Upload
fernando-cruz
View
140
Download
3
Embed Size (px)
Citation preview
Rumo a CertificaçãoRumo a Certificação
Treinamento I-290Treinamento I-290Treinamento I-290Treinamento I-290
Gerenciando o acesso a objetos nas Gerenciando o acesso a objetos nas unidades organizacionaisunidades organizacionais Gerenciando o acesso a objetos nas Gerenciando o acesso a objetos nas unidades organizacionaisunidades organizacionais
O que são permissões de objeto do Active O que são permissões de objeto do Active Directory?Directory?
Permissão Permite ao usuário:
Controle Total Alterar permissões, assumir a propriedade e executar as tarefas permitidas por todas as outras permissões padrão
Gravação Alterar os atributos do objeto
Leitura Exibir objetos, atributos do objeto e propriedade do objeto, e permissões do Active Directory
Criar todos os objetos filho
Adicionar qualquer tipo de objeto a uma unidade organizacional
Excluir todos os objetos filho
Remover qualquer tipo de objeto filho de uma unidade organizacional
Características das permissões de objeto do Características das permissões de objeto do Active DirectoryActive Directory
As permissões de objeto do Active Directory podem ser:
Permitidas ou negadas
Negadas implícita ou explicitamente
Definidas como permissões padrão ou especiais
As permissões padrão são atribuídas com maior freqüência
As permissões especiais proporcionam um grau mais apurado de controle para atribuição de acesso aos objetos
Definidas como de nível de objeto ou herdadas de seu objeto pai
Herança de permissões de objetos do Active Herança de permissões de objetos do Active DirectoryDirectory
Recipientes filho e seus objetos herdam permissões definidas em um recipiente pai Permissões herdáveis se propagam de um objeto pai para um objeto filho quando:
Um objeto filho é criado As permissões do objeto pai são modificadas
Recipiente pai
Acesso Acesso
Usuário 1 Usuário 1 Leitura Leitura
Grupo 1 Grupo 1 Controle Total Controle Total
Usuário 1 Usuário 1 Leitura Leitura
Grupo 1 Grupo 1 Controle Total Controle Total
Recipientefilho
Permissão de acesso atribuídas por usuários ao recipiente pai
Permissões herdadas por recipientes filho
Permissões
Permissões
Efeitos da modificação de objetos em herança Efeitos da modificação de objetos em herança de permissõesde permissões
As permissões que forem definidas explicitamente continuarão as mesmas
Objetos movidos herdam permissões da nova unidade organizacional pai
Objetos movidos já não herdam permissões da unidade organizacional do pai anterior
Impedindo a herança de permissões
Como modificar permissões em objetos do Como modificar permissões em objetos do Active DirectoryActive Directory
O instrutor vai demonstrar como: O instrutor vai demonstrar como:
Adicionar permissões
Modificar permissões
Exibir permissões especiais
Modificar herança de permissões
Adicionar permissões
Modificar permissões
Exibir permissões especiais
Modificar herança de permissões
O que são permissões efetivas de objetos do O que são permissões efetivas de objetos do Active Directory?Active Directory?
Permissões são cumulativas
As permissões de negação substituem todas as permissões
Proprietários de objetos podem sempre alterar permissões
Recuperando permissões efetivas
O que é a delegação de controle de uma O que é a delegação de controle de uma unidade organizacional?unidade organizacional?
