lunes, 16 de abril de 2012

ADMIN. REDES EM SOFTWARE PROPIETARIO

Software Propierário: Software que tem seu uso atrelado ao pagamento de licença. É um programa de computador que possui o seu código fonte fechado, em que somente um indivíduo ou um grupo especializado da empresa fabricante tem o controle sobre seu código e, consequentemente, sobre suas funções, melhoramentos e correções.
Software Livre: Software que oferece ao seu usuário a liberdade de utilizá-lo para seu proveito, executando os programas para quaisquer propósitos, copiando, distribuindo, estudando seu funcionamento, modificando, aperfeiçoando e customizando seu código fonte, sem precisar pedir autorização para outrem.

O processo de carga de um sistema:
Quando o computador é ligado não há sistema operacional carregado na memória da máquina. Normalmente, os componentes do sistema operacional ficam armazenados em dispositivos de memória secundária e devem ser carregados para a memória principal toda vez que o computador é ligado. A este procedimento damos o nome de ativação do sistema ou boot.

SAIBA MAIS
Você sabe o que é um nome NetBIOS?
Um nome NetBIOS é um endereço de 16 bytes usado para identificar um recurso NetBIOS na rede, como computadores e servidores, geralmente utilizado em redes Windows95 e redes NT.
Um exemplo de processo que usa um nome NetBIOS é o serviço Compartilhamento de Arquivos e Impressoras para Redes Microsoft em um computador.

Como funciona o processo de BOOT?
A partir da execução do programa, boot loader, localizado na memória ROM da máquina, é verificado, através da execução de outro programa, o POST, os possíveis problemas de hardware na máquina.  

Após a averiguação, o processo de boot verifica a existência de algum dispositivo de armazenamento com o sistema operacional residente e, assim, um conjunto de instruções é carregado para a memória em um local conhecido como setor de boot - boot sector. A partir da execução deste código, o sistema operacional é carregado para a memória principal.
  
Caso nenhum dispositivo de armazenamento contenha o sistema operacional, uma mensagem de erro é apresentada e o boot é interrompido.

Windows Server 2003, Web Edition
Esta versão foi criada de forma reduzida a partir do Windows Server, especificamente para utilização em serviços da web. Possui versão do Microsoft SQL Server incluída que suporta até 25 conexões simultâneas.
Capacidade: Suporta até 2 Gigabytes de RAM e multiprocessador simétrico de duas vias SMP (Symmetric MultiProcessor).
Limitações: Não pode ser utilizado como roteador, DHCP, controlador de domínio ou servidor de fax.

Windows Server 2003, Standard Edition
Versão utilizada para fornecer serviços de diretórios, arquivos, impressão, aplicativos para pequenas e médias empresas. Oferece versão do Microsoft SQL Server incluída que suporta até 5 conexões simultâneas de bancos de dados com até 2GB e o serviço de POP3, permitindo que o servidor funcione como um servidor pequeno de correio eletrônico. Possui também a ferramenta NLB, para o balanceamento de Carga da rede.
Capacidade: Suporta até 4 GB de RAM e SMP de 4 vias.

Windows Server 2003, Enterprise Edition
Esta versão foi desenvolvida para empresas de médio e grande porte através da implementação de novas tecnologias, como: o suporte para serviços metadiretórios (MMS), que permite a integração de diversos diretórios, bancos de dados e arquivos, ou pelo Hot-swap, que permite que você adicione memória ao computador sem paralisação ou reinicialização do sistema.
Capacidade: Suporte para oito processadores, 32 GB de RAM, Cluster de oito nós. Suporta também computadores Intel Tanium de 64 bits com capacidade até 64 GB de RAM e SMP de 8 vias.


Windows Server 2003, Datacenter Edition
Esta versão está disponível apenas como OEM (para fabricantes originais de equipamentos) 
Capacidade: Oferece suporte nas plataformas de 32 bits para o SMP de 32 vias com 64 GB de RAM. Em plataformas de 64 bits para SMP de 64 vias oferece suporte para 512 GB de RAM.

Windows Server
Encontra-se disponível também a versão do Windows Server 2008, que, como podemos perceber, foi ampliada em relação à versão anterior:

Windows Server 2008, Web Edition
Windows Server 2008, Standard Edition
Windows Server 2008, Enterprise Edition
Windows Server 2008, DataCenter Edition
Windows Server Web Server 2008
Windows Serve 2008 para sistemas baseados em itanium
Windows Server 2008, Server Core

Instalação do Sistema:
De uma forma resumida, a instalação acontece da seguinte maneira:
1.    A BIOS do controlador de disco deve ser configurada para inicialização através do CD-ROM;
2.    Colocar o CD-ROM na unidade e reinicializar o computador;
3.    Após a inicialização, aparecerá uma tela com a mensagem de que a instalação está começando;
4.    Caso você deseje a criação de um disco de recuperação do sistema, pressione F!@; caso contrário, não pressione nada, pois a instalação continuará;
5.    Nesta próxima etapa, será exibida uma mensagem de “bem-vindo à instalação” e exibido o contrato de licença. Este contrato deverá ser lido e no final pressione F8 para aceitar;
6.    A próxima etapa solicita a área de disco para a instalação do sistema operacional, sendo que o tamanho recomendado é de 3 Gb (3072). Digite “c” para criar a partição e, depois de digitado o tamanho, digite enter;
7.    Na caixa de opções regionais e idioma, selecione o idioma apropriado e logo após aparecerá a página para personalizar o software. Coloque um nome e o nome da organização e digite a chave do produto que já vem incluída no CD-ROM de instalação;
8.    Verifique se o número de conexões simultâneas no servidor é 5. Clique em avançar;
9.    Será solicitado o nome do computador e a senha do administrador;
10.  Configure a data, a hora e o fuso horário correto e, a seguir, as configurações necessárias de rede;
11.  Pressione CRTL+Alt+Del para iniciar o logon e digite a senha do administrador configurada anteriormente;
12.  Clique na opção de ativação do Windows Server 2003 e siga os prompts da tela.

Configuração do Sistema:
Após a instalação e ativação do Windows, passamos para a fase de configuração através da página Gerenciar servidor, iniciada automaticamente após o logon.
Ao clicar em adicionar ou remover uma função, será possível a instalação de serviços, ferramentas e configurações.

