Post on 05-Apr-2018
7/31/2019 10140A_04 [Modo de Compatibilidade]
1/39
Mdulo 4Gerenciamento do acesso
a recursos nos Servios
de Domnio ActiveDirectory
7/31/2019 10140A_04 [Modo de Compatibilidade]
2/39
7/31/2019 10140A_04 [Modo de Compatibilidade]
3/39
Lio 1: Viso geral do gerenciamento de acesso
O que so entidades de segurana?
O que so tokens de acesso?
O que so permisses?
Como funciona o controle de acesso
7/31/2019 10140A_04 [Modo de Compatibilidade]
4/39
O que so entidades de segurana?
Entidade de Segurana - Usurios, grupos ou objetos decomputador que podem ser usados para autenticao e para atribuiracesso aos recursos.
Identificador de Segurana (SID) - Um valor exclusivo atribudoquando um usurio, computador ou grupo de segurana criado. Osprocessos internos do Windows referem-se a um SID da conta em vezde a um nome de usurio ou de grupo da conta.
- exclusivamente uma conta ou grupo em um domnio.
Entidade de Segurana
S-1-5-21-1454471165-1004336348-1606980848-5555
SID
RID
DomainID
7/31/2019 10140A_04 [Modo de Compatibilidade]
5/39
7/31/2019 10140A_04 [Modo de Compatibilidade]
6/39
O que so permisses?
Como as permisses so atribudas?
Permisses: Regras para conceder ou negar acesso a um objeto So usadas para controlar o acesso
(pasta, impressora, arquivo)
As permisses podem ser atribudas a contas docomputador local ou de AD DS
As permisses podem ser aplicadas de forma explcita ouimplcita, ou herdadas
7/31/2019 10140A_04 [Modo de Compatibilidade]
7/39
Como funciona o controle de acesso
DACL (Lista de controle de acesso discricionrio)A DACL contm um lista de usurios e grupos que podem acessarou que tiveram o acesso negado ao recurso
Todo arquivo e pasta em um volume NTFS tem uma DACL
associada
SACL (Lista de controle de acesso do sistema)
ACE (Entrada de controle de acesso)Define cada entrada em uma DACL ou SACL
Especifica o conjunto de SIDs que ser permitido, negado ouauditado
Se nenhuma ACE for especificada em uma DACL, o acesso aorecurso ser negado
7/31/2019 10140A_04 [Modo de Compatibilidade]
8/39
Lio 2: Gerenciamento de permisses de arquivos epastas NTFS
O que so permisses NTFS?
O que so permisses padro e especiais?
O que herana de permisses NTFS?
Impactos nas permisses NTFS ao copiar e mover arquivose pastas
7/31/2019 10140A_04 [Modo de Compatibilidade]
9/39
O que so permisses NTFS?
Permisses de arquivos Permisses de pastas
Ler Ler
Gravar Gravar
Ler e Executar Listar contedo de pastas
Modificar Ler e ExecutarControle total Modificar
Controle total
As permisses Negar tm prioridade sobre as permissesPermitir.
7/31/2019 10140A_04 [Modo de Compatibilidade]
10/39
O que so permisses padro e especiais?
Permisses especiais
Desviar pasta / Executararquivo
Criar pastas/Acrescentardados
Ler permisses
Listar pasta/ Ler dados Gravar atributos Alterar permisses
Ler atributos Gravar atributos estendidos Apropriar-se
Ler atributos estendidos Excluir subpastas e arquivos Sincronizao
Criar arquivos / Gravardados Excluir
Permisses padro
Ler Listar contedo de pastas Modificar
Gravar Ler e Executar Controle total
7/31/2019 10140A_04 [Modo de Compatibilidade]
11/39
O que herana de permisses NTFS?
