Instal and Ow in Active Directory

Allan David Garcia de Araújo

Planejamento de uma redeWindows 2000 Pura

Relatório de Estágiodo Curso Superior de

Tecnologia em Informática

Natal RN2004

Planejamento de uma redeWindows 2000 Pura

Francisco das Chagas de Mariz FernandesDiretor Geral do Centro Federal de Educação Tecnológica

Do Rio Grande do NorteEnilson Araújo Pereira

Diretor da Unidade SedeDante Henrique Moura

Diretor de EnsinoJuscelino Cardoso de Medeiros

Diretor de Administração e PlanejamentoLiznando Fernandes da Costa

Diretor de Relações Empresariais e ComunitáriasAnna Catharina da Costa Dantas

Gerente Educacional de Tecnologia de InformaçãoProfessor Eduardo Janser Azevedo Dantas

OrientadorRaimundo Nonato Camelo Parente

Coordenador de Estágio SupervisionadoAlessandro Xavier

Revisor

Estágio Realizado na Caixa Assistencial Universitário do Rio Grande do Norte –CAURN. Sob a supervisão de Alessandro Xavier, cargo Analista de Sistemas

Natal, 06 de Novembro de 2004

ARAÚJO, Allan David Garcia de. Planejamento de uma rede windows 2000 pura. Natal, RN. 2004.

76p.

1.Planejamento. 2.Rede. 3.Windows. 4.Microsoft. 5.Corporativo. I.Autor. II.Título.

A663p

CENTRO FEDERAL DE EDUCAÇÃO TECNOLOGICADO RIO GRANDE DO NORTE

DIRETORIA DE ENSINOGERÊNCIA DE TECNOLOGIA EM INFORMÁTICA

E EDUCACIONAL DA TELEMÁTICACURSO SUPERIOR DE TECNOLOGIA EM INFORMÁTICA

PLANEJAMENTO DE UMA REDEWINDOWS 2000 PURA

por


Trabalho apresentado em cumprimento àsexigências legais da disciplina EstágioSupervisionado, sob a orientação doprofessor MSc. Eduardo Janser AzevedoDantas, coorientação e coordenação doprofessor MSc. Carlos Alberto de Jesus,para obtenção do titulo de Tecnólogo emInformática.

Natal RN06 de Novembro de 2004

CENTRO FEDERAL DE EDUCAÇÃO TECNOLOGICADO RIO GRANDE DO NORTE

DERETORIA DE ENSINOGERÊNCIA DE TECNOLOGIA EM INFORMÁTICA

E EDUCACIONAL DA TELEMÁTICACURSO SUPERIOR DE TECNOLOGIA EM INFORMÁTICA

PLANEJAMENTO DE UMA REDEWINDOWS 2000 PURA

por


Trabalho apresentado em cumprimento àsexigências legais da disciplina EstágioSupervisionado, sob a orientação doprofessor MSc. Eduardo Janser AzevedoDantas, coorientação e coordenação doprofessor MSc. Carlos Alberto de Jesus,para obtenção do titulo de Tecnólogo emInformática.

Período de realização do Estágio___________________________Carga horária_______Data da Apresentação para apreciação:________________________________________Resultado:_______________________________________________________________

Comissão de Avaliação do Relatório

Profº MSc. Eduardo Janser Azevedo DantasOrientador

Profº MSc. Eduardo Janser Azevedo DantasAvaliador 1

Profª MSc. Anna Catharina Costa DantasAvaliadora 2

Natal, 06 de Novembro de 2004

ii

“O planejamento é algo essencial, pecamosquando pensamos que podemos executar tarefas semplanejálas. Uma tarefa sem planejamento ésimplesmente uma tarefa, todavia uma tarefaplanejada pode transformarse em um projeto.”(Allan David)

iii

Dedico este relatório a meu Deus, queenquanto eu não o encontrei não consegui terminareste trabalho, que me orienta nos dias de hoje e queme dá felicidade.

Agradecimentos

Agradeço aos meus mestres, que me orientaram e me instruíram, aos meus pais, que

me incentivaram ao longo dos períodos ruins e também meus mais sinceros

agradecimentos a minha amiga Deborah Maia que investiu alguns anos da sua vida na

minha formação e na contribuição na conclusão deste trabalho.

iv

SUMÁRIOLISTA DE FIGURAS..........................................................................................................viiRESUMO..............................................................................................................................ixABSTRACT...........................................................................................................................x1.Introdução............................................................................................................................12.Caracterização da Instituição...............................................................................................2

2.1.Organograma Institucional...........................................................................................23.Fundamentação Teórica.......................................................................................................3

3.1.Breve Histórico.............................................................................................................33.2.O Windows 2000..........................................................................................................4

3.2.1.A Arquitetura.........................................................................................................53.2.2.Instalação...............................................................................................................73.2.3.Disco de Boot........................................................................................................83.2.4.Sistema de Arquivos..............................................................................................8

3.3.Serviços de Rede........................................................................................................103.3.1.DHCP..................................................................................................................103.3.2.DNS.....................................................................................................................123.3.3.Roteamento..........................................................................................................123.3.4.WINS...................................................................................................................133.3.5.Serviço de compartilhamento de arquivos..........................................................133.3.6.SMTP/POP3........................................................................................................13

3.4.Segurança do Windows 2000.....................................................................................143.4.1.Kerberos..............................................................................................................153.4.2.Security Templates..............................................................................................16

3.5.Active Directory.........................................................................................................163.5.1.Florestas...............................................................................................................173.5.2.Árvores................................................................................................................173.5.3.Domínios.............................................................................................................183.5.4.Unidades Organizacionais(OU)...........................................................................183.5.5.Grupos.................................................................................................................193.5.6.Usuários...............................................................................................................203.5.7.Contas de Máquina..............................................................................................20

3.6.Sites............................................................................................................................203.6.1.Replicação...........................................................................................................21

3.7.Quotas em disco.........................................................................................................213.8.Diretivas de Grupo.....................................................................................................22

3.8.1.Políticas de usuário..............................................................................................223.8.2.Políticas de máquina............................................................................................24

4.Implementação..................................................................................................................254.1.Análise de requisitos..................................................................................................25

4.1.1.Levantamento topológico....................................................................................264.1.2.Levantamento Organizacional.............................................................................27

4.2.Mapeamento conceitual do Active Directory.............................................................274.2.1.Analise de nível de acesso...................................................................................284.2.2.Grupo Assistência Social.....................................................................................29

v

4.2.3.Grupo Auditoria..................................................................................................304.2.4.Grupo Conselho Diretor......................................................................................314.2.5.Grupo Conselho Fiscal........................................................................................324.2.6.Grupo Contabilidade...........................................................................................334.2.7.Grupo Desenvolvedores......................................................................................344.2.8.Grupo Digitação..................................................................................................354.2.9.Grupo Faturamento..............................................................................................364.2.10.Grupo Recepção................................................................................................374.2.11.Grupo Secretaria................................................................................................384.2.12.Grupo Superintendência....................................................................................39

4.3.Instalação do Servidor................................................................................................394.3.1.Iniciando a instalação pelo CDROM.................................................................404.3.2.Configurando drivers adicionais.........................................................................404.3.3.Iniciando o instalador..........................................................................................414.3.4.Contrato de licença..............................................................................................414.3.5.Criando partição de instalação.............................................................................424.3.6.Formatando a partição.........................................................................................444.3.7.Copiando arquivos para o disco..........................................................................444.3.8.Iniciando o instalador em modo gráfico..............................................................454.3.9.Configurando preferências regionais...................................................................474.3.10.Configurando nome e empresa..........................................................................484.3.11.Configurando licenciamento.............................................................................494.3.12.Configurando o nome do computador e a senha do administrador local..........494.3.13.Selecionando pacotes que deverão ser instalados.............................................504.3.14.Selecionando data e hora...................................................................................514.3.15.Instalando a rede................................................................................................514.3.16.Configurando domínio/grupo de trabalho.........................................................554.3.17.Finalizando a instalação....................................................................................55

4.4.Configurando serviços básicos...................................................................................564.4.1.Configurando DHCP...........................................................................................574.4.2.Configurando DNS..............................................................................................66

4.5.Instalando o Active Directory....................................................................................714.5.1.Criando estrutura de OUs baseado no modelo conceitual...................................814.5.2.Criando grupos de segurança...............................................................................824.5.3.Criando contas de usuário...................................................................................82

4.6.Implementação de Group Policy................................................................................834.6.1.Adicionando contas de máquina dentro das OUs................................................83

