Instalação e administração do windows server 2008

8/6/2019 Instalao e administrao do windows server 2008

1/89

Instalao e Administrao do

Windows Server 2008

Guilherme LimaMCITP Enterprise Administrator / MCITP Server Administrator5x MCTS / MCSA / MCDST / MCP / TCF / Auditor ISO 20000


2/89

Gerenciamento de Recursos Servidor de Arquivo

Gerenciamento de Recursos Regras de Quotas

Agenda

3

3

Definio de problemas do ambiente de TI

Fundamentos

Apresentao do ambiente de solues

Administrao do domnio Active Directory

Administrao do domnio Aplicao de Regras

Gerenciamento de Recursos Group Policies

Entrega do ambiente

30

30

45

90

90

90

90

90

30


3/89

Problema, soluo e problema?

4

Problema: Instalar 50 mquinas recm compradas na empresa de forma rpida, segurae 100% automatizada

Soluo: Instalar sistema gerenciador que instala e configura o ambiente baseado emservios de imagens nicas

Problema: Qual ferramenta utilizar?


4/89

Ambiente de TI

5

Na viso sobre o problema devemos sempre levar em considerao

algumas variveis:

- Tecnologia implementada

- Ambiente disponvel

- Profissional graduado

- Tempo

- Comunicao

O que ser utilizado? Ferramenta,Servidor, meio fsico e lgico?

Meu ambiente suporta a soluo? preparado para isso? No ir

impactar em outro processo/servio?

Meu profissional est pronto parautilizar essa ferramenta? Ele conhece

o ambiente?

Quanto tempo ele levar paraentregar a soluo?

Mostrar para a empresa o que estsendo feito, agregar valor ao trabalho

da TI


5/89

Atrasos em projetos de TI impactam

lucratividade das empresas

Segundo a pesquisa da The Economist e da HP,em cerca de metade das empresas pesquisadas,25% ou mais dos projetos de TI so concludoscom atraso; j, em 57% das empresas, em cadaduas iniciativas de TI, somente uma gera

resultados de negcios positivos.

Fonte: http://www.itweb.com.br/noticias/index.asp?cod=21481

Viso da TI

6

Liberty Seguros automatiza processo e gera economiaCom mais de um milho de clientes, a Liberty Seguros registraalgo em torno de sete milhes de operaes apenas de envio decobrana para instituies financeiras a cada 12 meses. Durante

cinco anos, a seguradora teve um parceiro para o servio demovimentao eletrnica de documentos (EDI, na sigla emingls) que fazia a interface para troca de arquivos entre a

empresa e cerca de 15 bancos. No entanto, o provedor

comeava a apresentar pontos de falha. "Colocvamos algunsarquivos aqui e eles no chegavam outra ponta. Assim, a

cobrana no entrava e era preciso cancelar a aplice", listaCarlos Magnarelli, diretor-financeiro da Liberty Seguros, sobre

as dores de cabea que as falhas nos trmites acarretavam.

Fonte: http://www.itweb.com.br/noticias/index.asp?cod=70943
http://www.itweb.com.br/noticias/index.asp?cod=21481http://www.itweb.com.br/noticias/index.asp?cod=70943http://www.itweb.com.br/noticias/index.asp?cod=70943http://www.itweb.com.br/noticias/index.asp?cod=70943http://www.itweb.com.br/noticias/index.asp?cod=70943http://www.itweb.com.br/noticias/index.asp?cod=21481http://www.itweb.com.br/noticias/index.asp?cod=21481http://www.itweb.com.br/noticias/index.asp?cod=21481


6/89

Projetos de TI mal planejados e divulgados

7


7/89

Conhecimento ambiente/depto/profissional

8

Ambiente: Toda a estrutura necessria para se fornecer acesso a

informaes corporativas utilizando-se segurana, disponibilidade,integridade e confidencialidade para o usurio final.

Departamento de TI: Conjunto de profissionais que gerencia a

informao que criada/trafegada pela empresa assim como osuporte a ela.

Profissional: O RESPONSVEL por arquitetar, estudar, escutar,descrever, criar, implementar, testar, desenvolver e oferecer suporte atoda tecnologia criada ou oferecida.


8/89

Fundamentos

9

Perguntas fundamentais SIM NOA palavra TI te assusta?

Existe um departamento de TI na sua empresa?

Sua empresa reconhece o departamento?

Existem profissionais qualificados/certificados?

Eles conhecem as formas de tecnologia disponveis?

Voc conhece formas de melhorar o seu ambiente?

Existem automatizao de algumas tarefas?

As atividades esto descritas em documentos de qualidade?

O ambiente est organizado?


9/89



Agenda

1010


Fundamentos





Entrega do ambiente

30

30

45

90

90

90

90

90

30


10/89

Fundamentos

11

Por que existem servidores?

Para que eles servem?

Qual a diferena entre sistemas autnomos e sistemas de rede?

- Para gerenciar a comunicao entre diversos computadores e servios disponveis- Para disponibilizar recursos e servios para pequenos computadores.

- Para gerenciar servios e aplicativos onde vrios usurios/servios precisam ter acesso apartir de um ponto nico.

- Para publicar alguns servios como pginas web, servios de correio, banco de dados egerenciamento ERP

- Sistemas autnomos so isolados, por exemplo, softwares de gerncia de servios queno fazem troca de acesso ou trafegam informaes para outros.

- Sistemas de rede so agregados, unidos e fazem a troca de informaes para gerenciarservios mais complexos e disponibilizam tais dados para clientes ou outros servidores.


11/89

Fundamentos

12

O que um domnio?

O que Active Directory?

O que DNS?

O que DHCP?

- Um domnio uma denominao onde se aplica um nome para uma famlia de recursos- Quando um novo equipamento adicionado a um domnio ele recebe um nome FQDNque significa NOME DA MQUINA + NOME DO DOMNIO

- um servio que descobre e traduz um IP em um nome de mquina, ele necessriopra cada rvore de domnio

- um servio que disponibiliza um IP nico por placa de rede de equipamento, e comisso o equipamento consegue se comunicar na rede interna.

- o servio que controla a criao / modificao / remoo de usurios, grupos,computadores, servidores, contatos e entre outros recursos do domnio.


