Microsoft MCSA – 70-410 – Configuração parte 2

Este post faz parte da série de estudos para o exame 70-410 da certificação Microsoft MCSA do Windows Server 2012 R2.

Hoje continuamos o estudo sobre as configurações do próprio Windows Server.

Neste post abordaremos cópias de sombra e permissões NTFS e de compartilhamento

No próximo post iniciaremos os estudos com as Cotas de disco

Vamos ao conteúdo…

 

Serviços de Cópia de Sombra

O Windows inclui um recurso que te permite criar uma imagem em um ponto no tempo de um ou mais volumes. O Serviço de Cópia de Sombra de Volume (Volume Shadow Copy Service – VSS) é um recurso dentro do Windows que permite que um administrador tire uma imagem (cópia de sombra) de um ou mais volumes. Cópias de sombra podem abranger tanto aplicações quanto sistemas de arquivo.

Cópias de sombra permitem que um administrador faça backup de uma pasta compartilhada para um local remoto. Cópias de sombra são feitas para para ajudar a recuperar arquivos que foram deletados acidentalmente, que foram sobrescritos ou que se tornaram corrompidos. Uma grande vantagem das cópias de sombra é que fazem backup da arquivos mesmo que estejam abertos. Isso significa que mesmo se usuários estiverem trabalhando em arquivos em uma pasta compartilhada que possui cópias de sombra habilitada, as cópias de sombra continuarão a  funcionar.

Uma vez que administradores configurem e ativem as cópias de sombra (usando o Gerenciador do Computador), usuários de rede podem restaurar versões anteriores dos arquivos. Após a cópia de sombra inicial da pasta compartilhada ser criada, apenas as mudanças são copiadas e não o arquivo inteiro.

Você habilita as cópias de sombra em volumes inteiros.

As seguintes são algumas das configurações que você pode definir quando está configurando as cópias de sombra:

Agendamento  Você possui a habilidade de definir o agendamento das cópias de sombra. Você pode definir esse agendamento para rodar diariamente, semanalmente, mensalmente, uma vez, na inicialização do sistema, no logon ou quando o sistema está ocioso. Você também pode definir a hora em que as cópias de sombra irão rodar.

Locais de Armazenamento  Um administrador precisa definir o local do backup de cópia de sombra. Se você esta em uma rede, é uma boa ideia colocar a cópia de sombra em um drive de rede.

Tamanho Máximo  Você pode definir um tamanho máximo para suas cópias de sombra, ou você pode definir que elas não possuam limite de tamanho. Uma das configuração pré-determinada é de 64 cópias de sombra por volume.

 

 

Configurar uma Cópia de Sombra em um Volume

  1. Abra o Gerenciamento do Computador dentro das Ferramentas Administrativas ou no menu Ferramentas no Gerenciador do Servidor.
  2. Expanda o item Armazenamento e então clique com o botão direito em Gerenciamento de Disco. Selecione Todas as tarefas -> Configurar Cópias de Sombra
  3. Na caixa de diálogo de Cópias de Sombra clique em Configurações
  4. Na janela de Configurações clique no botão Agendamento
  5. Na janela de Agendamento, defina a tarefa de agendamento para semanalmente e a hora de início para 7:00. Desmarque todas as caixas para os dias da semana exceto Segunda. Clique em OK
  6. Na janela de Configurações clique em OK
  7. Se o botão Habilitar/Ativar estiver disponível clique nele. Então clique em OK
  8. Feche o Gerenciamento do Computador

Para recuperar uma versão anterior de um arquivo a partir de uma cópia de sombra, você usa o caminho \\nomeservidor\nomecompartilhamento. O sistema operacional determina como você irá ter acesso as pastas compartilhadas e cópias de sombra. As cópias de sombra estão integradas no Windows XP SP1 e versões mais novas, na linha Server está disponível a partir do Windows Server 2003. Se você estiver usando um sistema operacional Microsoft diferente, você precisa fazer o download do Shadow Copy Client Pack no site do Microsoft Download Center.