5.Conclusão..........................................................................................................................846.Referências........................................................................................................................85

vi

LISTA DE FIGURASFigura 1 – Topologia Física da Rede....................................................................................26Figura 2 – Mapeamento organizacional...............................................................................27Figura 3 – Exemplo do nível de segurança aplicado............................................................28Figura 4 – Definições do grupo Assistência Social..............................................................29Figura 5 – Definições do grupo Auditoria............................................................................30Figura 6 – Definições do grupo Conselho Diretor...............................................................31Figura 7 – Definições do grupo Conselho Fiscal.................................................................32Figura 8 – Definições do grupo Contabilidade....................................................................33Figura 9 – Definições do grupo Desenvolvedores...............................................................34Figura 10 – Definições do grupo Digitação.........................................................................35Figura 11 – Definições do grupo Faturamento.....................................................................36Figura 12 – Definições do grupo Recepção.........................................................................37Figura 13 – Definições do grupo Secretaria.........................................................................38Figura 14 – Definições do grupo Superintendência.............................................................39Figura 15 – Iniciando a instalação a partir do cdrom..........................................................40Figura 16 – Configurando drivers adicionais.......................................................................41Figura 17 – Contrato de licença de uso do Windows 2000 Server......................................42Figura 18 – Criando partição de instalação passo 1.............................................................42Figura 19 – Definindo tamanho da partição de instalação...................................................43Figura 20 – Tela após a criação da partição.........................................................................43Figura 21 – Escolhendo o tipo de partição desejada............................................................44Figura 22 – Copiando arquivos para o disco........................................................................45Figura 23 – Iniciando o instalador em modo gráfico...........................................................45Figura 24 – Tela inicial do instalador em modo gráfico......................................................46Figura 25 – Detecção automática de dispositivos compatíveis............................................47Figura 26 – Instalador travado..............................................................................................47Figura 27 – Configurando preferências regionais................................................................48Figura 28 – Setando nome e empresa no instalador.............................................................49Figura 29 – Configurando licenciamento do Windows 2000 Server...................................49Figura 30 – Configurando nome do computador e senha do administrador local................50Figura 31 – Selecionando pacotes de instalação..................................................................51Figura 32 – Selecionando data e hora...................................................................................51Figura 33 – Detectando dispositivo de rede.........................................................................52Figura 34 – Selecionando o tipo de instalação.....................................................................53Figura 35 – Protocolos vinculados a placa de rede..............................................................53Figura 36 – Configurando TCP/IP.......................................................................................54Figura 37 – Configurando domínio/grupo de trabalho.........................................................55Figura 38 – Copiando arquivos adicionais...........................................................................56Figura 39 – Finalizando a instalação....................................................................................56Figura 40 – Abrindo console DHCP....................................................................................57Figura 41 – Visão do serviço DHCP não autorizado...........................................................58Figura 42 – Criando um novo escopo do serviço DHCP.....................................................58Figura 43 – Iniciando a criação de um escopo.....................................................................59Figura 44 – Atribuindo informações sobre o escopo............................................................59

vii

Figura 45 – Preenchendo ip e máscara do escopo................................................................60Figura 46 – Adicionando exclusões.....................................................................................60Figura 47 – Tempo da licença do ip.....................................................................................61Figura 48 – Iniciando a configuração do TCP/IP.................................................................61Figura 49 – Configurando o próximo salto..........................................................................62Figura 50 – Configurando os servidores DNS.....................................................................63Figura 51 – Configurando os servidores WINS...................................................................63Figura 52 – Ativando o escopo.............................................................................................64Figura 53 – Desativando um escopo....................................................................................64Figura 54 – Finalizando a criação do escopo.......................................................................65Figura 55 – Autorizando o serviço DHCP...........................................................................65Figura 56 – Demonstrando o serviço DHCP ativo...............................................................66Figura 57 – Adicionando uma nova zona de DNS...............................................................67Figura 58 – Selecionando o tipo de zona DNS....................................................................67Figura 59 – Escolhendo o nome da zona primária...............................................................68Figura 60 – Editando as propriedades da zona primária......................................................69Figura 61 – Configurando atualizações dinâmicas na zona dns criada................................69Figura 62 – Editando as propriedades do servidor de DNS.................................................70Figura 63 – Habilitando forwarders no servidor DNS.........................................................71Figura 64 – Iniciando a instalação do active directory via dcpromo....................................71Figura 65 – Tela inicial de promoção do computador a controlador de domínio................72Figura 66 – Criando um novo domínio................................................................................73Figura 67 – Criando uma nova árvore..................................................................................73Figura 68 – Criando uma nova floresta................................................................................74Figura 69 – Preenchendo o nome DNS do novo domínio....................................................75Figura 70 – Escolhendo um nome NETBIOS......................................................................75Figura 71 – Escolhendo os caminhos para armazenar a base e os logs do AD....................76Figura 72 – Escolhendo o caminho da pasta pública (SYSVOL)........................................77Figura 73 – Escolhendo compatibilidade com NT...............................................................77Figura 74 – Mensagem de erro dcpromo não conseguiu conectar o DNS.........................78Figura 75 – Escolhendo a senha do modo de restauração....................................................78Figura 76 – Sumário das configurações...............................................................................79Figura 77 – Progresso da instalação do Active Directory....................................................79Figura 78 – Finalizando a instalação....................................................................................81Figura 79 – Reiniciando o computador após instalação do AD...........................................81

viii

RESUMO

No abrir das portas desse novo milênio, tivemos uma evolução do pensamento

estratégico, que não se tinha no auge da explosão tecnológica. Este pensamento traz

consigo algumas mudanças no mundo digital, tais como; a necessidade de prever erros,

otimizar recursos e principalmente de planejar. No que trata de planejar é que tentaremos

aqui dar uma diretriz para o planejamento de uma Rede Windows, baseada em Windows

2000.

Palavraschave:

PlanejamentoRedeWindowsMicrosoftCorporativo

ix

ABSTRACT

On the openning of the doors of the new millennium, we have an evolution of the

strategic thinking, that didn’t exist in the middle of the technology explosion. This think

bring with him some changes in the digital world, like as: the need of error prevention,

resources optimizing and mostly planning. On the planning way is what we will try to do

some directions for plane a Windows network bases on Windows 2000.

Keywords:

PlanningNetworkWindowsMicrosoftCorporate

x

1.Introdução

Depois de muito se falar a respeito de redes e como elas podem contribuir para a

nossa produtividade principalmente através dos compartilhamentos de recursos, como por

exemplo: uma impressora para uma sala inteira, servidores de arquivos para uma empresa

inteira, backup centralizado em DLTs, etc., chegamos a pensar muitas vezes que é só

comprar algumas placas de rede, instalar o Windows 2000 Server em uma máquina, criar

alguns compartilhamentos e pronto, teremos uma perfeita rede Windows 2000 que supre a

todas as nossas necessidades presentes e no futuro é só comprar a versão 2003 do Windows

“instalar por cima” e teremos nossa rede “up to date”. Em alguns casos isso é bem verdade,

pois as necessidades são tão poucas que essa desordem tornase o melhor custobenefício

para o diretor daquela empresa, muitas vezes a tarefa de implementação da rede é feita pelo

próprio filho de 12 anos que leu numa revista o passoapasso de como instalar o TCP/IP,

mas infelizmente quando falamos de grandes corporações que crescem a cada hora e que se

esse crescimento não for planejado pode entrar em colapso. Chegamos numa questão

pouco discutida e inconscientemente muito procurada que é “Como eu posso planejar

minha rede para suprir todas as minhas necessidades presentes e com um mínimo custo de

atualização também têla em perfeito funcionamento no futuro?”. Resposta: Planejamento.

1

2.Caracterização da Instituição

A empresa que desenvolvi meu relatório foi a CAURN – Caixa de Assistência de

Saúde dos Servidores da Universidade Federal do Rio Grande do Norte, localizada no

Centro de Convivência da UFRN.

A CAURN presta serviços de assistência a saúde, usandose de seu corpo técnico

para apoiar psicologicamente e financeiramente seus associados.

2.1.Organograma Institucional

2

Superintendência

Secretaria Recepção

Digitação

Conselho Diretor Conselho Fiscal

Contabilidade

Assistência Social Desenvolvedores

Faturamento Auditoria

Diretoria

3.Fundamentação Teórica

Estaremos falando nesse capitulo conceitos necessários ao entendimento do

planejamento de rede para que possamos mostrar mais adiante, na prática, como deverá ser

procedido à implementação de uma rede Windows 2000 Pura.

3.1.Breve Histórico

Em 1988 a microsoft começa o desenvolvimento do sistema operacional que iria

mais tarde liderar o mercado de S.O. para servidores batendos todos os concorrentes fortes

como UNIX e Novell. O Windows NT foi demonstrado pela primeira vez em 1991 na

CONDEX tendo como mentor David Cutler, engenheiro de sistemas já conceituado pelo

seu VMS para computadores VAX. Em 1993 saí a primeira versão comercial do Windows

NT versão 3.1 com 6 (seis) milhoes de linhas de código e a famosa interface amigável. Em

1994 saí a versão 3.5 com algumas correções existentes na versão anterior este com 9

(nove) milhoes de linhas de código. Apartir desse ano o nome Windows NT começa a

chamar atenção, bem como o seu crescimento na preferência das empresas. Em Julho de

1995 saí a versão 3.5.1 compatível com programas para Windows 95 e finalmente em 1996

saí a versão mais utilizada do Windows NT, a versão 4, com interface gráfica muito

semelhante a do Windows 95, preço acessível, fácil administração, instalação

descomplicada e uma boa estratégia de mercado que conquista a maior parte do mercado

de sistemas operacionais.

Em 2000 a Microsoft detinha 68% dos sistemas operacionais instalados, sendo suas

concorrentes, UNIX com 33% e Novell com 30%.

3

O pacote de sistemas operacionais Windows 2000 foi o que levou maior tempo de

desenvolvimento. ExNT5, o nome Windows 2000 veio em outubro de 1998 por uma

estratégia de marketing da Microsoft pelo ano do millennium. O Windows 2000 é

considerado o maior projeto de software já realizado, com 30 milhões de linhas de código.