Servidor DNS, Servidor DHCP, Servidor de acesso remoto e Controlador de domínio/ Active Directory
Existem duas formas de configurar o servidor:

Servidor DNS, Servidor DHCP, Servidor de acesso remoto e Controlador de domínio/ Active Directory

Configuração Típica:
1.    Nesta opção, o primeiro servidor da rede será promovido pelo assistente a controlador de um domínio novo e o serviço de Active Directory será instalado. Neste momento, outros serviços também poderão ser instalados:
DNS (Domain Name Service)
Serviço de resolução de nomes que os computadores e demais equipamentos da rede utilizam para traduzir os endereços IP do protocolo TCP/IP em nomes. A ideia é que, ao digitarmos www.estacio.br, este serviço de rede seja capaz de retornar o endereço IP correspondente, já que toda comunicação do protocolo TCP/IP é feita utilizando o número do endereço IP da origem e do destino, sendo transparente ao usuário.

2.    Nesta opção, o primeiro servidor da rede será promovido pelo assistente a controlador de um domínio novo e o serviço de Active Directory será instalado. Neste momento, outros serviços também poderão ser instalados:
DHCP (Dynamic Host Configuration Protocol)
Serviço de rede que permite que os computadores da rede e demais dispositivos que precisem de configurações do protocolo TCP/IP obtenham estas configurações automaticamente a partir de um servidor DHCP.

3.    Nesta opção, o primeiro servidor da rede será promovido pelo assistente a controlador de um domínio novo e o serviço de Active Directory será instalado. Neste momento, outros serviços também poderão ser instalados:
RRAS (Routing And Remote Access)
Serviço que permite aos usuários da rede se conectarem à rede da empresa através de uma conexão remota, quer seja uma linha discada, ADSL ou qualquer outra tecnologia para acesso remoto. O serviço RRAS trata a conexão remota como se fosse uma conexão à rede local, ou seja, o usuário será autenticado e fará o logon no domínio normalmente, como se estivesse fazendo logon a um computador localmente.

Configuração Personalizada:
1.    Neste caso, o primeiro servidor poderá ser configurado pelo assistente como:
Servidor de aplicativos (IIS, ASP.NET)
Esta opção instala os componentes necessários para a utilização de aplicativos Web, através da instalação e configuração dos serviços IIS 6.0, ASP.NET e COM+.
Servidor de impressão
Esta opção instala o serviço de gerenciamento centralizado dos dispositivos de impressão através do controle do compartilhamento das impressoras e drivers.

2.    Neste caso, o primeiro servidor poderá ser configurado pelo assistente como:
Servidor de Correio (POP3, SMTP)
Esta opção instala o serviço de correio eletrônico através da instalação do protocolo POP3 e SMTP para os clientes POP3.
Servidor de arquivos
Esta opção permite a instalação de serviço de gerenciamento centralizado dos arquivos e diretórios da rede, através do controle do espaço em disco do usuário, implementação de quota de disco por usuário e grupos.

3.    Neste caso, o primeiro servidor poderá ser configurado pelo assistente como:
Terminal Server
 Esta opção instala os aplicativos e recursos de servidor, como impressoras e armazenamento, oferecendo aos usuários estes serviços, como se estivessem instalados em suas próprias máquinas.
Servidor Wins
Esta opção instala o serviço de resolução de nome de computador que converte os nomes NetBIOS em endereços IP. Esta opção somente é necessária quando temos em nossa rede sistemas operacionais Windows 95 ou Windows NT.

Serviço de atualização de software
Para garantir a segurança do ambiente computacional das organizações é importante que o administrador do sistema mantenha os sistemas operacionais atualizados com os patches de segurança instalados, sejam eles servidores ou clientes.

Para garantirmos esta segurança, um dos aperfeiçoamentos mais recentes realizados pela Microsoft para o mundo corporativo foi a criação do serviço de atualização de software.

Este serviço permite que as organizações implementem um servidor com as atualizações aprovadas pela própria organização a partir das atualizações disponibilizadas pela Microsoft. Desta forma, os clientes passam as fazer os downloads e a instalação das atualizações a partir deste servidor que está interno em sua própria rede.

·         Software Update Service: Serviço executado em um servido IIS, responsável pela sincronização das informações sobre as atualizações disponíveis;
·         Site de administração do SUS: Serviço que tem como objetivo garantir que o servidor SUS seja sincronizado com êxito e na aprovação das atualizações para distribuição entre os clientes da rede;
·         Atualizações automáticas: serviço responsável pelo download das atualizações do Windows update ou do servidor SUS;
·         Configurações de diretiva de grupo: Serviço responsável pelas configurações automáticas dos clientes.







RESPOSTA

1.    Qual a versão do Windows Server foi projetada para empresas de médio ou grande porte?
R: 1) Windows Server 2003, Enterprise Edition

2.    Quais serviços são instalados na configuração típica do Windows Server 2003?
R: 1) Servidor DNS, servidor DHCP, servidor RRAS.

3.    Qual serviço devemos instalar no Windows Server 2003 somente quando tivermos máquinas na nossa rede com o Windows 95 ou Windows NT?
R: 1) Servidor WINS

Introdução
Nas empresas atuais existe uma necessidade crescente de utilização de alguma tecnologia que possibilite a um usuário da rede interna acessar, a partir de sua estação de trabalho, aplicações em diferentes ambientes. A necessidade e a vantagem na utilização de uma solução tecnológica estão na diminuição da complexidade do gerenciamento de diferentes políticas de senhas através dos diferentes recursos da rede e na centralização desta gerência.
Nesta aula, trataremos do Gerenciamento de Usuários e Grupos, através da conceituação do que são serviços compartilhados, da identificação das necessidades de divisão correta dos recursos entre os diversos usuários do sistema. Serão abordadas as boas práticas para se estruturar um sistema hierárquico de usuários e as ferramentas de mercado para apoiar o administrador nestas gerências.
Conheceremos o conceito de Active Directory, tecnologia implementada pela Microsoft, que implementa o conceito de diretório e permite uma gerência centralizada dos diferentes objetos da rede Microsoft. Identificar também as melhores práticas para a implementação de uma política de nome de usuário e a console de gerenciamento (MMC) implementada nas redes Microsoft.

Árvore de recursos e árvores de usuários
Atualmente, existe uma necessidade crescente nas empresas de utilização de alguma tecnologia que possibilite a um usuário da rede interna acessar, a partir de sua estação de trabalho, aplicações em diferentes ambientes, seja no modelo cliente/servidor ou em um modelo web desenvolvido em três ou mais camadas. A necessidade e a vantagem na utilização de tal tecnologia estão na diminuição da complexidade de senhas, já que cada plataforma utilizada pela organização pode apresentar uma política de senha de acesso diferenciada, e no aumento da segurança tendo em vista o controle centralizado.
A tecnologia implementada pela Microsoft, inicialmente com o Windows 2000 Server, para resolver esta questão, foi o conceito de Active Directory.  Ele nada mais é do que um cadastro, ou melhor, um banco de dados com informações sobre usuários, senhas e outros elementos necessários ao funcionamento de um sistema ou um grupo de servidores de rede local.

