Com muito orgulho inicio aqui nossa série de artigos sobre Windows Server 2003. Nosso primeiro artigo introduzirá à família Windows Server 2003.

As Edições do Windows Server 2003 são 4.

•   Windows Server2003, Web Edition•   Windows Server2003, Stantard Edition•   Windows Server2003, Enterprise Edition•   Windows Server2003, DataCenter

A Edição Web é uma edição reduzida que a Microsoft lançou no mercado para competir com outros OS que tem a simples função de servidor Web. Rodando o IIS (servidor de internet e FTP da Microsoft, vem junto do Windows  nas famílias Windows XP, Server 2003, Vista, NT e virá na ainda não inaugurada versão 2008). Suporta 2 GB de RAM e Multiprocessador simétrico de duas vias. Fornece conexões anônimas ilimitadas e 10 com o protocolo SMB. Não é para serviços de DHCP, TS, roteador de internet, servidor de fax.

A Edição Standard é um servidor muito mais consistente e atende a várias finalidades como serviços de TS, servidor de arquivos, diretórios, impressão, aplicativos, multimídia e web. Indicado inicialmente para até médias empresas, possui também capacidade de ser usado como um pequeno servidor de POP3  e possui capacidade de balanceamento de carga de rede (NBL).  O Windows Server 2003 Standard Edition suporta até 4GB de RAM processadores de até 4 vias.

A edição Enterprise edition do Windows Server 2003 foi desenvolvida para ser utilizada como servidor para grandes corporações. Suportando até 8 processadores e 32GB de memória RAM, cluster de 8 nós (incluindo clusters SAN) e possibilidade de ser utilizado por computadores Intel Itaniumde 64 bits suportando assim 64GB de RAM e SMP (processadores) de até 8 via essa edição do Server 2003 possui todas as funcionalidades das edições anteriormente citadas e ainda MMS (Microsoft Metadirectory Services), Hot-Swap para memória RAM, WSRM (Windows System Resouces Manager) que suporta alocação de recursos de hardware a cada aplicação.

Datacenter Edition. É disponível apenas como versão OEM e suporta todos os recursos das edições anteriores além de SMP de 32 vias  e 64 GB de RAM para plataformas de 32 bits e incríveis 512 GB de RAM e SMP de 64 vias para as plataformas 64 bits.

1º resumo

Estamos hoje, fechando nossa primeira parte do estudo para a certificação MCP 70-290 em que englobou:

    Versões do Windows Server 2003 e instalação

   Introdução ao MMC, assistência remota e gerenciamento remoto.

->Objetos do AD

->   Contas de Usuário->   Contas de Grupo

->   Contas de Computador

1

Dentro desse resumo encontraremos informações importantes relativas a administração do AD dentro dos pontos acima citados. Esse resumo dos artigos até agora é um conjunto de notas e lembretes para o nosso simulado que será publicado essa semana. Essa divisão em partes é apenas uma divisão didática como já fizemos anteriormente nessa série de estudo.

Versões do Windows Server 2003.

O Windows Server 2003 é dividido em 4 versões (sem esquecer das versões 64 bits):

Windows Server 2003, Web Edition-> suporta 2 GB de RAM e um multiprocessador simetrico de duas vias. Fornece ilimitadas conexões web anônimas e 10 por SMB. Não possui suporte a servidor DHCP, nem fax, nem Terminal Server, nem pode ser roteador de internet.

Windows Server 2003, Standard Edition-> suporta 4 GB de RAM processadores simétricos de 4 vias. Possui todas as funcionalidades da Web Edition mais serviços de POP3, MS SQL Server Database Engine, Serviços de Balanceamento de carga, capaz de suprir demanads de serviços de diretórios, arquivos, impressão, aplicativos, multimídia e web. Desenhado para pequenas ou médias empresas ou servidores de pequeno ou médio porte.

Windows Server 2003, Enterprise Edition->Versão desenvolvida para grandes servidores suporta todas as funcionalidades da Standard Edition com acréscimo das seguintes: Hot-Swap de RAM, suporte para serviços de metadiretorios  MMS, WSRM sistema de gerenciamento de recursos que permite alocação de RAM ou CPU por aplicação. Suporta 32 GB de RAM e clusteres de até 8 nós nas versões 32 bits e 64 GB de RAM com processadores de 8 vias para as versões 64 bits e itanium.

Windows Server 2003, Datacenter Edition-> Disponível apenas OEM, suportando todas as funcionalidades das versões anteriores com capacidade para até 64 GB de RAM e Processadores de 32 vias para versões 32 bits e, incríveis 512 GB de RAM com processadores de 64 vias com 64 vias. E, há ainda, uma versão de 128 vias sendo duas de 64 vias.

Considerações sobre as versões 64 Bits.

Essas versões operam sobre plataformas de hardware significativamente mais rápidas, porém não suportam alguns recursos tais como aplicativos 16 bits e certos tipos de protocolos para clientes de serviços de impressão Apple.

Instalação do Windows Server 2003 e Active Directory

Mesmo não sendo o foco da prova de certificação, tanto as versões quanto a instalação são importantes para o certificando no momento do dia D, pois sabendo todas as funcionalidades do Server 2003 pode ajudar na hora da prova e com certeza ajudará no dia-a-dia.O Windows Server 2003 pode ter a função de Servidor de Arquivos, impressão, aplicativos, fax, TS, e-mail, DNS, controlador de domínio, VPN, etc. Porém antes de veremos como instalar os esses serviços e o próprio sistema operacional em si faz-se necessário lembrar o que vêm a ser o Active Directory e seus principais componentes, que são alvos da prova 70-290 e desse curso.

Active Directory nada mais é do que um banco de dados com informações relativas a

2

objetos que representam usuários, grupos de usuários, computadores e unidades da empresa. Esses objetos estão sob uma hierarquia em que o domínio está no primeiro plano, seguido de outros containeres que podem ser as OU, que podem conter outras OU ou outros Objetos. Esses objetos possuem características e propriedades que definem suas restrições e características.

Quando temos um domínio e mais de um subdomínio é formada uma estrutura conhecida por árvore. Quando essa estrutura é formada por diversos domínio relacionados e com diversos subdomínio a estrutura passa a se chamar floresta.

Instalação do Windows Server 2003.

A instalação do Windows Server 2003 é feita parte em modo texto e parte em modo gráfico sendo instalada por meio de CD-ROM sem suporte a instalação por disquetes (como era em versões anteriores). A instalação inicia-se do CD-ROM quando não encontra outro sistema operacional na máquina ou pressionando-se qualquer botão durante o boot se já houver. No modo texto você escolherá a partição, tamanho e tipo de partição que será instalado o Windows terminando essa parte com a cópia dos arquivos para o HD.

Já no modo gráfico GUI você terá, entre outras opções, a escolha da rede e configurações regionais, de idioma e teclado.

A instalação de qualquer serviço do Windows Server 203 pode  ser feita por meio da tela configurando o servidor, ou instalar componentes opcionais de Windows ou pelo CD do Windows Server 2003. A Instalação do AD pode ser feita digitando-se DCPROMO em inciar-> executar.

Console de gerenciamento Microsoft (Microsoft Management Console)

O MMC é uma interface agradável e lembra muito a interface do Windows Explorer. Nesse console de gerenciamento você poderá gerenciar servidores e estações de trabalho remotas ou locais. O MMC possui ferramentas poderosas chamadas de snap-ins e eles são componentes de programas de gerenciamento do Windows ou de outros programas. Sendo assim os snap-ins podem ser autônomos ou de extensão. São autônomos quando fornecidos por um desenvolvedor do aplicativo e não são dependentes de outro snap-in, logo os snap-ins de extensão (alguns casos os snap-ins de extensão podem funcionar como autônomos também como é o caso do visualizador de eventos que está em gerenciamento do computador ou sozinho) estão localizados em outros snap-ins.

É possível, e muito aconselhável, criar snap-ins para gerenciamento de fins específicos. Assim sendo, pode-se criar no modo autor e no modo usuário. O modo autor dá permissões totais ao MMC gravado. No modo usuário é possível dar permissões mais especificas ao MMC gravado. Para escolher o tipo de MMC que deve ser salvo vá em arquivos-> opções. O uso do MMC remotamente pressupõe que você tenha permissões administrativas sobre a máquina remota.

Gerenciamento remoto e área de trabalho remota.

A família Windows Server 2003, incluindo a Web Edition que não tem suporte a TS mas possui área de trabalho remota, possui funcionalidades para gerenciamento da área de trabalho remotamente. Essa funcionalidade é estendida para os usuários dos grupos de administração.

3

Para se utilizar da área de trabalho remota, primeiramente é necessária que a configuração de rede permita tal acesso. Para isso a porta 3389 do firewall (porta padrão que pode ser alterada) deve estar liberada. E para essa mesma porta deve existir um redirecionamento (regra de NAT) que traduza a solicitação de fora da rede para uma chamada do IP do servidor a ser administrado. Em segundo lugar o servidor dever permitir tais conexões para isso em painel de controle-> sistema ou em iniciar-> executar-> sysdm.cpl na guia remoto deve estar marcada a caixa habilitar área de trabalho remota neste computador. A configuração inicial apenas com estes dois passos já está feita.  Observação: por padrão o firewall do Windows na máquina servidor está marcada como exceção a área de trabalho remota.

Os serviços de terminal não podem ser confundidos com área de trabalho remota para gerenciamento. Pois esta não exige licenciamento adicional aquela sim. Esta é um componente padrão do Windows, aquela é instalado separadamente após a instalação do Windows. Esta permite 2 usuários remotos mais o usuário local, aquela permite quantos usuários forem licenciados.

Solicitação remota

A solicitação remota é o inverso da área de trabalho remota, mas utiliza-se dos mesmos recursos de software que ela. A assistência remota pode ser utilizada por meio do centro de ajuda e suporte ou por meio do Windows Messenger. Ela ocorre quando um usuário remoto solicita suporte por meio de uma solicitação por arquivo, e-mail ou comunicação segura.

Contas de usuário

Os objetos de contas de usuário podem ser criados por meio do MMC usuário e computadores do Active Directory ou por linha de comando. Os objetos de contas de usuários armazenam informações referentes a usuários, suas identificações e permissões. Para isso, o Ad se encarrega de verificar na SID (identificação d e segurança dos usuários) a qual domínio, grupos, OUs ele pertence e assim que é feito o logon essa informação é retornada do servidor a partir do nome de usuários e senha que contém as informações de controles de acesso (ACL- Access Control List) e assim o usuário está identificado na rede.

Como esse artigo se trata de um resumo de referencia do nosso guia de estudo iremos apenas apresentar as informações e definições mais importantes acerca de objetos de usuários.

A primeira definição importante seria o DN ou nome distinto significa o caminho hierárquico para chegar ao objeto dentro do domínio. Este nome é uma identificação única, chave única, dentro do domínio. Outro ponto importante para a prova 70-290 é identificar dentro de um contexto dado a(s) melhor(es) ferramenta(s) para criação e gerenciamento de usuários num AD. Lembremo-nos que podemos alterar muitas das propriedades e locais de um objeto dentro do console de gerenciamento gráfico MMC e muitas das automatizações podem ser feitas sem prejuízo do resultado e com tempo menos por meio do uso de linha de comando.

Os comandos de linha podem ser resumidos como abaixo.

DSADD -> cria objetos no AD. Permite pipes com outros comandos e parâmetros adicionais alem do uso em servidores remotos.

4

DSMOD -> Modifica as propriedades de um ou mais objetos. Permite pipes com outros comandos e parâmetros adicionais alem do uso em servidores remotos.

DSGET -> retorna valores de propriedades selecionadas em parâmetros para um ou mais de um objeto. Permite pipes com outros comandos e parâmetros adicionais alem do uso em servidores remotos.

DSMOVE -> Permite mover ou alterar o nome de um ou mais de um objeto. Permite pipes com outros comandos e parâmetros adicionais alem do uso em servidores remotos.

DSRM -> exclui um ou mais de um objeto, árvore (de objetos de um domínio) ou ambos. Permite pipes com outros comandos e parâmetros adicionais alem do uso em servidores remotos.

DSQUERY ->Consulta objetos que tenham valores iguais para determinados critérios. É diferente do DSGET, pois aquele retorna valores de propriedades e este retorna conjuntos de objetos. Para se lembrar dessa diferença lembre-se que este comando serve de pipe para outros e como os outros comandos precisam de objetos para alterar, criar, modificar ou excluir propriedades este comando só poderia retornar objetos para as consultas e não propriedades. Este comando permite pipes com outros comandos e parâmetros adicionais alem do uso em servidores remotos.

Perfis Locais e remotos

Antes de tudo, perfil não é uma propriedade de objeto e sim um caminho para uma pasta que guardará arquivos e configurações deste. Não confunda, mesmo que essa informação esteja sob o caminho propriedades. Perfil local é o perfil que está disponível na máquina do usuário e apenas lá. Perfil móvel é quando as informações, configurações e documentos relativos àquele está disponível em uma pasta num servidor. Num perfil móvel quando o usuário faz logon pela primeira vez numa máquina os arquivos daquele usuário são baixados do servidor para a máquina local e quando o usuário faz logoff apenas os arquivos alterados são enviados para o servidor novamente. Os perfis móveis além de muito práticos permitem administração da segurança dos arquivos dos usuários por meio do escaneamento garantido em um só local, backup dos dados, escalabilidade, etc. Os perfis móveis também são chamados de RUPs.

