usurio
faa alteraes nas configuraes definidas na profile. O usurio at consegue alterar o seu ambiente de trabalho,
receber as configuraes definidas na profile que est no servidor, sem as alteraes que ele fez, mas que no
foram salvas. As configuraes so copiadas para o computador do usurio cada vez que este faz o logon. Quando
o usurio faz alteraes, estas so feitas na sua cpia local da profile. Ao fazer o logoff, estas alteraes no so
repassadas para a profile que est gravada no servidor. No prximo logon esta profile que est no servidor (sem
alteraes) que novamente copiada para a estao de trabalho do usurio, sobrescrevendo as alteraes que por
ventura ele tenha feito. O resultado prtico que sempre que o logon feito, so carregadas as configuraes
definidas na profile do tipo Mandatory, armazenada no servidor e para a qual somente o Administrador tem
permisso para fazer alteraes.
a) I, II
b) I, II e III
c) I, III e IV
d) I, II e IV
e) I, II, III e IV
Resposta certa: d
Comentrios: Esta questo trata de alguns dos usos que o Administrador pode fazer para o recurso de User Profiles.
Cada alternativa descreve um uso especfico ou uma vantagem, com exceo da afirmao III, a qual est incorreta. A
distribuio de Software feita usando GPOs e no profiles. O uso de profiles apenas uma maneira de padronizar o
ambiente de trabalho dos usurios e de poder armazenar estas configuraes em um servidor da rede, para que a
profile seja carregada para o usurio, a partir do servidor, em qualquer computador da rede onde o usurio fizer o
logon. Com isso a alternativa III est incorreta, ou seja, o recurso de profiles no pode ser utilizado para a distribuio
de software.
Questo 24: Voc trabalha com Administrador de uma rede baseada no Windows Server 2003 e com Clientes utilizando
o Windows 2000 Professional ou o Windows XP Professional. Como Administrador da rede voc est utilizando a
seguinte poltica de Backup para o drive do servidor, onde esto os arquivos de dados dos usurios:
-> Domingo noite: Backup Normal.
-> Segunda noite: Backup incremental.
-> Tera noite: Backup incremental.
-> Quarta noite: Backup Diferencial.
-> Quinta noite Backup incremental.
-> Sexta noite Backup incremental.
-> Sbado noite: Backup diferencial.
-> Domingo noite: Backup Normal.
No sbado alguns usurios trabalharam, alterando diversos arquivos no drive do Servidor. Na segunda pela manh, ao
chegar ao servio, voc constata que o disco do servidor, onde estavam os arquivos dos usurios, foi danificado. Ao
consultar o log do Backup, consta que o Backup do domingo foi feito normalmente, o que leva voc a concluir que o
problema com o disco ocorreu na madrugada de domingo para segunda. Voc substitui o disco e agora deseja restaurar
os dados. Qual ou quais o(s) backup(s) voc deve restaurar e em que seqncia?
a) Normal do domingo anterior.
Incremental de segunda-feira.
Incremental de tera-feira.
Incremental de quarta-feira.
Incremental de quinta-feira.
Incremental de sexta-feira.
b) Normal do domingo anterior.
Incremental de segunda-feira.
Incremental da quarta-feira.
c) Normal do domingo anterior.
d) Incremental da sexta-feira.
e) Normal do ltimo domingo.
Resposta certa: e
Comentrios: O Backup Normal faz a cpia de todos os dados, independentemente de terem sido alterados ou no. O
Incremental faz o backup apenas dos dados que foram alterados desde o ltimo backup incremental. O Diferencial faz
o backup de todos os dados que foram alterados desde o ltimo backup normal. Para restaurar os dados at a condio
de que estavam no Domingo, mantendo com isso as alteraes feitas no Sbado, voc deve restaurar o ltimo backup
normal, ou seja, o backup Normal do ltimo domingo. Com isso voc volta a condio do Domingo anterior. Nesta
situao no haver nenhuma perda de dados, pois as ltimas alteraes feitas no Sbado estaro todas contidas no
Backup Normal de domingo. Com isso ficamos com a alternativa e.
Questo 05: Considere as afirmaes a seguir em relao aos recursos do Terminal Server:
I. Os Servios de terminal do Windows 2000 Server podem adicionar e reconectar automaticamente impressoras
conectadas aos clientes de Servios de terminal.
II. Os usurios podem agora recortar e colar entre programas que esto sendo executados no computador local e no
Terminal server.
III. Existe suporte a desconexo mvel. Esse recurso permite que os usurios se desconectem de uma sesso sem
efetuar logoff. A sesso pode permanecer ativa enquanto est desconectada, permitindo que o usurio reconecte-
se sesso existente de outro computador ou posteriormente. O logon necessrio para a reconexo, mantendo
sempre cada sesso segura.
IV. Existe suporte a vrios logons. Os usurios podem efetuar logon em vrias sesses simultaneamente de um ou
mais clientes, em vrios Windows 2000 Servers ou em um nico servidor diversas vezes. Como resultado, o
usurio pode executar diversas tarefas ao mesmo tempo ou executar vrias sesses de rea de trabalho nicas.
Esto corretas as seguintes afirmaes:
a) Todas
b) Somente I, II e III
c) Somente I e II
d) Somente II, III e IV
e) Somente III e IV
Resposta certa: a
Comentrios: Todas as afirmaes esto corretas e representam recursos que foram introduzidos no Terminal Server a
partir do Windows 2000 Server e que tambm esto presentes no WIndows Server 2003.
Directory. Os clientes so baseados no Windows 2000 Professional e alguns clientes no Windows XP Professional. A
rede formada por um nico domnio: juliobattisti.com.br. Como parte da poltica de administrao remota dos
servidores da rede, voc quer disponibilizar as ferramentas administrativas, tais como console de administrao do
DNS, DHCP, RRAS, Usurios e Computadores do Active Directory e assim por diante, nas estaes de trabalho de
cinco funcionrios (estaes baseadas no Windows XP Professional), os quais fazem parte do grupo Admins. do
Domnio, para que estes funcionrios possam administrar estes servios, nos diversos servidores do domnio,
remotamente. O que voc deve fazer?
a) As Ferramentas Administrativas no podem ser utilizadas em uma estao de trabalho.
Utilize o Terminal Server no modo de Administrao remota.
b) Faa o logon em cada uma das estaes de trabalho onde as ferramentas administrativas devem ser instaladas.
Conecte-se com o drive onde o Windows Server 2003 est instalado, em um dos servidores.
Acesse a pasta %windir%/system32
D um clique duplo no arquivo Adminpak.msi
Siga as instrues para concluir o assistente de instalao.
c) Faa o logon em cada uma das estaes de trabalho onde as ferramentas administrativas devem ser instaladas.
Conecte-se com o drive onde o Windows Server 2003 est instalado, em um dos servidores.
Acesse a pasta %windir%/system32
D um clique duplo no arquivo AdminTools.msi
Siga as instrues para concluir o assistente de instalao.
d) Faa o logon em cada uma das estaes de trabalho onde as ferramentas administrativas devem ser instaladas.
Acesse a opo Adicionar ou remover programas, do Painel de controle.
Altere a instalao do Windows, para adicionar o pacote de Ferramentas administrativas.
e) Faa o logon em cada uma das estaes de trabalho onde as ferramentas administrativas devem ser instaladas.
Utilize o Windows Update para instalar o pacote de ferramentas administrativas.
Resposta certa: b
Comentrios: As ferramentas administrativas (conjunto de consoles para administrao de uma srie de servios e
recursos do WIndows Server 2003 e do Active Directory), podem ser instaladas em uma estao de trabalho com o
WIndows 2000 Professional ou Windows XP Professional. O pacote de ferramentas administrativas est disponvel
no arquivo Adminpak.msi. Este arquivo, por padro, est disponvel na pasta %windir%/system32, de todos os servidores
com o Windows 2000 Server ou Windows Server 2003. Onde %windir% representa a pasta onde o Windows foi
instalado. Com isso ficamos com a alternativa c.
Questo 27: Voc est instalando o Windows Server 2003 em um novo Servidor. Este servidor tem quatro discos SCSI
de 30 GB cada um. Voc pretende configurar os discos da seguinte maneira. Juntar o disco 0 e o disco 1 formando um
Volume Set de 60 GB. Neste Volume Set voc pretende instalar o Windows Server 2003 e todos os aplicativos do
Servidor. O disco 2 ser utilizado para compartilhamento de arquivos, o qual os usurios iro acessar atravs de um
drive mapeado. O disco 3 ser utilizado para Backup do Estado do Sistema Operacional.
A instalao proposta poder ser implementada ou existe algo que impede a implementao da referida proposta?
a) Sim, nada impede a implementao proposta.
b) Sim, apenas crie um Volume do tipo RAID-5 ao invs de um Volume Set. Com isso voc garante tolerncia a falhas.
c) No. No possvel implementar um Volume Set em discos maiores do que 20 GB
d) No. No possvel instalar o Windows 2000 Server em um Volume Set.
e) No. No possvel criar um Volume Set maior do que 50 GB
Resposta certa: d
Comentrios: O Windows 2000 Server e o Windows Server 2003 somente podem ser instalados em um Volume
Simples ou em um volume do tipo Mirror Set, tambm conhecido como Raid-1. No pode ser instalado em um
Volume Set ou Volume do tipo RAID-5.
Questo 28: Voc o Administrador de um servidor com o Windows Server 2003 instalado. O servidor um DC
(Controlador de Domnio). Voc configura a pasta C:\documentos para que somente os usurios da sua filial tenham
acesso aos documentos da pasta. Voc configura as diretivas de auditoria de tal maneira que seja habilitada a auditoria
de acessos (com sucesso e com falha) a objetos como Pastas, Arquivos e Impressoras.. Alguns dias aps ter habilitado
a auditoria voc abre o Visualizador de eventos porm nenhum evento relacionado ao acesso dos arquivos da pasta
C:\Documentos encontrado. Qual a causa mais provvel do problema?
a) Voc no configurou as propriedades avanadas da pasta Documentos para informar quais grupos ou usurios
deveriam ter o acesso auditado.
b) A diretiva de auditoria Auditoria de acesso a objetos no est habilitada.
c) A pasta C:\Documentos est criptografada.
d) A pasta C:\Documentos est compactada.
e) As permisses NTFS da pasta C:\Documentos esto incorretamente configuradas.
Resposta certa: a
Comentrios: Para que a auditoria de acesso a pastas, arquivos, impressoras e objetos que tenham uma lista de controle
de acesso (ACL), possa funcionar so necessrios dois passos:
Habilitar a diretiva Auditoria de acesso a objetos. Para habilitar esta auditoria voc deve usar o recurso
de GPOs.
Em seguida configurar quais grupos/usurios sero monitorados em quais pastas/arquivos. Isso feito nas
propriedades do objeto a ser monitorado.
Na questo do exemplo a diretiva est habilitada, porm o segundo passo no foi executado, por isso que os eventos
no esto sendo gravados no log de eventos, embora a diretiva de auditoria tenha sido habilitada. A partio j NTFS,
pois se fosse FAT ou FAT 32, a guia segurana, atravs da qual configuramos a auditoria, nem sequer estaria disponvel.
Pelo enunciado da questo, vemos que o usurio acessou as configuraes de segurana da pasta Documentos (para
definir as permisses NTFS de acesso), o que significa que uma partio NTFS.
Active Directory. O servidor SRVSUS01 ser utilizado com servidor SUS, o qual ser utilizado para distribuir
atualizaes crticas para as estaes cliente da rede. Inicialmente voc instalou e configurou o IIS neste servidor. O
prximo passo instalar o SUS. Voc instalou e configurou o SUS para fazer a distribuio de atualizaes para os
clientes da rede. Agora voc precisa fazer o backup das configuraes do SUS, para que estas possam ser rapidamente
restauradas, em caso de falha. Quais os passos para fazer o backup das informaes de configurao do SUS?
a) Faa um backup do Estado do Sistema.
b) Faa um backup do Estado do Sistema.
Faa um backup da pasta C:\InetPub
c) Faa um backup da Metabase do IIS (IIS Metabase)
Em seguida use o Backup de Utilitrio para fazer um backup do arquivo de backup da Metabase e das demais
configuraes do IIS.
d) Faa um backup do Metabase do IIS (IIS Metabase)
e) Use o utilitrio de Backup, para fazer um backup completo do IIS.
Resposta certa: c
Comentrios: Esta questo interessante e exige que o candidato lembre de alguns pontos importantes:
Primeiro voc deve fazer um backup da Metabase, a qual contm uma srie de configuraes do IIS.
O SUS depende do IIS, por isso voc deve fazer, alm do backup da Metabase, um backup das configuraes
do IIS, tal como o Site Padro e outras.
Feito o backup da Metabase em um arquivo, voc pode utilizar o utilitrio de backup, para fazer um backup
deste arquivo.