3.2.O Windows 2000

O sistema operacional Windows 2000, criado pela Microsoft e sucessor do NT4,

tornou possível os sonhos dos Administradores de Rede tornarem verdade, pois antes o

sistema de gerencia remota fraco, a carência de recursos para redes de grande porte e o

vínculo com tecnologias ultrapassadas como o protocolo NetBIOS, faziam com que

grandes corporações não confiassem em um sistema operacional que, em alguns

momentos, era necessário reiniciar o computador para que tudo voltasse a funcionar,

fazendo com que empresas como a Novell destacase no mercado de redes de grande porte.

Hoje, cada vez mais, a Microsoft está apostando em disponibilidade 99,9%,

escalabilidade e aplicações de missão crítica como “Datacenters”, tanto que lançou uma

versão do Windows 2000 chamada Datacenter Server para servidores robustos com até 32

processadores.

Compondo a família Windows 2000 temos:

• Windows 2000 Professional: O Windows 2000 Professional é a versão para

computadoresclientes, caracterizado por ser muito mais seguro do que seus primos

distantes Windows 9x e bem mais integrado com os Windows 2000 Servidores.

• Windows 2000 Server Standard Edition: O Windows 2000 Server é o S.O. mais

indicado para corporações que não necessitam de alta escalabilidade, suporta até 4

4

processadores multiprocessados e 4GB de RAM. A característica mais importante

da família SERVER é o Active Directory, onde através desse recurso podemos

gerenciar todos os recursos da rede.

• Windows 2000 Advanced Server: A principal diferença em relação ao Standard é

a capacidade de trabalhar com 8 processadores e 64GB de memória. Possui ainda

recursos de Clustering e Balanceamento de Tráfego.

• Windows 2000 Datacenter Server: Concebido para competir com servidores

UNIX de alta capacidade, possui recursos de clustering mais avançados e trabalha

com até 32 processadores em paralelo.

3.2.1.A Arquitetura

No Windows 2000 Server sua arquitetura é implementada em camadas. Cada

camada é responsável por tarefas específicas para que as conexões possam ser efetuadas.

Estas 6 camadas são:

• Camada de especificação de interface de Drive de Rede (NDIS) É responsável

pela conexão dos adaptadores de rede aos protocolos implementados.

• Camada de Protocolo de Rede – Disponibiliza serviços de rede ao usuário.

• Camada de Transporte de Interface de Drive (TDI) – Cria uma interface padrão

aos programas e serviços executados na rede.

• Camada de Interface de Programa de Aplicação de Rede – Estabalece padrões de

programas e serviços executados na rede.

5

• Camada de Comunicação Interprocessos – Responsável pelo gerenciamento e

comunicação de serviços e processos distribuídos. É possível fazer chamadas

remotas D com.

• Camada de Serviços Básicos de Rede – Responsável pelo gerenciamento de

endereços de rede, serviço de arquivo, entre outros

3.2.2.Instalação

Os requisitos mínimos necessários para instalação do Windows 2000, na sua versão

básica (ou Windows 2000 Professional):

• 133 Mhz CPU compatível com Pentium

• 256 Mega Bytes (MB) de Ram (mínimo recomendável) 128 Mb (mínimo suportado)

e 4 Gigabytes (máximo).

• 2 Gb HardDisk com mínimo de 1.0 Gb de espaço livre.

• Windows 2000 Server suporta até 4 Cpu`s em uma única máquina.

Sendo suportados os seguintes tipos de instalação:

• Instalação a partir do CD em computador rodando o Windows – Inserir o CD do

Windows 2000 Server no Drive.(para Windows que rodam sistema operacional

superior ao Windows 3x); Aguardar surgir tela de instalação executada pelo

Autorun do CD (para computadores com Windows 3x); Ir ao gerenciador de

arquivos, acessar o diretório 1386 no CD. Executar o arquivo Winnt.exe. (usar o

smart drive do Windows 3x), para melhorar a performance de instalação.

• Instalação pela Rede – Neste tipo de instalação devese compartilhar no servidor

de rede, o drive de CD ou um diretório que contém os arquivos de instalação do

6

Windows 2000 server. Geralmente usamos este tipo de instalação quando

máquinas não possuem um drive de CD e estão conectadas a uma rede; Em

computador superior a Windows 3x, basta executar o arquivo Winnt.exe. que se

encontra no diretório 1386 do CD; Seguir as instruções de instalação.

• Nova instalação pelo CD em um computador rodando MSDOS – Seguir os

mesmos passos de instalação, a partir do CD. Usando o CD do Windows 2000

Server, acessar o arquivo Winnt.exe. dentro do diretório 1386. Habilitar o cachê

do disco pelo comando smart drive; Nova instalação inicializando o computador a

partir do CD; Observar capacidade de ler arquivos pelo Drive do CD (boot pelo

CD).

• Nova instalação inicializando o computador por meio dos disquetes de boot –

Insira o disco de boot no Drive A ou B e o CD do Windows 2000 Server no

respectivo drive; Reinicie o computador; Siga os passos de instalação.

3.2.3.Disco de Boot

Em determinadas ocasiões é necessário Disco de boot para instalar o Windows

2000 Server. A geração do disco é feita a partir do CD, seguindo o procedimento abaixo:

• Ter à mão, quatro disquetes de 1.44 Mb formatados;

• Entrar no Prompt do MSDOS e acessar o diretório \diskboot. No CD de instalação

do Windows 2000 Server, você encontrará dois arquivos executáveis:

Makeboot.exe e Makebt32.exe.

• Makeboot.exe. – Gera disco a partir do MSDOS Windows 3x ou 9x

• Makebt32.exe – Gera disco a partir do Windows NT ou Windows 2000

7

Como gerar:

• Colocar um disco formatado no Drive A ou B e digite no prompt do MSDOS o

seguinte: Makeboot a: Após a geração do primeiro disco, aparecerá a mensagem

solicitando o disco 2, 3 e 4 sucessivamente.

3.2.4.Sistema de Arquivos

Funciona como em uma biblioteca, que para achar um livro, precisase de um

catálogo com localização exata da prateleira e da estante.

Os tipos de arquivos do Windows NT suportam os seguintes sistemas de arquivos:

FAT, HPFS e NTFS. A FAT, trabalha com aplicações de DOS; HPFS para aplicações de

OS/2 e o NTFS é o sistema nativo da Microsoft.

Hoje o Windows 2000 Server oferece os arquivos: FAT, FAT32, CDFS, UDF E

NTFS5.

FAT e FAT32:

• Vantagem de usálos – Executa DualBooting;

• São simples, não oferece esquema de segurança e ferramentas de auditoria;

• A diferença do FAT e FAT32 é a capacidade de armazenamento da cada cluster;

• Cluster – é a unidade lógica de alocação em que os arquivos são gravados

CDFS e UDF:

• É um sistema de arquivo – Utilizados em Discos ópticos CDROM e DVD.

8

NTFS5:

• Este tipo de arquivo foi projetado para atender as necessidades dos produtos

Microsoft.

• Usa segurança do Windows NT.

• Usa tabela MFT ( tabela mestre de arquivos)

• Apresenta inovações como Plugandplay e, desfragmentação de disco.

• Trabalha com Gerenciamento de volumes (criam partições) até 4 por disco.

• Cotas de Disco – Controla a gravação de arquivos até fora do seu diretório Home

e tem a opção de conceder, negar espaço em disco para usuários excedendo o

limite da cota.

• Tem o Encrypting File Sistem – Recurso que aumenta a segurança dos arquivos

que estão no servidor.

• Tem chave de recuperação – Recupera arquivos.

• Distributed Link Tracking – Auxilia o sistema de pesquisa quando o destino de um

atalho é movido, fazendo sua reabilitação.

3.3.Serviços de Rede

Neste tópico estaremos falando dos serviços de rede nativos do TCP/IP e alguns

específicos do Windows 2000, tentando dar uma visão geral de como eles se comportam,

para que servem e qual a importância desses em uma rede corporativa Windows 2000.

9

3.3.1.DHCP

O serviço de rede DHCP é responsável pela administração da alocação dinâmica de

endereços IP para máquinas clientes, todavia este não fornece somente IP para os

computadores clientes, mas informa também as configurações específicas da rede em que o

cliente encontrase, ou seja, o DHCP pode configurar ainda o roteador padrão de saída para

Internet, o servidor DNS (ver adiante), o servidor WINS (específico de redes Windows), o

servidor de hora, domínio a qual o cliente está conectado, etc. Podendo ser um mecanismo

bastante eficiente para automatizar as tarefas de configuração básicas evitando que o

administrador de rede tenha que fazêlos manualmente.

O cliente que conectase a uma rede local primeiramente procura por um servidor

DHCP disponível, e se encontrado é requisitado pelas informações disponíveis. Após as

informações serem configuradas o cliente continua a carga do sistema operacional

normalmente.