Active Directory
Conforme já estudado na aula anterior, o Active Directory é um serviço de diretório utilizado nas redes Windows 2000, 2003 e 2008. Ele pode ser instalado em servidores que executem o Microsoft® Windows Server® 2003:
·         Standart Edition
·         Enterprise Edition
·         Datacenter Edition
O AD é na realidade um conjunto de atributos sobre recursos e serviços existentes na rede, isto é, ele mantém dados como: as contas de usuários, impressoras, grupos, computadores, servidores e outros  recursos de rede.  Na verdade, estes dados são representados como objetos no AD e estes objetos possuem propriedades, ou seja, atributos. Desta forma, é possível organizar de maneira centralizada o acesso e a segurança aos recursos de rede da organização.

A segurança é realizada através da autenticação de logon e controle de acesso aos objetos no diretório. Com um único logon na rede, os administradores podem gerenciar a organização e os dados de diretório em suas redes, assim como, os usuários de rede autorizados podem acessar recursos em qualquer lugar da rede.

O AD é executado sobre o protocolo LDAP e inclui em sua estrutura:
·         Esquema: Um conjunto de regras – o esquema – que define as classes de objetos e atributos contidos no diretório, as restrições e os limites das ocorrências desses objetos e o formato de seus nomes.
·         Catálogo Global: Um catálogo global que contém informações sobre cada objeto no diretório. Permite aos usuários e administradores encontrarem informações de diretório, independentemente de qual domínio do diretório realmente contenha os dados.
·         Mecanismo de Consulta: Um mecanismo de consulta e índice para que os objetos e suas propriedades possam ser publicados e encontrados por usuários ou aplicativos da rede.
·         Serviço de Replicação: Um serviço de replicação que distribui dados de diretório em uma rede. Todos os controladores de domínio em um domínio participam da replicação e contêm uma cópia completa de todas as informações de diretório referentes a seu respectivo domínio. Qualquer alteração nos dados de diretório é replicada para todos os controladores de domínio no domínio.

Quando o AD é criado?
Uma rede baseada no Windows Server pode ser criada utilizando-se dois conceitos diferentes, dependendo da forma como os Servidores Windows Server 2003 ou 2008 são configurados. Como já vimos na aula anterior, o AD é criado quando estamos instalando e configurando o Windows Server, podendo ser configurado para executar uma das seguintes funções:

AD
Grupo de Trabalho
Em uma rede baseada no modelo de Workgroups, cada servidor é independente do outro. Quando optamos por uma máquina ser administrada localmente, devemos configurá-la com a opção de Grupo de Trabalho (Workgroup), ou seja, para um usuário usufruir dos recursos (arquivos, impressoras etc.) deste servidor, terá que possuir uma conta na base de dados local deste sistema.
Caso este mesmo usuário utilize dois ou mais sistemas de um Workgroup, terá que ter duas ou mais contas, uma em cada máquina. Ao realizar o logon em uma máquina, caso necessite de acesso a um recurso compartilhado de outra máquina do Workgroup, deverá realizar um novo logon, desta vez para esta nova máquina.
Em máquinas configuradas como Workgroup não existe a possibilidade de uma administração central para os acessos e utilização dos recursos. Normalmente, este tipo de configuração é recomendado para redes com poucas máquinas.

Domínio
Em máquinas configuradas como Workgroup não existe a possibilidade de uma administração central para os acessos e utilização dos recursos. Normalmente, este tipo de configuração é recomendado para redes com poucas máquinas.

Um Domínio é composto por computadores configurados como Domain Controllers. Através de uma única conta, os usuários podem validar-se no domínio a partir de qualquer máquina e, a partir daí, ter acesso aos recursos da rede para os quais o administrador do domínio lhes concedeu permissões.

Em um domínio baseado no Active Directory e no Windows Server 2003 e 2008 é possível ter dois tipos de servidores:
• Servidor membro
• Controlador de domínio

Árvores de Domínio
Chamamos de Árvore de Domínios quando existem diversos domínios relacionados através de relações de confiança, criadas e mantidas automaticamente pelo Active Directory.

Uma árvore de domínio é um agrupamento ou arranjo hierárquico de um ou mais domínios do Windows Server 2003 ou 2008, que compartilham um espaço de nome. Na figura anterior, temos 7 domínios.

Os domínios em uma árvore são unidos através de relações de confiança bidirecional. Uma confiança significa que se o domínio A confia em B, e o domínio B confia em C, então o domínio A confia no B, e o B confia no C, e, então, A confia no C. Ou seja, um domínio pertencente a uma árvore estabelece relações de confiança com cada domínio da árvore, disponibilizando todos os objetos e atributos de todos os domínios da árvore.

Todos os domínios de uma árvore têm um esquema comum e um catálogo global.

Criando e modificando contas de usuários
Existem duas formas possíveis de criar uma nova conta de usuário no Active Directory:

Usando a interface do Windows
• Abra Usuários e Computadores do Active Directory;
• Na árvore de console, clique com o botão direito do mouse na pasta em que você deseja adicionar uma conta de usuário.
• Onde? Caminho: Usuários e Computadores do Active Directory/nó de domínio/pasta;
• Aponte para Novo e clique em Usuário;
• Em Nome, digite o nome do usuário;
• Em Iniciais, digite as iniciais do usuário;
• Em Sobrenome, digite o sobrenome do usuário;
• Modifique a opção Nome completo para adicionar iniciais ou inverter a ordem do nome e sobrenome;
• Em Nome de logon do usuário, digite o nome de logon do usuário, clique no sufixo UPN na lista suspensa e, em seguida, clique
   em  Avançar. Se o usuário tiver a intenção de usar um nome diferente para fazer logon em computadores que executem o
   Windows 95, Windows 98 ou Windows NT, você poderá alterar o nome de logon do usuário conforme aparece em Nome de
   logon do usuário (anterior ao Windows 2000) para esse outro nome;
• Em Senha e Confirmar senha, digite a senha do usuário e selecione as opções de senha apropriadas.


Usando uma linha de comando
• Abra o Prompt de Comando;
• Digite: dsadd userNDUsuário [-samidNomeSAM] -pwd {Senha|*}
Onde:
NDUsuário   -  Especifica o nome distinto do objeto de usuário a ser adicionado;
NomeSAM   -  Especifica o nome do SAM (Gerenciador de Contas de Segurança) como o nome de conta SAM exclusivo para este usuário. Caso este parâmetro não seja especificado, dsadd tentará criar o nome de conta SAM usando até os primeiros 20 caracteres do valor de nome comum (CN) de NDUsuário;  
Pwd            -  Especifica a senha da conta de usuário.

