You are on page 1of 138

Windows Server

Prof. Wagner Medeiros dos Santos

Roteiro para Aulas Prticas do Windows Server

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

Exerccio 1 1. Objetivos Depois de terminar esse exerccio, voc ser capaz de instalar o Windows Server 2003 como servidor membro de um grupo de trabalho. 2. Pr-requisitos Antes de iniciar esse exerccio, voc dever ter um computador que atenda aos requisitos mnimos de hardware para instalar o Windows Server 2003 e um software de emulao de mquinas virtuais (ex. VMWare Server). Instalao do Windows Server 2003
1. 2. 3. 4. Inicie o VMWare e crie uma Mquina Virtual para instalar o Windows 2003 Server. Inicie a mquina virtual com o CD-ROM do Windows Server 2003 ou uma imagem. Pressione ENTER quando for exibida a notificao de Instalao na tela. Pressione ENTER quando for exibida a mensagem Bem-vindo instalao na tela. Leia o Contrato de Licena do Windows e pressione F8 para aceitar os termos de licenciamento. 5. Pressione C na lista de parties existentes para criar uma partio no disco 0. 6. Quando for solicitado a selecionar o tamanho da partio na caixa Criar partio de tamanho (em GB), adicione um valor entre 4e 8. 7. Deixe o CD do Windows Server 2003 na unidade de CD-ROM.

8. O computador ser reiniciado.


9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. Espere a finalizao do processo de deteco de dispositivos. Clique em Avanar na pgina Opes Regionais. Insira seu nome e organizao. Clique em Avanar. Insira a chave de produto na pgina Chave do Produto. Ela pode ser obtida no site de onde voc fez o download do produto. Escolha Por dispositivo ou por usurio no modo de licenciamento. Use a senha Senh@1 para a conta do Administrador local. No instale componentes adicionais. Ajuste a data e a hora na pgina Configuraes de Data e Hora e clique em Avanar. Clique em Configuraes personalizadas na caixa de dilogo Configuraes de Rede e pressione Avanar. Clique nas propriedades de TCP/IP e insira os parmetros a seguir: Endereo IP: 10.10.0.2XX mscara de sub-rede: 255.255.255.0 Clique em Avanar na pgina Componentes de Rede. Adicione um grupo de trabalho chamado "dominio". Deixe o CD-ROM do Windows Server 2003 na unidade durante o resto do processo. Depois de completado o processo de instalao, o computador automaticamente reiniciado.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

Exerccio 2 1. Objetivos Instalar e configurar o servio de servidor DHCP 2. Pr-requisitos Verifique se a configurao IP no servidor est correta. Verifique se a configurao IP do servidor contm um endereo IP esttico e uma mscara sub-rede em ambientes roteados de um gateway padro. Verifique se a conta do usurio tem as permisses corretas.

Para adicionar o servio de Servidor DHCP: 1. Inicie a sesso usando uma conta no administrativa. 2. Clique em Iniciar e depois em Painel de Controle. 3. Abra as Ferramentas Administrativas no Painel de Controle e clique direto em Gerenciar o Servidor, selecionando Executar como... (mantenha pressionada a tecla Shift e clique com o boto direito do mouse sobre o cone, selecionando a opo Executar como...) 4. Selecione O seguinte usurio na caixa Executar como e insira uma conta de usurio e senha que tenham permisses apropriadas para realizar a tarefa, clicando em OK. 5. Clique em Adicionar ou remover uma funo na janela do Gerenciar o Servidor. 6. Clique em Avanar na pgina Etapas preliminares. 7. Selecione Servidor DHCP no assistente e em Avanar. 8. Clique em Avanar na pgina Resumo das Selees. 9. Clique em Cancelar no assistente de novo escopo para no criar o escopo nesse momento. 10. Clique em Concluir no assistente.

Para configurar um Escopo de DHCP: 1. Abra o console DHCP. 2. Clique no Servidor DHCP do console. 3. Clique em Novo escopo no menu Ao, 4. Clique em Avanar no Assistente para novos escopos. 5. Configure o Nome e a Descrio na pgina Nome do Escopo. 6. Configure, na pgina Intervalo de endereo IP, o endereo IP inicial 192.168.1.1, o endereo IP final 192.168.1.254 e a mscara de sub-rede 255.255.255.0.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

7. Configure, na pgina Adicionar excluses, o endereo IP inicial 10.10.0.20 e endereo IP final 10.10.0.30 , se aplicvel. 8. Configure, na pgina Durao da Concesso, os Dias, Horas e Minutos. (O padro de 8 dias). 9. Configure Opes DHCP e selecione No, eu irei configurar estas opes mais tarde. 10. Clique em Concluir na pgina Concluindo o Assistente de Novo Escopo. Para configurar uma reserva de DHCP: 1. Abra o console DHCP. 2. Clique em Reservas do console. 3. Clique em Nova Reserva no menu Ao. 4. Insira, na caixa Nova Reserva, os valores a seguir: a. Nome da reserva b. Endereo IP c. Endereo MAC (sem hfen) d. Descrio 5. Selecione, em Tipos suportados, uma das opes a seguir: a. Both b. DHCP only c. BOOTP only 6. Clique em Adicionar na caixa Novas Reservas e depois em Fechar. Para configurar uma opo de Servidor DHCP: 1. Abra o console DHCP. 2. Clique em Opes do servidor do console, sob o nome do servidor 3. Clique em Configurar Opes no menu Ao. 4. Selecione a opo que voc deseja configurar na caixa Opes do servidor da lista Opes disponveis. 5. Preencha, em Entrada de dados, as informaes necessrias para configurar essa opo. 6. Clique em OK na caixa Opes do servidor.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

Exerccio 3 1. Objetivos Configurar uma zona de pesquisa do tipo primrio Nome de zona: empresa.local Depois de concluir essa tarefa, voc obter uma zona primria configurada. 1. Abra o console DNS. 2. Clique com o boto direito do mouse no Servidor DNS do console de DNS e depois em Nova zona... 3. Clique em Avanar na pgina Bem-vindo ao Assistente de nova zona, 4. Selecione Zona primria na pgina Tipo de Zona e clique em Avanar. 5. Selecione Zona de pesquisa direta na pgina Zona de Pesquisa direta ou inversa, e depois clique em Avanar. 6. Insira o nome de DNS da zona na pgina Nome da Zona, e clique em Avanar. 7. Clique em Avanar na pgina Arquivo de Zona para aceitar os padres. 8. Clique em No permitir atualizaes dinmicas e clique em Avanar. 9. Clique em Concluir na pgina Concluindo o Assistente de nova zona. 10. Feche o console de DNS.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos Exerccio 4 1. Objetivos Instalar o Active Directory em um servidor com o Windows Server 2003, servidor este que ser o primeiro DC do domnio. Na prtica ao instalar o primeiro DC voc est, efetivamente, criando o domnio. No Windows Server 2003 existem duas maneiras de iniciar o assistente de instalao do Active Directory: Executando o comando dcpromo Usando a ferramenta Gerenciar o servidor (Iniciar -> Todos os programas -> Ferramentas administrativas -> Gerenciar o servidor).

Ao executar o comando dcpromo, o assistente do Active Directory iniciado automaticamente. Ao abrir a ferramenta Gerenciar o servidor, voc deve clicar na opo Adicionar ou remover funo. Exemplo 01: Instalao do Active Directory no primeiro DC criao de um novo domnio usando o comando dcpromo: Neste exemplo voc acompanhar os passos para criao de um novo domnio. Vai instalar o Active Directory em um member server para transform-lo no primeiro DC do domnio empresa.com, que ser criado com a instalao deste primeiro DC. Para criar o domnio empresa.com, siga os passos indicados a seguir: 1. 2. 3. Faa o logon com a conta Administrador ou com uma conta com permisso de administrador. Selecione o comando Iniciar -> Executar. Na linha Abrir digite dcpromo, conforme indicado na Figura abaixo e clique em OK.

4.

O assistente de instalao do Active Directory ser aberto. A primeira tela apenas informativa, descrevendo a

funo do assistente e fornecendo um link para a documentao sobre Active Directory, na Ajuda do Windows Server 2003. 5. Clique em Avanar, para seguir para a prxima etapa do assistente.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos 6. Na terceira etapa voc deve informar se esta sendo instalado um DC para um novo domnio, ou seja, o primeiro

DC e a criao do domnio, ou se voc est instalando um DC adicional para um domnio j existente. Para o nosso exemplo selecione a opo Controlador de domnio para um novo domnio, conforme indicado na Figura abaixo:

7. Clique em Avanar, para seguir para a prxima etapa do assistente. Na quarta etapa so disponibilizadas trs diferentes opes, conforme indicado na figura a seguir: Domnio em uma nova floresta: Esta opo utilizada quando voc est criando o primeiro domnio da empresa. Ou seja, ainda no existe uma rvore de domnios e voc est criando o primeiro domnio, tambm conhecido como domnio root. Domnio filho em uma rvore de domnio existente: Selecione esta opo se voc estiver criando um novo domnio em uma rvore de domnios j existente. Por exemplo, se voc o administrador de uma unidade regional da empresa e est criando um domnio para a sua unidade, domnio esse que far parte da rvore de domnios da empresa. rvore de domnio em uma floresta existente: Selecione esta opo se voc est criando uma nove rvore de domnios, a qual ser integrada a uma ou mais rvores j existentes, para formar uma floresta.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos 8. Para o nosso exemplo, vamos criar o primeiro domnio de uma rvore de domnios. Para isso certifique-se de que

a opo Domnio em uma nova floresta esteja selecionada:

9.

Clique em Avanar, para seguir para a prxima etapa do assistente.

11. Nesta etapa voc deve informar o nome DNS do domnio que est sendo criado. No campo Nome DNS completo para o novo domnio, digita empresa.com e clique em Avanar para seguir para a prxima etapa do assistente.

12. Em seguida solicitado o nome NetBIOS do domnio. O nome NetBIOS e uma espcie de apelido, de nome curto para o domnio. Normalmente utilizada a primeira parte do nome DNS, no nosso exemplo o nome DNS empresa.com, o nome NetBIOS ser empresa. Observe que o campo Nome NetBIOS do domnio, j vem preenchido com o nome empresa. O nome NetBIOS importante por questes de compatibilidade, para aplicaes e clientes mais
Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos antigos, os quais no utilizam o DNS, mas sim o WINS (Windows Internet Name Service). O servio WINS continua disponvel no Windows Server 2003 por questes de compatibilidade. 13. Certifique-se de que o campo Domain NetBIOS name esteja preenchido com o valor empresa. 14. Clique em Avanar, para seguir para a prxima etapa do assistente. 15. Nesta etapa voc informa as pastas onde sero gravadas as informaes sobre o Active Directory. Por padro so utilizadas duas pastas, uma para a base de dados do Active Directory e outra para o log do Active Directory. Por padro o assistente sugere a mesma pasta para a base de dados e para o log e sugere uma pasta chamada NTDS, dentro da pasta onde est instalado o Windows Server 2003. recomendado que estas informaes sejam gravadas em um volume formatado com o sistema de arquivos NTFS, por questes de segurana. Aceite as sugestes do assistente de instalao:

16. Clique em Avanar, para seguir para a prxima etapa do assistente. 17. Nesta etapa solicitado que voc informe a pasta onde ser criada a pasta SYSVOL, a qual contm uma srie de informaes fundamentais para o funcionamento do Active Directory, bem como para a implementao das polticas de segurana (GPOs). Esta pasta, obrigatoriamente, tem que estar em um volume formatado com o sistema de arquivos NTFS. Por padro o assistente de instalao sugere a pasta SYSVOL, dentro da pasta onde est instalado o Windows Server 2003. Aceite a sugesto do assistente de instalao. 18. Clique em Avanar, para seguir para a prxima etapa do assistente.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos 19. Nesta etapa, o assistente informa que no pode localizar um servidor DNS para o domnio empresa.com e oferece a opo de voc deixar que o assistente instale e configure o DNS no servidor que est sendo promovido a DC. Certifique-se de que a opo Instalar e configurar o servidor DNS..., esteja selecionada:

20. Clique em Avanar, para seguir para a prxima etapa do assistente. 21. Nesta etapa voc precisa selecionar qual o tipo de permisso padro ser utilizada para os objetos usurios e grupos. Os diferentes tipos de permisso tm a ver com os diferentes modos de funcionalidade do domnio e da floresta, conforme descreverei mais adiante. A primeira opo Permisses compatveis com verses de sistemas operacionais de servidor anteriores ao Windows 2000, deve ser selecionada se voc ainda tem programas que rodam em servidores com verses anteriores ao Windows 2000 Server ou se existem servidores Windows Server 2003, os quais so membros de um domnio baseado no NT Server 4.0 ou anterior. Com esta opo ser permitido o acesso annimo aos programas que rodam no servidor. A segunda opo Permisses compatveis somente com os sistemas operacionais de servidor Windows 2000 ou Windows Server 2003, deve ser selecionada se todos os programas que rodam no servidor esto em servidores com o Windows 2000 Server ou Windows Server 2003. Com esta opo somente usurios autenticados podero acessar os programas que rodam nos servidores. Certifique-se de que a segunda opo Permisses compatveis somente com os sistemas operacionais de servidor Windows 2000 ou Windows Server 2003 esteja selecionada. 22. Clique em Avanar, para seguir para a prxima etapa do assistente. 23. Nesta etapa solicitado que voc defina uma senha que ser solicitada quando voc inicializar o servidor no modo de restaurao do Active Directory. Em algumas situaes pode ser necessria a inicializao do servidor neste modo. Esta senha pode ser diferente da senha da conta Administrador, porm voc deve lembrar desta senha, seno no ser possvel fazer a inicializao no modo de restaurao do Active Directory. Informe a senha duas vezes para confirmao. 24. Clique em Avanar, para seguir para a prxima etapa do assistente.
Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos 25. Nesta etapa exibido um resumo de todas as informaes que voc forneceu para o assistente de instalao do Active Directory. Caso voc tenha que fazer alguma alterao s clicar no boto Voltar para fazer as alteraes necessrias. 26. Clique em Avanar e o assistente comear a fazer todas as alteraes necessrias para instalar o Active Directory e criar o domnio empresa.com, transformando o servidor no primeiro DC do domnio empresa.com. Esta etapa pode demorar vrios minutos. Uma tela exibida informando a etapa que est sendo executada:

27. O processo de instalao ser concludo e uma mensagem ser exibida, informando que a instalao foi concluda com sucesso. 28. Clique em Concluir. 29. Surge uma mensagem informando que o servidor tem que ser reinicializado. 30. Clique em Reiniciar agora. 31. O servidor ser reinicializado e no prximo logon, voc j ir fazer o logon no domnio empresa.com. Observe que no campo Logon to, exibido o nome NetBIOS do domnio: empresa.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

Modificaes feitas com a instalao do Active Directory.


A primeira e mais bvia modificao o fato do servidor ter sido promovido de Member Server para Controlador de Domnio (Domain Controler -DC). Tambm foram criadas as pastas NTDS e SYSVOL, dentro da pasta onde o Windows Server 2003 est instalado. Na pasta NTDS so gravados os arquivos com a base de dados do Active

Directory e com o log de transaes desta base de dados. Na Figura abaixo esto indicados os arquivos que so criados na pasta NTDS:

Tambm criada a pasta SYSVOL e, dentro desta pasta, uma estrutura de outras pastas que do suporte a uma srie de atividades do Active Directory, tais como scripts de logon, aplicaes de Polticas de segurana e assim por diante.

Como rebaixar um DC de volta a Member Server.


possvel configurar o servidor para que ele deixe de ser um DC e volte a ser um Member Server, sem que ter que formatar e reinstalar o Windows Server 2003. 1. 2. 3. Faa o logon como Administrador ou com uma conta com permisso de administrador. Selecione o comando Iniciar -> Executar. Na linha Abrir (Open) digite dcpromo.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos 4. O assistente de instalao do Active Directory ser aberto. A primeira tela apenas informativa, descrevendo a funo do assistente e fornecendo um link para a documentao sobre Active Directory, na Ajuda do Windows Server 2003. Observe que esta mensagem informa que o Active Directory j est instalado neste servidor e que voc pode usar o assistente para desinstalar o Active Directory, rebaixando o servidor a member server (ainda pertencente ao domnio) ou um stand alone server:

5.

Clique em Avanar, para seguir para a prxima etapa do assistente.

Se o DC que est sendo rebaixado for o nico DC do domnio, exibida uma mensagem informando que se voc rebaixar o ltimo DC o domnio deixar de existir. A mensagem tambm informa que todas as contas de usurios do domnio sero excludas, que todas as chaves de criptografia sero excludas. Antes de excluir o domnio, voc dever exportar as chaves de criptografia para um disquete, seno as pastas que foram criptografadas com contas do domnio estaro inacessveis aps a excluso do domnio. Nem mesmo criando o domnio novamente e recriando as contas com o mesmo nome e senha, ser possvel descriptografar estas pastas.

6. Se o servidor for o ltimo DC do domnio, marque a opo Este servidor o ltimo controlador de domnio no domnio, caso contrrio deixe esta opo desmarcada. 7. Clique em Avanar, para seguir para a prxima etapa do assistente. 8. A prxima mensagem informa sobre as configuraes do DNS relacionadas com o Active Directory. Nesta etapa so listadas as configuraes que sero excludas com a desinstalao do Active Directory.
Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos 9. Aceite as configuraes sugeridas pelo assistente e clique em Avanar, para seguir para a prxima etapa do assistente. 10. Surge mais uma mensagem pedindo que voc informe se deseja que o assistente exclua as parties de aplicao do Active Directory, as quais foram criadas durante a instalao do Active Directory. Marque a opo Excluir todas as parties de diretrio de aplicativos deste controlador de domnio. 11. Clique em Avanar, para seguir para a prxima etapa do assistente. 12. Nesta etapa solicitado que voc informe a senha que ser atribuda a conta Administrador, conta esta que ser uma conta local depois que o Active Directory for desinstalado. Digite a senha duas vezes:

13. Clique em Avanar, para seguir para a prxima etapa do assistente. 14. Ser exibida a tela final do assistente com um resumo das opes selecionadas. Voc pode utilizar o boto Voltar, para voltar a uma determinada etapa do assistente e fazer alteraes. Clique no boto Avanar. 15. O processo de desinstalao do Active Directory inicia, conforme indicado na abaixo. Esta etapa pode demorar alguns minutos.

16. Ao final do processo exibida uma mensagem informando que o Active Directory foi desinstalado. Clique em Concluir. 17. Ser exibida uma mensagem informando que o servidor precisa ser reinicializado para que o processo de desinstalao esteja completo. Clique em Reinicializar Agora. O servidor ser reinicializado e agora ele j um member server (ou um stand alone server, caso o servidor tenha sido configurado para no pertencer a um domnio). Aps a desinstalao do Active Directory as ferramentas de administrao do Active Directory deixam de estar disponveis. Tambm podem ser perdidas algumas configuraes (cones da rea de trabalho e atalhos da barra de inicializao rpida), as quais tero que ser refeitas.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

Exerccio 5

Criando uma nova conta de usurio no domnio:


1. Faa o logon como Administrador ou com uma conta pertencente ao grupo Opers. de contas (Account Operators). 2. Abra o console Usurios e computadores do Active Directory: Iniciar -> Ferramentas Administrativas -> Usurios e computadores do Active Directory. 3. Ser aberto o console Usurios e computadores do Active Directory, indicado na Figura 4.2:

4. Clique no sinal de + ao lado do nome do domnio no qual voc ir criar a conta. 5. Abaixo do nome do domnio exibida uma lista de opes criadas automaticamente quando o Active Directory instalado: Builtin: Nesta opo esto os chamados grupos Builtin, ou seja, aqueles grupos criados automaticamente quando o Active Directory instalado. Estes grupos so utilizados para funes de administrao do domnio. Por exemplo, os membros do grupo Administradores (Administrators) tem permisses administrativas em todo o domnio, j membros do grupo Opers. de contas (Account Operators) tem permisses para criar e administrar contas de usurios no domnio e assim por diante. Os grupos que ficam nesta opo so grupos Locais do domnio. Mais adiante neste captulo, descreverei as diferenas entre grupos Locais, Globais e Universais. Computers (Computadores): Nesta opo ficam as contas de todos os computadores do domnio, a no ser que tenham sido criadas outras unidades organizacionais e contas tenham sido movidas para estas unidades organizacionais. importante lembrar que somente computadores com o Windows NT 4.0, Windows 2000, Windows Server 2003 ou Windows XP Professional, possuem conta de computador. Computadores com o Windows 95/98/Me no tem contas de computador no domnio. Domain Controllers (Controladores de domnio): Nesta opo ficam as contas de computadores dos DCs do domnio. ForeignSecurityPrincipals: Nesta opo ficam objetos relacionados a relaes de confiana criadas manualmente pelo administrador. Users: Nesta opo ficam as contas que foram criadas automaticamente pelo Active Directory, bem como os grupos Globais criados automaticamente. Um exemplo de conta criada automaticamente a conta Administrador (Administrator), a qual tem permisses de administrador em todos os recursos de todos os servidores do domnio. Por padro nesta opo que criamos novas contas de usurios. Conforme ser mostrado mais adiante voc tambm pode criar novas unidades organizacionais e criar contas de usurios dentro destas unidades organizacionais, o que tambm ser visto neste captulo.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos 6. Clique na opo Users para seleciona-la. Sero exibidas as contas e grupos globais criados automaticamente durante a instalao do Active Directory, conforme exemplo da Figura 4.3:

7.

Para criar um novo usurio voc pode utilizar uma das seguintes opes: Clicar com o boto direito do mouse em Users e, no menu que exibido clicar em Novo -> Usurio. Selecionar o comando Ao -> Novo -> Usurio. Clicar no boto New User (Novo Usurio).

8. Usando qualquer uma das opes indicadas a seguir, ser aberta a janela Novo Objeto Usurio, na qual voc deve preencher o nome, sobrenome, nome completo, User name logon (Nome de logon do usurio) e User logon name (pr-windows 2000). O nome de logon (User logon name) o nome que o usurio utiliza para efetuar o logon no domnio (jsilva, maria, etc.). J User logon name (pr-Windows 2000) o nome que o usurio utiliza para efetuar o logon em computadores com verses mais antigas do Windows, tais como o Windows NT Server 4.0. Por simplicidade estes dois nomes devem ser iguais, observe que a medida que voc digitar o primeiro, o segundo ser automaticamente preenchido. Preencha os dados da nova conta e clique em Avanar.

9. Nesta etapa voc tem que definir a senha e configurar algumas caractersticas da conta. Lembre que, por padro, os requisitos de complexidade para senha esto habilitados, conforme descrito anteriormente. No campo Senha, informe uma senha que atenda aos requisitos de complexidade descritos anteriormente. Digite a senha novamente no campo Confirmar a senha. 10. Alm da senha voc pode configurar uma das quatro opes descritas a seguir: O usurio deve alterar a senha no prximo logon : Se esta opo estiver marcada, a primeira vez que o usurio fizer o logon, ser solicitado que ele altere a sua senha. Esta opo utilizada para que o usurio possa colocar uma senha que somente ele conhece. Quando o usurio cadastrado, a senha digitada pelo Administrador, o qual fica sabendo a senha do usurio. No prximo logon o usurio obrigado a alterar a senha de tal maneira que somente ele saiba qual a senha est definida para a sua conta. O usurio no pode alterar a senha: Se esta opo estiver marcada, a senha somente pode ser alterada
Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos pelo Administrador. Normalmente utilizada para empregados temporrios e para estagirios. Para as contas utilizadas pelos funcionrios da empresa, esta opo normalmente desabilitada. A senha nunca expira: Ao marcar esta opo, independente das polticas de segurana do domnio, o usurio nunca precisar trocar a sua senha. Caso contrrio de tempos em tempos (conforme configurado nas polticas de segurana do domnio ), o usurio deve trocar a senha. Conta desativada: O Administrador marca esta opo para desativar/bloquear a conta de um usurio. Usurios com a conta bloqueada no podem mais efetuar logon e, consequentemente, no podem mais acessar recursos da rede. Esta opo normalmente utilizada para desativar, temporariamente, a conta de empregados que esto em frias. Quando o empregado retorna ao servio, o Administrador libera a sua conta, simplesmente desmarcando esta opo. 11. Defina as opes para a conta que est sendo criada, conforme exemplo da Figura 4.5:

12. Clique em Avanar para seguir para a prxima etapa. 13. Esta etapa apenas informativa. Voc pode utilizar o boto Voltar para voltar a uma determinada etapa e fazer alteraes. Clique em Concluir. 14. A conta jsilvap ser criada e j ser listada na opo Users. Observe que o que aparece na listagem o nome completo do usurio. No nosso exemplo est sendo exibido o usurio Jos da Silva Pereira, conforme indicado na Figura 4.6. Nesta figura eu ativei o modo de visualizao cones grandes. Para tal foi utilizado o comando Exibir -> cones Grandes do console Usurios e computadores do Active Directory.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

Configurando informaes sobre a conta do usurio:


Na guia Conta voc tem acesso a uma srie de opes relacionadas com a conta do usurio. Por exemplo, nesta guia tem uma opo para bloquear/desbloquear a conta do usurio, outra opo para definir um prazo de expirao para a conta, os horrios em que o usurio pode fazer o logon, em quais computadores ele pode fazer o logon e assim por diante. Na parte de cima da janela exibido o nome de logon do usurio, o domnio no qual o usurio foi cadastrado e o nome de logon pr-windows 2000. Observe que para o Windows 2000 Server e para o Windows Server 2003, o nome de logon completo do usurio composto pelo nome DNS do domnio e a conta do usurio, como no exemplo a seguir: abc.com\jsilvap. J para verses anteriores, como o NT Server 4.0, que so baseadas no WINS para a resoluo de nomes, usado o nome NetBIOS do domnio, como no exemplo a seguir: ABC\jsilvap. Observe que em ambos os casos o padro o nome do domnio (nome DNS no Windows 2000 ou Windows Server 2003 e nome NetBIOS no NT Server 4.0) uma barra invertida e o nome de logon do usurio.

Na lista Opes da conta, o administrador pode configurar uma srie de opes, descritas a seguir: O usurio deve alterar a senha no prximo logon: Se esta opo estiver marcada, a prxima vez que o usurio fizer o logon, ser solicitado que ele altere a sua senha. Esta opo utilizada para que o usurio possa colocar uma senha que somente ele conhece. Quando o usurio cadastrado, a senha digitada pelo Administrador, o qual fica sabendo a senha do usurio. No prximo logon o usurio obrigado a alterar a senha de tal maneira que somente ele saiba qual a senha est definida para a sua conta. O usurio no pode alterar a senha: Se esta opo estiver marcada, a senha somente pode ser alterada pelo Administrador. Normalmente utilizada para empregados temporrios e para estagirios. Para as contas utilizadas pelos funcionrios da empresa, esta opo normalmente desabilitada. A senha nunca expira: Ao marcar esta opo, independente das polticas de segurana do domnio, o usurio nunca precisar trocar a sua senha. Caso contrrio de tempos em tempos (conforme configurado nas polticas de segurana do domnio ), o usurio deve trocar a senha. Gravar senha c/ criptografia reversvel: Esta opo somente deve ser marcada se o usurio precisa fazer o logon no domnio, a partir de estaes de trabalho padro Apple. Conta desativada: O Administrador marca esta opo para desativar a conta de um usurio. Usurios com a conta desativada no podem mais efetuar o logon no domnio e, consequentemente, no podem mais acessar recursos da rede. Esta opo normalmente utilizada para desativar, temporariamente, a conta de empregados que esto em frias. Quando o empregado retorna ao servio, o Administrador libera a sua conta, simplesmente desmarcando esta opo. Carto inteligente necess. p/ logon interativo: Se esta opo estiver marcada, o usurio somente poder
Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos fazer o logon se estiver utilizando um Smart card. O uso de Smart card aumenta bastante a segurana no logon, uma vez que mesmo de posse da senha do usurio, outra pessoa no conseguir fazer o logon se no tiver tambm o Smart card do usurio. um nvel de segurana adicional. Um dos fatores que impedem (ou esto atrasando) o uso em larga escala de Smart card o custo dos leitores de Smart card.. Quando esta opo for utilizada, a senha da conta do usurio automaticamente e aleatoriamente criada pelo Windows Server 2003, usando requisitos de complexidade e a opo Password never expires (A senha nunca expira) selecionada. Conta sensvel segurana no pode ser deleg.: Esta uma opo que deve ser utilizada com muito cuidado, pois pode gerar problemas em relao segurana. Com esta opo marcada, um hacker poderia tentar fazer se passar por um servio vlido para executar em nome da conta. Com isso o falso servio teria todas as permisses atribudas a conta. J imaginou se isso acontecesse com a conta Administrador? O falso servio simplesmente teria permisses totais em todo o domnio, ou seja, um verdadeiro desastre. Use tipos de criptografia DES p/ esta conta: Habilita suporte para o tipo de criptografia conhecido como DES, o qual suporta diversos nveis de criptografia, incluindo MPPE Standard (40-bit), MPPE Standard (56-bit), MPPE Strong (128-bit) IPSec DES (40-bit), Ipsc 56-bt DES e IPSec Trible DES (3DES). Falarei mais sobre criptografia e os mecanismos de autenticao do Windows Server 2003, na parte sobre segurana, nos Captulos 19 e 20. No exige pr-autenticao Kerberos: O Kerberos um protocole de autenticao. Ao marcar esta opo voc permite que a conta seja autenticada por servidores utilizando diferentes verses e implementaes do protocolo Kerberos.