Com isso ficamos com a alternativa C, ou seja, primeiro uso o console de Administrao do IIS para fazer um backup
da Metabase e em seguida, uso o utilitrio de backup do Windows, para fazer o backup deste arquivo e das demais
configuraes do IIS.
Questo 30: Voc o administrador de uma rede baseada no Windows Server 2003 e no Active Directory. Todos os
clientes so baseados no Windows XP Professional. Voc o administrador responsvel pelo planejamento e execuo
do Backup no servidor SRVFILES01, o qual utilizado para o compartilhamento de arquivos. Voc agendou uma
tarefa de Backup, a qual faz um Backup Normal de todos os dados dos usurios, no servidor SRVFILES01. O Backup
feito em uma unidade de fita DLT. A tarefa est agendada para iniciar as 3:00 hs da madrugada. Com o aumento da
quantidade de dados, gravados pelos usurios no servidor, o Backup no est mais sendo concludo antes do incio do
horrio normal de trabalho, que as 8:00 hs. da manh. O Backup tem sido concludo entre 9:00 e 9:30 da manh. No
perodo entre 8:00 da manh e o trmino do Backup, os usurios esto reclamando que o acesso aos arquivos do
servidor SRVFILES01 est muito lento. Como Administrador do Backup no servidor SRVFILES01, o que voc deve
fazer para solucionar o problema descrito?
a) Definir cotas de disco para os usurios, limitando o espao em disco que cada usurio pode usar.
b) Altere a tarefa agendada que executa o Backup, para iniciar a 1:00 da madrugada.
c) Exclua a tarefa agendada que executa o Backup.
Crie uma nova tarefa para execuo do Backup.
Configure esta nova tarefa para iniciar a 1:00 da madrugada.
d) Faa a criptografia de todos os dados do servidor SRVFILES01
e) Faa o Backup em Disco ao invs de faz-lo em fita.
Resposta certa: b
Comentrios: O ponto bsico desta questo que a tarefa de Backup no est sendo concluda em tempo hbil, antes
do incio do expediente. Como o backup continua sendo executado durante o expediente - entre 8:00 e 9:30, o servidor
apresenta problemas de desempenho neste perodo, j que a tarefa de Backup utiliza intensivamente os recursos do
servidor, principalmente o acesso a disco. A soluo iniciar o Backup duas horas antes do que est sendo feito
atualmente, para que d tempo de o Backup ser concludo antes do incio do expediente. Voc deve alterar as
configuraes da tarefa agendada para que ela seja iniciada a 1:00 da madrugada, ao invs das 3:00. Com isso, o
Backup passar a ser concludo entre 6:00 e 7:30 da manh, ou seja, antes do incio do expediente. Fazer o backup em
disco, certamente seria mais rpido do que fazer em fita, porm esta no uma poltica recomendada. Ao fazer o
Backup em fita, voc poder armazenar as fitas em local seguro, distante da sala dos servidores. Neste caso, se houver
um desastre, tal como um incndio ou inundao, as fitas estaro preservadas e os dados podero ser recuperados a
partir das fitas. Se voc fizer o backup em um ou mais discos do prprio servidor, os dados e as cpias de backup
estaro no mesmo local fsico. Se der um incndio na sala dos servidores, voc perder os dados e tambm as cpias
de Backup, ou seja, no haver como restaurar os dados. Outro ponto importante a ser observado nesta questo que
no necessrio excluir a tarefa agendada e cri-la novamente. Para alterar o agendamento de uma tarefa agendada,
basta acessar as propriedades da tarefa e fazer as alteraes necessrias.
Questo 31: Voc possui cinco impressoras de rede da mesma marca e modelo, ou seja, impressoras que utilizam o
mesmo driver de impresso. Como administrador da rede, voc gostaria de usar estas impressoras como se fossem
uma nica impressora no servidor de impresso, de tal maneira que a medida que os trabalhos de impresso fossem
chegando, fossem sendo direcionados, alternadamente, para uma das cinco impressoras. Com isso voc conseguiria
um distribuio do trabalho de impresso e para os usurios seria como se existisse uma nica impressora. Qual opo
das propriedades de impresso permite a configurao desejada?
a) Ativar porta compartilhada.
b) Ativar Pool de Impresso.
c) Ativar alternncia de porta.
d) Ativar balanceamento de carga.
e) Ativar compartilhamento do spool de impresso.
Resposta certa: b
Comentrios: A nica opo que existe e que a correta para esta questo o uso de um Pool de Impresso. Para que
possa ser ativado um Pool de Impresso devemos ter impressoras que utilizem o mesmo driver de impresso. Com isso
podemos fazer com que um determinado nmero de impressoras aparea como uma nica impressora disponvel. A
medida que os trabalhos de impresso vo chegando, o Windows Server 2003 vai direcionando estes trabalhos, de
maneira alternada, para as diferentes impressoras componentes do Pool de Impresso.A opo Ativar Pool de Impresso
est disponvel na guia Portas das propriedades da impressora. Normalmente uma das impressoras que faz parte do
Pool local e as demais so impressoras de rede. Aps marcar a opo Ativar Pool de Impresso, basta marcar as
portas das impressoras que faro parte do Pool de Impresso.
baseados no Windows Server 2003. Qual a maneira mais rpida para obter uma listagem de todas as contas de usurios
que no fizeram o logon no domnio nos ltimos 90 dias?
a) Use o comando DSQUERY
b) Use o comando NSLOOKUP
c) Use o comando DSADD
d) Use o comando DSRM
e) Use o comando CSVDE
Resposta certa: a
Comentrios: O comando DSQUERY uma das novidades do Windows Server 2003 em relao ao Windows 2000
Server. Este comando utilizado para fazer uma pesquisa no Active Directory e retornar uma lista de objetos
(computadores, grupos, unidades organizacionais ou usurios), os quais atendem a um ou mais critrios de pesquisa.
O comando dsquery tem diferentes opes, conforme descrito a seguir:
dsquery computer
dsquery contact
dsquery group
dsquery ou
dsquery site
dsquery server
dsquery user
dsquery quota
dsquery partition
Na ajuda do Windows Server 2003, fazendo uma pesquisa por DSQUERY, voc encontra uma referncia completa de
todas as opes do comando DSQUERY e encontra tambm diversos exemplos prticos de utilizao.
Questo 33: Voc o administrador da rede da empresa, a qual tem 20 servidores baseados no Windows Server 2003.
Um usurio gravou cerca de 10 GB de contedo no disco de um dos servidores. No contedo gravado pelo usurio
esto arquivos de msica no formato .mp3 e vdeos e fotos com material pornogrfico. Aps a demisso do funcionrio
por justa causa, voc observou que, antes de sair, o referido funcionrio colocou apenas a sua prpria conta de logon
na lista de contas com permisses NTFS de acesso pasta onde esto gravados os 10 GB de contedo imprprio para
o trabalho da empresa. Como administrador, qual a maneira mais rpida para ganhar acesso ao contedo da pasta e
excluir este contedo?
a) Faa o logon com a conta configurada como agente de recuperao e exclua a pasta.
b) Faa o logon com uma conta do grupo Usurios Avanados e exclua a pasta.
c) Faa o logon com uma conta com permisso de Administrador e exclua a pasta.
d) Faa o logon com uma conta com permisso de Administrador.
D um Take Ownership na pasta e em todo o seu contedo.
Exclua a pasta e todo o seu contedo.
e) Faa o logon com uma conta com permisso de Administrador.
D um Take Ownership na pasta e em todo o seu contedo.
Resposta certa: d
Comentrios: Antes de sair, o funcionrio demitido configurou as permisses NTFS de tal maneira que somente ele
mesmo pudesse ter acesso ao contedo da pasta. Os usurios do grupo Administradores tem permisso para dar um
Take Ownership (Alterar o proprietrio), mesmo em pastas e arquivos para os quais eles no tenham permisses
NTFS de acesso. Ao dar um Take Ownership atribuda a permisso Controle Total para o grupo Administradores.
Com isso o Administrador poder excluir a pasta, como no caso desta questo, ou definir permisso de acesso para
outros usurios, caso isso seja necessrio, mantendo o contedo da pasta. Para dar um Take Ownership basta fazer
o logon com uma conta com permisses de Administrador, acessar as propriedades da pasta, clicar na guia Segurana.
Na guia Segurana clique no boto Avanado e na janela de propriedades avanadas d um clique na guia Proprietrio.
Nesta guia voc tem a opo para tornar-se dono da pasta e de todo o seu contedo.
Questo 34: Voc o administrador de uma rede baseada no Windows Server 2003 e no Active Directory. Um dos
servidores da rede um DC com o nome SRVDC07. Este servidor ser utilizado tambm como Servidor de Certificados.
Para isso voc instalou e configurou o Microsoft Certificate Services no servidor SRVDC07. Agora voc deve montar
uma poltica de Backup/Restore para este servidor. A poltica de Backup/Restore deve incluir todas as informaes
necessrias para restaurar o funcionamento do servidor SRVDC07 no caso de falhas, incluindo tambm as informaes
necessrias para restaurao dos servios de certificados. Em relao poltica de Backup/Restore que deve ser
montada para o servidor SRVDC07, considere as afirmaes a seguir:
I. Para que possa ser feito o Restore do servidor como um todo, em caso de falhas, voc deve fazer um backup
Normal de todo o drive C:
II. Para que possa ser feito o Restore do servidor como um todo, em caso de falhas, voc deve fazer um backup
Normal da pasta %windir% e da pasta raiz do drive C:
III. Voc deve fazer um backup dos dados dos usurios e tambm do Estado do Sistema (System State).
IV. Para restaurar o servidor, no caso de falhas, voc deve inicializ-lo no modo de Restaurao do Active Directory
(Directory Services Rstore Mode) e fazer um restore do tipo nonauthoritative do Active Directory.
V. Para restaurar o servidor, no caso de falhas, voc deve inicializ-lo no modo de Restaurao do Active Directory
(Directory Services Rstore Mode) e fazer um restore do tipo authoritative do Active Directory.
a) III e IV
b) I e II
c) II e III
d) I, II, IV e V
e) II, III e V
Resposta certa: a
Comentrios: Esta questo exige que o candidato conhea alguns pontos importantes:
Para fazer um backup do sistema, de tal maneira que seja possvel restaurar a instalao do Windows Server
2003, de todos os seus servios e do Active Directory, preciso fazer um backup do estado do sistema (System
State). No Backup do estado do sistema, dentre outras, esto includas todas as informaes do Active Direc-
tory, da Registry e do Certificate Services.
Para fazer um restore do estado do sistema, preciso reinicializar o servidor em um modo especial, conhecido
como Modo de Restaurao do Active Directory (Directory Services Restore Mode).
O terceiro ponto que o candidato deve conhecer, para responder esta questo, a diferena entre o backup do
tipo authoritative e nonauthoritative. Descrevo estas diferenas logo a seguir:
Restore Nonauthoritative (Sem autoridade): Este um restore normal. Os dados sero restaurados a partir do backup.
Uma vez concluda a restaurao, o DC passar a receber as atualizaes dos outros DCs. Sempre que um outro DC
contiver informaes mais atualizadas do que as que foram restauradas a partir do backup, estas informaes sero
replicadas para o DC onde foi feito o restore nonauthoritative. o processo padro de restore.
Restore Authoritative (Com autoridade): Esta uma situao especial. Para ilustrar este tipo de restore, vou utilizar
uma situao prtica onde ele seria necessrio. Imagine que, por engano, um administrador excluiu uma OU e todo o
seu contedo. Esta informao (ou seja a informao de que a OU foi excluda) ser replicada para os demais DCs do
domnio. O efeito prtico que esta OU ser excluda em todos os DCs do domnio. Voc pode imaginar o seguinte:
Basta restaurar a OU a partir do Backup e pronto, as informaes da OU sero replicadas para os demais DCs e os
dados sero recuperados. Nada disso. Ao restaurar a OU usando o mtodo normal (Nonauthoritative), os dados da OU
sero considerados mais antigos do que a informao de que no existe a OU. Quando houver a replicao entre o DC
onde foi feito o restore da OU e qualquer outro DC do domnio, o que ir acontecer que a OU ser novamente
excluda e no enviada para os outros DCs, pois a informao de que ela foi excluda, mais recente do que os dados
da OU. Com o uso de um restore Authoritative possvel recuperar esta informao. Nesta situao, o administrador
utiliza o comando Ntdsutil para fazer um restore Authoritative (Com autoridade) da OU que foi excluda. Fazer um
restore authoritative significa alterar o nmero de srie dos dados que esto sendo restaurados, de tal maneira que eles
sejam considerados as atualizaes mais recentes em relao a mesma informao que est nos demais DCs do domnio.
Com isso, quando houver a replicao entre o DC onde foi feito o restore e os demais DCs, os dados da OU sero
considerados mais recentes e a OU e todo o seu contedo ser replicada para os demais DCs. O efeito prtico que os
dados da OU sero recuperados.