Perfis Pré-configurados

Os perfis pré configurados fornece um ambiente de trabalho padrão para os usuários facilitando o suporte e removendo acessos a recursos desnecessários. Para criar um perfil pré configurado faça logon com uma conta e altera as configurações de acordo com suas necessidades. Faça Logoff e logon novamente com uma conta de administrador ou operador de conta. Entre em sistema no painel de controle e na guia avançado vá em perfis de usuário, selecione o perfil criado e copiar para. Digite um caminho seguindo o formato UNC \\servidor\sistema\comprtilhamento\%username%\ e na seção uso permitido selecione os usuários ou grupos que terão esse perfil.

Para  tornar esse perfil obrigatório, ou seja, inalterável pelo usuário altere o arquivo na pasta compartilhada do usuário de NtUser.dat para NtUser.man. Veja que não há permissões envolvidas com a criação de perfis obrigatórios e tampouco diretivas, apenas a alteração do nome de um arquivo.

5

Contas de grupo

As contas de grupo podem se dividir em contas locais de domínio, grupos globais, grupos universais. Nesse resumo nos ateremos para os níveis funcionais Windows Server 2003, mas lembre-se que há diferenças significativas para as contas de grupo em diferentes grupos funcionais e que elas podem fazer a diferença entre a aprovação e reprovação no exame e no cotidiano do administrador de redes e servidores Windows.

Os escopos de grupo são:

Grupos locais: pode conter usuários de qualquer domínio, porém só podem ser usados no domínio ao qual residem

Grupos Globais: podem utilizar objetos dentro do mesmo domínio, porém suas permissões podem ser utilizadas em qualquer domínio.

Grupos Universais: podem ser utilizados em qualquer usuário de qualquer domínio com permissões para qualquer domínio confiável.

Conversões de grupo

Pode ocorrer a conversão caso o grupo não seja membro de outro grupo de mesmo escopo.  Por exemplo, um grupo local que é membro de outro grupo local, ou um grupo global que é membro de outro grupo global.

Ferramentas de automação/gerenciamento de objetos de grupos

LDIFDE ou formato de troca de dados (LDIF – Data Interchange Format) é uma ferramenta para processar operações em arquivos de lotes dentro do protocolo LDAP (Ligthweight Access Protocol). È usado para importações ou exportações de dados. Pode se utilizar de pipes com o comando DSQUERY. Comporta vários parâmetros que entre eles estão a utilização em um servidor remoto ou local com outro nome de usuário e senha.

DSADD permite a criação de grupos da mesma forma que a vista anteriormente para criação de usuários, porém com algumas diferenças na sintaxe. Pode ser utilizados com pipes de outros comandos entre eles o DSQUERY e comporta os parâmetros para a criação em servidores remotos ou local outro com nome de usuários e senha.

DSGET obtém informações a partir de uma propriedade especificada. Pode ser utilizado com pipes em outros comandos. Comporta os parâmetros para a criação em servidores remotos ou local outro com nome de usuários e senha.DSMOD altera as propriedades de um grupo e de vários. Pode ser utilizado com pipes em outros comandos. Comporta os parâmetros para a criação em servidores remotos ou local outro com nome de usuários e senha.

Contas de Computador

Lembremos que para a criação de objetos de contas de computador o computador cliente deve estar associado ao domínio. A criação da conta do computador será criada por um administrador ou operador de conta. A associação deve ser feita na máquina cliente por um administrador da maquina local e será vinculada por um administrador ou operador de conta ou outro usuário qualquer que receba essa delegação.

6

Os problemas com contas de computador são facilmente resolvidos se seguirmos esses passos:

   -> Redefinir a conta de computador

   -> Criar uma conta de computador

   -> remover o computador do domínio

   -> re-associar o computador ao domínio

A criação de contas de computador automatizada segue os comandos DSADD e NETDOM. Que, por sua vez, têm a sintaxe:

“NETDOM add ND(computador) / domain:nome_dominio /userd: Nome_usuário /password: senha”

“DSADD  computers ND(do objeto)” (da mesma forma como vista anteriormente este comando aceita pipes e outros parâmetros que devem ser estudados com /?)

2º resumo

Continuando nossa série de artigos, que será semanal, mas devido à ansiedade do autor desta série este outro artigo está sendo escrito em menos de uma semana do primeiro... Esse segundo artigo tratará de maneira bem superficial da instalação do Windows Server2003 e da Instalação do Active Directory, que segundo meu ponto de vista é uma ferramenta indispensável a qualquer corporação de médio e grande porte.

Instalação do Windows Server 2003

A instalação do Windows Server 2003 é feita inteiramente por meio de CD ao contrário de versões de Windows anteriores que era feita via disquetes. Ela possui interface gráfica amigável (GUI – grafic User interface) na maior parte de sua instalação, sendo essa muito parecida com a do Windows XP.

A instalação do Windows Server 2003 se faz quando da configuração da BIOS da placa mãe para inicialização primária pelo CD-ROM então quando o CD-ROM é inserido e não há outros sistemas operacionais rodando na máquina o Windows inicia a instalação do Server 2003. Logo no inicio será solicitado que se pressione F6 para alguns dispositivos tais como HD SCSi e controladores RAID para que assim seja possível identificar os drivers apropriados. Em seguida aparecerá um recurso novo que surgiu no Windows XP que é a ASR (automated System Recover) ou recuperação automatizada do sistema que será descrita mais detalhadamente num próximo artigo. Após essa fase da instalação será necessário indicar o local/partição que será instalado o Windows Server 2003. Essa nova partição é possível em dois formatos NTFS e FAT32 , embora os dois formatos estejam disponíveis, eu, sinceramente, não sei o porque alguém em sã consciência instalaria o Windows em uma partição em FAT32. Essa historia de que FAT32 é mais rápida e dá menos erro não é verdade. Como veremos mais adiante o sistema de arquivos NTFS é uma avanço muito grande pois permite que haja segurança a nível de arquivos, compressão, tolerância a falhas muito maior, etc... a única razão seria para

7

poder rodar aqueles antigos programas em DOS, mas para isso não precisamos de uma Windows Server 2003.   Após essa primeira parte da instalação, que não é feita em modo GUI,  o Windows começa a instalação em modo gráfico. Aqui, você, primeiramente, escolherá na página opções regionais e de idioma as configurações de idioma e padrão de teclado (escrita) apropriadas. Em seguida o nome de usuário e da empresa. Depois de digitado esses dois campos o Windows solicitará a Chave de licença do produto.    Até este ponto o processo corre identicamente à instalação do Windows XP. Daqui em diante haverá poucas mudanças e uma delas é a escolha do modo de licenciamento do produto (este ponto será tratado com mais detalhe em um artigo mais a frente). Continuando com a instalação será solicitado o nome do computador (o nome sugerido pela instalação é apenas uma sugestão podendo ser alterado) e a senha do usuário administrador.

Na próxima etapa trataremos que esse servidor não tenha um modem instalado nele, logo, não usaremos as configurações de modem para essa instalação. Depois, em configurações de rede poderá ser utilizado as configurações típicas de rede ou configurar uma de acordo com a rede que o servidor deverá ser instalado. Apenas lembrando, se um computador estiver fora da faixa de IP definida para a rede ele não irá “enxergar” a rede, se estiver em outra sub-rede não conseguirá enxergar outras redes, se estiver usando um servidor de DNS errado não conseguirá resolver nomes, ou seja, transformar o nome segurancati.com.br em um IP válido para encontrar sites e/ou computadores de outras redes. O grupo de trabalho é exigido em seguida e segue-se a instalação silenciosamente até a tela de Bem vindo do Windows aparecer.

Nota: O Windows Server 2003 não tem tela de boas vindas e exige para a segurança do sistema que seja pressionado Ctrl+Alt=Del para a entrada do nome e senha do usuário. Talves seja necessário, dependendo do licenciamento, que o Windows seja ativado e será então necessária conexão com internet.

Após a instalação do Windows Server 2003 ele pode ser utilizado como:

•   Servidor de arquivos •   Servidor de impressão•   Servidor de aplicativos•   Servidor de impressão•   Teminal Server•   Servidor de E-mail•   Servidor de acesso Remoto/VPN•   Controlador de domínio (Active directory)•   Servidor de DNS•   Servidor DHCP•   Servidor de fluxo de mídia•   Servidor WINS

Active Directory

Como há diversas bibliografias intermináveis sobre o assunto não vou tentar escrever nenhum artigo que apresente ou ensine tudo sobre o Active Directory, apenas uma introdução.

Como uma das principais necessidades das redes corporativas de hoje é a distribuição de arquivos, aplicativos, e-mail, etc... com a necessidade da proteção dos dados tanto

8

levando em conta sua integridade, disponibilidade e confidencialidade a Microsoft permite dois tipos de modelos de serviços de diretórios: grupo de trabalho e diretórios.

O modelo por diretório permite que se identifique num diretório quem é quem  dentro daquele mesmo diretório. Logo é possível distribuir permissões para usuários, que se grave logs dentro de uma rede, utiliza de sistema seguro de autenticação de usuários, etc. O Active directory é tão surpreendente que permite que se utilize perfis moveis de usuário, ou seja, meu usuário não está restrito a uma máquina eu posso utilizar e minha mesma área de trabalho ou ver meus e-mails no Outlook em qualquer computador dentro do domínio.   A instalação desse recurso pode ser feita tanto se utilizando o CD e instalando “recursos Adicionais” como se digitando DCPROMO em iniciar->Executar, ou , ainda, na configuração do servidor que é a tela inicial depois da instalação do Windows Server 2003.

Pontos importantes dentro do Active Directory

Domínio é a unidade administrativa principal do serviço de diretórios do Windows Server 2003. Vários nomes contíguos com um mesmo nome de DNS compartilhado podem formar o que se chama de árvore. Exemplo: xxx.segurancati.com.br, yyy.segurancati.com.br, iradionet.segurancati.com.br, etc... Quando os domínios não compartilham de um mesmo DNS eles levam nome de floresta e nesses casos há o catálogo global que conterá informações de todos os outros domínios inferiores. Objetos e unidades Organizacionais (OUs) são recursos relevantes dentro da organização que serão registrados no banco de dados  do AD (Active Directory) e as propriedades desses objetos  são controladas dentro do AD com facilidade por possuírem informações agrupadas dentro de um mesmo local. Os Objetos podem ser, entre outros, usuários, grupos de usuários, computadores, Impressoras, pastas compartilhadas, sites, GPO (diretivas de grupos, serão melhor explicadas mais a frente), HOSTS, etc... Uma das implicações que é gerada a partir do item acima é a possibilidade de delegação. Delegação e poder atribuir uma função por meio de uma lista de acesso (ACLs) para e todas as OU nela inclusas serão automaticamente capazes de executar essa função.

3º resumo

Entrando em nossa segunda semana de nossa série de artigos estaremos hoje analisando o Console de Gerenciamento Microsoft , ou também conhecido como MMC.Introdução (MMC).

O MMC é uma ferramenta de gerenciamento que lembra bastante o Windows Explorer por possuir pastas com nós que se desmembram e mostram o conteúdo dentro delas assim que selecionadas. Os Componentes principais do MMC (Microsoft Management Console) são os snap-ins. O MMC possui uma barra de ferramentas e janelas pai e filhos, assim como o Explorer. Quando clicadas com o botão esquerdo do mouse as pastas ou janelas são selecionadas e apresentam o conteúdo dentro daquela pasta. Quando se clica com o botão direito do mouse no snap-in ele apresentará algumas funcionalidades/ferramentas.

Para começar a utilizar o MMC apenas digite MMC em Iniciar-> Executar e o console se

9

abrirá. Após ler o texto é interessante abrir e analisar as funcionalidades que essa ferramenta apresenta. Para isso entre no MMC vá em Arquivo-> adicionar/remover snap in e veja as opções disponíveis.

O comando Ação do MMC pode variar de acordo com o snap-in utilizado, porém na maior parte dos casos inclui recursos de Ajuda, nova janela, exportação e configurações. Em favoritos é permitida a inclusão e/ou organização dos consoles que você venha a criar com determinado objetivo. O MMC é interessante não apenas pela praticidade do uso mas como também pela criação de consoles gerenciáveis, ou seja, é possível criar consoles para usos específicos e salvá-los. É possível salvá-los para gerenciamento de computadores remotos ou locais.

Snap-in

Assim como já dito anteriormente é possível criar e gerenciar MMC personalizados e com funções especificas. Há dois tipos de snap0in que podem ser usados no MMC: os snap-ins de Extensão e os snap-ins autônomos.

Os snap-ins autônomos são aqueles fornecidos por desenvolvedores de sistemas/aplicativos – Sql Server, directX, etc. As ferramentas administrativas do Wserver2003 é o console de um único snap-in. Os snap-ins de extensão, ou extensões, foram desenvolvidos para funcionar com um ou mais snap-ins autônomos com base na funcionalidade deste. Há snap-ins que podem funcionar de forma autônoma e extensão de outro. Como no caso e desfragmentador de disco, que existe dentro do snap-in gerenciamento do computador e pode funcionar de forma autônoma estando fora do nó deste. Ou usuários e grupos locais.