12/89

Fundamentos

13

O primeiro servidor do

domnio se chama DomainController

Os servidores que entramlogo aps no domnio so

servidores Membros

Uma rvore de domnio

quando se tem mais de umservidor por domnio

Quando se adiciona mais deum domnio interligado

temos uma nova florestaCONTOSO.CORP

SP.CONTOSO.CORP RJ.CONTOSO.CORP


13/89



Agenda

1414


Fundamentos


Administrao do domnio

Active Directory



Entrega do ambiente

30

30

45

90

90

90

90

90

30


14/89

Ambiente

15

Voc foi convidado a trabalhar em uma empresa de 15 funcionrios do

ramo contbil. Nessa empresa existe a seguinte estrutura:


15/89

Ambiente

16

Na sua anlise do ambiente foi encontrado o seguinte:

1- As mquinas comunicamumas com as outras etransferem muitosdocumentos importantes,alm de msicas eapresentaes sem contedocorporativo.

2- As pastas de documentosimportantes do financeiro soacessveis por qualquerfuncionrio assim como sua

cpia e modificao dosmesmos

3- Durante uma crise daempresa vriosfuncionrios sabiam dadeciso de corte de ativos

antes mesmo dos sciosdivulgarem os resultados.

4- No existem modelos dediretivas nas mquinas,todos fazem o que

querem, e instalam vriasferramentas sempermisso para tal.


16/89

Ambiente Problemas Diretos

17

Nossos problemas diretos nos so apresentados pelos scios da

empresa, portanto uma viso do problemas diretos.Vamos rever os problemas?

1- As mquinas comunicam umas com as outras e transferem muitos documentosimportantes, alm de msicas e apresentaes sem contedo corporativo.

2- As pastas de documentos importantes do financeiro so acessveis por qualquerfuncionrio assim como sua cpia e modificao dos mesmos

3- Durante uma crise da empresa vrios funcionrios sabiam da deciso de corte de

ativos antes mesmo dos scios divulgarem os resultados.

4- No existem modelos de diretivas nas mquinas, todos fazem o que querem, einstalam vrias ferramentas sem permisso para tal.


17/89

Ambiente Problemas Indiretos

18

Sua viso analtica indica problemas indiretos e que podem acontecer a qualquer momento.

Quais so eles?

1- As mquinas comunicam umas com as outras e transferem muitos documentos importantes, alm demsicas e apresentaes sem contedo corporativo.Existe a possibilidade de transferncia de vrus? Acessos indevidos a arquivos, apagamento oumodificao intencional ou no?

2- As pastas de documentos importantes do financeiro so acessveis por qualquer funcionrio assimcomo sua cpia e modificao dos mesmos.Quem deve acessar os arquivos? existe hierarquia da empresa e no departamento?

3- Durante uma crise da empresa vrios funcionrios sabiam da deciso de corte de ativos antes mesmodos scios divulgarem os resultados.

Existe possibilidade de vazamento de informao? possvel que algum tenha modificado os arquivospara benefcio prprio? Existe acesso s informaes dos clientes?

4- No existem modelos de diretivas nas mquinas, todos fazem o que querem, e instalam vriasferramentas sem permisso para tal. possvel bloquear essa ao? Controlar quem pode fazer o que?


18/89

Ambiente

19

Para resolver os nossos problemas precisamos conhecer as

possibilidades, vamos dividir o problema?

1- Desenhar um novo ambiente2- Instalar um ou dois servidores

3- Denominar usurios de acesso para cada um4- Criar grupos de controle de acesso5- Criar um servidor de arquivos para controle de acesso6- Aplicar regras de controle de acesso7- Bloquear a ao de funcionrios mal intencionados


19/89

Ambiente Novo desenho

20

1- Desenhar um novo ambiente

1- Adicionado um servidorde autenticao de domnio

2- Adicionado um servidorde arquivos


20/89

Ambiente Novo desenho

21

1- Qual verso do Windows vamos usar?

1- A verso do Windows que devemos utilizar precisa contemplar um servioestvel, que possa gerenciar mais de 15 funcionrios, suportar acessossimultneos, disponibilidade, confidencialidade, integridade e crescimentoesperado para os prximos anos.

2- Deve suportar a adio de novas mquinas, usurios e suporte aferramentas de gerenciamento de polticas de mquinas, gerenciamento deusurios e gerenciamento de arquivos

Voc conhece as verses do Windows Server?


21/89

Edies do Windows Server 2008

22

Existem 9 verses do Windows Server 2008, elas variam de acordo

com a finalidade, preo e suporte proporcionado.

Edio Resumo

Recomendado para pequenas e mdias empresas parasuportar os principais servios de regras disponveis.Estabilidade dos sistemas porm com limitao de

recursos.O Windows Server 2008 Enterprise oferece umaplataforma de nvel corporativo para a implantao deaplicaes crticas, alm de proporcionar maiordisponibilidade com os recursos de cluster e hot-addde processador. A edio oferece maior segurana erecursos consolidados de gerenciamento de identidades

e reduz os custos de infraestrutura por meio daconsolidao das aplicaes com direitos de licena paravirtualizao. O Windows Server 2008 Enterprise forneceas bases para uma infraestrutura de TI altamentedinmica e escalonvel.


22/89


23

Edio Resumo

O Windows Server 2008 Datacenter oferece umaplataforma de nvel corporativo para implantao deaplicaes crticas e virtualizao em larga escala depequenos e grandes servidores, alm de proporcionarmaior disponibilidade com os recursos de cluster eparticionamento dinmico de hardware. A edio reduzos custos de infra-estrutura por meio da consolidao

das aplicaes com direitos ilimitados de licena paravirtualizao e permite o escalonamento de 2 a 64processadores. O Windows Server 2008 Datacenterfornece as bases para a construo de solues deescalabilidade vertical e virtualizao de nvelcorporativo.

Projetado com a finalidade nica de ser um servidor

Web, o Windows Web Server 2008 apresenta uma baseslida de recursos de infra-estrutura Web. A integraocom os componentes re-projetados IIS 7.0, ASP.NET eMicrosoft .NET Framework, permite a qualquerorganizao implantar rapidamente pginas, sites,aplicaes e servios Web.


23/89


24

Edio Resumo

O Windows Server 2008 for Itanium-based Systems (parasistemas baseados em Itanium) foi otimizado paraaplicativos de bancos de dados de grande porte e degesto de negcios (LOB), bem como para aplicativosclientes, fornecendo alta disponibilidade e escalabilidadepara suportar at 64 processadores, a fim de atender snecessidades de solues exigentes e de misso crtica.