Definindo o horrio de logon e os computadores na qual a conta pode fazer o logon.


1. Acesse as propriedades da conta a ser configurada. 2. D um clique na guia Conta. 3. Clique no boto Horrio de logon... 4. Ser exibida a janela Horrio de logon para [nome da conta]. Conforme indicado na Figura 4.15. Por padro permitido o logon nas 24 horas do dia e nos sete dias da semana.

5. Quadradinho azul indica horrio permitido e quadradinho branco, horrio no permitido. Para alterar a cor de um faixa de horrio, basta clicar na primeira hora da faixa, manter o boto esquerdo do mouse pressionado e ir arrastando para selecionar um ou mais quadradinhos. A medida que voc vai arrastando os quadradinhos vo sendo selecionados. Depois de selecionados basta dar um clique na opo desejada: Logon permitido ou Logon Negado, que o Windows Server 2003 altera a cor do quadradinho de acordo com a opo escolhida.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos 6. Utilize a tcnica de arrastar, para configurar os horrios permitidos conforme exemplo da Figura 4.16, onde foi habilitado o logon somente no perodo das 8:00 as 12:100, de segunda sexta-feira. Neste exemplo voc pode primeiro clicar na palavra domingo. Todas as horas do domingo sero selecionadas. Depois clique em Logon denied para negar o logon em todas as horas do domingo. Repita a operao para o sbado. Em seguida voc pode marcar a faixa de horrio das 13 as 24 horas de segunda sexta-feira e depois clicar em Logon Denied. Com isso voc est limitando o logon somente ao horrio proposto, ou seja, de segunda sexta-feira, das 8:00 as 12:00.

7. D um clique no boto OK para aplicar as alteraes. Voc estar de volta a guia Conta. Clique em OK para fechar a janela de propriedades da conta. Pronto, agora esta conta somente poder fazer o logon nos horrios configurados pelo Administrador.

Limitando os computadores nos quais o usurio pode fazer o logon.


Agora voc aprender a limitar os computadores nos quais o usurio pode efetuar o logon. Esse procedimento normalmente adotado com empregados temporrios ou estagirios, de tal forma que o Administrador possa controlar em quais computadores esses usurios podem efetuar o logon. Por padro, ao ser criada uma conta, no aplicada restrio em relao as estaes de trabalho da rede na qual a conta pode fazer o logon. Neste item voc limitar as estaes nas quais uma conta pode fazer o logon Para definir em quais estaes uma conta pode fazer o logon, siga os passos indicados a seguir: 1. Acesse as propriedades da conta a ser configurada. 2. D um clique na guia Conta. 3. Clique no boto Fazer logon em... 4. Ser exibida a janela Estaes de trabalho de logon, conforme indicado na Figura 4.17, por padro permitido o logon em todas as estaes de trabalho (Todos os computadores).

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

5. Clique na opo Os seguintes computadores. No campo Nome do computador digite o nome da estao de trabalho e clique no boto Adicionar. Repita estes passos para adicionar os demais computadores para os quais a conta ter permisso de logon, conforme exemplo da Figura 4.18, onde foi dada permisso de logon em trs computadores: micro01, micro02 e micro03. 6. 7. Aps ter inserido o nome dos computadores em que a conta ter permisso de logon, clique em OK. Voc estar de volta a guia Conta. Clique em OK para fechar a janela de propriedades da conta e salvar as

alteraes. Pronto, agora esta limitada a fazer o logon somente nos computadores listados na janela Logon Workstations.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

Criando novos grupos e adicionando novos membros a um grupo.


Neste item voc acompanhar um exemplo prtico, onde ser criado um grupo chamado GrupoTeste e sero adicionadas algumas contas de usurios como membros deste grupo. O grupo GrupoTeste ser um grupo Global. Exemplo: Como criar um grupo e adicionar membros ao grupo: 1. Faa o logon com uma conta com permisso para alterar contas de usurios (Administrador ou pertencente ao grupo Opers. de contas). 2. Abra o console Usurios e computadores do Active Directory: Iniciar -> Ferramentas Administrativas -> Usurios e computadores do Active Directory. 3. Clique na opo Users ou acesse a Unidade Organizacional na qual voc deseja criar o novo grupo (voc aprender sobre Unidades Organizacionais mais adiante, neste captulo). 4. Para criar um novo grupo voc pode utilizar uma das seguintes opes: Clicar com o boto direito do mouse em Users e no menu que exibido clicar em Novo -> Grupo. Selecionar o comando Ao -> Novo -> Grupo. Clicar no boto Novo grupo, indicado na Figura 4.33:

5. Ser aberta a janela Novo Objeto Grupo. No campo Nome do grupo, voc digita o nome do grupo. A medida que voc digita o nome do grupo, o campo Nome do grupo (anterior ao Windows 2000) preenchido automaticamente. Se for necessrio voc pode alterar este campo manualmente. Na parte de baixo da janela voc define o escopo do grupo (Domnio local, Global ou Universal) e o tipo do grupo (Segurana ou Distribuio). Marque o escopo Global e o tipo Segurana, conforme indicado na Figura 4.34:

6. Clique em OK e pronto, o novo grupo ser criado j ser exibido na listagem de grupos, conforme destacado na figura 4.35.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

Agora voc ir adicionar usurios ao grupo GrupoTeste e aprender a configurar outras propriedades do grupo. 7. D um clique duplo no grupo GrupoTeste para exibir as propriedades do grupo. 8. Na guia Geral voc pode inserir uma descrio, uma e-mail de contato do responsvel pela administrao do grupo. Voc tambm pode alterar o tipo e o escopo do grupo e inserir comentrios sobre o grupo, conforme exemplo ilustrado na Figura 4.36:

9. D um clique na guia Membros. Obseve que, por padro, esta guia est vazia, ou seja, nenhum usurio ou grupo pertence ainda ao grupo GrupoTeste. 10. Para adicionar membros ao grupo d um clique no boto Adicionar... 11. Ser exibida a janela Selecione Usurios, Contatos, Computadores ou Grupos. Voc pode utilizar o boto Tipos de objeto, para limitar os tipos de objetos que sero exibidos na listagem de objetos, conforme indicado na Figura 4.37:

12. Voc utiliza o objeto Locais para selecionar o domnio onde esto as contas de usurios e grupos que sero adicionados como membros do grupo GrupoTeste. Por exemplo, voc pode adicionar como membros de um grupo local ou universal, usurios e grupos de outros domnios. 13. Se voc souber o nome de logon dos usurios que faro parte do grupo, voc poder digita-los diretamente no campo Digite os nomes de objeto a serem selecionados, separando-os por ponto-e-vrgula, conforme exemplo da figura 4.38.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

14. Porm pouco provvel que voc saiba de cor o nome de todos os usurios e grupos da sua rede (imagine uma rede com milhares de usurios e dezenas de grupos). Para exibir uma listagem das contas do domnio clique no boto Avanado... A janela ser expandida e ser exibido um formulrio para pesquisa no Active Directory. Neste formulrio voc pode definir vrios critrios de pesquisa, conforme mostrarei na parte final deste captulo. Neste momento nos interessa exibir a lista completa de objetos, para selecionar os que queremos adicionar como membros do grupo. Para exibir todos os objetos basta clicar no boto Localizar agora. Como no definimos nenhum critrio de pesquisa, todos os objetos sero exibidos, conforme indicado na Figura 4.39:

15. Agora voc deve selecionar os usurios e grupos que sero includos como membro do grupo GrupoTeste. Para selecionar objetos nesta janela como selecionar arquivos no Windows Explorer. Para selecionar vrios objetos, intercaladamente, pressione a tecla Ctrl, mantenha-a pressionada e v clicando nos objetos a serem selecionados. Para selecionar vrios objetos em seqncia, clique no primeiro objeto a ser selecionado, libero o boto do mouse, pressiona a tecla Shift e mantenha-a pressionada e clique no ltimo objeto da lista. Com isso todos, desde o primeiro at o ltimo sero selecionados. Utilize uma destas tcnicas para selecionar os objetos (usurios, grupos, computadores, etc), que faro parte do grupo GrupoTeste. No exemplo da Figura 4.40 selecionei cinco usurios (Usurio 01, Usurio 02 , Usurio 03. Usurio 04, e Usurio 05).

16. Aps ter selecionado os objetos que sero includos como membros do grupo, clique em OK.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos 17. Voc estar de volta janela Selecionar Usurios, Contatos, Computadores ou Grupos, com os objetos selecionados j listados. Observe que listado o nome por extenso do objeto e, entre parnteses o nome de logon mais o domnio, conforme indicado na Figura 4.41. Por exemplo Usurio 01 o nome por extenso, user01 o nome de logon e user01@abc.com o nome completo, incluindo j o domnio.

18. Clique em OK e pronto, voc estar de volta a janela de propriedades do grupo, com os objetos selecionados j listados como membros do grupo, conforme indicado na Figura 4.42. 19. Clique na guia Membro de. Nesta guia so listados em quais grupos o grupo GrupoTeste foi inserido como membro. Em outras palavras, lista a quais grupos pertence o grupo GrupoTeste. 20. Clique na guia Gerenciado por. Neste guia voc pode clicar no boto Alterar..., para selecionar quem o usurio responsvel pelo grupo. Ao clicar no boto Alterar, ser aberta a janela Selecionar Usurios, Contatos, Computadores ou Grupos, para que voc selecione um usurio responsvel pelo grupo. 21. Clique em OK e pronto, o grupo foi configurado e novos usurios foram adicionados como membros do grupo.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

Exerccio 6

Fundamentos em: Conceito e utilizao de Unidades Organizacionais.


Voc pode dividir um Domnio em Unidades Organizacionais. Uma Unidade Organizacional uma diviso que pode ser utilizada para organizar os objetos de um determinado domnio em agrupamentos lgicos (tais como por regio, cidade, por funo ou por outro critrio qualquer) para efeitos de administrao. O uso de Unidades Organizacionais resolve uma srie de problemas que existiam em redes baseadas no NT Server 4.0. No Windows NT Server 4.0 se um usurio fosse adicionado ao grupo Admins. do Domnio (grupo com poderes totais sobre qualquer recurso do domnio), ele poderia executar qualquer ao em qualquer servidor do domnio. Com a utilizao de Unidades Organizacionais, possvel restringir os direitos administrativos apenas a nvel da Unidade Organizacional, sem que com isso o usurio tenha poderes sobre todos os demais objetos do Domnio. Cada domnio pode implementar a sua hierarquia de Unidades Organizacionais, independentemente dos demais domnios, isto , os diversos domnios que formam uma rvore de domnios, no precisam ter a mesma estrutura hierrquica de unidades organizacionais. Isto d uma flexibilidade muito grande, para que o administrador de cada domnio utilize a estrutura de Unidades Organizacionais que for mais adequada.

Aes prticas com Unidades Organizacionais (OUs).


Neste item voc aprender a realizar aes prticas com OUs. Primeiro voc aprender a criar uma nova OU. Conforme ser mostrado neste item possvel criar uma OU dentro de outra e assim por diante, como voc faz com pastas e subpastas.

Para criar as OUs indicadas na Figura acima, siga os passos indicados a seguir: 1. Faa o logon com uma conta com permisso para alterar contas de usurios e grupos (Administrador ou pertencente ao grupo Opers. de contas). 2. Abra o console Usurios e computadores do Active Directory: Iniciar -> Ferramentas Administrativas -> Usurios e computadores do Active Directory. 3. Clique com o boto direito do mouse no domnio no qual voc quer criar a nova OU. 4. No menu de opes que exibido clique em Novo -> Unidade organizacional). 5. Ser exibida a janela Novo Objeto Unidade organizacional, solicitando que voc digite o nome da nova OU que ser criada. 6. Digite Regio Sul e clique em OK. 7. Observe que a OU Regio Sul j exibida no painel da esquerda do console Active Directory Users and Computers. Agora hora de criar as demais OUs do exemplo proposto, as quais sero criadas dentro da OU Regio Sul. 8. Clique com o boto direito do mouse na OU Regio Sul. No menu de opes que exibido clique em Novo >Unidade organizacional. Ser exibida a janela Novo Objeto Unidade organizacional, solicitando que voc digite o nome da nova OU que ser criada. Digite Paran e clique em OK. Pronto, a OU Paran foi criada dentro da OU Regio Sul. 9. Clique com o boto direito do mouse na OU Regio Sul. No menu de opes que exibido clique em Novo ->
Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos Unidade organizacional. Ser exibida a janela Novo Objeto Unidade organizacional, solicitando que voc digite o nome da nova OU que ser criada. Digite Santa Catarina e clique em OK. Pronto, a OU Santa Catarina foi criada dentro da OU Regio Sul. 10. Clique com o boto direito do mouse na OU Regio Sul. No menu de opes que exibido clique em Novo -> Unidade organizacional. Ser exibida a janela Novo Objeto Unidade organizacional, solicitando que voc digite o nome da nova OU que ser criada. Digite Rio Grande do Sul e clique em OK. Pronto, a OU Rio Grande do Sul foi criada dentro da OU Regio Sul. 11. Muito bem, a estrutura de OUs propostas foi criada. Agora voc pode criar contas de usurios, comutadores e grupos dentro destas OUs. Os procedimentos para criar um novo usurio ou grupo dentro de uma OU, so exatamente os mesmos descritos anteriormente, onde voc criou um usurio dentro da opo Users. Para mover um ou mais objetos para dentro de uma OU, siga os passos indicados a seguir: 1. Faa o logon com uma conta com permisso para alterar contas de usurios e grupos (Administrador ou pertencente ao grupo Opers. de contas). 2. Abra o console Usurios e computadores do Active Directory: Iniciar -> Ferramentas Administrativas -> Usurios e computadores do ActiveDirectory. 3. Clique na opo Users ou na Unidade Organizacional onde est o objeto a ser movido. 4. Clique com o boto direito do mouse no objeto a ser movido. 5. No menu de opes que exibido clique em Mover... 6. Ser exibida a janela Mover, com a lista de OUs disponveis. Acesse a OU de destino. 7. Clique em OK. Pronto, o objeto (ou os objetos) selecionado no item 4 ser movido para a OU selecionada no passo 6.

Delegando tarefas administrativas a nvel de OU:


Conforme descrito nos Captulo 1 e 2 e reforado neste captulo, uma das grandes vantagens/utilizaes das OUs, justamente a possibilidade de descentralizar tarefas administrativas, com a possibilidade de delegar permisses para determinados usurios executarem tarefas especficas, apenas nos objetos (usurios, grupos e computadores), contidos dentro de uma determinada OU. Por exemplo, imagine uma rede onde temos um domnio chamado regiaosul.com.br. Neste domnio temos trs redes locais, uma em Curitiba, outra em Florianpolis e outra em Porto Alegre. Voc pode montar uma estrutura de tal maneira que apenas um grupo restrito (talvez um ou dois usurios), tenham poderes de Administrador em todo o domnio, isto , somente um ou dois usurios pertenam ao grupo Admins. do domnio. Em seguida voc pode criar trs unidades organizacionais, por exemplo: Curitiba, Florianpolis e Porto Alegre. O prximo passo mover as contas de usurios, computadores e grupos da rede de Curitiba, para dentro da OU Curitiba; mover as contas de usurios, computadores e grupos da rede de Florianpolis para a OU Florianpolis e, por fim, mover as contas de usurios, computadores e grupos da rede de Porto Alegre para a OU Porto Alegre. Agora voc pode descentralizar algumas tarefas administrativas, dando permisses para que um ou mais usurios possam executar algumas tarefas administrativas nas contas de usurios, grupos e computadores da prpria OU. Por exemplo, voc pode criar um grupo chamada Administradores da OU Curitiba, dentro da OU Curitiba. Em seguida voc pode delegar tarefas para este grupo, em relao a OU Curitiba. Por exemplo, voc pode permitir que os membros do grupo Administradores da OU Curitiba, possam criar novas contas de usurios e editar as contas j existentes somente dentro da OU Curitiba. O mesmo pode ser feito em relao as demais OUs do domnio. Observe que o com o uso de OUs, na prtica, possvel descentralizar uma srie de tarefas administrativas, delegando tarefas para que um administrador da prpria OU, execute as tarefas mais comuns do dia-a-dia, tais como administrao de contas de usurios e de recursos compartilhados, dentro dos recursos da prpria OU. A seguir mostrarei um exemplo prtico de como delegar permisses para uma OU. No Captulo 15, nas questes do simulado, voc encontrar questes relacionadas ao conceito de delegao de tarefas em OUs. Exemplo: Para delegar permisses em uma OU, siga os passos indicados a seguir: 1. Faa o logon com uma conta com permisso de administrador. 2. Abra o console Usurios e computadores do Active Directory: Iniciar -> Ferramentas Administrativas -> Usurios e computadores do Active Directory.
Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos 3. Clique com o boto direito do mouse na OU na qual voc deseja delegarpermisses para executar determinadas tarefas. As permisses podem ser delegadas para um ou mais usurios ou grupos. O mais comum delegar para um ou dois usurios ou para um grupo, no qual esto os usurios que tero permisses para executar tarefas administrativas nos recursos da OU. No menu de opes que exibido clique em Delegar controle... 4. Ser aberto o Assistente para delegao de controle. A primeira etapa do assistente apenas informativa. Clique em Avanar para seguir para a prxima etapa do assistente. 5. Nesta etapa voc ir adicionar os usurios/grupos para os quais voc ir delegar permisses em relao a OU. Clique no boto Adicionar... 6. Ser aberta a janela Selecione Usurios, Computadores ou Grupos. Clique no boto Avanado e em seguida clique no boto Localizar agora. Clique no usurio/grupo para o qual voc ir delegar permisses e em seguida clique no boto Adicionar. Repita a operao para os demais usurios ou grupos que recebero permisses. Em seguida clique em OK. Voc estar de volta a tela do assistente e os usurios/grupos selecionados j sero exibidos, conforme exemplo da Figura 4.50, onde foram adicionados os usurios Usurio 01 e Usurio 02:

7. Clique em OK. Voc estar de volta ao assistente de delegao de tarefas. Clique em Avanar para seguir para a prxima etapa do assistente. 8. Nesta etapa voc deve selecionar quais permisses sero delegadas para os usurios selecionados no passo 6. 9. Marque as opes desejadas e clique em Avanar, para seguir para a prxima etapa do assistente. 10. Ser exibida a tela final do assistente, com um resumo das opes selecionadas. Voc pode utilizar o boto Voltar para fazer quaisquer alteraes que sejam necessrias. Clique em Concluir. O assistente ser encerrado e sero delegadas as permisses selecionadas para os usurios/grupos que foram adicionados no passo 6.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

Contas de computadores Conceito e Prtica


Todos os computadores que executam o Windows NT, o Windows 2000, o Windows XP ou um servidor que executa Windows Server 2003 que se associa a um domnio tm uma conta de computador. Semelhantes a contas de usurio, as contas de computador fornecem um meio de autenticar e auditar o acesso do computador rede e aos recursos de domnio. Cada conta de computador deve ser exclusiva, isto , no podem haver duas contas, com o mesmo nome, no mesmo domnio.

As contas de usurio e computador so adicionadas, desabilitadas, redefinidas e excludas usando o console Usurios e computadores do Active Directory. Uma conta de computador tambm pode ser criada quando voc inclui um computador em um domnio. Uma conta de computador mais um tipo de objeto, armazenado no Active Directory. Quando um administrador configura uma estao de trabalho, para fazer parte de um domnio, ser criada no Active Directory, uma conta para o computador que est ingressando no domnio. O nome da conta ter o mesmo nome do computador. Todo computador que faz parte de um domnio (com exceo de computadores com o Windows 95/98/Me), tem uma conta de computador criada no Active Directory. Alm da conta criada tambm uma senha, porm esta senha gerada, automaticamente, pelo Active Directory. Esta senha tambm alterada, periodicamente, pelo Active Directory. Ao instalar o Windows Server 2003 em um servidor ou em uma estao de trabalho, o padro que o computador seja configurado para fazer parte de um Workgroup. Para que o computador faa parte de um domnio, baseado no Active Directory, voc deve executar os seguintes passos: Criar uma conta de computador, com o mesmo nome do computador. Configurar o computador para fazer parte do domnio.

Criando uma conta de computador no Active Directory.


Para criar uma conta de computador no Active Directory, siga os passos indicados a seguir: 1. Faa o logon como Administrador, com uma conta com permisso de Administrador ou com uma conta pertencente ao grupo Opers. de contas (Account Operators). 2. Abra o console Usurios e computadores do Active Directory: Iniciar -> Ferramentas Administrativas -> Usurios e computadores do Active Directory. 3. Clique com o boto direito do mouse na opo Computers ou na OU onde ser criada a conta de computador. 4. No menu de opes que exibido, clique em Novo -> Computador.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos 5. Ser aberta a janela Novo objeto Computador. Preencha os campos, conforme exemplo da Figura 4.56, onde estou criando uma conta para o computador micro-01:

6. Nesta etapa voc deve informar se a conta que est sendo criada ou no uma conta de computador gerenciado. Conta de computador gerenciado, tem a ver com o servio de instalao remota do Windows Server 2003 RIS (Remote Installation Services). Para mais detalhes sobre este item, consulte o item sobre RIS, na Ajuda do Windows Server 2003. Para o nosso exemplo, no marque esta opo. 7. Clique em Avanar para seguir para a prxima etapa do assistente. 8. Ser exibida a tela final do assistente. Clique em Concluir e pronto, a conta de computador ser criada, conforme pode ser comprovado na Figura 4.57:

Polticas de Senha para o Domnio


Ao criar um domnio, com a instalao do Active Directory no primeiro DC do domnio, por padro so definidas algumas polticas de segurana relacionadas com as senhas dos usurios. Por exemplo, por padro definido que a senha deve ter no mnimo 7 caracteres e que deve ser trocada a cada 42 dias, dentre outras definies. O administrador do sistema pode alterar estas polticas de segurana, para adequ-las as necessidades da sua rede. As polticas de segurana so definidas para o domnio como um todo, ou seja, uma vez definidas elas passam a valer em todo o domnio. Alis esta um das caractersticas determinantes de um domnio, ou seja, o compartilhamento de um conjunto nico de polticas de segurana. Neste item voc aprender a configurar as polticas de segurana relacionadas com a senha do usurio. Estas polticas esto divididas em trs grupos, conforme descrito a seguir: Password Policy (Polticas de Senha): Estas polticas def inem as caractersticas que as senhas devem ter. Por exemplo: qual o nmero mnimo de caracteres, devem ser trocadas de quantos em quantos dias, devem ou no
Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos atender a critrios de complexidade e assim por diante. Account Lockout Policy (Polticas para Bloqueio de Senha): Estas polticas definem quando uma conta ser bloqueada, com base em um nmero de tentativas de logon sem sucesso. Por exemplo, o administrador pode definir que se o usurio tentar fazer trs logons sem sucesso (por exemplo digitando uma senha incorreta para a sua conta) dentro do perodo de uma hora, que a conta seja bloqueada. Estas polticas so utilizadas para evitar que um usurio mal intencionado tente sucessivamente fazer o logon, usando diferentes senhas, em um tentativa de adivinhar a senha do usurio. Kerberos Policy (Polticas do Kerberos): O Kerberos um protocolo de autenticao utilizado por muitos sistemas operacionais, como por exemplo o Windows 2000 Server, Windows Server 2003 e muitas verses do UNIX. um protocola padro e muito utilizado. Existem algumas polticas de segurana relacionadas ao protocolo Kerberos que podem ser definidas pelo administrador. Estas polticas so configuradas usando o console Diretiva de segurana de domnio, o qual acessado Iniciar -> Ferramentas Administrativas. Ao abrir o console Diretiva de segurana de domnio sero exibidas diversas opes de configuraes de polticas de segurana do domnio. Clique no sinal de +, ao lado da opo configuraes de segurana. Sero exibidas vrias opes. A primeira opo, no painel da esquerda, : Diretivas de conta. Ao clicar no sinal de + ao lado desta opo, so exibidas as opes Diretivas de senha, Diretivas de bloqueio de conta e Diretivas do Kerberos, conforme indicado na Figura 4.65:

Ao clicar em uma das opes, por exemplo Diretivas de senha, as diversas diretivas da opo selecionada sero exibida no painel da direita, conforme indicado na Figura 4.66. Para alterar uma diretiva basta dar um clique duplo na respectiva diretiva. Por exemplo, d um clique duplo na diretiva Tempo de vida mximo da senha. Por padro definido o valor de 42 dias para esta diretiva. Ao dar um clique duplo nesta diretiva ser aberta uma janela onde so exibidas as configuraes atuais da diretiva e onde voc pode fazer as alteraes necessrias, conforme exemplo da Figura 4.67 onde so exibidas as configuraes da diretiva Tempo de vida mximo de senha.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

Aps ter definido as configuraes desejadas s clicar em OK. Observe a opo Definir a configurao da diretiva. Voc pode desabilitar uma diretiva, fazendo com que ela deixe de ser aplicada, simplesmente desmarcando esta opo.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

Pastas compartilhadas, Permisses de Compartilhamento e Permisses NTFS.


Quando o administrador compartilha uma pasta, ele est permitindo que o contedo da pasta seja acessado por outros computadores da rede. Quando uma pasta compartilhada, os usurios podem acess-la atravs da rede, bem como o contedo (subpastas e arquivos) da pasta que foi compartilhada. Por exemplo, voc pode criar uma pasta compartilhada onde so colocados documentos, orientaes e manuais, de tal forma que os estes possam ser acessados a partir de qualquer estao de trabalho conectada rede. Ao compartilhar uma pasta todo o contedo da pasta passa a estar disponvel para acesso atravs da rede. Isso significa que se houverem outras subpastas, dentro da pasta compartilhada, estas tambm estaro disponveis para acesso pela rede. Considere o exemplo da Figura 6.1. Se a pasta C:\Documentos for compartilhada, todo o seu contedo e tambm o contedo das subpastas C:\Documentos\Ofcios e C:\Documentos\Memorandos estaro disponveis para acesso atravs da rede. Quando uma pasta compartilhada em um computador, criado um caminho para acessar esta pasta a partir dos demais computadores da rede. Este caminho segue o padro UNC Universal Naming Convention (Conveno Universal de Nomes). Todo caminho que segue o padro UNC inicia com duas barras invertidas, seguida pelo nome do computador onde est o recurso compartilhado (que pode ser uma pasta compartilhada, um impressora compartilhada, etc), mais uma barra invertida e o nome do compartilhamento. Imagine que voc est compartilhando recursos em um servidor da rede cujo nome : SRVRS001. Neste servidor so criadas trs pastas compartilhadas com os seguintes nomes de compartilhamento: documentos, manuais e memorandos. No servidor SRVRS001 voc tambm compartilha uma impressora com o nome de compartilhamento lasera1. Qual seria o caminho para acessar estes recursos, segundo o padro UNC? \\SRVRS001\documentos \\SRVRS001\manuais \\SRVRS001\memorandos \\SRVRS001\lasera1

Restringindo o acesso s pastas compartilhadas.