Administração delegada: Facilita a carga administrativa em
geral de uma rede distribuindo tarefas administrativas de rotina
Fornece a usuários e grupos na organização mais controle sobre os recursos de rede local
Ajuda a eliminar a necessidade de várias contas administrativas com ampla autoridade,
como a de todo um domínio
Atribuindo a responsabilidade do gerenciamento de uma unidade organizacional a outro usuário ou grupo
Domínio
UO1
UO2
Admin2Admin2
Admin1 Admin1
Admin3 Admin3
UO3
O Assistente para Delegação de ControleO Assistente para Delegação de Controle
Use o Assistente para Delegação de Controle para especificar:
O usuário ou grupo a quem você deseja delegar controle
As unidades organizacionais e objetos aos quais você deseja conceder a permissão de controle
Tarefas que você deseja que o usuário ou grupo possa executar
O Assistente para Delegação de Controle automaticamente atribui aos usuários as permissões adequadas para acessar e modificar objetos específicos
Como delegar o controle de uma unidade Como delegar o controle de uma unidade organizacionalorganizacional
O instrutor vai demonstrar como delegar o controle de uma unidade organizacional O instrutor vai demonstrar como delegar o controle de uma unidade organizacional
Delegando o controle de uma unidade Delegando o controle de uma unidade organizacionalorganizacional
Nesta prática, você vai:
Delegar o controle da unidade organizacional Computers
Testar as permissões delegadas à unidade organizacional Computers
Delegar o controle da unidade organizacional Users
Testar as permissões delegadas à unidade organizacional Users
Implementando a diretiva de grupoImplementando a diretiva de grupoImplementando a diretiva de grupoImplementando a diretiva de grupo
Introdução à diretiva de grupoIntrodução à diretiva de grupo
Domínio
UO
Site
GPO GPO
O que é a diretiva de grupo?O que é a diretiva de grupo?
Você pode usar a Diretiva de Grupo para gerenciar os recursos incluídos na família de produtos Microsoft® Windows Server 2003, como Instalação de Software da Diretiva de Grupo, Modelos Administrativos, Redirecionamento de Pastas, Serviços de Instalação Remota, Configurações de Segurança, Scripts (Inicializar/Desligar e fazer Logon/Logoff) e Manutenção do Internet Explorer
O que é a diretiva de grupo?O que é a diretiva de grupo? O que é a diretiva de grupo?O que é a diretiva de grupo?
Por que usar a diretiva de grupo?Por que usar a diretiva de grupo?
Use a diretiva de grupo para: Use a diretiva de grupo para:
Gerenciar usuários e computadores
Implantar software
Aplicar configurações de segurança
Aplicar um ambiente de área de trabalho consistente
Gerenciar usuários e computadores
Implantar software
Aplicar configurações de segurança
Aplicar um ambiente de área de trabalho consistente
Configurações de diretiva de grupo para usuários:
Configurações da área de trabalho
Configurações de software
Configurações do Windows
Configurações de segurança
Configurações de diretiva de grupo para computadores:
Comportamento da área de trabalho
Configurações de software
Configurações do Windows
Configurações de segurança
O que são configurações de usuário e de O que são configurações de usuário e de computador?computador?
O que é uma diretiva de segurança?O que é uma diretiva de segurança?
O que são modelos de segurança?O que são modelos de segurança?
Modelo Descrição
Segurança padrão (Setup security.inf)
Especifica as configurações de segurança padrão
Segurança padrão do controlador de domínio (DC security.inf)
Especifica as configurações de segurança padrão atualizadas para um controlador de domínio a partir de Setup security.inf
Compatível (Compatws.inf) Modifica permissões e configurações do Registro para o grupo Usuários, permitindo a compatibilidade máxima do aplicativo
Seguro (Securedc.inf e Securews.inf)
Aperfeiçoa as configurações de segurança com menor possibilidade de afetar a compatibilidade do aplicativo
Altamente seguro (Hisecdc.inf e Hisecws.inf)
Aumenta as restrições das configurações de segurança
Segurança da raiz do sistema (Rootsec.inf)
Especifica as permissões para a raiz da unidade do sistema
O que são configurações do modelo O que são configurações do modelo de segurança?de segurança?
Modelo de segurança:
Segurança Setup
Modelo de segurança:
Segurança Setup
Modelo de configurações
Modelo de configurações
Definindo configurações de diretiva do Definindo configurações de diretiva do computador localcomputador local
O que são configurações de diretiva de grupo O que são configurações de diretiva de grupo desativadas e ativadas?desativadas e ativadas?
Ativada / Desativada Ativada / Desativada Configurações de valores múltiplos Configurações de valores múltiplos
O que é a ferramenta Configuração e Análise O que é a ferramenta Configuração e Análise de Segurança?de Segurança?