Nota.: os snap-ins são extremamente importantes para o exame 70-290, porém há alguns snap-ins que só irão funcionar corretamente se houver no computador com o Windows Server 2003 instalado o AD. Outrossim é possível gerenciar um computador com o MMC sem AD ou mesmo no Windows XP ou 2K. Logo, mesmo se não houver nenhum computador com AD instalado é possível “brincar” com o MMC. Embora hoje a falta de Windows Server ou AD já não seja mais desculpa, há tempos a Microsoft disponibiliza Laboratórios Virtuais que simulam um cenário real.

Opções de console do MMC

Há dois modos de operar o MMC de acordo com o as limitações que o console pode apresentar frente a alterações nos nós do MMC – snap-ins incluídos , abertos, excluídos, etc. Há o modo Autor, que é o modo padrão de criação e o modo em que você tem completo controle sobre as funcionalidades do snap-in. E, há ainda, o modo usuário em que você pode criar permissões para acesso à criação de novos snap-ins e/ou visualização dos snap-ins.

Gerenciamento remoto com MMC

O MMC pode ainda gerenciar computadores remotos – cfe dito antes, basta que o snap-in suporte gerenciamento remoto e que você tenha permissões administrativas no computador remoto.

Eis uma lista abaixo de consoles que pode ser encontrados digitando MMC em executar e adicionando, porém essa lista é o nome que você pode digitar em Iniciar-> executar  sem precisar abrir o console e adicioná-los. Essa lista não contempla snap-ins para AD necessariamente. Porem podem, em sua maioria, serem utilizados tanto no Server 2003 quanto no XP ou 2k:

10

    certmgr.msc

   compmgmt.msc  devmgmt.msc    dfrg.msc

 diskmgmt.msc   eventvwr.msc   filesvr.msc   gpedit.msc

lusrmgr.msc perfmon.msc  rsop.msc secpol.msc   services.msc

Lembre-se quanto mais você utilizar e conhecer esses snap-ins melhor para você. Em outro artigo trataremos mais especificamente dos snap-ins para editores de objeto como o gpedit.msc devido à sua complexidade e utilidade.

Nota.: Msc = Microsoft Saved Console

4º resumo

Em nosso 4º artigo da série MCP estaremos falando sobre Gerenciamento e suporte remotos no Windows Server 2003. Primeiramente não devemos confundir serviços de terminal  com área de trabalho remota para administração. Serviços de terminal exigem licenciamento, que é pago além da licença do Windows Server2003, e permitem que usuários que não sejam administradores se conectem à área de trabalho remota. Área de trabalho remota para administração vem com o Windows Server 2003 por padrão, tendo apenas que efetuar algumas simples configurações, e permite que até dois, e apenas dois, administradores se conectem à mesma máquina para administração ao mesmo tempo. Tecnicamente, são três conexões ao mesmo tempo, porém o console não conta como área remota.

É o serviço ‘Serviços de terminal’ que ativa a área de trabalho remota e, por padrão já vem instalado no Windows Server 2003 sem precisar instalá-la na instalação do sistema operacional ou efetuar qualquer tipo de licenciamento que não seja o do próprio Windows. Para ver os serviços de terminal entre em services.msc, vide artigo anterior.

Dica de exame: não confunda o termo Servidor de terminal com administração remota, tampouco sua funcionalidades. O Servidor de terminal exige licenciamento e trabalha com compartilhamento de aplicativos a administração remota não. Será melhor explicado sobre os serviços de terminal em um artigo mais adiante.

Para ativar a administração remota vá em iniciar -> executar e digite sysdm.cpl ou entre em painel de controle -> sistema e em ambos os casos clique na guia remoto. Há uma  check Box em um quadro com o nome área de trabalho remota e na check Box habilitar área de trabalho remota. Marque a check Box para habilitar a área de trabalho remota. Em seguida verifique se o firewall está ativado e bloqueando a área de

11

trabalho remota em Iniciar executar firewall.cpl ou painel de controle -> firewall do Windows. Na guia exceções marque a opção área de trabalho remota.

Nota: em qualquer caso não é aconselhável desabilitar o firewall. Há vírus como o blaster e o SqlSlammer que pode atacar milhares de computadores apenas por um firewall mal-configurado ou desativado.

Para configurações e gerenciamento da área de trabalho remota há os snap-ins configuração dos serviços e terminal, área de trabalho remotas e Gerenciador dos serviços de terminal. Que têm como atalho tscc.msc, tsmmc.msc e tsadmin.exe, respectivamente. O Primeiro você configura a área de trabalho remota com configurações fixas definidas pelo servidor, tais como portas do cliente, impressoras carregadas do cliente, dispositivos/drives locais do cliente, som, qualidade de imagem/cor,etc ou configura com configurações definidas pelo cliente. O segundo console de gerenciamento cria sessões que podem ser visualizadas no próprio console, há configurações de tamanho de tela etc. No terceiro snap-in é possível controle remoto de outras seções, desconectar outras seções, enviar mensagens, redefinir seções, etc.

Para poder se conectar a qualquer servidor do lado do cliente é preciso ter o software de conexão de área de trabalho instalado na maquina. O Windows XP vêm como padrão com o software instalado. Porém, caso torne-se necessária a instalação os arquivos da mesma estão em %systemroot%\system32\clients\win32 ou no cd de instalação do Server 2003. Nota: é possível rodar a área de trabalho remota inclusive em Linux. É só ter o pacote que na maior parte das distribuições é o rdp.

No lado do cliente é necessário notar os seguintes pontos.  Em iniciar -> todos os programas-> acessórios-> comunicações-> área de trabalho remota na guia geral precisa ter: o nome/ip do computador (por nome entende-se o NetBIOS ou host configurado) e domínio, caso haja algum. Na guia exibição há as configurações de tela: cor e tamanho da tela. Na guia recursos locais há configurações de som, teclado e dispositivos locais. Lembremos que caso haja configurações para o servidor não acatar configurações do cliente e apenas as pré-configuradas pelo administrador do servidor essas opções estarão disponíveis, mas não serão utilizadas na conexão. A guia programa habilita na abertura da seção um programa. A guia experiência tem configurações pré-definidas ou personalizáveis que irão influenciar a velocidade depois da conexão. E caso, haja certificados instalados na máquina cliente, pode aparecer a guia segurança que será utilizada apenas para ingresso em um domínio com AD instalado que verifique certificados digitais.

Possíveis problemas para o não funcionamento correto da Área de trabalho remota

Falhas na rede-> verifique a conexão com o servidor e se a porta 3389 está liberada (porta padrão que pode ser alterada caso seja necessário) e feita uma regra de NAT que redirecione a porta para a máquina servidor.

   Credenciais-> verifique se o usuário faz parte do grupo administradores para o caso de administração remota e se ele pertence ao grupo usuários da área de trabalho remota para o caso de servidor de serviços de terminal.

   Diretivas de grupo/objeto-> verifique se o controlador de domínio permite que seja feita a conexão  ante as diretivas de grupo/objeto. Pode ser verificado pelo snap-in

12

gpedit.msc

Excesso de conexões simultâneas-> verifique se há sessões travadas, desconectadas ou ociosas no servidor ou mesmo se o limite de conexões licenciadas foi atingido. Este ultimo no caso de servidor de terminal.

Assistência Remota

Apenas pincelando este tópico sobre envio de assistência remota, que utiliza muitas funcionalidades da área de trabalho remota, inclusive as portas para conexão são as mesmas.

O envio de assistência de estar liberado do mesmo modo que o TS (Terminal Services) em sistemas dentro do painel de controle na guia remoto com o check-box de envio de assistência remota (deste computador, ou seja computador “servidor”) habilitado. E com o firewall habilitado e com a mesma regra de exceção que o TS. A única diferença é o modo de iniciar uma sessão. Como este serviço tem por finalidade servir de suporte entre o usuário e o especialista o “servidor” será a máquina do usuário. Que enviará convites por meio de uma conta .Net Passport (Messenger) utilizando o messeger ou o centro de ajuda e suporte. O modo de convite do usuário para o especialista pode se dar de duas formas: e-mail e arquivo. No caso do e-mail este deverá seguir por outro meio de contato de senha para a conexão.

O próximo artigo de nossa série tratará sobre contas de usuário, trataremos no escopo de um AD, e suas propriedades.

5º resumo

Neste Artigo de nossa série MCP 70-290 estudaremos sobre as contas de usuários em Domínios Active Directory.  Iremos estudar sobre contas de usuários em dois artigos neste primeiro iremos ver sobre criação e gerenciamento de objetos de usuário e ferramentas por meio de linha de comandos para automatizar e aperfeiçoar o processo e pesquisas de usuários no AD.

Primeiramente, temos que entender alguns pontos e terminologias. SID (Security Identifier) é, em poucas palavras o usuários e senha digitados para autenticação em um domínio. ACLs (Access Control List) recurso utilizado que contém as atribuições de direitos de usuários e acessos a recursos locais e do AD. SAM (Security Account Manager) serviço utilizado durante o logon que verifica e gerencia as informações de conta de usuários é, também, o nome que o usuário faz o logon - SAM ID. UPN (User Principal Name) atributo que identifica o usuário na floresta ex.: sevilha@segurancati.com.br, não confunda este atributo com e-mail.

Em um capitulo mais a frente iremos discutir melhor sobre GPOs (Group Policy Objects –  Obejtos de Diretivas de Grupo), porém é interessante lembrar que é interessante criar os usuários em determinadas e planejadas OUs (unidades Organizacionais) para delegação administrativa e aplicação das GPOs, além da granularização e gerenciamento facilitado por essa prática. Para Criar um objeto de usuário em Usuários e Computadores do Active Directory clique em uma OU com o botão direito do mouse em seguida clique em Novo -> Usuário. Lembrando que para isso é necessária permissões administrativas.  Na caixa de Diálogo aberta teremos os Campos:      Nome -> Identificará o primeiro nome do usuário. Campo não Obrigatório.   Iniciais -> Identifica as iniciais do nome do usuário. Campo não Obrigatório. 

13

 Sobrenome -> Identifica o sobrenome do usuário. Campo não Obrigatório.   Nome Completo -> è gerado automaticamente quando os campos nome, iniciais e sobrenome são   preenchidos, podendo ser alterado mesmo assim. Esse campo é obrigatório e gerará informações para DN (Distinct name) e CN (Comom Name). (1)   Nome de Logon do Usuário -> nome UPN que o usuário utilizará para logon no sistema. Campo Obrigatório   Nome de logon do usuário (anterior ao Windows 2000)-> Campo Obrigatório e exclusivo dentro do domínio  sendo utilizado para logon em clientes com OS inferiores à Windows NT.

Após a Inserção desses campos o sistema abre outra janela com senha (não necessária nesse momento) (2) e as propriedades:

   - O usuário deve alterar a senha no próximo logon. Essa propriedade exige que o usuário altere a senha no próximo logon que fizer. (3)

   - O usuário não pode alterar a senha.

   - A senha nunca expira. Essa propriedade prevalece sobre as diretivas que impõe que o usuário tenha de alterar a senha de período em um determinado período de tempo.  - Conta desativada.

Criado o usuário clique o objeto de usuário criado e em propriedades, ou apenas um duplo clique, a janela aberta conterá as propriedades do objeto de usuário criado. As guias disponíveis serão:      - Geral, Endereço, Telefone e Organização: conterão informações sobre o usuário criado sobre as informações de endereço, telefone, ramal, descrição do usuário, etc.

   - Conta: Contém informações tais como nomes, senha e propriedades relativas a conta (desativada, alterar senha no próximo logon, etc)

   - Perfil: Essa guia contém informações relativas ao caminho de logon do usuário, pasta base, script de logon. Essas informações são imprescindíveis caso haja a necessidade de perfis móveis e/ou fixos de usuários. (4)

   -Serviços de terminal, ambiente, controle remoto, sessões e Discagem: permitem configurar  e ativar as sessões de TS, além de alterar as configurações que influenciarão na velocidade de conexão do usuário.

   -Com +: Atribui conjuntos de partições COM+ ao usuário para aplicações distribuídas.

Verifiquemos ainda na guia conta os seguintes itens: Vencimento da conta: permite configurar uma data para que a conta seja desativada;  Armazene senha com criptografia reversível: permite que clientes que utilizem o protocolo AplleTalk façam logon no AD;  Horário de Logon: permite configurar o horário em que o usuário pode efetuar sua autenticação no AD. Os outros itens dessa guia não são de menor importância porém não apresentam complexidade e são auto-explicativos.

É possível ainda gerenciar e alterar as configurações para várias contas de uma só vez. Apenas utilize o recurso de escolher mais de uma de uma vez e ver as propriedades delas. Obviamente, as propriedades únicas dos usuários não serão alteradas e nem estarão disponíveis, é interessante “brincar” um pouco com esse recurso pois o exame pode pedir que sejam alteradas varias propriedades de várias contas ao mesmo tempo e com esse recurso facilita muito. Outro ponto importante para ser analisado antes de

14

passarmos para as ferramentas de linha de comando é que o MMC (artigo 2º em nossa série) permite que o administrador de sistema altere um objeto apenas movendo ele de uma OU para outra, ou uma OU para outra, ou um grupo de usuário para outra OU, etc.

Ferramentas de automatização e linha de comando

É possível estar criando um modelo de usuário para ser utilizado como cópia em outros objetos de usuários. Clique com o botão direito do mouse sobre o objeto de usuário modelo e clique em copiar, serão solicitadas informações de um novo usuário, porém este tem algumas propriedades de usuário, somente as que podem ser compartilhadas, iguais às do usuário modelo. Faça um teste e verifique as características que podem ser copiadas, você notará que são as mesmas que a de múltipla seleção de objetos de usuários.