3.3.2.DNS

O serviço DNS ou sistema de nomes de domínio, é responsável por mapear nomes

amigáveis para endereços IP (que são atribuídos pelo DHCP ou não), ou seja, o serviço

DHCP endereça uma determinada máquina como 10.4.1.50, porém decorar um número é

bem mais difícil do que decorar “computador_joaozinho”. O que o serviço DNS faz é toda

vez que alguém procurar por “computador_joaozinho” informe que

“computador_joaozinho é 10.4.1.50”, facilitando assim o gerenciamento. O DNS ainda

organiza estes nomes de forma hieráquica montando uma arvore das máquinas baseada nos

domínios ao qual a máquina está conectada, ou seja, raiz=Br, domínio=Cefetrn,

10

host=servidor, isto para o DNS é servidor.cefetrn.br e a resposta do DNS será

“servidor.cefetrn.br é 200.201.202.203”.

3.3.3.Roteamento

Roteamento é o serviço de encaminhar comunicações através de redes distintas, ou

seja, encaminhar pacotes que não são para sua rede de origem e achar o caminho para

alcançar esta outra rede e que este caminho seja o melhor possível. As formas que este

encaminhamento podem ocorrer são:

Estático – Os caminhos são administrativamente configurados e uma rota única é

determinada para comunicação entre duas rede.

Dinâmico – O roteamento dinâmico é mais eficiente do que o estático, pois este

aprende automaticamente os caminhos entre redes e determina o melhor caminho que uma

informação deve seguir para atingir o seu destino, sendo também tolerante a falhas, uma

vez que mais de um caminho pode ser aprendido para um pacote chegar ao seu destino e

uma vez que um destes caminhos venha a falhar, outro pode ser utilizado para a

comunicação destas redes.

3.3.4.WINS

Muito similar ao DNS , resolve nomes de rede em endereços IPs, no Windows

2000 foi substituído pelo DNS, porém continua existindo para manter compatibilidade com

computadores préwindows2000. Todavia, não será utilizado por está se tratando de uma

rede Windows 2000 pura.

11

3.3.5.Serviço de compartilhamento de arquivos

Este serviço tem por finalidade prover um depósito centralizado de arquivos onde

estarão concentrados todas as informações relativas a trabalhos realizados na empresa em

questão, a finalidade disto é que, uma vez concentrada todas as informações em um só

lugar tornase mais fácil a manutenção dos acessos a arquivos, geração de rotinas de

backup e mecanismos que garantam a segurança das informações.

No Windows 2000 o serviço de compartilhamento de arquivos é bastante fácil de

ser implementado, e suporta ainda acesso separado por grupos. Isto garante que somente

um determinado grupo de pessoas tenha acesso a arquivos de determinada natureza. Em

uma empresa isto é essencial, pois para manter a segurança das informações, determinados

níveis de funcionário não podem acessar arquivos que níveis superiores, como por exemplo

uma recepcionista não pode acessar arquivos relativos ao faturamento da empresa.

3.3.6.SMTP/POP3

Os serviços de SMTP/POP3, ou seja, serviços de correio eletrônico, são essenciais

em qualquer tipo e porte de rede, pois este é sua principal forma de comunicação com

outros usuários de outras redes. É também a forma mais rápida de envio de comunicações

formais e/ou envio de arquivos de trabalho entre usuários finais. Para esta ultima tarefa

existe ainda a transferência de arquivos via FTP, todavia esta não é tão utilizada pois exige

um grau de experiência entre ambas as partes (remetente e destinatário) que inviabiliza esta

operação, sendo necessário o envolvimento de um profissional da área para que isto ocorra.

Em outras palavras, o correio eletrônico ou email é o mecanismo de comunicação mais

utilizado hoje e sendo assim primário quando pensamos em montar uma rede.

12

Existem diversos produtos que implementam estes protocolos de email. No

Windows 2000, o Exchange (servidor de correio da Microsoft) agrega funções dos

protocolos POP3/SMTP e ainda um outro protocolo de acesso online as mensagens

chamado IMAP. No linux, o mais comumente utilizado é o SENDMAIL que implementa

somente o POP3/SMTP que exige que o usuário faça download das mensagens antes que

visualizála.

3.4.Segurança do Windows 2000

A implementação da segurança é uma coisa que não pode ser deixada para depois.

Em uma empresa, tem que ser encarada como prioridade. Sempre existirão pessoas

interessadas em violar arquivos e obter informações não autorizadas.

O Windows 2000 Server, traz uma série de ferramentas para bloquear os acessos

indesejáveis a documentos e informações de rede.

Itens de segurança do Windows 2000 Server:

• Armazenamento central de informações;

• Atualização de dados de segurança entre controladores de domínio primário e de

backup automático;

• Dados em disco e em tráfego pela rede pode ser criptografado.

Chave Pública – PKI:

O recurso chamado de chave pública ou PKI – É um Sistema de

Certificados Digitais e Autoridades de Verificação que são responsáveis por verificar a

autenticação e a validação de cada uma das partes envolvidas na transação eletrônica.

13

Características:

• Administração simplificada – Pode trocar senhas por certificados;

• Nível de Segurança – Por cartões inteligentes;

• Correio Eletrônico Seguro – Possibilita usar o recurso S/MINE (Extensão

Multipropósito do Internet Mail Protegidas).

Chave Privada – Assemelhase à pública com uma característica: ela

assegura que a pessoa que está recebendo os dados que foram enviados por determinado

usuário. Enquanto que a pública, assegura que os dados não foram modificados pelo

caminho.

3.4.1.Kerberos

É um protocolo de autenticação padrão Internet. O Windows Server traz a

versão 5 desse protocolo que foi definido pela RFC 1510 da IETF. Se você instalou o

Active Directory, esse protocolo já está implementado em seu serviço.

Ele funciona emitindo bilhetes para os usuários. Esses bilhetes possuem

dados criptografados, inclusive senha. Basta apresentar o bilhete e ter acesso a rede.

3.4.2.Security Templates

Fornece ferramentas para que os modelos de Segurança possam ser

alterados. Normalmente estas ferramentas estão localizadas no Diretório c:\system

root\security\templates.

14

Modelos padrão do Windows 2000 Server:

• Estação de trabalho (basicwk.inf);

• Servidor padrão ( basicsv.inf.);

• Controlador de domínio padrão ( basicdc.inf);

• Estação de trabalho ou servidor compatível ( compatws.inf);

• Estação de trabalho ou servidor seguro ( securews.inf);

• Estação de trabalho ou servidor altamente seguro (hisecws.inf);

• Controlador de domínio seguro ( securedc.inf);

• Controlador de domínio altamente seguro (hisecdc.inf).

3.5.Active Directory

O active directory ou serviço de diretórios do Windows 2000 é sem dúvida a

principal evolução da Microsoft no lançamento do seu novo produto, baseado totalmente

em LDAP (Lightweight Directory Access Protocol Prococolo utilizado para acessar

objetos em um diretório) e Kerberos5 a Microsoft desenvolveu sua árvore de objetos

denominada X.500 que agrega ao seu interior todos os recursos da rede ao qual está

vinculada e trataos como objetos, sendo assim trabalha totalmente orientada a objetos com

todas as vantagens deste, ou seja, reusabilidade, herança, conceito de classes e instanciação

de objetos similares baseados na classe, etc.

Estaremos abordando, portanto, as principais classes encontradas no Active

Directory em um nível totalmente conceitual, pois no capítulo seguinte veremos a melhor

15

forma de implementação destas classes, criando objetos que se adequam as necessidades da

empresa.

3.5.1.Florestas

Floresta é, de maneira bem simplista, um conjunto de árvores, ou seja, uma forma

de integrar duas árvores distintas como por exemplo cefetrn.br e sebraern.com.br. Uma

floresta é criada para atender a necessidade de integrar duas árvores e fazer com que estas

duas redes se enxergem e compartilhem recursos de rede como compartilhamento de

arquivos, email, etc.

3.5.2.Árvores

Da mesma forma que florestas são conjuntos de árvores, um conjunto de domínios

similares é chamado de árvore, é criada uma árvore para atender a necessidade de redes que

precisam trabalhar com múltiplos domínios e estes domínios precisam compartilhar

recursos de rede. Por exemplo: marketing.empresa.com.br e vendas.empresa.com.br; neste

caso existem dois domínios filhos marketing e vendas que participam do mesmo domínio

pai “empresa.com.br” e da mesma árvore que também é “empresa.com.br”.

3.5.3.Domínios

Domínio é um agrupamento de usuários, impressoras, grupos, computadores, e

todos os objetos que compõem uma rede para uma mesma finalidade. Um domínio é

criado, por exemplo, para uma empresa XYZ, portanto seu domínio seria “xyz.com.br” e

tudo que existe nessa rede estaria subordinado ao domínio “xyz.com.br”.16

Com o Windows 2000 os domínios ganharam a capacidade de terem administração

descentralizada (através de Unidades Organizacionais) e serem segmentados

geograficamente (através de Sites). Isto possibilitou o crescimento do domínio para atender

praticamente qualquer demanda, pelo menos das necessidades usuais de uma rede

corporativa. Portanto não e mais necessário a criação de domínios quando se tem mais de

um administrador da rede, nem quando montamos uma filial numa cidade vizinha, basta

que sejam criados objetos sites e unidades organizacionais para atender estas demandas.