Configuração do modelo
Configuração do modelo
Configuração real
Configuração real
Configuração que não corresponde ao modelo
Configuração que não corresponde ao modelo
O que são direitos de usuário?O que são direitos de usuário?
Exemplos de direitos de usuário Exemplos de direitos de usuário
Direitos versus permissões de usuárioDireitos versus permissões de usuário
Direitos de usuário: Ações no sistema
Direitos de usuário: Ações no sistema
Permissões: Ações no objeto
Permissões: Ações no objeto
Direitos de usuário atribuídos a grupos Direitos de usuário atribuídos a grupos internosinternos
Grupos locais: Grupos locais:
Administradores
Operadores de Cópia
Usuários Avançados
Usuários da área de trabalho remota
Usuários
Administradores
Operadores de Cópia
Usuários Avançados
Usuários da área de trabalho remota
Usuários
Grupos no recipiente Builtin: Grupos no recipiente Builtin:
Opers. de Contas
Administradores
Operadores de Cópia
Acesso compatível com versões anteriores ao Windows 2000
Opers. de Impressão
Opers. de Servidores
Opers. de Contas
Administradores
Operadores de Cópia
Acesso compatível com versões anteriores ao Windows 2000
Opers. de Impressão
Opers. de Servidores
Grupos no recipiente Users: Grupos no recipiente Users:
Admins. do Domínio Administração de Empresa Admins. do Domínio Administração de Empresa
O que é Redirecionamento de Pastas?O que é Redirecionamento de Pastas?
Redirecionamento de Pastas permite aos usuários e administradores redirecionar pastas para um novo local
O novo local pode ser uma pasta no computador local
ou uma pasta compartilhada na rede
Usuários podem trabalhar com documentos em um servidor como se eles estivessem localizados na unidade local
Pastas que podem ser redirecionadasPastas que podem ser redirecionadas
Meus Documentos
Dados de Aplicativos
Área de Trabalho
Menu Iniciar
Configurações necessárias para o Configurações necessárias para o Redirecionamento de PastasRedirecionamento de Pastas
Use o Redirecionamento de Pastas básico para:
Usuários que usam uma área comum
-ou-
Usuários que usam dados particulares
Com o Redirecionamento de Pastas avançado, o servidor que hospeda o local da pasta é baseado na participação em grupo
Contabilidade Usuários
Contas N-Z
Contas A-M
Contabilidade Gerentes
AnnePa
MistyS Particulares
Particulares
Considerações de segurança para a Considerações de segurança para a configuração do Redirecionamento de Pastasconfiguração do Redirecionamento de Pastas
Permissões NTFS necessárias para a pasta raiz
Permissões de pasta compartilhada necessárias para a pasta raiz
Permissões NTFS necessárias para a pasta redirecionada de cada usuário
Como definir configurações de diretivaComo definir configurações de diretivado computador localdo computador local
O instrutor vai demonstrar como definir uma configuração de diretiva do computador local O instrutor vai demonstrar como definir uma configuração de diretiva do computador local
Ferramentas usadas para criar GPOsFerramentas usadas para criar GPOs
Ferramentas da diretiva de grupo padrão
Usuários e Computadores do Active Directory
GPOs da unidade organizacional e do domínio
Serviços e Sites do Active Directory
GPOs de site
Diretiva de segurança local
Configurações de segurança do computador local
Ferramentas suplementares
Group Policy Management
Domínio, unidade organizacional e GPOs de sites
O que é gerenciamento de GPO em um O que é gerenciamento de GPO em um domínio?domínio?
Como criar um GPOComo criar um GPO
O instrutor vai demonstrar como criar um GPO O instrutor vai demonstrar como criar um GPO
O que é um vínculo de GPO?O que é um vínculo de GPO?