O primeiro comando de linha (prompt. Iniciar-> executar digite cmd) é o CSVDE que tem por objetivo a importação/exportação de objetos. O CSVDE importa a partir de um arquivo do tipo .cvs (Comma Separated Values – valores separados por virgulas). A sintaxe básica do comando é:

   Csvde [-i] [-f nomedoarquivo] [-k]

Em que –i especifica que o mode de funcionamento do CSVDE é importação – se não houver esse parâmetro o CSVDE entende exportação; -f identifica o arquivo de exportação, se o arquivo conter espaços em seu nome utilize o caminho dentro de aspas duplas “”; -k ignora erros continuando a exportação sem parar no primeiro erro encontrado.

O arquivo deve ter na primeira linha os atributos dos objetos a serem criados, ex: DN e nas demais linhas as propriedades dos objetos:

   Dn,objectclass,samaaccountname,Sn,givenname,userprincipalname

   “cn=André.Sevilha,ou=Treinamentos.consultoria,dc=segurancati,dc=com,dc=br”, user,”André Sevilha”, Sevilha, André, André.Sevilha@segurancati.com.br

DSQUERY consulta objetos que coincidem com um conjunto especifico de critérios do AD. É muito usado também com pipes “|” para ser entrada para outros comandos, ou seja, a pesquisa retornada da DSQUERY é entrada para um outro comando modificar, mover,etc objetos eu satisfaçam àquelas caracteristicas. Ex.:

   Dsquery user  -stalepwd 10 | dsmod user –canchpwd

O comando acima verifica os usuários que  estão há 10 dias sem alterar a senha e Server de entrada para o comando DSMOD para alterar a propriedade em que o usuário deve alterar a senha no próximo logon. Este comando aceita caracteres coringa como *.

DSADD permite criar objetos. Pode criar objetos de usuários de três formas:

   - Pipe em outra lista de comando como o DSQUERY

   - Digitando o DN na linha separados por espaços

   - deixando o parâmetro DN vazio e digitando as DN, uma de cada vez, com enter ao

15

final de cada uma e finalizando o comando com CTRL+Z. Permite assumir outros parâmetros que não vem ao caso listar aqui por sua extensão e caso hajam duvidas apenas contatem o fórum (http://www.segurancati.com.br) ou digitem dsadd user /? .

DSMOD modifica as propriedades de determinado objeto e, assim como visto anteriormente permite ter como entrada pipes de outros comandos.

DSGET Exibe as propriedades selecionadas de um ou mais objeto. A diferença entre este comando e o

DSQUERY é que este retorna as propriedades de um ou mais objetos especificados e o outro localiza e retorna um conjunto de resultados de objetos para pesquisas com base em propriedades. O DSQUERY pode servir como pipe para o DSGET.

DSMOVE permite mover ou renomear um objeto de um domínio. Aceita pipes.DSRM remove um objeto, sub-árvore ou ambos. Suporta pipes.

Notas:(1)   DN é o nome que grava informações e propriedades que identificarão o usuário na floresta. Ex de DN: “cn=André Sevilha, ou=Treinamentos.Consultoria,dc=segurancati,dc=com,dc=BR”

(2)   É boa prática implementar políticas, por meio de diretivas de grupo, que tornem necessárias senhas com tamanho mínimo e satisfaçam requisitos de complexidade, que são:   - as senhas não podem ser o nome do usuário.

   - tenha um mínimo de caracteres 6, o padrão do Windows Server 2003 é 7 porém pode ser configurado para aumentar esse número.

   - tenha três dos quatro seguintes tipos de caracteres: Maiúsculas, minúsculas, caracteres numéricos e caracteres não alfanuméricos.

(3)   É possível ainda que seja aplicada uma diretiva que grave um número de senhas para que o usuário no momento que vá alterar a senha não utilize uma das senhas que foi utilizada anteriormente. Pode ser utilizado um histórico de 1 a 24 senhas.

(4)   Perfis móveis serão vistos mais à frente em outro artigo, porém apenas comentando, eles permitem que as pastas particulares relativas ao usuário estejam na rede, garantindo proteção, disponibilidade e, inclusive, backup.

6º resumo

Nesse Artigo veremos sobre  criação de perfis móveis de usuários, Perfis Locais, Perfis pré-configurados, perfis Pré-configurados obrigatórios, problemas e diretivas de autenticação de segurança. Este artigo complementa o artigo passado e finaliza a parte de objetos de contas de usuários para o exame MCP 70-290.

Perfis de usuários.

Perfil de usuário são os arquivos e pastas de dados que contém informações referentes a sua área de trabalho e outras definições que implicarão no modo como o usuário utilizará e trabalhará em seu desktop. Em uma área de trabalho local o perfil do

16

usuário estará direcionado para a pasta %SystemDrive%\Documents and settings\%UserName% (1).

Um perfil de usuário local funciona da seguinte maneira:

Quando um usuário faz logon no Windows pela primeira vez, o sistema se encarrega de criar a pasta (padrão) de perfil do usuário e a partir das configurações do ambiente, dos programas instalados e atalhos para o usuário padrão o sistema cria um ambiente de trabalho para esse novo usuário.

Toda e qualquer modificação deste perfil serão armazenadas e alteradas dentro da pasta de perfil do usuário.

Num perfil local dentro do AD se o usuário faz logon em outro local o sistema não “leva” as configurações de perfil junto com ele. Isso pode implicar em, por exemplo, Outlook desconfigurado, MSN sem histórico, falta dos arquivos armazenados em meus documentos, cookies e outras configurações do IE faltando, dicionário personalizado do Word incorreto...

Quando os usuários trabalham em mais de um computador dentro do domínio é possível configurar perfis móveis para que essas configurações fiquem armazenadas em um servidor e quando fizerem logon em uma estação de trabalho elas estejam disponíveis. Além disso, essas informações estarão sujeitas aos backups do servidor, varredura de vírus e malwares e controle central. Esses perfis móveis são chamados de RUPs (Remote User Profiles) e funcionam da seguinte forma:

Quando o usuário fizer logon dentro do domínio e tiver caminho configurado na caixa “Caminho do perfil” na guia Perfil da propriedade de objeto de usuário (2) o sistema irá localizar a pasta do servidor e sincronizar os arquivos (3) para uma pasta na máquina local.

Quando o usuário faz logoff o sistema sincroniza novamente com o servidor enviando os arquivos novo e aqueles que sofreram alterações recentes (4).

Um perfil pré-configurado é um perfil que provêm de um modelo. É muito útil nos casos em que alguns usuários novos precisam de certas configurações pré-definidas. Para criar um perfil pré-definido você deve criar um usuário modelo fazer logon usando essas credenciais, fazer logoff e logon novamente usando credenciais administrativas (outro usuário). Siga para Iniciar-> executar-> painel de controle-> sistema-> Avançado-> perfis de usuário-> selecione o perfil criado e em seguida clique em “copiar para”, digite o nome UNC do caminha da pasta do servidor. Na seção uso permitido selecione o(s) usuários que utilizarão esse perfil (5).

Outra excelente funcionalidade dos perfis de usuários é a possibilidade de bloquear o perfil de alterações. Nesse caso toda e qualquer alteração feita na área de trabalho não será salva após o logoff. Para isso apenas renomeie o arquivo NtUser.Dat para NtUser.Man dentro da pasta de perfil do usuário.

Assim como  é possível criar perfis de usuários pré-configurados para usuários o é para grupos também. A única diferença consiste em no momento que você libera (Uso permitido) o perfil para um  determinado usuário você o libera par um grupo de usuários. Esse perfilo pode ser liberado para o grupo porém apenas estará disponível para os que tiverem esse caminho UNC da pasta de perfil pré-configurado no seu perfil nas propriedades do objeto.

17

Diretivas de segurança de usuários

Nessa parte do artigo exploraremos as diretivas de senha, bloqueios de conta e auditoria.

As diretivas de senha são:

Histórico de senhas: permite que o sistema guarde informações de senhas de usuários para que o mesmo não utilize a mesma senha dentro de um determinado numero de trocas de senha

Tempo máximo de vida de senha: após esse período a senha deve ser trocadaTempo mínimo de senha: garante que o usuário não altere sua senha várias vezes para contornar a primeira diretiva de senha. Essa diretiva não fere o direito de o administrador alterar a senha mesmo que dentro de um período menor que o definido pela diretiva

Comprimento mínimo da senha: o padrão é 7 caracteres

A senha deve satisfazer requisitos de complexidade: não se baseie no nome do usuário, tenha pelo menos 6 caracteres, contenha 3 dos 4 tipos de caracteres a seguir: Maiusculas, minúsculas, números, não alfanuméricos. Diretiva padrão do WS2003.

Politicas de bloqueio de contas

Limite do bloqueio de conta: números de tentativas inválidas de logon

Duração do bloqueio de conta: em minutos

Zerar contador de bloqueio de conta tempo em minutos para que o contador seja zerado após varias tentativas sem sucesso e uma tentativa de logon sucedida.

Notas:(1)   O caminho acima pode também ser escrito como %Userprofile% e ambos indicarão o mesmo caminho, porém se a pasta do usuário não estiver indicando para seu nome de usuário, ou dentro da pasta “documents and settings”, ou ainda, no disco local C: o %userprofile% obviamente vai indicar caminho diferente que o supracitado. Este direcionamento Userprofile é útil para indicar de maneia mais rápida o caminho da pasta do perfil do usuário. Dica do oficio: nem sempre o usuário tem o mesmo nome da pasta em seu perfil isso depende do seu SID e de como foi efetuada a configuração do usuário. Experimente criar um usuário XXX e mudar seu nome, e apenas o nome, para YYY. Você notará que o %userprofile% dele indicará a antiga pasta mas o logon deve ser feito como YYY e o nome do usuário é YYY>

(2)   O caminho deve ser como UNC ou seja \\servidor\pastacompartilhada\%Username%

(3)   Os Rups não são nada mais que um compartilhamento num servidor que contém as informações do perfil do usuário, não é de modo algum uma propriedade do objeto de usuário.

(4)   Em versões anteriores o sistema fazia download de toda a pasta do usuário e não apenas uma sincronização dos arquivos alterados e dos novos.

18

(5)   Tome cuidado com configurações pré-definidas e hardwares incompatíveis, por exemplo resolução de tela não suportada para determinado monitor.

7º resumo

Já estamos entrando no 7º artigo de nossa série. Este artigo tratará sobre contas de grupo. Veremos os tipos de contas de grupos, escopos de contas de grupo, gerenciamento de contas de grupo e algumas ferramentas de automatização e suas funcionalidades práticas.Após essa lição o leitor poderá ter uma base sobre como configurar contas de grupo num ambiente Windows com Active Directory, gerenciar e, obviamente, o leitor, terá uma base para a prova de certificação Microsoft 70-290. Nosso próximo artigo, também extremamente útil não só do ponto de vista da prova como também do ponto de vista de profissional e da segurança da rede AD, será sobre contas de computador. Na mesma semana que haverá a publicação deste ultimo artigo haverá um simulado sobre todo o conteúdo visto até agora.  Este simulado terá seu gabarito divulgado na outra semana (dia 15.02).

Primeiramente, precisamos entender o que é um objeto de conta de grupo. Objeto de conta de grupo é um container que armazenará informações de usuários, computadores e outros objetos de grupos de forma organizada. As contas de grupo podem ser de dois tipos: as contas de grupo de segurança que armazenará as informações relativas às ACLs dos usuários nelas contidos e as contas de grupo de distribuição que não armazenará informações de ACL, servindo apenas como um agrupamento (1).

Outro ponto importante ponto acerca dos objetos de grupos é sobre o escopo deles. Porém torna-se imprescindível antes definirmos antes os grupos funcionais de domínio:

Windows 2000 misto: dá suporte a controladores de domínios em Windows NT 4,

Windows  Server 2000 e Windows Server 2003;

Windows 2000 nativo: dá suporte a controladores de domínio em Windows 2000 e Server 2003;

Windows Server 2003 ínterim: Dá suporte aos controladores de domínio NT 4 e Windows Server 2003;

Windows Server 2003; Dá suporte a controladores de domínio em Windows Server 2000.

O entendimento desses grupos funcionais é de extrema importância para o entendimento de escopo de objetos de grupo e para outros assuntos de grande relevância para o exame. Os objetos de grupo em relação aos grupos funcionais, didaticamente, podem ser separados em dois: os que tem suporte ao Windows NT4 e os que não dão suporte a esse sistema operacional. Isso será importante para entendermos conversão de grupo e o escopo em si. Logo, dentro dessa lógica, temos que os primeiros níveis funcionais são Windows 2000 misto e Windows Server 2003 ínterim (dão suporte a máquinas com Windows NT 4) e o outro grupo comporta os níveis funcionais em Windows 2000 misto e Windows Server 2003 (não dão suporte a controladores de domínio com máquinas rodando Windows NT 4). (2)

19

Os escopos de grupo são:

Grupos locais: no grupo 1 (Windows NT 4) dão esse grupo pode conter usuários de qualquer domínio mas está restrito às permissões da máquina ao qual reside. No grupo 2 pode conter usuários de qualquer domínio, porém só podem ser usados no domínio ao qual residem

Grupos Globais: no grupo 1 só podem ser utilizados computadores do mesmo domínio e suas atribuições estão restritas ao domínio. No grupo 2, podem utilizar objetos dentro do mesmo domínio porém suas permissões pode ser utilizadas em qualquer domínio.

