10140A_04 [Modo de Compatibilidade]

download 10140A_04 [Modo de Compatibilidade]

of 39

Transcript of 10140A_04 [Modo de Compatibilidade]

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    1/39

    Mdulo 4Gerenciamento do acesso

    a recursos nos Servios

    de Domnio ActiveDirectory

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    2/39

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    3/39

    Lio 1: Viso geral do gerenciamento de acesso

    O que so entidades de segurana?

    O que so tokens de acesso?

    O que so permisses?

    Como funciona o controle de acesso

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    4/39

    O que so entidades de segurana?

    Entidade de Segurana - Usurios, grupos ou objetos decomputador que podem ser usados para autenticao e para atribuiracesso aos recursos.

    Identificador de Segurana (SID) - Um valor exclusivo atribudoquando um usurio, computador ou grupo de segurana criado. Osprocessos internos do Windows referem-se a um SID da conta em vezde a um nome de usurio ou de grupo da conta.

    - exclusivamente uma conta ou grupo em um domnio.

    Entidade de Segurana

    S-1-5-21-1454471165-1004336348-1606980848-5555

    SID

    RID

    DomainID

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    5/39

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    6/39

    O que so permisses?

    Como as permisses so atribudas?

    Permisses: Regras para conceder ou negar acesso a um objeto So usadas para controlar o acesso

    (pasta, impressora, arquivo)

    As permisses podem ser atribudas a contas docomputador local ou de AD DS

    As permisses podem ser aplicadas de forma explcita ouimplcita, ou herdadas

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    7/39

    Como funciona o controle de acesso

    DACL (Lista de controle de acesso discricionrio)A DACL contm um lista de usurios e grupos que podem acessarou que tiveram o acesso negado ao recurso

    Todo arquivo e pasta em um volume NTFS tem uma DACL

    associada

    SACL (Lista de controle de acesso do sistema)

    ACE (Entrada de controle de acesso)Define cada entrada em uma DACL ou SACL

    Especifica o conjunto de SIDs que ser permitido, negado ouauditado

    Se nenhuma ACE for especificada em uma DACL, o acesso aorecurso ser negado

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    8/39

    Lio 2: Gerenciamento de permisses de arquivos epastas NTFS

    O que so permisses NTFS?

    O que so permisses padro e especiais?

    O que herana de permisses NTFS?

    Impactos nas permisses NTFS ao copiar e mover arquivose pastas

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    9/39

    O que so permisses NTFS?

    Permisses de arquivos Permisses de pastas

    Ler Ler

    Gravar Gravar

    Ler e Executar Listar contedo de pastas

    Modificar Ler e ExecutarControle total Modificar

    Controle total

    As permisses Negar tm prioridade sobre as permissesPermitir.

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    10/39

    O que so permisses padro e especiais?

    Permisses especiais

    Desviar pasta / Executararquivo

    Criar pastas/Acrescentardados

    Ler permisses

    Listar pasta/ Ler dados Gravar atributos Alterar permisses

    Ler atributos Gravar atributos estendidos Apropriar-se

    Ler atributos estendidos Excluir subpastas e arquivos Sincronizao

    Criar arquivos / Gravardados Excluir

    Permisses padro

    Ler Listar contedo de pastas Modificar

    Gravar Ler e Executar Controle total

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    11/39

    O que herana de permisses NTFS?

    Blo ueio

    A herana usada para gerenciar o acesso aos recursos sematribuir permisses explcitas para cada objeto

    Por padro, as permisses NTFS so herdadas em uma relaopai/filho

    A herana de permisso pode ser bloqueada

    O bloqueio pode ser executado no nvel do arquivo ou dapasta

    O bloqueio de pastas pode ser definido para propagar asnovas permisses para os objetos filho

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    12/39

    Demonstrao: Configurao de permisses NTFS

    Nesta demonstrao, voc ver como:

    Configurar permisses NTFS

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    13/39

    Pgina de anotaes - Slide excedente. Noimprima o slide. Consulte o painel de anotaes.

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    14/39

    Impactos nas permisses NTFS ao copiar e moverarquivos e pastas

    Partio NTFS

    C:\Partio NTFS

    E:\Partio NTFSD:\

    Mover

    Copiar

    ouMover

    Copiar

    Quando voc copia arquivos e pastas, eles herdamas permisses da pasta de destino

    Quando voc move arquivos e pastas na mesma

    partio, eles mantm suas permisses Quando voc move arquivos e pastas para outrapartio, eles herdam as permisses da pasta dedestino

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    15/39

    Lio 3: Atribuio de permisses para recursoscompartilhados

    O que so pastas compartilhadas?

    O que so pastas compartilhadas administrativas?