Perfil de Usuário
Um perfil de usuário é uma coleção de pastas e arquivos de dados que contém elementos exclusivos de ambiente de área de trabalho. São configurados para ampliar a disponibilidade, segurança e confiabilidade do sistema.
Ao efetuar o logon pela primeira vez em um computador, é criado o perfil de usuário. O perfil de usuário possui informações específicas de cada usuário, como:
è A configuração da área de trabalho;
è Itens do menu iniciar;
è Configurações de aplicativos e arquivos pessoais.

Existem quatro tipos de perfis de usuário:
Padrão: Perfil utilizado como base para a criação de um novo perfil de usuário quando este efetua o logon pela primeira vez no computador
Local: Perfil criado durante o primeiro logon do usuário em um computador, válido somente no PC local.
Móvel: Perfil criado pelos administradores e armazenado em um servidor, torna-se um perfil válido em todos os PCs em que o usuário logar.
Obrigatório: Esse perfil também é criado pelos administradores e pode ser armazenado localmente ou em um servidor, não permite que o usuário salve as alterações e, ao efetuar logoff, o perfil do usuário será atualizado. Somente os administradores poderão fazer alteração.

Contas de Computador
A conta de computador pode ser criada antes da instalação do computador ser adicionada ao domínio ou no momento em que o computador é configurado para fazer parte do domínio. A conta do computador deve ter o mesmo nome do computador na rede.
Todos os computadores que fazem parte do domínio devem ter uma conta de computador no Active Directory, sejam estações de trabalho que executam o Windows NT Workstation 4.0, Windows 2000 Professional ou Windows XP Professional ou Servidores, Servidores Membros ou Controladores de Domínio executando Windows NT Server 4.0, Windows Server 2000 ou 2003.

Você sabia?
Que o arquivo Ntuser.dat armazena a maioria das informações sobre o perfil de um usuário e que o perfil de usuário fica localizado em: %systemroot%\Documents and Settings\nome_do_usuário.
Nesta pasta, está armazenado o perfil de cada usuário através de uma estrutura de subpastas, cada uma com funções específicas:
Atalhos do menu iniciar;
Área de trabalho;
Barra de inicialização rápida;
Documentos da área de trabalho e da pasta Meus documentos;
Favoritos e cookies do Internet Explorer;
Certificados;
Arquivos específicos de aplicativos;
Configuração de exibição da área de trabalho.

Grupos de Usuário
Os grupos de usuários são uma coleção de contas de usuários. A principal função dos grupos de usuários é facilitar a administração e a atribuição de permissões para acesso a recursos, como por exemplo, pastas compartilhadas ou impressoras remotas.
São características dos grupos de usuários:
·         Os membros de um grupo herdam as permissões atribuídas ao grupo;
·         Os usuários podem ser membros de vários grupos;
·         Grupos podem ser membros de outros grupos;
·         Contas de computadores podem ser membros de um grupo.

Existem dois tipos de grupos de usuários:
1.    Grupos de segurança: Atribuem permissões de acesso aos recursos de rede. Também podem ser utilizados como grupos de distribuição
2.    Grupos de distribuição: São utilizados para funções não relacionadas com segurança. Podem ser utilizados para combinar usuários para a lista de distribuição de e-mail.
Quando criamos um grupo de usuários devemos selecionar um tipo e um escopo. O escopo permite que o grupo seja utilizado de diferentes maneiras para a atribuição de permissões.

Nesta pasta, está armazenado o perfil de cada usuário através de uma estrutura de subpastas, cada uma com funções específicas:

• Atalhos do menu iniciar;
• Área de trabalho;
• Barra de inicialização rápida;
• Documentos da área de trabalho e da pasta Meus documentos;
• Favoritos e cookies do Internet Explorer;
•Certificados;
• Arquivos específicos de aplicativos;
• Configuração de exibição da área de trabalho.

Existem três escopos de grupos de usuários:
1.    Global: Um grupo global pode receber permissões de acesso em recursos de qualquer domínio. Ele pode conter contas de usuários e grupos globais do mesmo domínio e também pode ser membro de grupos universais.
2.    Universal: São grupos que podem ser utilizados em qualquer parte de um domínio ou da árvore de domínio e podem conter como membros grupos de usuários de quaisquer domínios. Devemos utilizá-los quando desejamos consolidar diversos grupos globais.  
3.    Local: São grupos que somente podem receber permissões para os recursos do domínio onde foram criados; porém, podem ter como membros grupos e usuários de outros domínios. São utilizados para atribuir permissões de acesso aos recursos da rede.
Árvores de Domínio
Para facilitar o gerenciamento do servidor por parte do administrador, a Microsoft implementa o Conceito de Console Administrativo de Gerenciamento. O Console Administrativo de Gerenciamento é uma forma de gerenciamento centralizado de diferentes consoles que são personalizados pelo administrador. Desta forma, podem existir diferentes tipos de consoles, porém todos serão baseados em uma interface padrão e um conjunto de tecnologias comuns.
São exemplos de console de gerenciamento
·         Administração de contas de usuários e grupos;
·         Administração de sites;
·         Administração do SCHEMA;
·         Monitoramento e desempenho;

Console de Gerenciamento
MMC – Microsoft Management Console: O MMC é o programa no qual são carregadas as diferentes ferramentas administrativas, ou seja, os diferentes consoles de administração. Para que o MMC se torne útil, deve ser carregado um snap-in. Desta forma, cada MMC possui uma coleção de ferramentas denominadas snap-in, o qual estende o MMC, com capacidades e funcionalidades específicas de gerenciamento.
Snap-in: O snap-in é o elemento que contém a definição de todas as funcionalidades de console administrativo.

Existem dois tipos de snap-ins:
1.    Snap-ins Autonômos – São fornecidos pelo desenvolver de um aplicativo, como, por exemplo, o snap-in gerenciamento do computador;
2.    Snap-ins Extensão – São desenvolvidos para funcionar como snap-ins autônomos. Quando adiciona-se um snap-in de extensão, o Windows Server coloca a extensão no local adequado dentro do snap-in autônomo.
Exemplo de um snap-in preenchido
Cada console de administração possui seus próprios menus e sua própria barra de ferramentas separadas dos menus e da barra de ferramenta da janela principal do MMC.
Clique aqui para ver o exemplo de um snap-in carregado

Toda ferramenta administrativa de console de gerenciamento é baseada em uma interface padrão e um conjunto de tecnologias comuns. Ela determina o modo como o MMC opera em termos dos nós da árvore de console que são abertos, dos snap-ins que podem ser incluídos e das janelas que podem ser criadas.  