O Windows Server 2008 mais slido sistemaoperacional Windows Server j lanado. Ele foi projetadopara aumentar a confiabilidade e a flexibilidade da infra-estrutura de seus servidores medida que ajuda areduzir custos e a ganhar tempo. Poderosas ferramentasproporcionam maior controle sobre os servidores, bemcomo tarefas de gerenciamento e configurao

simplificadas. Somado a isso, os recursos de seguranaaprimorados agem na proteo do sistema operacionalpara proteger a rede e os dados, fornecendo uma baseslida e altamente confivel. Este produto no contm oWindows Server Hyper-V.


24/89


25

Edio Resumo

O Windows Server 2008 Enterprise uma plataforma de nvelcorporativo para a implantao de aplicaes crticas, alm deproporcionar maior disponibilidade com os recursos de cluster ehot-add de processador. A edio oferece maior segurana erecursos consolidados de gerenciamento de identidade e reduz oscustos de infra-estrutura por meio da consolidao de aplicaescom direitos de licena para virtualizao. O Windows Server 2008Enterprise fornece as bases para uma infra-estrutura de TI

altamente dinmica e escalonvel. Este produto no inclui oWindows Server Hyper-V.

O Windows Server 2008 Datacenter oferece uma plataforma denvel corporativo para implantao de aplicaes crticas evirtualizao em larga escala de pequenos e grandes servidores,alm de proporcionar maior disponibilidade com os recursos decluster e particionamento dinmico de hardware. A edio reduzos custos de infra-estrutura por meio da consolidao dos

aplicativos com direitos ilimitados de licena para virtualizao epermite o escalonamento de 2 a 64 processadores. O WindowsServer 2008 Datacenter fornece as bases para a construo desolues de escalabilidade vertical e virtualizao de nvelcorporativo. Este produto no inclui o Windows Server Hyper-V.


25/89


26

Edio Resumo

Edio voltada para redes com at 15 usurios, oWindows Server 2008 Foundation uma plataformapara capacidades bsicas de TI a preo acessvel, queinclui o compartilhamento de arquivos e impressoras,Active Directory, acesso remoto e segurana. Com aexperincia simples e familiar do Windows, asorganizaes podem manter suas operaes com mais

facilidade.


26/89

Ambiente Servidor instalado

28

Quando precisamos controlar um novo ambiente, recomendado que

seja feita a instalao de novas aes de controle.No Windows Server 2008, as aes so divididas em duas partes:

REGRAS: As regras (Roles) so as modificaes mais pesadas do servidor, por

causa dela o servidor pode ser muito bem diferenciado dos demais suportandoaplicaes especficas como website, correio, banco de dados ou ERPs.

RECURSOS: Os recursos (Features) so as menores modificaes do ambienteque servem para habilitar ou desabilitar opes especficas das regrasdisponveis.


27/89


28/89

Regras disponveis

30

ADCS Active Directory Certificate Services

Servio de gerncia de certificados de segurana aplicadosinternamente no domnio

ADFS Active Directory Federation Services

Servio de controle de usurios que no precisam ser autenticados narede interna.

DCRO Domain Controller Read OnlyControlador de domnio que no faz a modificao de recursosinternos, responsvel apenas para autenticao dos mesmos.

DNS Domain Name ServicesServio de traduo de nomes de computador em IP e vice-vesa.


29/89

Regras disponveis

31

DHCP Dynamic Hosts Control Protocol

Servio de publicao de IPs disponveis no domnio paraequipamentos

IIS Internet Information Services

Servio de publicao de pginas Web para publicao interna ouexterna

WDS Windows Deployment ServicesServio de publicao de Sistemas operacionais disponibilizadosautomaticamente pelo domnio

DFSR Domain File Services ReplicationServio de controle de servios de servidores de arquivos


30/89

Regras disponveis

32

RDP Remote Desktop Protocol (antigo TSWeb)

Servio de acesso remoto para publicao de desktops

WSUS Windows Server Update ServicesServio de atualizaes de segurana para o domnio


31/89

Ambiente Definio

33

Ambiente: Baseado nos seus conhecimentos a verso selecionada foi o Windows Server

2008 Standard pois recomendado para pequenas e mdias empresas para suportar osprincipais servios de regras disponveis. Ela oferece a estabilidade dos sistemas que vocprecisa mas com limitao de alguns recursos.

Regras: As regras implementadas sero Active Directory para controle dos usurios, DNS

para resolver nomes de mquinas, DHCP para distribuir IPs e File server para gerenciar osrecursos de arquivos.


32/89

Ambiente Prtica 1

Na primeira prtica podemos escolher:

- Instalar um novo servidor (30 Minutos)

- Utilizar um servidor j instalado ( 15 Minuto)

34


33/89

Ambiente Novo servidor

35


34/89

Ambiente Aperfeioamentos

36

possvel liberar o mesmo tamanho da memria de um servidor

Windows Server 2008 com uma simples linha de comando, j queservidores no precisam ter a hibernao ativada (e a mesma ativada por padro) o comando o seguinte:

powercfg -h off

Reinicie o servidor e o espao estar disponvel.


35/89

Ambiente Prtica 2

37

Faremos a instalao da regra de Active Directory e seus recursos,

assim como a promoo do primeiro servidor de domnio, chamadoDomain Controller

Cada servidor deve ser denominado assim:

Nome do servidor: DCBRBH01Nome do domnio: MINHAEMPRESA.corpUsurio: AdministratorSenha: Az12345

Caracteres invlidos:Acentuao: Caracteres: ,: / ? ~ [ { ( = + ! @ # $ % & *Espao:


36/89

Ambiente Soluo

38

O que j foi desenvolvido na soluo dos nossos problemas?

1- Desenhar um novo ambiente2- Instalar um ou dois servidores3- Denominar usurios de acesso para cada um

4- Criar grupos de controle de acesso5- Criar um servidor de arquivos para controle de acesso6- Aplicar regras de controle de acesso7- Bloquear a ao de funcionrios mal intencionados


37/89

Ambiente Prtica 2

39

Faremos a instalao das regras de:

- Active Directory (ADDS, Group Policies)- DNS- DHCP

Com isso poderemos comear a comunicar no novo domnio econtrolar o acesso dos usurios e mquinas.