GPO da unidade organizacional
GPO da unidade organizacional
GPO da unidade organizacional
GPO da unidade organizacional
GPO de Site GPO de Site
GPO de domínio GPO de domínio Site
Domínio
UO UO
UO
Como criar um vínculo de GPOComo criar um vínculo de GPO
O instrutor vai demonstrar como criar um vínculo
de GPO
O instrutor vai demonstrar como criar um vínculo
de GPO
Ordem de aplicação de DiretivasOrdem de aplicação de Diretivas
Diretiva OU Filha
Diretiva da OU Pai
Diretiva da Domínio
Diretiva da Site
Diretiva de SegurançaLocal
1
2
3
4
5
Ordem de precedência do processamento
Da diretiva de grupo
Herança de diretiva de grupo no Active Herança de diretiva de grupo no Active DirectoryDirectory
UO GPO 1 UO GPO 1 A ordem em que o Windows Server 2003 aplica as GPOs depende do recipiente do Active Directory ao qual as GPOs estão vinculados. As GPOs são aplicados primeiro ao site, depois aos domínios e, em seguida, às unidades organizacionais nos domínios
Fluxo de Herança Um recipiente filho herda GPOs do recipiente pai. Portanto, um recipiente filho pode ter muitas configurações de diretiva de grupo aplicadas a seus usuários e computadores sem ter uma GPO vinculado a ele. No entanto, não há hierarquia de domínios.
As GPOs são cumulativas, o que significa que são herdadas. A herança da diretiva de grupo é a ordem em que o Windows Server 2003 aplica as GPOs.
Se houver várias GPOs definidas com o mesmo valor, por padrão o GPO aplicada por último é a que prevalece.
Como uma permissão de diretiva de grupo é Como uma permissão de diretiva de grupo é herdada no Active Directoryherdada no Active Directory
Domínio Domínio
UO UO UO UO
UO UO
UO UO
UO UO Contas de usuário e de computador
UO GPO 1 UO GPO 1
UO GPO 3 UO GPO 3
UO GPO 2 UO GPO 2
O que ocorre quando há conflitos entre GPOsO que ocorre quando há conflitos entre GPOs
Como os conflitos são resolvidos
Quando há conflito entre as configurações da diretiva de grupo no Active Directory, as configurações do GPO do recipiente filho são aplicadas
Opções para modificar a herança
No Override No Override (Não Substituir)
Block Policy Inheritance Block Policy Inheritance (Bloquear Herança de Diretiva)
Bloqueando a implantação de um GPOBloqueando a implantação de um GPO
Vendas
Produção
Domínio
GPOs GPOs
Nenhuma configuraçãode GPO se aplica Nenhuma configuraçãode GPO se aplica
Como bloquear a implantação de um GPOComo bloquear a implantação de um GPO
O instrutor vai demonstrar como bloquear a implantação de um GPO O instrutor vai demonstrar como bloquear a implantação de um GPO
Atributos de um vínculo de GPOAtributos de um vínculo de GPO
Aplicado Aplicado Vínculos conflitantes Vínculos conflitantes
Como configurar a aplicação da Como configurar a aplicação da diretiva de grupodiretiva de grupo
Filtrando a implantação de um GPOFiltrando a implantação de um GPO
É possível filtrar a implantação de um GPO configurando permissões no vínculo de GPO para determinar o acesso da permissão de leitura ou negação no GPO.
Para que as configurações de diretiva de grupo sejam aplicadas a uma conta de usuário ou computador, a conta deve ter pelo menos permissão de leitura para um GPO.
As permissões padrão para um novo GPO têm as seguintes entradas de controle de acesso (ACEs, access control entries):
• Usuários Autenticados - permitir leitura e permitir aplicação da diretivade grupo
• permitir Admins. do Domínio, Administração de Empresa e SYSTEM leitura, permitir gravação, permitir criação de todos os objetos filho,permitir exclusão de todos os objetos filho
Filtrando a implantação de um GPOFiltrando a implantação de um GPO
Vendas
Produção
Domínio
Mengph
Kimyo
Grupo Aplicação de diretiva de grupo Aplicação de diretiva de grupo Negar
diretiva de grupo Leitura e Aplicar diretiva de grupo Leitura e Aplicar Permitir
GPO GPO
Filtrando a implantação de um GPOFiltrando a implantação de um GPO
Você pode usar os seguintes métodos de filtragem:
• Explicitly Deny (Negar Explicitamente)
• Remove Authenticated Users (Remover Usuários Autenticados)
• WMI Filtering (Filtragem de WMI, Windows Management Instrumentation).