Existem dois modos de operação do console:
·         Modo Autor (padrão): Ativa o acesso completo a toda às funções do MMC, incluindo: adição e remoção de snap-ins, criação de janelas, criação de tarefas e de modos de exibição do painel de tarefas, visualização de partes da árvore do console, alteração das opções e salvamento do console.
·         Modo Usuário: Possibilita definir o modo usuário desejado para a distribuição de um MMC com funções específicas e, em seguida, salvar o console.

Os modos de usuários disponíveis para salvar o MMC são:
Acesso Completo: Permite que os usuários naveguem entre os snap-ins, abram janelas e acessem todas as partes da arvore do console.
Acesso limitado, varias janelas: Evita que os usuário abram janelas novas ou acessem uma parte da árvore do console, mas permite que eles visualizem várias janelas do console.
Acesso limitado, janela única: Evita que os usuários abram janelas novas ou acessem uma parte da arvore do console, e permite que eles visualizem apenas uma janela do console.

Active Directory
O MMC apresenta um conjunto de menus que permite ao administrador uma série de comandos de configurações dos consoles de gerenciamento:
Exibir: Apesar de variar de acordo com o snap-on utilizado, normalmente oferece recursos de exportação, configuração e ajuda especificos para cada snap-in.
Favoritos: Permite a inclusão e a organização dos consoles salvos
Janela: Permite abrir ou organizar uma janela nova, em cascata lado a lado, e alternar entre as janelas filho já abertas.
Ajuda: Este é o menu de ajuda do MMC e dos módulos de snap-in carregados
Ação: Apesar de variar de acordo com o snap-in utilizado, oferece uma opção de personalização das características gerais do console.
Arquivo: Permite criar um console novo, abrir um console existente e adicionar ou remover snap-ins.

1.Quais os principais objetos de um active directory?
 1) Contas de usuários, contas de computadores e grupos de usuários.
 2.   Um perfil de usuário é uma coleção de pastas e arquivos de dados que contém elementos exclusivos de ambiente de área de trabalho. São perfis de usuários:
 1) Padrão, Local, Móvel e Obrigatório.
 3.Estende as capacidades e funcionalidades específicas de gerenciamento da console de gerenciamento (MMC):
 1) Snap-in 

Introdução
Nas empresas atuais existe uma necessidade crescente de utilização de alguma tecnologia que possibilite a um usuário da rede interna acessar, a partir de sua estação de trabalho, aplicações em diferentes ambientes. A necessidade e a vantagem na utilização de uma solução tecnológica estão na diminuição da complexidade do gerenciamento de diferentes políticas de senhas através dos diferentes recursos da rede e na centralização desta gerência.
Nesta aula, trataremos do Gerenciamento de Usuários e Grupos, através da conceituação do que são serviços compartilhados, da identificação das necessidades de divisão correta dos recursos entre os diversos usuários do sistema. Serão abordadas as boas práticas para se estruturar um sistema hierárquico de usuários e as ferramentas de mercado para apoiar o administrador nestas gerências.
Conheceremos o conceito de Active Directory, tecnologia implementada pela Microsoft, que implementa o conceito de diretório e permite uma gerência centralizada dos diferentes objetos da rede Microsoft. Identificar também as melhores práticas para a implementação de uma política de nome de usuário e a console de gerenciamento (MMC) implementada nas redes Microsoft.




















Nesta aula, trataremos do Gerenciamento de Usuários e Grupos, através da conceituação do que são serviços compartilhados, da identificação das necessidades de divisão correta dos recursos entre os diversos usuários do sistema. Serão abordadas as boas práticas para se estruturar um sistema hierárquico de usuários e as ferramentas de mercado para apoiar o administrador nestas gerências.
Conheceremos o conceito de Active Directory, tecnologia implementada pela Microsoft, que implementa o conceito de diretório e permite uma gerência centralizada dos diferentes objetos da rede Microsoft. Identificar também as melhores práticas para a implementação de uma política de nome de usuário e a console de gerenciamento (MMC) implementada nas redes Microsoft.

ATIVIDADE
Testando seus conhecimentos: você conhece os sistemas de arquivos do Windows Server?
Você é o administrador de rede da sua empresa e precisa compartilhar na rede vários diretórios de diferentes servidores, para que diversos departamentos possam utilizá-los. Neste caso, qual o sistema de arquivo você utilizaria?
R) NTFS

Compartilhamento
Para que uma organização melhore e agilize seus processos operacionais e administrativos, é muito comum que compartilhe na sua rede de computadores diversos tipos de documentos, incluindo planilhas financeiras, planos de negócios, apresentações etc. Além do compartilhamento, devem ser observados os aspectos de segurança, pois estes documentos precisam, apesar de estarem compartilhados na rede da organização, permanecer protegidos contra o acesso não autorizado.
Nesta aula, estudaremos os principais conceitos de uma rede Microsoft para que as organizações possam oferecer este serviço com segurança.

Uma das formas mais comuns de usuários colaborarem entre si e agilizarem o processo de trabalho é o armazenamento de documentos em pastas compartilhadas. Elas permitem a centralização dos documentos, facilitando o gerenciamento, e admitem que usuários com acesso à rede e permissões apropriadas possam acessar estes arquivos.

Uma pasta compartilhada pelo administrador do sistema permite que o seu conteúdo seja acessado por outros computadores da rede, bem como o conteúdo das subpastas e arquivos da pasta compartilhada, isto é, todo o conteúdo da pasta é disponibilizado para acesso através da rede.

É gerado um caminho de acesso para a pasta compartilhada, a partir dos demais computadores da rede, o qual segue o padrão UNC.

Como faço para compartilhar uma pasta?
Para compartilhar uma pasta, basta clicar com o botão direito do mouse em uma pasta no Windows Explore. Assim, aparecerá uma lista de opções. Deverá ser escolhida, através de um clique, a opção compartilhamento e segurança e será, então, aberta a seguinte caixa de diálogo, com quatro guias como opções:

Permissões de compartilhamento
As permissões de compartilhamento, embora não sejam tão detalhadas como as permissões NTFS, permitem que sejam configurados os seguintes tipos de acesso:

Leitura
Possibilita ao usuário:
• Listar os nomes de arquivos e subpastas, dentro da pasta compartilhada;
• Acessar as subpastas dentro da pasta compartilhada;
• Abrir os arquivos para leitura;
• Executar os arquivos de programas.

Alteração
Permite ao usuário os mesmos direitos da permissão de Leitura, inclusive:
• Criação de arquivos e subpastas;
• Alteração de dados dos arquivos;
• Exclusão de arquivos e subpastas.

Controle Total
É a permissão padrão que se atribui a todos os novos compartilhamentos. Possibilita as mesmas operações que Leitura e Alteração, inclusive:
• Alteração de permissões (apenas para pastas e arquivos NTFS);
• Apropriação (Take Ownership).