Quem tem permisso para fazer o backup do estado do sistema? Para fazer o backup ou um restore do tipo
nonauthoritative, o usurio deve ter as seguintes permisses e direitos de usurio:
Para fazer o backup do estado do sistema, o usurio deve pertencer ao grupo Backup Operators (Opers. de cpia) ou
ao grupo Local do domnio Administrators (Administradores).
(Administradores).
Com base no que foi exposto, verificamos que esto corretas as afirmativas III e IV, o que torna verdadeira a
alternativa a.
Questo 35: Voc o responsvel pela administrao das impressoras da rede da empresa. A empresa utiliza apenas
impressoras Laser Coloridas, de alta velocidade e resoluo. As impressoras so controladas e compartilhadas a partir
de trs servidores de impresso: IMPSRV01. IMPSRV02 e IMPSRV03. IMPSRV01 est instalado na matriz em So
Paulo. IMPSRV02 est instalado na filial no Rio de Janeiro e IMPSRV03 na filial em Porto Alegre. Um usurio em
cada localidade, inclusive na matriz, deve ter permisso para gerenciar a fila de impresso, excluindo, se necessrio,
inclusive os documentos enviados por outros usurios, aumentando a prioridade de impresso de alguns documentos
e assim por diante. Somente voc, como administrador da rede, deve ter permisso para compartilhar impressoras,
alterar as suas propriedades e, inclusive, excluir impressoras. Qual o nvel de permisso que deve ser configurado para
o usurio responsvel pelo gerenciamento da fila de impresso em cada unidade?
a) Imprimir
b) Gerenciar Documentos
c) Gerenciar Impressoras
d) Controle Total
e) Gerenciar Fila
Resposta certa: b
Comentrios: Assim como possvel atribuir permisses para uma pasta compartilhada, possvel definir permisses
de acesso para uma impressora compartilhada na rede. As permisses definem quais os usurios que podem utilizar
a impressora e qual o nvel de permisso de cada um. Existem trs nveis de permisso de impresso, conforme
descrito a seguir:
Imprimir: Permite ao usurio Imprimir documentos, pausar, reiniciar e continuar a impresso dos documentos por ele
enviados para a impressora, conectar-se impressora atravs da rede. Normalmente atribuda para aqueles usurios
que simplesmente precisam enviar documentos para a impressora.
Gerenciar documentos: Todas as permisses de Imprimir, mais Controlar a impresso de todos os documentos e
tambm pausar, reiniciar e continuar a impresso de qualquer documento enviado por qualquer usurio. Normalmente
atribuda para aquele usurio que administra a impressora, resolvendo problemas de impresso, mas sem permisses
para alterar propriedades e permisses da impressora.
Gerenciar impressoras: Todas as permisses de Imprimir e Gerenciar documentos, mais cancelar a impresso de todos
os documentos pendentes, compartilhar a impressora, alterar as propriedades da impressora, eliminar a impressora e
alterar as permisses de impresso. Normalmente atribuda a um usurio que deve ter poderes completos sobre a
impressora, inclusive podendo remove-la do sistema.
importante salientarmos, que as permisses para o uso da impressora tem efeito tanto localmente, quanto para o
acesso atravs da rede. Alm disso caso um usurio pertena a mais de um grupo que possui permisses para a
impressora, a sua permisso efetiva a soma das permisses de todos os grupos aos quais o usurio pertence. Tambm
importante lembrar que uma permisso Negar tem prioridade sobre Permitir. Por exemplo se o usurio jsilva pertence
aos grupos Contabilidade e Marketing. O grupo Contabilidade possui permisso Permitir Imprimir, j o grupo Mar-
keting tem permisso Negar Imprimir. Ento a permisso efetiva do usurio jsilva ser Negar Imprimir.
Pela descrio dos nveis de permisso podemos ver que a permisso que o usurio precisa, para gerenciar a fila de
documentos : Gerenciar documentos. No existe a permisso Gerenciar fila. Por isso a resposta correta a letra b.
Active Directory. A rede formada por um nico domnio: abc.com. Voc o responsvel por definir a poltica de
backup para trs servidores: SRV01, SRV02 e SRV03. Estes servidores so Members Server do domnio abc.com
e so utilizados, exclusivamente, para compartilhamento de arquivos. Nenhum outro sistema e/ou servio est
instalado nestes servidores. Como parte da poltica de Backup, voc optou por fazer o Backup apenas dos dados
dos usurios. Em caso de problemas com a instalao do Windows Server 2003 nestes servidores, voc ir reinstalar
o Windows Server 2003 e restaurar os dados dos usurios a partir do Backup. O horrio normal de expediente de
segunda a sexta-feira. Os usurios no tem acesso aos dados nos finais de semana. As regras para a poltica de
Backup so as seguintes:
I. Deve ser feito, pelo menos, um backup semanal completo, de todos os dados, independente dos arquivos terem
sido ou no alterados desde o ltimo Backup.
II. Voc deve fazer o backup da menor quantidade de informao possvel para a restaurao dos dados.
III. A poltica de backup deve permitir que o restore dos dados seja feito utilizando-se, no mximo, duas fitas.
Das estratgias de Backup descritas a seguir, qual a que atende as regras definidas pela poltica de Backup/Restore da
empresa?
a) Backup Normal no Sbado ou Domingo.
Backup do tipo Cpia de segunda a sexta-feira.
b) Backup Normal no Sbado ou Domingo
Backup do tipo Incremental de segunda a sexta-feira.
c) Backup Normal no Sbado ou Domingo
Backup do tipo Diferencial de segunda a sexta-feira.
d) Backup Normal todos os dias.
e) Backup do tipo Cpia, todos os dias.
Resposta certa: c
Comentrios: Esta questo testa, basicamente, o conhecimento do candidato em relao aos tipos de backup disponveis
no Windows Server 2003. A seguir apresento uma descrio dos tipos de backup disponveis no Windows Server 2003:
independentemente de os arquivos terem sido alterados ou no. Os arquivos so marcados como tendo sido feito o
backup, ou seja, o atributo de arquivamento desmarcado. Cada arquivo tem um atributo que pode ser marcado ou
desmarcado. Este atributo serve para informar ao Windows Server 2003 se o arquivo foi ou no modificado desde o
ltimo backup normal. A principal vantagem do backup normal a facilidade para fazer a restaurao dos arquivos,
quando necessrio. Com o backup do tipo normal, para restaurar os dados, voc precisa apenas do ltimo backup
normal que foi criado. A desvantagem o tamanho do backup e o tempo para execuo Em cada execuo do backup,
todos os arquivos e pastas sero copiados, independentemente de terem sido alterados ou no. Geralmente, o backup
normal executado quando voc cria um conjunto de backup pela primeira vez. Nos backup subseqentes comum a
utilizao de outros tipos de backup, conforme descreverei logo a seguir. Por isso que nesta questo, descartamos o
uso de um backup normal todos os dias, pois se fizssemos isso, no estaramos respeitando a diretiva que pede para
que seja feito o backup do menor volume de informaes possvel.
Copy (Cpia): Backup que copia todos os arquivos selecionados, mas no marca cada arquivo como tendo sofrido
backup (em outras palavras, o atributo de arquivamento no desmarcado). idntico ao backup Normal, com a
diferena de que os arquivos no so marcados como tendo sido copiados. A cpia til caso voc queira fazer backup
de arquivos entre os backups normal e incremental (veja descrio do backup incremental logo a seguir), pois ela no
afeta essas outras operaes de backup ou quando voc precisa fazer uma cpia extra dos dados para enviar para um
filial da empresa ou para manter a cpia armazenada em um local seguro. Por isso que nesta questo, descartamos o
uso de um backup do tipo Cpia todos os dias, pois se fizssemos isso, no estaramos respeitando a diretiva que pede
para que seja feito o backup do menor volume de informaes possvel.
Incremental (Incremental): Este tipo de backup copia somente os arquivos criados ou alterados desde o ltimo backup
normal ou desde o ltimo backup incremental. Os arquivos copiados para o backup so marcados (ou seja, o atributo
de arquivamento desmarcado). Se voc utilizar uma combinao de backups normais e incrementais para restaurar
os seus dados, ser preciso ter o ltimo backup normal e todos os conjuntos de backups incrementais feitos aps este
backup normal e restaur-los na seqncia correta. A grande vantagem do backup incremental que ele reduz o tempo
necessrio para a execuo do backup, pois somente feita a cpia dos arquivos que foram criados ou modificados
desde o ltimo backup normal ou incremental. A grande desvantagem que para fazer a restaurao necessrio o
ltimo backup normal e todos os backups incrementais subseqentes. Os backups incrementais devem ser restaurados
na seqncia cronolgica em que foram criados. Alm disso, se um dos backups incrementais apresentar problemas,
no ser possvel restaurar os dados at o ponto do ltimo backup incremental. Nesta questo especfica, no pode ser
utilizado o backup Incremental, pois para fazer o restore, usando uma combinao de backup normal e incremental,
voc deve restaurar o ltimo backup normal e todos os backups incrementais subseqentes, na ordem em que foram
feitos. A poltica de backup da empresa afirma que devem ser utilizadas, no mximo, duas fitas para fazer o restore.
Com isso descartamos o backup incremental.
Differential (Diferencial): Este tipo de backup faz a cpia de todos os arquivos criados ou alterados desde o ltimo
backup normal ou incremental. Os arquivos que sofreram backup no so marcados como tal (ou seja, o atributo de
arquivamento no desmarcado). Com isso cada backup diferencial, copia todos os arquivos que foram modificados
desde o ltimo backup normal (ou incremental, caso algum tenha sido feito). Se voc estiver executando uma combinao
de backups normal e diferencial, a restaurao de arquivos e pastas exigir que voc tenha o ltimo backup normal e
o ltimo backup diferencial. A restaurao mais rpida do que quando voc usa backups incrementais, pois somente
necessrio o ltimo backup diferencial, porm cada backup diferencial passa a ser maior, pois contm a cpia de
todos os arquivos criados ou modificados desde o ltimo backup normal ou incremental. Nesta questo especfica,
este o tipo de backup ser utilizado, pois para fazer o restore, usando uma combinao de backup normal e diferencial,
voc deve restaurar o ltimo backup normal e somente o ltimo backup diferencial, ou seja, no mximo sero necessrios
dois backups, que exatamente o que pede a poltica de backup/restore da empresa.
Daily (Dirio): Este tipo de backup copia todos os arquivos selecionados que forem alterados no dia de execuo do
backup dirio. Os arquivos que sofreram backup no so marcados como tal (ou seja, o atributo de arquivamento no
desmarcado). No um tipo muito utilizado. Pode ser utilizado em conjunto com backups do tipo normal e incremental.
Questo 37: Voc o Administrador de uma rede baseada no Windows Server 2003 e no Active Directory. O servidor
SRV045 utiliza uma configurao de RAID-5, formada pela combinao de volumes em cinco discos dinmicos.
Desde o incio da manh os usurios vem reclamando de lentido no acesso aos dados contidos no volume RAID-5 do
servidor SRV045, volume este que montado para os usurios, via logon de script, como sendo o drive S:. Voc faz o
logon como Administrador no console do servidor SRV045 e abre o console Gerenciamento do computador e acessa
as configuraes de discos do servidor. O status do volume RAID-5 est como Falha de redundncia e o status de um
dos discos est como Off-line. O nome do disco est como Ausente. Um cone (X) aparece no modo de exibio
grfico do disco. Quais os passos para corrigir o volume RAID-5 que est apresentando problemas?
a) 1. Faa o logon como Administrador ou como membro do grupo Administradores.
2. Certifique-se de que o disco fsico esteja ligado, conectado fonte de energia e conectado ao computador. Se
necessrio, ligue ou reinstale o disco fsico.
3. Clique com o boto direito do mouse no disco ausente ou off-line e, em seguida, clique em Reativar disco.
b) 1. Faa o logon como membro do grupo Opers. de Servidores.
2. Certifique-se de que o disco fsico esteja ligado, conectado fonte de energia e conectado ao computador. Se
necessrio, ligue ou reinstale o disco fsico.
c) 1. Faa o logon como Administrador ou como membro do grupo Administradores.
2. Substitua o disco rgido.
d) Exclua o volume RAID-5.
Recrie o volume.
e) Exclua o volume RAID-5.
Recrie o volume.
Restaure os dados a partir do Backup.
Resposta certa: a
Comentrios: Neste exemplo, por algum motivo, um dos discos do volume RAID-5 est apresentando o Status Off-
line. Quando um disco est com o Status Off-line no preciso substitu-lo. A primeira tentativa que deve ser feita a
de Reativar o disco. Somente se no for possvel reativar o disco que deve-se partir para a substituio do disco. Para
o exemplo da questo, primeiro voc deve fazer o logon com uma conta com permisso de Administrador. O prximo
passo tentar reativar o disco. No preciso excluir o volume RAID-5. Com isso ficamos com a alternativa a
Mesmo que voc tenha que substituir um disco, no ser preciso recriar o volume. No evento de ter que substituir um
disco defeituoso, o qual faz parte do RAID-5, aps a substituio do disco, voc deve fazer o logon como Administrador.