3.5.4.Unidades Organizacionais(OU)

Unidades organizacionais são novidade na estrutura de domínio do Windows 2000,

onde vieram para suprir a necessidade de administração descentralizada e aplicação de

políticas de segurança não planas, ou seja, políticas para grupo. As políticas de grupo estão

intimamente ligadas às unidades organizacionais, pois em uma unidade organizacional

pode ser aplicada uma ou mais políticas de grupo (que serão abordadas um pouco mais

adiante no item 3.8 Diretivas de Grupo).

Ainda através das unidades organizacionais podemos delegar poderes

administrativos a uma Unidade e que esta tenha total autonomia sobre ela.

Planejando uma rede Windows 2000 baseada em unidades organizacionais

ganhamos mais um nível hierárquico que pode ser usado para individualizar um grupo de

usuário dos demais e manter a política de segurança da empresa o mais próxima do real,

trazendo um ganho significativo para o administrador de rede no quesito tempo.

17

3.5.5.Grupos

Mais conhecidos como Grupos de Segurança, estes são usados invariavelmente

para criar agrupamentos de usuários que compartilham dos mesmos direitos ou níveis de

acesso. Por exemplo: grupo MARKETING, dentro deste encontramse todos os

funcionários que são do setor de MARKETING, portanto quando for compartilhado para a

rede um recurso que todos os funcionários de marketing devem ter acesso, basta que seja

dado direito ao grupo de MARKETING e não individualmente a cada funcionário.

3.5.6.Usuários

Uma das classes mais usadas na montagem do Active Directory é a classe usuário.

Este tornase por vezes o objeto mais primário na concepção de uma rede, pois sem usuário

não existe acesso a recursos seguros. No início do projeto de rede, um dos primeiros

requisitos analisados é a quantidade de usuários da rede, quem são e como estão agrupados

(geralmente por setor da empresa). Baseado nessas informações podemos medir o tamanho

desta empresa, quais as necessidades de servidores, serviços, etc. sendo portanto uma

informação valiosa que deve ser adquirida o quanto antes no planejamento da rede.

O objeto usuário é criado baseado nas informações individuais do usuário e deve

ser único para cada indivíduo que acessa sua rede.

3.5.7.Contas de Máquina

Apartir do NT a Microsoft introduziu um conceito de contas de máquina, ou seja,

para cada computador que acessa sua rede, este deve ser previamente cadastrado numa lista

como participante do domínio XYZ. No Windows 2000 este conceito evoluiu bastante e18

agora pode ser agrupado dentro de unidades organizacionais, e herdar as políticas de

segurança nesta unidade. Possibilita ainda que sejam criados grupos de computadores que

participam de um determinado setor e que aquele grupo de máquinas pode acessar, por

exemplo, uma impressora Y.

3.6.Sites

Uma das deficiências do NT4 que foi corrigida no Windows 2000, é a possibilidade

de se ter um domínio que abrange uma grande área geográfica, através de linhas seriais de

baixa velocidade ou ainda através de links que não estão sempre ativos. E mesmo assim,

poder utilizar o mesmo domínio, entretanto, usando “sites”. O administrador de rede, deve

separar topologicamente a mesma, apontando para o Windows 2000. Onde estão

localizados os controladores de domínio que não dispõem de uma conexão de boa

qualidade ou ainda àqueles que não estarão disponíveis o tempo todo, controlando ainda o

período de sincronização e a forma que essa sincronização irá acontecer.

3.6.1.Replicação

Replicação é uma palavra básica na rede Windows 2000, portanto a mesma

funciona. Pois existem diversas formas de sincronização e a atenção para links de baixa

velocidade fez com que a replicação (ou sincronização) ocorresse de forma mais rápida e

eficiente.

Algumas das formas de como implementar uma solução de rede metropolitana é,

por exemplo, uma empresa xyz que mantém sua filial no bairro de Lagoa Nova, mas

precisa manter um escritório em Ponta Negra para vendas. Neste caso, basta que seja

19

mantido um link de comunicação entre o escritório e a sede e criar dois sites LAGOA

NOVA e outro PONTA NEGRA e informar para o Windows 2000 que estes links só irão

sincronizar no período noturno (fora do horário de expediente), não comprometendo assim

a navegação à Internet ou tráfego de algum sistema corporativo.

3.7.Quotas em disco

Quando pensamos em uma rede Windows 2000 devemos entender que queremos

obter o mais nível de controle possível, sem comprometer a produtividade e por vezes

aumentando a produtividade da área fim. Pensando desta forma que a implementação de

quotas, ou limite de gravação em disco, é viável.

Implementar quotas no seu servidor de arquivos garante que um determinado

usuário irá gravar arquivos até um limite aceitável e não irá passar disto, uma vez que

democraticamente todos devem ter o mesmo privilégio de gravar no servidor de arquivos e

um não deve gravar a ponto que o outro usuário não disponha de espaço no servidor para

tal, sendo este ultimo caso um exemplo em que a produtividade seria afetada.

3.8.Diretivas de Grupo

As diretivas de grupo, ou políticas de grupo, ou ainda group policies (GPOs), é um

poderoso recurso do Windows 2000, e é provável de ser o que apresenta mais problemas,

pois estas podem ser definidas em qualquer nível hierárquico e em qualquer quantidade por

nível, ainda podendo forçar uma determinada política ou deixar que esta seja sobrescrita

por uma política de nível mais baixo.

20

Toda esta flexibilidade gera uma grande gama de cenários que as GPOs estarão

presentes e dificulta a resolução de problemas. A solução é simples: Manter as GPOs o

mais simples possíveis, se possível criar uma GPO só para segurança e manter esta

separada da GPO para instalação de sistema, isto irá ajudar bastante quando tiver que

diagnosticar algum problema.

As GPOs são aplicadas somente a dois tipos de objetos: GPOs aplicadas a usuários

e GPOs aplicadas a máquina. Veremos a seguir algumas particularidades de cada uma.

3.8.1.Políticas de usuário

Políticas de usuário são utilizadas em unidades organizacionais que contenham

objetos usuário dentro dela. São usadas para controlar configurações de programas e

programas que devem ser instalados para um determinado usuário.

3.8.2.Políticas de máquina

Políticas de máquina são usadas mais freqüentemente para segurança, é com elas

que configuramos políticas de senhas, de bloqueios, de acesso a recursos, auditoria,

configurações específicas de alguma máquina ou grupo de máquinas. São aplicadas em

unidades organizacionais que possuem contas de máquinas.

21

4.Implementação

Agora que vimos os conceitos básicos necessários para a implementação de uma

rede Windows 2000 pura, veremos neste capítulo, de forma bem prática, as melhores

práticas de instalação e configuração de uma rede planejada.

Abordaremos primeiramente o levantamento de dados para o planejamento, seriam

estes: topologia, usuários de rede e instalações físicas; posteriormente as necessidades de

agrupamentos de usuários e níveis de acesso; depois tentaremos mapear o planejamento e

só então entraremos na configuração propriamente dita.

4.1.Análise de requisitos

Antes de qualquer planejamento devemos levantar dados que levem a criarmos um

cenário da situação atual da empresa. Desta maneira tentaremos minimizar os impactos de

uma migração levando a uma adequação mais suave das necessidades da empresa e

planejarmos algo mais próximo do real.

22

4.1.1.Levantamento topológico

Utilizandose de software específicos para o mapeamento da topologia obtivemos o

seguinte resultado:

Figura 1 – Topologia Física da Rede

23

4.1.2.Levantamento Organizacional

Como foi citado anteriormente, um dos principais indicadores que medem o

tamanho da rede, e por ele podemos nos basear para dimensionarmos a infraestrurtura

necessária para a rede, é a quantidade de usuários, o levantamento organizacional é

importantíssimo e deve assemelharse ao organograma da empresa.

Foi mapeado, portanto, a estrutura da empresa em análise:

Figura 2 – Mapeamento organizacional

4.2.Mapeamento conceitual do Active Directory

Para o mapeamento do Active Directory foi adotada uma análise pouco ortodoxa

que mapeou conceitualmente cada nível de acesso e grupo de usuário, sem levar em

consideração a tecnologia que seria implantada, pois desta forma conseguimos manter uma24

documentação fácil de entender que pode ser portada para qualquer tecnologia que tenha

por base diretório (LDAP, AD, etc..).

4.2.1.Analise de nível de acesso

Considerando o exemplo:

Figura 3 – Exemplo do nível de segurança aplicado

Podemos perceber que um usuário participante de um determinado grupo não tem

acesso a pasta de nenhum outro grupo se não o dele mesmo e pode acessar recursos físicos

que encontrase somente no seu setor, como por exemplo, não pode acessar impressoras

encontradas em outro setor, a todo usuário é vinculado uma GPO específica do grupo ao

qual encontrase ligado.

25

4.2.2.Grupo Assistência Social

Figura 4 – Definições do grupo Assistência Social

• Usuários: Jose• Impressoras acessíveis: Impressora HP DeskJet 610C @ Secretaria 1• Programas autorizados: Microsoft Office, Windows Apps, Internet Explorer,

Outlook Express, Winzip, Winamp, Getright, Sistema CAURN, Norton AntiVirus• Pastas acessíveis: U:\ pasta do usuário \\servidordearquivos\user\nomedousuario,

G:\ pasta de grupo \\servidordearquivos\groups\nomedogrupo e P:\ pasta publica\\servidordearquivos\publico

• Políticas conceituais: Não pode acessar configurações de sistema, Não podeacessar painel de controle, Pode acessar somente a impressora da Secretaria, Nãopode acessar prompt do MSDOS, Não pode acessar registro do sistema, Podeacessar somente programas autorizados.