Limitações dos Compartilhamentos
·         Aplicam-se somente a Clientes para redes Microsoft; não se aplicam, a outros tipos de acesso de rede, como o HTTP (Hypertext Transfer Protocol), FTP (File Transfer Protocol), Telnet, por exemplo;
·         As permissões de compartilhamento se perdem caso a pasta compartilhada seja movida ou renomeada;
·         As permissões de compartilhamento não se replicam por meio de duplicação de arquivos (FRS);
·         Não é possível configurar a auditoria com base nas permissões de compartilhamento;
·         As permissões de compartilhamento não são incluídas no backup ou restauração de um volume de dados;
·         Caso sejam aplicadas às pastas as permissões de compartilhamento e também as permissões NTFS, o conjunto mais restritivo estará efetivo.

Gerenciamento da segurança de arquivos
Grande parte ou praticamente todo o acervo dos dados confifenciais de uma organização são armazenados em arquivos e pastas. As versões mais recentes do Windows fornecem as seguintes tecnologias para controlar acesso a arquivos e pastas:
·         EFS – Encrypting File System
·         NTFS – Network File Sustem
·         DFS -  Distributed File System

Herança-Substituição
O conceito de herança significa que as permissões aplicadas a uma pasta serão replicadas, como padrão, aos arquivos e pastas que estão abaixo daquela pasta. O administrador deve levar em consideração que qualquer modificação na ACL de uma pasta afetará todo o conteúdo daquela pasta.

Para substituir a permissão herdada, abra a caixa de diálogo de recursos Configurações de segurança avançados e limpe a opção “Permitir que as permissões herdáveis do pai sejam propagadas a este objeto”, em seguida, atribua permissões explícitas suficientes.


Permissão Efetivas
Como um usuário pode pertencer a mais de um grupo e estes grupos podem ter níveis variados de acesso a recursos, o Windows implementa o conceito de permissões efetivas, isto é, permissões resultantes de um conjunto de permissões que se aplicam a um usuário com base em suas associações de membros:
·         Permissões de arquivo substituem as permissões de pasta;
·         Permissões permitir são cumulativas;
·         Negar permissão pode ter precedência em permitir permissão
·         Permissões explícitas tem precedência sobre as permissões herdadas.


Cotas
As cotas são um recurso importante para evitar o uso excessivo e descontrolado de espaço em disco em um servidor de arquivos. Quando múltiplos usuários compartilham um disco localmente ou pela rede, pode ser disco fique rapidamente cheio, tendo em vista que é normal alguns usuários consumirem mais espaço do que outros. As cotas facilitam o monitoramento de usuários que consomem mais do que a quantidade especificada de espaço em disco.
Antes do Windows 2003, a única alternativa para configurar cotas em servidores Windows era através da cota por partição (Neste tipo de configuração, entradas de cotas eram criadas para cada usuário e valiam para a partição inteira).
No Windows 2003 e 2008 o controle de espaço em disco pode ser feito por pastas e não por usuários, ou seja, uma pasta de um usuário é configurada com um limite de espaço e a pasta compartilhada por seu grupo de trabalho tem outro limite.

Além da interface gráfica também é possível utilizar, para efetuar configurações de cota de disco, o comando fsutil. Este comando gerencia cotas de disco em volumes NTFS.

Exemplos de utilização do comando:
Fsutil quota [disable] nome_do_volume
A sintaxe acima desativa o controle e a ativação de cotas no volume especificado.
Fsutil quota [modify] nome_do_volume limite_máximo limite [nome_usuário]
A sintaxe acima modifica uma cota de disco existente ou cria uma nova cota.

Auditoria do Sistema
Uma ferramenta interessante e que permite ao administrador ter uma indéia da utilização dos recursos e das vulnerabilidades de segurança dos objetos, é o mecanismo de auditoria. Configuração é realizada em tres etapas:
1.    Reflexões dessa ordem são reflexões éticas
2.    Permissão da diretiva de auditoria
3.    Avaliação dos logs de Segurança.

Após a ativação da auditoria, o sistema inicia o log do acesso de acordo coma as configurações realizadas. Neste momento, o administrador já poderá visualizar e examinar os resultados, utilizando o visualizador de eventos, conforme a figura a baixo.
É possível fazer a filtragem dos tipos de evento para facilitar a análise e existe também possibilidade de exportar os dados em diferentes formatos, inclusive podendo ser utilizado o Excel como ferramenta de análise dos dados



Plano de Permissionamento
Agora que já estudamos as possibilidades a serem aplicadas ao recursos compartilhados, identificaremos os passos necessários que o administrador deve serguir para que possa elaborar um plano de permissionamento. A elaboraç!ao do plano passa necessariamente por uma fase de levantamento e documentação:
1.    Identificar os recursos que devem ser protegidos
2.    Definir quais destes recursos serão compartilhados
3.    Indentificar os usuários, grupos e computadores que necessitarão de acesso compartilhado a este recurso.
4.    Indentificar os usuários, grupos e computadores que necessitarão acesso local aos recursos identificados
5.    Identificar para cada recurso a necessidade de utilização de criptogradia ou não
6.    Identificar quais recursos sofrerá auditoria
7.    Identificar quais recursos terá limitação de utilização
8.    Documentar, para cada recurso identificado, o tipo de acesso de cada usuáro.



PERGUNTAS

Qual sistema de arquivo é utilizado quando necessitamos implementar a criptografia de dados?
 1) EFS

2.Quais são as opções de permissões possíveis no compartilhamento de arquivos?
 1) Leitura, alteração e acesso total.

3.Sistema de arquivo utilizado para agrupar pastas compartilhadas localizadas em diferentes servidores, conectando-os de forma transparente:
 1) DFS 


É muito comum que o administrador de rede ou de suporte de uma organização necessite em determinadas situações realizar automações das atividades rotineiras realizadas tantos pelo Sistema Operacional, pelos servidores de rede e/ou estações de trabalho.

Considerando os custos envolvidos nesse processo, sejam eles financeiros ou operacionais, é necessário garantir operações confiáveis na maior parte dos computadores, configurados como clientes ou servidores.

Normalmente, essas ações são executadas de forma sistemática, em horários diferenciados e em background.

Diferença entre Foreground e background!
De maneira geral, os processos que executam um sistema operacional (MAIA, 2007) necessitam de pelo menos dois canais de comunicação associados a sua estrutura para realizar as ações de entrada e saída:
·         CANAIS DE ENTRADA (INPUT)
·         CANAIS DE SAIDA (OUTPUT)
Estes canais de entrada e de saída geralmente estão associados a dispositivos que permitem que, quando utilizados como canal de entrada (input), sirvam para que os dados necessários para a execução do processo sejam lidos e, quando utilizados como canal de saída (output), os dados gerados pelo processo sejam exibidos ou armazenados.