Certifique-se de que o disco fsico esteja ligado, conectado fonte de energia e conectado ao computador. Se necessrio,
ligue ou reinstale o disco fsico. Clique com o boto direito do mouse no disco ausente ou off-line e, em seguida,
clique em Reativar disco. Para substituir uma regio do disco no volume RAID-5, voc precisa ter um disco dinmico
com espao no alocado que seja, pelo menos, to grande quanto a regio a ser reparada. Se voc no tiver um disco
dinmico com espao suficiente no alocado, o comando Reparar volume no estar disponvel. (Para verificar se
voc tem espao suficiente, clique no disco, clique em Propriedades e veja o tamanho em Espao no alocado. Esse
tamanho pode ser um pouco menor do que o mostrado nos modos de exibio de lista e grfico).
Quando um membro de um volume RAID-5 tem uma falha grave (como perda de energia ou uma falha total do disco
rgido), ele se torna um rfo. Se isso acontecer, voc poder regenerar os dados para o membro rfo a partir dos
demais membros do volume RAID-5.
Se a falha do volume RAID-5 ocorrer devido a uma falta de energia ou falha em fiao de um nico dispositivo, voc
poder regenerar os dados dentro do membro rfo do volume RAID-5, assim que as condies do hardware sejam
restauradas.
O volume RAID-5 no exibir o status ntegro no Gerenciamento de disco at que a regenerao tenha terminado.
Questo 38: Em relao s permisses NTFS no correta a seguinte afirmao:
a) As permisses NTFS so cumulativas, ou seja, se um usurio pertencer a mais de um grupo, a sua permisso
efetiva ser a soma das permisses de todos os grupos.
b) Negar tem precedncia sobre qualquer outra permisso.
c) As permisses de arquivos tem precedncia sobre as permisses de pastas.
d) possvel desabilitar o mecanismo de herana das permisses NTFS.
e) Se um usurio retirar todas as permisses de uma pasta ou arquivo, esta pasta estar definitivamente inacessvel,
mesmo para o Administrador do sistema.
Resposta certa: e
Comentrios: Todas as afirmativas esto corretas com exceo da letra e. As permisses NTFS so cumulativas, negar
tem precedncia sobre qualquer outra permisso, as permisses de arquivos que tem precedncia sobre as permisses
de pasta e tambm possvel desabilitar o mecanismo de herana. A letra e est errada porque mesmo que um usurio
retire todas as permisses de uma pasta ou arquivo, o Administrador ainda poder usar o recurso de Take Owner-
ship, descrito na Questo 13 deste simulado.
Questo 39: O usurio jsilva pertence aos seguintes grupos: Gerentes, Tcnicos e Marketing. O usurio jsilva precisa
ter acessos somente de leitura nos documentos do Word que esto em uma pasta compartilhada, no servidor
\\SRV01\worddocs. O usurio deve ter permisso somente de leitura, quer ele esteja acessando a pasta worddocs
atravs da rede ou localmente logado no servidor SRV01.
Permisses NTFS:
Tcnicos: Leitura
Marketing: Acesso total
Gerentes: Leitura
Tcnicos: Leitura
Marketing: Leitura
O que deve ser alterado para que o usurio jsilva no possa alterar os documentos desta pasta, mas sim somente ler o
contedo dos documentos, quer seja atravs da rede, quer seja acessando localmente no servidor SRV01?
a) Atribua a permisso NTFS Negar Leitura a conta jsilva.
b) Retire o usurio jsilva do grupo Gerentes.
Resposta certa: e
Comentrios: Para responder corretamente esta questo, o usurio deve lembrar de algumas regras bsicas das permisses
NTFS, quando o usurio pertence a mais de um grupo:
Tambm importante lembrar que quando existem diferenas entre as permisses NTFS e as permisses de
Compartilhamento, vale a mais restritiva. Neste caso a permisso mais restritiva a de compartilhamento que
somente Leitura. Neste caso o usurio jsilva, quando acessando atravs da rede, ter somente leitura. No esquea que
as permisses de compartilhamento somente tem efeito para o acesso atravs da rede. Se o usurio jsilva fizer o logon
no servidor SRV01 e acessar a pasta worddocs localmente, valero apenas as permisses NTFS. Neste ltimo caso,
acessando localmente, o usurio jsilva teria permisso Controle Total na pasta worddocs. Por isso devemos retir-lo
dos grupos Gerentes e Marketing para que, localmente, ele tambm tenha permisso somente de leitura.
Questo 40: Considere as afirmaes a seguir em relao ao Terminal Services, no Windows Server 2003:
I. Suporte automtico impressora local: O Terminal Services pode adicionar e reconectar automaticamente
impressoras conectadas aos clientes de Servios de terminal. Ou seja, mesmo conectado ao servidor, via Terminal
Services, o cliente poder imprimir na impressora localizada localmente na sua estao de trabalho.
II. possvel fazer o redirecionamento de rea de transferncia Os usurios podem recortar e colar entre programas
que esto sendo executados no computador local e no Terminal server.
III. Integrao com Usurios e grupos locais e Usurios e computadores do Active Directory do Windows Server
2003. Os administradores podem criar contas para os usurios dos Servios de terminal da mesma forma que
criam contas para os usurios do Windows Server 2003. H campos extras para especificar informaes especficas
aos servios de terminal, como caminho de perfil e pasta base de Servios de terminal.
IV. Criptografia: Os vrios nveis de criptografia permitem que os administradores criptografem todos ou alguns
dados transmitidos entre o Windows Server 2003 e os cliente de Servios de terminal em trs nveis diferentes
(baixo, mdio ou alto), dependendo das necessidades de segurana. Alm disso, o processo de logon dos Servios
de terminal inclui recursos para alterar a senha, desbloquear a rea de trabalho e desbloquear a proteo de tela. O
processo de logon criptografado, garantindo a transferncia segura do nome do usurio e senha. Os Servios de
terminal oferecem suporte criptografia de 40 bits e 128 bits (disponvel apenas nos Estados Unidos e no Canad)
entre o servidor e o cliente.
V. Tempo limite de sesso configurvel: Os administradores podem reduzir o uso de recursos do servidor ao configurar
tempo limite de sesso. Os administradores podem especificar a durao de uma sesso ativa e o tempo em que a
sesso pode permanecer ociosa no servidor.
Esto incorretas as seguintes afirmativas:
a) I, III e V
b) I e IV
c) I, II, III e IV
d) I, II, III
e) Nenhuma, pois todas as afirmaes esto corretas.
Resposta certa: e
Comentrios: Todas as afirmaes esto corretas, pois descrevem recursos realmente disponveis no Terminal Services.
Questo 41: Voc o Administrador da rede da empresa, a qual baseada no Windows Server 2003 Server e no Active
Directory. As estaes de trabalho da rede so baseadas no Windows XP Professional e no Windows 2000 Profes-
sional. Voc deve implementar um conjunto de trs pastas compartilhadas no servidor SRV01. Uma das pastas conter
documentos de uso pblico e dever ser compartilhada como Pub. Uma segunda pasta conter apenas arquivos de
instalao de programas e dever ser compartilhada como Programs. A terceira pasta conter documentos sobre as
finanas da empresa. Esta terceira pasta deve ser compartilhada de tal maneira que ele no possa ser exibida usando o
comando \\SRV01 ou atravs da opo Meus locais de rede. Dos nomes de compartilhamento a seguir, qual pode ser
utilizado para atender ao requisito solicitado?
a) Finan#
b) $Finan
c) Finan$
d) Finan@
e) Finan*
Resposta certa: c
Comentrios: Esta questo um detalhe bastante simples, porm bem importante. Voc pode criar os chamados
Compartilhamentos Ocultos. Um compartilhamento Oculto no exibido quando voc executa o comando
\\Nome_do_Computador e tambm no exibido quando voc acessa o computador atravs da opo Meus locais de
rede. Para tornar um compartilhamento oculto, basta utilizar o caractere $, como ltimo caractere do nome do
compartilhamento. Com isso ficamos com a alternativa C, ou seja, o nome do compartilhamento deve ser Finan$.
rede formada por um nico domnio e todos os servidores esto baseados no Windows Server 2003. Atualmente
voc est implementando um processo de descentralizao da administrao de alguns recursos da rede. O usurio
jsilva ser o responsvel por administrar o compartilhamento Docs, no servidor SRVFILES01. O usurio jsilva deve
ter permisso para alterar as permisses NTFS nas pastas e arquivos do compartilhamento Docs. Qual nvel de permisso
deve ser atribudo ao usurio jsilva, de tal maneira que ele possa alterar as permisses nas pastas e arquivos do
compartilhamento Docs?
a) Leitura, Alterao e Gravao
b) Alterao e Gravao
c) Leitura e Permisso Desviar pasta/Executar arquivo
d) Alterao, Gravao e Ler atributos
e) Controle Total
Resposta certa: e
Comentrios: Dos nveis de permisso listados nas alternativas, o nico nvel de permisso que possibilita ao usurio,
alterar as permisses de pastas e arquivos a permisso Controle total. Ao invs de Controle total, poderia ser utilizado
o nvel Alterar permisses, porm este no foi citado na questo. A seguir apresento um resumo sobre os nveis de
permisses NTFS disponveis e as respectivas permisses associadas a cada nvel.
Traverse Folder/Execute File (Permisso Desviar pasta/Executar arquivo): Estas permisses so aplicadas a pastas e
arquivos. Para as pastas, Desviar pasta permite ou nega o movimento atravs de pastas para acessar outros arquivos ou
pastas, mesmo que o usurio no tenha permisses referentes s pastas desviadas (aplica-se somente a pastas). Por
exemplo vamos supor que o usurio tem permisso na pasta C:\Documentos, no tem permisso na pasta
C:\Documentos\Ofcios e tem na pasta C:\Documentos\Ofcios\2001. Neste caso, o usurio para chegar at a pasta
2001, ter que passar pela pasta Ofcios, para a qual ele no tem permisso. Para que o usurio possa passar pela pasta
Ofcio, o administrador deve atribuir-lhe a permisso Desviar pasta. Desviar pasta tem efeito apenas quando o grupo
ou usurio no tem o direito de usurio Ignorar verificao com desvio no snap-in de diretivas de grupo. (Por padro,
o grupo Todos tem o direito de usurio Ignorar verificao com desvio.).
Para os arquivos: Execute File (Executar arquivo) permite ou nega a execuo de arquivos de programa (aplica-se
somente a arquivos). Ao definir a permisso Traverse Folder (Desviar Pasta) em uma pasta, voc no est
Permisso List Folder/Read Data (Listar Pasta/Ler Dados): List Folder (Listar Pasta) permite ou nega a exibio de
nomes de arquivos e subpastas dentro da pasta. Essa permisso afeta apenas o contedo da pasta em questo, no
afetando o fato de a pasta na qual a permisso est sendo definida ser listada ou no. Aplica-se somente a pastas. Read
Data (Ler Dados) permite ou nega a exibio de dados em arquivos (aplica-se somente a arquivos). Por exemplo, se o
usurio tem permisso de Ler dados em um arquivo do Word, este usurio poder abrir o arquivo, porm no poder
altera-lo ou exclu-lo.
Permisso Read Attributes (Ler Atributos): Permite ou nega a exibio de atributos de um arquivo ou pasta, como
os atributos somente leitura ou oculto. Os atributos so definidos pelo NTFS. Para acessar os atributos de uma
pasta ou arquivo, clique com o boto direito do mouse na pasta/arquivo e, no menu que surge, d um clique na
opo Properties (Propriedades).
Permisso Read Extended Attributes (Ler Atributos Estendidos): Permite ou nega a exibio de atributos estendidos
de um arquivo ou pasta. Os atributos estendidos so definidos por programas e podem variar de acordo com o programa.
Permisso Create Files/Write Data (Criar Arquivos/Gravar Dados): Criar arquivos permite ou nega a criao de
arquivos dentro da pasta (aplica-se somente a pastas). Gravar dados permite ou nega as alteraes no arquivo e a
substituio de um contedo existente (aplica-se somente a arquivos). Esta permisso mais conhecida por permisso
de Escrita (ou Alterao).
Create Folders/Append Data (Permisso Criar Pastas/Acrescentar Dados): Criar pastas permite ou nega a criao de
pastas dentro da pasta na qual a permisso foi definida (aplica-se somente a pastas). Acrescentar dados permite ou
nega as alteraes no final do arquivo, mas no a alterao, excluso ou substituio de dados existentes (aplica-se
somente a arquivos).