Grupos Universais: no grupo 1 não está disponível. No grupo 2, podem ser utilizados em qualquer usuário de qualquer domínio com permissões para qualquer domínio confiável.

O escopo do grupo dentro dessa didática fica fácil de visualizar e de aplicar. Lembre-se que depois de elevar o nível funcional de um servidor para Windows 2000 nativo ou Server 2003 não é possível retornar para o estado anterior e muitas configurações podem ser tornar inútil se utilizado com sistemas como o Windows NT 4. Além disso, convém acrescentar que é possível alterar, ou converter o escopo de um grupo. E para isso temos que analisar as situações nos dois grupos didáticos que criamos. Quando o nível funcional de um controlador de domínio se encontra sob o grupo 2 é possível converter o escopo do grupo considerando os seguintes aspectos:

   -> Pode ocorrer a conversão caso o grupo não seja membro de outro grupo de mesmo escopo.  Por exemplo, um grupo local que é membro de outro grupo local, ou um grupo global que é membro de outro grupo global. Essa regra é fácil de ser lembrada e se refletirmos um pouco é bastante lógica.

No caso do grupo didático 1:

   -> Pode ocorrer a conversão de domínio local para global

   -> Pode ocorrer a conversão caso o grupo local não seja membro de outro grupo local.

Todas essas funcionalidades aqui citadas estão presentes dentro do snap-in “Usuários e computadores do Active Directory” e para criar um grupo segue a regra do clicar com o botão direito-> novo-> grupo e as propriedades para conversão de grupo estão como propriedade do objeto de grupo.(3)

Na criação de grupos é possível delegar a administração daquele grupo para um usuários ou outro grupo. Isso se faz por meio da aba “gerenciado por”, que receberá permissões administrativas para efetuar alterações dentro daquele grupo. A aba Geral nos apresenta informações acerca do grupo – Nome do grupo, escopo e tipo de grupo, além de observações. A Aba Membros é onde serão acrescentados os objetos de usuários, objetos de computadores e/ou outros grupos. A aba Membro de é onde o grupo se associará – ou não a outros containeres do AD. A aba Segurança é onde serão distribuídas as permissões para o grupo.

Existem grupos dentro do sistema operacional Windows que são chamados identidades especiais e não podem ser excluídos por nenhum usuário ou administrador. Eles representam grupos gerais para situações especificas. Não aparecem no MMC como um objeto de grupo. Essas identidades especiais são:

20

Todos: representa todos os usuários da rede, e todos os usuários estão dentro desse grupo.

Rede: Representa os usuários que acessam algum recurso local pela rede.

Logon anônimo: representa os usuários que acessam um recurso local pela rede sem efetuar o processo de autenticação.

Usuários autenticados: representa os usuários que acessam um recurso local pela rede efetuando autenticação.

Proprietário criador: refere-se ao usuário que criou ou assumiu a propriedade de determinado recurso.

Discagem: refere-se aos usuários conectados à rede por meio de conexão discada.

Ferramentas de automação/gerenciamento de objetos de grupos

LDIFDE ou formato de troca de dados (LDIF – Data Interchange Format) é uma ferramenta para processar operações em arquivos de lotes dentro do protocolo LDAP (Ligthweight Access Protocol). È usado para importações ou exportações de dados. Pode se utilizar de pipes com o comando DSQUERY. Comporta vários parâmetros que entre eles estão a utilização em um servidor remoto ou local com outro nome de usuário e senha.

DSADD permite a criação de grupos da mesma forma que a vista anteriormente para criação de usuários, porém com algumas diferenças na sintaxe. Pode ser utilizados com pipes de outros comandos entre eles o DSQUERY e comporta os parâmetros para a criação em servidores remotos ou local outro com nome de usuários e senha.

DSGET obtém informações a partir de uma propriedade especificada. Pode ser utilizado com pipes em outros comandos. Comporta os parâmetros para a criação em servidores remotos ou local outro com nome de usuários e senha.

DSMOD altera as propriedades de um grupo e de vários. Pode ser utilizado com pipes em outros comandos. Comporta os parâmetros para a criação em servidores remotos ou local outro com nome de usuários e senha.

Notas(1)   As contas de grupos de distribuição servem normalmente para serem usadas para distribuição de e-mails e/ou para organizar usuários dentro da organização e departamentos dessa. Por exemplo, uma lista de distribuição para o setor de almoxarifado em que contém os usuário que ocupam diversos cargos na organização, desde o pessoal de TI do departamento até o gerente deste setor.

(2)   Esse grupos de níveis funcionais são apenas didáticos. De maneira alguma será cobrado assim na prova de certificação e sim pelos grupos funcionais em si.

(3)   Diga-se de passagem que não é possível alterar o escopo de um grupo se o controlador de domínio não estiver com o nível funcional em Windows Server 2000 nativo ou Windows Server 2003.

21

8º resumo

Estamos em um dos tópicos mais importantes para a segurança de um AD e, sendo assim, bastante cobrados na prova de certificação. Estaremos vendo nesse artigo sobre objetos de contas de computador . A leitura desse artigo é especialmente importante para o Administrador de redes Windows pois com esse recurso do AD podemos prevenir entradas indesejadas em nossos domínios e/ou distribuir permissões de forma granular e administrável. Teremos como recurso principal o MMC Usuários e Computadores do Active Directory, mas veremos também ferramentas de linha de comando como o DSADD, NETDOM e outras mais anteriormente estudadas – com outro escopo, para criação e gerenciamento o ambiente AD.

Inicialmente, precisamos saber que todos os computadores dentro do AD tem uma SID e, decorrente disso, possui uma identificação SAM. E todo o computador que se autentica em um domínio possui uma conta de computador em um banco de dados de algum domain controller  da floresta. Porém essas contas quando não foram movidas para um container especifico o Active Directory se encarrega, por padrão, de mover esse objeto para a OU Computers.  Para criar uma conta de computador antes de o computador se autenticar no domínio temos três opções: clique com o botão direito do mouse no MMC no contêiner em que se deseja criar o objeto clique em novo e em computador. Ou no prompt digite “DSADD  computers ND(do objeto)” (da mesma forma como vista anteriormente este comando aceita pipes e outros parâmetros que devem ser estudados com /?). Ou, ainda, no prompt digite “NETDOM add ND(computador) / domain:nome_dominio /userd: Nome_usuário /password: senha”

Criar a conta de computador é o primeiro passo no processo temos também que associar a conta a um domínio. Para essa associação é necessário ser administrador local, eis uma razão para nenhum usuário final ser administrador local. Digite sysdm.cpl em iniciar -> executar, ou execute qualquer outro caminho que chegue nessa mesma tela, seja pelo painel de controle ou em propriedades de meu computador. Na guia nome do computador clique em alterar e selecione domínio. Quando o computador encontra o domínio digitado solicita autenticação de um usuário que possa associar aquele computador ao domínio. Essa associação pode ser feita por um administrador, operador de conta ou usuário com essa delegação de permissão (veremos sobre delegação de permissão para associar um computador ao domínio em um trecho mais adiante). Se o AD não encontra a conta daquela máquina ele cria uma na OU computer com as permissões dessa OU, se ele encontra essa conta já vincula a uma SID e verifica as alterações de grupo e permissões.

As melhores práticas ditam que é mais correto criar a conta antes de associar ao domínio. Pois além das permissões padrão da OU computers, que não podem ser alteradas, o administrador terá um trabalho extra ao mover para uma nova OU. Entretanto, é possível alterar a localização de um objeto de computador entre containeres simplesmente arrastando no MMC ou utilizando o comando DSMOVE.

Configurações de Segurança e Administração de objetos de contas de computador

Ao criar um objeto de conta de computador muitas propriedades não estarão disponíveis para visualização. Essas propriedades incluem localização e descrição, associações de grupo, permissões de discagem e vinculação a um usuário/grupo

22

gerente do computador. O gerente do computador pode receber permissões para vincular a conta de computador ao domínio não sendo este usuário do grupo administradores (qualquer um) ou operadores de conta.

Outra funcionalidade de se utilizar objetos de contas de computador é que com eles torna-se possível conectar diretamente a eles, via MMC, e verificar logs e configurações da máquina pertencente àquele objeto. Para isso é precisamos ter uma forma de encontrar esse objeto em meio a outras dezenas de centenas de objetos no domínio. Para isso existem as ferramentas de linha de comando já citadas e/ou o recurso localizar objetos do MMC, em que podemos filtrar por computadores em determinado diretório. Podemos utilizar os filtros nome do computador, proprietário ou função, ou uma mescla deles.

Um ponto importante para ser observado aqui é que os objetos de computador não são vinculados por MAC ID ou IP e sim pelo seu NETBIOS. O que significa que podem ocorrer os problemas a seguir.

Pode ocorrer de um computador não conseguir se conectar ao domínio. De modo resumido temos quatro alternativas para resolver o problema, ou uma mistura delas:

   -> Redefinir a conta de computador

   -> Criar uma conta de computador

   -> remover o computador do domínio

   -> re-associar o computador ao domínio

Aplicando esse método sempre teremos êxito no trabalho assim como na prova de certificação. Antes de explicarmos o método é bom analisarmos alguns conceitos como Exclusão, desativação e redefinição de contas.

Exclusão é feita quando uma máquina não vai mais ser utilizada por aquele domínio, este caso exige cuidado pois a exclusão apaga o SID do objeto e se algum usuário tiver privilégio para re-associar um computador ao domínio ele poderá fazê-lo. Ao contrário da exclusão a desativação na permite o logon do computador no domínio e não exclui o SID do objeto, podendo ser reativado a qualquer momento. Redefinição de conta de computador na mais é do que a alteração da senha do computador sem alterar outras propriedades da SID, é utilizada em caso de atualização de sistema operacional e outros problemas com conta.

Terminamos aqui um dos nossos mais breves artigos, porém um dos mais importantes para um administrador de redes Windows e devido a sua facilidade este capitulo representa alguns pontos que não podem ser deixados para traz. Lembro que haverá um simulado no Fórum com questões relativas a esse artigo e que somam muito para quem precisa da certificação MCP e/ou para quem deseja se aprimorar em AD. Espero que vocês façam uma boa leitura desse artigo e, como sempre, quaisquer duvidas podem ser postadas diretamente no fórum HTTP://www.seghurancati.com.br.

9º resumo

23

Este artigo tratará de um tópico muito importante tanto para o exame quanto para a vida profissional do leitor. Este artigo estudará compartilhamento de pastas, permissões NTFS e de compartilhamento, propriedades de segurança de pastas compartilhadas, propriedade, herança, Auditoria de segurança de pastas e serviços IIS no tratamento do exame 70-290.

Compartilhamento de pastas

O compartilhamento de pastas é habitualmente feito pelo próprio Windows Explorer e suas propriedades de segurança alteradas por ali mesmo. Porém quando se tem um controle centralizado que necessita alterações de compartilhamentos remotos, ou ainda, alterar alguma propriedade de uma pasta compartilhada em algum servidor não é possível por esse mecanismo. Igualmente, há o snap-in Gerenciar pastas compartilhadas que o faz muito bem e permite alterações e criação de pastas compartilhadas remotamente.    Ao abrir a ferramenta vemos alguns compartilhamentos que não foram feitos pelo administrador, tampouco aparecem como pastas compartilhadas no Explorer. Esses compartilhamentos são compartilhamentos administrativos que fazem a conexão com arquivos de sistema. Por exemplo, a pasta raiz do Windows e as raízes de cada diretório. Esses compartilhamentos não estão disponíveis para qualquer usuário e nem são visualizáveis pelo Minha rede. Esses compartilhamentos são ocultos, acessáveis apenas pelos Administradores por meio do caminho UNC (\\servidor\compartilhamento) o cifrão após o nome do compartilhamento significa e oculta o caminho, tornando-o  accessível apenas por meio do caminho UNC. O cifrão não torna a pasta disponível apenas para os usuários administradores apenas oculta o compartilhamento, ao contrário do que poderia se pensar.

O snap-in Gerenciar pastas compartilhadas permite a criação de compartilhamentos da seguinte maneira: clique com o botão direito  do mouse, caso queira se conectar a outro computador selecione Conectar-se a outro computador e siga as instruções a seguir, caso queira um compartilhamento em uma maquina local apenas clique em novo compartilhamento nas opções que aparecem ao pressionar o botão direito do mouse sobre o nó compartilhamentos.

A janela que se abrirá necessitará do caminho da pasta que será compartilhada. Digite esse caminho como se fosse em máquina local, caso não o seja. Na janela a seguir teremos que digitar o nome do compartilhamento, apenas tome nota de dois pontos básicos sobre esse nome: deve ser curto (menos de 8 dígitos) para não causar problemas em versões antigas do Windows e que esse nome será utilizado na UNC para identificar o caminho para a pasta compartilhada, logo, nomes coerentes e curtos são boas práticas. A descrição é uma breve descrição do que a pasta trata e servirá para consultas. As configurações Off-line também são feitas nessa janela e permitem que os arquivos da pastas estejam disponíveis mesmo que o usuário não esteja conectado com a pasta compartilhada. A próxima guia, Permissões será tratada com mais rigor no próximo tópico. Permissões

Existem dois tipos de permissões que podem ser aplicadas numa pasta compartilhada. As permissões de compartilhamento e as permissões de arquivo. As permissões de compartilhamento  são simplesmente Leitura (permite a exibição de arquivos e pastas, permite executar arquivos e abrir outras pastas dentro desta), Alterar (permite todas

24

as permissões concedidas à leitura mais alteração e exclusão de arquivos) e Controle total (permite alterar a propriedade dos objetos e pastas).