Em um processo Foreground, tanto o canal de entrada quanto de saída são associados a um terminal e a um teclado, permitindo, assim, a interação com o usuário.

Agendamento de tarefas
O administrador, muitas vezes, necessita executar algumas aplicações em Background, ou seja, sem que tenha interações do próprio administrador e até mesmo sem que o usuário saiba ou perceba.

Estes processos apoiam as ações executadas pelo administrador, como, por exemplo, as rotinas de backup, de carga de dados ou de cópia de segurança dos arquivos alterados durante o dia.

O administrador poderá agendar qualquer programa para ser executado através de uma tarefa agendada. Estas tarefas poderão ser agendadas em um determinado horário, em horários regulares ou uma única vez.

O módulo do sistema Windows Server 2003 e 2008, responsável pela implementação destas ações, é o Agendador de Tarefas, possibilitando, assim, o agendamento de tarefas de forma programada para executar um ou mais passos, em dias e horários previamente configurados.

Como o agendador de tarefas é habilitado: Quando o sistema operacional é instalado pela primera vez.
Como é possível utilizar o agendador de tarefas: O Usuário deve ser membro do grupo administradores, operadores de cópia ou operadores de servidores no PC local.

A utilização do Agendador de Tarefas (Task Scheduller) permite o agendamento de qualquer script, programa ou documento para ser executado em um determinado momento. O serviço é configurado para começar automaticamente, durante a inicialização do Windows Server 2003.

AGENDADOR DE TAREFAS
·         GATILHO: Sao conjunto de critérios que provocam a execução de uma tarefa, podem ser baseados em horários e eventos, descrevendo os horários de início da tarefa, os critérios de repetição e outros parâmetros.
·         CONDIÇÕES: São utilizdas para condicionar a execução de uma tarefa a um determinado estado do PC, a tareda só será executada por um gatilho quando todas as condições forem verdadeiras.
·         CONFIGURAÇÕES: Oferecem opções de execução, podem ser usadas para indicar com que frequencia uma ação deve ser repetida.
·         AÇÕES: Comandos a serem executados quando os gatilhos e as condições forem atendidos, uma ação pode iniciar um programa.

A utilização do serviço agendador de tarefas irá possibilitar a execução das seguintes ações:
·         Criar e exibir uma tarefa;
·         Alterar uma tarefa;
·         Renomear uma tarefa;
·         Alterar a conta de uma tarefa;
·         Criar múltiplos agendamentos;
·         Verificação do log de agendamento.

Cada tarefa criada é armazenada em um arquivo com extensão .job na pasta \windows\tasks.

O serviço que controla o agendamento e execução de tarefas é o Task Scheduler (Agendador de Tarefas), inicializado automaticamente durante a inicialização do Windows Server.


Tarefas agendadas através da linha de comando
Existem dois utilitários que auxiliam o trabalho de agendamento de tarefas através da linha de comando. São os utilitários At e Schtasks que também podem ser utilizados para criar e gerenciar tarefas agendadas.

O que muda no Windows 2008 server
Na aula 2, estudamos que a console de gerenciamento é baseada em dois elementos:
·         MMC – Microsoft Management Console
·         Snap-in

Vimos que o Snap-in é o elemento que contém a definição de todas as funcionalidades de console administrativo.  

No Windows Server 2008, o administrador pode executar, desabilitar, modificar e excluir tarefas a partir de uma  biblioteca do snap-in, onde é implementada uma interface do usuário (IU) do Agendador de Tarefas, que  substitui a extensão do Explorer das Tarefas Agendadas no Windows Server 2003, Windows XP e 2000.

Como vimos anteriormente, os principais conceitos sobre agendamento de tarefas são: 
·         Disparadores
Um disparador é um conjunto de critérios que inicia a execução de uma tarefa, quando estes critérios são atendidos.
O disparador de uma tarefa é apresentado na guia Disparadores da caixa de diálogo Propriedades da Tarefa ou Criar Tarefa.

Ele pode ser baseado em:
o   Tempo:
Incluem o início da tarefa em uma hora específica do dia ou em várias horas por dia, por semana ou por mês.
o   Evento:
 Iniciam uma tarefa em resposta a determinados eventos do sistema. Os disparadores com base em eventos podem ser definidos para iniciar uma tarefa quando:
O sistema for inicializado;
O usuário fizer login no computador;
Quando o computador entrar no estado de inatividade.

·         Ações
A ação de uma tarefa é o trabalho realizado durante a execução da tarefa.
Uma tarefa pode ter uma única ação ou o máximo de 32 ações. Cada ação possui configurações que especificam como a ação é executada.

As ações de uma tarefa são apresentadas na guia Ações da caixa de diálogo Propriedades de Tarefa ou Criar Tarefa. Quando várias ações são determinadas, elas são executadas em ordem sequencial; a começar pela ação no topo da lista da guia Ações e terminando com a ação do final da lista.

Podemos alterar a ordem de execução de todas as ações selecionando a ação e clicando no botão de seta para cima ou seta para baixo, para movê-la na lista.



A seguir, apresentamos a lista que contém a descrição e as configurações de ações:
o   Iniciar um programa:
Inicia um programa ou script. Na caixa de texto Programa/script, digite o nome do programa ou do script a ser iniciado;
o   Enviar um e-mail:
Envia um e-mail quando uma tarefa é acionada. Nas configurações de ação, especifique o endereço de e-mail do qual o e-mail se originou; o endereço de e-mail ao qual o e-mail é enviado; o assunto do e-mail; o texto da mensagem de e-mail e os anexos opcionais do e-mail;
o   Exibir uma mensagem:
Apresenta uma caixa de mensagem com mensagem e título especificados. Essa ação não se inicia se a opção de segurança “Executar somente se o usuário estiver conectado” estiver selecionada na guia Geral da caixa de diálogo Propriedades de Tarefa ou Criar Tarefa.




Como faço para inciar o Agendador de tarefas:
De três formas:
Linha de comando
Interface do Windows
Clicando duas vezes no arquivo taskschd.msc, na pasta %systemroot%\system32

PERGUNTAS
1.Programa utilizado através da linha de comando que permite o gerenciamento do agendamento de tarefas:
R) Schtasks

2. Quando o administrador utiliza ferramentas de automação das rotinas de administração e do Sistema Operacional, os processos executados por estas ferramentas normalmente são executados em que modo?
R) Background

3. Para que o usuário possa utilizar o serviço de agendamento de tarefas, ele deve pertencer aos grupos:
R) Administradores, Operadores de Cópia ou Operadores de Servidores

Devido ao elevado número de usuários que necessitam compartilhar seus documento no âmbito da organização, o administrador do sistema deverá utilizar ferramentas, métodos e tecnologias que facilitem tal implementação e controlem o uso do espaço em disco.