Permisso Write Attributes (Gravar Atributos): Permite ou nega a alterao de atributos de um arquivo ou pasta, como
somente leitura ou oculto. Os atributos so definidos pelo NTFS. A permisso Gravar atributos no implica na criao
ou excluso de arquivos ou pastas, apenas inclui a permisso para efetuar alteraes nos atributos de um arquivo ou de
uma pasta.
Permisso Write Extended Attributes (Gravar Atributos Estendidos): Permite ou nega a alterao de atributos estendidos
de um arquivo ou pasta. Os atributos estendidos so definidos por programas e podem variar de acordo com o programa.
A permisso Gravar atributos estendidos no implica na criao ou excluso de arquivos ou pastas, apenas inclui a
permisso para efetuar alteraes nos atributos de um arquivo ou de uma pasta
Permisso Delete Subfolders and Files (Excluir Subpastas e Arquivos): Permite ou nega a excluso de subpastas e
arquivos, mesmo que a permisso Excluir no tenha sido concedida na subpasta ou arquivo. (aplica-se a pastas). Por
exemplo, se voc no tem permisso de Excluir na pasta Documentos, mas tem permisso de Excluir em um arquivo
memo.doc, que est na pasta Documentos, voc conseguir Excluir o documento memo.doc, pois as permisses de
arquivo tem precedncia sobre as permisses de pastas, quando conflitantes.
Permisso Delete (Excluir): Permite ou nega a excluso da pasta e/ou arquivo. Se o usurio no tiver permisso de
excluir em um arquivo ou pasta, ele ainda poder excluir o arquivo ou pasta, se ele tiver permisso Delete Subfolders
and Files (Excluir Subpastas e Arquivos) na pasta pai. Por exemplo, suponha uma pasta Documentos, na qual o usurio
tem permisso Delete Subfolders and Files. Dentro da pasta Documentos tem a pasta Ofcios, na qual o usurio no
tem permisso Delete. Mesmo assim ele poder excluir a pasta Ofcios, pois ele tem permisso Delete Subfolders and
Files na pasta Pai de Ofcios que a pasta Documentos.
Permisso Read Permissions (Ler Permisses): Permite ou nega a leitura de permisses do arquivo ou pasta, como
Controle total, Ler e Gravar. Se o usurio no tiver esta permisso, ele no poder exibir a lista com as permisses
definidas para um arquivo e/ou pasta.
Permisso Change Permissions (Alterar Permisses): Permite ou nega a alterao de permisses do arquivo ou pasta,
como Controle total, Ler e Gravar. Esta uma permisso poderosa e que deve ser utilizada com cuidado. Uma vez
que o usurio tem permisso para Alterar permisses, ele pode perfeitamente atribuir Controle total para ele mesmo,
ou seja, para a sua conta de usurio.
Permisso Take Ownership (Apropriar-se) : Permite ou nega a apropriao (tornar-se dono) do arquivo ou pasta. O
proprietrio de um arquivo ou pasta sempre pode alterar permisses, independentemente de qualquer permisso existente
que proteja o arquivo ou pasta. O dono de um arquivo ou pasta, por padro, o usurio que cria o arquivo /pasta.
Questo 43: Considere as afirmaes a seguir em relao as permisses NTFS:
I. Permisses NTFS so cumulativas, isto , se um usurio pertence a mais de um grupo, os quais tem diferentes
nveis de permisso para um recurso, a permisso efetiva do usurio a soma das permisses atribudas aos
II. Permisses NTFS para um arquivo tm prioridade sobre permisses NTFS para pastas. Por exemplo se um usurio
tm permisso NTFS de escrita em uma pasta, mas somente permisso NTFS de leitura para um arquivo dentro
desta pasta, a sua permisso efetiva ser somente a de leitura, pois a permisso para o arquivo tem prioridade
sobre a permisso para a pasta.
III. Negar uma permisso NTFS tem prioridade sobre permitir. Por exemplo, se um usurio pertence a dois grupos
diferentes. Para um dos grupos foi dado permisso de leitura para um arquivo e para o outro grupo foi Negada a
permisso de leitura, o usurio no ter o direito de leitura, pois Negar tem prioridade sobre Permitir.
IV. Permisses NTFS so vlidas tanto para acesso local, no computador onde as pastas e arquivos esto gravados,
quanto para o acesso via uma pasta compartilhada na rede.
V. No caso de diferenas entre as permisses NTFS resultantes e as permisses de compartilhamento resultantes, a
permisso efetiva ser a mais restritiva.
a) I, II, III, IV e V
b) I, II, III e V
c) I, III, IV e V
d) I, II, III e IV
e) II, III e IV
Resposta certa: a
Comentrios: Todas as afirmaes esto corretas e descrevem o funcionamento das permisses NTFS. Este um
tpico que o candidato deve conhecer muito bem para o exame. Voc deve conhecer como funciona o mecanismo de
permisses, tanto permisses NTFS quanto permisses de compartilhamento
Questo 44: Voc trabalha com Administrador de uma rede baseada no Windows
Server 2003 e com Clientes utilizando o Windows 2000 Professional ou o Windows
XP Professional. Como Administrador da rede voc est implementando uma
poltica de monitoramento do desempenho dos servidores da rede. Os dados so
coletados e armazenados em um banco de dados para anlise posterior. Os usurios
passaram a reclamar de problemas de desempenho em um dos servidores de
arquivos da rede - SRVFILES01. Voc acessa o banco de dados de monitoramento
de desempenho e faz pesquisas para obter o valor mdio de alguns contadores
que esto sendo monitorados, conforme indicado a seguir:
Memria\Available Bytes -> 650 MB
Physical Disk\Current Disk Queue Length -> 13,45 (valor mdio)
compartilhada, desde somente
leitura, at um controle total sobre
o contedo da pasta compartilhada.
Porm as permisses de
compartilhamento somente tem
efeito se o acesso for feito pela rede.
Se o usurio fizer o logon no
compartilhada e acess-la
localmente, atravs do drive C: (ou
outro drive qualquer onde est a
pasta compartilhada), as
no sero verificadas e, portanto,
no tero nenhum efeito. Para
limitar o acesso, mesmo localmente,
usa-se as permisses NTFS, as quais
sero descritas mais adiante.
Memory Memory\Pages/sec -> 1,25 (valor mdio)
Processor\% Processor Time -> 35% (valor mdio)
Com base nos valores obtidos, o que voc deve fazer para solucionar o problema
de desempenho do servidor SRVFILES01?
a) Adicionar mais memria RAM
b) Substituir o sistema de discos por um sistema de maior velocidade
c) Fazer um Upgrade do Processador
d) Adicionar mais uma placa de rede
e) Aumentar o tamanho do arquivo de paginao - PageFile.sys
Resposta certa: b
NO ESQUEA: Permisses de
localmente, isto , se um usurio
fizer o logon no computador onde
est a pasta compartilhada, o
usurio ter acesso a todo o
contedo da pasta, a menos que as
Permisses NTFS estejam
Comentrios: Esta questo testa o conhecimento do candidato em relao aos valores limites para os principais
contadores a serem monitorados em um Servidor com o Windows Server 2003. Dos contadores apresentados, o que
est acima do limite o contador Current Disk Queue Lenght (Comprimento atual da fila de disco). O limite sugerido
para este contador 2, ou seja, valores maiores do que 2 indicam problemas de desempenho com o sistema de discos.
A seguir apresento uma lista dos valores limites sugeridos, para os principais contadores a serem monitorados:
Disco fsico\ % Tempo do disco -> 90%
Disco fsico\ Comprimento atual da fila de disco -> 2
Memria Memria\ Bytes disponveis -> Menos de 4 MB
Memria Memria\ Pginas por segundo -> 20
Arquivo de paginao Arquivo de paginao\ % Uso -> 99%
Processador Processador\ % Tempo do processador -> 85%
Questo 45: Voc o responsvel por implementar uma rede baseada no Windows Server 2003. A maioria das estaes
dos Clientes utilizaro o Windows 2000 Professional e algumas utilizaro o Windows 98 ou Windows Me. Voc fez o
projeto da rede, criando um nico domnio baseado no Active Directory. Como servio de resoluo de Nomes voc
est utilizando o DNS. O servidor DNS est instalado no DC da matriz. As configuraes do protocolo TCP/IP so
fornecidas, automaticamente, para todas as estaes clientes, utilizando um servidor DHCP devidamente configurado
e autorizado no Active Directory. A sua rede composta de um nico domnio distribudo em diferentes localidades.
Em cada localidade instalado um servidor com o Windows Server 2003 e com o Active Directory e o servio DHCP
instalado. Os clientes com o Windows 98 informam que no esto conseguindo acessar recursos nos servidores de
impresso e de arquivos do domnio. Voc faz uma anlise do problema e descobre que os clientes com o Windows 98
no esto conseguindo resolver o nome dos servidores. O que voc deve fazer para que todos os clientes Windows 98,
de todas as localidades, possam resolver normalmente o nome de todos os servidores da rede?.
a) Crie uma zona DNS secundria nos servidores das demais unidades.
Configure esta zona como primria do DNS da matriz.
b) Transforme a zona DNS do servidor da matriz em uma zona integrada com o Active Directory.
c) Configure o DHCP das unidades para replicar com o servidor DHCP da matriz.
d) Instale o WINS em, pelo menos, um servidor de cada unidade, inclusive na Matriz.
Configure a replicao entre os servidores WINS.
Configure os servidores DHCP para fornecer o nmero IP do respectivo servidor WINS de cada localidade.
e) Habilite o Forward no Servidor DNS da Matriz.
Resposta certa: d
Comentrios: A chave para essa questo saber que os clientes, anteriores ao Windows 2000 (Windows 95/98 ou Me),
dependem do servio WINS - Windows Internet Naming Services para a resoluo de nomes. Estes clientes mais
antigos no usam o DNS para a resoluo de nomes da rede interna. No exemplo proposto, como no existe servidores
WINS disponveis, os clientes Windows 98/Me no conseguem resolver o nome dos servidores, por isso no conseguem
se conectar aos recursos disponveis nos servidores. Para que os clientes Windows 98/Me possam resolver os nomes
da rede interna, voc deve instalar um servidor WINS em cada localidade e configurar um esquema de replicao
entre esses servidores. Se a replicao no for configurada, os clientes somente conseguiro resolver o nome dos
servidores da prpria localidade, usando para isso Broadcast. Aps ter instalado os servidores WINS, voc deve
configurar o servidor DHCP para informar o nmero IP do servidor WINS para os clientes, durante a inicializao.
Esta ltima etapa fundamental, pois no adianta estar disponvel o servidor WINS se o cliente no for configurado
para utiliz-lo. Em resumo: Em redes que possuem clientes com o Windows 2000 e tambm clientes com verses
anteriores, como o Windows 95/98/Me, no basta o DNS, preciso o WINS. O Windows XP utiliza o DNS para
resoluo de nomes.
Active Directory. Voc est fazendo o planejamento em relao aos volumes e tipos de volumes a serem implementados
nos servidores da rede. Considere as afirmaes a seguir, em relao ao armazenamento bsico e dinmico no Win-
dows Server 2003:
I. Armazenamento bsico: o tipo de armazenamento que vem sendo utilizado desde a poca do bom e velho
(talvez no to bom) MS-DOS. utilizado por sistemas como o Windows 95, Windows 98, Windows NT Server
4.0 e Windows NT Workstation 4.0. o tipo de armazenamento padro no Windows Server 2003, isto , todos os
novos discos so criados com Armazenamento bsico. Caso seja necessrio o administrador pode transform-los
para armazenamento dinmico sem perda de dados. Um disco com armazenamento bsico chamado de disco
bsico.
II. importante salientar que um disco somente pode ser configurado para um tipo de armazenamento. No
possvel, por exemplo, ter uma parte do disco configurada como armazenamento bsico e o restante como
III. No armazenamento bsico, o disco dividido em parties. Uma partio uma parte do disco que se comporta
como se fosse uma unidade de armazenamento separada. Por exemplo, em um disco de 4GB, posso criar duas
parties de 2GB, que na prtica se comportam como se fossem dois discos de 2GB independentes. Em um disco
com armazenamento bsico, possvel ter Parties primrias, parties estendidas e Drivers lgicos.
IV. No armazenamento dinmico, criada uma nica partio com todo o espao do disco. Um disco configurado
com armazenamento dinmico chamado de Disco dinmico. Um disco dinmico pode ser dividido em volumes.
Um volume pode conter uma ou mais partes de um ou mais discos. Tambm possvel converter um disco bsico
para disco dinmico. Existem diferentes tipos de volumes. O tipo de volume a ser utilizado, determinado por
fatores tais como espao disponvel, performance e tolerncia a falhas. A tolerncia a falhas, diz respeito a
possibilidade do Windows Server 2003 manter as informaes, mesmo no evento de comprometimento de um
disco ou volume.