As permissões de compartilhamento são por padrão Leitura num compartilhamento executado pelo Explorer, porem isso se torna um pouco complicado d gerenciar quando misturamos com restrições das permissões NTFS que por sua vez são de uma lista um pouco maior e mais abrangente que as permissões de compartilhamento. As permissões de Arquivo NTFS só estarão disponíveis para partições NTFS. O gerenciamento fica complicado pois as permissões mais restritivas sempre terão prioridade nesse caso. Ou seja, se determinado usuário tem permissão para controle total nas permissões NTFS e tem apenas leitura nas permissões de compartilhamento o sistema permitirá apenas leitura da pasta.

Sobre prioridades nas permissões teremos algo assim:

As permissões mais restritivas entre as de compartilhamento e NFS serão as permissões reais.

As permissões permitir são cumulativas para ambos os casos.

As permissões de arquivo substituem as permissões de pastas para as NTFS.

Uma permissão negar tem precedência sobre uma permissão permitir.

As permissões explicitas tem precedência sobre as permissões herdadas. Incluindo uma permissão explicita permitir sobre uma negar. Em que aquela terá precedência sobre esta.

Mais alguns aspectos sobre Permissões

As permissões de compartilhamento se aplicam apenas pelo acesso por rede, não se aplicam a outras formas de acesso a exemplo de HTTP, FTP, etc.

As permissões de compartilhamento não se replicam por meio do serviço de duplicação de arquivos

As permissões de compartilhamento se perdem ao restaurar um backup.

As permissões de compartilhamento permitem um único modelo de compartilhamento para todas as pastas abaixo da pasta principal.

Não é possível configurar auditoria por meio das permissões de compartilhamento

É boa pratica dar leitura e alterar como permissão para as pastas compartilhadas e utilizar as restrições de NTFS par facilitar o gerenciamento dos compartilhamentos.

É possível desativar ou mesmo desconectar sessões do compartilhamento por meio do snap-in tratado até aqui.

10º resumo

Neste 10º artigo da série MCP 70-290 estaremos dando continuidade ao sistema de segurança de pastas e arquivos. No artigo anterior discutimos sobre permissões de arquivo, no presente artigo trataremos sobre ponto de extrema importância para um

25

entendimento mais aprofundado sobre permissões de pastas e arquivos: herança, propriedade e permissões efetivas. Outro ponto que será tratado será a auditoria de acessos e uso do sistema de arquivos.

Herança

É a permissão replicada que vêm das pastas que comportam a pasta em questão. Ou seja, quando ativada a herança todas as pastas e arquivos abaixo daquela pasta terão as mesmas permissões que esta. É interessante lembrar que o Windows permite a substituição da permissão herdada e nesse caso temos que nos lembrar das regras de prioridade de permissão conforme o artigo anterior: permissões de negação têm prioridade sobre as permissões de permissão e permissões explicitas têm prioridade sobre permissões herdadas, logo, permissões permitir explicitas tem prioridade sobre permissões negar herdadas.

A Substituição de uma permissão herdada  pode ser fazer de duas formas: ou bloqueando para determinada pasta as permissões herdadas e aplicando permissões explicitas ou apenas atribuindo permissões explicitas para a pasta.  Quando você bloqueia a herança na guia Configurações de segurança avançadas, que se encontra nas propriedades de segurança da pasta, desmarcando a opção permitir permissões herdáveis do pai sejam propagadas a este objeto o Windows permite que você escolha entre copiar as permissões do pai, remover atribuir novas permissões ou não fazê-lo numa caixa de dialogo. A primeira opção cria permissões NTFS iguais às da pasta pai a segunda opção remove todas as permissões da pasta exigindo que o usuário faça as configurações de segurança de pastas novamente.

As permissões são aplicadas na guia configurações de segurança avançadas pelos check Box permitir que as permissões ... e substituir em todos os objetos.... Porém, o leitor pode se perguntar se essas permissões são aplicadas apenas quando marcados os check Box e se for criada uma nova pasta? Na realidade a primeira permissão continua a distribuição da herança dentro da pasta pai e a segunda substitui as permissões das pastas pelas permissões herdadas e, ainda, quando é criada uma nova pasta, por padrão, o Windows “marca” essas duas caixas.

As permissões herdadas ficam esmaecidas quando vistas no editor de ACL e não são marcáveis ou desmarcáveis, ou seja, não é possível desmarcar permissões herdadas, apenas substituí-las ou bloqueá-las. Porém isso dificulta muito o nosso trabalho. Pois, há permissões de compartilhamento, permissões NTFS explicitas e as herdadas, há permissões negar e permitir... Bom, enfim, há diversos fatores que podem dificultar o gerenciamento das permissões. Uma boa ferramenta – não é perfeita, mas muito útil, é a ferramenta de permissões efetivas.

Essa ferramenta nada mais é do que as permissões NTFS resultantes para determinado grupo ou usuário. Ela não é sempre o único caminho pois não apresenta as permissões de compartilhamento, referentes a logon (anônimo, interativo, rede, restrito etc). Esse recurso se encontra na ultima aba das configurações avançadas de segurança.

Propriedade

Propriedade é o objeto de segurança que define o proprietário de determinado objeto. A propriedade de um objeto permite que o proprietário altere as permissões ACL daquele objeto. O criador de determinado objeto é o proprietário criador daquele objeto ou pasta. Os usuário do grupos administradores ou usuários que tenham recebido o direito de apropriar-se (como os usuários do grupo operadores de Backup ou se concedida essa permissão para algum usuário).

26

Logo, se um usuário cria uma determinada pasta ou arquivo ele é o proprietário criador e pode alterar as permissões NTFS para aquele objeto, inclusive tirando de si mesmo o controle total do objeto. Um administrador pode transferir a propriedade daquele objeto para outro usuário concedendo que esse tenha acesso para alterar as permissões de ACL para o objeto.

Auditoria de acesso a arquivos

A auditoria deve inicialmente estar ativada por meio de diretiva, em seguida deve ser ativada para as pastas que necessitam de auditoria. As auditorias permitem propagação via herança assim como as permissões.  Elas são configuradas na guia auditoria da janela de configurações de segurança avançadas da pasta.

A configuração é feita escolhendo-se o usuário ou grupo que será auditado e em seguida, em outra tela, aparecem as entradas de auditoria: controle total, listar pasta/ler dados, ler atributos estendidos, excluir, etc...

Os Logs de auditoria tendem a ficar monstruosos com o tempo por esse motivo é boa prática estar sempre se utilizando de poucas entradas de auditoria, apenas as necessárias. Os logs de auditoria são visualizáveis e exportáveis para formatos .csv que podem ser utilizados no Excel em que podemos aplicar filtros e outros recursos para facilitar a auditoria. Esses logs ficam gravados no visualizar eventos sob o nó Segurança.

11º artigo

Nos artigos anteriores estivemos comentando as permissões de arquivo e compartilhamento e para finalizar essa parte e cobrirmos o exame 70-290 estaremos discutindo o IIS (Internet Information Services). Ao contrário do que pode parecer o IIS não gerencia apenas conteúdo de internet, como também de intranet e servidor de aplicativos.

IIS

O IIS pode ser instalado de diversas formas tanto pela janela gerenciar servidor, quanto pelo painel de controle -> adicionar/remover programas-> adicionar/remover componentes do Windows quanto pelo carregamento do CD de instalação do Sistema Operacional.

Depois de instado o IIS permite que sejam  adicionados componentes que o torna uma ferramenta muito versátil. Atualmente estamos na versão 7.0 no Windows  Vista e  Server  2008, porém a versão deste curso é, ainda, a 6.0 pois é a versão que se utiliza o Windows Server 2003. Todos os componentes do IIS vêm por padrão desativados ou desinstalados para reduzir-se a superfície de ataque contra possíveis vulnerabilidades.

Ao instalar o IIS vem um site criado para se testar a conexão. Por hora é interessante saber que este site pode ser alterado e para utilizar-se de conteúdo dinâmico, não representa o caminho físico do recurso no servidor, pode ser protegido por 7 tipos de autenticação para sites HTTP e 3 para sites FTP e utiliza-se de chamadas de rede na porta 80 e/ou 21 para HTTP e FTP respectivamente podendo ser alterada.

27

Configurações Básicas

Não é escopo do exame 70-290 a configuração aprofundada do IIS tampouco os aspectos mas aprofundados desta ferramenta. É base do exame,sim, as configurações e noções básicas sobre esta ferramenta.

   Logo, para termos essa noção vai alguns conceitos importantes:

O IIS utiliza-se de um drivers kernel (HTTP.sys) que melhora o tempo de resposta das chamadas de recursos, além de trabalhar sob classes de aplicativos que tornam o servidor muito mais seguro em termos de disponibilidade, pois se alguma aplicação se tornar instável ele pode para ou reiniciar aquela chamada isoladamente sem desabilitar o site. O recurso que monitora essas chamadas é chamado de health monitor e verifica periodicamente todos os processos, recursos e chamadas de classes de aplicativos no servidor.

Outra definição que a Microsoft vem trabalhando há algum tempo é o que eles chamam de que o IIS é seguro por padrão ou “Locked Server  by default” que significa que a instalação do IIS por si só não pode ser expor muitas brechas de segurança pois vem com todas as configurações padrão fechadas e indisponíveis para ataques. Uma das razões do IIS não vir instalado por padrão no Windows é que um serviço que pode ser “chamado de fora” apresentaria riscos para a proteção da rede, como qualquer servidor web.

O backup de arquivos do servidor não garante o retorno das configurações da metabase de configurações. Para que a configuração seja mantida numa recuperação de Backup precisa-se fazer a configuração no próprio IIS que gera um arquivo XML.

Permite monitoramento remoto de sites, usuários, permissões, etc.

Diretório base/ site é a localização física dos recursos a serrem fornecidos por determinado nome de DNS.

Diretório virtual é o ALIAS que aponta o IIS para um recurso físico numa maquina local ou num servidor da rede.Os acessos no IIS podem ter permissões definidas pelas ACLs no IIS ou pelo sistema de arquivos NTFS.

As autenticações de web se dividem em: anônima em que os usuários podem acessar áreas públicas do site sem uma autenticação; básica é q autenticação que exige uma conta de usuários local ou do domínio e não tem suporte a criptografia; Digest mesma autenticação que a anterior porem suporta criptografia pelo protocolo HTTP 1.1; Digest Avançada é quando a conta de usuário faz parte de um AD e permite criptografia, tem a necessidade que o brownser seja de versões IE 5 ou superior ou outro que suporte este tipo de autenticação; Integrada com Windows criptografa o nome e usuário antes de trafegar na rede, por meio de um handshaking entre o usuário e o servidor IIS; certificado e o tipo de autenticação que adiciona a chave de segurança SSL na comunicação entre cliente servidor, sendo apenas disponível se houver na rede os serviços de certificados; .Net Passaport, por meio SSL simples e scripts adiciona a segurança à autenticação.

As Autenticações de FTP são apenas da forma: anônima que não exige nome de usuário e senha; Básica faz logon por meio de usuário e senha, porém o protocolo FTP não permite  criptográfica, logo é passado em texto puro o nome de usuário e senha.

28

Não confundir com o protocolo SFTP, que é  utilizado por alguns  roteadores (principalmente CISCO) e pela autenticação de Linux por SSH. Este último permite compressão e criptografia o primeiro não.

Acesso a recursos e permissões

O IIS permite como dito anteriormente, a definição de acessos a recursos além das permissões NTFS. Estas permissões de diretório são:

   Ler (opção padrão): usuários podem visualizar o site.

 Gravar: os usuários podem alterar o conteúdo a propriedades do arquivo.

Acesso ao código-fonte: apenas disponível se as duas opções anteriores forem marcadas. Permite ao usuário a visualização, situação perigosa se verificarmos que os usuários nesse caso têm permissão para gravar também. Utilize esta permissão com sabedoria.

 Pesquisa no diretório: o usuário pode listar o conteúdo do diretório virtual.

Há ainda as permissões de execução de aplicativos, que são:

 Nenhuma : auto-explicativa

 Somente scripts: permite apenas a execução dos scripts sem as chamadas a aplicativos no servidor.

 Scripts e executáveis: permite fazer chamadas a aplicativos, inclusive bibliotecas DLL, no servidor.

Bom, acredito que seria possível  continuar escrevendo este artigo sobre IIS até completar um livro com diversas páginas, mas mantendo o foco no exame acredito que seja apenas isso que precisaremos por hora. Posteriormente, será escrito um artigo mais detalhado sobre  essa ferramenta. Agradeço a todos a atenção e espero que tenha sido de bom proveito a leitura deste artigo. Estou aberto a críticas assim como estarei de prontidão para esclarecer possíveis dúvidas sobre os assuntos que escrevo e qualquer assunto no campo de informática (aquilo que não souber naquele momento farei uma aprofundada pesquisa), que deverão ser feitas no fórum (http://www.segurancati.com.br) de preferência.