Comando VssAdmin

Outra maneira de criar, configurar e gerenciar cópias de sombra é através do uso do utilitário de linha de comando vssadmin.exe. O comando vssadmin.exe te permite criar, deletar, listar e redimensionar cópias de sombra e armazenamento de sombra.

Uma área onde o VSS é muito importante é durante backups. Quando você realiza backups de arquivos abertos, o VSS copia os dados e ajuda a fazer backup de arquivos abertos. Por exemplo, quando você está fazendo o backup de um servidor Microsoft Exchange usando um servidor de backup Unitrends, o escritor VSS Exchange é usado. Para ver se os escritores VSS estão funcionando corretamente, você pode abrir um prompt de comando com direitos administrativos e digitar o seguinte comando:

VSSAdmin list writers

Este comando irá te mostrar todos os escritores do serviço VSS e de que forma eles estão funcionando apropriadamente.

A tabela abaixo descreve o comando vssadmin.exe e os diferentes comandos associados com o utilitário vssadmin.

 

Comando Descrição
Add ShadowStorage Adiciona uma nova associação de armazenamento de cópia de sombra de volume
Create Shadow Cria uma nova cópia de sombra de volume
Delete Shadows Deleta cópias de sombra de volume
Delete ShadowStorage Apaga as associações de armazenamento de cópia de sombra de volume
List Providers Lista os provedores registrados de cópia de sombra de volume
List Shadows Lista cópias de sombra de volume existentes
List ShadowStorage Lista as associações de armazenamento de cópia de sombra de volume
List Volumes Lista os volumes elegíveis para cópias de sombra
List Writers Lista escritores de cópia de sombra de volume inscritos
Resize ShadowStorage Redimensiona uma associação de armazenamento de cópia de sombra de volume
Revert Shadow Reverte um volume para uma cópia de sombra
Query Reverts Consulta o progresso de operações de reversão ainda em andamento

 

Configurar Permissões

Você passou pelos passos necessários para configurar uma pasta compartilhada, publicá-la no Active Directory e configurá-la para acesso offline. Agora você verá como pode proteger esses arquivos e pastas com o uso de permissões.

Você pode tornar pastas seguras através de permissões de duas maneiras, e você pode tornar arquivos seguros de uma maneira. Você pode configurar permissões e segurança através de NTFS ou de compartilhamento.

 

 

Entendendo o NTFS       

O NTFS é uma opção que você possui quando está formatando um disco rígido. Você pode formatar um disco rígido para um sistema operacional Microsoft de três maneiras.

  • FAT (File Allocation Table) é suportado somente em sistemas operacionais mais antigos ( Server 2003, Server 2000, XP e etc..)
  • FAT32 é suportado no Windows Server 2012 R2.
  • NTFS é suportado no Windows Server 2012 R2.

O NTFS possui muitas vantagens sobre o FAT e o FAT32. Elas incluem o seguinte:

Compactação  A compactação ajuda a compactar arquivos ou pastas para permitir um uso mais eficiente do espaço em disco. Por exemplo, um arquivo que normalmente usa 20MB de espaço pode usar somente 13MB após a compressão. Para habilitar a compressão, apenas abra a caixa de diálogo de atributos avançados de uma pasta e marque o item Compactar o conteúdo para economizar espaço em disco.

microsoft-mcsa-70-410-compact

Cotas  As cotas permitem limitar quanto espaço em disco os usuários podem ter em um servidor.

Criptografia  O Encrypting File System (EFS) permite que um usuário ou administrador torne arquivos ou pastas seguras pelo uso da criptografia. A criptografia usa o ID de segurança do usuário para proteger o arquivo ou pasta. Para implementar a criptografia, abra a caixa de diálogo de atributos avançados de uma pasta e marque o item Criptografar o conteúdo para proteger os dados.microsoft-mcsa-70-410-encrypt

Se os arquivos forem criptografados usando o EFS e um administrador precisar descriptografar os arquivos, existem duas maneiras de conseguir isso. Primeiro, você pode fazer login com a conta do usuário que criptografou os arquivos e descriptografá-los. Segundo, você pode se tornar um agente de recuperação e descriptografar manualmente os arquivos.