38/89


39/89

Fundamentos

41

O AD organizado de uma forma hierrquica, com o uso de domnios. Caso uma rede utilize o AD,

poder conter vrios domnios. Um domnio nada mais do que um limite administrativo e de segurana,ou seja, o administrador do domnio possui permisses somente no domnio, e no em outros domnios.As polticas de segurana tambm se aplicam somente ao domnio, e no a outros domnios. Resumindo:diferentes domnios podem ter diferentes administradores e diferentes polticas de segurana.

Ao utilizar os domnios baseados no AD, temos os seguintes recursos:

Logon nico : com esse recurso, o usurio necessita fazer apenas um logon para acessar os recursos emdiversos servidores da rede, inclusive e-mail e banco de dados.

Conta de usurio nica : os usurios possuem apenas um nome de usurio para acessar os recursos darede. As contas de usurios ficam armazenadas no banco de dados do AD.

Gerenciamento centralizado : com os domnios baseados no AD, temos uma administrao centralizada.Todas as informaes sobre contas de usurios, grupos e recursos da rede, podem ser administradas apartir de um nico local no domnio.

Escalonabilidade : os domnios podem crescer a qualquer momento, sem limite de tamanho. A forma deadministrao a mesma para uma rede pequena ou grande.


40/89

Fundamentos

42

Nos domnios baseados no AD, podemos ter dois tipos de servidores:

Controlador de Domnio (DC Domain Controller) : o computador que possui o AD instalado, ou seja, um servidor que possui uma cpia da base de dados do AD. Em um mesmo domnio podemos ter maisde um Controlador de Domnio. As alteraes efetuadas em um DC so replicadas para todos os outrosDCs. So os DCs quem fazem a autenticao dos usurios de um domnio.

Servidor Membro (Member Server) : um servidor que no possui uma cpia do AD, porm tem acesso

aos objetos do AD. No fazem a autenticao dos usurios.Os domnios do Windows 2000 podem estar nos seguintes modos:

Native (Nativo) : utilizado em domnios que possuem somente Controladores de Domnio (DC) Windows2000.

Mixed (Misto) : utilizado em domnios que possuem Controladores de Domnio (DC) Windows 2000 eWindows NT.Para a instalao do AD necessrio que o servio DNS esteja disponvel, ou seja, um pr-requisitopara a instalao do AD. O AD utiliza o DNS para a nomeao de servidores e recursos, e tambm pararesoluo de nomes. Caso o servio DNS no esteja disponvel na rede durante a instalao do AD,poderemos instal-lo durante a instalao do AD.


41/89

Fundamentos

43

Com a utilizao de domnios, podemos fazer com que nossa rede reflita a estrutura de uma empresa.

Quando utilizamos vrios domnios temos o conceito de relao de confiana. A relao de confianapermite que os usurios de ambos os domnios acessem os recursos localizados nesses domnios. NoWindows 2008, as relaes de confianas so bidirecionais e transitivas, ou seja, se o domnio X confia nodomnio Y, e Y confia no domnio W, o domnio X tambm confia no domnio W.

Algumas caractersticas prprias de cada domnio:

Um domnio armazena informaes somente dos objetos do prprio domnio.Um domnio possui suas prprias diretivas de segurana.


42/89

Ambiente Instalar Active Directory

44


43/89

DNS a abreviatura de Domain Name System. O DNS um servio de resoluo de nomes. Toda comunicao entre oscomputadores e demais equipamentos de uma rede baseada no protocolo TCP/IP (e qual rede no baseada no

protocolo TCP/IP?) feita atravs do nmero IP. Nmero IP do computador de origem e nmero IP do computador dedestino. Porm no seria nada produtivo se os usurios tivessem que decorar, ou mais realisticamente, consultar umatabela de nmeros IP toda vez que tivessem que acessar um recurso da rede. Por exemplo, voc digitahttp://www.microsoft.com/brasil, para acessar o site da Microsoft no Brasil, sem ter que se preocupar e nem saber qualo nmero IP do servidor onde est hospedado o site da Microsoft Brasil. Mas algum tem que fazer este servio, poisquando voc digita http://www.microsoft.com/brasil, o protocolo TCP/IP precisa descobrir (o termo tcnico resolver

o nome) qual o nmero IP est associado com o endereo digitado. Se no for possvel descobrir o nmero IP

associado ao nome, no ser possvel acessar o recurso desejado.

O papel do DNS exatamente este, descobrir, ou usando o termo tcnico, resolver um determinado nome, como

por exemplo http://www.microsoft.com Resolver um nome significa, descobrir e retornar o nmero IP associado com onome. Em palavras mais simples, o DNS um servio de resoluo de nomes, ou seja, quando o usurio tenta acessar umdeterminado recurso da rede usando o nome de um determinado servidor, o DNS o responsvel por localizar e retornaro nmero IP associado com o nome utilizado. O DNS , na verdade, um grande banco de dados distribudo em milharesde servidores DNS no mundo inteiro.

O DNS passou a ser o servio de resoluo de nomes padro a partir do Windows 2000 Server. Anteriormente, com o NTServer 4.0 e verses anteriores do Windows, o servio padro para resoluo de nomes era o WINS Windows InternetName Service . Verses mais antigas dos clientes Windows, tais como Windows 95, Windows 98 e Windows Me aindaso dependentes do WINS, para a realizao de determinadas tarefas. O fato de existir dois servios de resoluo denomes, pode deixar o administrador da rede e os usurios confusos.

Fundamentos

45

d


44/89

Ao tentar acessar um determinado recurso, usando o nome de um servidor, como se o programa que voc estutilizando perguntasse ao DNS:

O DNS pesquisa na sua base de dados ou envia a pesquisa para outros servidores DNS (dependendo de como foramfeitas as configuraes do servidor DNS, conforme descreverei mais adiante). Uma vez encontrado o nmero IP, o DNSretorna o nmero IP para o cliente:

Fundamentos

46

Este o nmero IP associado com o

nome tal.

DNS, voc sabe qual o endereo

IP associado com o nome tal?

bi id /


45/89

Ambiente Promover o servidor / DNS

47

F d


46/89

Fundamentos

48

O DHCP composto de diversos elementos. O servidor DHCP e os clientes DHCP. No servidor DHCP so criados escopos edefinidas as configuraes que os clientes DHCP iro receber. A seguir apresento uma srie de termos relacionados ao

DHCP. Estes termos sero explicados em detalhes at o final desta lio.