12º artigo

Neste artigo será discutido sobre Backup de dados. Há outro artigo neste fórum sobre o NtBackup que é a ferramenta de backup do Windows Server 2003, porém neste artigo estaremos nos focando no exame 70-290

 Tipos de backup

O NtBackup permite 5 tipos de backups diferentes. Porém para entender estes backups é necessário entender o que é o atributo “arquivo”. Este atributo é utilizado para backups em outros sistemas operacionais também de forma um pouco diferente. O atributo reserva em determinada parte do arquivo alguns bits para essa verificação. Quando o arquivo é alterado o atributo é marcado quando o atributo é feito alguns

29

tipos de backup este atributo é desmarcado e o sistema de backups ”passa” por cima deste arquivo sem copiá-lo para o backup.

   Sabendo disso podemos continuar dizendo que os backups são

   Normais: Quando o backup não se utiliza do atributo para copiar o arquivo, mas quando encontra arquivos com este atributo os desmarca.

   Incrementais: Verifica o atributo arquivo e desmarca.

   Diferenciais: Verifica o atributo arquivo, mas não desmarca.

   Cópia: Copia todos os arquivos sem verificar atributo e nem desmarcar.

   Diário: não verifica atributo nem desmarca, mas a data de alteração do arquivo.

Considerações sobre tipos de backups e possíveis estratégias de combinações

Os backups do tipo normal ou cópia são geralmente muito lentos. Se for aplicado em um servidor com grande volume de dados pode demorar muito tempo para terminar a tarefa. Por outro lado, os backups incrementais e diferenciais são mais rápidos. Porém, esses dois não podem ser a única configuração para um servidor por não conter todos os dados necessários à restauração do servidor. O backup incremental é a rotina mais rápida para realizar, mas a restauração exige que se tenham todos os backups anteriores até o ultimo backup normal. Logo, a restauração não é muito rápida e exige que se siga a ordem cronológica dos backups.

Uma rotina interessante de se aplicar e fazer um backup normal e em determinado período de tempo realizar backups diferenciais. E em outro período realizar backups de cópia. Assim, se for necessária a restauração do backup restaura-se o último backup normal e o ultimo diferencial. Se o espaço de tempo entre os backups normais forem muito grandes os últimos backup diferenciais tendem a demorar mais por haver uma maior quantidade de arquivos a serem copiados. E o backup de cópia garantiria que mesmo que todos os outros backups não pudessem ser restaurados esse seria. O problema desse é o tempo de realização da cópia e o tempo de restauração.

Outra situação seria a criação de um backup normal semanal ou quinzenal e diariamente um backup incremental. É uma forma rápida de backup, mas a restauração é lenta e burocrática. Pois, tem-se que restaurar o backup normal e na ordem dos backups todos os outros backups incrementais.

É boa pratica e muito recomendável simular as rotinas de backup e restauração para que em momentos críticos a restauração tenha um tempo estimado de termino e ocorra com certa tranqüilidade.

 Restauração de Backups

A restauração de backup pode ocorrer, em relação ao local de restauração, de três formas:

   Local original-> todos os arquivos e pastas são restaurados no mesmo local que se encontravam no momento da cópia. Se houverem pastas que não existam no momento da restauração essas pastas serão criadas.

30

   Local alternativo-> os arquivos e pastas do backup são restaurados em um local definido pelo usuário no momento da restauração. Toda a arvore de pastas será disposta normalmente dentro do local indicado na restauração.

   Pasta única-> todos os arquivos são restaurados numa única pasta sem identificar a estrutura de pastas anterior.

Os backups em relação aos arquivos pré-existentes podem se dar de três formas:

Não substituindo os arquivos no computador. O que faz com que o arquivo no backup não seja restaurado se ele já existir no disco de origem.

Substituir o arquivo no disco quando ele for mais antigo. Se houver um arquivo no disco e este for mais antigo do que o existente no backup  a restauração sobrepõe o arquivo do disco de destino.

Sempre substituir o arquivo no computador. Esta opção substitui o arquivo independente de data do arquivo do disco de destino. Ou seja, por padrão ele sobrepõe.

Um item importante de se observar antes de se efetuar o backup ou de se restaurar o backup é a data do computador. Pois, se a data estiver incorreta é muito possível que a data de modificação dos seus arquivos esteja incorreta e o backup será restaurado incorretamente num caso de necessidade.

NtBackup: ferramentas e serviços

VSS (volume shadow service) serviço de cópia de sombra de volume. Esse serviço mantém o backup rodando mesmo que algum usuário ou serviço do sistema esteja utilizando algum arquivo. No caso de uma cópia normal alguns arquivos podem não ser copiados quando o VSS estiver rodando o sistema não é bloqueado pela copia de um arquivo em utilização nem bloqueia usuário algum que porventura tente acessar aquele arquivo no momento do backup. Esse serviço está disponível sob o serviço de nome “cópia de sombra de volume” no snap-in serviços (services.msc).

Os backups podem ser efetuados por administradores do sistema e por usuários de grupo operadores de backup, que têm a permissão para alterar as permissões NTFS de determinada pasta ou arquivo, ou mesmo de alterar o proprietário de determinada pasta ou arquivo. Por isso, é de fundamental importância a manutenção das fitas de backup ou qualquer outra mídia de backup em local seguro de furtos.

Uma das funções importantes do Windows Server 2003 em relação a backup é o gerenciamento de mídia. O gerenciamento de mídia é feito pelo snap-in de extensão que se encontra dentro do snap-in gerenciamento do computador (armazenamento removível-> pools de mídia). Esse utilitário reconhece automaticamente as mídias que nele são inseridas e quanto às mídias de backup no pool ela pode ser de quatro maneiras:

Não reconhecidas: mídias em branco ou em formato desconhecido. Mantêm-se desta forma até serem formatadas. Livres: mídias recém formatadas ou marcadas como livres. Podem ser movidas para o pool de mídia de backup.

   Backup: mídias que foram utilizadas recentemente pelo utilitário de backup.

31

 Importar: mídias não catalogadas na unidade local do HD. A catalogação move as mídias para o pool Backup.

Para o gerenciamento de mídias quanto a gravação e utilização podemos utilizarmos das ferramentas:

  Formatar uma fita: No Ntbackup clique com o botão direito do mouse em uma fita e clique em formatar.

  Esticar uma fita: botão direito do mouse sobre a fita no NtBackup e clique em esticar.

 Marcar fita como livre: é feito da mesma forma que as opções anteriores.

Lembremo-nos que a formatação não é garantia de que a mídia não pode ser restaurada. Por questões de segurança antes de se desfazer de suas mídias de backup queime-as. Assim como marcar como livre não apaga dados.

Foi falado antes sobre catálogos e chegou a hora de explicar o que se trata de catálogos quando falamos em backup no gerenciador de backup do Windows Server 2003 ( que, por sina, é o mesmo do Windows XP e 2000). Catalogo é um conjunto de backups criado pelo Ntbackup que relaciona os arquivos e pastas nele incluídos. O catálogo é armazenado na mídia e no próprio servidor e facilita a localização de arquivos e pastas no momento da restauração, além de facilitar o gerenciamento das mesmas. O Windows permite excluir catálogo ou Catalogar mídias pelo utilitário de backup. Se o catálogo estiver no servidor o catálogo é carregado imediatamente, quando se encontra apenas na mídia esse carregamento é, em geral, mais lento. O catálogo em mídia é, além de tudo, uma boa prática pois se o catalogo não existir em outro servidor é facilmente recriado em discos locais., ou seja o catalogo pode ser recriado a partir do catalogo da mídia de backup.

Há algumas outras opções que não são de extrema importância no momento da copia ou restauração, mas devem ser citadas porque em muitos casos se tornam muito importantes:

   Computar as informações de seleção antes das operações de backup e restauração: essa opção estima o numero de arquivos e tamanho que será copiado ou restaurado antes do inicio da execução da tarefa.

   Usar catálogos de mídia para acelerar a construção de catálogos de restauração no disco: se houver o catalogo em mídia o sistema recria o catalogo antes do inicio da tarefa. Se a mídia estiver com o catalogo faltando ou corrompido o sistema examina todo o conjunto de backup antes do início da operação aumentando em algumas horas o processo, mesmo no caso de a opção estar desmarcada.

 Verificar dados após o backup ser concluído: essa opção não é necessária pois as mídias estiverem em boas condições os backups serão restaurados corretamente. Essa opção verifica depois do termino da restauração os arquivos copiados com os arquivos na mídia, o que torna a restauração ainda mais demorada. E, além disso, se forem copiados os arquivos de sistema eles podem estar sujeitos a alterações durante o backup.

   Fazer o backup do conteúdo das unidades montadas. Essa opção copia (ou não) o conteúdo das unidades montadas, que são os volumes que tem mapeamento para uma pasta dentro de outro volume.

32

Há ainda outras opções que se referem a mídias de backup. Essas opções não devem ser utilizadas quando o backup é feito em arquivo:

   ->Mostrar uma mensagem de alerta quando o utilitário de backup for iniciado e não houver uma mídia reconhecível disponível.

   ->Mostrar uma mensagem de alerta quando o backup iniciar e o armazenamento removível não estiver sendo executado.

   ->Mostrar mensagem de alerta quando a nova mídia for inserida

   ->Sempre permitir o uso de mídias reconhecíveis sem perguntar antes.   Bom, como esse artigo está demasiadamente grande e estamos ainda no meio do assunto acredito que seja melhor e mais produtivo encerrarmos este artigo por aqui e continuarmos em outro artigo do ponto que paramos.

Retornando do ponto de onde paramos no artigo passado...

13º resumo

A ferramenta de backup do Windows Server 2003 (na verdade é a mesma ferramenta desde o Windows NT só mudou para o Vista) permite que se crie um log do backup. O problema do log é que se cria uma lista muito grande de log, pois dependendo da configuração pode listar TODOS os arquivos copiados ou restaurados. Essas configurações podem ser resumidas, que incluirá apenas os logs de erros e arquivos que tenham tido problemas, ou detalhado que reportará todos os arquivos descompactados. O Log ficará em %userprofiles%\Local Settings\Applications Data\Microsoft\Windows NT\NtBackup\Data\ e gravará os últimos 10 registros de backups efetuados. Não é possível alterar-se o caminho ou o numero de registros gravados no log, os mais antigos serão sobrepostos pelos mais recentes.

O NtBackup permite ainda que sejam criados parâmetros para que não sejam copiados determinados arquivos, seja por sua extensão ou arquivos especificados um a um. Isso permite que não sejam copiados os arquivos temporários nem os arquivos que não são de grande importância na restauração do backup.

Outras opções para a restauração e/ou backup de dados pelo NtBackup são: Se possível, compactar dados de backup para economizar espaço. Essa opção não é compatível com alguns tipo de fitas magnéticas e pode causar uma pequena demora na restauração; Desativar cópia de sombra de volume, se essa opção for marcada os arquivos em uso, em muitos casos os arquivos do sistema, não serão copiados para o backup.

Comandos de linha (prompt ou iniciar-> executar)

Esses comandos são muito úteis para o caso de scripts de automatização, mas é possível o agendamento de tarefas de backup e é infinitamente mais fácil utilizar o próprio aplicativo que os comandos de linha. Porém como são cobrados para a prova tenho por responsabilidade introduzi-los aqui.

   A Sintaxe é:

33

   NtBackup backup {“caminho do backup” ou “@nome do arquivo.bks”} /j “Nome do trabalho” /opções

O comando Backup é para especificar a ação: efetuar em backup seguido de caminho que será gravado o backup ou o nome do arquivo de seleção que foi anteriormente gravado pelo aplicativo em interface gráfica. Esse arquivo contém informações relativas aos arquivos e pastas que serão gravadas no backup. Quando utilizado com @ deve ser descrito o caminho completo e nome do arquivo .bks. A chave /j indica o nome do trabalho do backup, que não é necessariamente igual ao nome do arquivo de backup.

Opções para os comandos de linha

 /F “Nome do arquivo” -> indica o nome do arquivo de backup que será criado. Precisa ter o caminho lógico completo. Ex. “C:\Backups\backup.bkf” (bkf = backup file)

   /A -> anexa o backup a um arquivo ou fita

   /N “Nome da Fita” -> especifica um nome para uma fita nova.

   /P “Nome do pool” -> especifica o pool de mídia que contém a mídia de backup.

   /T “Nome da FIta” -> especifica uma fita pelo nome . Não é utilizado para nomear fitas e sim para utilizar fitas já existentes.

   /G “Nome do GUID” -> especifica o nome de uma fita válida no pool de mídias.

Restrições

O comando /F não pode ser utilizado com os comandos /T, /P e /G.

O comando /A não pode ser usado juntamente com os comandos /N e/P e deve ser especificado com o comando /G ou /T quando for usado para uma fita e não um arquivo.

   /N não pode ser utilizado juntamente com o comando /A.

   /P não pode ser utilizado com/A, /G, /F ou /T.

Outras opções e considerações do NtBackup

   /M “tipo de backup” especifica um dos cinco tipos de backup.

   /D “Definir Descrição” especifica um rótulo para o conjunto de backup.

   /V:{Yes | No} verifica os dados após a conclusão do backup.

   /R:{Yes | No} Restringe o acesso à fita ao proprietário ou aos administradores.

   /L:{f | s | n} especifica o tipo de log f=full, s=simple e n=none  (completo, resumido e nenhum).