26

4.2.3.Grupo Auditoria

Figura 5 – Definições do grupo Auditoria

• Usuários: George, Anaclaudia, Tatiane• Impressoras acessíveis: Impressora HP DeskJet 890C @ Secretaria 1• Programas autorizados: Microsoft Office, Windows Apps, Internet Explorer,



• Políticas conceituais: Não pode acessar configurações de sistema, Não podeacessar painel de controle, Pode acessar somente a impressora da Secretaria, Nãopode acessar prompt do MSDOS, Não pode acessar registro do sistema, Podeacessar somente programas autorizados.

27

4.2.4.Grupo Conselho Diretor

Figura 6 – Definições do grupo Conselho Diretor

• Usuários: Francisco, Márcia, Jair, Edílson, Grace, Gilvan, Santarosa, Moises,Gilberto, Paulo

• Impressoras acessíveis: Todas• Programas autorizados: Microsoft Office, Windows Apps, Internet Explorer,



• Políticas conceituais: Não pode acessar configurações de sistema, Não podeacessar painel de controle, Pode acessar qualquer impressora da rede, Não podeacessar prompt do MSDOS, Não pode acessar registro do sistema, Pode acessarsomente programas autorizados.

28

4.2.5.Grupo Conselho Fiscal

Figura 7 – Definições do grupo Conselho Fiscal

• Usuários: Carlos, Marcio, Anchieta, Estiverson,Olavo, Marta• Impressoras acessíveis: Todas• Programas autorizados: Microsoft Office, Windows Apps, Internet Explorer,



• Políticas conceituais: Não pode acessar configurações de sistema, Não podeacessar painel de controle, Pode acessar qualquer impressora da rede, Não podeacessar prompt do MSDOS, Não pode acessar registro do sistema, Pode acessarsomente programas autorizados.

29

4.2.6.Grupo Contabilidade

Figura 8 – Definições do grupo Contabilidade

• Usuários: Andreza, Metodos• Impressoras acessíveis: Impressora Matricial EPSON LX300 @ Contabilidade• Programas autorizados: Microsoft Office, Windows Apps, Internet Explorer,



• Políticas conceituais: Não pode acessar configurações de sistema, Não podeacessar painel de controle, Pode acessar somente a impressora da contabilidade,Não pode acessar prompt do MSDOS, Não pode acessar registro do sistema,Pode acessar somente programas autorizados.

30

4.2.7.Grupo Desenvolvedores

Figura 9 – Definições do grupo Desenvolvedores

• Usuários: Allan, Alessandro• Impressoras acessíveis: Todas• Programas autorizados: Todos• Pastas acessíveis: U:\ pasta do usuário \\servidordearquivos\user\nomedousuario,


• Políticas conceituais: Permissão de modificar configurações relativas ao sistemaCAURN, Pode acessar qualquer impressora da rede, Pode acessar qualquercompartilhamento, Não pode modificar configurações relativas a rede, nempermissões de compartilhamento e de pastas.

31

4.2.8.Grupo Digitação

Figura 10 – Definições do grupo Digitação

• Usuários: Victor• Impressoras acessíveis: Nenhuma• Programas autorizados: Microsoft Office, Windows Apps,Winzip, Sistema

CAURN, Norton AntiVirus• Pastas acessíveis: U:\ pasta do usuário \\servidordearquivos\user\nomedousuario,


• Políticas conceituais: Não pode acessar configurações de sistema, Não podeacessar painel de controle, Não pode acessar impressora de rede,, Não podeacessar prompt do MSDOS, Não pode acessar registro do sistema, Pode acessarsomente programas autorizados.

32

4.2.9.Grupo Faturamento

Figura 11 – Definições do grupo Faturamento

• Usuários: Eliane, Valdecio• Impressoras acessíveis: Impressora HP LaserJet 6L @ Faturamento1, Impressora

HP DeskJet 610C @ Faturamento 3• Programas autorizados: Microsoft Office, Windows Apps, Internet Explorer,

Outlook Express, Winzip, Winamp, Getright, Sistema CAURN, Norton AntiVirus,DIOPS, SICOV, COB Caixa, BB Receb, BB Office Banking, Critica Beneficiário,Validador

• Pastas acessíveis: U:\ pasta do usuário \\servidordearquivos\user\nomedousuario,G:\ pasta de grupo \\servidordearquivos\groups\nomedogrupo e P:\ pasta publica\\servidordearquivos\publico

• Políticas conceituais: Não pode acessar configurações de sistema, Não podeacessar painel de controle, Pode acessar somente impressora do faturametno, Nãopode acessar prompt do MSDOS, Não pode acessar registro do sistema, Podeacessar somente programas autorizados.

33

4.2.10.Grupo Recepção

Figura 12 – Definições do grupo Recepção

• Usuários: Milena, Analucia, Luciana• Impressoras acessíveis: Impressora HP DeskJet 710C @ Recepção 1, Impressora

HP DeskJet 930C @ Recepção 2• Programas autorizados: Microsoft Office, Windows Apps, Adobe Photo Deluxe,

Outlook Express, Winzip, Sistema CAURN, Norton AntiVirus• Pastas acessíveis: U:\ pasta do usuário \\servidordearquivos\user\nomedousuario,


• Políticas conceituais: Não pode acessar configurações de sistema, Não podeacessar painel de controle, Pode acessar somente impressoras da recepção, Nãopode acessar prompt do MSDOS, Não pode acessar registro do sistema, Podeacessar somente programas autorizados.

34

4.2.11.Grupo Secretaria

Figura 13 – Definições do grupo Secretaria

• Usuários: Daniele• Impressoras acessíveis: Impressora HP DeskJet 890C @ Secretaria 1• Programas autorizados: Microsoft Office, Windows Apps, Internet Explorer,



• Políticas conceituais: Não pode acessar configurações de sistema, Não podeacessar painel de controle, Pode acessar somente impressoras da secretaria, Nãopode acessar prompt do MSDOS, Não pode acessar registro do sistema, Podeacessar somente programas autorizados.

35

4.2.12.Grupo Superintendência

Figura 14 – Definições do grupo Superintendência

• Usuários: Estela• Impressoras acessíveis: Todas• Programas autorizados: Microsoft Office, Windows Apps, Internet Explorer,



• Políticas conceituais: Não pode acessar configurações de sistema, Não podeacessar painel de controle, Pode acessar qualquer impressora, Não pode acessarprompt do MSDOS, Não pode acessar registro do sistema, Pode acessar somenteprogramas autorizados.

4.3.Instalação do Servidor

Uma vez mapeado os requisitos da empresa, ou seja, já temos mapeado a estrutura

organizacional e a estrutura física que TI que irá comportar as necessidades dos

36

procedimentos realizados na empresa, partiremos para a instalação do servidor que irá

implementar a estrutura conceitual citada anteriormente. Para isso, utilizaremos um

servidor com o sistema operacional Windows 2000 Server. Teremos a seguir o passoa

passo desta instalação utilizando o método de instalação “Nova Instalação apartir de boot

pelo Cdrom”.

4.3.1.Iniciando a instalação pelo CDROM

Figura 15 – Iniciando a instalação a partir do cdrom

FONTE: http://www.petri.co.il/install_w2k_server.htm

Após colocar o CDROM no drive, devese reiniciar o computador, ou ligalo caso

esteja desligado, e aparecerá uma tela para apertar qualquer tecla para iniciar pelo CD

ROM, após pressionada qualquer tecla, aguardar a inicialização do programa de instalação.

37

4.3.2.Configurando drivers adicionais

Figura 16 – Configurando drivers adicionais

Caso seja necessário configurar drivers para controladoras SCSI ou dispositivos de

RAID que não sejam suportados nativamente pelo Windows 2000 devese pressionar a

tecla F6 nesta tela.

O driver deverá estar disponível em disquete, pois não é suportado procurar pelo

arquivo ou drivers encontrados em cdrom.

4.3.3.Iniciando o instalador

Logo após carregar os drivers necessários o instalador perguntará se deseja instalar

uma cópia nova pressionando ENTER, ou R para recuperar uma instalação anterior, deve

se portanto pressionar ENTER para continuarmos a instalação.

38

4.3.4.Contrato de licença

Figura 17 – Contrato de licença de uso do Windows 2000 Server

Leia atentamente todo o contrato e caso aceite pressione F8 para continuar.

4.3.5.Criando partição de instalação

Figura 18 – Criando partição de instalação passo 1

39

Para criar uma partição em um disco totalmente vazio devemos nesta tela

pressionar a tecla ‘C’, é pedindo portanto o tamanho da partição desejada conforme figura

abaixo.

Figura 19 – Definindo tamanho da partição de instalação

Uma vez definida o tamanho da partição pressionar ENTER para voltar para a tela

inicial, conforme mostra figura abaixo.

Figura 20 – Tela após a criação da partição

40

Nesta tela, pressionar ENTER para proceder com a instalação do Windows 2000

Server.