Servidor DHCP: um servidor com o Windows 2000 Server ou com o Windows Server 2003, onde foi instalado econfigurado o servio DHCP. Aps a instalao de um servidor DHCP ele tem que ser autorizado no Active Directory,antes que ele possa, efetivamente, atender a requisies de clientes. O procedimento de autorizao no ActiveDirectory uma medida de segurana, para evitar que servidores DHCP sejam introduzidos na rede sem oconhecimento do administrador. O servidor DHCP no pode ser instalado em um computador com o Windows 2000

Professional, Windows XP Professional ou Windows Vista.

Cliente DHCP: qualquer dispositivo de rede capaz de obter as configuraes do TCP/IP a partir de um servidor DHCP.Por exemplo, uma estao de trabalho com o Windows 95/98/Me, Windows NT Workstation 4.0, Windows 2000Professional, Windows XP, Windows Vista, uma impressora com placa de rede habilitada ao DHCP e assim por diante.

Escopo: Um escopo o intervalo consecutivo completo des endereos IP possveis para uma rede (por exemplo, a faixade 10.10.10.100 a 10.10.10.150, na rede 10.10.10.0/255.255.255.0). Em geral, os escopos definem uma nica sub-redefsica, na rede na qual sero oferecidos servios DHCP. Os escopos tambm fornecem o mtodo principal para que oservidor gerencie a distribuio e atribuio de endereos IP e outros parmetros de configurao para clientes narede, tais como o Default Gateway, Servidor DNS e assim por diante.

F d


47/89

Fundamentos

49

Intervalo de excluso: Um intervalo de excluso uma sequncia limitada de endereos IP dentro de um escopo,excludo dos endereos que so fornecidos pelo DHCP. Os intervalos de excluso asseguram que quaisquer endereosnesses intervalos no so oferecidos pelo servidor para clientes DHCP na sua rede. Por exemplo, dentro da faixa10.10.10.100 a 10.10.10.150, na rede 10.10.10.0/255.255.255.0 de um determinado escopo, voc pode criar uma faixade excluso de 10.10.10.120 a 10.10.10.130. Os endereos da faixa de excluso no sero utilizados pelo servidorDHCP para configurar os clientes DHCP.

Pool de endereos: Aps definir um escopo DHCP e aplicar intervalos de excluso, os endereos remanescentesformam o pool de endereos disponveis dentro do escopo. Endereos em pool so qualificados para atribuiodinmica pelo servidor para clientes DHCP na sua rede. No nosso exemplo, onde temos o escopo com a faixa10.10.10.100 a 10.10.10.150, com uma faixa de excluso de 10.10.10.120 a 10.10.10.130, o nosso pool de endereos formado pelos endereos de 10.10.10.100 a 10.10.10.119, mais os endereos de 10.10.10.131 a 10.10.10.150.

Superescopo: Um superescopo um agrupamento administrativo de escopos que pode ser usado para oferecersuporte a vrias subredes IP lgicas na mesma subrede fsica. Os superescopos contm somente uma lista de escopos

associados ou escopos filho que podem ser ativados em conjunto. Os superescopos no so usados para configuraroutros detalhes sobre o uso de escopo. Para configurar a maioria das propriedades usadas em um superescopo, vocprecisa configurar propriedades de cada escopo associado, individualmente. Por exemplo, se todos os computadoresdevem receber o mesmo nmero IP de Default Gateway, este nmero tem que ser configurado em cada escopo,individualmente. No tem como fazer esta configurao no Superescopo e todos os escopos (que compem oSuperescopo), herdarem estas configuraes.

F d


48/89

Fundamentos

50

Reserva: Voc usa uma reserva para criar uma concesso de endereo permanente pelo servidor DHCP. As reservasasseguram que um dispositivo de hardware especificado na subrede sempre pode usar o mesmo endereo IP. A

reserva criada associada ao endereo de Hardware da placa de rede, conhecido como MAC Address. No servidorDHCP voc cria uma reserva, associando um endereo IP com um endereo MAC. Quando o computador (com oendereo MAC para o qual existe uma reserva) inicializado, ele entre em contato com o servidor DHCP. O servidorDHCP verifica que existe uma reserva para aquele MAC Address e configura o computador com o endereo IPassociado ao MAC Address. Caso haja algum problema na placa de rede do computador e a placa tenha que sersubstituda, mudar o MAC Address e a reserva anterior ter que ser excluda e uma nova reserva ter que ser criada,utilizando, agora, o novo Mac-Address.

Tipos de opo: Tipos de opo so outros parmetros de configurao do cliente que um servidor DHCP pode atribuiraos clientes. Por exemplo, algumas opes usadas com frequncia incluem endereos IP para gateways padro(roteadores), servidores WINS (Windows Internet Name System) e servidores DNS (Domain Name System).Geralmente, esses tipos de opo so ativados e configurados para cada escopo. O console de Administrao doservio DHCP tambm permite a voc configurar tipos de opo padro que so usados por todos os escoposadicionados e configurados no servidor. A maioria das opo predefinida atravs da RFC 2132, mas voc pode usar oconsole DHCP para definir e adicionar tipos de opo personalizados, se necessrio.

Concesso: Uma concesso um perodo de tempo especificado por um servidor DHCP durante o qual umcomputador cliente pode usar um endereo IP que ele recebeu do servidor DHCP (diz-se atribudo pelo servidorDHCP). Uma concesso est ativa quando ela est sendo utilizada pelo cliente. Geralmente, o cliente precisa renovarsua atribuio de concesso de endereo com o servidor antes que ela expire. Uma concesso torna-se inativa quandoela expira ou excluda no servidor. A durao de uma concesso determina quando ela ir expirar e com quefrequncia o cliente precisa renov-la no servidor.


49/89

A bi t I t l DHCP


50/89

Ambiente Instalar DHCP

52

A bi t S l


51/89

Ambiente Soluo

53




A d


52/89



Agenda

5454


Fundamentos





Entrega do ambiente

30

30

45

90

90

90

90

90

30

A ti Di t S t


53/89

Active Directory - Segmentao

55

Para organizao do ambiente preciso criar novas pastas de gerncia

e aplicao de regras, para isso, as Organizational Units (OU) ouunidades organizacionais so criadas. Para o nosso ambiente faremosa seguinte criao de estrutura organizacional:

Quando iniciarmos a criao de polticas decontrole das mquinas, temos que ter OUs

separadas e organizadas.