Esto corretas as seguintes afirmaes:
a) Nenhuma
b) I, II e III
c) I, II e IV
d) I, II, III e IV
e) IV
Resposta certa: d
Comentrios: Esta questo descreve as caractersticas dos dois tipos de armazenamento disponveis no Windows
Server 2003: Disco Bsico e Disco Dinmico. Todas as afirmativas esto corretas e descrevem corretamente os tipos
de armazenamento. Com isso ficamos com a alternativa D.
Questo 47: Voc o responsvel por administrar o servidor SRV015, o qual um Member Server do domnio
abc.com.br. O servidor SRV015 atua como servidor de arquivos. Nesse servidor voc criou um volume do tipo Stripe
Set Sem Paridade (Striped Volume), a partir de espaos no alocados de cinco discos diferentes. Toda noite feito um
backup Normal de todos os dados do Stripe Set. Na segunda-feira voc chega mais cedo ao servio e observa que a luz
de advertncia de um dos discos que faz parte do Stripe Set est acessa. Em seguida voc constata que o referido disco
est com problemas e precisa ser substitudo. O que voc deve fazer para que o Stripe Set volte a estar disponvel para
os usurios da rede?
a) Substitua o disco defeituoso.
Utilize o comando Examinar Discos Novamente (Rescan Disks).
Exclua o Stripe Set existente.
Crie um novo Stripe Set no qual includo espao no alocado do novo disco.
Restaure o ltimo Backup Normal.
b) Substitua o disco defeituoso.
Utilize o comando Reconstruir Stripe Set.
c) Substitua o disco defeituoso.
d) Substitua o disco defeituoso.
Exclua o Stripe Set existente.
e) Substitua o disco defeituoso.
Resposta certa: a
Comentrios: Um Stripe Set sem paridade (Striped Volume) pode ser criado a partir de espaos no alocados, de igual
tamanho, de no mnimo dois e no mximo 32 discos. O Windows preenche o espao de cada disco simultaneamente.
Com isso as informaes so gravadas nos diversos discos ao mesmo tempo. Porm esse tipo de volume no fornece
nenhuma tolerncia falhas, ou seja, se um dos discos que forma o Stripe Set apresentar problemas, todo o contedo
gravado no Stripe Set estar inacessvel e ter que ser restaurado do Backup. Na situao proposta voc deve, primeiro,
substituir o disco defeituoso, em seguida utilizar o comando Examinar Discos Novamente (Rescan Disks), para que
o Windows 2000 detecte o novo disco. Em seguida voc deve excluir o Stripe Set existente, cri-lo novamente, agora
j incluindo espao do novo disco e em seguida restaurar os dados a partir do ltimo backup Normal. Por isso a
resposta correta a letra a.
Questo 48: Voc o Administrador de uma rede baseada no Windows Server 2003 e no Active Directory. Todos os
clientes so baseados no Windows XP Professional e esto configurados para utilizar o servidor DNS do domnio,
para resoluo de nomes. Voc instalou uma impressora de rede, Laser, Colorida, de alta velocidade e qualidade, a
qual ser utilizada pelo departamento de Projeto e Design da empresa. Voc atribuiu o endereo IP 10.10.5.150 para a
impressora e o nome LaserCol05. Os usurios reclamam que no esto conseguindo acessar a nova impressora, usando
os aplicativos do departamento de Projeto e Design. Voc verifica as configuraes destes aplicativos e observe que
estes somente aceitam que seja configurada uma impressora, usando o nome da impressora e no o endereo IP. Esta
impressora ser utilizada por cerca de 250 usurios do departamento de Projeto e Design. Qual a maneira mais prtica
de fazer com que todos os usurios possam ter acesso a impressora usando o nome LaserCol05?
a) Adicione a seguinte linha, ao arquivo hosts de todas as estaes de trabalho que devem ter acesso impressora:
10.10.5.150 LaserCol05
b) Adicione a seguinte linha, ao arquivo hosts do servidor DNS:
10.10.5.150 LaserCol05
c) No servidor DNS da rede, crie um registro do tipo A, associando o nome LaserCol05 com o IP 10.10.5.150
d) No servidor DNS da rede, crie um registro do tipo CNAME, associando o nome LaserCol05 com o IP 10.10.5.150
e) No servidor DNS da rede, crie um registro do tipo PTR, associando o nome LaserCol05 com o IP 10.10.5.150
Resposta certa: c
Comentrios: Esta questo testa os conhecimentos bsicos do candidato em relao ao DNS. Embora o DNS no seja
um tpico especfico do programa oficial do Exame, a Microsoft poder cobrar questes bsicas do DNS, por consider-
las fundamentais para o candidato que pretende obter o MCSA ou MCSE-2003. O DNS cobrado mais detalhadamente
nos Exames 70-291, 70-292 e 70-296. Nesta questo, o primeiro ponto que a configurao deve ser feita no servidor
DNS e no no arquivo hosts. A opo de configurar o arquivo hosts de todas as estaes de trabalho at iria funcionar,
porm est longe de ser a maneira mais prtica . Uma vez definido que deve ser utilizado o DNS, voc tem que
lembrar que o tipo de registro que associa um nome com um nmero IP o registro do tipo A. Com isso ficamos com
a alternativa C, ou seja, o administrador deve criar um registro do tipo A, no servidor DNS, associando o nome
LaserCol05 com o respectivo IP: 10.10.5.150. Para mais detalhes sobre a instalao, configurao e administrao do
DNS, consulte o Captulo 16 do seguinte livro: Windows Server 2003 Curso Completo, 1568 pginas, publicado
pela Editora Axcel Books.
Active Directory. A rede formada por um nico domnio, chamado ABC. Voc utiliza a conta jpedro, a qual
pertence ao grupo Admins. do Domnio. O usurio jsilva est logado no servidor SRV01 e est rodando uma
aplicao financeira que fundamental para o fechamento da contabilidade mensal da empresa. Esta aplicao
ainda ir demorar cerca de 6 horas para concluir o seu trabalho e voc no pode fazer o logof do usurio jsilva,
seno a aplicao deixar de rodar e a contabilidade no ser fechada no tempo previsto. Porm voc precisa rodar
o console de Gerenciamento do Computador para fazer algumas configuraes importantes, as quais tambm no
podem ser adiadas. Voc tenta fazer as configuraes usando a conta do usurio jsilva, mas recebe uma mensagem
de acesso negado. Voc tambm no tem a opo de fazer o acesso via Terminal Services, pois por definio das
polticas de segurana da empresa, este tipo de acesso est desabilitado em todos os servidores. O que voc pode
fazer para rodar o console Gerenciamento do computador e fazer as configuraes necessrias, sem que seja
necessrio que o usurio jsilva tenha que fazer o logoff?
a) Abra o console Gerenciamento do Computador via linha de comando.
b) Atribua permisso Controle total para o grupo Todos, no atalho para o console Gerenciamento do computador.
c) Utilize o recurso de Mltiplos logons do Windows Server 2003
d) Abra a opo Ferramentas administrativas do Painel de Controle.
Clique com o boto direito do mouse no console Gerenciamento do computador.
No menu de opes que exibido clique em Executar como...
Na janela que exibida, informe como nome de usurio jpaulo, informe a senha e no domnio digite ABC.
e) Abra a opo Ferramentas administrativas do Painel de Controle.
Clique com o boto direito do mouse no console Gerenciamento do computador.
No menu de opes que exibido clique em Executar como...
Na janela que exibida, informe como nome de usurio jpaulo, informe a senha e no domnio digite SRV01.
Resposta certa: d
Comentrios: Esta questo testa um recurso bastante til, que a opo Executar como... O Windows Server 2003 no
tem a opo de Mltiplos logons, como tem o Windows XP Professional. Com isso, somente um usurio poder estar
logado, diretamente no console do servidor, por vez. Via Terminal Services a histria outra. Via Terminal Services,
o nmero de usurios que pode estar logado remotamente definido pelo nmero de licenas de acesso instaladas no
servidor. Muito bem, na situao descrita na questo, o Administrador no pode fazer o logof da conta jsilva, seno a
aplicao financeira ser interrompida e o usurio jsilva no tem as permisses necessrias para fazer as configuraes
desejadas. Neste caso, o Administrador usa o recurso Executar Como, para abrir o console Gerenciamento do
computador, usando o recurso Executar como..., recurso este que permite ao administrador executar um programa no
contexto da sua conta de Administrador, sem ter que efetuar o logof do usurio atual. Com isso ficamos com a
alternativa D. A seguir mais alguns detalhes sobre o recurso Executar como...
Usar o comando Executar como para iniciar um programa como administrador:
No Windows Explorer, clique no programa, ferramenta Microsoft Management Console (MMC), ou no item do Painel
de controle que voc deseja abrir.
Pressione SHIFT e clique com o boto direito do mouse no programa e, em seguida, clique em Executar como.
Clique em Executar o programa usando o seguinte usurio.
Digite o nome de usurio, a senha e o domnio da conta de administrador que voc deseja utilizar.
Observaes: Se voc desejar usar a conta Administrador no seu computador, no campo Domnio, digite o nome do
computador. Se voc desejar executar como um administrador de domnio, em Domnio, digite o nome do domnio.
Em Nome de usurio, Senha e Domnio, voc pode digitar at 256 caracteres em cada campo. O comando Executar
como permite executar programas (*.exe), consoles do MMC salvos (*.msc), atalhos para programas e consoles do
MMC salvos, alm de itens do Painel de controle. Voc pode execut-los como um administrador enquanto tiver
efetuado logon em seu computador como um membro de um outro grupo, como grupo Usurios ou Usurios avanados.
possvel definir uma propriedade nos atalhos para programas e consoles do MMC, de forma que voc sempre seja
solicitado a apresentar credenciais alternativas ao utilizar o atalho. Para definir a propriedade, clique com o boto
direito do mouse no atalho, clique em Propriedades e, em seguida, clique em Executar como usurio diferente.
O comando Executar como pode ser utilizado para iniciar qualquer programa, console do MMC ou item do Painel de
controle, desde que os seguintes requisitos sejam atendidos:
Voc fornea a conta de usurio e as informaes sobre senha apropriadas.
A conta de usurio possa efetuar logon no computador.
O programa, console do MMC ou item do Painel de controle estejam disponveis no sistema e para a conta de usurio.
O comando Executar como geralmente utilizado para executar programas como um administrador, apesar de no
estar limitado a contas de administrador. Qualquer usurio com vrias contas pode utilizar o comando Executar como
para executar um programa, console do MMC ou item do Painel de controle com credenciais alternativas.
Se voc tentar iniciar um programa, console do MMC ou item do Painel de controle a partir de um local da rede
usando Executar como, ele pode falhar, pois as credenciais usadas para a conexo com o compartilhamento de rede
so diferentes das credenciais usadas para iniciar o programa. As credenciais usadas para executar o programa podem
no dar acesso ao mesmo compartilhamento de rede.
O comando Executar como e o Servio de logon secundrio aceitam apenas
autenticao por senha. Se as diretivas exigirem que seja feito logon com carto
inteligente para contas especiais ou para todos os usurios, o comando Executar
como no ir funcionar.
Questo 50: Voc o administrador de uma rede baseada no Windows Server
2003 e no Active Directory. Todos os clientes so baseados no Windows XP
Professional. Voc o administrador responsvel pelas polticas de segurana
da empresa. Voc est avaliando a possibilidade de utilizar a criptografia do
prprio Windows. Considere as afirmativas a seguir em relao a criptografia
do Windows:
I. Somente arquivos e pastas em volumes NTFS podem ser criptografados.
II. As pastas e os arquivos compactados no podem ser criptografados. Se o
usurio marcar um arquivo ou pasta para criptografia, ele ser descompactado
e vice-versa.
III. Se voc mover arquivos descriptografados para uma pasta criptografada, esses
arquivos sero automaticamente criptografados na nova pasta. No entanto, a
operao inversa no descriptografa automaticamente os arquivos. Nesse caso,
necessrio descriptografar manualmente os arquivos. Os arquivos marcados
com o atributo Sistema no podem ser criptografados, bem como os arquivos
da pasta raiz do sistema, isto C:\ ou D:\ e assim por diante.
IMPORTANTE: Alguns itens, como
o Windows Explorer, a pasta
Impressoras e os itens da rea de
trabalho, so iniciados
indiretamente pelo Windows 2000.
Esses itens no podem ser iniciados
com o comando Executar como.
NOTA: Voc tambm pode usar o
comando runas na linha Executar
ou em um prompt de comando.
IV. Criptografar um arquivo ou uma pasta no protege contra excluso ou listagem de arquivos ou pastas. Qualquer
pessoa com permisses NTFS adequadas pode excluir ou listar pastas ou arquivos criptografados. A proteo da
criptografia contra o acesso ao contedo dos arquivos, ou seja, somente o usurio que criptografou o arquivo
ter acesso. Para proteo contra listagem e excluso recomenda-se o uso do EFS em combinao com permisses
NTFS, utilizando as permisses NTFS para impedir que outros usurios possam excluir e at mesmo listar os
arquivos que esto em um pasta criptografada.