Porm quando uma pasta compartilhada, no significa que o seu contedo deva ser acessado por todos os usurios da rede. possvel restringir quais usurios tero acesso pasta compartilhada, e qual o nmero mximo de usurios que podem acessar a pasta simultaneamente. Esta restrio feita atravs de Permisses de compartilhamento. Com o uso de permisses de compartilhamento possvel definir quais os usurios que podero acessar o contedo da pasta compartilhada. Para isso, criada uma lista com o nome dos usurios e grupos que possuem permisso de acesso.
Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos Esta lista tecnicamente conhecida como ACL Access Control List (Lista de Controle de Acesso). Tambm possvel limitar o que os usurios com permisso de acesso podem fazer. Pode haver situaes em que alguns usurios devem ter permisso apenas para ler o contedo da pasta compartilhada, podem haver outras situaes em que alguns usurios devem ter permisso de leitura e escrita, enquanto outros devem ter permisses totais, tais como leitura, escrita e at excluso de arquivos e assim por diante. Na Figura abaixo, mostra-se um exemplo, em que o grupo Gerentes possui permisses de Controle total, enquanto o grupo Usurios possui permisses apenas para leitura.

Ao criar um compartilhamento em uma pasta, por padro o Windows Server 2003 atribui como permisso de compartilhamento Read (Somente Leitura) para o grupo Everyone (Todos), que conforme o nome sugere, significa qualquer usurio com acesso ao computador, seja localmente, seja pela rede. Ou seja, ao criar um compartilhamento, automaticamente ser permitida a leitura em todo o contedo do compartilhamento para todos os usurios da rede. Esta situao j um pouco melhor do que ocorria com o Windows 2000 Server, onde era definida, por padro, permisso Full Control (Controle Total) para o grupo Everyone (Todos). Por isso ao criar um compartilhamento, o administrador j deve configurar as permisses necessrias, a menos que esteja sendo compartilhada uma pasta de domnio pblico, onde todos os usurios devam ter acesso de leitura em todos os arquivos e subpastas da pasta que est sendo compartilhada.

Compartilhando pastas, definindo permisses de compartilhamento e NTFS


Neste tpico apresentarei uma srie de exemplos para verificao de como funciona o mecanismo de pastas compartilhadas e permisses.
Vou iniciar com um exemplo prtico, onde vou criar uma estrutura de pastas, depois vou compartilhar algumas pastas, definir permisses de acesso e, finalmente, acessar as pastas compartilhadas, a partir de outro computador ligado em rede. Para este exemplo prtico, estou utilizando dois computadores ligados em rede, um com o nome de microxp01 e outro com o nome de microxp02, con forme ilustrado no diagrama da Figura 6.6:

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos Passo 1 executado no computador microxp01: Criar a estrutura de pastas e subpastas indicadas na Figura 6.7, no disco rgido C:

Passo 2 executado no computador microxp01: Compartilhar a pasta Documentos com as seguintes permisses de

compartilhamento:

1. Faa o logon com uma conta com permisso de Administrador e abra o Windows Explorer. 2. Localize a pasta Documentos. 3. Clique com o boto direito do mouse na pasta Documentos e no menu de opes que exibido, d um clique na opao Compartilhamento e segurana... 4. Ser aberta a janela de propriedades da pasta, com a guia Compartilhamento selecionada. D um clique na opo Compartilhar esta pasta. 5. No campo Nome do compartilhamento digite: Documentos. 6. No campo Comentrio) digite: Documentos no computador microxp01. 7. Limite o nmero mximo de usurios conectados (Permitir este nmero de usurios) a 5, conforme indicado na Figura 6.8:

8. D um clique no boto Permisses. Oberve que por padro definida a permisso de compartilhamento Leitura, para o grupo Todos, conforme j descrito anteriormente.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos 9. D um clique no boto Adicionar. Ser exibida a janela Selecione Usurios, Computadores ou Grupos. Voc definir permisses para os grupos Diretoria, Vendas e Empresa. Digite o nome dos grupos separados por ponte e vrgula, conforme indicado na Figura 6.9.

10. D um clique no boto OK. Voc estar de volta janela Permisses para Documentos. Observe que os grupos Diretoria, Vendas e Empresa j esto na lista de grupos. Agora hora de remover o grupo Todos e depois configurar permisses solicitadas para os demais grupos. 11. D um clique no grupo Todos para selecion-lo e depois clique no boto Remover. O grupo retirado da lista. 12. D um clique no grupo Diretoria e marque as permisses Alterao e Leitura. 13. D um clique no grupo Vendas e marque as permisses Alterao e Leitura. 14. D um clique no grupo Empresa e marque somente a opo Leitura. Alis esta a opo que vem marcada por padro, quando um novo grupo ou usurio inserido na lista de permisso. 15. D um clique no boto OK. Voc estar de volta a janela de definio do compartilhamento. 16. D um clique no boto OK e pronto, a pasta ser compartilhada e as permisses de compartilhamento definidas.

Definio de cotas em volumes e parties.


O mecanismo de cotas de disco utilizado para limitar o espao em disco que cada usurio pode utilizar. Somente possvel definir cotas de disco, em volumes formatados com o sistema de arquivos NTFS. As cotas so definidas em cada volume separadamente. Por exemplo, posso implementar o mecanismo de cotas no drive C:, porm no implementalo no drive D:. Se voc tiver um disco rgido de 30 GB, o qual foi dividido em trs volumes de 10 GB: C:, D: e E:. As cotas de disco so definidas, separadamente para cada um dos volumes. Por exemplo, possa definir uma cota de 100 MB para o usurio jsilva no drive C, uma cota de 120 MB para o usurio jsilva no drive D: e uma cota de 200 MB para o usurio jsilva no drive E:. Ou seja, as cotas so definidas por volume por usurio. As cotas so definidas individualmente, para cada usurio. Ou seja, podemos definir um cota de 500 MB para o usurio jsilva e uma cota de 200 MB para o usurio user1 em um determinado volume.

Configurando cotas de disco em um volume NTFS.


Apresentaremos um exemplo prtico sobre a configurao de cotas de disco em um volume NTFS. Exemplo: Configurar cotas no drive C: 1. Faa o logon com uma conta com permisso de administrador e abra o Meu computador. 2. Clique com o boto direito do mouse no drive C: e, no menu de opes que exibido, d um clique na opo Propriedades. 3. Ser aberta a janela de propriedades do drive C: 4. D um clique na guia Cota.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos 5. Para ativar o gerenciamento de cotas de disco, marque a opo Ativar gerenciamento de cota, conforme indicado na Figura 6.45:

6. Configure as opes desejadas de acordo com as necessidades do servidor que voc est administrando. 7. Para definir cotas personalizadas para determinados usurios, d um clique no boto Entradas de Cota... 8. Ser exibida a janela Entradas de cota de disco local (C:). 9. Para adicionar uma cota personalizada para um novo usurio, utilize o comando Cota -> Nova entrada de cota... 10. Ser aberta a janela Selecionar usurios, j em diversos exemplos, no Captulo 4, quando voc aprendeu a adicionar novos usurios a um grupo. Voc pode digitar o nome do usurio para o qual ser definida uma cota ou clicar no boto Avanado..., para selecionar o usurio em uma lista de usurios. Voc definir uma nova cota de disco para o usurio user01, conforme indicado na Figura 6.46:

11. Clique no boto OK. Ser aberta a janela Adicionar nova entrada de cota. Nesta janela voc podemos optar por limitar ou no o uso do espao em disco, para o usurio user01. Se optar por limitar, voc dever definir o espao que o usurio pode utilizar, bem como um limite de aviso. Defina os valores indicados na Figura 6.47 e d um clique no boto OK.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

12. Voc estar de volta janela Entradas de cota de Disco local (C:). Observe que a entrada de cota para o usurio user01 j aparece na listagem, bem como informaes sobre a cota j utilizada pelo usurio, o limite de cota e o limite de aviso, conforme exemplo da Figura 6.48. Repita os passos de 7 11 para definir cotas para outros usurios.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

Exerccio 7

A empresa Infowork, estabelecida em Joo Pessoa, exerce atividades diversas, dentre elas a venda de equipamentos de informtica. Atualmente composta de uma Matriz, situada no centro da cidade e cinco filiais espalhadas em diversos bairros. Na matriz est o centro das informaes, onde encontramos os seguintes servidores: 01 Firewall e Proxy 02 Autenticao e Arquivos 01 Servios de Terminais 02 Banco de Dados 01 E-mail

Nas filiais exite um servidor que faz a ligao com a matriz atravs de VPN utilizando o link ADSL existente. Nas filiais os servidores possuem os servios do Active Directory, DHCP e DNS instalados e configurados. Todas as informaes so centralizadas nos servidores da matriz: Todos os servidores tem o Windows 2003 server intalados; H dois servidores com o Active Directory instalado e configurado para autenticao de usurios, um deles possui o servio de DHCP e ambos possuem os servios de DNS; H um servidor com o MS ISA Server instalado, utilizado para firewall, proxy e MS IIS. H um servidor com Servios de Terminais configurado para atender a diversas conexes de clientes magros (tin clients), tanto na matriz quanto filiais; H dois servidores de banco de dados SQL e Oracle; H um servidor de e-mail com o Exchange Server.

Endereamento de Rede: Usaremos a faixa de endereos de rede 10.83.0.20 at 10.83.0.199, mscara 255.255.255.0, para o servio de DHCP da Matriz; Usaremos a faixa de endereos de rede 10.83.2.20 at 10.83.0.199, mscara 255.255.255.0, para o servio de DHCP da Filial01; Usaremos a faixa de endereos de rede 10.83.2.20 at 10.83.0.199, mscara 255.255.255.0, para o servio de DHCP da Filial02; Usaremos a faixa de endereos de rede 10.83.2.20 at 10.83.0.199, mscara 255.255.255.0, para o servio de DHCP da Filial02; Usaremos a faixa de endereos de rede 10.83.2.20 at 10.83.0.199, mscara 255.255.255.0, para o servio de DHCP da Filial02; Usaremos a faixa de endereos de rede 10.83.2.20 at 10.83.0.199, mscara 255.255.255.0, para o servio de DHCP da Filial02; Os endereos iniciais de cada rede que vo do 1 at o 19 sero reservados para equipamentos ativos de rede, como roteadores, switches, etc; Os endereos finais de cada rede que vo do 200 at o 254 sero reservados para servidores;

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

Atividade 01:

1. Inicialmente deveremos eleger um dos computadores do laboratrio para ser o servidor de autenticao do Active Directory, com o servio de DHCP e DNS (infoworksrv01); 2. Outro computador dever ser configurado com o Active Directory tambm, poder servir como plano de contingncia caso o servidor principal tenha problemas, ele dever ter o servio de DNS tambm configurado (infoworksrv02).; 3. Para esta atividade, os demais servidores devero ser configurados como servidores membros, sem o Active Directory instalado; infoworksrv03 infoworksrv04 . . . infoworksrv0n

4. Utilizem o usurio administrador com a senha @Dministrad0r em todos os servidores; 5. Particionem o HD para que as informaes dos usurios sejam armazenadas na unidade D;

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos 6. No servidor infoworksrv01 devero ser criados as OUs para a prpria Empresa Infowork, para Diretor Presidente e para o Setor de Vendas, os grupos Diretor Presidente e Setor de Vendas; 7. Faam o cadastro dos usurios j utilizando as OUs criadas anteriormente, escolham um dos alunos para Presidente e os demais devero ficar no grupo do Setor de Vendas; 8. Criem uma pasta na unidade D com o nome Usuarios, compartilhem tambm com o mesmo nome e com a segurana seguinte: Em compartilhamento: Domain admins com controle total; System com controle total; Domain users com direito de Alterar e Ler. Em segurana: Domain Admins com controle toal; System com controle total; Domain users com direito de leitura. 9. Abaixo da pasta usuarios, Criem a pasta Diretor Presidente e definam a segurana da pasta com direito de alterao para o grupo Diretor Presidente; 10. Abaixo da pasta usuarios, Criem a pasta Setor de Vendas e definam a segurana da pasta com direito de alterao para os grupos Diretor Presidente e Setor de Vendas; 11. Crie uma OU abaixo da OU Infowork com o nome Computadores e abaixo dela outras duas OUs com o nome de Diretor Presidente e Setor de Vendas. Mova os computadores que foram criados automaticamente para dentro das respectivas OUs criadas; 12. Alterem as polticas de senha. Desativem os requisitos de complexidade, diminuam o tamanho mnimo de senha para 5 e desativem o tempo de vida minimo de senha; 13. No servidor infoworksrv01, na unidade D, defina quotas para os usurios, atribua um valor de 40 MB para cada e o envio de alerta para quando chegar em 35 MB; Momento dos testes: 14. Verifique se o servidor infoworksrv02, que definimos como um servidor para sanar futuras falhas, est realmente trabalhando como um servidor com o Active Directory, verifique se os usurios cadastrados no infoworksrv01 esto aparecendo neste; 15. Verifiquem se os servidores membros esto recebendo os endereos de rede atribudos pelo servidor infoworksrv01, testem se os usurios cadastrados conseguem fazer logon no domnio atravs destes servidores membros; 16. Verifiquem se as permisses definidas para as pastas de Diretor Presidente e Setor de Vendas esto realmente funcionando como o planejado;

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

Exerccio 8

Terminal Services
A idia bsica do Terminal Services bastante simples. Usando um software cliente, como por exemplo, o Terminal Services Client no Windows 2000 Server ou o Remote Desktop no Windows Server 2003, voc pode se conectar a um servidor no qual est rodando o Terminal Services. A se conectar ao servidor, voc recebe uma tela de logon, conforme exemplo da Figura 9.1, onde estou fazendo a conexo usando o cliente Remote Desktop em um computador com o Windows Server 2003, para me conectar a um servidor com o Windows 2000 Server, onde est instalado o Terminal Services. O usurio fornece as informaes de logon e clica em OK e pronto. A conexo com o Terminal Services efetuada e o console (a rea de trabalho) do servidor carregada no computador do cliente, conforme indicado na Figura 9.2. Ou seja, como se voc estivesse localmente conectado e tivesse feito o logon diretamente no servidor de destino, onde Terminal Services est instalado. Na prtica muito parecido com o que acontece quando voc usa o comando telnet para fazer uma conexo com um servidor UNIX ou Linux, s que com o Terminal Services o console grfico. Uma vez feita a conexo, como se voc tivesse localmente logado no servidor remoto. Exatamente a mesma rea de trabalho carregada, com boto Iniciar, barra de tarefas e tudo mais. Observe que com o Terminal Services o administrador pode se conectar a qualquer servidor da rede (desde que o servidor tenha o Terminal Services instalado) e administr-lo como se estivesse localmente logado. Por exemplo, o administrador, da matriz da empresa em So Paulo, pode se conectar via Terminal Services, com um servidor da filial no Rio de Janeiro e trabalhar como se estivesse sentado na frente do servidor no Rio de Janeiro. A tecnologia do Terminal Services oferece eficientes mecanismos de compactao e cache de telas, transmitindo somente o que muda de uma tela para outra, o que permite que o acesso via Terminal Services tenha desempenho bastante satisfatrio, mesmo para conexes remotas, feitas via links de WAN de baixa velocidade. O cliente envia para o servidor, atravs da rede, apenas os toques de teclado e as aes de mouse e recebe apenas as atualizaes de tela. Este mecanismo de funcionamento, juntamente com a possibilidade de compactao dos dados que so transmitidos e do cache de telas no cliente, faz com que o Terminal Services gere uma quantidade reduzida de trfego na rede e por isso possa trabalhar com desempenho aceitvel, mesmo atravs de links de WAN de baixa velocidade.

O Terminal Services pode ser utilizado em dois modos diferentes:

Modo de Administrao Remota: Neste modo o Terminal Services utilizado pelos administradores
da rede, para se conectar remotamente aos servidores da rede e executar tarefas administrativas remotamente, como se estivessem localmente logados nos respectivos servidores. Para utilizar o Terminal Services neste modo, basta instalar o servio nos servidores que devero ser administrados remotamente e instalar o cliente em sua estao de trabalho (Remote Desktop no Windows XP e no Windows Server 2003 ou o Terminal Services Cliente no Windows 2000). Ao instalar o Terminal Services no modo de Administrao Remota, este instalado
Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos com licena para at duas conexes simultneas. Voc no precisa adquirir nenhuma licena adicional e no tem prazo de validade para estas licenas.

Modo de Compartilhamento de Aplicaes: Neste modo, o Terminal Services utilizado para o


compartilhamento de aplicaes. Por exemplo, voc pode querer instalar o Terminal Services no modo de Compartilhamento de Aplicaes, para instalar o Microsoft Office no servidor. Desta maneira, os clientes podero se conectar, at mesmo usando estaes de trabalho mais antigas, como por exemplo, um 486, apenas com um cliente de acesso ao Terminal Services instalado. O cliente faz a conexo e tem acesso rea de trabalho do servidor, na qual ele pode usar os aplicativos instalados no servidor, tais como o Word, Excel, Access e PowerPoint, ou quaisquer outros aplicativos instalados para o modo de Compartilhamento de Aplicaes. O cliente pode usar os programas no servidor e gravar os dados em sua pasta home (home folder) na rede ou em disquete. A grande vantagem deste procedimento, que o cliente poder se conectar ao Terminal Services, usando qualquer computador da rede, no qual exista um cliente de conexo com o Terminal Services. Ao se conectar, usando qualquer um dos computadores da rede, ele receber sempre a mesma rea de trabalho (com os mesmos cones e configuraes) e ter acesso aos seus arquivos de dados. Quando um cliente faz uma conexo com o Terminal Services e faz alguma alterao no ambiente de trabalho, como por exemplo, adicionar um atalho rea de trabalho, esta alterao mantida e estar disponvel na prxima conexo que o usurio fizer. Com isso possvel manter o ambiente do usurio e este ambienta acompanha-o em qualquer computador no qual ele fizer a conexo com o Terminal Services, porque na verdade todas as configuraes esto no servidor. Para utilizar o Terminal Services neste modo, voc deve adquirir uma licena de conexo para cada usurios que ir utilizar o Terminal Services no modo de Compartilhamento de Aplicaes. Mais adiante falarei um pouco mais sobre o licenciamento neste modo. O uso do Terminal Services trs inmeras vantagens, dentre as quais podemos destacar as seguintes: 1. O administrador pode se conectar a qualquer servidor da rede, com o Terminal Services instalado e administrar este servidor como se estivesse localmente logado. 2. Com o uso do Terminal Services no modo de compartilhamento de aplicaes, voc pode criar um ambiente mais seguro e padronizado, onde os usurios acessam suas aplicaes diretamente do servidor e gravam seus dados na rede. 3. Com o uso do Terminal Services no modo de compartilhamento de aplicaes, fica mais fcil para instalar aplicaes e mant-las atualizadas, uma vez que a instalao e futuras atualizaes precisam ser feitas apenas no servidor e no em cada estao de trabalho individualmente. 4. Com o uso do Terminal Services no modo de compartilhamento de aplicaes, voc pode utilizar clientes de menor capacidade de processamento, os quais no seriam mais aproveitados no modelo tradicional, onde o Windows e todos os aplicativos so instalados na estao de trabalho do cliente. 5. O cliente pode rodar, inclusive, em outros sistemas operacionais. Por exemplo, existem programas clientes para o Terminal Services, fornecido por terceiros, para se conectar atravs de uma estao de trabalho com o UNIX, Linux, Macintosh e assim por diante. Ou seja, pode haver um cliente UNIX na rede, conectado ao Terminal Services e utilizando o Word. 6. possvel tambm criar um modelo misto de estao de trabalho, na qual o cliente tem o Windows instalado e alguns programas de uso especfico, instalados localmente. J programas de uso geral na empresa, tais como o Word,
Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos Excel, Email, etc, o cliente acessa via Terminal Services. Com isso possvel manter um ambiente padronizado e de fcil manuteno para as aplicaes utilizadas por todos na empresa, ao mesmo tempo em que permite que cada usurio tenha acesso a aplicaes especficas, relacionadas com o seu trabalho dirio. 7. Reduo do trfego de WAN: Por exemplo, vamos imaginar uma empresa com o servidor de email na sede da empresa e os clientes das filiais com suas caixas de correio neste servidor de email. No modelo tradicional, cada cliente teria o software de email instalado em sua estao de trabalho e acessaria o servidor de email da matriz, atravs do link de WAN. Neste modelo, todas as mensagens e demais informaes so transmitidas do servidor de email para o cliente e de volta para o servidor de email, atravs do link de WAN. Quem j tentou utilizar um cliente de email como o Lotus Notes, para acessar um servidor que est do outro lado de um link de WAN de 64 ou 129 Kbps, sabe o quanto penosa esta operao. So minutos para abrir uma nica mensagem. J com o Terminal Services, o cliente abriria o programa de email diretamente no servidor, no mesmo servidor onde est o servidor de email. Com isso, s transmitido atravs do link de WAN, os toques de teclado e mouse do cliente e as atualizaes de tela do servidor para o cliente. Alm de uma considervel reduo no trfego de WAN, o acesso ao email e demais aplicaes fica muito mais rpido. Para cada usurio que se conecta via Terminal Services criada uma sesso completamente isolada das demais sesses. Ou seja, se um programa apresentar problemas e travar a sesso de um dos usurios conectados, as demais sesses continuaro funcionando normalmente e no sero afetadas. O Windows Server 2003 tambm grava informaes sobre o ambiente de trabalho de cada usurio quando ele se conecta via Terminal Services. Ou seja, o conceito de Profiles, visto no Captulo 4 vlido tambm para conexes via Terminal Services. Outra rea onde o Terminal Services pode ser utilizado com grandes vantagens para oferecer acesso a usurios remotos, tais como vendedores que trabalham usando um Notebook para acessar a rede da empresa ou funcionrios que trabalham em casa mas precisam ter acesso aos recursos da rede da empresa. Estes usurios podem fazer a conexo rede da empresa usando uma linha discada e ter acesso aos aplicativos que precisam via Terminal Services. Este meio de acesso bem mais eficiente e rpido do que o acesso atravs de programas clientes instalados no prprio Notebook e atravs de drives de redes mapeados, uma vez que neste modo como se o usurio estivesse diretamente conectado ao servidor da empresa, sendo transmitido atravs da conexo discada, somente os toques de teclado e mouse do usurio e as atualizaes de tela do servidor. Muito mais rpido do que fazer a conexo e depois usar um programa cliente, instalado no prprio Notebook, para fazer conexo com os aplicativos e dados da empresa. Neste segundo modelo, toda a informao e os dados so transmitidos atravs da conexo discada, o que gera um grande trfego e tempos de respostas bem mais altos do que com o uso do Terminal Services.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

Implementao e Administrao do Terminal Services.


Para utilizar o Terminal Services no modo de administrao remota, com suporte a duas conexes simultneas, no preciso instalar o servio do Terminal Services. Para isso basta habilitar o recurso de Desktop Remoto, que uma novidade introduzida no Windows XP (com suporte a uma nica conexo) e que tambm est presente no Windows Server 2003 (com suporte a duas conexes simultneas). Para habilitar o recurso de Desktop Remoto siga os passos indicados a seguir: 1. Faa o logon com administrador ou com uma conta com permisso de administrador. 2. Abra o Painel de controle: Iniciar -> Painel de controle. 3. D um clique duplo na opo Sistema. 4. Ser aberta a janela de propriedades do sistema, com a guia Geral selecionada por padro. D um clique na guia Remoto. Ser exibida a janela indicada na Figura 9.3. 5. Observe que, por padro, as duas opes da guia Remoto vm desmarcadas. Marque a opo Permitir que usurios se conectem remotamente a este computador. Ao marcar esta opo voc est habilitando outros usurios a se conectarem remotamente ao servidor, ou seja, que outros usurios, desde que devidamente habilitados, possam acessar o console do servidor, remotamente. Esta opo habilita at duas conexes simultneas, ou seja, exatamente a mesma funcionalidade do Terminal Services em modo de administrao, no Windows 2000 Server.

Figura 9.3 Habilitando o recurso de Desktop Remoto.

6. Por padro somente o usurio Administrador ter permisso para fazer a conexo remota. Voc poder adicionar outros usurios com permisso para fazer a conexo remota. Para isso clique no boto Selecionar usurios remotos... 7. Ser exibida a janela Usurios da rea de trabalho remota. Observe a mensagem nesta janela, informando que o
Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos usurio Administrador j tem permisso de conexo remota, por padro. Para adicionar novos usurios clique em Adicionar... Ser aberta a janela Selecionar usurios ou Grupos, j descrita no Captulo 4. Informe o nome dos usurios que tero permisso de conexo remota, digitando os nomes separando-os por ponto-e-vrgula, conforme exemplo da Figura 9.4, ou utilize o boto Avanado..., para selecionar os usurios da lista de usurios do Active Directory.

Figura 9.4 Definindo os usurios que tero permisso de se conectar remotamente.

8. Clique em OK. Voc estar de volta a guia Usurios da rea de trabalho remota, com os usurios selecionados j adicionados lista, conforme indicado na Figura 9.5:

Figura 9.5 Lista de usurios com permisso de acesso remoto.

Pronto, agora o servidor est configurado para ser acessado remotamente, com permisso para at duas conexes simultneas. Faa o teste, acesse atravs de um servidor com o Windows Server 2003, com o recurso da rea de Trabalho Remota.

Utilizando o Terminal Services no modo de Compartilhamento de Aplicaes:


Para utilizar o Terminal Services no modo de compartilhamento de aplicaes, voc deve instalar o servio Terminal Services (Servios de Terminal). Aps a instalao voc deve instalara as aplicaes que sero compartilhadas e configurar o nmero de licenas de acordo com o nmero de usurios que iro acessar o Terminal Services no modo de compartilhamento de aplicaes. A seguir voc aprender a executar estas tarefas.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

Instalando o servio Terminal Services.


Instalando o Terminal Services: Para instalar o Terminal Services siga os passos indicados a seguir: 1. Faa o logon como administrador ou com uma conta com permisso de administrador. 2. Abra o Painel de Controle: Iniciar -> Painel de Controle. 3. D um clique duplo na opo Adicionar ou remover programas. 4. Ser exibida a janela Adicionar ou remover programas. Nas opes do lado esquerdo da janela, d um clique na opo Adicionar/remover componentes do Windows 5. Ser aberto o assistente de componentes do Windows. 6. O Terminal Services um dos componentes do Windows Server 2003. Para que os clientes possam se conectar com o Terminal Services voc tambm deve adicionar o Terminal Server Licensing, que o componente que permitir que o administrador adicione mais licenas, habilitando mais usurios a fazer a conexo via Terminal Services. Localize estas duas opes Terminal Server e Licenciamento do Terminal Server e d um clique para marc-las, conforme indicado na Figura 9.10:

Figura 9.10 Selecionando o Terminal Services para instalao.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos 7. Clique em Avanar, para seguir para a prxima etapa do assistente. Ser exibida uma mensagem de aviso, indicada na Figura 9.11, com diversas informaes relevantes.

Figura 9.11 A tela com avisos importantes.