Como configurar a filtragem da diretiva de Como configurar a filtragem da diretiva de grupogrupo
O instrutor vai demonstrar como configurar a filtragem da diretiva de grupo O instrutor vai demonstrar como configurar a filtragem da diretiva de grupo
Determinando os GPOs aplicadosDeterminando os GPOs aplicados
O que é o gpupdate?
O que é o gpresult?
O que são Relatórios de diretiva de grupo?
O que é Modelagem de diretiva de grupo?
O que são os Resultados de diretiva de grupo?
O que é o gpupdate?O que é o gpupdate?
Sintaxe de gpupdate
gpupdate [/Target:{Computer | User}] [/Force] [/Wait:Value] [/Logoff] [/Boot] [/Sync] gpupdate [/Target:{Computer | User}] [/Force] [/Wait:Value] [/Logoff] [/Boot] [/Sync]
O que é o gpresult?O que é o gpresult?
Sintaxe de gpresult
gpresult [/s Computer [/u Domain\User /p Password]] [/user TargetUserName] [/scope {user|computer}] [/v] [/z]
gpresult [/s Computer [/u Domain\User /p Password]] [/user TargetUserName] [/scope {user|computer}] [/v] [/z]
O que são Relatórios de diretiva de grupo?O que são Relatórios de diretiva de grupo?
O que é Modelagem de diretiva de grupo?O que é Modelagem de diretiva de grupo?
O que são os Resultados de diretiva de O que são os Resultados de diretiva de grupo?grupo?
Discussão em classe: Modificando a herança Discussão em classe: Modificando a herança da diretiva de grupoda diretiva de grupo
Como você configura seus GPOs? Como você configura seus GPOs?
Payroll
Vendas
Contoso.msft
Treinamento
Requisitos Requisitos
Um aplicativo antivírus deve ser instalado em todos os computadores no domínio O Microsoft Office deve ser instalado em todos os computadores do domínio, exceto nos do departamento Payroll Um aplicativo de contabilidade deve ser instalado em todos os computadores cliente no departamento Payroll, exceto naqueles usados pelos administradores da unidade organizacional Payroll
Um aplicativo antivírus deve ser instalado em todos os computadores no domínio O Microsoft Office deve ser instalado em todos os computadores do domínio, exceto nos do departamento Payroll Um aplicativo de contabilidade deve ser instalado em todos os computadores cliente no departamento Payroll, exceto naqueles usados pelos administradores da unidade organizacional Payroll
Prática: Gerenciando a implantação da Prática: Gerenciando a implantação da diretiva de grupodiretiva de grupo
NomeDaCidadeÁrea de Trabalho Padrão
NomeDaCidadeÁrea de Trabalho Padrão
NomeDaCidade Apl. de Contabilidade
NomeDaCidade Apl. de Contabilidade
NomeDaCidade Apl. de Marketing
NomeDaCidade Apl. de Marketing
NomeDaCidade
IT Teste
Domínio
Contabilidade
Funcionários
Marketing
Funcionários
Funcionários Temp
Funcionários Temp
Implementando a diretiva de grupoImplementando a diretiva de grupo
Criar uma GPOVincular um GPO a uma unidade organizacional Identificar os efeitos da herança quando vários GPOs são atribuídos Bloquear a herança da diretiva de grupo Forçar um GPO a ser aplicado a unidades organizacionais filho Filtrar um GPO para que ele seja aplicado a usuários e grupos selecionados em uma unidade organizacional
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
Letra A
SimuladoSimulado
SimuladoSimulado
Letra A
SimuladoSimulado
SimuladoSimulado
Letra D
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado
SimuladoSimulado