4.3.6.Formatando a partição

Figura 21 – Escolhendo o tipo de partição desejada

Após a criação da partição devemos escolher qual o tipo desejado, lembramos que

NTFS é nativo do Windows 2000 Server e deve ser escolhida para termos recursos de

segurança nos arquivos (permissões de acesso, auditoria, etc.) Já a FAT é mais rápida,

porém não dispões de recursos de segurança, sendo assim o tipo que se encaixa para nosso

fim é NTFS.

Selecionar NTFS e pressionar ENTER, o instalador irá formar seu disco conforme

escolhido.

41

4.3.7.Copiando arquivos para o disco

Figura 22 – Copiando arquivos para o disco

Neste ponto o instalador irá copiar os arquivos necessários para o disco e irá

reiniciar o computador em modo gráfico para as configurações finais, é só aguardar.

4.3.8.Iniciando o instalador em modo gráfico

Figura 23 – Iniciando o instalador em modo gráfico

42

Aguardar até que a primeira tela seja mostrada.

Figura 24 – Tela inicial do instalador em modo gráfico

Após aparecer a primeira tela, clicar em NEXT e aguardar que os dispositivos

compatíveis sejam instalados.

Figura 25 – Detecção automática de dispositivos compatíveis

43

Caso o instalador pare de responder e não haja atividade no disco, devese desligar

a máquina remover algum dispositivo duvidoso e voltar a ligar, é provável que este

dispositivo não seja compatível com o HCL.

Figura 26 – Instalador travado

4.3.9.Configurando preferências regionais

Após a detecção de dispositivos aparecerá uma tela para configurar as preferências

regionais, conforme figura abaixo.

Figura 27 – Configurando preferências regionais

44

Nesta tela devese selecionar as configurações referentes ao Brasil e clicar em

NEXT para avançar.

4.3.10.Configurando nome e empresa

Preencher nome e empresa referente a qual você está instalando

Figura 28 – Setando nome e empresa no instalador

4.3.11.Configurando licenciamento

Selecione a quantidade de licenças compradas para este servidor e clique em NEXT

Figura 29 – Configurando licenciamento do Windows 2000 Server

45

4.3.12.Configurando o nome do computador e a senha do administrador local

Nesta tela devemos configurar o nome do servidor e setar uma senha para o

administrador local.

Figura 30 – Configurando nome do computador e senha do administrador local

4.3.13.Selecionando pacotes que deverão ser instalados

Selecione os pacotes desejados que serão instalados, para nosso servidor

precisaremos instalar o DHCP, DNS, WINS e Terminal Services além da instalação

padrão.

Figura 31 – Selecionando pacotes de instalação

46

4.3.14.Selecionando data e hora

Figura 32 – Selecionando data e hora

Selecionar a data e hora corretamente e avançar.

4.3.15.Instalando a rede

Primeiramente o Windows tentará detectar sua placa de rede, caso obtenha sucesso

irá aparecer uma tela para configurar o dispositivo.

Figura 33 – Detectando dispositivo de rede

47

Na tela abaixo selecione a opção custom (personalizada) e clique em avançar para

configurarmos a rede.

Figura 34 – Selecionando o tipo de instalação

Selecionar protocolo TCP/IP e clicar em propriedades para atribuir um ip estático.

Figura 35 – Protocolos vinculados a placa de rede

48

Atribuir um IP estático conforme o planejamento de rede e avançar.

Figura 36 – Configurando TCP/IP

4.3.16.Configurando domínio/grupo de trabalho

Figura 37 – Configurando domínio/grupo de trabalho

49

Nesta tela selecionar grupo de trabalho e avançar, lembrando que esse servidor será

promovido a controlador de domínio e portanto não é necessário ingressálo no domínio

neste momento.

4.3.17.Finalizando a instalação

Após estes passos o instalador irá copiar os arquivos adicionar e finalizará a

instalação.

Figura 38 – Copiando arquivos adicionais

Figura 39 – Finalizando a instalação

50

4.4.Configurando serviços básicos

Como parte da implantação de uma rede Windows 2000 Pura temos alguns serviços

básicos de rede que devem ser implantados para o funcionamento da mesma. Estes serviços

são configurados automaticamente no momento da promoção do servidor à controlador de

domínio. Todavia, creio ser mais flexível a configuração manual destes em um momento

prévio a promoção.

4.4.1.Configurando DHCP

Para configurar o DHCP devemos ter em mente a topologia da rede, faixa de

endereços IPs que serão distribuídos e endereços de servidores básicos como DNS, WINS,

ROTEADOR PADRÃO. Devemos ainda ter instado previamente o serviço como foi citado

anteriormente.

Como primeiro passo devemos abrir o configurador do DHCP, indo em iniciar /

programas / ferramentas administrativas / DHCP como mostra a figura abaixo.

Figura 40 – Abrindo console DHCP

Assim que é instalado o DHCP, este não está autorizado no AD. O mesmo deverá

ser ativado após a configuração do escopo.

51

Figura 41 – Visão do serviço DHCP não autorizado

Você deverá portanto criar agora uma faixa de IPs que serão atribuídos

(distribuídos) para as máquinas clientes, um range de IP é chamado de “scope”, neste

mesmo “scope” podese ainda distribuir configurações pertinentes ao protocolo TCP/IP,

como DNS, etc. Para criar um novo escopo clicar com o botão direito sobre o servidor e

selecionar “novo escopo”, como mostra a figura.

Figura 42 – Criando um novo escopo do serviço DHCP

Abrirá uma tela de “wizard” que irá ajudar a configuração. Agora é só responder as

perguntas que irão seguir.

52

Figura 43 – Iniciando a criação de um escopo

Atribuir nome e descrição ao escopo. É importante preencher esses dados

corretamente para ajudar a tarefa de administração de escopos.

Figura 44 – Atribuindo informações sobre o escopo

Preencher as configurações de IP e mascara de subrede.

53

Figura 45 – Preenchendo ip e máscara do escopo

Adicionar depois exclusões desta faixa, como por exemplo, o IP do servidor, caso

esteja dentro da faixa selecionada.

Figura 46 – Adicionando exclusões

54

Após esta configuração, configurar para o intervalo de tempo que as máquinas

deverão renovar o IP. Em empresas este tempo é equivalente ao horário de trabalho.

Figura 47 – Tempo da licença do ip

Agora chegou a hora de configurarmos as opções pertinentes ao TCP/IP, clicar em

“configurar estas opções agora” e continuar.

Figura 48 – Iniciando a configuração do TCP/IP

55

Adicionar o IP do próximo salto, normalmente o roteador ou firewall.

Figura 49 – Configurando o próximo salto

Configurando o servidor DNS, por ordem de uso.

Figura 50 – Configurando os servidores DNS

56

Mesmo para o serviço WINS

Figura 51 – Configurando os servidores WINS

Finalmente ativar o escopo.

Figura 52 – Ativando o escopo

57

Caso seja necessário desativar o escopo no futuro basta clicar sobre o escopo e

selecionar a opção “desativar”.

Figura 53 – Desativando um escopo

Clique em finalizar para fechar o “wizard’.

Figura 54 – Finalizando a criação do escopo

58

Após a conclusão da criação do escopo está na hora de autorizar o serviço DHCP

no AD. Basta clicar sobre o servidor de DHCP no console e selecionar a opção

“Autorizar”.

Figura 55 – Autorizando o serviço DHCP

O status do serviço deverá ficar “running”, como abaixo.

Figura 56 – Demonstrando o serviço DHCP ativo.

4.4.2.Configurando DNS

A instalação do DNS assim como a do DHCP pode ser feita diretamente na

promoção do computador a controlador de domínio. Todavia, podem ocorrer alguns59

problemas se este servidor de DNS for também servidor de DNS da Internet, ou seja, é

preferível que seja instalado e configurado o serviço de DNS anteriormente à promoção do

domínio. O procedimento de instalação segue abaixo.

Para este procedimento o serviço já deve ter sido instalado anteriormente. Devese

portanto abrir o Gerenciador de DNS (DNS Manager) e criar uma nova zona de ‘forward’,

como mostra figura abaixo.

Figura 57 – Adicionando uma nova zona de DNS

Selecionar o tipo de zona como ‘standard primary’ ou zona primária para que ela

possa receber atualizações dinâmicas.

60

Figura 58 – Selecionando o tipo de zona DNS

Escolher o nome da zona, lembrando que este deverá ser igual ao nome do domínio

que está se querendo criar ou nó acima deste, por exemplo, se o domínio active directory

que está se querendo implantar é “caurn.ufrn.br” o nome da zona deverá ser o próprio

“caurn.ufrn.br” ou “ufrn.br” ou ainda “br”, no nosso caso deveremos criar como

“caurn.ufrn.br” pois o servidor de DNS deste domínio será dedicado para tal fazendo

apenas forward para o servidor master ”ufrn.br” quando lhe for requisitado endereços de

Internet.

61

Figura 59 – Escolhendo o nome da zona primária

Uma vez a zona primária criada devemos tornála atualizável dinamicamente, para

isso devemos ir em propriedades da zona criada, como mostra a figura.

Figura 60 – Editando as propriedades da zona primária

62

Na janela de propriedades, na guia geral, devese selecionar a opção ‘Permitir

atualizações dinâmicas’ como ‘Sim’.