A primeira informao relevante que, por padro, somente os membros do grupo Administrators (Administradores) tem permisso para conectar-se remotamente ao Terminal Services no modo de compartilhamento de aplicao. Para permitir que outros usurios possam fazer essa conexo remotamente, voc deve adicionar as contas dos usurios que faro a conexo, ao grupo Remote Desktop Users (Usurios da rea de trabalho remota), grupo este j descrito anteriormente.. Tambm emitido um aviso que as aplicaes atualmente instaladas no estaro habilitadas para o modo de compartilhamento de aplicao, ou seja, para que elas possam ser acessadas por mltiplos usurios, elas devero ser reinstaladas no servidor. Voc deve ter cuidado, pois esta mensagem est bastante confusa e leva a interpretaes incorretas. Da maneira como a mensagem foi redigida, d a impresso que depois da instalao do Terminal Services, todas as aplicaes deixaro de funcionar, mesmo localmente, no servidor. Isso no verdade. O que a mensagem queria ter dito que as aplicaes atualmente instaladas, no estaro automaticamente habilitadas para serem usadas no modo de compartilhamento de aplicaes, via acesso remoto. Mas continuaro funcionando, localmente, sem problema nenhum. importante salientar que nem todas as aplicaes do mercado so compatveis com o modo de compartilhamento de aplicao. No significa que se a aplicao rodar isoladamente no servidor, ir tambm funcionar no modo de compartilhamento de aplicao, para que vrios usurios possam acess-la simultaneamente. Evidentemente que a grande maioria das aplicaes compatvel com o modo de compartilhamento. Todas as aplicaes que foram testadas e certificadas para o uso com o Windows Server 2003, iro rodar, sem problemas, no modo de compartilhamento de aplicaes. 8. Clique em Avanar, para seguir para a prxima etapa do assistente. 9. Nesta etapa voc deve selecionar o modo de segurana que ser utilizado. O modo Segurana mxima bem mais seguro, e disponibiliza os novos recursos do Windows Server 2003 em relao segurana, porm pode ser incompatvel

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos com algumas aplicaes mais antigas. Voc pode selecionar este modo durante a instalao e se houver aplicaes crticas que no so compatveis com este modo, voc pode alternar para o modo Segurana reduzida, a qualquer momento, utilizando o console de configurao do Terminal Services, o qual ser visto mais adiante. 10. Selecione o modo Segurana mxima e clique em Avanar, para seguir para a prxima etapa do assistente. 11. Nesta etapa voc deve definir se o Terminal Server Licensing que est sendo instalado ir gerenciar o licenciamento do Terminal Services em toda a empresa ou apenas no domnio onde ele est sendo instalado. Selecione a opo desejada e clique em Avanar, para seguir para a prxima etapa do assistente. 12. O Windows Server 2003 inicia o processo de instalao e emite mensagens sobre o andamento da instalao. Durante a etapa de cpia dos arquivos voc pode ser solicitado a inserir o CD de instalao do Windows Server 2003 no drive. Se isso acontecer, insira o CD de instalao do Windows Server 2003 no drive. 13. O assistente detecta que o CD foi inserido no drive e continua o processo de instalao. 14. A tela final do assistente exibida com uma mensagem informando que o assistente foi concludo com sucesso. Clique em Concluir para fechar o assistente. 15. exibida uma mensagem de que o servidor deve ser reinicializado. Clique em Sim para reinici-lo. Pronto, o Terminal Server e o Licenciamento do Terminal Server foram instalados e esto prontos para serem utilizados. Agora voc aprender sobre como instalar programas para rodar no modo de compartilhamento de aplicao e como configurar o licenciamento do Terminal Server. O servidor ser inicializado e, no primeiro logon, aps a instalao do Terminal Services, o sistema de Ajuda do Terminal Services ser automaticamente carregado e exibido, conforme indicado na Figura 9.12:

Figura 9.12 O sistema de Ajuda do Terminal Services.

Configurando o licenciamento para o Terminal Services.


O Terminal Server requer licenas para que os clientes possam fazer o logon. Qualquer cliente que tente fazer o logon no

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos Terminal Services, deve ser capaz de receber uma licena de acesso vlida, a qual disponibilizada pelo Licenciamento do Terminal Server. Sem receber a licena, no ser permitido o logon do cliente. O licenciamento do terminal services separado do licenciamento do Windows Server 2003. Conforme comentado no Captulo 1, sobre instalao do Windows Server 2003, devem ser adquiridas as chamadas CAL Cliente Access License, para que clientes da rede possam se conectar aos servidores com o Windows Server 2003. J para o Terminal Server outro tipo de licena, ou seja, o fato de ter licenas para conectar com o Windows Server 2003, no implica que estas licenas tambm sejam vlidas para o Terminal Server no modo de compartilhamento de aplicaes. Licenas especficas, para acessar o Terminal Server no modo de compartilhamento de aplicaes, devem ser ativadas. Aps ter comprado as licenas de acesso via Terminal Server, junto Microsoft, voc deve utilizar o console Licenciamento do Terminal Server para configur-las. As informaes sobre o nmero total de licenas disponveis, o nmero de licenas em uso e o nmero de licenas ainda livres para serem utilizadas por novas conexes, so armazenadas no Licenciamento do Terminal Server. Quando um cliente tenta fazer uma conexo com o Terminal Server, este entra em contato com o Licenciamento do Terminal Server, para verificar se existem licenas disponveis, ou melhor, se existe, pelo menos, uma licena disponvel para o novo cliente que est tentando se conectar. Um nico Servidor de licenciamento do Terminal Server pode ser utilizado por vrios servidores com o Terminal Server em modo de compartilhamento de aplicao. Aps ter instalado o Licenciamento do Terminal Server voc deve ativ-lo e instalar as licenas de acesso que foram adquiridas junto Microsoft. Isso feito atravs do uso do Assistente para ativao das licenas do Terminal Server Para ativar o licenciamento voc precisar de uma conexo com a Internet. Tambm possvel fazer a ativao por telefone. A seguir mostro os passos para a ativao via Internet. Para ativar o licenciamento automaticamente, siga os passos indicados a seguir: 1. Faa o logon como administrador ou com uma conta com permisso de administrador. 2. Certifique-se de que voc tem uma conexo com a Internet. 3. Abra o console de Licenciamento do Terminal Server: Iniciar -> Ferramentas administrativas -> Licenciamento do Terminal Server. 4. Clique com o boto direito do mouse no nome do servidor para o qual ser ativado o licenciamento. 5. No menu de opes que exibido clique em Ativar Servidor. 6. Ser aberto o assistente para ativao das licenas. 7. Clique em Avanar para seguir para a prxima etapa do assistente. 8. Ser exibida a tela para que voc selecione o mtodo de conexo. Por padro vem selecionada a opo Conexo automtica que o mtodo recomendado. Aceite este mtodo e clique em Avanar para seguir para a prxima etapa do assistente.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos 9. O assistente demora alguns instantes, tentando localizar o servidor da Microsoft responsvel pelo licenciamento e exibe uma tela para que voc preencha os dados da sua empresa, conforme indicado na Figura 9.13:

Figura 9.13 Informaes sobre a empresa.

10. Clique em Avanar para seguir para a prxima etapa do assistente. 11. exibida uma tela onde voc pode preencher informaes tais como email, nome da empresa ou filial, Endereo, Cidade, Estado e CEP. Estas informaes so opcionais. 12. Clique em Avanar para seguir para a prxima etapa do assistente. 13. O assistente tenta entrar em contato com um servidor de ativao da Microsoft, conforme indicado na Figura 9.14:

Figura 9.14 Localizando um servidor de ativao.

14. Ser exibida a tela final do assistente, informando que o servidor de licenciamento foi ativado com sucesso. A prxima etapa instalar as licenas no Terminal Server. Certifique-se de que a opo Iniciar o Assistente de Ativao... esteja marcada. Com esta opo marcada, o Windows Server 2003 j abre o assistente para instalao das licenas de cliente. 15. Clique em Avanar para abrir o assistente de instalao das licenas. 16. Ser aberto o assistente para instalao das CAL (Cliente Access License) do Terminal Server. A primeira etapa do assistente apenas informativa. Clique em Avanar para seguir para a prxima etapa do assistente. 17. Novamente o assistente tenta se conectar com o servidor de ativao da Microsoft.
Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos 18. Em seguida exibida a tela para que voc informe o tipo de contrato de licenciamento utilizado pela sua empresa. (dentre os vrios programas de licenciamento disponibilizados pela Microsoft). Selecione o tipo de contrato e clique em Avanar para seguir para a prxima etapa do assistente. 19. Nesta etapa, voc tem que informar o cdigo de habilitao para cada licena. Este cdigo fornecido pela Microsoft, quando voc compra as licenas de acesso. Informe o cdigo para cada licena e depois clique no boto Adicionar. 20. Depois s seguir as etapas restantes do assistente e pronto, o Terminal Services estar pronto para ser utilizado no modo de compartilhamento de aplicaes. Quer dizer, quase pronto, pois ainda resta voc aprender como instalar as aplicaes para que possam ser acessadas no modo compartilhado. Conforme descrito anteriormente, as aplicaes que j estavam instaladas, antes da instalao do Terminal Services, no estaro habilitadas para o uso compartilhado. Para tal elas tero que ser reinstaladas. No prximo tpico voc aprender como instalar aplicaes para uso compartilhado, via Terminal Services no modo de compartilhamento de aplicaes.

Instalando aplicaes para uso no modo compartilhado.


Se voc estiver utilizando o Terminal Server no modo de administrao (apenas habilitando o recurso de Desktop Remoto), no sero precisos cuidados adicionais para instalar as aplicaes. Ou seja, o processo de instalao o mesmo de instalar um aplicativo no Windows Server 2003, nada de diferente. Isso porque neste modo, o nmero mximo de conexes simultneas dois e este modo utilizado, pelo administrador, para acessar os consoles administrativos do Windows Server 2003 (DNS, WINS, DHCP, Usurios e Computadores do Active Directory e assim por diante). J no modo de Compartilhamento de Aplicaes existem alguns pontos que devem ser observados. Primeiro importante salientar que neste modo, as aplicaes podero ser utilizadas por vrios usurios conectados simultaneamente. O Windows Server 2003 ter que tratar destes acessos simultneos, sendo capaz de manter um ambiente personalizado para cada usurio. Aplicaes que obtiveram o logotipo Certified for Windows, iro funcionar, sem problemas, com o Terminal Server no modo de Compartilhamento de Aplicaes. Conforme citado anteriormente, no site www.veritest.com, voc encontra uma relao das aplicaes que possuem o logotipo Certified for Windows. Para aplicaes que no tem o logo Certified for Windows podem ser necessrios passos adicionais para que elas possam ser executadas no modo de Compartilhamento de Aplicaes. Algumas destas aplicaes podero ser fornecidas com scripts de adaptao, os quais devero ser executados para que a aplicao possa ser executada no modo de Compartilhamento de Aplicaes. Outras podero, simplesmente, no funcionar neste modo.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

Administrao do Terminal Services.


Uma vez que voc instalou e colocou o Terminal Services para funcionar, hora de conhecer as ferramentas de administrao e as opes de configurao disponveis. Existem, basicamente, trs consoles para administrao do Terminal Services: Gerenciador dos servios de terminal: Esta ferramenta utilizada para monitorar e controlar as conexes com o Terminal Services. Com esta ferramenta voc pode exibir todas as conexes estabelecidas com o Terminal Services. Configurao dos servios de terminal: Esta ferramenta executada no servidor onde o Terminal Server est instalado. utilizada para configurar uma srie de propriedades do Terminal Server, conforme voc aprender logo em seguida. Licenciamento do Terminal Server: Esta ferramenta, j utilizada anteriormente, utilizada para ativar o Terminal Server e para configurar o nmero de licenas de acesso disponveis. A seguir voc aprender a utilizar o console Gerenciador dos servios de terminal e o console Configurao dos servios de terminal.

Gerenciando as conexes com o Gerenciador dos servios de terminal.


Neste item mostrarei, atravs de um exemplo prtico, como utilizar a ferramenta Gerenciador dos servios de termi- nal, para executar uma srie de tarefas, tais como: procurar servidores com o Terminal Server instalado, criar novas conexes, cancelar sesses e assim por diante. Para utilizar o Gerenciador dos servios de terminal, para executar uma srie de tarefas administrativas, siga os passos indicados a seguir: 1. Faa o logon como administrador ou com uma conta com permisso de administrador, no servidor onde est instalado o Terminal Services. 2. Abra o Gerenciador dos servios de terminal: Iniciar -> Ferramentas administrativas -> Gerenciador de servios de terminal. 3. A primeira vez que voc abre o Gerenciador dos servios de terminal exibida uma mensagem, indicada na Figura 9.17, avisando que algumas funcionalidades, tais como o Controle Remoto, somente esto disponveis quando o Gerenciador dos servios de terminal utilizado atravs de uma sesso do Terminal Server, como por exemplo, quando o administrador se conecta ao servidor usando o recurso de rea de Trabalho Remota e depois de conectado, abre o Gerenciador dos servios de terminal.

Figura 9.17 Mensagem de aviso ao abrir o Gerenciador dos servios de terminal.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos 4. Marque a opo No exibir esta mensagem novamente e clique em OK para fechar a mensagem de aviso. 5. Ser exibido o console de administrao do Terminal Server. Por padro todos os servidores do domnio, que esto com o Terminal Server instalados, so adicionados a este console, conforme exemplo da Figura 9.18 (onde exibido o nico servidor do domnio, com o Terminal Server instalado):

Figura 9.18 O console de administrao do Terminal Server.

6. Voc pode fazer com que sejam exibidos todos os servidores disponveis com o Terminal Server instalado. Para pesquisar todos os servidores com Terminal Server, na sua rede, independentemente do domnio, clique com o boto direito do mouse na opo Todos os servidores listados e, no menu de opes que exibido, clique em Atualizar servidores em todos os domnios. 7. Para gerenciar as conexes de um servidor voc deve conectar-se ao referido servidor. Para isso basta dar um clique duplo no nome do servidor, conforme exemplo da Figura 8.19, onde foi feita uma conexo com o servidor SRV70-290. A cor azul do cone, ao lado do nome do servidor, indica que a conexo foi efetuada com sucesso. Observe que, no painel da direita, so exibidas as conexes atualmente ativas e abaixo do nome do servidor so exibidas mais opes, as quais sero descritas neste exemplo.

Figura 9.19 Conectando-se com o servidor SRV70-290.

8. No painel da direita esto disponveis trs guias: Usurios, Sesses e Processos. Por padro a guia Usurios vem selecionada. No Exemplo da Figura 9.19, exibida a lista dos usurios conectados. Observe que o usurio Administrator tem duas sesses abertas neste servidor. Uma o logon local que ele fez, diretamente no servidor. Esta sesso indicada pelo valor Console, na coluna Sesso. Console indica o logon local, diretamente no servidor. A outra sesso foi feita a partir de um computador com o Windows 2000 Server instalado, utilizando o
Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos Cliente de servios de terminal e o logon tambm foi feito usando a conta Administrador. Esta sesso identificada pelo valor RDP-Tcp#1, na coluna Sesso. O RDP abreviatura de Remote Desktop Protocol, que o protocolo utilizado para comunicao do cliente com o Terminal Server. TCP indica que este protocolo utiliza o TCP como protocolo de transporte e #1 indica que foi a primeira conexo. Ao clicar com o boto direito do mouse, em uma das sesses remotas que esto sendo exibida (do tipo RDP), sero disponibilizada diversas opes relacionadas com a sesso, tais como: Conectar, Desconectar, Enviar uma mensagem, Redefinir, Status e Fazer logoff. Quando voc desconecta uma sesso, todos os programas que estavam abertos nesta sesso continuam sendo executados, mas as entradas e sadas desta sesso no so mais transmitidas para a sesso do cliente, conectado remotamente. Se o usurio fizer a conexo novamente, receber o mesmo ambiente que havia anteriormente, sem perda de dados. Ao desconectar uma sesso no sero liberados recursos no servidor (tais como memria e processador) e a sesso, mesmo desconectada, continuar a contar como uma licena de acesso que est sendo utilizada. O usurio somente pode desconectar as suas prprias sesses e o administrador pode desconectar as sesses de qualquer usurio. Para desconectar uma sesso basta clicar com o boto direito do mouse na sesso a ser desconectada e clicar na opo Desconectar. Ser exibida uma mensagem pedindo confirmao, conforme indicado na Figura 9.20:

Figura 9.20 Confirmao para desconectar uma sesso.

9. Clique em OK e pronto, a sesso ser desconectada. O usurio que criou a sesso tambm receber, no computador onde a sesso foi inicializada, uma mensagem de que a sesso foi desconectada pelo administrador. Uma das situaes prticas onde pode ser til o recurso de desconectar sesses para usurios mveis. Por exemplo, um vendedor que trabalha com um notebook e quando chega em um cliente, conecta-se a rede da empresa usando o Terminal Services. Ao invs de encerrar a sesso, ele pode simplesmente desconect-la. Ao chegar ao prximo cliente, ele conecta a sesso novamente e ter exatamente o mesmo ambiente anterior, com os mesmos programas abertos e prontos para o uso. A desvantagem desta abordagem, conforme descrito anteriormente, que as sesses desconectadas continuam ocupando recursos de hardware no servidor, uma vez que os programas de uma sesso desconectada continuam rodando normalmente. O administrador pode desconectar vrias sesses ao mesmo tempo. Para isso basta selecionar as sesses a serem desconectadas (usando as teclas Ctrl ou Shift, em combinao com o mouse, para selecionar as vrias sees) e depois clicar com o boto direito do mouse em uma das sesses selecionadas e, no menu de opes que exibido, clicar em Desconectar.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos 10. Voc tambm pode exibir o status de uma sesso. Clique com o boto direito do mouse na sesso e, no

menu de opes que exibido, clique em Status. Ser aberta a janela de status da sesso, onde so exibidas informaes tais como: bytes recebidos, bytes enviados, frames com erro, % frames com erro e assim por diante, conforme indicado na Figura 9.21. Para fechar a janela de status basta clicar em Fechar.

11. Voc tambm pode redefinir (resetar seria um termo mais adequado, mas acho que ainda no existe no idioma Portugus) uma sesso. Para isso clique com o boto direito do mouse na sesso e no menu de opes que exibido clique em Redefinir. Ao redefinir uma sesso, pode haver perda de dados, pois todos os programas sero encerrados, o que ir liberar recursos no servidor. Ser exibida uma mensagem pedindo confirmao. Clique em OK para fechar a mensagem e redefinir a sesso. O administrador pode redefinir vrias sesses ao mesmo tempo. Para isso basta selecionar as sesses a serem redefinidas (usando as teclas Ctrl ou Shift, em combinao com o mouse) e depois clicar com o boto direito do mouse em uma das sesses selecionadas e, no menu de opes que exibido, clicar em Redefinir. 12. Voc pode enviar uma mensagem para os usurios que esto conectados via Terminal Services. A mensagem pode ser enviada para o usurio de uma nica sesso ou para vrios usurios. Para enviar a mensagem para mais de um usurio, basta selecionar as respectivas sesses. Aps ter selecionado as sesses para as quais sero enviadas mensagens, clique com o boto direito do mouse em uma das sees selecionadas e, no menu de opes que exibido, clique em Enviar mensagem. Ser aberto a janela Enviar mensagem. Digite a mensagem a ser enviada, conforme exemplo da Figura 9.22:

Figura 9.22 Enviando uma mensagem

13. Clique em OK e pronto, os usurios das sesses selecionadas, recebero a mensagem, conforme exemplo da Figura 9.23:

Figura 9.23 Mensagem recebida pelo usurio.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos 14. Voc tambm pode exibir informaes sobre os processos que esto em execuo por uma determinada sesso. Para isso basta dar um clique no sinal de +, ao lado do nome do servidor. Abaixo do servidor ser exibida a lista das sesses do servidor. Clique na seo para a qual voc deseja exibir os processos. No painel da direita sero exibidas as guias Processos e Informao. A guia Processos j vem selecionada por padro e exiba a listagem de processos em execuo pela respectiva sesso, conforme exemplo da Figura 9.24:

Figura 9.24 Processos em execuo por uma determinada sesso.

15. Estas informaes tambm podem ser exibidas em nvel de servidor ou de todos os servidores do domnio. Por exemplo, se voc clicar no nome de um servidor, no painel da direita sero exibidas as guias Usurios, Sesses e Processos. A guia Usurios exibir a lista de todos os usurios com sesses abertas com o servidor selecionado no painel da esquerda. A guia Sesses exibira a lista de todas as sesses do servidor e a guia Processos exibir a lista de todos os processos de todas as sesses do servidor. Se voc clicar no nome do domnio, sero exibidas as mesmas guias: Usurios, Sesses e Processos, porm em cada guia, sero exibidas informaes sobre todo o domnio. Por exemplo, quando um domnio est selecionado e voc clica na guia Sesses, ser exibida a listagem de todas as sesses em todos os servidores Terminal Server do domnio. 16. Feche o console de Administrao do Terminal Server.

Configuraes do Terminal Server.


Neste item mostrarei, atravs de um exemplo prtico, como utilizar a ferramenta Configurao dos servios de terminal. Com esta ferramenta voc pode definir uma srie de configuraes para o Terminal Server. Para configurar o Terminal Server, utilizando o console Configurao dos servios de terminal, siga os passos indicados a seguir: 1. Faa o logon como administrador ou com uma conta com permisso de administrador. 2. Abra o console Configurao dos servios de terminal: Iniciar -> Ferramentas administrativas -> Configurao dos servios de terminal.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos 3. Ser aberto o console de configurao do Terminal Server, com as opes Conexes e Configuraes do servidor disponveis, conforme indicado na Figura 9.25.:

Figura 9.25 O console de configurao do Terminal Server.

4. A maioria das configuraes disponveis so feitas atravs da opo Conexes. Clique na opo Conexes. No painel da direita ser exibida a opo RDP-Tcp. Clique com o boto direito do mouse nesta opo. No menu de opes que exibido, clique em Propriedades. Ser aberta a janela de propriedades, na qual voc pode definir uma srie de propriedades que sero aplicadas s conexes do Terminal Server. Por padro, a guia Geral vem selecionada, conforme indicado na Figura 9.26:

Figura 9.26 A guia Geral de Propriedades.

Nesta guia esto disponveis as seguintes opes de configurao:


Comentrio: Fornece um espao para que voc insira informaes sobre as conexes, como por exemplo:

Conexes no domnio ABC.

Nvel de criptografia: Lista os nveis disponveis de criptografia usados para proteger os dados enviados entre

o cliente e o servidor. Todos os nveis utilizam a criptografia RSA RC4. O nvel Client Compatible (Compatvel com o cliente), faz a criptografia dos dados trocados entre o cliente e o servidor, usando o tamanho mximo de
Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos chave suportado pelo cliente. Este nvel aconselhvel para ambientes que tem uma variedade diferente de clientes se conectando com o Terminal Services, tais como diferentes verses do Windows, Linux, Macintosh e assim por diante. O nvel Baixo criptografa dados enviados do cliente para o servidor usando uma chave de 40 bits ou de 56 bits. O Terminal Server usa uma chave de 56 bits quando os clientes do Windows 2000 ou XP se conectam e uma chave de 40 bits quando a conexo efetuada com verses anteriores do cliente. Essa criptografia baseada apenas em entrada usada para proteger dados confidenciais como, por exemplo, a senha de um usurio. O nvel Mdio criptografa dados enviados do cliente para o servidor e do servidor para o cliente usando uma chave de 40 bits ou de 56 bits. O Terminal Services usa uma chave de 56 bits quando os clientes do Windows 2000 ou XP se conectam e uma chave de 40 bits quando a conexo efetuada com verses anteriores do cliente. Use a criptografia mdia para assegurar os dados confidenciais quando eles forem transportados pela rede para exibio em clientes remotos. Se voc estiver nos Estados Unidos ou Canad, poder selecionar o nvel Alto, que criptografa dados enviados do cliente para o servidor e do servidor para o cliente usando a criptografia de 128 bits de alta segurana.

Usar autenticao padro do Windows: Especifica se o padro da conexo ser a autenticao padro do

Windows quando um outro pacote de autenticao estiver instalado no servidor. 5. Defina as opes desejadas e d um clique na guia Configuraes de logon. Sero exibidas as opes indicadas na Figura 9.27:

Figura 9.27 A guia de configuraes de logon, das Propriedades da sesso.

Nesta guia esto disponveis as seguintes opes de configurao:

Usar informaes de logon fornecidas pelo cliente: Esta a opo marcada por padro. Especifica que as

configuraes de logon so recuperadas do cliente. As configuraes do cliente so definidas no Gerenciador de conexes de cliente.
Sempre usar as seguintes informaes de logon: Ao marcar esta opo voc poder definir as informaes de

logon a serem utilizadas. Ao marcar esta opo, sero habilitados os campos para que voc digite o nome de uma conta, domnio e a respectiva senha (duas vezes). As informaes fornecidas sero utilizadas para efetuar o

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos logon em todas as sesses.
Sempre pedir senha: Especifica se o usurio sempre ser solicitado a fornecer uma senha antes de efetuar

logon no servidor. 6. Defina as opes desejadas e d um clique na guia Sesses. Sero exibidas as opes indicadas na Figura 9.28:

Figura 9.28 A guia Sesses.

Nesta guia esto disponveis as seguintes opes de configurao:


Primeira opo - Ignorar configuraes do usurio: Especifica se sero substitudas as configuraes

definidas por padro na conta do usurio (Guia Terminal Services). Ao marcar esta opo, sero habilitadas as listas: Finalizar uma seo desconectada, Limite de sesso ativa e Limite de sesso ociosa. Na lista Finalizar uma seo desconectada, voc pode digitar ou selecionar o tempo mximo que uma sesso desconectada permanecer no servidor. Quando o tempo limite alcanado, a sesso desconectada ser encerrada. Quando uma sesso encerrada, ela excluda permanentemente do servidor. Selecione Nunca para permitir que as sesses desconectadas permaneam no servidor indefinidamente. Voc pode selecionar o espao de tempo ou digitar o nmero de minutos, horas ou dias na caixa. Especifique as unidades de tempo usando m para minutos, h para horas e d para dias. O tempo mximo que pode ser especificado de 49 dias e 17 horas. No uma boa prtica permitir que sesses desconectadas permaneam por muito tempo no servidor, antes de serem finalizadas, pois isso faz com que sejam ocupados recursos (memria e processador), do servidor. Pode haver situaes onde o tempo de resposta do servidor fica extremamente elevado, devido a um grande nmero de sesses desconectadas, que continuam ocupando recursos do servidor. Nestas situaes, a soluo indicada diminuir o tempo para que uma seo desconectada seja finalizada. Na lista Limite de sesso ativa, voc pode digitar ou selecionar o tempo mximo que uma sesso de usurio pode permanecer ativa no servidor. Quando o tempo limite for alcanado, o usurio ser desconectado da sesso ou a sesso ser encerrada. Quando uma sesso encerrada, ela excluda permanentemente do servidor. Selecione Nunca para permitir que a sesso continue indefinidamente. Voc pode selecionar o espao de tempo ou digitar o nmero de minutos, horas ou dias na caixa. Especifique as unidades de tempo usando m para minutos, h para horas e d para dias. O tempo

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos mximo que pode ser especificado de 49 dias e 17 horas. Na lista Limite de sesso ociosa, voc pode digitar ou selecionar o tempo mximo que uma sesso ociosa (sesso sem atividade do cliente) permanece no servidor. Quando o tempo limite alcanado, o usurio desconectado da sesso ou a sesso encerrada. Quando uma sesso encerrada, ela excluda permanentemente do servidor. Selecione Nunca para permitir que as sesses desconectadas permaneam no servidor indefinidamente. Voc pode selecionar o espao de tempo ou digitar o nmero de minutos, horas ou dias na caixa. Especifique as unidades de tempo usando m para minutos, h para horas e d para dias. O tempo mximo que pode ser especificado de 49 dias e 17 horas.