V. Voc pode criptografar ou descriptografar pastas e arquivos localizados em um computador remoto ativado para
criptografia remota. No entanto, se voc abrir o arquivo criptografado atravs da rede, os dados transmitidos na
rede atravs desse processo no sero criptografados. Outros protocolos, como (SSL/TLS) ou IP Seguro (IPSec),
devem ser usados para criptografar dados durante a transmisso atravs da rede.
a) Todas
b) I, II, III e IV
c) II, III, IV e V
d) III, IV e V
e) II, III e IV
Resposta certa: a
Comentrios: Todas as afirmativas esto corretas e descrevem caractersticas do sistema de critptografia (EFS - Enripted
File System) do Windows Server 2003.
Questo 51: Voc o Administrador da rede da sua empresa, a qual tem servidores baseados no Windows 2000 Server
e Windows Server 2003. A rede composta de um nico domnio: abc.com.br. Voc participa da equipe que est
definindo a poltica de recuperao desastres para os servidores da sua rede. Uma das exigncias que seja possvel
acessar as parties/volumes do servidor, tanto formatados com FAT como com NTFS, mesmo que o Windows 2000
Server esteja com problemas para reinicializar. Voc gostaria de acessar as parties/volumes e usar comandos para
desabilitar servios e/ou drivers que estejam com problemas, bem como copiar arquivos de e/ou para as parties/
volumes. Qual comando voc deve executar, em cada servidor, para atender esse item da poltica de recuperao
desastres?
a) Execute o comando setup/recovery
b) Execute o comando setup/cmdcons
c) Execute o comando i386/cmdcons
d) Execute o comando winnt/cmdcons
e) Execute o comando winnt32/cmdcons
Resposta certa: e
Comentrios: Para que voc possa acessar as parties/volumes de um servidor, mesmo quando o Windows no est
conseguindo inicializar normalmente, voc precisa inicializar o servidor no modo Console de Recuperao. O modo
Console de Recuperao parecido com o antigo modo MS-SOS. Nesse modo esto disponveis comandos para
habilitar e/ou desabilitar servios e drivers, tambm podemos copiar arquivos do disco rgido para o disquete ou vice-
versa. O Console de Recuperao no instalado por padro, quando o Windows 2000 Server ou o Windows Server
2003 so instalados. Voc pode instalar o console de recuperao usando o comando winnt32/cmdcons. O comando
winnt32 est disponvel na pasta i386 do CD de instalao do Windows 2000 Server e do Windows Server 2003.
baseados no Windows Server 2003.Como parte da poltica de segurana da empresa voc precisa definir as propriedades
dos logs de todos os DCs do domnio. Voc deseja definir propriedades tais como tamanho mximo, poltica de
reteno (definir se eventos mais antigos sero descartados ou no quando o espao mximo for atingido) e outras
caractersticas. Qual a maneira mais prtica para implementar esta exigncia da poltica de segurana da empresa?
a) Crie um script WSH o qual define as caractersticas dos Logs de Auditoria.
Associe este Script com o grupo Admins. do Domnio.
b) Crie um script WSH o qual define as caractersticas dos Logs de Auditoria.
Associe este Script com cada uma das contas pertencentes ao grupo Admins. do Domnio.
c) Use o console Visualizador de Eventos para se conectar com cada DC do domnio e configurar as propriedades de
cada um dos logs.
d) Use o console Gerenciamento do computador para se conectar com cada DC do domnio e configurar as
propriedades de cada um dos logs.
e) Crie uma nova GPO chamada Configura DCs e associe esta GPO com a OU Domain Controllers.
Na GPO Configura DCs, configure as propriedades a serem aplicadas aos logs.
Resposta certa: e
Comentrios: Esta questo testa os conhecimentos bsicos do candidato em relao ao recurso de GPOs. Via GPO
possvel configurar diversas opes do Windows Server 2003, dentre as quais, as propriedades dos logs de auditoria.
Nesta questo, a maneira mais fcil para implementar as configuraes desejadas, em todos os DCs do domnio,
criar um GPO e associ-la a OU Domain Controllers. As configuraes necessrias so feitas na GPO e depois sero
aplicadas a todos os DCs do domnio, pois as contas de todos os DCs, por padro, esto contidas na OU Domain
Controllers. Com isso ficamos com a alternativa E.:
Questo 53: Considere as afirmativas a seguir sobre o DNS no Windows Server 2003:
I. Alteraes somente podem ser feitas em zonas primrias.
II. Para um transmisso segura de informaes entre zonas, voc deve utilizar zonas integradas com o Active
Directory.
III. As atualizaes dinmicas so configuradas a nvel de servidor DNS, ou seja, todas as zonas de um servidor DNS
tem a mesma configurao: Ou esto com as atualizaes dinmicas habilitadas ou esto com as atualizaes
dinmicas desabilitadas.
IV. Podem ser criadas duas ou mais zonas primrias para um mesmo domnio.
V. Uma zona pode conter informaes sobre um ou mais domnio.
a) I e II
b) I, II e III
c) I, II e IV
d) III, IV e V
e) I, II e V
Resposta certa: e
Comentrios: Esta questo testa os conhecimentos do candidato em relao as caractersticas do DNS, no Windows
Server 2003. A alternativa III falsa, pois a configurao de Atualizaes Dinmicas pode ser configurada
individualmente, em cada zona de um Servidor DNS. A alternativa IV tambm falsa, pois somente uma zona primria
pode ser criada para cada domnio. Uma alternativa que pode causar confuso ou dvidas a V, porm ela est
absolutamente correta, ou seja, em uma nica zona possvel ter informaes sobre mais de um domnio. Com isso
ficamos com a letra E, ou seja, esto corretas as afirmativas I, II e V.
Questo 54: Voc o administrador de uma rede baseada no Windows Server 2003 e no Active Directory. A rede
formada por trs domnios: abc.com, vendas.abc.com e producao.abc.com. Cada domnio tem, no mnimo, dois DCs
instalados. Voc precisa instalar um novo DC no domnio vendas.abc.com. Quais os passos necessrios para criao
deste novo DC no domnio vendas.abc.com?
a) Instalar o Windows Server 2003 em um novo servidor como Member Server.
Fazer o logon com uma conta do grupo Domain Admins do domnio vendas.abc.com
Configurar o servidor para fazer parte do domnio.
b) Instalar o Windows Server 2003 em um novo servidor como Member Server.
Fazer o logon com uma conta do grupo Domain Admins do domnio vendas.abc.com.
Rodar o comando DCPROMO para promover o Member Server a DC.
c) Fazer o logon com uma conta do grupo Domain Admins do domnio vendas.abc.com.
Instalar o Windows Server 2003 em um novo servidor como DC.
d) Fazer o logon com uma conta do grupo Domain Admins do domnio abc.com.
Instalar o Windows Server 2003 em um novo servidor como DC.
e) Instalar o Windows Server 2003 em um novo servidor como Member Server.
Fazer o logon com uma conta do grupo Domain Admins do domnio vendas.abc.com.
Rodar o comando winnt32 /promo para promover o Member Server a DC.
Resposta certa: b
Comentrios: No possvel instalar o Windows Server 2003 criando diretamente um DC. Primeiro voc instala o
Windows Server 2003 normalmente. Concluda a instalao, voc ter um Member Server, caso o servidor tenha sido
configurado para fazer parte do domnio, durante a instalao ou um Stand alone Server, caso o servidor no tenha
sido configurado para fazer parte do domnio, durante a instalao. Para instalar o Active Directory, promovendo o
servidor a DC, voc utiliza o comando dcpromo. Para promover o Member Server a DC, voc deve estar logado com
uma conta com permisso de Administrador, ou seja, pertencente ao grupo Domain Admins (Administradores do
Domnio) do domnio vendas.abc.com. Com isso ficamos com a alternativa b.
Questo 55: Voc o responsvel pela administrao da rede da empresa. A rede baseada no Windows Server
2003 e no Active Directory. Voc implementou o SUS, para fazer a atualizao automtica do Windows Server
2003 em cerca de 100 Servidores da rede. O SUS foi instalado com sucesso no servidor SRVSUS01 e os clientes
foram configurados com sucesso para utilizar o servidor SUS. A atualizao automtica vem funcionando
normalmente, durante os ltimos dois meses, sendo que o SUS faz a sincronizao e o download automtico a
partir do site Windows Update e os demais servidores, recebem as atualizaes a partir do servidor SRVSUS01. Na
ltima semana, voc ficou sabendo pela Internet, sobre uma nova atualizao crtica de segurana para o Windows
Server 2003. Imediatamente voc tenta acessar a pgina de administrao do SUS, para aprovar esta atualizao, de
tal forma que ela seja aplicada aos servidores da rede. Ao tentar acessar a pgina de administrao do SUS, voc
recebe uma mensagem de erro. Voc tenta acessar a pgina padro do IIS no servidor SRVSUS01 e tambm no
consegue. O que voc deve fazer para normalizar o funcionamento do SUS, sem interromper a execuo de outros
servios que esto rodando no servidor SRVSUS01?
a) Parar e Reinicializar todos os servios relacionados ao IIS
b) Reinicializar o servio de FTP
c) Parar e Reinicializar o servio de NETLOGON
d) Forar uma sincronizao imediata do SUS
e) Forar uma atualizao automtica do SUS
Resposta certa: a
Comentrios: Esta questo testa se o candidato sabe que o SUS basicamente um site que instalado em um servidor
IIS. Ou seja, todo o funcionamento do SUS depende do IIS. Se houver problemas com os servios do IIS, provvel
que a causa sejam os servios do IIS. Nesta questo, a soluo parar e reinicializar todos os servios relacionados ao
IIS. Com isso dever normalizar o funcionamento do SUS. Com isso ficamos com a alternativa a.
Questo 56: Voc o administrador de uma estao de trabalho com o Windows Server 2003 instalado. Voc tem um
conjunto de atalhos e configuraes que devem ser aplicados apenas aos novos usurios que fizerem o logon na
estao de trabalho, ou seja, aqueles usurios que esto logando pela primeira vez na estao, para os quais ainda no
existia uma Profile na estao. Qual profile voc deve modificar?
a) All Users
b) Administrador
c) Users
d) Default User
e) New Users
Resposta certa: d
Comentrios: Esta questo testa, basicamente, o conhecimento do candidato em relao ao Conceito de Profile. Atalhos
e configuraes que devem estar disponveis para todos os usurios, devem ser feitas na Profile All Users. Atalhos e
configuraes que devem estar disponveis apenas para novos usurios que faam o logon na estao de trabalho,
devem ser feitos na profile Default User. Com isso ficamos com a alternativa D.
Directory. A rede formada por um nico domnio: abc.com. A WAN da empresa formada pela rede local da matriz
em SP e pelas redes locais das filiais em SC, RS e PR. Voc est em fase de implementao da rede e gostaria de
limitar o nmero de usurios com permisses de Administrador em todos os recursos do domnio, ou seja, voc quer
reduzir o nmero de usurios que sero includos no grupo Domain Admins. Porm voc gostaria de ter usurios com
permisso para gerenciar recursos tais como contas de usurios e computadores em cada uma das redes local. Por
exemplo, voc gostaria de permitir que um usurio da matriz em SP possa gerenciar recursos apenas para os usurios,
servidores e recursos da rede local de SP. Que tipo de objeto do Active Directory voc pode utilizar para implementar
a soluo proposta?
a) Unidades Organizacionais
b) Group Policy Objects
c) Diretivas de IPSec
d) Diretivas locais de segurana
e) Grupos de distribuio
Resposta certa: a
Comentrios: O conceito de Unidade organizacional foi introduzido no Windows 2000 Server, juntamente com o
Active Directory e veio para solucionar um problema srio de Administrao existente no Windows NT Server 4.0.
Conceito este que, evidentemente, tambm est presente no Windows Server 2003.
Com o NT Server 4.0, no havia como atribuir permisses de acesso apenas em uma parte do domnio. Ou voc
atribua permisses de Administrador no domnio inteiro ou no tinha como atribuir permisses de administrador para
um usurio apenas para parte dos recursos do domnio. Imagine uma empresa que tem uma rede, com filiais em todos
os estados brasileiros. No nosso exemplo, o domnio composto pelas redes das filiais do RS, SC, PR e SP. Com o NT
recursos do domnio. No nosso exemplo, o usurio seria Administrador nos servidores e em todos os recursos das
filiais do RS, SC, PR e SP, ou seja, em todos os servidores do domnio.
cada unidade organizacional, as contas de usurios, grupos e computadores, de acordo com critrios geogrficos ou
funcionais. Em seguida voc pode delegar tarefas administrativas a nvel de Unidade organizacional (OU Organiza-
tional Unit).