Ambiente Criar Or ani ational Units


54/89

Ambiente Criar Organizational Units

56

Ambiente Criao de usurios e grupos


55/89

Ambiente Criao de usurios e grupos

57

Para comear a gerenciar a nossa rede, faremos a criao de usurios

e grupos do nosso domnio, para isso, crie as seguinte entidades:

Nome do usurio Senha

SOCIO1 Nice123

SOCIO2 Nice123

SOCIO3 Nice123

FINAN1 Nice123

FINAN2 Nice123

FINAN3 Nice123

USER1 Nice123USER2 Nice123

USER3 Nice123

Seu nome Nice123

Nome do grupo Membros

S-SOCIOS-RW SOCIO1, SOCIO2

S-SOCIOS-RO SOCIO3

S-FINAN-RW FINAN1, FINAN2

S-FINAN-RO FINAN3

S-USERS-RW USER1, USER2

S-USERS-RO USER3

S-TODOS-RW Seu usurio

Ambiente Criar usurios e grupos


56/89

Ambiente Criar usurios e grupos

58

Ambiente Prtica 3


57/89

Ambiente Prtica 3

59

Inserir computador no domnio:

Para inserir um computador no domnio, faa logon no cliente (XP)com a conta administrativa abaixo e siga as instrues para inseri-lo.

Caracteres invlidos:

Acentuao: Caracteres: ,: / ? ~ [ { ( = + ! @ # $ % & *Espao:

Usurio: administradorSenha: Az12345Nome: PC01Domnio: MINHAEMPRESA.CORP

Ambiente Inserir clientes no domnio


58/89


60



59/89


61



60/89


62

Por padro um domnio Windows 2000/2003/2008 colocam todos os usurios criados e computadoresque se juntam ao domnio nos containers Users e Computers, respectivamente.

Se voc quiser implantar polticas de grupo, isto um problema, j que Conteiners no suportam aaplicao de polticas de grupo. Polticas de grupo s podem ser aplicadas Unidades Organizacionais.Como vimos no artigo sobre polticas de grupo, no saudvel aplicar politicas de grupo para o domniointeiro. Sendo assim, ou voc move, manualmente ou via script, os usurio e computadores para a OU emque a poltica est aplicada ou usa os comandos:

* redircmp para mudar o conteiner padro onde novos computadores so criados.Sintaxe: redircmp ou=nome_da_ou,dc=dominio,dc=meu

* redirusr para mudar o conteirner padro onde novos usurios so criados.Sintaxe: redirusr ou=nome_da_ou,dc=dominio,dc=meu

Observaes:* Este comando s para a partir do Windows Server 2003.* O Active Directory deve estar com o Domain Functional Level como Windows Server 2003



61/89


63


62/89

Agenda


63/89



Agenda

6565


Fundamentos





Entrega do ambiente

30

30

45

90

90

90

90

90

30

Prtica 4 Instalao File Server


64/89

Prtica 4 Instalao File Server

66

Agenda


65/89



Agenda

6767


Fundamentos





Entrega do ambiente

30

30

45

90

90

90

90

90

30

File Services


66/89

File Services

68

Os servidores de arquivos baseiam-se em duas gerncias:

Gerncia de compartilhamentoQuando compartilhamos uma pasta, estamos permitindo que o seu contedo seja acessadoatravs da rede. Quando uma pasta compartilhada, os usurios podem acess-la atravs darede, bem como o todo o contedo da pasta que foi compartilhada. Por exemplo, poderamos

criar uma pasta compartilhada onde seriam colocados documentos, orientaes e manuais,de tal forma que estes possam ser acessados por qualquer estao conectada a rede.

Gerncia de seguranaUma das principais vantagens de se utilizar segurana que ele permite que sejam definidaspermisses de acesso para arquivos e pastas, isto , posse ter arquivos em uma mesma pasta,com permisses diferentes para usurios diferentes. Alm disso, as permisses NTFS tmefeito localmente, isto , mesmo que o usurio faa o logon no computador onde umdeterminado arquivo existe, se o usurio no tiver as permisses NTFS necessrias, ele nopoder acessar o arquivo. Isso confere um alto grau de segurana, desde que as permissesNTFS sejam configuradas corretamente.

File Services Compartilhamento


67/89


69

Acima est uma pasta compartilhada atravs da figura de uma "mozinha" , segurando a pasta.

Importante: Permisses de compartilhamento, no impedem o acesso ao contedo da pasta localmente, isto , se umusurio fizer o logon no computador onde est a pasta compartilhada, este usurio ter acesso a todo o contedo dapasta, a menos que as "Permisses NTFS" estejam configurados de acordo. Permisses NTFS assunto para daqui apouco. Vamos falar de um jeito diferente: Permisses de compartilhamento somente tem efeito quando o usurio estacessando a pasta atravs da rede, para acesso local, no prprio computador onde est a pasta, as permisses decompartilhamento no tem nenhum efeito, como se no existissem.

Ao criarmos um compartilhamento em uma pasta, por padro o Windows 2008 Server atribui a permisso "Controletotal" para o grupo "Todos", que conforme o nome sugere, significa qualquer usurio com acesso ao computador, sejalocalmente, seja pela rede. Por isso ao criar um compartilhamento, j devemos configurar as permisses necessrias, amenos que estejamos compartilhando uma pasta de domnio pblico, onde todos os usurios possam ter Controle totalsobre os arquivos e subpastas da pasta compartilhada.

Grupo: PermissoSocios: Acesso totalFinanceiro: Somente Leitura

IMPORTANTE: As permisses definem o que

o usurio pode fazer com o contedo deuma pasta compartilhada, desde somente

leitura, at um controle total sobre ocontedo da pasta compartilhada.



68/89

Existem trs nveis de permisses de compartilhamento, conforme descrito a seguir:


70

Leitura: Permite ao usurio exibir a listagem de pastas e arquivos, ler o contedo de arquivos e executar programas. Ousurio tambm pode verificar os atributos dos arquivos e navegar atravs das pastas e subpastas. O usurio no podealterar nem eliminar arquivos ou pastas. Tambm no permitido criar novos arquivos ou pastas.