Segunda opo - Ignorar configuraes do usurio: Ao selecionar esta opo, sero habilitadas opes para

voc definir qual deve ser o comportamento do Terminal Server quando o limite de tempo da sesso for atingido ou a conexo for interrompida, sobrescrevendo as opes definidas nas propriedades da conta do usurio, no domnio. Ao marcar esta opo, sero habilitadas as opes a seguir:
Desconectar-se da seo: Esta opo especifica que o usurio ser desconectado da sesso quando o limite da

sesso for alcanado ou quando a conexo for interrompida.


Encerrar a sesso: Esta opo especifica que uma sesso ser encerrada quando seu tempo limite for

alcanado ou a conexo for interrompida. Quando uma sesso encerrada, ela excluda permanentemente do servidor.
Terceira opo Ignorar configuraes do usurio - Permitir reconexo: Ao selecionar esta opo, sero

habilitadas opes para voc definir qual deve ser o comportamento do Terminal Server em relao reconexes, sobrescrevendo as opes definidas nas propriedades da conta do usurio, no domnio. Ao marcar esta opo, sero habilitadas as opes a seguir
De qualquer cliente: Esta opo especifica que os usurios tm permisso para reconectar-se com uma sesso

desconectada a partir de qualquer computador. Por padro, Servios de terminal permitem a reconexo com uma sesso desconectada em qualquer computador.
Do cliente anterior: Esta opo especifica que os usurios tm permisso para reconectar-se com uma sesso

desconectada apenas a partir do computador no qual a sesso teve origem. Essa opo somente oferece suporte a clientes Citrix ICA que fornecem um nmero de srie ao conectar-se.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos 7. Defina as opes desejadas e d um clique na guia Ambiente. Sero exibidas as opes indicadas na

Figura 9.29:

Figura 9.29 A guia de Ambiente.

Nesta guia esto disponveis as seguintes opes de configurao:


Ignorar configuraes do perfil do usurio e do cliente da conexo da rea de trabalho remota ou dos servios

de terminal: Define que devem ser ignoradas as configuraes do ambiente, definidas no cliente, como por exemplo as configuraes definidas na guia Ambiente, da janela de propriedades da conta do usurio. Ao marcar esta opo sero habilitados dois campos, um para que voc digite o nome de um programa a ser executado quando a sesso iniciada e outro para informar a pasta onde est o referido programa. 8. Defina as opes desejadas e d um clique na guia Controle Remoto. Sero exibidas as opes indicadas na Figura 9.30:

Figura 9.30 A guia Controle remoto.

O controle remoto um recurso que permite ao administrador tomar o controle de uma sesso do usurio e ter acesso ao mesmo console que est sendo exibido ao usurio. Ao fazer o controle remoto, o administrador tambm ter o controle do mouse e do teclado do usurio. Na prtica como se o administrador estivesse sentado em frente ao computador no

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos qual o usurio iniciou a sesso. O controle remoto uma excelente ferramenta para suporte remoto. Pode ser habilitado ou desabilitado a nvel de usurio, na guia Remoto da janela de propriedades da conta do usurio. Nesta guia esto disponveis as seguintes opes de configurao:

Usar o controle remoto com as configuraes padro do usurio: Esta opo especifica que as configuraes

de controle remoto sero recuperadas das configuraes definidas nas propriedades da conta do usurio.
No permitir o controle remoto: Desabilita a funcionalidade de controle remoto.

Usar o controle remoto com as seguintes configuraes: Especifica que o controle remoto ser permitido na

conexo e permitir a definio de configuraes de acesso remoto. A configurao do controle remoto em cada conexo afetar todas as sesses que utilizam a conexo. Ao marcar esta opo, sero habilitadas as seguintes configuraes adicionais:

Exigir permisso do usurio: Especifica se ser exigida a permisso de usurio para controlar a sesso

remotamente. Quando esta opo for marcada, uma mensagem ser exibida para o cliente, solicitando permisso para que o administrador possa visualizar ou participar da sesso, controlando-a remotamente.
Nvel de controle Exibir a sesso: Especifica que a sesso do usurio apenas poder ser visualizada. Nvel de controle Interagir com a sesso: Especifica que a sesso do usurio poder ser controlada

ativamente com o teclado e o mouse, pelo administrador. 9. Defina as opes desejadas e d um clique na guia Configuraes do cliente. Sero exibidas as opes indicadas na Figura 9.31:

Figura 9.31 A guia Configuraes do cliente.

Com as opes desta guia voc define uma srie de configuraes relacionadas ao cliente que est criando a sesso. Nesta guia esto disponveis as seguintes opes de configurao:

Usar configuraes de conexo do usurio: Esta opo define se as configuraes de conexo, definidas nas

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos propriedades da conta do usurio sero utilizadas. Ao desmarcar esta opo, sero habilitadas as seguintes configuraes adicionais:

Conectar unidades cliente ao efetuar o logon: Essa opo define se todos os drives de rede, mapeados pelo

usurio, devem ser reconectados automaticamente durante o logon.

Conectar impressoras cliente ao efetuar o logon: Essa opo define que as impressoras de rede, do cliente,

devem ser reconectadas automaticamente, durante o logon.

Definir a impressora cliente principal como padro: Define a impressora padro do cliente como sendo

tambm a impressora padro para a sesso. Ou seja, se dentro da sesso, o usurio enviar alguma impresso, esta ser enviada para a impressora definida como padro, no computador a partir do qual o usurio se conectou ao Terminal Server.

Limitar profundidade mxima de cor: Define o nmero mximo de cores, para configurao da tela, que pode

ser utilizada atravs de uma sesso com o Terminal Services.

Desativar o seguinte: Neste grupo esto disponveis uma srie de opes para desabilitar recursos especficos,

tais como:
Mapeamento de unidade: Marque esta opo para desabilitar o mapeamento de drivers do cliente.

Mapeamento de impressoras do Windows: Especifica se o mapeamento da impressora cliente do Windows

ser desativado. Por padro, esse recurso est desmarcado (ativado). Quando ativado (desmarcado), os clientes podem mapear as impressoras do Windows e todas as filas da impressora cliente sero reconectadas automaticamente quando for efetuado logon. No entanto, quando os mapeamentos de porta LPT e COM forem desativados (marcados), no ser possvel criar as impressoras manualmente. Quando desativado (marcado), os clientes no podero mapear as impressoras do Windows e as filas da impressora cliente no sero reconectadas quando for efetuado logon. Entretanto, ser possvel reconectar impressoras manualmente se o mapeamento de porta LPT ou COM estiver ativado (desmarcado).
Mapeamento

de portas LPT: Especifica se o mapeamento de porta LPT de cliente ser desativado. Por padro,

esse recurso est desmarcado (ativado). Quando ativado (desmarcado), as portas LPT do cliente sero mapeadas automaticamente para impresso e estaro disponveis na lista de portas do Assistente para adicionar impressora. Ser preciso criar manualmente a impressora para a porta LPT usando o Assistente para adicionar impressora. Quando desativado (marcado), as portas LPT do cliente no sero mapeadas automaticamente. Voc no poder criar manualmente impressoras usando portas LPT.

Mapeamento de portas COM: Especifica se o mapeamento de porta COM de cliente ser desativado. Por

padro, este recurso est desmarcado (ativado). Quando ativado (desmarcado), as portas COM de cliente sero mapeadas automaticamente para impresso e estaro disponveis na lista de portas do Assistente para adicionar impressora. Ser preciso criar manualmente a impressora para a porta COM usando o Assistente para adicionar impressora. Quando desativado (marcado), as portas COM de cliente no sero mapeadas automaticamente. Voc no poder criar manualmente impressoras para portas COM.

Mapeamento da rea de transferncia: Especifica se o mapeamento da rea de transferncia do cliente ser

desativado. Por padro, este recurso est desmarcado (ativado).


Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos
Mapeamento de udio: Define se o mapeamento de udio do cliente deve ou no ser desabilitado.

10. Defina as opes desejadas e d um clique na guia Adaptador de rede. Sero exibidas as opes indicadas na Figura 9.32. Nesta guia voc define se para efetuar conexes via Terminal Services, estaro disponveis todos os adaptadores de rede do servidor ou somente um adaptador especfico (lista Adaptador de rede). Voc tambm pode definir que o servidor aceita um nmero ilimitado de conexes (Conexes ilimitadas) ou pode limitar o nmero de conexes, clicando na opo N Mximo de conexes e definindo o nmero de conexes no campo ao lado desta opo.

Figura 9.32 A guia Adaptador de rede.

11. Defina as opes desejadas e d um clique na guia Permisses. Sero exibidas as opes indicadas na Figura 9.33:

Figura 9.33 A guia Permisses.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

Esta guia apresenta uma lista de controle de acesso (ACL Access Control List), semelhante a lista que apresentada, para controle das permisses de acesso em pastas e arquivos de um volume formatado com NTFS. Nesta guia voc define quais usurios e grupos tero permisses de acesso as sesses do Terminal Services e qual o nvel de acesso dos usurios e grupos que tem permisso de acesso. 12. Defina as opes desejadas e d um clique em OK para aplicar as configuraes efetuadas. 13. No painel da esquerda, clique na opo Configuraes do servidor. Sero exibidas as opes indicadas na Figura 9.34 e descritas logo a seguir.

Figura 9.34 Opes de Configuraes do servidor.

Esto disponveis as seguintes opes de configuraes do servidor:

Excluir pastas temporrias ao sair: Define se as pastas temporrias devem ou no ser excludas ao encerrar a

sesso. O padro Sim. Para alterar esta configurao basta dar um clique duplo sobre ela. Ser exibida a janela com os valores que podem ser definidos para esta opo (no caso Sim ou No), conforme exemplo da Figura 9.35. Clique no valor desejado e depois em OK. Este procedimento utilizado para configurar o valor de qualquer uma das opes de configurao do servidor, ou seja, clique duplo para abrir a janela de opes. Depois clique no valor desejado para marc-lo e clique em OK para aplic-lo.

Figura 9.35 Definindo valores para a opo.

Usar pastas temporrias por sesso: Por padro est habilitada (Sim). Quando habilitada faz com que seja criada uma pasta temporria separada para cada sesso com o terminal services.

Licenciamento: Esta opo permite que voc defina o modo de licenciamento: Per device ou Per user. Para

maiores detalhes sobre as diferenas entre estes dois tipos de licenciamento, consulte o Captulo 1. Active Desktop: Esta opo est desabilitada (Desativar), por padro. Quando esta opo for habilitada, os usurios podero utilizar os recursos do Active Desktop ao se conectar ao Terminal Services. Desabilite esta opo para reduzir o trfego de rede nas sesses do Terminal Services.

Compatibilidade de permisso: Esta opo permite que voc escolha entre Segurana mxima e Segurana reduzida. Somente use Segurana reduzida, se voc utiliza aplicaes antigas, que dependem de acesso completo a Registry do sistema. Embora o mais indicado que estas aplicaes sejam substitudas.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos
Restringir cada usurio a uma nica sesso: Quando esta opo est habilitada (que o padro), cada usurio

poder criar uma nica sesso, ao mesmo tempo, com o Terminal Services. 14. Defina as configuraes de servidor desejadas e feche o console de configurao do Terminal Services.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

O Recurso de Assistncia Remota.


A assistncia remota permite que uma pessoa de confiana (um amigo, uma pessoa do suporte ou um administrador do setor de informtica) auxilie de forma remota e ativa outra pessoa com problema no computador. O assistente (tambm chamado de especialista) poder ver a tela do usurio que est solicitando assistncia e dar algum conselho. Com a permisso do usurio, o assistente poder inclusive assumir o controle do computador do usurio e executar tarefas remotamente. Por exemplo, imagine que voc tem em uma das filiais da empresa, um servidor com o Windows 2003 Server instalado e que este servidor no faz parte do domnio. Vamos supor que o Administrador local est enfrentando problemas e gostaria de ter a ajuda do Administrador da matriz da empresa. Como o servidor da filial no faz parte do domnio, no ser possvel para o Administrador da filial, logar remotamente (a no ser que ele conhea a senha de Administrador local, do servidor da filial). Nesta situao, o Administrador da filial pode enviar um convite para o Administrador da matriz, solicitando uma assistncia remota. O Administrador da filial define o nvel de acesso que o administrador da Matriz ir ter. Os nveis possveis so somente ter acesso a tela do servidor remoto ou poder assumir o controle, tendo acesso ao controle do teclado e do mouse do servidor remoto. Porm o uso mais comum do recurso de Assistncia Remota para fornecer suporte aos usurios da rede. Voc pode utilizar este recurso, para que os usurios (de estaes baseadas no Windows XP, uma vez que este recurso no est disponvel no Windows 2000) solicitem assistncia remota para um tcnico da equipe de suporte. O tcnico poder ter acessa a tela do usurio ou, dependendo das polticas de segurana da empresa e da permisso do usurio, o tcnico poder inclusive assumir o controle do mouse e do teclado. Como o recurso de assistncia remota gera pouco trfego de rede, este recurso pode, inclusive, ser utilizado para fornecer suporte tcnico distncia, onde os tcnicos da filial da empresa prestam assistncia tcnica remota, para uma ou mais filiais. um recurso realmente importante e que, certamente, economizam dinheiro com viagens, dirias e, principalmente, com o tempo para soluo dos problemas. Com o uso da Assistncia Remota, problemas que talvez demorassem dias para ser resolvidos (at que um tcnico viajasse para a filial da empresa), podero ser resolvidos em minutos. A assistncia remota normalmente inicia com uma solicitao de ajuda do usurio, atravs de email, do Windows Messenger ou de um convite salvo como um arquivo. Entretanto, um assistente tambm poder oferecer ajuda sem que tenha recebido primeiro uma solicitao de um usurio. A assistncia remota exige que os dois computadores estejam executando o Windows XP ou um produto da famlia Windows Server 2003.

Tipos de conexes de assistncia remota


A assistncia remota pode ser usada nas seguintes situaes:
Em uma rede local (LAN). Na Internet.

Entre um indivduo na Internet e um indivduo atrs de um firewall. As conexes atravs de um firewall

requerem que a porta TCP 3389 esteja aberta.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

Questes de segurana
Se um usurio permitir e tiver permisso da diretiva de grupo, ou atravs das configuraes de Sistema no Painel de controle, um assistente poder controlar o computador do usurio e executar qualquer tarefa que poderia ser executada pelo usurio, incluindo acesso rede. As configuraes a seguir esto disponveis para resolver problemas de segurana em sua organizao:

No firewall: Para determinar se uma pessoa dentro de sua organizao pode solicitar ajuda fora da

organizao, proba ou permita o trfego de entrada e sada atravs da porta 3389 no firewall.
Diretiva de grupo, via GPOs. Voc pode definir a diretiva de grupo para permitir ou proibir que os usurios

solicitem ajuda usando a assistncia remota. Voc tambm pode determinar se os usurios podero permitir que alguma pessoa controle remotamente seus computadores ou apenas o vejam. Alm disso, voc pode definir a diretiva de grupo para permitir ou proibir que um assistente remoto oferea assistncia remota ao computador local.

Computador individual. O administrador de um computador individual poder desativar as solicitaes de

assistncia remota nesse computador, o que impedir que qualquer pessoa que esteja utilizando o computador envie um convite de assistncia remota.

Habilitando o recurso de Assistncia Remota


Por padro, o recurso de Assistncia Remota est desabilitado. Para que possa ser utilizado, o recurso de Assistncia Remota deve ser habilitado. Este recurso pode ser habilitado manualmente em cada computador ou atravs das configuraes das Polticas de Segurana do Domnio. A seguir descrevo como habilitar, manualmente, o recurso de Assistncia Remota, em um computador. Para habilitar o recurso de assistncia remota, siga os passos indicados a seguir: 1. Fao o logon com uma conta com permisso de Administrador. 2. Abra o Painel de Controle. 3. Dentro do Painel de controle, d um clique duplo na opo Sistema.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos 4. Ser aberta a janela Propriedades do sistema, com a guia Geral selecionada por padro. D um clique na guia Remoto. Sero exibidas as opes indicadas na Figura 9.36:

Figura 9.36 A guia Remoto.

5. Observe que, por padro, a opo Ativar a assistncia remota e permitir o envio de convites deste computador, vem desmarcada. Para habilitar que seja enviado um convite para assistncia remota, a partir deste computador, voc deve marcar esta opo. 6. Marque esta opo. 7. O boto Avanada... ser ativado. Atravs deste boto, voc tem acesso as configuraes da Assistncia remota. 8. D um clique no boto Avanada... 9. Ser exibida a janela Configuraes da assistncia remota, indicada na Figura 9.37: 10. Nesta janela voc tem as seguintes opes de configurao:
Permitir que este computador seja controlado remotamente: Marque esta opo para permitir o controle

remoto. Ou seja, ao marcar esta opo, quando o tcnico aceitar o convite de assistncia remota que voc enviou, ele tambm ter acesso ao teclado e ao mouse, ou seja, embora remotamente, como se ele estivesse sentado na frente do seu computador. Este recurso deve ser utilizado com cuidado, obviamente por questes de segurana.

Convites: Nesta lista voc define o tempo mximo pelo qual os convites so vlidos. Ou seja, o usurio envia

um convite, qual seria o tempo mximo dentro do qual este convite pode ser utilizado, antes que perca a validade. Se um tcnico tentar utilizar um convite que perdeu a validade, no ser possvel estabelecer o controle remoto. 11. Defina as configuraes desejadas e clique em OK.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos 12. Voc estar de volta guia Remoto. Clique em OK para fechar a janela de Propriedades do Sistema.

Enviando um convite de assistncia remota


Algumas vezes, a melhor maneira de corrigir um problema ter algum que aponte como faz-lo. A assistncia remota uma opo conveniente que permite que outra pessoa (denominada assistente ou especialista) se conecte ao seu computador e o oriente passo a passo para solucionar o problema. Seguindo as etapas da Assistncia remota, o usurio pode usar o Windows Messenger ou uma mensagem de email para convidar um assistente a se conectar ao seu computador. O usurio tambm pode salvar o convite em um arquivo. Depois que o assistente estiver conectado, ele poder ver a tela de seu computador e conversar com voc sobre o que ambos esto vendo. Com sua permisso, o assistente poder usar o prprio mouse e teclado para controlar seu computador. Para solicitar a assistncia remota, siga os passos indicados a seguir: 1. Clique no boto Iniciar e, em seguida, clique em Ajuda e suporte. 2. No painel da direita, clique na opo Assistncia remota. 3. Nas opes que so exibidas, clique em Convide algum para ajud-lo. 4. Ser aberto um assistente, passo-a-passo, para que voc crie e envie um convite de assistncia remota. Siga as outras instrues para criar e enviar um convite. 5. A pessoa recebe o convite, ou por email ou via Windows Messenger, com um link na qual o tcnico cria, para iniciar a sesso de assistncia remota com o computador do cliente.

Alguns detalhes importantes sobre a Assistncia remota:

A assistncia remota exige que os dois computadores estejam executando o Windows XP ou um produto da

famlia Windows Server 2003.

Se voc solicitar assistncia usando o Windows Messenger, seu assistente tambm dever estar inscrito no

Windows Messenger.
Vocs dois precisaro estar conectados Internet ou mesma rede local (LAN) quando usarem a assistncia

remota.
Se houver vrios usurios em um computador, o administrador s poder ver suas prprias permisses. Ele

no poder ver as permisses da assistncia remota criadas pelos outros usurios do computador.

Os firewalls provavelmente o impediro de usar a assistncia remota para solicitar ajuda de uma outra pessoa

fora do firewall. Nesse caso, consulte o administrador da rede. A assistncia remota usa o protocolo de rea de trabalho remota (RDP) para estabelecer uma conexo entre um usurio que est solicitando ajuda e um assistente que est oferecendo a ajuda. O RDP usa a porta TCP 3389 para essa conexo. Para permitir que os usurios de uma organizao solicitem ajuda fora da organizao usando a assistncia remota, a porta 3389 dever estar aberta no firewall. Para proibir os usurios de solicitarem ajuda fora da organizao, essa porta dever estar fechada no firewall. Se o administrador fechar a porta 3389, sero bloqueados todos os servios de
Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos terminal e de rea de trabalho remota. Para liberar esses servios, mas limitar as solicitaes de assistncia remota, voc deve habilitar a porta 3389 e usar as GPOs para desabilitar a Assistncia remota. Se a porta estiver aberta somente para trfego de sada, um usurio poder solicitar assistncia remota usando o Windows Messenger.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

Exerccio 9

Group Police Objects GPOs.


O recurso de Group Policy Objects (GPO) de enorme utilidade para o administrador. Com o uso de GPO o administrador pode definir as configuraes de vrios elementos da estao de trabalho do usurio, como por exemplo, os programas que estaro disponveis, os atalhos do menu Iniciar que estaro disponveis, configuraes de Internet, de rede e assim por diante. Por exemplo, o administrador pode configurar, via GPO, quais grupos de usurios devero ter acesso ao menu Executar e quais no tero, pode configurar a pgina inicial do Internet Explorer para um grupo de usurios ou para toda a empresa, pode fazer configuraes de Proxy e por a vai. So milhares (literalmente milhares) de opes de configuraes que esto disponveis via GPO. As configuraes feitas via GPO so aplicadas para usurios, computadores, member servers e DCs, mas somente para computadores executando Windows 2000 (Server ou Professional), Windows XP Professional (uma vez que um computador com o Windows XP Home no pode ser configurado para fazer parte de um domnio) ou Windows Server 2003. Para verses mais antigas do Windows, tais como Windows 95/98/Me e NT 4.0, o recurso de GPO no aplicado. Vou iniciar este tpico com a fundamentao terica necessria para que voc entenda exatamente o que o recurso de GPO, como ele se aplica em um domnio, em que nveis ele pode ser configurado e quais as opes que o administrador tem para garantir que as configuraes definidas via GPO, sejam aplicadas nas estaes de trabalho dos usurios. Em seguida passarei as aes prticas relacionadas com GPO. Desde a alterao da GPO padro do domnio, passando pela criao de novas polticas de segurana e aplicaes destas polticas em diferentes nveis, dentro do domnio. Tambm falarei sobre as configuraes de segurana e definio de permisses, relacionadas com GPO. Com a configurao das permisses de acesso a uma determinada GPO, o administrador pode fazer com que um conjunto de polticas de segurana seja aplicado apenas a um determinado grupo de usurios ou computadores ( importante lembrar que no Windows Server 2003, possvel adicionar as contas de computadores como membros de um grupo). Apresentarei o conceito de herana de GPO, conceito importante quando se aplicam diferentes polticas em diferentes nveis dentro do domnio.

Group Policy Objects Fundamentao Terica


Quem j trabalhou na administrao de uma rede baseada no Windows sabe o quanto trabalhoso (e com um custo elevado), manter a configurao de milhares de estaes de trabalho rodando diversas verses do Windows. Existem diversas questes/problemas que tem que ser enfrentados:

Como definir configuraes de maneira centralizada, para que seja possvel padronizar as configuraes das

estaes de trabalho?

Como impedir que os usurios possa alterar as configuraes do Windows (diversas verses), muitas vezes

inclusive causando problemas no Windows, o que faz com que seja necessrio um chamado equipe de suporte, para colocar a estao de trabalho novamente em funcionamento?

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

Como aplicar configuraes de segurana e bloquear opes que no devam estar disponveis para os usurios

de uma maneira centralizada, sem ter que fazer estas configuraes em cada estao de trabalho. Quando houver alteraes, eu gostaria de poder faz-las em um nico local e ter estas alteraes aplicadas em toda a rede ou em partes especficas da rede.

Como fazer a instalao e distribuio de software de uma maneira centralizada, sem ter que fazer a

instalao em cada estao de trabalho da rede.

Como definir um conjunto de aplicaes diferente, para diferentes grupos de usurios, de acordo com as

necessidades especficas de cada grupo.

Como aplicar diferentes configuraes aos computadores de diferentes grupos de usurios, de acordo com as

necessidades especficas de cada grupo. A primeira tentativa de responder a estas necessidades, recorrentemente levantadas pelos administradores de redes baseadas no Windows foi a introduo das chamadas Polices e do Police Editor, juntamente com o Windows NT 4.0. Com o uso das Polices era possvel definir uma srie de configuraes, as quais eram aplicadas registry da estao de trabalho do usurio quando ele fizesse o logon no domnio. Por exemplo, era possvel utilizar as Polices para impedir que um usurio do Windows 95/98/Me pressionasse a tecla ESC para cancelar a tela de logon e ter acesso ao Windows sem fazer o logon no domnio. Eu digo uma primeira tentativa, porque o uso de Polices no passou muito disso, uma tentativa, uma vez que muitas das demandas no foram atendidas por este recurso. J com o lanamento do Windows 2000 Server e com a introduo do recurso de GPOs, o administrador tem um recurso realmente poderoso, capaz de atender todas as demandas descritas anteriormente. importante salientar que as GPOs somente so aplicadas a computadores com o Windows 2000, Windows XP ou Windows Server 2003. Estaes de trabalho que ainda estejam com verses mais antigas do Windows, tais como Windows 95, Windows 98, Windows Me ou Windows NT 4.0, tero como nico recurso de configurao o uso de Polices e do Police Editor. O recurso de GPOs no aplicado a estas verses mais antigas. Ento em uma rede, onde voc tem estaes de trabalho com as novas verses do Windows (2000, XP e 2003) e estaes de trabalho com verses mais antigas (95, 98, Me e NT 4.0), voc ter que utilizar os dois recursos. Polices para as verses mais antigas do Windows, sempre levando em considerao as limitaes deste recurso, em comparao com o uso de GPOs e usar GPOs para as estaes de trabalho com verses mais novas do Windows. As GPOs incluem configuraes que so aplicadas a nvel de usurio (ou seja, em qualquer estao de trabalho que o usurio faa o logon, as polticas associadas a sua conta de usurio sero aplicadas) e a nvel de computador (ou seja, qualquer usurio que faa o logon no computador ter as polticas de computador aplicadas). Por exemplo, se o administrador definiu uma poltica de usurio para o grupo do usurio jsilva, de tal maneira que o menu Executar no deva estar disponvel para este grupo. Em qualquer estao de trabalho que o jsilva fizer o logon, o menu Executar no estar disponvel. Agora imagine que o administrador configurou uma poltica de computador, para o grupo de computadores da seo de contabilidade, definindo que o menu Executar no deve estar disponvel nestes computadores. Qualquer usurio que faa o logon em qualquer um dos computadores da seo de contabilidade, no ter disponvel o menu Executar, independentemente dos grupos aos quais pertena a conta do usurio, uma vez que a poltica est sendo aplicada ao computador (independentemente do usurio que esteja utilizando-o).
Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos Mas enfim, o que as GPOs podem fazer: Gerenciar centralizadamente, configuraes definidas na registry do Windows, com base em templates de administrao (Administrative Templates). As GPOs criam arquivos com definies da registry. Estes arquivos so carregados e aplicados na estao de trabalho do usurio, nas partes referentes a configurao de Usurios e configurao de Computador da registry. As configuraes de usurio so carregadas na opo HKEY_CURRENT_USER (HKCU), da registry (No Captulo 12 falarei um pouco mais sobre a Registry do Windows Server 2003). As configuraes de computador so carregadas na opo HKEY_LOCAL_MACHINE (HKLM), da registry. A idia relativamente simples. Ao invs de ter que configurar estas opes em cada estao de trabalho, o administrador as cria centralizadamente, usando GPOs. Durante o logon, o Windows aplica as configuraes definidas na GPO. Atribuio de scripts: Com o uso de GPOs o administrador pode configurar um script para ser executando na inicializao e tambm no desligamento do Windows. Tambm podem ser definidos scripts de logon e logoff. Redireo de pastas: O administrador pode configurar uma GPO para que pastas tais como Meus documentos e Minhas imagens sejam redirecionadas para uma pasta compartilhada em um servidor. Com isso os dados do usurio passam a estar disponveis no servidor e podero ser acessados de qualquer estao de trabalho da rede, na qual o usurio faa o logon. Alm disso, com os dados no servidor, possvel criar e implementar uma poltica de backup centralizada. Gerenciamento de software: Com o uso de GPO o administrador pode fazer a instalao de aplicaes de uma maneira centralizada. possvel associar uma aplicao com um grupo de usurios. Quando o usurio fizer o logon, o cone da aplicao j exibido no menu Iniciar. Quando ele clicar neste cone a aplicao ser instalada a partir de um servidor da rede, cujo caminho foi configurado vai GPO. Tambm possvel publicar aplicaes. Neste caso, ao fazer o logon, o usurio tem que acessar a opo Adicionar ou remover programas, do Painel de controle e solicitar que a aplicao seja instalada. Definir configuraes de segurana: Para computadores executando o Windows 2000, Windows XP Professional ou Windows Server 2003, existe uma GPO localmente nestes computadores. Esta GPO pode ser utilizada para configurar uma srie de opes do ambiente de trabalho do usurio. As configuraes definidas na GPO local somente se aplicam ao computador onde as configuraes esto sendo definidas. Algumas funcionalidades tais como distribuio de software e redireo de pastas no esto disponveis na GPO local, somente em GPOs aplicadas no Active Directory, conforme descrito logo a seguir. A GPO local somente deve ser utilizada quando houver necessidade de uma configurao especfica em um determinado computador. As configuraes que se aplicam a grupos de computadores e usurios devem ser configuradas via GPOs aplicadas no Active Directory, j que isso facilita a configurao e atualizao das configuraes de uma maneira centralizada. Alm da GPO local, podem ser aplicadas GPOs definidas no Active Directory, para aplicao nos computadores que fazem parte do domnio. Pode inclusive acontecer de haver conflitos de configuraes entre a GPO local e uma ou mais GPOs do domnio. Neste caso existem configuraes (que voc aprender mais adiante), que definem, em caso de conflito, se deve ser aplicada a definio da GPO local ou a definio da GPO do domnio. Existe uma GPO padro para o domnio. Configuraes feitas nesta GPO sero aplicadas a todos os usurios e
Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos computadores do domnio. Configuraes gerais, que devam ser aplicadas a todos os objetos do domnio, devem ser definidas nesta GPO.