34

   /RS: {yes | no} faz backup dos arquivos de dados migrados localizados no armazenamento removível.

   /HC:{ on | off} usa compactação de hardware.

   /Snap:{on | off} especifica se o backup deve o VSS.

Os comandos de linha de comando podem ser utilizados e, inclusive, criados pelo agendador de tarefas. Para criar um backup agendado configure um backup e clique em agendar. As opções de agendamento são muito úteis e diversas. Pode se criar rotinas com inicio e fim, etc. Dêem uma pesquisada nas rotinas de backup pelo próprio programa e creio que se familiazarão melhor do que comigo escrevendo aqui. Neste mesmo local você pode ter o seu script escrito por linha de comando. Apenas clique no calendário do agendador e selecione o trabalho. Clique em propriedades e selecione o comando de linha, use copiar (ou Ctrl+C) ecole onde precisa. Fácil, né?

O NT backup permite restaurar e copiar arquivos locais ou em pastas remotas, porém não permite que seja efetuado a copia remotamente. Ou seja, caso seja necessário fazer o backup local e que o arquivo gravado fique em outro servidor deve-se copiar ou gravar o arquivo para o outro local. Não é possível também fazer backups em CDs ou DVDs diretamente.

Outros recursos de backup

  Cópias de sombra de pastas compartilhadas

Lembra-se daquela vez que um usuário com permissão de gravação alterou uma planilha muito utilizada e sem querer salvou informações incorretas naquela planilha. Ou, ainda, quando o gerente comercial sobrepôs ou apagou um arquivo muito importante de dentro de uma pasta compartilhada e o diretor veio babando para cima dele e ele quase chorou para você “dar um jeito”? huahuahua. Então, como profissional experiente você deve ter ativado o recurso oferecido pelo Windows de copia de sombra e retornou os arquivos originais.

Para ativar esse recurso e salvar o pescoço de alguns usuários é simples na partição que você tem uma pasta compartilhada clique com o botão direito do mouse sobre a partição e em propriedades. Lá vá até a aba Cópias de sombra e ative para quaisquer partições que você acredite ser necessário. Com isso o Windows ativa o VSS e cria cópias dos arquivos alterados em um local no HD e para a restauração clique com o botão direito sobre uma pasta ou arquivo e vá até a guia “versões anteriores” nela estarão todos os arquivos gravados com o nome, data e hora. É possível, então, restaurar, copiar ou exibir o(s) arquivos. Em restaurar ele restaura para o local de origem, em copiar o sistema permite que se cole o arquivo em qualquer lugar e no botão exibir é possível executar o arquivo. Há ainda outras opções sobre as cópias de sombra que são:

   Definir o volume de armazenamento para outro volume, ou seja, o sistema grava as copias em outro volume de disco.

   Agendar: aqui se cria agendamentos para as copias dos arquivos. Por padrão o sistema define de segundas às sextas às 07:00 e aos 12:00.

   Limites de armazenamento: o tamanho do cachê que será utilizado para as cópias dos arquivos. O sistema armazena no máximo 63 versões do mesmo arquivo e quando

35

o espaço máximo para as copias é atingido os primeiros são sobrepostos. O padrão do sistema é 10% do volume da unidade.

Ao se desativar a cópia de sombra o sistema exclui todas as copias que porventura foram criadas. Logo, tenha muito cuidado ao se utilizar esse botão. Outro ponto de fundamental importância são as permissões de arquivo. Quando se restaura o arquivo para um novo local o sistema se utiliza das permissões da pasta pai e não das permissões que continham o arquivo antes da cópia e quando se restaura ao local original e se sobrescreve o arquivo aquele assume todas as permissões NTFS deste.

Com este artigo estamos passando, agora, da metade de nossos estudos. Fico muito feliz com isso e com todo o apoio que muitos me vem dando, seja lendo os artigos, elogiando meu esforço ou mesmo criticando. Muito obrigado a todos e, como sempre, espero um feedback.

14º resumo

Conceitos Básicos

Normalmente nós ouvimos falar de se instalar impressoras no Windows quando na verdade estamos instalando uma virtualização de características e comportamentos, drivers, definições de impressão, permissões e etc. que estão vinculados a um dispositivo conectado a uma porta de uma máquina local ou remotamente. Outro conceito que se deve definir bem é quanto a impressoras locais e remotas. Impressoras locais, ao contrário do que a lógica diria, não são aquelas que estão na máquina local e sim aquelas que não são compartilhadas num outro dispositivo de rede. Por exemplo, é

36

possível se conectar diretamente a uma impressora em outra máquina utilizando como se fosse local a única diferença é que a porta vai ser do tipo TCP/IP e não COM ou SERIAL.

Com isso o Windows possibilitou a criação de servidores de impressão muito mais gerenciáveis e com muito mais opções de impressão. Veremos mais à frente que é possível criar pool de impressão, que nada mais é do que uma impressora lógica que suporta diversos dispositivos de impressão, ou,  ao contrário, um dispositivo de impressão que é suportado por diversas impressoras lógicas. No primeiro caso, no spool, é possível que as impressões dos usuários se dirijam para a impressora com menos fila de impressão, ganhando, assim, agilidade nas impressões. No segundo caso, o administrador pode criar diversos padrões de impressão com diversas configurações e prioridades de impressão diferentes.

Instalação de impressoras no MS Windows Server 2003

Primeiramente, devemos ter em mente que tipo de arquitetura se tem em mãos. Sempre que nos utilizarmos de um servidor de impressão temos que entender bem os conceitos acima. Ou seja, sempre que instalarmos um servidor de impressão as impressoras devem ser instaladas como impressoras locais, mesmo que estejam conectadas à outros dispositivos de rede. Mas, antes, vamos salientar alguns pontos sobre servidores de impressão:

   As configurações de impressão são definidas pelo servidor

   Os usuários sabem exatamente em que local da fila de impressão se encontra seu trabalho

   As mensagens de falta de papel ou outras mensagens de erro são apresentadas para todos os usuários da impressora

   Reduz o uso de processamento local permitindo que os usuários retornem às suas atividades logo após o envio do trabalho ao servidor

   Os Logs, permissões, auditoria e monitoramento são centralizados.

Em segundo lugar, temos que instalar o software da impressora (quando for o caso), o que normalmente ocorre quando a impressora não é detectada automaticamente pelo Plug and Play. Se não houver software é necessária a instalação dos drivers compatíveis.Em seguida, nomeia-se a impressora e o compartilhamento. E voilá. Impressora instalada.

Propriedades da impressora lógica

As impressoras lógicas comportam diversas configurações. Algumas dessas configurações podem ser exploradas para criar meios de gerenciamento centralizado, identificação de erros e problemas, gerenciamento de documentos e impressões, auditoria e outras propriedades.

A primeira ferramenta que eu gostaria de estar comentando é sobre os padrões de impressão. São três caixas que contêm, em geral, o mesmo conteúdo, mas para situações diferentes. A primeira caixa de diálogo é a caixa de dialogo propriedades que está acessível quando o usuário manda um trabalho de impressão. Esta caixa

37

relaciona-se apenas com o trabalho de impressão que está sendo enviado naquele momento e sobrepõe  qualquer outro padrão. A segunda caixa de dialogo padrão de impressões está sob o menu arquivo-> preferências de impressão e diz respeito aos trabalhos de impressão pessoais e substituem as preferências padrões. A terceira e ultima caixa de dialogo sobre esse mesmo assunto está na guia Avançado-> padrões de impressão dentro das propriedades da impressora e diz respeito às impressões de todos os usuários que imprimam por ela.

Outro ponto importante sobre as impressoras lógicas é a possibilidade de se atribuir diferentes formulários às bandejas de papel na guia configurações do dispositivo. Que, ainda, conterá configurações referentes à tipo de alimentação da impressora, cartuchos e outras diversas opções de configuração dependendo do tipo de impressora.  Outrossim há as permissões para usuários, que são de forma análoga às permissões de pastas porém neste caso são apenas:

   Imprimir   Gerenciar documentos   Gerenciar impressoras

Dentro dessa mesma linha de raciocínio podemos discutir sobre a criação de pools de impressão e diversas impressoras lógicas para um mesmo dispositivo de impressão. O pool de impressão é acionado na guia Portas dentro das configurações de impressão e por meio deste dispositivo é possível criar direcionamentos para diversas impressoras físicas diferentes. Ou seja, se houverem diversas impressoras no meu parque de máquinas os usuários terão a liberdade de enviar seus trabalhos de impressão e terem sua impressão feita em pouco tempo sem a necessidade de esperar outros diversos trabalhos com mesma prioridade, o Windows gerenciará a impressora mais “livre” e enviará o trabalho para ela. O outro extremo dessa configuração que traz muita flexibilidade é a criação de diversas impressoras para um mesmo dispositivo de impressão. Nesse caso é possível configurar impressoras lógicas com diversas configurações de impressão diferentes, por exemplo determinar para uma impressora lógica uma configuração que dê permissão apenas para os usuários do grupo gerencia e que esses tenham prioridade mais elevada sobre os seus trabalhos de impressão, ou seja, os trabalhos dos usuários deste grupo sejam impressos mais rápidos, furem a fila.

Sobre a programação de impressora é possível comentar que há uma configuração que torne a impressora disponível apenas em determinado horário. É muito útil para o caso de uma empresa com diversos estagiários que imprimam, por exemplo, seus trabalhos fora do horário de expediente à titulo de “hora-extra não remunerada”. Rsrsrsrs quem nunca fez isso?

Outras configurações seriam:

   Utilização de páginas separadoras entre os trabalhos (guia avançado-> pagina separadora)

   Auditoria (será visto ainda nesse artigo com mais detalhes)

   Impressão por IPP (Internet Printing Protocol)- impressão via internet

   Modo de envio de trabalhos para impressora (guia avançado)

   Prioridade de impressão (guia avançado)

38

Ainda sobre os recursos de impressão sou obrigado a comentar sobre a publicação das impressoras no Active Directory que se faz de forma automática, exceto nas versões de Windows anteriores ao Windows NT4 – inclusive, que tem que ser feita pelo MMC usuários e computadores do AD clicar com o botão direito sobre a OU que deve ter a impressora publicada Nova- Impressora. Por padrão o Windows publica a impressora e possíveis alterações dela no AD porém é possível desativar essa publicação por meio da ferramenta Listar diretório em compartilhamento da impressora.

IPP e impressão pela internet

A impressão pela internet é feita pelo protocolo IPP que nada mais é do que um encapsulamento feito para o protocolo HTTP. O principal objetivo de se criar um servidor de impressão com ferramentas para a internet é o gerenciamento, que pode ser feito via site HTTP.

Para funcionar o servidor de impressão na internet é necessária a instalação do IIS e de um componente do IIS: impressão de internet. O site padrão para gerenciamento – em tempo real, das impressoras fica na pasta virtual que é apontada pelo caminho HTTP://nome_do_servidor/Impressoras/ que aponta para a pasta local %systemroot%\web\impressoras.

Ao entrar no site destacado acima você poderá se conectar à impressora que se deseja gerenciar, respeitando-se as devidas permissões – tanto na impressora quanto do IIS, lembrando, inclusive que o IIS dá suporte a autenticação para esse caso também. No caso da impressão por meio de um dispositivo deste tipo é necessário apenas entrar no site e clicar sobre a impressora que se deseja se adicionar. O sistema faz download de um arquivo com extensão .cab com todas as informações relativas à impressora e adiciona automaticamente ao sistema.

As vantagens de se utilizar de um sistema desse tipo são:

   Permite que seja gerenciado do qualquer computador utilizando-se apenas o bronwser.

   Personalização/customização da interface   Fornece uma página com uma lista do status de todas as impressoras

   Gerenciamento em tempo real

Gerenciamento de erros, auditoria e solução de problemas

Um dos mais confiáveis meios de se gerenciar os problemas possíveis e a utilização da impressora é pelo monitor do sistema, MMC de extensão do gerenciamento do computador. Nele obtemos informações sobre (principais e mais úteis) quantidade de bytes impressos, erros de trabalho, quantidade total de trabalhos, quantidade de páginas impressas. Como os monitores do sistema serão melhor explorados em um artigo mais a frente apenas comento aqui para mais para frente comentar melhor. Assim como os logs do sistema referentes a impressão que são ativados nas propriedades do servidor de impressão.

A auditoria de impressoras funcionam de modo análogo às auditorias de usuários, porém são feitas por dispositivo lógico de impressão. O que significa que não é possível

39

auditar separadamente grupos de usuários ou usuários. Apenas se houver dispositivos lógicos separados para estes no servidor de impressão.

A solução de problemas de impressão por meio de um servidor de impressão se dá de forma muito fácil: por módulos e tentativas.

Primeiramente deve-se descobrir se o problema é do aplicativo que não está imprimindo ou está imprimindo incorretamente. Apenas troca-se o aplicativo e envia-se uma nova impressão. Depois se testa a conexão com a impressora: envia-se o trabalho de impressão para outra impressora no mesmo servidor. Se nesse caso imprimir descarta-se o erro de rede ou conexão com o servidor. Em seguida, testa-se a conexão de rede por outras formas: utiliza-se o comando ping contra o servidor e envia-se um trabalho de impressão para um dispositivo local. Por ultimo, verificam-se as configurações de drivers (dependendo do caso este passo pode ser o primeiro), de portas e permissões de impressão.

40