Blo ueio
A herana usada para gerenciar o acesso aos recursos sematribuir permisses explcitas para cada objeto
Por padro, as permisses NTFS so herdadas em uma relaopai/filho
A herana de permisso pode ser bloqueada
O bloqueio pode ser executado no nvel do arquivo ou dapasta
O bloqueio de pastas pode ser definido para propagar asnovas permisses para os objetos filho
7/31/2019 10140A_04 [Modo de Compatibilidade]
12/39
Demonstrao: Configurao de permisses NTFS
Nesta demonstrao, voc ver como:
Configurar permisses NTFS
7/31/2019 10140A_04 [Modo de Compatibilidade]
13/39
Pgina de anotaes - Slide excedente. Noimprima o slide. Consulte o painel de anotaes.
7/31/2019 10140A_04 [Modo de Compatibilidade]
14/39
Impactos nas permisses NTFS ao copiar e moverarquivos e pastas
Partio NTFS
C:\Partio NTFS
E:\Partio NTFSD:\
Mover
Copiar
ouMover
Copiar
Quando voc copia arquivos e pastas, eles herdamas permisses da pasta de destino
Quando voc move arquivos e pastas na mesma
partio, eles mantm suas permisses Quando voc move arquivos e pastas para outrapartio, eles herdam as permisses da pasta dedestino
7/31/2019 10140A_04 [Modo de Compatibilidade]
15/39
Lio 3: Atribuio de permisses para recursoscompartilhados
O que so pastas compartilhadas?
O que so pastas compartilhadas administrativas?
Permisses de pasta compartilhada
Conectando-se a pastas compartilhadas
Consideraes sobre o uso de pastas compartilhadas
Implantao e configurao de arquivos offline
7/31/2019 10140A_04 [Modo de Compatibilidade]
16/39
O que so pastas compartilhadas?
possvel compartilhar pastas, mas no possvelcompartilhar arquivos individuais
As Pastas Compartilhadas so pastas que permitem o acessoao contedo por meio da rede
Por padro, a permisso das pastas compartilhadas Controle total do usurio que compartilhou a pasta
As pastas compartilhadas podem ser identificadas:Por meio do Gerenciamento de Compartilhamento e
Armazenamento do Console MMCNo Windows Explorer, usando o cone com os dois usuriosabaixo da pastaPor meio da linha de comando do Net SharePor meio do Gerenciador de Computador em ArquivosCompartilhados
7/31/2019 10140A_04 [Modo de Compatibilidade]
17/39
O que so pastas compartilhadas administrativas?
Compartilhamentos administrativos: So compartilhamentos ocultos No so exibidos ao usar o Net View ou na exibio da
rede
Os administradorespossuem permissescompletas
As permisses decompartilhamento nopodem ser alteradas
7/31/2019 10140A_04 [Modo de Compatibilidade]
18/39
Permisses de pasta compartilhada
Nvel depermisso Acesso
Ler
Permite exibir os dados dos arquivos
Permite a navegao em subpastas
Os programas nas pastas compartilhadas podemser executados
Alterar
Todas as permisses da categoria Leitura
Novos arquivos e subpastas podem ser criados
Os dados em pastas existentes podem sermodificados ou removidos
Arquivos e subpastas podem ser excludos
Controle total Todas as permisses includas nas categorias
Leitura e Alterao e a permisso para alterar asconfiguraes de segurana
7/31/2019 10140A_04 [Modo de Compatibilidade]
19/39
Demonstrao: Criao de pastas compartilhadas
Nesta demonstrao, voc ver como:
Criar pastas compartilhadas
7/31/2019 10140A_04 [Modo de Compatibilidade]
20/39
Pgina de anotaes - Slide excedente. Noimprima o slide. Consulte o painel de anotaes.