Polticas de usurios e polticas de computador:


As polticas de usurios, isto , polticas associadas a conta do usurio ou a um grupo ao qual o usurio pertence, so configuradas na opo Configurao de usurio, do console de administrao de GPOs (o qual voc aprender a utilizar mais adiante, neste captulo) e so aplicadas quando o usurio faz o logon. Polticas de computador so configuradas atravs da opo Configuraes de computador, do console de administrao das GPOs e so aplicadas quando o computador e inicializado. Existe tambm um intervalo de atualizao, dentro do qual as polticas so reaplicadas e quaisquer mudanas que tenham sido feitas pelo administrador, sero aplicadas aos usurios e computadores. As polticas definidas no Active Directory so aplicadas somente a objetos do tipo usurio e computador. Por questes de desempenho, as polticas no podem ser configuradas para objetos do tipo Grupos. Porm possvel utilizar o mecanismo de permisses de acesso das GPOs, para limitar a aplicao de uma GPO somente a um ou mais grupos de usurios e computadores. possvel criar objetos do tipo GPO e associ-los a diferentes elementos do Active Directory. Um objeto do tipo GPO pode ser criado e associado com o domnio, com uma unidade organizacional ou com um site. Alm da GPO que pode ser criada localmente em cada computador com o Windows 2000, Windows XP Professional ou Windows Server 2003, conforme descrito anteriormente. As GPOs so aplicadas em uma ordem especfica, caso esteja definida mais de uma GPO para o usurio que estiver fazendo o logon ou para o computador que est sendo reinicializado. Por exemplo, quando o usurio faz o logon, aplicada a GPO do domnio e mais (se houver), a GPO da unidade organizacional a qual pertence a sua conta e a GPO local da estao de trabalho que ele est utilizando. A ordem de aplicao das GPOs a seguinte:
A GPO local. GPO definida para o site ao qual pertence o computador. GPOs do domnio

GPOs definidas a nvel de unidade organizacional, da OU pai para a OU filho. Por exemplo, se foi criada uma

OU Diviso Sul e, dentro desta OU as divises: Finanas, Contabilidade e Vendas e a conta do usurio jsivla est na OU Vendas. Primeiro ser aplicada a GPO da OU Diviso Sul e depois a GPO da OU Vendas. Por padro, as polticas aplicadas por ltimo tm precedncia sobre as polticas aplicadas anteriormente. Por exemplo, a GOP de domnio aplicada. Em seguida vem a GPO definida na Unidade Organizacional. Se houver um conflito entre a GPO de domnio e a GPO da unidade organizacional, ir prevalecer a configurao definida na GPO da unidade organizacional (aplicada por ltimo). O administrador pode configurar a GPO de domnio (ou outras GPOs em qualquer nvel), para que suas configuraes no possam ser sobrescritas (substitudas) pelas configuraes de GPOs de nvel mais baixo, em caso de conflito. Por exemplo, o administrador pode definir na GPO de domnio, que nenhum usurio ter acesso ao menu Executar e marcar a GPO onde est esta configurao com a opo No override (No sobrescrever). Com isso, mesmo que exista um GPO em uma unidade organizacional, permitindo o uso do comando Executar, esta

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos configurao no ser aplicada, uma vez que a GPO do domnio no permite que sejam alteradas suas configuraes em caso de conflito. Este mecanismo uma maneira que o administrador tem, de garantir que determinadas configuraes sejam aplicadas em todo o domnio, independentemente das configuraes que so efetuadas em nvel de unidade organizacional.

Entendendo como feito o processamento e aplicao das GPOs.


Este um item que eu considero de fundamental importncia para o administrador. Configurar as GPOs, conforme voc ver mais adiante, relativamente simples, com o uso do console de administrao das GPOs. Porm, mais do que saber configurar as GPOs, o administrador precisa entender exatamente como as GPOs so processadas e aplicadas s estaes de trabalho e aos usurios. Com este entendimento, o administrador tem condies de planejar as polticas a serem implementadas e tambm de resolver problemas relacionados a aplicao das GPOs. Por isso fundamental que o administrador entenda, exatamente, como feito o processamento e aplicao das GPOs. No NT Server 4.0 as configuraes de Polices so armazenadas em um arquivo com a extenso .pol, arquivo este que gravado no compartilhamento NETLOGON do PDC e de todos os BDCs do domnio. Para clientes Windows 9x/Me o arquivo deve ter o nome config.pol e para clientes com o NT 4.0, o arquivo deve ter o nome ntconfig.pol. As configuraes definidas neste arquivo so carregadas durante o logon e aplicadas registry da estao de trabalho do usurio. As configuraes de usurio so carregadas na opo HKEY_CURRENT_USER (HKCU), da registry. As configuraes de computador so carregadas na opo HKEY_LOCAL_MACHINE (HKLM), da registry. J no Windows Server 2003 o processamento das GPOs segue caminhos bem diferentes, os quais sero descritos neste item. No NT Server 4.0 um nico conjunto de polticas aplicado ao usurio/computador, conjunto este que definido no arquivo .POL, carregado quando o computador inicializado e o usurio faz o logon. J no Windows Server 2003 (e tambm no Windows 2000 Server), mais de um conjunto de polticas pode ser aplicado ao mesmo usurio/computador. Por exemplo, imagine o usurio jsilva, do domnio abc.com, cuja conta est na OU Vendas, dentro da OU RegioSul. Para este usurio, ser aplicada a GPO local, mais a GPO do domnio (uma ou mais GPOs que estiverem definidas no domnio abc.com), mais o conjunto de GPOs definidas para a OU RegioSul e mais o conjunto de GPOs definidas para a OU Vendas

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos
As configuraes das GPOs so armazenadas em uma estrutura de pastas e arquivos dos DCs do domnio. Estas informaes so gravadas na pasta SYSVOL e so replicadas para todos os DCs do domnio. Na Figura 9.43 apresento uma viso geral da pasta onde

ficam gravadas as informaes sobre as GPOs do domnio abc.com (C:\WINDOWS\SYSVOL\sysvol\abc.com\Policies), onde o Windows Server 2003 est instalado na pasta Windows, no drive C:

Figura 9.43 A pasta com informaes das GPOs.

Cada pasta representa uma determinada GPO. Ao abrir uma destas pastas, ser exibido o seguinte contedo:
Pasta Adm: Contm os arquivos com os templates administrativos.]
Pasta

Scripts: Se houver scripts definidos neste template, esta pasta conter os scripts e arquivos relacionados.

Pasta MACHINE: Contm as configuraes que se aplicam a computadores. Esta pasta contm um arquivo chamado

Registry.pol, o qual contm as configuraes de registry que sero aplicadas ao computador durante a inicializao (veja os passos de aplicao das polices durante a inicializao do computador, mais adiante). Quando o computador inicializado, feito o download do arquivo Registry.pol e so aplicadas as configuraes definidas neste arquivo. As configuraes so aplicadas na opo HKEY_LOCAL_MACHINE, da registry.

Pasta USER: Contm as configurao que se aplicam a usurios. Esta pasta contm um arquivo chamado Registry.pol,

o qual contm as configuraes de registry que sero aplicadas ao usurio quando este fizer o logon (veja os passos de aplicao das polices durante a inicializao do computador, mais adiante). Quando o computador inicializado, feito o download do arquivo Registry.pol e so aplicadas as configuraes definidas neste arquivo. As configuraes so aplicadas na opo HKEY_CURRENT_USER, da registry

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

Arquivo GPT.INI: Informaes sobre a verso da GPO. Utilizada pelo servio de replicao. Abra uma destas pastas,

por exemplo, a pasta Adm. Sero exibidos os templates administrativos disponveis, conforme exemplo da Figura 9.44:

Figura 9.44 Templates administrativos.

Em resumo: As informaes sobre as GPOs so gravadas em uma estrutura de pastas e arquivos, dentro da pasta SYSVOL. Esta estrutura replicada para todos os DCs do domnio. As informaes gravadas na pasta SYSVOL so os chamados modelos de GPOs, oficialmente conhecidos como Group Policy Template (GPT). O template que define quais opes de configurao estaro disponveis, para serem configuradas via GPO. Por exemplo, o template de GPO para usurios define quais opes de usurios podero ser configuradas via GPO. Quando uma nova GPO criada, o Windows Server 2003 cria a GPO com base nos templates da pasta Sysvol. A nova GPO que criada e as configuraes nela definidas so armazenadas no Active Directory. Esta GPO conhecida como GPC Group Policy Container. Ou seja, uma GPO criada com base em um modelo (GPT, armazenado na pasta SYSVOL). O modelo define quais opes de configurao estaro disponveis. Aps criada e configurada, a GPO salva na base de dados do Active Directory, quando conhecida como GPC Group Policy Container. Estas definies muitas vezes se confundem. Nos exemplos prticos, quando voc aprender a criar e a configurar as polticas, usarei sempre o termo genrico GPO.

Toda GPO dividida em duas partes tambm conhecidas como sees:

Seo do usurio. Seo do computador.

Conforme o prprio nome sugere, estas sees contm as configuraes especficas aplicadas a usurios ou computadores especificamente. Quando um computador com o Windows 2000, Windows XP Professional ou Win- dows Server 2003, pertencente ao domnio inicializado, o Windows verifica se existem novas GPOs ou alteraes nas GPOs existentes e aplica as configuraes definidas na seo do computador (independentemente de algum usurio ter feito o logon ou no). Quando o usurio faz o logon no domnio (em qualquer computador da rede com uma das verses do
Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos Windows descritas no incio do pargrafo), o Windows verifica se existem GPOs a serem aplicadas a este usurio ou alteraes nas GPOs j aplicadas e aplica as configuraes definidas na seo de usurio destas GPOs. Estas informaes, ficam gravadas no Active Directory. Conforme descrito anteriormente (estou insistindo neste ponto porque ele muito importante), uma GPO criada com base nos modelos armazenados na pasta Sysvol (GPT- Group Policy Templates). Uma vez criada e configurada, a GPO salva no Active Directory (tornando-se uma GPC Group Policy Container). Quando um usurio faz o logon o Windows Server 2003 verifica no Active Directory se existem GPCs a serem aplicadas para o usurio. Quando um computador inicializado, o Windows Server 2003 verifica no Active Directory, se existem GPCs a serem aplicadas ao computador. isso.

Detalhando a ordem de processamento das GPOs.


As GPOs so processadas na seguinte seqncia:

1.

GPO Local: Cada computador com o Windows 2000, Windows XP Professional ou Windows Server 2003,

possui uma GPO local, a qual aplicada em primeiro lugar, antes das demais GPOs que possam estar disponveis. 2. GPO associada ao site do qual faz parte o computador que est sendo inicializado. Lembre, que um site

definido por uma ou mais sub-redes. O Windows Server 2003 identifica a qual site pertence um computador, pelas identificao de rede do computador (propriedades do Protocolo TCP/IP). 3. GPOs associadas ao domnio: Em seguida so processadas as GPOs associadas ao domnio, conforme a ordem

de execuo definida pelo administrador. 4. GPOs associadas a todas as OUs do caminho. Por exemplo, se um computador pertence a OU Vendas, que est

dentro da OU RegioSul, primeiro sero aplicadas as GPOs da OU RegioSul, para depois serem aplicadas as GPOs associadas a OU Vendas. Quando houver mais de uma GPO associada a mesma OU, as GPOs sero aplicadas na seqncia que foi definida pelo administrador.

Com esta seqncia, as GPOs aplicadas por ltimo tem preferncia em relao as que so aplicadas anteriormente. Por exemplo, se na GPO do domnio est que o usurio no deve ter acesso ao comando Iniciar -> Executar, porm na GPO da OU do usurio este comando est habilitado, valer a configurao da GPO da OU, ou seja, comando habilitado, uma vez que esta GPO ser aplicada por ltimo. O administrador tem meios para fazer com que uma GPO de nvel mais alto, como por exemplo a GPO de domnio, no tenha suas configuraes sobrescritas por GPOs de nvel mais baixo, aplicadas por ltimo, como uma GPO associada a uma unidade organizacional. Para implementar esta configurao, o administrador marca a opo No Override (No sobrescrever), conforme voc aprender na parte prtica.

Algumas excees na ordem de aplicao das GPOs:

Qualquer GPO que estiver associada a um site, domnio ou unidade organizacional (a nica exceo a GPO
Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos local), poder ser configurada com a opo No Override, de tal maneira que suas configuraes no possam ser sobrescritas pelas GPOs que sero aplicadas depois. Caso duas GPOs, no mesmo caminho, tenham esta opo marcada, valer a configurao da GPO que estiver mais acima na hierarquia de objetos. Por exemplo, se uma GPO de domnio est marcada com a opo No Override e uma GPO de uma unidade organizacional tambm esta marcada com a opo No Override, em caso de conflito nas configuraes destas duas GPOs, valer a configurao da GPO de domnio, que a que est mais acima na hierarquia de objetos do Active Directory.

Implementao e Administrao de GPOs.


Neste tpico apresentarei uma srie de itens relacionados implementao, configurao e administrao das GPOs. A medida que forem sendo apresentados os exemplos, tambm apresentarei a teoria associada. Voc aprender desde como abrir o console para administrao das GPOs, como fazer as configuraes bsicas e passar por tpicos mais avanados, tais como a descrio detalhada de como as informaes sobre GPOs so armazenadas no Active Direc- tory e como utilizar o recurso de distribuio de software via GPOs.

O console de administrao das GPOs.


Existe um console especialmente criado para a criao, configurao e administrao das GPOs. Este console pode ser aberto de vrias maneiras. Uma das mais utilizadas atravs da janela de propriedades do domnio ou da janela de propriedades de uma OU do domnio. Nestas janelas est disponvel uma guia chamada Group Policy, na qual so listadas as GPOs que esto sendo aplicadas. Voc tambm pode criar um console personalizado e adicionar somente o Snap-in para administrao das GPOs. Eu, particularmente, prefiro acessar o console atravs das propriedades do domnio ou das propriedades de uma OU, pois com este mtodo tenho uma viso geral da hierarquia de objetos do Active Directory e posso, rapidamente, acessar administrar as GPOs de cada objeto. Neste item mostrarei os passos necessrios para acessar o console de administrao das GPOs, usando o console Usurios e computadores do Active Directory. Exemplo: Utilizar o console Usurios e Computadores do Active Directory para acessar, rapidamente, as GPOs configuradas no domnio: 1. Faa o logon como administrador ou com uma conta com permisso de administrador. 2. Abra o console Usurios e computadores do Active Directory: Iniciar -> Ferramentas administrativas -> Usurios e computadores do Active Directory. 3. Para abrir a GPO padro do domnio, d um clique com o boto direito do mouse no domnio desejado e, no menu de opes que exibido, clique em Propriedades. Ser exibida a janela de propriedades do domnio.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

4. Clique na guia Diretiva de grupo. Ser exibida a lista de GPOs definidas para o domnio, conforme indicado na Figura 9.45. Observe que, por padro, est associada uma nica GPO, chamada Default Domain Policy.

Figura 9.45 Lista de GPOs para o domnio abc.com.

5. Clique na GPO Default Domain Policy para selecion-la e em seguida clique no boto Editar. Ser aberto o console Editor de objeto de diretiva de grupo, com a GPO Default Domain Policy carregada. 6. Feche este console. 7. Clique com o boto direito do mouse em uma das unidades organizacionais criadas pelo administrador desejado e, no menu de opes que exibido, clique em Propriedades. Ser exibida a janela de propriedades da respectiva OU. 8. Clique na guia Diretiva de grupo. Observe que, por padro, nenhuma GPO definida a nvel de unidade organizacional. 9. Feche o console Usurios e computadores do Active Directory. Agora que voc j sabe como acessar o console de administrao de uma determinada GPO, hora de entender as opes disponveis e aprender a trabalhar com elas.

Usando o console de configurao das GPOs.


Neste tpico mostrarei como navegar pelas opes disponveis em um console de administrao de uma GPO e como alterar as configuraes das opes disponveis. Alterando configuraes de uma GPO: Para alterar as configuraes de uma GPO, o primeiro passo carregar a GPO a ser alterada no console Group Policy Editor. No item anterior voc aprendeu duas diferentes maneiras para carregar uma
Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos GPO no console Group Policy Editor. Exemplo: Para acessar a GPO padro do domnio e fazer alteraes, siga os passos indicados a seguir: 1. Faa o logon como administrador ou com uma conta com permisso de administrador. 2. Abra a GPO Default Domain Policy, usando os passos descritos anteriormente. 3. A interface de administrao de uma GPO muito semelhante a interface de administrao de pastas e subpastas do Windows Explorer. Observe que, por padro, so exibidas duas opes no painel da esquerda, conforme indicado na Figura 9.46:

Figura 9.46 Opes da GPO Default Domain Policy.

Configurao do computador: Contm as opes de configurao que so aplicadas ao computador, durante o processo de inicializao, conforme detalhado anteriormente. Configurao do usurio: Contm as opes de configurao que so aplicadas ao usurio, quando este faz o logon, conforme detalhado anteriormente. 3. Na parte de baixo do painel da direita, existem duas guias: Estendido e Padro. Por padro selecionada a guia Estendido. Este um novo modo de visualizao que foi introduzido no Windows XP e que est presente no Windows Server 2003. No modo de visualizao Estendido, quando voc clica em uma determinada opo no painel da direita, exibido um texto explicativo sobre a opo. Ao clicar na guia Padro ser exibido o modo padro de visualizao, sem a explicao relativa ao item selecionado.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

5. Clique no sinal de + ao lado da opo Configurao do computador, no painel da esquerda. Sero exibidos trs grupos de polices que podem ser configuradas: Configuraes de software Configuraes do Windows Modelos administrativos

Figura 9.47 Grupos de Polices disponveis.

6. Agora voc aprender a alterar as configuraes de uma police. Alis, voc j parou para pensar porque o nome GPO Group Policy Objects. Group Policy significa um grupo de polticas ou um grupo de diretivas. Isto em uma GPO esto disponveis centenas de opes de configurao. Cada opo uma police, uma poltica de segurana. As opes que esto disponveis dependem dos templates (modelos) de polices, chamados de GPT Group Policy Templates, os quais so gravados na pasta SYSVOL, conforme descrito anteriormente. E Objects, porque todos os componentes do Active Directory so denominados de objetos. Ento uma GPO nada mais do que um objeto do Active Directory, o qual representa um grupo de polticas, um grupo de polices um Group Policy. isso. 7. Apenas a ttulo de exemplo, vamos supor que voc queira configurar a police que oculta o comando Executar do menu iniciar. Nos prximos passos vou mostrar como configurar esta police, apenas para ilustrar como feita a configurao de uma police.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

8. Esta police est disponvel no seguinte caminho: Configurao do usurio -> Modelos administrativos -> Menu Iniciar e Barra de tarefas. Para acessar esta opo basta ir navegando no painel da esquerda, da mesma maneira que voc navega pelas pastas e subpastas de um volume, usando o Windows Explorer. Por exemplo, clique no sinal de + ao lado da opo Configurao do usurio, para exibir os grupos de opes disponveis. Clique no sinal de + ao lado da opo Modelos administrativos, para exibir as opes disponveis. Das opes que so exibidas, clique em Menu Iniciar e barra de tarefas, para selecion-la. No painel da direita ser exibida a lista de polices que podem ser configuradas para esta opo, conforme indicado na Figura 9.48:

Figura 9.48 Polices disponveis para a opo Menu Iniciar e barra de tarefas.

9. Observe que somente para este item esto disponveis dezenas de polices que podem ser configuradas. A maioria das polices est com o status No-configurado, que na prtica significa: no est sendo aplicada. Para configurar uma police basta dar um clique duplo nela, para abrir a janela com as opes de configurao. Na listagem de polices localize a opo Remover o menu Iniciar do menu Executar (mais um exemplo da m qualidade da traduo que feita no Windows. O correto seria: Remover o comando Executar do menu Iniciar.) e clique nesta opo para selecion-la. Para configurar a police d um clique duplo nela, para abrir a janela com as opes de configurao.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

10. Ser aberta a janela com as propriedades de configurao da police. Para habilitar esta police e com isto fazer com que o menu Executar no seja exibido, marque a opo Ativado (ou seja, voc est habilitando a poltica que faz com que o menu Executar seja retirado do menu Iniciar), conforme indicado na Figura 9.49:

Figura 9.49 Habilitando a police que remove o comando Executar.

11. Clique na guia Explicar. Ser exibido um texto com uma explicao detalhada sobre a aplicao da police, quais as conseqncias da sua habilitao e todos os demais detalhes sobre a police que est sendo configurada. Para configurar a police clique em OK. Pronto, na prxima vez que os usurios do domnio fizerem o logon (qualquer usurio, uma vez que estou fazendo a configurao na GPO padro do domnio, a qual ser aplicada a todos os usurios do domnio), a police ser aplicada e o comando Iniciar -> Executar no estar mais disponvel.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

12. A maioria das polices apresenta as opes No-configurado, Ativado e Desativado. Porm existem polices que exigem informaes adicionais, como o exemplo da police Limitar tamanho do perfil, a qual encontra-se no caminho: Configurao do usurio -> Modelos administrativos -> Sistema -> Perfis de usurio. Ao habilitar esta police, voc tambm deve informar o tamanho mximo que ser configurado para a profile dos usurios, bem como outras opes de configuraes, conforme indicado na Figura 9.50:

Figura 9.50 Um exemplo de police que precisa de configuraes adicionais.

13. Como voc deve ter observado, configurar as polices extremamente simples. uma questo de localizar a police a ser configurada, dar um clique duplo para abrir a janela de propriedades da police e configur-la. Mas no localizar a police a ser configurada que reside, talvez, a grande dificuldade. Isso porque so milhares de opes disponveis e localizar exatamente o que voc est precisando, pode no ser uma tarefa das mais simples. Com o Resource Kit do Windows Server 2003, a Microsoft disponibiliza um arquivo de help com a descrio de todas as polices disponveis. 14. importante salientar que quando voc est configurando uma GPO no existe o conceito de salvar as alteraes que foram efetuadas. Quando voc abre a janela de propriedades de uma police, faz alteraes e clica em OK, estas alteraes j sero salvas no Active Directory. No preciso executar nenhum comando para salvar as alteraes, antes de fechar o console de administrao da GPO. 15. Feche o console de administrao da GPO

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

Criando uma nova GPO e associando-a com uma unidade organizacional:


Neste tpico voc aprender a criar uma nova GPO, associada a uma unidade organizacional e a configurar as propriedades da GPO e da ligao da GPO associada com a unidade organizacional. Para o exemplo deste item, criarei uma GPO chamada Configuraes da seo de vendas, a qual ser associada com a Unidade organizacional Vendas, do domnio abc.com, conforme ilustrado na Figura 9.51:

Figura 9.51 A unidade organizacional Vendas, utilizada neste exemplo.

Exemplo: Para criar uma GPO associada a uma unidade organizacional e configur-la, siga os passos indicados a seguir: 1. Faa o logon como administrador ou com uma conta com permisso de administrador. 2. Abra o console Usurios e computadores do Active Directory. 3. Localize a unidade organizacional para a qual voc quer criar uma nova GPO. Clique com o boto direito do mouse nesta unidade organizacional e, no menu de opes que exibido, clique na opo Propriedades. 4. Ser exibida a janela de propriedades da unidade organizacional. Clique na guia Diretiva de grupo. Sero exibidas as opes da guia Diretiva de grupo, conforme indicado na Figura 9.52:

Figura 9.52 A guia Diretiva de grupo Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

5. Por padro, quando uma unidade organizacional criada, nenhuma GPO associada com a unidade organizacional. Nesta situao, a unidade organizacional herda as configuraes das GPOs definidas no domnio. Para criar uma nova GPO d um clique no boto Novo. 6. Ser criada uma nova GPO com o nome de Novo objeto de diretiva de grupo. Neste momento voc deve digitar um nome para a GPO que est sendo criada. Digite Configuraes da seo de vendas e clique no espao em branco, fora do nome. 7. A GPO Configuraes da seo de vendas ser criada e j exibida na lista de GPOs associadas a unidade organizacional. O prximo passo configurar as polices que sero aplicadas pela GPO Configuraes da seo de vendas. 8. Para configurar as polices que sero aplicadas, basta clicar na GPO Configuraes da seo de vendas e depois clicar no boto Editar. A GPO Configuraes da seo de vendas ser carregada no console Group Policy Editor. Neste momento voc pode configurar as polices que sero aplicadas pela GPO Configuraes da seo de vendas. Para uma descrio resumida das opes disponveis. Aps ter feito as configuraes desejadas, basta fechar o console Group Policy Editor, no preciso salvar as alteraes, uma vez que estas vo sendo salvas automaticamente, a medida que voc define as configuraes de cada police. 9. Ao fechar o console Group Policy Editor voc estar de volta guia Diretiva de grupo, da janela de propriedades da unidade organizacional que est sendo configurada. Observe que nesta janela est disponvel a opo Bloquear herana de diretiva, j comentada anteriormente. O administrador pode marcar esta opo, para impedir que as configuraes definidas nos objetos Pai, sejam propagadas para a unidade organizacional que est sendo configurada. Esta opo no ter efeito, se a opo No sobrescrever tiver sido habilitada nas GPOs dos objetos pai. 10. Para configurar as opes da GPO, clique na GPO Configuraes da seo de vendas para selecion-la. Em seguida clique no boto Opes. Ser exibida a janela de opes da GPO Configuraes da seo de vendas, conforme indicado na Figura 9.53:

Figura 9.53 A janela de opes da GPO.

Nesta janela esto disponveis as opes descritas a seguir:

No sobrescrever: Esta opo utilizada para impedir que a aplicao da GPO seja bloqueada nos objetos

filho, atravs do uso da opo Bloquear herana de diretiva, j descrita anteriormente.