    Permisses de pasta compartilhada

    Conectando-se a pastas compartilhadas

    Consideraes sobre o uso de pastas compartilhadas

    Implantao e configurao de arquivos offline

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    16/39

    O que so pastas compartilhadas?

    possvel compartilhar pastas, mas no possvelcompartilhar arquivos individuais

    As Pastas Compartilhadas so pastas que permitem o acessoao contedo por meio da rede

    Por padro, a permisso das pastas compartilhadas Controle total do usurio que compartilhou a pasta

    As pastas compartilhadas podem ser identificadas:Por meio do Gerenciamento de Compartilhamento e

    Armazenamento do Console MMCNo Windows Explorer, usando o cone com os dois usuriosabaixo da pastaPor meio da linha de comando do Net SharePor meio do Gerenciador de Computador em ArquivosCompartilhados

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    17/39

    O que so pastas compartilhadas administrativas?

    Compartilhamentos administrativos: So compartilhamentos ocultos No so exibidos ao usar o Net View ou na exibio da

    rede

    Os administradorespossuem permissescompletas

    As permisses decompartilhamento nopodem ser alteradas

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    18/39

    Permisses de pasta compartilhada

    Nvel depermisso Acesso

    Ler

    Permite exibir os dados dos arquivos

    Permite a navegao em subpastas

    Os programas nas pastas compartilhadas podemser executados

    Alterar

    Todas as permisses da categoria Leitura

    Novos arquivos e subpastas podem ser criados

    Os dados em pastas existentes podem sermodificados ou removidos

    Arquivos e subpastas podem ser excludos

    Controle total Todas as permisses includas nas categorias

    Leitura e Alterao e a permisso para alterar asconfiguraes de segurana

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    19/39

    Demonstrao: Criao de pastas compartilhadas

    Nesta demonstrao, voc ver como:

    Criar pastas compartilhadas

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    20/39

    Pgina de anotaes - Slide excedente. Noimprima o slide. Consulte o painel de anotaes.

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    21/39

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    22/39

    Conexo de Pastas compartilhadas

    Acesso por meio de UNC:

    A conveno de nomenclatura \\nomedoservidor\compartilhamento ou\\nomedoservidor\compartilhamento\arquivo

    Pode ser acessado por meio do Windows Explorer, linha decomando ou programaticamente

    Acesso por meio da Rede:

    Usa uma ferramenta grfica para procurar compartilhamentosna rede

    Trabalha no domnio ou no modo grupo de trabalho

    No exibe compartilhamentos ocultos ou administrativos

    Utilize o Windows Explorer ou uma linha de comando paramapear uma unidade para \\nomedoservidor\compartilhamento

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    23/39

    Demonstrao: Gerenciamento de PastasCompartilhadas

    Nesta demonstrao, voc ver como:

    Gerenciar o acesso a pastas compartilhadas usando aferramenta de Gerenciamento de Compartilhamento eArmazenamento

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    24/39

    Pgina de anotaes - Slide excedente. Noimprima o slide. Consulte o painel de anotaes.

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    25/39

    Consideraes sobre o uso de pastas compartilhadas

    Ao criar pastas compartilhadas:

    Utilize as permisses mais restritivas possveis

    Evite atribuir permisses a usurios individuais, usegrupos sempre que possvel

    em re-se e que o on ro e o a perm e que os

    usurios modifiquem as permisses NTFS. Tenhacautela ao adicionar grupos ao grupo de permissoControle total

    Adicione o grupo Usurios Autenticados e remova ogrupo Todos das permisses de compartilhamento

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    26/39

    Implantao e configurao de arquivos offline

    Ao criar arquivos offline:

    Selecione uma pasta em um local na rede, sincronize edesconecte o computador

    Edite os documentos com o computador desconectado

    Conecte o computador rede novamente para atualizaras alteraes

    Os arquivos so sincronizados automaticamente

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    27/39

    Lio 4: Determinao de permisses efetivas

    O que so permisses NTFS efetivas

    Discusso: Aplicao de permisses NTFS

    Impactos da combinao de permisses de Pasta

    compartilhada e NTFS

    Discusso: Determinao de permisses efetivas de Pastacompartilhada e NTFS

    Consideraes para a implementao de permisses NTFSe Pasta compartilhada

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    28/39

    O que so permisses NTFS efetivas?