Nota
Se você usa o EFS, é bom não deletar usuários imediatamente quando eles saem da empresa. Os administradores tem a habilidade de recuperar arquivos criptografados, mas é muito mais fácil ter acesso aos arquivos criptografados do usuário logando como o usuário que deixou a empresa e desmarcando o item de criptografia.

Segurança  Uma das maiores vantagens do NTFS é a segurança. Segurança é um dos aspectos mais importantes da função de um administrador de TI. Uma vantagem da segurança do NTFS é que a segurança pode ser colocada em arquivos e pastas individuais. Não importa se você está na máquina onde o compartilhamento é armazenado ou se está em um computador remoto; a segurança está sempre ativa com o NTFS.

A permissão padrão de segurança é Usuários = Ler em novas pastas ou compartilhamentos.

A segurança NTFS é aditiva. Em outras palavras, se você é membro de três grupos (Marketing, Vendas e Treinamento) e esses três grupos possuem configurações de segurança diferentes, você recebe o nível de segurança mais alto. Por exemplo, vamos dizer que você possua um usuário chamado jsantos que pertence aos três grupos. O grupo de Marketing possui permissão de Ler e Executar nos documentos da empresa. O grupo de Vendas possui Ler e Escrever e o grupo Treinamento possui Controle Total. Já que o jsantos é um membro dos três grupos ele receberia o acesso Controle Total (o nível mais alto).

A única vez em que isso não se aplica é com as permissões Negar. Negar sobrescreve qualquer outra configuração de grupo. Usando o mesmo exemplo, Vendas tem permissão Negar para a pasta documentos da empresa, o usuário jsantos também teria acesso negado para essa pasta. O único jeito de contornar o Negar é se você adicionasse jsantos diretamente na pasta e atribuísse a ele permissões individuais. Permissões individuais sobrescrevem permissões Negar. Neste exemplo, o direito individual de jsantos sobrescreveria a permissão Negar do grupo Vendas. Logo a permissão do usuário seria novamente Controle Total.

Aviso
Apenas atribua para usuários as permissões necessárias para eles realizarem seus trabalhos. Não distribua permissões maiores que o necessário.

 

Entendendo Permissões de Compartilhamento

Quando você configura umas pasta para ser compartilhada, você possui a habilidade de definir as permissões desta pasta. Permissões de compartilhamento podem ser usadas apenas em pastas, não em arquivos individuais. Arquivos possuem a capacidade de herdar suas permissões a partir da pasta pai.

Permissões de pasta compartilhada estão ativas apenas quando os usuários estão acessando a pasta remotamente. Em outras palavras, se o computador A compartilha uma pasta chamada Downloads e define permissões de compartilhamento para ela, essas permissões apenas seriam aplicadas se você se conectar a esse compartilhamento de uma máquina diferente do computador A. se você estivesse sentado na frente do computador A, as permissões de compartilhamento não seriam aplicadas.

Assim como permissões NTFS, permissões de compartilhamento são aditivas, então usuários recebem o nível mais alto de permissão atribuída pelos grupos dos quais faz parte.

Além disso, assim como nas permissões NTFS, a permissão Negar sobrescreve qualquer permissão de grupo e uma permissão individual sobrescreve uma permissão Negar.microsoft-mcsa-70-410-share-permissions

A permissão de compartilhamento padrão é Administradores = Controle Total. As permissões de compartilhamento da menor para a mais alta é Ler, Alterar, Controle Total e Negar. A tabela abaixo compara os dois tipos de permissões.

 

Descrição NTFS Compart.
Segurança no nível de pasta Sim Sim
Segurança no nível de arquivo Sim Não
Ativo quando local em relação aos dados Sim Não
Ativo quando remoto em relação aos dados Sim Sim
Permissões são aditivas Sim Sim
Negar sobrescreve todas as outras permissões de grupo Sim Sim
Configurações individuais sobrescrevem configurações de grupo Sim Sim

 

Como a segurança NTFS e Permissões de Compartilhamento trabalham juntas

Quando você configura uma pasta compartilhada, você precisa configurar permissões de compartilhamento nessa pasta. Se você está usando o NTFS, você também precisará configurar a segurança NTFS na pasta. Já que tanto permissões de compartilhamento quanto a segurança NTFS estão ativos quando o usuário é remoto, o que acontece quando as duas entram em conflito?