Desativado: Ao marcar esta opo, a GPO deixar de ser aplicada a unidade organizacional.

11. Defina as configuraes desejadas e clique em OK.


Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos 12. Feitas as configuraes desejadas s clicar no boto Fechar. A GPO foi criada, configurada.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

Exerccio 10

Instalao do IIS 6.0.


Para que voc possa tornar um servidor com o Windows Server 2003 em um servidor Web, voc precisa instalar o IIS Internet Information Services. O IIS o servio responsvel pela disponibilizao dos servios HTTP (para disponibilizao de pginas) e FTP (para cpia de arquivos). Durante a instalao do IIS voc ter a opo de selecionar quais componentes do IIS voc deseja instalar. Por exemplo, voc pode optar por instalar ou no o gerenciamento do prprio IIS via navegador e assim por diante. No exemplo prtico, logo a seguir, iremos instalar todos os componentes do IIS. Conforme descrito anteriormente, mesmo instalando todos os componentes, somente ser habilitado um conjunto mnimo de funcionalidades. medida que novas funcionalidades se mostrarem necessrias, o administrador pode habilit-las. Exemplo: Para instalar o IIS 6.0, siga os passos indicados a seguir: 1. Faa o logon com a conta Administrador ou com uma conta do tipo Administrador do computador. 2. Abra o Painel de controle: Iniciar -> Painel de controle. 3. Abra a opo Adicionar ou remover programas. 4. Surgir a janela Adicionar ou remover programas. 5. No lado esquerdo da janela, d um clique na opo Adicionar/remover componentes do Windows. 6. Ser aberto o Assistente de componentes do Windows. Com este assistente podemos adicionar componentes do Windows Server 2003 que no foram instalados durante a instalao original ou remover componentes que no sejam mais necessrios. 7. V descendo com a barra de rolagem vertical, at localizar o item Servidor de aplicativo e clique neste item para marc-lo, conforme indicado na Figura 13.1

Figura 13.1 O grupo Servidor de aplicativo.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos 8. Clique no boto Detalhes. Ser exibida uma lista com os diversos servios relacionados ao desenvolvimento de aplicaes. Marque a opo Servios de informaes da Internet (IIS), conforme indicado na Figura 13.2:

Figura 13.2 Selecionando o IIS para instalao.

9. Observe que ao marcar esta opo, o boto Detalhes... habilitado. O IIS formado por uma srie de componentes e funcionalidades. Existe um servidor de pginas (servidor HTTP), um servidor de FTP, um servidor de notcias (NNTP) e assim por diante. Ao instalarmos o IIS, podemos escolher um ou mais dos seus componentes, dependendo das necessidades do nosso servidor Web. No necessrio que todos os componentes do IIS sejam instalados. Por exemplo, se o servio de cpia de arquivos no for necessrio, no temos porque instalar o servio de FTP. No nosso exemplo iremos instalar todos os componentes. 10. Clique no boto Detalhes... Ser exibida uma lista com os componentes do IIS. 11. Na lista de opes disponveis, exibida na Figura 13.3, certifique-se de que todas as opes estejam marcadas, conforme indicado na Figura 13.3. No se esquea de usar a barra de rolagem vertical, para marcar tambm os componentes que no so exibidos na tela:

Figura 13.3 Instalando todos os componentes do IIS.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos 12. A opo Servio World Wide Web Service tambm dividida em vrios componentes. Clique nesta opo para marc-la. Em seguida clique no boto Detalhes.... Ser exibida a janela com os componentes do servio World Wide Web Service. Certifique-se de que todas as opes estejam marcadas, conforme indicado na Figura 13.4.

Figura 13.4 Opes do Servidor World Wide Web.

13. Clique em OK para fechar a janela da Figura 13.4. Voc estar de volta janela Servios de informaes da Internet, indicada na Figura 13.3. Clique em OK para fech-la e aplicar as configuraes selecionadas. 14. Voc estar de volta janela do Assistente de componentes do Windows. Observe, que aps ter selecionado os componentes a serem instalados, o Windows Server 2003 exibe o espao em disco necessrio para a instalao dos novos componentes selecionados. 15. D um clique no boto Avanar, para ir para a prxima etapa do assistente. 16. O Windows Server 2003 exibe uma janela indicando o progresso da Instalao 17. Caso o Windows Server 2003, no encontre os arquivos necessrios instalao do IIS, no Disco rgido, voc ser solicitado a inserir o CD de instalao do Windows Server 2003. 18. Insira o CD e aguarde. O Windows detecta que o CD foi inserido e inicia, automaticamente, o processo de cpia dos arquivos. 19. Depois de concluda a cpia dos arquivos, o Assistente emite uma mensagem dizendo que o processo foi concludo com sucesso. 20. D um clique no boto Concluir para encerrar o Assistente. 21. Voc estar de volta janela Adicionar ou remover programas. D um clique no boto Fechar para sair desta janela. 22. Voc estar de volta ao Painel de controle. Feche o Painel de controle. 23. Agora o IIS est instalado e pronto para ser utilizado, pelo menos as funcionalidades bsicas do IIS. Agora que j temos o IIS instalado vamos testar se ele est funcionando corretamente. Para testar se o IIS foi instalado com sucesso, siga os seguintes passos:
Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos 1. Abra o Internet Explorer. 2. Digite o seguinte endereo: http://localhost

3. Ser aberta uma pgina padro (iisstart.htm), que uma pgina apenas com um aviso de que o site est em construo, conforme indicado na Figura 13.5:

Figura 13-5 O IIS instalado e funcionando e a pgina padro sendo exibida.

4. Esta a pgina inicial do IIS logo aps a instalao. A pasta padro do IIS em C:\Inetpub\wwwroot. Falaremos mais sobre pasta padro e como criar pastas virtuais, mais adiante. Isto comprova que o IIS foi instalado com sucesso. Feche o Internet Explorer.

Preparando o seu computador para acompanhar os exemplos prticos de utilizao do IIS.


Neste item vamos criar uma pasta chamada exemplos. Dentro desta pasta vamos criar uma subpasta para outros

assuntos, tais como: documentos, aplicativos e assim por diante. Depois aprenderemos a tornar esta pasta, parte integrante do servidor IIS. No so todas as pastas de um servidor que podem ser acessadas atravs do IIS.

Criando a estrutura de pastas e subpastas.


Utilizando o Windows Explorer, crie uma estrutura de pastas e subpastas, conforme indicado a seguir. importante que voc no utilize acentos para o nome das subpastas, uma vez que os nomes das pastas passaro a fazer parte do endereo de acesso, quando estas pastas forem configuradas para fazer parte do IIS. Cria as seguintes pastas:
C:\exemplos\aplicativos C:\exemplos\documentos Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos Agora vamos fazer com que a pasta exemplos (e conseqentemente, todas as suas subpastas), passem a fazer parte do servidor IIS. O computador que estou utilizando para os exemplos tem o nome de srv70-290 e faz parte do domnio abc.com. Para acessar a pgina inicial deste servidor utilizo o seguinte endereo: http://srv70- 290.abc.com. Substitua srv70-290.abc.com pelo nome do computador e domnio que voc estiver utilizando para acompanhar os exemplos. Ao instalar o IIS por padro a pasta C:\Inetpub\wwwroot definida como a pasta home. Dentro da pasta home, um ou mais arquivos podem ser definidos como o arquivo padro. Quando um usurio acessa o computador, simplesmente especificando o seu endereo, como por exemplo: http://srv70-290.abc.com, ser carregado o arquivo padro, da pasta home, que no caso do IIS 6.0 o arquivo iisstart.htm, j citado anteriormente. Outras pastas podem ser criadas e definidas para ser parte do servidor IIS. Estas pastas so conhecidas como pastas virtuais. Aprenderemos a cri-las logo em seguida. Tambm veremos como fica o endereo de acesso para as pastas virtuais e para arquivos contidos nestas pastas.

Tornando a pasta exemplos parte do servidor IIS criando uma pasta virtual.
Agora vamos aprender passo-a-passo, como tornar a pasta exemplos (e as suas subpastas), parte do servidor IIS. Para isso utilizaremos o console Gerenciador dos Servios de informaes da Internet (IIS), do Windows Server 2003. Este console, que est disponvel atravs do menu Ferramentas administrativas, nos d acesso a todas as opes de configurao do IIS. Exemplo: Para tornar a pasta exemplos, parte do servidor IIS srv70-290.abc.com, siga os passos indicados a seguir: 1. Faa o logon como Administrador ou com uma conta com permisses de administrador. 2. Clique em Iniciar -> Ferramentas administrativas -> Gerenciador dos Servios de informaes da Internet (IIS). 3. Ser aberta a janela Internet Information Services (IIS) Manager, conforme indicado na Figura 13.6:

Figura 13.6 O console Internet Information Services.

4. D um clique na opo Sites da Web. No lado direito ser exibida a lista dos sites configurados durante a instalao do IIS. Com o IIS possvel ter mais de um site no mesmo servidor. O site Site da Web padro , como o nome sugere, o site padro do servidor. A pasta raiz deste site C:\Inetpub\wwwroot, conforme citado anteriormente.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos 5. D um clique no sinal de +, ao lado da opo Site da Web padro, para expandir esta opo. As opes que aparecem, so as pastas que j fazem parte do site. Por padro a pasta home definida como sendo C:\Inetpub\wwwroot. A pasta home do servio de ftp definida como sendo c:\inetpub\ftproot. 6. D um clique com o boto direito do mouse, na opo Site da Web padro. No menu que surge, execute o comando Novo -> Diretrio virtual... 7. Ser exibida a primeira tela do Assistente para a criao de diretrio virtual. Esta tela apenas informativa. D um clique no boto Avanar, para ir para a segunda etapa do assistente. 8. Nesta segunda etapa, voc precisa definir um nome (Alias), para esta pasta virtual. Este nome far parte do endereo para acessar a referida pasta, conforme veremos mais adiante no item sobre formao de endereos. Utilizaremos o mesmo nome da pasta: exemplos. Porm no obrigatrio que utilizemos o mesmo nome. Por questo de facilidade de administrao e gerenciamento, sempre utilizo nomes iguais para o nome da pasta no disco rgido e o nome no utilizado pelo IIS. 9. Digite exemplos, conforme indicado na Figura 13.7. D um clique no boto Avanar, para ir para a terceira etapa do assistente.

Figura 13.7 Digitando um nome para o diretrio virtual que est sendo criado.

10. Na terceira etapa, o assistente pergunta qual a pasta a ser associada com o nome virtual informado na etapa anterior. Nesta etapa voc pode digitar o caminho completo para a pasta, ou utilizar o boto procurar, para localizar a pasta desejada. No nosso exemplo, vamos digitar C:\exemplos. Com isso estamos associando a pasta C:\exemplos, com o diretrio virtual exemplos, do servidor IIS.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos 11. Digite C:\exemplos, conforme indicado na Figura 13.8, e d um clique no boto Avanar, para ir para a quarta etapa do assistente.

Figura 13.8 Informando o caminho da pasta C:\exemplos.

12. Na quarta etapa do assistente, podemos configurar as permisses de acesso pasta exemplos. Certifique-se de que as opes: Leitura e Executar Scripts (ASP por exemplo), estejam marcadas, conforme indicado pela Figura 13.9. Se a opo Executar Scripts (ASP por exemplo), no estiver marcada, o cdigo ASP ser ignoradas pelo IIS e as pginas ASP no sero processadas.

Figura 13.9 Configurando as opes de segurana.

13. D um clique em Avanar. Surge a tela final do assistente. 14. D um clique no boto Concluir, para finalizar o assistente. 15. Voc estar de volta ao Gerenciador do Internet Services.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos 16. Observe que um novo diretrio virtual chamado exemplos, j aparece como parte integrante do servidor IIS, conforme indicado pela Figura 13.10. Caso o diretrio exemplo ainda no aparea na listagem, pressione F5 para atualizar a listagem. Clique no sinal de + ao lado de Exemplos e observe que as subpastas Aplicativos e Documentos tambm so exibidas.

Figura 13.10 O diretrio virtual exemplos, recm criado.

17.

Feche o console de gerenciamento do IIS.

Como so formados os endereos de acesso pginas do IIS?


Uma vez criado o diretrio virtual exemplos, o qual est associado pasta C:\Exemplos, como posso acessar o contedo que for colocado dentro deste diretrio, ou em uma das suas subpastas? Por exemplo, se eu colocar um arquivo chamado avisos.htm no diretrio virtual Exemplos, qual o endereo que os usurios devem utilizar para acessar a pgina avisos.htm? A resposta para a questo acima, bastante simples, basta que entendamos como so formados os endereos em um servidor como o IIS. No nosso exemplo, vamos imaginar o endereo do servidor como sendo: http://srvwin2003.abc.com. Ao digitarmos este endereo, estamos acessando a pgina principal do servidor que, por padro, est na pasta C:\Inetpub\wwwroot, conforme descrito anteriormente. Vamos supor que dentro do diretrio Exemplos, fosse colocada uma pgina chamada avisos.htm, como faramos para acessar esta pgina, atravs do Navegador? O endereo da pgina em questo seria o seguinte:
http://srv-win2003.abc.com/exemplos/avisos.htm.

A Figura 13.11, descreve em detalhes a formao deste endereo:

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos
Figura 13.11 A formao de endereos no servidor IIS.

Observe que primeiro vem o nome do servidor (srv-win2003.abc.com), depois o nome do diretrio virtual (exemplos) e, finalmente, o nome da pgina a ser acessada (avisos.htm). Seguindo o mesmo raciocnio anterior, fica fcil responder a esta pergunta. Vamos supor que voc queira acessar uma pgina chamada cep.asp, que est na subpasta aplicativos, a qual est no diretrio virtual exemplos. Como fica o endereo para acessar esta pgina ? A Figura 13.12, responde esta questo:

Figura 13.12 A formao de endereos em subpastas do diretrio virtual, no servidor IIS.

Configurando opes do servidor de pginas e do servidor ftp.

Aps ter criado um diretrio virtual, quer seja de HTTP ou de FTP, voc pode configurar uma srie de opes para este diretrio. As configuraes podem ser configuradas para o servidor como um todo, neste caso as configuraes sero vlidas para todos os diretrios virtuais do servidor. As configuraes tambm podem ser feitas em cada diretrio virtual, individualmente. No caso de conflito entre as configuraes do servidor e as configuraes de um diretrio virtual, prevalecem as configuraes do nvel mais inferior, ou seja, do diretrio virtual. Tambm possvel definir configuraes individuais para pastas e subpastas de um diretrio virtual, quer seja do servidor de pginas (HTTP), quer seja do servidor de arquivos (FTP). Vamos ver alguns exemplos de configuraes do IIS. Exemplo 1: Configurando opes do Default Web Site (Site da Web padro). Para configurar as opes bsicas do Servidor Web Padro, siga os passos indicados a seguir: 1. Faa o logon como Administrador ou com uma conta com permisses de administrador. 2. Abra o console Gerenciador dos Servios de informaes da Internet (IIS): Iniciar -> Ferramentas administrativas -> Gerenciador dos Servios de informaes da Internet (IIS). 3. Clique no sinal de + ao lado do nome do Computador para exibir as opes disponveis. Observe que so exibidas as opes Sites da Web e Sites FTP, dentre outras opes disponveis.

4. Clique no sinal de + ao lado da opo Sites da Web, para exibir os sites disponveis. Por padro possvel hospedar mais de um site, com endereos diferentes, em um mesmo servidor IIS. Para maiores detalhes sobre
Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos a hospedagem de vrios sites em um nico servidor, consulte o Captulo 24 do livro Windows Server 2003 Curso Completo, 1568 pginas, de minha autoria, publicado pela Editora Axcel Books. Observe que exibida a opo Site da Web padro. Este o site criado, automaticamente, durante a instalao do IIS. 5. Clique no sinal de + ao lado de Site da Web padro. Sero exibidos os diretrios virtuais criados durante a instalao, mais o diretrio exemplos, criado no exerccio anterior, conforme indicado na Figura 13.13:

Figura 13.13 Site da Web padro, criado durante a instalao do IIS.

Conforme descrito anteriormente podemos definir configuraes diretamente no Site da Web padro, configuraes estas que sero vlidas para todos os diretrios virtuais do site. Tambm podemos definir configuraes personalizadas em um determinado diretrio virtual. Neste caso valero as permisses definidas ao nvel do diretrio virtual. Ao definir configuraes no Site da Web padro, se houver diretrios virtuais com configuraes diferentes, o IIS abre uma janela perguntando se voc deseja aplicar as novas configuraes a todos os diretrios virtuais ou deseja manter, nos diretrios virtuais, as configuraes j existentes, mesmo que estas sejam diferentes das configuraes que esto sendo aplicadas no site principal. 6. Clique com o boto direito do mouse em Site da Web padro. No menu de opes que exibido clique

em Propriedades. Ser exibida a janela de Propriedades, com a guia Site da Web j selecionada, conforme indicado na Figura 13.14:

Figura 13.14 A guia Site da Web.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos Nesta guia podemos definir diversas configuraes. No grupo Identificao do site da Web, voc pode definir as seguintes configuraes:

Descrio: Neste espao voc pode digitar uma descrio para o site, como por exemplo: Documentos e

Manuais. A descrio padro Site da Web padro, a qual definida durante a instalao do IIS.

Endereo IP: Caso voc tenha mais de um endereo IP configurado na mesma placa de rede, ou tenha mais de

uma placa de rede, possvel definir qual endereo IP ser associado com o site. Por padro Todos os endereos IP esto associados com o site padro. O uso de mltiplos endereos IP em uma mesma placa de rede ou de mltiplas placas de rede, com diferentes endereos IP permite que sejam criados diferentes sites para diferentes grupos de usurios.
Porta TCP: Cada servio no protocolo TCP/IP configurado para trabalhar em uma porta especfica. O

protocolo HTTP, por padro, configurado para responder na porta 80. Se voc definir uma porta diferente da 80, o nmero da porta dever ser informado no endereo de acesso. Por exemplo, se voc definir a porta 470, o endereo para acesso ao site fica da seguinte maneira: http://srv-win2003.abc.com:470. Observe que o nmero da porta informado aps o endereo, separado deste pelo sinal de dois pontos (:). No grupo Conexes voc pode definir as seguintes configuraes:
Tempo limite de conexo: Define por quanto tempo (em segundos) o IIS tenta atender uma determinada

requisio. Quando o tempo limite for atingido, o cliente receber uma mensagem que o servidor no est respondendo.
Ativar Keep-Alive de http: Por padro, o navegador do cliente faz a solicitao de uma pgina para o

servidor, estabelece uma conexo, recebe o contedo e fecha a conexo. Se uma nova requisio for feita logo em seguida, uma nova conexo ser estabelecida, o contedo fornecido e a conexo ser fechada. Este processo de abrir e fechar uma conexo, a cada requisio do cliente, faz com que sejam consumidos recursos de memria e processamento no servidor. Os navegadores atuais permitem que seja mantida a conexo entre o cliente e o servidor e que vrias requisies possam ser feitas, dentro da mesma conexo. Esse procedimento chamado de HTTP Keep-Alives (manter ativada). Keep-alive uma especificao do protocolo HTTP que permite uma melhora considervel no desempenho do servidor. Sem ele, um navegador precisaria fazer numerosas solicitaes de conexo para uma pgina com diversos elementos, como elementos grficos. Por exemplo, para uma pgina com 20 figuras seriam necessrias 21 conexes: uma para a pgina e um para cada uma das figuras. Uma conexo separada precisaria ser feita para cada elemento. Essas solicitaes e conexes adicionais requerem atividade e recursos adicionais do servidor, como memria e processador, diminuindo sua eficincia. Elas tambm tornam um navegador muito mais lento e as pginas menos aptas a responder, especialmente em uma conexo de alta latncia (lenta), como por exemplo o acesso discado. Por padro, o HTTP Keep-Alives fica ativado durante o processo de instalao. recomendado que voc mantenha esta opo sempre ativada.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos No grupo Ativar logs voc pode definir se deve ser mantido ou no um log de acesso aos recursos do IIS. Existem vrios formatos diferentes de log. Por padro utilizado o formato do arquivo de log estendido do W3C. recomendado que voc mantenha este formato, pois este um formato padro que pode ser lido por muitos dos programas geradores de estatsticas de acesso, com base nos logs de acesso. Para personalizar o log de acesso d um clique no boto Propriedades. Ser exibida a janela indicada na Figura 13.15.

Figura 13.15 Configurando as propriedades do log.

7. Defina as configuraes desejadas e clique em OK. Voc estar de volta guia Site da web, da janela de propriedades do site padro. 8. A guia Filtros ISAPI utilizada para a adio ou remoo de Filtros ISAPI, os quais so componentes de Software utilizados para responder a solicitaes especficas do usurio. Por exemplo, o processador de pginas ASP um filtro ISAPI. 9. D um clique na guia Pasta base. Esta guia utilizada para definir qual o diretrio padro do servidor IIS e a qual pasta ele est associado. Por padro o diretrio base est associado a pasta c:\inetpub\wwwroot, conforme indicado na Figura 13.17:

Figura 13.17 A guia Diretrio base. Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos 10. D um clique na guia Documentos. Nesta guia voc pode definir uma lista de documentos como sendo o contedo padro do diretrio. Por exemplo, se voc define a pgina index.asp como sendo a pgina padro e o usurio acessa o site, sem especificar um nome de pgina: http://srv-win2003.abc.com - ser carregada a pgina definida como padro. Para adicionar uma pgina como padro clique no boto Adicionar... Para remover uma pgina da lista utilize o boto Remover. Com os botes de seta para cima e seta para baixo, voc pode alterar a ordem dos documentos na lista. possvel ter mais do que uma pgina definida como padro, conforme indicado na Figura 13.19. Neste caso o IIS ir tentar carregar a primeira pgina da lista, se esta no for encontrada o IIS tenta carregar a segunda e assim por diante. 11. Na guia Erros personalizados voc pode associar pginas com mensagens de erro personalizadas para cada tipo de erro. Por exemplo, o erro mais tradicional o erro 404, o qual indica que a pgina solicitada no foi encontrada. Quando este erro ocorre exibida uma mensagem de erro padro. Voc pode criar uma pgina HTML mais elaborada e configurar esta pgina para ser exibida quando o erro 404 ocorrer. A pgina pode conter um link para o usurio voltar ao site principal e um email para que o usurio informe ao Administrador do site sobre o problema ocorrido. A guia Erros personalizados utilizada para associar pginas HTML personalizadas com um determinado tipo de erro.

Figura 13.19 A guia Documentos.

12. Defina as configuraes desejadas e clique no boto OK. Se algum dos diretrios virtuais apresentar configuraes diferentes das definidas para o site principal, uma janela ser exibida, listando os diretrios com configuraes diferentes das do site principal. Voc pode optar por aplicar as configuraes do site principal a um ou mais dos diretrios ou a nenhum deles.

Exemplo 2: Para configurar as opes do servidor de arquivos Site FTP padro, siga os passos indicados a seguir: 1. Faa o logon como Administrador ou com uma conta com permisso de administrador. 2. Abra o console Gerenciador dos Servios de informaes da Internet (IIS): Iniciar -> Ferramentas
Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos administrativas -> Gerenciador dos Servios de informaes da Internet (IIS). 3. Clique no sinal de + ao lado do nome do Computador para exibir as opes disponveis. Observe que so exibidas as opes Sites da Web e Sites FTP. 4. Clique no sinal de + ao lado da opo Sites FTP, para exibir os sites de FTP disponveis. Por padro possvel hospedar mais de um site de FTP, com endereos diferentes, em um mesmo servidor IIS. Observe que exibida a opo Site FTP padro. Este o site de FTP criado, automaticamente, durante a instalao do IIS. 5. Clique no sinal de + ao lado de Site FTP padro. Observe que por padro ainda no foi criado nenhum diretrio virtual alm do diretrio root do FTP que por padro o seguinte: c:\inetpub\ftproot. 6. Clique com o boto direito do mouse na opo Site FTP padro e no menu de opes que exibido d um clique em Propriedades. Ser exibida a janela de propriedades do site FTP padro com a guia Site FTP selecionada, conforme indicado na Figura 13.20:

Figura 13.20 Janela de propriedades do site FTP padro.

Na guia Site FTP temos opes semelhante s encontradas na guia Site da Web, da janela de propriedades do Site Web padro. As opes do grupo Identificao so idnticas s descritas no exemplo anterior. Para maiores detalhes consulte o Exemplo 1. A nica diferena a porta na qual acessado o servio de FTP que a porta 21, ao invs da porta 80 usada pelo servio HTTP. No grupo conexo podemos definir se o site de FTP aceitar um nmero ilimitado de conexes simultneas ou se iremos limitar o nmero de conexes. A configurao padro limitar a 100.000 (cem mil) conexes simultneas. Voc tambm pode definir um tempo limite para a conexo. Caso no exista uma resposta dentro do tempo limite, a conexo ser encerrada e uma mensagem de erro ser retornada para o usurio. Na guia Site FTP voc tambm pode configurar as opes para o log do servio de FTP. Estas configuraes so

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos semelhantes as vistas no Exemplo 1 para o site Web padro. 7. Clique no boto Sesses atuais... Ser exibida uma janela com a lista de usurios conectados e o tempo de conexo de cada usurio, conforme indicado na Figura 13.11:

Figura 13.21 Lista de usurios conectados ao site de FTP.

Voc pode desconectar um determinado usurio. Para isso clique no usurio a ser desconectado e depois clique no boto Desconectar-se. Se voc clicar no boto Desconectar todos, todos os usurios sero desconectados e suas sesses sero encerradas. 8. Clique no boto Fechar para fechar a janela Sesses de usurio de FTP. 9. Voc estar de volta janela de propriedades do site FTP padro. D um clique na guia Contas de segurana. Nesta guia voc define se sero permitidas ou no Conexes annimas e qual a conta ser utilizada para conexes annimas. Ao instalar o IIS criada, automaticamente, uma conta com o nome IUSR_Nome_do_computador. Por exemplo, em um servidor com o nome SRV-WIN2003, ser criada a conta IUSR_SRV-WIN2003. Durante a instalao do IIS esta conta criada e configurada para ser utilizada como conta de acesso annimo. Com o acesso annimo, os usurios podem acessar o site de FTP sem ter que especificar um nome de usurio e uma senha. Esta configurao ideal quando voc quer criar um site de FTP para acesso pblico ou para acesso interno para os usurios da sua rede. Com o acesso annimo os usurios no precisam fazer um logon para ter acesso aos arquivos que esto disponveis no servidor de FTP. Isto facilita e simplifica o acesso. As opes desta guia esto indicadas na Figura 13.22:

Figura 13.22 A guia Contas de segurana.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

10.

Clique na guia Mensagens. Nesta guia voc pode definir mensagens que sero enviadas para o usurio

quando um dos seguintes eventos ocorre: Boas vindas quando o usurio conecta-se com o servidor; Sada quando o usurio encerra a conexo e N mximo de conexes quando o usurio tenta conectar-se mas o nmero mximo de conexes j foi atingido. Tambm est disponvel a opo Faixa. Neste campo voc define uma mensagem que ser exibida antes da conexo ser estabelecida. Defina as mensagens desejadas. 11. D um clique na guia Pasta base. Nesta guia voc define qual o diretrio padro do servidor de ftp, que

por padro c:\inetpub\ftproot. Voc tambm define se o diretrio padro est associado com uma pasta no computador local ou com uma pasta compartilhada em outro computador. possvel definir permisses de acesso de Leitura, Gravao e se um log deve ser gravado com informaes sobre o acesso ao diretrio. 12. 13. Defina as opes desejadas e clique em OK para aplic-las. Voc estar de volta ao console de gerenciamento do IIS. Feche-o.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

Exerccio 11

Instalando e Configurando o ISA Server 2006


O Microsoft Internet Security and Acceleration (ISA) Server 2006 foi construdo sob o ISA Server 2004 para permitir e otimizar cenrios seguros de publicao Web, incluindo o Microsoft Office SharePoint Portal Server, Microsoft Outlook Web Access, publicao de mltiplos Web sites, e publicao de farms de Web Server. O ISA Server 2006 fornece uma grande variedade de mtodos de autenticao, melhorias no ger enciamento de certificado digital, e um novo recurso contra ataques de flood. O ISA Server 2006 tambm inclui melhorias como a compresso HTTP, o qual permite mais efici ncia e mais facilidade na configurao de comunicaes entre os escritrios das filias.