7/31/2019 10140A_04 [Modo de Compatibilidade]
21/39
7/31/2019 10140A_04 [Modo de Compatibilidade]
22/39
Conexo de Pastas compartilhadas
Acesso por meio de UNC:
A conveno de nomenclatura \\nomedoservidor\compartilhamento ou\\nomedoservidor\compartilhamento\arquivo
Pode ser acessado por meio do Windows Explorer, linha decomando ou programaticamente
Acesso por meio da Rede:
Usa uma ferramenta grfica para procurar compartilhamentosna rede
Trabalha no domnio ou no modo grupo de trabalho
No exibe compartilhamentos ocultos ou administrativos
Utilize o Windows Explorer ou uma linha de comando paramapear uma unidade para \\nomedoservidor\compartilhamento
7/31/2019 10140A_04 [Modo de Compatibilidade]
23/39
Demonstrao: Gerenciamento de PastasCompartilhadas
Nesta demonstrao, voc ver como:
Gerenciar o acesso a pastas compartilhadas usando aferramenta de Gerenciamento de Compartilhamento eArmazenamento
7/31/2019 10140A_04 [Modo de Compatibilidade]
24/39
Pgina de anotaes - Slide excedente. Noimprima o slide. Consulte o painel de anotaes.
7/31/2019 10140A_04 [Modo de Compatibilidade]
25/39
Consideraes sobre o uso de pastas compartilhadas
Ao criar pastas compartilhadas:
Utilize as permisses mais restritivas possveis
Evite atribuir permisses a usurios individuais, usegrupos sempre que possvel
em re-se e que o on ro e o a perm e que os
usurios modifiquem as permisses NTFS. Tenhacautela ao adicionar grupos ao grupo de permissoControle total
Adicione o grupo Usurios Autenticados e remova ogrupo Todos das permisses de compartilhamento
7/31/2019 10140A_04 [Modo de Compatibilidade]
26/39
Implantao e configurao de arquivos offline
Ao criar arquivos offline:
Selecione uma pasta em um local na rede, sincronize edesconecte o computador
Edite os documentos com o computador desconectado
Conecte o computador rede novamente para atualizaras alteraes
Os arquivos so sincronizados automaticamente
7/31/2019 10140A_04 [Modo de Compatibilidade]
27/39
Lio 4: Determinao de permisses efetivas
O que so permisses NTFS efetivas
Discusso: Aplicao de permisses NTFS
Impactos da combinao de permisses de Pasta
compartilhada e NTFS
Discusso: Determinao de permisses efetivas de Pastacompartilhada e NTFS
Consideraes para a implementao de permisses NTFSe Pasta compartilhada
7/31/2019 10140A_04 [Modo de Compatibilidade]
28/39
O que so permisses NTFS efetivas?
As permissesNTFS socumulativas
Modificar
Executar
Gravar
Ler
Negar temprecedncia
As permissespodem seraplicadas a umusurio ou a umgrupo
As permissesde arquivosubstituem aspermisses depasta
Os criadores dearquivos epastas so seusproprietrios
7/31/2019 10140A_04 [Modo de Compatibilidade]
29/39
Discusso: Aplicao de permisses NTFS
GrupoUsurios
O grupo Usurios tempermisso Gravarpara a Pasta1
O grupo Vendas tem
permisso Ler paraPasta1
1
O grupo Usurios temermisso Ler ara a2
Partio NTFS
Pasta1
Ar uivo1
Grupo Vendas
Usu rio1
Pasta1
O grupo Vendas tempermisso Gravarpara a Pasta2
O grupo Usurios tem
permisso Modificarpara a Pasta1O Arquivo2 s deveestar acessvel aogrupo Vendas com apermisso Ler
3 Arquivo2
Pasta2
7/31/2019 10140A_04 [Modo de Compatibilidade]
30/39
Demonstrao: Avaliao de permisses efetivas
Nesta demonstrao, voc ver como: Avaliar permisses efetivas
Pgina de anotaes Slide excedente No
7/31/2019 10140A_04 [Modo de Compatibilidade]
31/39
Pgina de anotaes - Slide excedente. Noimprima o slide. Consulte o painel de anotaes.