Essas são as duas regras gerais:

  • A permissão local é a permissão NTFS
  • A permissão remota é o conjunto mais restritivo entre as permissões NTFS e de compartilhamento

Isso é fácil desde que você o faça em passos. Vamos olhar para o caso abaixo e passar pelo processo de descobrir quais os direitos de jsantos.

Pasta Documentos

Permissões de compartilhamento – Marketing, Vendas e Treinamento = Leitura

Segurança NTFS – Marketing = Leitura e escrita, Vendas = Leitura, Treinamento = Controle Total

Jsantos faz parte dos grupos Marketing, Vendas e Treinamento

Como você pode ver o usuário jsantos faz parte dos 3 grupos e todos os 3 grupos possuem configurações para a pasta Documentos da empresa. No caso acima temos que descobrir qual a permissão de acesso local e remoto para o usuário jsantos. Para descobrir siga esses passos:

  1. Adicione as permissões de cada tipo separadamente. Lembre-se, permissões e segurança são aditivas. Você recebe a maior permissão. Então a maior permissão de compartilhamento é a permissão Ler. A segurança NTFS somada irá ficar como Controle Total.
  2. Determine as permissões locais. Permissões de compartilhamento não estão ativas quando o usuário é local. Apenas o NTFS é aplicado. Portanto, a permissão local seria Controle Total.
  3. Determine as permissões remotas. Lembre-se, as permissões remotas são o conjunto de permissões mais restritivas entre permissões de compartilhamento e NTFS. Então já que Ler é mais restritivo do que Controle Total, a permissão remota seria Ler.

Vamos ver outra situação, veja os detalhes abaixo e tente descobrir as permissões corretas antes de rolar a página para ver a resposta.

Pasta Documentos
Permissões de compartilhamento – Marketing, Vendas = Leitura , Treinamento = Controle Total
Segurança NTFS – Marketing = Marketing, Vendas e Treinamento = Leitura
Sua reposta deve ficar como:

permissão de acesso local = Leitura

permissão de acesso remoto = Leitura

 

Lembre-se, primeiro você adiciona cada tipo de permissão para ter o nível mais alto de permissão. Então NTFS ficaria Leitura e compartilhamento ficaria Controle Total. A permissão local é igual a NTFS pois permissões de compartilhamento não se aplicam. A permissão remota é a permissão mais restrita entre os dois tipos que seria a permissão NTFS de Leitura.

 

Configurar permissões de Compartilhamento e NTFS

  1. Clique com o botão direito na pasta Teste criada anteriormente e clique em Propriedades.
  2. Clique na aba compartilhamento e clique no botão compartilhamento avançado. (iremos configurar as permissões de compartilhamento primeiro)
  3. Clique no botão Permissões. Clique no botão Adicionar. Encontre o grupo que deseja e clique em OK.
  4. De volta a caixa de diálogo de Permissões, com o seu grupo selecionado clique na caixa de seleção Permitir ao lado de Controle Total e clique em OK. (todas as outras caixas de seleção serão marcadas)
  5. Na página compartilhamento avançado clique em OK. Agora clique na aba Segurança. (isso te permite definir as permissões NTFS)
  6. Clique no botão Editar. Isso te leva para a página de Permissões. Agora clique no botão Adicionar. Encontre o grupo que deseja e clique em OK.
  7. De volta a caixa de diálogo de Permissões, com o seu grupo selecionado clique na caixa de seleção Permitir ao lado de Controle Total e clique em OK. (todas as outras caixas de seleção serão marcadas)
  8. Clique em Fechar.

 

Por hoje paramos por aqui…

Caso ainda não saiba aqui no blog tem um ebook com dicas para quem está se preparando para certificações Microsoft.

E tem um simulado completo para o exame 70-410.

Qualquer coisa me avise aqui pelos comentários ou lá pelo Facebook ou me mande email.

Sucesso!

Thiago

 

Para ver todos os materiais disponíveis para serem adquiridos aqui na WiseOne acesse essa página.

Links ->  Fanpage, Grupo