Configurando as Interfaces de Rede do ISA Server 2006


A maioria dos problemas que voc poder encontra em relao ao ISA Server 2006 resoluo de nomes tanto para sua Rede Int erna quanto para a Internet. O primeiro passo configurar as Interfaces de Redes no servidor onde voc ir instalar o ISA Server 2006. 1 - Clique com o boto direito do mouse em My Network Places no desktop, e selecione a opo Properties. Ser carregada uma janela semelhante figura 1.1.

Figura 1.1 Nota Em nosso exemplo utilizaremos um cenrio com duas Interfaces de Rede, o qual uma ser utilizada para conexo com a Rede Interna e a outra com a Internet. Para facilitar a identificao das interfaces de rede iremos renomear as Interfaces de Rede com os respectivos nomes REDE LOCAL e REDE INTERNET. 2 - Selecione a Interface de Rede, o qual tem conectividade com a Rede Local. Em nosso exemplo a Interface de Rede Local Area Connection, corresponde com a Interface de Rede, o qual tem conectividade com a Rede Local. 3 - Clique com o boto direito do mouse e selecione a opo Rename, e defina um nome para identificar a sua Interface de Rede, o qual tem conectividade com a Rede Local. Altere o nome para REDE LOCAL, e pressione Enter para confirmar a alterao. 4 - Selecione a Interface de Rede, o qual tem conectividade com a Internet. Em nosso exemplo a Interface de Rede Local Area Connection 2, corresponde com a Interface de Rede, o qual tem conectividade com a Internet. 5 - Clique com o boto direito do mouse e selecione a opo Rename, e defina um nome para identificar a sua Interface de Rede, o qual tem conectividade com a Internet. Altere o nome para REDE INTERNET, e pressione Enter para confirmar a alterao. A janela Network Connections ficar semelhante figura 1.2.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

Figura 1.2 6 - Clique no menu Advanced e selecione a opo Advanced Settings. Ser carrega uma caixa de dilogo semelhante figura 1.3.

Figura 1.3 7 - Na caixa de dilogo Advanced Settings, selecione a Interface de Rede que corresponde a sua Interface de Rede com conectividade para Rede Interna na lista Connections. No nosso exemplo a Interface de Rede a REDE LOCAL.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos
8 - Clique no boto com seta para cima, para mover a Interface de Rede nomeada REDE LOCAL para o topo da lista Connections. A caixa de dilogo ficar semelhante figura 1.4.

Figura 1.4 9 - Clique no boto OK para salvar as alteraes e fechar a caixa de dilogo Advanced Settings.

Instalando o ISA Server 2006 Beta


1 possvel fazer o download da verso trial de 210 dias do Microsoft ISA Server 2006 Standard Edition Beta na url abaixo: http://www.microsoft.com/downloads/details.aspx?FamilyID=f81eeadd-3847-49c9-9625-6e6c6444a0cf&DisplayLang=en 2 - D um clique duplo no arquivo ISA2K6EVLS_EN.exe, para extrair os arquivos de instalao do Microsoft ISA Server 2006 Standard Edition Beta. Ser carregada a janela conforme mostra a figura 1.5.

Figura 1.5

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos
3 - Clique no boto Yes, para extrair os arquivos de instalao para a pasta ISA Server 2006 SE Beta CD. Aps os arquivos serem extrados para a pasta ser carregada a janela conforme mostra a figura 1.6.

Figura 1.6 4 - Clique no link Install ISA Server 2006. Ser carregada a janela conforme mostra a figura 1.7.

Figura 1.7

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos
5 - Na janela Welcome to the Installation Wizard for Microsoft ISA Server 2006 Beta, clique no boto Next para continuar. Ser carregada a janela conforme mostra a figura 1.8.

Figura 1.8 6 - Na janela License Agreement, selecione a opo I accept the terms in the license agreement e clique no boto Next para continuar. Ser carregada a janela conforme mostra a figura 1.9.

Figura 1.9 7 - Na janela Customer Information, entre com o seu nome e nome da sua organizao nas caixas de texto User Name e Organization respectivamente. Entre com um nmero de srie vlido dentro da caixa de texto Product Serial Number. Clique em Next para continuar. Ser carregada a janela conforme mostra a figura 1.10.

Figura 1.10

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

8 - Na janela Setup Type, voc tem duas opes para escolher como ir instalar o ISA Server 2006.

A opo Typical ir instalar os principais recursos do ISA Server 2006. A opo Custom permitir que voc escolha quais componentes sero instalados. Se voc no quiser instalar o software do ISA Server 2006 sobre o drive C:, clique no boto Change... para alterar a localizao dos arquivos de programa sobre o disco rgido.

Escolha a opo Custom, e clique em Next para continuar. Ser carregada a janela conforme mostra a figura 1.11.

Figura 1.11 9 - Na janela Custom Setup, escolha quais componentes voc pretende instalar. Por padro, quando voc escolhe a opo Custom, o ISA Server, Advanced Logging e ISA Server Management so instalados. O Advanced Logging uma caracterstica de logging do MSDE, o qual fornece um log superior de pesquisa e filtragem. Nota Para aqueles que j instalaram o ISA Server 2004, provavelmente devem ter notado que as opes Message Screener e Firewall Client Installations Share no esto presentes nesse release. Como se trata de uma verso Beta muita coisa poder mudar at o release final do produto. 10 - Selecione os componentes para serem instalados e em seguida clique em Next para continuar. Ser carregada a janela conforme m ostra a figura 1.12.

Figura 1.12

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos
11 - Na janela Internal Network, voc ir definir o intervalo de endereo, o qual inclui a Rede Interna que contm os servios de rede com quais os ISA Firewall deve comunicar-se. Como por exemplo, Domain Controllers, servidores DNS, DHCP, Terminal Services, estaes de trabalho, etc. Clique no boto Add... Ser carregada a janela conforme mostra a figura 1.13.

Figura 1.13 12 - Na janela Addresses, voc ir definir o intervalo de endereo da sua Rede Interna. Voc poder entrar manualmente com os endereos que inclui a sua Rede Interna informando o primeiro e ltimo endereo da sua rede ou configurando a Rede Interna atravs do boto Add Adapter. Est opo permite que o ISA Firewall use a tabela de roteamento para determinar os endereos usados para sua a Rede Interna. Uma outra opo clicar no boto Add Private, o qual permite que voc selecione um intervalo de endereos de rede pr-configurado. 13 - Clique no boto Add Adapter. Ser carregada a janela conforme mostra a figura 1.14.

Figura 1.14

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos
14 - Selecione o Adaptador de Rede que corresponde a sua Rede Interna, e em seguida clique no boto OK.

Figura 1.15 15 - Clique no boto OK da janela Addresses. Ser carregada uma janela conforme mostra a figura 1.16, informando o intervalo de rede configurado para a Interface de Rede da REDE LOCAL. No nosso exemplo, o intervalo configurado foi o endereo 192.168.0.0 192.168.0.255.

Figura 1.16 16 - Clique em Next na janela Internal Network, para continuar. Ser carregada uma janela conforme mostra a figura 1.17.

Figura 1.17

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos
17 - Se voc tiver clientes de firewall executando verses anteriores do Winsock Proxy (Proxy Server 2.0) ou clientes firewall do ISA Server 2000 marque a opo Allow non-encrypted Firewall client connections, isto permitir que voc continue usando o software cliente do firewall de verses anteriores. Se voc selecionar essa opo o ISA Server 2006 no ir encriptografar o trfico trocado com os clientes firewall executando verses anteriores. Faa sua escolha e em seguida clique em Next para continuar. Ser carregada uma janela conforme mostra a figura 1.18.

Figura 1.18 18 - Na pgina Services Warning, informado que os servios SNMP Service, FTP Publishing Service, Network News Transfer Protocol (NNTP), IIS Admin Service, World Wide Web Publishing Service sero parados durante a instalao. Os servios Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS), e IP Network Address Translation sero desabilitados durante a instalao. Clique em Next na janela Services Warning, para continuar. Ser carregada uma janela conforme mostra a figura 1.19.

Figura 1.19 Nota Dependendo da configurao do seu ambiente, talvez voc no veja a caixa de dilogo conforme mostra a figura 1.19. Como estou usando um servidor que no membro do domnio para instalar o ISA Server 2006 e estou acessando ele com o Remote Desktop atravs do computador com o endereo IP 192.168.0.201, o Setup do ISA Server 2006, subentendeu que eu irei usar esse servidor para administrar o IS A Server remotamente. Isso poder ser reconfigurado aps a instalao sem nenhum problema para melhor atender as suas necessidades. 16 - Clique em Next na janela System Policy Configuration, para continuar. Ser carregada uma janela.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos
17 - Na janela Ready to Install the Program, clique em Install para iniciar a instalao. Aps o Setup terminar a cpia dos arquivos de instalao do ISA Server 2006 ser carregado a seguinte janela conforme mostra a figura 1.21.

Figura 1.21 18 - Clique em Finish para finalizar a instalao.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos
Aps ter concludo a instalao do ISA Server 2006 o prximo passo explorar os ns de configurao e criar as regras para p ermitir ou negar acesso para os recursos da Rede Interna e Externa. Siga os passos abaixo para abrir a console do ISA Server 2006. 1 - Clique em Start, Program, Microsoft ISA Server, ISA Server Management. Ser carrega uma janela como mostra a figura 1.22.

Figura 1.22 Para aqueles que j trabalham com o ISA Server 2004 ir notar que o ISA Server 2006 est praticamente igual, mantendo toda a facilidade de navegao em sua interface. Baseada em web, a interface intuitiva e agradvel, alm de fornecer vrios assistentes para ajud -lo na configurao do servidor. Conforme voc seleciona um n de configurao esquerda no ISA Server 2006 as janelas direita ir o mudar para corresponder os comandos relativos ao n de configurao.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

Monitorando o ISA Server 2006


O N Monitoring contm sete guias, com as quais voc poder facilmente monitorar tudo o que est acontecendo com o ISA Server 2006. Na janela esquerda selecione o n Monitoring. Ser carregada uma janela conforme mostra figura 1.23.

Figura 1.23 Na janela central do ISA Server 2006 com o n Monitoring selecionado voc tem as seguintes guias:

Dashboard Alerts Sessions Services Reports Connectivity Logging

O Dashboard um grande painel, o qual exibe o resumo de cada rea representada por uma guia (exceto Logging). Semelhante a um painel de carro, com o Dashboard voc ser capaz de ter uma viso completa sobre o que est acontecendo com todas as reas diferentes em uma nica interface. Cada uma das sees do Dashboard contm um cone que indica o status daquela rea:

Uma marca dentro de um crculo verde: indica que tudo est bem. Um ponto de exclamao dentro de um tringulo amarelo: indica um alerta. Um X dentro um crculo vermelho: indica um problema ou um problema potencial.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos
A guia Alerts fornece informaes sobre eventos importantes que ocorreram (por exemplo, quando um servio iniciado ou encerrado, o limite da conexo excedido, e assim por diante). Voc pode configurar quais aes acionar os alertas. A guia Alerts mostrada na Figura 1.24.

Figura 1.24 Como voc pode ver na Figura 1.24, se voc clicar sobre um alerta, mais informaes sobre ele ser mostrado na parte inferior do painel do meio. Os alertas so marcados por cones para indicar a importncia relativa de cada um. Os cones sero familiares para os administradores do Windows, eles so os mesmos usados no sistema Event Viewer e Application Logs:

Um "i" minsculo dentro de um crculo branco: Indica uma informao de alerta. Nenhuma ao necessria. Um ponto de exclamao dentro de um tringulo amarelo: indica um alerta. Uma ao talvez seja requerida. Um "X" dentro de um crculo vermelho: indica um erro, um problema ou problema potencial que exige uma ateno imediata.

O painel de tarefas a direita permite que voc atualize a janela Alerts manualmente, ou voc poder configurar um Automatic Refresh Rate (none, low, medium, ou high). Abaixo de Alerts Tasks, voc pode apagar os alertas selecionados clicando no alerta(s) que voc quer apagar (voc pode destacar mltiplos alertas mantendo a tecla CTRL pressionada enquanto voc seleciona-os) e ento clicando em Reset. Voc ser perguntado se voc est certo que quer apagar o alerta. Clique em Yes para executar a ao. Voc pode tambm escolher Acknowledge para indicar que voc est tratando o alerta. Isto no o remover da janela Alerts; no entanto, o alerta ser removido da visualizao do Dashboard. Uma outra configurao que voc poder fazer configurar os alertas escolhendo de uma lista de eventos de alerta predefinidos, e especificar o nmero de tempo que um evento deve ocorrer, ou o nmero de eventos por segundo, para acionar um alerta. Voc pode tambm es pecificar o que deve acontecer quando um alerta acionado (enviar um e-mail para um administrador, executar um programa especfico, log para o event log do Windows, ou iniciar ou parar um servio ou servios especificados).

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos
A guia Sessions torna fcil para os administradores visualizar quem e quem estava conectado atra vs do firewall do ISA Server e quais aplicativos ele usa. Estas informaes podem ser filtradas para facilitar leitura. A janela Sessions mostrada na Figura 1.25.

Figura 1.25

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos
A guia Services mostra para voc o status e o tempo de funcionamento do ISA Server e os servios referentes ao ISA que esto em execuo sobre um computador Wndows 2000 ou Windows Server 2003. Voc pode parar e iniciar os servios atravs desta janela, atravs da seo Services Tasks do painel da direita ou clicando com o boto direito do mouse no servio que voc quer iniciar ou parar. A guia Services mostrada na Figura 1.26.

Figura 1.26

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos
A guia Reports pode ser usada para gerar um relatrio ou ser configurado um relatrio agendado. Usando o New Report Wizard voc ser guiado passo a passo para criar um relatrio. Os trabalhos de relatrios podem ser agendados para relatrios dirios, semanais, ou mensais. Voc poder especificar quais informaes deseja incluir nos relatrios. A guia Reports mostrada na Figura 1.27.

Figura 1.27

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos
A guia Connectivity permite voc criar, exportar, e importar os verificadores de conectividade. Estes so objetos que monitoram o status da conectividade entre o computador ISA Server e um computador especfico ou URL. A conectividade pode ser determinada atravs de mensagens PING, portas TCP, ou pedido HTTP. A guia Connectivity mostrada na Figura 1.28.

Figura 1.28

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos
A guia Logging pode ser usada para o processo de log do Firewall, Web Proxy, ou ambos. Voc pode tambm editar filtros para limitar a exibio dos dados, exportar e importar definio de filtros, e consultar os logs. A guia Logging mostrada na Figura 1.29.

Figura 1.29

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos
Por default, o ISA Server 2006 nega todo o trfego de rede limitando o trfego entre o Local Host Network (o servidor executando o ISA Server) e outras redes. Para permitir o trfego para outras redes, como por exemplo, a Internet, necessrio criar um Access Rule (Regra de Acesso) para permitir ou negar o acesso desejado. Voc tambm pode criar regras de Publicao Web, regras de Publicao de Servidor de Mail, e regras de Publicao de outros servidores para controlar o acesso para a rede e de sua rede. O n Firewall Policy mostrado na figura 1.30.

Figura 1.30 Os elementos Access Rule so objetos de configurao dentro do ISA Server 2006, o qual voc pode usar para criar vrios Access Rule especficos. Por exemplo, voc talvez queira criar um Access Rule para permitir somente o trfego HTTP. Para fazer isso, o ISA Server 2006 fornece um Protocolo de elemento Access Rule, o qual define o trfego HTTP. Existem cinco tipos de elementos de Access Rule:

Protocols: Este elemento de regra contm os protocolos, os quais voc poder usar para definir os protocolos que sero utilizados dentro de um Access Rule. Por exemplo, voc pode permitir ou negar o acesso sobre um ou mais protocolos. Users: Dentro deste elemento de regra, voc poder criar um grupo de usurios para qual a regra dever ser explicitamente aplicada, ou quais podero ser excludos de uma regra. Por exemplo, voc talvez queira criar uma regra que permita o acesso a Internet para todos os usurios dentro de uma organizao com exceo de todos os empregados temporrios. Usando um servio de diretrio como o Active Directory ou um servidor Radius para autenticao, voc poder configurar um Access Rule para conceder acesso para um grupo de usurios de um domnio para acessar a Internet. Content Type: Este elemento de regra fornece os tipos de contedo comuns para o qual voc poder aplicar para uma regra. Por exemplo, voc pode usar um elemento de regra de Content Type para bloqu ear todos os contedos de downloads para as extenses .exe, .bat, .cmd, vbs. Schedules: Este elemento de regra permite que voc determine as horas durante a semana que as regras sero aplicadas. Se voc precisa definir um Access Rule que permita o acesso para a Internet somente durante horas especificas, voc pode criar um elemento de regra schedule para definir essas horas, e ento usar este elemento de regra schedule ao criar o Access Rule. Network Object: Este elemento de regra permite que voc crie um grupo de computadores para o qual a regra ser aplicada, ou quais sero excludos de uma regra.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

Criando Um Access Rule


Agora que voc j tem uma viso geral sobre a console do ISA Server 2006, iremos criar um Access Rule, o qual ir permitir o acesso a Internet para os usurios da sua rede local. 1 - Com o n Firewall Policy selecionado, no painel da direita no Firewall Policy Tasks, clique em Create Access Rule. Ser carregada uma caixa de dilogo como mostra a figura 1.31.

Figura 1.31 2 - Na caixa de dilogo Welcome to the New Access Rule Wizard, no campo de texto Access rule name: digite o nome do Access Rule, o qual ir permitir o acesso a Internet. No nosso exemplo, o nome ser Acesso Internet. Clique em Next para continuar. Ser carregada a caixa de dilogo como mostra a figura 1.32.

Figura 1.32

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos
3 - Por default, a caixa de dilogo Rule Action vem com a opo Deny selecionada. Como nosso objetivo permitir o acesso a Internet, ser necessrio selecionar a opo Allow. Selecione a opo Allow e clique em Next para continuar. Ser carregada a caixa de dilogo como mostra a figura 1.33.

Figura 1.33 4 - Na caixa de dilogo Protocols, voc configura quais protocolos este Access Rule se aplica. Voc tem trs opes dentro do This rule applies to: na lista drop-down:

All outbound protocols: Se voc escolher est opo, o Access Rule ser aplicado para todos os protocolos. Selected protocols: Se voc escolher est opo, voc ter que especificar os protocolos que sero utilizados no Access Rule. All outbound protocols except selected: Se voc escolher est opo, voc poder selecionar os protocolos que faro parte da exceo da regra. Por exemplo, voc poder criar uma regra que permite todos os protocolos exceto os protocolos ICMP, SMTP, e POP3.

5 - Selecione a opo Selected protocols. 6 - Clique no boto Add. Ser carregada a caixa de dilogo como mostra a figura 1.34.

Figura 1.34 Nota Na caixa de dilogo Add Protocols voc tem uma lista separada por categoria dos protocolos mais comuns utilizados. 7 - Selecione a categoria Web e expanda clicando no sinal de mais.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

8 - Selecione o protocolo FTP e clique em Add. Faa o mesmo procedimento para o protocolo HTTP e HTTPS. 9 - Clique no boto Close para fechar a caixa de dilogo Add Protocols. A caixa de dilogo Protocols ficar semelhante figura 1.35.

Figura 1.35 10 - Clique em Next para continuar. Ser carrega a caixa de dilogo como mostra figura 1.36.

Figura 1.36

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos
11 - Na caixa de dilogo Access Rule Sources, voc ir especificar qual ser a origem do trfego. Clique no boto Add para adicionar o objeto de rede ou objetos que voc quer adicionar como o trfego de origem para essa regra. Ser carregada uma caixa de dilogo como mostra a figura 1.37.

Figura 1.37 12 - Selecione o objeto Networks e expanda clicando no boto de sinal de mais. 13 - Selecione a opo Internal e clique no boto Add. 14 - Clique no boto Close para fechar a caixa de dilogo Add Network Entities. A caixa de dilogo Access Rule Sources ficar semelhante figura 1.38.

Figura 1.38

Nota A Rede Internal corresponde rede que foi definida na instalao do ISA Server 2006, em nosso exemplo a Rede Internal equivale ao range de endereo IP 192.168.0.0 - 192.168.0.255.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos
15 - Clique em Next para continuar. Ser carrega a caixa de dilogo como mostra figura 1.39.

Figura 1.39 16 - Na caixa de dilogo Access Rule Destinations, voc ir especificar qual ser o destino do trfego. Clique no boto Add para adicionar o objeto de rede ou objetos que voc quer adicionar como o trfego de destino para essa regra. Ser carregada uma caixa de dilogo como mostra a figura 1.40.

Figura 1.40 17 - Selecione o objeto Networks e expanda clicando no boto de sinal de mais. 18 - Selecione a opo External e clique no boto Add.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos
19 - Clique no boto Close para fechar a caixa de dilogo Add Network Entities. A caixa de dilogo Access Rule Destinations ficar semelhante figura 1.41.

Figura 1.41 Nota A rede External corresponde Rede Pblica. 20 - Clique em Next para continuar. Ser carrega a caixa de dilogo como mostra figura 1.42.

Figura 1.42

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos
21 - Na caixa de dilogo User Sets, voc configura quais usurios iro receber este Access Rule. Se voc quer conceder o acesso para a Internet para todos os usurios de sua rede, voc pode deixar o grupo de usurios All Users e clicar em Next para continuar. Agora se voc quer aplicar para usurios especficos, selecione All Users e clique no boto Remove. Em seguida clique no boto Add para abrir a caixa de dilogo Add Users, da qual voc pode adicionar o grupo de usurios para est regra em especifico. Em nosso exemplo iremos permitir o acesso a Internet para todos os usurios. Clique em Next para continuar. Ser carrega a caixa de dilogo como mostra figura 1.43.

Figura 1.43 22 - Na caixa de dilogo Completing the New Access Rule Wizard, clique no boto Finish para concluir a criao de um novo Access Rule. A janela do ISA Server 2006 ficar semelhante figura 1.44.

Figura 1.44

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos
23 - Clique no boto Apply para salvar as alteraes e atualizar as configuraes no ISA Server 2006. Ser carregada uma caixa de dilogo como mostra figura 1.45.

Figura 1.45 24 - A caixa de dilogo Apply New Configuration, informa que as alteraes para a configurao foram aplicadas com sucesso. Clique no boto OK para fechar a caixa de dilogo. Nota Com essa simples regra de acesso criada no ISA Server 2006, j possvel fornecer acesso a Internet para seus usurios.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

Virtual Private Networks (VPN)


O ISA Server 2006 pode ser utilizado como um VPN Server. Com o ISA Server 2006 atuando como um VPN Server torn ou ainda mais fcil configurar os componentes de VPN includos com o Windows 2000 Server e Windows Server 2003, sendo possvel ativar, configurar e gerenciar o VPN Server diretamente da console de gerenciamento do ISA Server 2006. O n Virtual Private Networks fornece uma interface amigvel para executar as tarefas de configurao mais comum de VPN e o controle de acesso dos clientes. Como mostra a figura 1.46.

Figura 1.46 O painel do meio mostra a lista de tarefas de configurao, incluindo:

Verify that VPN Client Access is Enabled (Verificando qual acesso de cliente VPN est ativado). Specify Windows Users or select a RADIUS Server (Especificando os usurios Windows que permitido o acesso VPN ou selecionando um servidor RADIUS para autenticao) Verify VPN Properties and Remote Access Configuration (Verificando as propriedades VPN e configurao de acesso remoto) View Firewall Policy for the VPN Clients Network (Visualizando as regras do firewall policy para a rede de clientes VPN) View Network Rules (Visualizando as regras que especifica o relacionamento de rede entre os clientes VPN e outras redes)

Atravs do painel Tasks direita, voc pode configurar o acesso dos clientes, especificando o nmero de conexes VPN simultneas, selecionando grupos para os quais o acesso VPN permitido, especificando os protocolos VPN permitido, e o mapeamento de usu rios de namespaces no-Windows.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

N Configuration: Sub-n Networks


O n Configuration tem quatro sub-ns. Se voc selecionar o sub-n Networks, o painel do meio mostrar as guias de configurao as quais incluem Networks, Network Sets, Network Rules, e Web Chaining, como mostra a Figura 1.47.

Figura 1.47 A guia Networks usada para configurar e criar redes em um ambiente de mltiplas redes.

A guia Network Sets permite voc agrupar as redes e aplicar as regras para um grupo, ou um conjunto de redes. A guia Network Rules usada para criar, exportar, e importar regras, que define o tipo de conectividade que est permitido entre diferentes redes usando a traduo (NAT) ou conexo de roteamento. A guia Web Chaining usada para criar regras Web chaining, o qual permite voc encaminhar os pedidos dos clientes para um ISA Server upstream ou uma localizao alternada.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos

N Configuration: Sub-n Cache


O sub-n Cache, usado para configurar o cache no seu ISA Server 2006. Como mostra a figura 1.48.

Figura 1.48 Voc pode definir o drive de cache onde o contedo de cache ser armazenado e criar regras de cache atravs do New Cache Rule Wizard. As regras aplicam-se s redes especificas e determinam como os objetos armazenados dentro do cache so restaurados quando solicitado, e tambm quando o contedo deve ser colocado em cache, e os limites sobre o tamanho dos objetos em cache. Voc pode configurar as opes de cache gerais aqui e exportar e importar as regras de cache. Voc pode tambm desativar totalmente o cache, fazendo o ISA S erver funcionar somente como um firewall.

N Configuration: Sub-n Add-ins


O sub-n Add-ins usado para configurar o Application Layer Filtering do ISA Server 2006. Este o lugar onde voc ativa, visualiza, modifica, e desabilita filtros de aplicao e filtros Web. Alguns filtros so instalados e at ivados por padro quando voc instala o ISA Server 2006.

N Configuration: Sub-n General


O sub-n General inclui tarefas administrativas gerais, incluindo:

Administration Delegation - Concede permisses para usurios e grupos para executar tarefas administrativas especficas. Configure Firewall Chaining - Especifica como os pedidos de clients Firewall e clientes SecureNAT so enviados para os servidores upstream. Define of Firewall Client Settings, Inclui configurao de applicao. Specify Dial-up Preferences - Especifica as conexes dial-up usadas para conectar atravs do ISA Server para uma rede especfica. Configure Link Translation - Para selecionar o tipo de contedo o qual define as pginas para qual o link translation ser aplicado.

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com

Windows Server
Prof. Wagner Medeiros dos Santos
Specify Certificate Revocation - O ISA Server pode verificar qual certificados recebidos no esto no Certificate Revocation List (CRL). Define HTTP Compression Preferences - Quando o http compression configurado, o ISA Server pode compressar o contedo, para preservar a largura de banda limitada. Specify Diffserv Preferences - O protocolo Diffserv controla a largura de banda fornecendo priorizao nos pacotes. View ISA Server Computer Details - Visualizar a verso do ISA, nome, ID do produto, data da criao, e diretrio de instalao.

Este sub-n permite que voc tambm execute tarefas de segurana avanada, como por exemplo:

Define LDAP and RADIUS Servers. Enable Intrusion Detection and DNS Attack Detection. Define IP Preferences, Configure Flood Mitigation Settings.

O sub-n General mostrado na Figura 1.50.

Figura 1.50

Professor Wagner Medeiros dos Santos wagner.redes@gmail.com