OBS.: Pastas e arquivos possuem atributos, que o Windows 2008 Server utiliza para gerenciamento. Por exemplo,existe um atributo "Leitura", que uma vez marcado torna o arquivo somente leitura, isto , no podem ser feitasalteraes no arquivo. Para ver os atributos de um arquivo ou pasta, basta dar um clique com o boto direito do mousesobre o arquivo ou pasta, e no menu que surge d um clique na opo "Propriedades", e o Windows 2000 Server exibeuma janela onde possvel verificar e modificar os atributos do arquivo ou pasta, desde que o usurio tenha asdevidas permisses.

Alterao: Permite ao usurio criar pastas, criar novos arquivos, alterar arquivos, alterar os atributos dos arquivos,eliminar arquivos e pastas, mais todas as aes para a permisso de Leitura. No permite que sejam alteradaspermisses dos arquivos nem alteraes no usurio "dono" dos arquivos e pastas.

OBS.: No Windows 2000 Server, objetos como pastas e arquivos possuem um "dono", o qual normalmente o usurioque cria a pasta ou arquivo. Falaremos mais sobre o dono do arquivo mais adiante.

Controle total: Permite ao usurio alterar as permisses dos arquivos e tornar-se dono de pastas e arquivos criados poroutros usurios, alm de todas as aes para a permisso Alterao.



69/89

Qual o direito do usurio Socio1?

O que acontece quando um usurio pertence a mais de um grupo??

Quando um usurio pertence, por exemplo, a dois grupos e os dois grupos recebem permisso para acessar umcompartilhamento, sendo que os dois grupos possuem permisses diferentes, por exemplo, um tem permisso deLeitura e o outro de Alterao, como que ficam as permisses do usurio que pertence aos dois grupos?

Para responder a esta questo, considere o seguinte: "Quando um usurio pertence a mais de um grupo, cada qual comdiferentes nveis de permisses para uma pasta compartilhada, o nvel de permisso para o usurio que pertence a maisde um grupo, a combinao das permisses atribudas aos diferentes grupos".

No nosso exemplo, o usurio pertence a dois grupos, um com permisso de somente leitura e outro com permisso dealteraes. A nvel de permisso do usurio de alteraes, pois a soma das permisses dos dois grupos


71

Grupo: PermissoSocios: Alterao

Financeiro: Somente Leitura

usurio: Socio1Grupo: S-Socios-RWGrupo: S-Socios-RO

Alterao



70/89

Qual o direito do usurio Socio1?

Negar tm precedncia sobre quaisquer outras permisses: Vamos considerar oexemplo do usurio que pertence a trs grupos. Se em um dos grupos ele tiverpermisso de leitura e em outro grupo permisso de alterao. Mas se para oterceiro grupo, for "negado" o acesso pasta compartilhada, o usurio ter o acesso

negado, uma vez que "Negar" tem precedncia sobre quaisquer outras permisses,conforme indicado


72

Grupo: PermissoSocios: Alterao

Financeiro: Somente LeituraEspecial: Negar leitura

usurio: Socio1Grupo: S-Socios-RWGrupo: S-Socios-RO

Bloqueio a leitura

File Services Segurana


71/89


73

Um sistema de arquivos determina a maneira como o Windows 2008 Server organiza e recupera asinformaes no Disco rgido ou em outros tipos de mdia. O Windows 2008 Server reconhece os seguintes

sistemas de arquivos: FAT / FAT32 / NTFS / NTFS 5

O sistema FAT vem desde a poca do bom e velho MS-DOS e tem sido mantido por questes decompatibilidade. Alm disso se voc tiver instalado mais de um Sistema Operacional no seu computador,alguns sistemas mais antigos (DOS, Windows 3.x e as primeiras verses do Windows 95) somentereconhecem o sistema FAT. Com o sistema de arquivos FAT, a nica maneira de restringir o acesso aocontedo de uma pasta compartilhada, atravs das permisses de compartilhamento, as quais,conforme descrito anteriormente, no tero nenhum efeito se o usurio estiver logado localmente, namquina onde a pasta foi criada. Com a utilizao do sistema FAT, alguns recursos avanados, tais comocompresso, criptografia, auditoria e definio de cotas no estaro disponveis.

O sistema FAT32 apresenta algumas melhorias em relao ao sistema FAT. Existe um melhoraproveitamento do espao no disco, com consequentemente menor desperdcio. Um grande

inconveniente do sistema FAT32 que ele no reconhecido pelo Windows NT 4.0 Server ouWorkstation. Com o sistema de arquivos FAT32, a nica maneira de restringir o acesso ao contedo deuma pasta compartilhada, atravs das permisses de compartilhamento, as quais, conforme descritoanteriormente, no tero nenhum efeito se o usurio estiver logado localmente, na mquina onde a pastafoi criada. Com a utilizao do sistema FAT32, alguns recursos avanados, tais como compresso,criptografia, auditoria e definio de cotas no estaro disponveis.



72/89


74

O sistema de arquivos NTFS foi utilizado no Windows NT Server 4.0 e foi mantido no Windows 2000Server por questes de compatibilidade. Desde ento os as verses 2003 e 2008 mantm ac

compatibilidade e aumentam o controle. um sistema bem mais eficiente do que FAT e FAT32, alm depermitir uma srie de recursos avanados, tais como:

Permisses de acesso para arquivos e pastas

Compresso

Auditoria de acesso

Parties bem maiores do que as permitidas com FAT e FAT32

Desempenho bem superior do que com FAT e FAT32

Uma das principais vantagens do NTFS que ele permite que sejam definidas permisses de acesso paraarquivos e pastas, isto , posse ter arquivos em uma mesma pasta, com permisses diferentes parausurios diferentes. Alm disso, as permisses NTFS tm efeito localmente, isto , mesmo que o usuriofaa o logon no computador onde um determinado arquivo existe, se o usurio no tiver as permissesNTFS necessrias, ele no poder acessar o arquivo. Isso confere um alto grau de segurana, desde queas permisses NTFS sejam configuradas corretamente.



73/89


75

Permisso Nvel de Acesso

LeituraPermite ao usurio listar as pastas e arquivos dentro da pasta, permite quesejam exibidas as permisses, donos e atributos.

GravarPermite ao usurio criar novos arquivos e subpastas dentro da pasta, alteraros atributos da pasta e visualizar o dono e as permisses da pasta.