Impactos da combinao de permisses NTFS e de
7/31/2019 10140A_04 [Modo de Compatibilidade]
32/39
Impactos da combinao de permisses NTFS e dePasta Compartilhada
Ao combinar permisses de pasta compartilhada eNTFS, a permisso mais restritiva aplicada
Exemplo: Se um usurio ou grupo receber a permisso decompartilhamento Ler e a permisso NTFS Gravar, o usurioou grupo somente conseguir ler o arquivo porque essa apermisso mais restritiva
As permisses de pasta compartilhada e arquivo NTFSdevem ter permisses corretas, caso contrrio, ousurio ou grupo ter acesso implicitamente negado ao
recurso
Discusso: Determinao de permisses efetivas de
7/31/2019 10140A_04 [Modo de Compatibilidade]
33/39
Discusso: Determinao de permisses efetivas dePasta compartilhada e NTFS
Discusso em sala de aula:
Determinar as permisses NTFS efetivas
Determinar as permisses de pasta compartilhada
Volume NTFS
UsuriosGru o Usurios
1 Volume NTFS
Gru o Vendas
2
Usurio3
Usurio2
Usurio1 Usurio1
Usurio3
Usurio2
CT
CT
CT
CT = Controle total
GrupoVendas
Vendas
Pubs
RH
CT
Consideraes para a implementao de
7/31/2019 10140A_04 [Modo de Compatibilidade]
34/39
Consideraes para a implementao depermisses NTFS e de Pasta compartilhada
Conceda permisses a grupos em vez de a usurios
Use as permisses Negar somente quando necessrio
Nunca negue ao grupo Todos o acesso a um objeto
Conceda permisses no local mais elevado possvel daestrutura de pastas
Use permisses NTFS em vez de permisses
compartilhadas em acesso refinado
7/31/2019 10140A_04 [Modo de Compatibilidade]
35/39
Laboratrio: Gerenciamento do acesso a recursos
Exerccio 1: Planejamento de uma implementao dePasta compartilhada (Discusso)
Exerccio 2: Implementao de uma Pasta compartilhada
Exerccio 3: Avaliao da implementao de PastaCompartilhada
Informaes de logon
Mquina virtual 10140A-NYC-DC1, 10140A-NYC-CL1
Nome de usurio Administrador , Rui, Castro
Senha Pa$$w0rd
Tempo estimado: 45 minutos
7/31/2019 10140A_04 [Modo de Compatibilidade]
36/39
Cenrio do laboratrio
O Woodgrove Bank uma empresa com escritrios emvrias cidades do mundo. Ele implantou o AD DS noWindows Server 2008 e, recentemente, abriu uma novasubsidiria em Toronto, Canad. Como administrador derede designado para a nova subsidiria, uma de suastarefas principais ser criar e gerenciar o acesso a recursos,incluindo a implementao de pasta compartilhada. Porexemplo, os grupos que espelham a organizaode artamental do banco recisam de reas com artilhadaspara armazenamento de arquivos. Alm disso, para que osarquivos sejam compartilhados durante projetos especiaisentre departamentos, preciso que voc tenhacompartilhado pastas.
7/31/2019 10140A_04 [Modo de Compatibilidade]
37/39
Reviso do laboratrio
Para conceder a diversos colegas acesso a uma pastacompartilhada, o que voc precisa fazer para atribuiracesso de forma mais eficiente?
Como seria possvel configurar pastas compartilhadas que
permitem que um departamento compartilhe arquivos emque todos possam adicionar arquivos e ler arquivos dosdemais, mas somente um grupo restrito de pessoas possaeditar o contedo de todos os arquivos?
Por que talvez voc prefira usar o MMC de Gerenciamentode Compartilhamento e Armazenamento em vez doWindows Explorer para criar pastas compartilhadas?
7/31/2019 10140A_04 [Modo de Compatibilidade]
38/39
Reviso do mdulo e informaes
Perguntas de reviso
Consideraes sobre o gerenciamento de pastascompartilhadas e permisses NTFS
Pgina de anotaes - Slide excedente. No
7/31/2019 10140A_04 [Modo de Compatibilidade]
39/39
g imprima o slide. Consulte o painel de anotaes.