    As permissesNTFS socumulativas

    Modificar

    Executar

    Gravar

    Ler

    Negar temprecedncia

    As permissespodem seraplicadas a umusurio ou a umgrupo

    As permissesde arquivosubstituem aspermisses depasta

    Os criadores dearquivos epastas so seusproprietrios

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    29/39

    Discusso: Aplicao de permisses NTFS

    GrupoUsurios

    O grupo Usurios tempermisso Gravarpara a Pasta1

    O grupo Vendas tem

    permisso Ler paraPasta1

    1

    O grupo Usurios temermisso Ler ara a2

    Partio NTFS

    Pasta1

    Ar uivo1

    Grupo Vendas

    Usu rio1

    Pasta1

    O grupo Vendas tempermisso Gravarpara a Pasta2

    O grupo Usurios tem

    permisso Modificarpara a Pasta1O Arquivo2 s deveestar acessvel aogrupo Vendas com apermisso Ler

    3 Arquivo2

    Pasta2

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    30/39

    Demonstrao: Avaliao de permisses efetivas

    Nesta demonstrao, voc ver como: Avaliar permisses efetivas

    Pgina de anotaes Slide excedente No

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    31/39

    Pgina de anotaes - Slide excedente. Noimprima o slide. Consulte o painel de anotaes.

    Impactos da combinao de permisses NTFS e de

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    32/39

    Impactos da combinao de permisses NTFS e dePasta Compartilhada

    Ao combinar permisses de pasta compartilhada eNTFS, a permisso mais restritiva aplicada

    Exemplo: Se um usurio ou grupo receber a permisso decompartilhamento Ler e a permisso NTFS Gravar, o usurioou grupo somente conseguir ler o arquivo porque essa apermisso mais restritiva

    As permisses de pasta compartilhada e arquivo NTFSdevem ter permisses corretas, caso contrrio, ousurio ou grupo ter acesso implicitamente negado ao

    recurso

    Discusso: Determinao de permisses efetivas de

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    33/39

    Discusso: Determinao de permisses efetivas dePasta compartilhada e NTFS

    Discusso em sala de aula:

    Determinar as permisses NTFS efetivas

    Determinar as permisses de pasta compartilhada

    Volume NTFS

    UsuriosGru o Usurios

    1 Volume NTFS

    Gru o Vendas

    2

    Usurio3

    Usurio2

    Usurio1 Usurio1

    Usurio3

    Usurio2

    CT

    CT

    CT

    CT = Controle total

    GrupoVendas

    Vendas

    Pubs

    RH

    CT

    Consideraes para a implementao de

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    34/39

    Consideraes para a implementao depermisses NTFS e de Pasta compartilhada

    Conceda permisses a grupos em vez de a usurios

    Use as permisses Negar somente quando necessrio

    Nunca negue ao grupo Todos o acesso a um objeto

    Conceda permisses no local mais elevado possvel daestrutura de pastas

    Use permisses NTFS em vez de permisses

    compartilhadas em acesso refinado

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    35/39

    Laboratrio: Gerenciamento do acesso a recursos

    Exerccio 1: Planejamento de uma implementao dePasta compartilhada (Discusso)

    Exerccio 2: Implementao de uma Pasta compartilhada

    Exerccio 3: Avaliao da implementao de PastaCompartilhada

    Informaes de logon

    Mquina virtual 10140A-NYC-DC1, 10140A-NYC-CL1

    Nome de usurio Administrador , Rui, Castro

    Senha Pa$$w0rd

    Tempo estimado: 45 minutos

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    36/39

    Cenrio do laboratrio

    O Woodgrove Bank uma empresa com escritrios emvrias cidades do mundo. Ele implantou o AD DS noWindows Server 2008 e, recentemente, abriu uma novasubsidiria em Toronto, Canad. Como administrador derede designado para a nova subsidiria, uma de suastarefas principais ser criar e gerenciar o acesso a recursos,incluindo a implementao de pasta compartilhada. Porexemplo, os grupos que espelham a organizaode artamental do banco recisam de reas com artilhadaspara armazenamento de arquivos. Alm disso, para que osarquivos sejam compartilhados durante projetos especiaisentre departamentos, preciso que voc tenhacompartilhado pastas.

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    37/39

    Reviso do laboratrio

    Para conceder a diversos colegas acesso a uma pastacompartilhada, o que voc precisa fazer para atribuiracesso de forma mais eficiente?

    Como seria possvel configurar pastas compartilhadas que

    permitem que um departamento compartilhe arquivos emque todos possam adicionar arquivos e ler arquivos dosdemais, mas somente um grupo restrito de pessoas possaeditar o contedo de todos os arquivos?

    Por que talvez voc prefira usar o MMC de Gerenciamentode Compartilhamento e Armazenamento em vez doWindows Explorer para criar pastas compartilhadas?

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    38/39

    Reviso do mdulo e informaes

    Perguntas de reviso

    Consideraes sobre o gerenciamento de pastascompartilhadas e permisses NTFS

    Pgina de anotaes - Slide excedente. No

  • 7/31/2019 10140A_04 [Modo de Compatibilidade]

    39/39

    g imprima o slide. Consulte o painel de anotaes.