Questo 58: Em relao ao recurso de GPOs no correta a seguinte afirmao:
a) Com o recurso de GPOs possvel configurar a redireo de pastas. O administrador pode configurar uma GPO
para que pastas tais como Meus documentos e Minhas imagens sejam redirecionadas para uma pasta compartilhada
em um servidor da rede da empresa. Com isso os dados do usurio passam a estar disponveis no servidor e
podero ser acessados de qualquer estao de trabalho da rede, na qual o usurio faa o logon. Alm disso, com os
dados no servidor, possvel criar e implementar uma poltica de backup centralizada.
b) Com o recurso de GPO possvel gerenciar centralizadamente, configuraes definidas na registry do Windows,
com base em templates de administrao (Administrative Templates). As GPOs criam arquivos com definies da
registry. Estes arquivos so carregados e aplicados na estao de trabalho do usurio, nas partes referentes a
configurao de Usurios e configurao de Computador da registry. As configuraes de usurio so carregadas
na opo HKEY_CURRENT_USER (HKCU), da registry. As configuraes de computador so carregadas na
opo HKEY_LOCAL_MACHINE (HKLM), da registry. A idia relativamente simples. Ao invs de ter que
configurar estas opes em cada estao de trabalho, o administrador cria elas centralizadamente, usando GPOs.
Durante o logon, o Windows aplica as configuraes definidas na GPO.
c) As GPOs inclui configuraes que so aplicadas a nvel de usurio (ou seja, em qualquer estao de trabalho
que o usurio faa o logon, as polticas associadas a sua conta de usurio sero aplicadas) e a nvel de computador
(ou seja, qualquer usurio que faa o logon no computador ter as polticas de computador aplicadas). Por
exemplo, se o administrador definiu uma poltica de usurio para o grupo do usurio jsilva, de tal maneira que
o menu Run (Executar) no deva estar disponvel para este grupo. Em qualquer estao de trabalho que o jsilva
fizer o logon, o menu Run no estar disponvel. Agora imagine que o administrador configurou uma poltica
de computador, para o grupo de computadores da seo de contabilidade, definindo que o menu Run (Executar)
no deve estar disponvel nestes computadores. Qualquer usurio que faa o logon em um dos computadores
da seo de contabilidade, no ter o menu Run sendo exibido, independentemente dos grupos aos quais
pertena o usurio, uma vez que a poltica est sendo aplicada ao computador (independentemente do usurio
que esteja utilizando-o).
d) As configuraes feitas via GPO so aplicadas para usurios, computadores, member servers e DCs, so aplicadas
a computadores executando Windows 2000 (Server ou Professional), Windows XP ou Windows Server 2003. So
tambm aplicadas para verses mais antigas do Windows, tais como Windows 95/98/Me e NT 4.0, o recurso de
GPO no aplicado, permitindo que o Administrador configure uma ampla variedade de clientes, usando diferentes
verses do Windows..
e) O recurso de Group Policy Objects (GPO) de enorme utilidade para o administrador. Com o uso de GPO o
administrador pode definir as configuraes de vrios elementos da estao de trabalho do usurio, como por
exemplo os programas que estaro disponveis, os atalhos do menu Iniciar que estaro disponveis, configuraes
de Internet, de rede e assim por diante. Por exemplo, o administrador pode configurar, via GPO, quais grupos de
usurios devero ter acesso ao menu Run (Executar) e quais no tero, pode configurar a pgina inicial do Internet
Explorer para um grupo de usurios ou para toda a empresa, pode fazer configuraes de Proxy e por a vai. So
milhares (literalmente milhares) de opes de configuraes que esto disponveis via GPO.
Resposta certa: d
Comentrios: Todas as afirmativas esto corretas com exceo da letra d. O recurso de GPOs no se aplica a verses
mais antigas do Windows, tais como o Windows 95/98/Me. Todas as demais alternativas, com exceo da letra d,
descrevem as caractersticas e capacidades do recurso de GPOs.
Questo 59: O usurio jsilva pertence aos seguintes grupos: Gerentes, Tcnicos e Marketing. O usurio jsilva precisa ter
acessos somente de leitura e alterao nos documentos do Word que esto em uma pasta compartilhada, no servidor
\\SRV01\worddocs. O usurio deve ter permisso somente de leitura e alterao, sem ter permisso de excluso e alterao
das permisses, quer ele esteja acessando a pasta worddocs atravs da rede ou localmente logado no servidor SRV01.
Permisses NTFS:
Tcnicos: Leitura
Marketing: Leitura
Gerentes: Leitura
Tcnicos: Leitura e Alterao
Marketing: Leitura
O que deve ser alterado para que o usurio jsilva tenha somente as permisses de leitura e alterao, quer seja para
acesso atravs da rede, quer seja acessando localmente no servidor SRV01?
a) Atribua a permisso NTFS Negar Leitura a conta jsilva.
b) Nada precisa ser feito.
Resposta certa: b
Comentrios: Para responder corretamente esta questo, o usurio deve lembrar de algumas regras bsicas das permisses
NTFS, quando o usurio pertence a mais de um grupo:
Tambm importante lembrar que quando existem diferenas entre as permisses NTFS e as permisses
de Compartilhamento, vale a mais restritiva. Neste caso a permisso mais restritiva a de compartilhamento
que somente Leitura. Neste caso a permisso efetiva NTFS Leitura e alterao e a permisso efetiva de
compartilhamento Leitura e Alterao. Combinando as duas, evidentemente, resulta em leitura e alterao,
ou seja, o usurio jsilva j tem o nvel de permisso exigido pela questo. Com isso nada precisa ser feito.
No esquea que as permisses de compartilhamento somente tem efeito para o acesso atravs da rede. Se
o usurio jsilva fizer o logon no servidor SRV01 e acessar a pasta worddocs localmente, valero apenas as
permisses NTFS.
Questo 60: Considere as afirmaes a seguir em relao aos tipos e escopos de grupos de usurios, no Windows
Server 2003:
I. Grupos de segurana: Normalmente utilizados para atribuir permisses de acesso aos recursos da rede. Por exemplo,
ao criar um grupo Contabilidade (que conter todas as contas dos funcionrios do departamento de contabilidade)
o qual ser utilizado para atribuir permisses de acesso a uma pasta compartilhada, devo criar este grupo como
sendo do tipo Grupo de segurana. Um grupo de segurana tambm pode ser utilizado como um grupo de
distribuio, embora essa no seja uma situao muito comum. Esses grupos, assim coma as contas de usurios
so armazenados no Banco de dados do Active Directory.
II. Grupos de distribuio: So utilizados para funes no relacionadas com segurana (no relacionadas a atribuio
de permisses) . Normalmente so utilizados em conjunto com servidores de e-mail, tais como o Exchange 2000,
para o envio de e-mail para um grupo de usurios. Uma das utilizaes tpicas para um Grupo de distribuio o
envio de mensagens de e-mail para um grupo de usurios de uma s vez. Somente programas que foram
programados para trabalhar com o Active Directory, podero utilizar Grupos de distribuio (como o caso do
Exchange 2000 citado anteriormente). Provavelmente as novas verses dos principais sistemas de correio eletrnico
estaro habilitadas para trabalhar com o Active Directory. No possvel utilizar grupos de distribuio para
funes relacionadas com segurana.
III. Grupos universais (Universal group): Como o prprio nome sugere so grupos que podem ser utilizados em
qualquer parte de um domnio ou da rvore de domnios e podem conter como membros, grupos e usurios de
quaisquer domnios. Pode conter: Contas de usurios, outros grupos universais, e grupos globais de qualquer
domnio. Pode ser membro de: Grupos locais de qualquer domnio ou grupos universais de qualquer domnio.
Pode receber permisses para recursos localizados em qualquer domnio.Um domnio baseado no Active Direc-
tory pode estar em diferentes modos de funcionalidade (Windows 2000 Nativo, Misto ou Windows Server 2003).
Para cada modo existem diferentes possibilidades em relao aos grupos Universais: Quando o nvel de
funcionalidade do Domnio est configurado como Windows 2000 Nativo ou Windows Server 2003, os seguintes
elementos podem ser includos como membros de um grupo universal: Usurios, grupos Globais e grupos
Universais de qualquer domnio da floresta. Quando o nvel de funcionalidade do Domnio est configurado
como Windows 2000 Misto, no possvel criar grupos Universais. Quando o nvel de funcionalidade do Domnio
est configurado como Windows 2000 Nativo ou Windows Server 2003, um grupo Universal pode ser colocado
como membro de um outro grupo Universal e permisses podem ser atribudas em qualquer domnio.Um grupo
pode ser convertido de Universal para Global ou de Universal para Local do domnio. Nos dois casos esta converso
somente pode ser feita se o grupo Universal no tiver como um de seus membros, outro grupo Universal.
IV. Grupo global: Um grupo Global global quanto aos locais onde ele pode receber permisses de acesso, ou
seja, um grupo Global pode receber permisses de acesso em recursos (pastas compartilhadas, impressoras, etc)
de qualquer domnio. Pode conter: Contas de usurios e grupos globais do mesmo domnio, ou seja, somente
pode conter membros do domnio no qual o grupo criado. Pode ser membro de: Grupos universais e Grupos
locais, de qualquer domnio. Grupos globais do mesmo domnio. Pode receber permisses para recursos localizados
em qualquer domnio. Um domnio baseado no Active Directory pode estar em diferentes modos (Windows 2000
Nativo, Misto ou Windows Server 2003). Para cada modo existem diferentes possibilidades em relao aos grupos
Globais: Quando o nvel de funcionalidade do Domnio est configurado como Windows 2000 Nativo ou Win-
dows Server 2003, os seguintes elementos podem ser includos como membros de um grupo Global: contas de
usurios e grupos globais do mesmo domnio. Por exemplo, se voc cria um grupo global chamado WebUsers, no
domnio abc.com.br, este grupo poder conter como membros, grupos globais do domnio abc.com.br e usurios
do domnio abc.com.br. Quando o nvel de funcionalidade do Domnio est configurado como Windows 2000
Misto, somente contas de usurios do prprio domnio que podem ser membros de um grupo Global. Por
exemplo, se voc cria um grupo global chamado WebUsers, no domnio abc.com.br e este domnio est no modo
Misto, ento somente contas de usurios do domnio abc.com.br que podero ser membros do grupo WebUsers.
Um grupo pode ser convertido de Global para Universal, desde que o grupo Global no seja membro de nenhum
outro grupo Global.
V. Grupos locais (Domain local group): So grupos que somente podem receber permisses para os recursos do
domnio onde foram criados, porm podem ter como membros, grupos e usurios de outros domnios. Pode
conter membros de qualquer domnio. Somente pode receber permisses para recursos em servidores do domnio
no qual o grupo foi criado. Pode conter: Contas de usurios, grupos universais e grupos globais de qualquer
domnio.Outros grupos Locais do prprio domnio. Pode ser membro de: Grupos locais do prprio domnio.Um
domnio baseado no Active Directory pode estar em diferentes modos (Windows 2000 Nativo, Misto ou Windows
Server 2003). Para cada modo existem diferentes possibilidades em relao aos grupos Globais: Quando o nvel
de funcionalidade do Domnio est configurado como Windows 2000 Nativo ou Windows Server 2003, os seguintes
elementos podem ser includos como membros de um grupo Local: contas de usurios, grupos universais e
grupos globais de qualquer domnio. Outros grupos locais do prprio domnio. Um grupo pode ser convertido de
Local para Universal, desde que o grupo no tenha como seu membro um outro grupo Local.
a) Todas
b) I e II
c) III, IV e V
d) II, III, IV e V
e) I, II e III
Resposta certa: a
Comentrios: Todas as afirmaes esto corretas e descrevem os tipos e escopos de grupos de usurios, disponveis no
Concluso
Muito bem amigo leitor. Aqui encerro minha contribuio para ajud-lo na batalha para o Exame 70-290. Recomendo que
voc estude e revise cuidadosamente os conceitos apresentados neste livro e procure aprofundar os seus estudos usando a
Ajuda do Windows Server 2003, os endereos indicados neste site e outras fontes de estudo que voc possa ter acesso.
Este manual foi projetado para ajud-lo a obter aprovao no Exame 70-290. Os assuntos abordados foram baseados no
programa Oficial da Microsoft. Estude com ateno os tpicos apresentados neste manual, releia mais algumas vezes o
resumo do Captulo 14 e o simulado deste captulo e no deixe de consultar os sites indicados ao longo de todo o livro.
o meu mais sincero desejo que este livro possa ajud-lo em sua caminhada rumo ao MCSE-2003.
Agradeo imensamente por ter adquirido e estudado este livro. meu mais sincero desejo que voc seja aprovado em
mais este exame. No deixe de enviar suas sugestes e crticas para o meu email: webmaster@juliobattisti.com.br.

Kranius Therebels MCSE70290

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Kranius Therebels MCSE70290

Cargado por

Copyright:

Formatos disponibles

I www.juliobattisti.com.

Desconectado X: \\microxp02\Axcel Books Rede Microsoft Windows

También podría gustarte