Listar Contedo de pastas Permite ao usurio ver o nome dos arquivos e subpastas

Ler e executar

Permite ao usurio navegar atravs das subpastas para chegar a outras pastase arquivos, mesmo que o usurio no tenha permisso de acesso s pastaspelas quais est navegando, alm disso possui os mesmos direitos que aspermisses Leitura e Listar Contedo de pastas.

Modificar

Permite ao usurio eliminar a pasta, mais todas as aes permitidas pela

permisso Gravar e pela permisso Ler e executar.

Controle totalPermite que sejam alteradas as permisses, permite ao usurio tornar-sedono da pasta, eliminar subpastas e arquivos, mais todas as aes permitidaspor todas as outras permisses NTFS.



74/89


76

Permisso Nvel de Acesso

LeituraPermite ao usurio ler o arquivo, permite que sejam exibidas as permisses,dono e atributos.

GravarPermite ao usurio gravar um arquivo com o mesmo nome sobre o arquivo,alterar os atributos da pasta e visualizar o dono e as permisses da pasta.

Ler e executar

Permite ao usurio executar aplicativos (normalmente programas .exe, .bat ou

.com), mais todas os direitos da permisso Leitura.

ModificarPermite ao usurio modificar e eliminar o arquivo, mais todas as aespermitidas pela permisso Gravar e pela permisso Ler e executar.

Controle totalPermite que sejam alteradas as permisses, permite ao usurio tornar-sedono do arquivo, mais todas as aes permitidas por todas as outraspermisses NTFS.



75/89


77

Todo arquivo ou pasta em uma unidade formatada com NTFS, possui uma "Lista de controle de acesso(Access control list) ACL. Nessa ACL ficam uma lista de todas as contas de usurios e grupos para os

quais foi garantido acesso para pasta/arquivo, bem como o nvel de acesso de cada um deles.

Existem alguns detalhes que devemos observar sobre permisses NTFS: Permisses NTFS socumulativas, isto , se um usurio pertence a mais de um grupo, o qual tem diferentes nveis depermisso para um recurso, a permisso efetiva do usurio a soma das permisses.

Permisses NTFS para um arquivo tm prioridade sobre permisses NTFS para pastas: Por exemplo se um

usurio tm permisso NTFS de escrita em uma pasta, mas somente permisso NTFS de leitura para umarquivo dentro desta pasta, a sua permisso efetiva ser somente a de leitura, pois a permisso para oarquivo tem prioridade sobre a permisso para a pasta.

Negar uma permisso NTFS tem prioridade sobre permitir: Por exemplo, se um usurio pertence a doisgrupos diferentes. Para um dos grupos foi dado permisso de leitura para um arquivo e para o outro

grupo foi Negada a permisso de leitura, o usurio no ter o direito de leitura, pois Negar temprioridade sobre Permitir. Agora que j vimos a teoria necessria, vamos praticar um pouco. Nosprximos tpicos iremos aprender a compartilhar pastas, atribuir permisses de compartilhamento.Iremos aprender a acessar pastas compartilhadas atravs da rede. Depois vamos trabalhar um poucocom as permisses NTFS.

Prtica 5 Compartilhar pastas


76/89

Prtica 5 Compartilhar pastas

78

Agenda


77/89



Agenda

7979


Fundamentos





Entrega do ambiente

30

30

45

90

90

90

90

90

30


78/89

Prtica Aplicao de Quotas


79/89

Prtica Aplicao de Quotas

81


80/89

Fundamentos


81/89

83

Temos um componente muito importante no Windows 2008 quando falamos em segurana.So as diretivas de segurana, as quais utilizamos para proteger a rede em um ambiente

corporativo. Com as diretivas de segurana podemos definir o que um usurio poder fazerem seu computador e na rede.

As diretivas de segurana de domnio so aplicadas a usurios, computadores, MemberServers (Servidores Membros) e Domain Controller (Controladores de Domnio). Um detalheimportante que a GPO s pode ser aplicada em computadores que utilizam o Windows2000, Windows XP, Windows 2003, Vista, Windows 2008 ou 7 (Seven). As verses mais antigasdo Windows (95, 98, ME e NT) no podem utilizar este recurso.

No Windows NT foi introduzido o recurso Police Editor, com o qual era possvel definir vriasconfiguraes das estaes de trabalho centralizadamente. Porm esse recurso era bem

limitado. Com a chegada das GPOs no Windows 2000, a administrao do domnio se tornoubem mais fcil.Observe que em um domnio no qual os clientes so Windows 9x eWindows 2000, deveremos utilizar ambos os recursos: Police Editor

para configurar os clientes anteriores ao Windows 2000 e a GPOpara configurarmos os clientes Windows 2000.

Fundamentos


82/89

84

As GPOs possuem configuraes que podem ser aplicadas tanto em

nvel de usurio como em nvel de computador:

Usurio: as GPOs aplicadas aos usurios sero carregadas em todos oscomputadores em que o usurio efetuar logon. Essas polticas soaplicadas no momento em que o usurio efetuar logon.

Computador: as GPOs aplicadas aos computadores sero aplicadas nocomputador, independente do usurio que efetuar logon. Essaspolticas so aplicadas no momento em que o computador for

inicializado.

Group Policies


83/89

p

85

Cada uma das polticas subdividida na inicializao da seguinte

forma:

Diretivas de computadores: reconhecida durante a inicializao do computador,

aplicada antes do logon do usurio ou aps o log off do mesmo.

Diretiva de usurios: reconhecida durante o processo de log on do usurio, aps o

logon a mquina comunica com o servidor requisitando as alteraes necessrias.

Prtica 5 Aplicao de GPO


84/89

p

86

Ambiente Entrega


85/89

g

87




Agenda


86/89



g

8888


Fundamentos





Entrega do ambiente

30

30

45

90

90

90

90

90

30

Ambiente Entrega


87/89

g

89




Ambiente - Entrega


88/89

g

90

Agora devemos publicar as novidades para a empresa a fim de mostraras qualidades de projetos desenvolvidos com competncia, qualidade,escalabilidade e controle.

Obrigado!


89/89

Guilherme LimaMCITP Enterprise Administrator / MCITP Server Administrator

5x MCTS / MCSA / MCDST / MCP / TCF / Auditor ISO 20000

www.solucoesms.comwww.twitter.com/guilhermelima
http://www.solucoesms.com/http://www.twitter.com/guilhermelimahttp://www.twitter.com/guilhermelimahttp://www.solucoesms.com/

Documents

Instalação e administração do windows server 2008