Figura 61 – Configurando atualizações dinâmicas na zona dns criada

Caso este servidor seja também o responsável por encaminhar requisições DNS a

um servidor de DNS de nível mais alto, devese portanto habilitar o forward para este

servidor, primeiramente devese ir nas propriedades do servidor.

Figura 62 – Editando as propriedades do servidor de DNS

63

E na guia FORWARDERS configurar com o IP do servidor de mais alto nível

desejado, lembramos que geralmente este servidor é o DNS corporativo da rede onde o

domínio está sendo criado.

Figura 63 – Habilitando forwarders no servidor DNS

Uma vez configurado o DNS é partir agora para a promoção do servidor a

controlador de domínio.

4.5.Instalando o Active Directory

Após verificados todos os passos dos tópicos anteriores, podemos então levantar o

serviço do active directory seguindo os passos a seguir.

Primeiro devese rodar o comando “dcpromo” apartir do iniciar / executar.

64

Figura 64 – Iniciando a instalação do active directory via dcpromo

Após o inicio da instalação irá aparecer a imagem abaixo, clique em “next” para

continuar.

Figura 65 – Tela inicial de promoção do computador a controlador de domínio

Na próxima tela escolher a opção de “Controlador de Domínio para um novo

domínio” e clicar em continuar.

65

Figura 66 – Criando um novo domínio

Após este procedimento, selecionar para criar uma nova árvore, pois tratase do

primeiro domínio da rede. Caso esse domínio fosse um novo domínio para uma árvore já

existente, deveria portanto escolher a segunda opção.

Figura 67 – Criando uma nova árvore

66

Finalmente escolher uma nova floresta, seguindo o mesmo raciocício anterior.

Devese escolher a segunda opção caso este seja uma árvore nova para uma floresta já

existente.

Figura 68 – Criando uma nova floresta

Após selecionar as informações básicas de topologia do novo domínio devese

preencher o nome DNS configurado anteriormente em “Configurando DNS”.

Figura 69 – Preenchendo o nome DNS do novo domínio

67

Caso este nome não seja compatível com a seleção da topologia o dcpromo irá

assumir como erro. Na próxima tela preencher o nome NETBIOS (compatível com NT) do

novo domínio, nesta tela poderá selecionar qualquer nome.

Figura 70 – Escolhendo um nome NETBIOS

Aceite o caminho default para o base e o log do active directory, ao menos que a

mudança tenha motivos de performance, como armazenar em um disco rígido dedicado. O

caminho padrão é %systemroot%\NTDS.

Figura 71 – Escolhendo os caminhos para armazenar a base e os logs do AD

68

Selecionar o caminho da pasta SYSVOL que é a que armazena os arquivos públicos

como GPOs, Scripts, etc. Esta pasta deverá ser mantida a padrão, a menos que tenha

motivos de performance em mente. Deverá estar contida numa partição NTFS5.

Figura 72 – Escolhendo o caminho da pasta pública (SYSVOL)

Se tudo correu bem, deverá ser visto a tela abaixo.

Figura 73 – Escolhendo compatibilidade com NT

69

Caso tenha aparecido a seguinte mensagem de erro, voltar e configurar o DNS

novamente.

Figura 74 – Mensagem de erro dcpromo não conseguiu conectar o DNS

Digite o password do modo de restauração, deverá anotar e guardar a senha. A

mesma será necessário, tão logo apresente algum problema no AD.

Figura 75 – Escolhendo a senha do modo de restauração

Confirmar as configurações que serão aplicadas e peça para continuar.

70

Figura 76 – Sumário das configurações

Após a confirmação irá aparecer uma janela de progresso, em hipótese alguma

cancele esta tarefa, o computador irá apresentar sérios problemas se cancelado esta

operação, prefira deixar concluir e depois fazer as alterações necessárias, ou até mesmo

desinstalar o AD.

Figura 77 – Progresso da instalação do Active Directory

Finalizar e reiniciar o computador.

71

Figura 78 – Finalizando a instalação

Figura 79 – Reiniciando o computador após instalação do AD

Agora é só iniciar novamente o computador e começar a configuração do AD.

4.5.1.Criando estrutura de OUs baseado no modelo conceitual

Criação de uma OU é algo bastante simples, baseado no modelo conceitual

proposto anteriormente, basta criar uma OU dentro do Raiz que irá simbolizar a raiz da

organização, por exemplo, OU=CAURN, apartir desta criaremos uma OU que irá

simbolizar cada agrupamento físico como sala 1, sala 2, etc. de modo a dispor dentro desta

OU todos os dispositivos físicos (computadores, impressoras, usuários, etc.) que podem ser

72

utilizados pelos objetos contidos nesta mesma OU, após isso teremos uma topologia física

bem fácil de administrar e reutilizável, pois podemos “clonar” estas OUs de modo a criar

salas similares para o compartilhamento de recursos.

4.5.2.Criando grupos de segurança

Após a criação da topologia física, temos que designar a topologia lógica, ou seja,

criar os grupos de segurança que irão reunir objetos to tipo “User” com um mesmo nível de

acesso ou ainda aqueles que participam de um mesmo tipo de trabalho, como por exemplo

podemos citar que: na sala a do primeiro andar (OU) existem três setores, o que Marketing,

o que Publicidade e o de Redação (Grupos). Todos poderiam utilizar os mesmos recursos

físicos, como computadores, impressoras, scanners, mas estariam limitados por exemplo a

programas distintos para cada usuário, ou grupo de usuários, tipos diferentes de acessos a

internet por exemplo, etc.

4.5.3.Criando contas de usuário

A criação de usuário deve ser feita, para identificar um usuário individualmente,

mais de uma pessoa não deve usar a mesma senha ou o mesmo usuário para se logar na

rede, desta forma seria impossível rastrear uso dos recursos, acesso a Internet, etc. Portanto

recomendase que todo usuário esteja atribuído a um grupo (ou mais de um grupo) e que

este seja único para essa pessoa. Teremos que criar então todos os usuários desenhados no

modelo conceitual do mapa de usuários e atribuílos aos seus respectivos grupos, tomando

o cuidado ainda de que tanto grupos, quanto usuários devem ser posicionados dentro das

OUs respectivas, geralmente a mesma OU.

73

4.6.Implementação de Group Policy

As group policies é um forma eficiente de garantir que a política interna da empresa

será aplicada, temos portanto que tomar o cuidado que nada deve ser restrito demais de

modo a atrapalhar o trabalho ou solto demais e comprometer a segurança. No modelo

conceitual estão as políticas que devem ser aplicadas a cada grupo, portanto devese criar a

política usando o gerenciador do Active Directory e aplicalo a OU correspondente ao

grupo, após isso a política estará sendo aplicada automaticamente as máquinas clientes.

4.6.1.Adicionando contas de máquina dentro das OUs

Após a instalação do Windows 2000 Professional em todos os clientes devemos

portanto perceber que todas as contas de máquinas estarão dispostas em “Computers”, para

que as políticas de segurança sejam aplicadas também as máquinas devemos movêlas para

as OUs correspondentes, conseguimos isso clicando sobre o grupo de máquinas e

escolhendo a opção “Move” e indicando em seguida a OU correspondente.

74

5.Conclusão

Este trabalho teve como objetivo principal mostrar como planejar e implementar

uma rede totalmente baseada em Windows 2000. Sabemos portanto que em grandes

empresas isso tornase praticamente impossível, a não ser que seja feito um projeto de

reestruturação total ou que a empresa esteja se estabelecendo naquele momento. Todavia,

empresas que já estão no mercado e que não podem dispor de recursos para implementar

um projeto de reestruturação acabam deixando máquinas menos privilegiadas, com

configuração baixa para cargos menos exigentes como almoxarifado, telefonista, etc. e,

devido ao grau de exigência de hardware do Windows 2000 Professional, tornase inviável

a migração destas. Tornase assim um ponto de vulnerabilidade na rede, pois estas não

dispõem das GPOs aplicadas e não compartilham dos mesmos recursos. Porém para

aquelas empresas que implementaram este projeto, como foi nossa empresa laboratório no

qual realizei meu estágio, conseguimos sucesso na implementação desta rede pura e

diminuímos significativamente o trabalho de administração, pois a rede funcionava por si

só.

Acredito ter sido bastante proveitoso os conhecimentos aqui passados e espero que

as expectativas tenham sido alcançadas.

75

6.Referências

MINASI, M. et al. Dominando o Windows 2000 Server “A Bíblia”. São Paulo: MakronBooks, 2001. 540p.

ORTIZ, E. Windows 2000 Server – instalação, configuração e implementação. 6.ed.São Paulo: Érica, 2002. 125p.

PETRI, D. How can I install Windows 2000 Server? MCSE World. Disponível em: <http://www.petri.co.il/install_w2k_server.htm >. Acesso em: 03 de dez. 2003.

PETRI, D. How do I install Active Directory on my Windows 2000 Server? MCSEWorld. Disponível em: < http://www.petri.co.il/howto_install_ad.htm >. Acesso em: 05 dejan. 2004.

HELMOIG, J. Windows 2000 Configure DHCP Server. WindowsNetworking.comDisponível em: < http://www.wown.com/j_helmig/w2kdhcpc.htm >. Acesso em: 05 de jan.2004.

76

Instal and Ow in Active Directory

Documents

Transcript of Instal and Ow in Active Directory