Qual é a ferramenta utilizada pelo Windows Server para controle do espaço em disco no seu sistema de arquivo?
RESPOSTA: COTA

Armazenar os documentos em pastas compartilhadas é umas das formas mais comuns de armazenamento de informações pelos usuários. As pastas compartilhadas permitem aos usuários, com acesso a rede e permissões adequadas, acessar os arquivos e, ainda, possibilitam a centralização dos documentos.

Quando diversos usuários compartilham um disco localmente ou pela rede, o disco pode ficar rapidamente cheio, tendo em vista que é normal que alguns usuários consumam mais espaços do que outros.

As cotas são um recurso importante para evitar o uso excessivo e descontrolado do espaço em disco no servidor de arquivos. A cota de disco é, portanto, um limite definido pelo administrador para controlar e monitorar o uso do espaço em disco.

A cota pode ser: Cota Fixa ou Cota Flexível



Implementando Cotas

Para que os administradores possam implementar cotas de disco é imperioso que o sistema de arquivo tenha sido formato no sistema de arquivo NTFS, pois as cotas são uma parte integral deste tipo de sistema de arquivo.

Vale observar que as configurações de cotas são individuais para cada volume NTFS. As configurações de cota relacionadas a um volume não afetam os outros volumes.

Caso o administrador possua uma máquina servidora com um único disco rígido, por exemplo, e configure três volumes lógicos NTFS (C, D e E), cada uma dessas unidades terá uma configuração de cotas individual.

O administrador poderá, então, habilitar as cotas de disco nas unidades C e D e não habilitá-las na unidade E. Ele poderá ainda conceder aos usuários 50 MB de espaço em disco na unidade C e 100 MB na unidade D. Desta forma, as ações realizadas em um volume não afetam de forma alguma os outros volumes.

Para determinar o que acontece quando o limite da cota está próximo, o administrador pode configurar limites de notificação.

Em cada limite definido poderá ser enviado os seguintes tipos de notificação:
·         E-mail;
·         Registrar um evento em log
·         Executar um comando ou script;
·         Gerar relatórios de armazenamento.

O administrador poderá também determinar quais ações serão realizadas pelo sistema, se o usuário exceder a cota:
·         Nenhuma ação;
·         Gravar um evento no log de eventos do sistema;
·         Negar ao usuário o direito de armazenar dados adicionais até que alguns arquivos sejam removidos para restabelecer o limite da cota

Criação de Cotas

Ao criar uma cota em um volume ou em uma pasta, o administrador poderá basear a cota em um modelo de cota ou usar propriedades personalizadas. É recomendável utilizar o modelo de cota.

Um modelo de cota pode ser reutilizado para criar cotas adicionais e simplifica a manutenção contínua de cotas.

Antes do Windows 2003, a única alternativa para configurar cotas em servidores Windows era através da cota por partição.

No Windows 2003 e 2008 o controle de espaço em disco pode ser feito por pastas ao invés de por usuários, ou seja, uma pasta de um usuário é configurada com um limite de espaço e a pasta compartilhada por seu grupo de trabalho com outro limite.

Funcionamento das Cotas
As cotas de discos são definidas somente em volumes formatados com sistema de arquivos NTFS.
·         Sempre que um arquivo (ou pasta) é criado em um volume NTFS, ele é atribuído a um proprietário (normalmente o usuário que o criou);
·         Antes que o arquivo seja salvo, o sistema de arquivo NTFS obtém o ID de usuário de seu proprietário e armazena as informações no atributo Informações Padrão do arquivo (usado para controlar a alocação de espaço em disco);
·         Em seguida, o NTFS localiza a entrada das cotas de disco para esse usuário e determina se a nova alocação do espaço em disco fará com que ele exceda a sua cota;
·         Se isso ocorrer, o NTFS realizará as etapas apropriadas, que podem incluir o logon em uma entrada do log de eventos do sistema ou evitar que o usuário crie um arquivo ou pasta;
·         À medida que o arquivo muda de tamanho, o NFTS atualiza a entrada da cota de disco para refletir o espaço total em disco utilizado pelo usuário.

Configuração de cotas de disco (NTFS)
As cotas de discos são definidas somente em volumes formatados com sistema de arquivos NTFS.
1.       Faça o logon com uma conta com permissão de administrador;
2.       Abra o Meu computador (My computer);
3.       Clique com o botão direito do mouse no drive C: e, no menu de opções, clique na opção Propriedades (Properties);
4.       Clique na guia Quota (cota);
5.       Marque a opção Ativar gerenciamento de cotas (Enable quota management).

Após marcar esta opção, as demais opções da guia Quota (cota) serão habilitadas:
·         Deny disk space to users exceeding quota limit – o usuário não poderá mais gravar no disco quanto sua cota de disco tiver sido atingida.
·         Do not limit disk usage – o gerenciamento de cotas continua habilitado, porém não existe limite de espaço no disco para os usuários, somente o tamanho do volume
·         Limit disk space to – utilizada para definir uma cota de disco padrão, em que seja aplicada uma cota para todos os usuários, exceto para os usuários a quem o administrador ofereceu outro valor de cota em disco.
·         Log event when a user exceeds their quota limit – gera uma entrada no log de eventos do Windows Server 2003, quando o espaço em disco do usuário  ultrapassar o limite de cota de disco atribuído a ele.
·         Log event when a user exceeds their warning level - gera uma entrada no log de eventos do Windows Server 2003, quando o espaço em disco do usuário ultrapassar o limite de notificação de cota atribuído a ele.

Definição das cotas personalizadas para cada usuário:
1.       Clique no botão Quota Entries (Entrada de Cotas);
2.       Será exibida a janela Quota Entries for Local Disk (C:);
3.       Para adicionar uma cota personalizada para um novo, utilize o comando Quota – New Cota Entry;
4.       Será aberta a janela Selecionar usuários. Digite o nome do usuário para o qual será definida uma cota ou clique no botão Advanced (Avançado) para selecionar o usuário em uma lista;
5.       Clique no botão OK – será aberta a janela Adicionar nova entrada de cota (podemos optar por limitar ou não o uso de espaço em disso para o usuário user01). Defina os valores e clique no botão OK;
6.       Retornará à janela Quota Entries for local Disck. Repita os passos de 7 a 11 para definir cotas para outros usuários;
7.       Feche a janela utilizando o comando Quota – Close. Retornará à guia Quota (cota) da janela propriedades do drive C:;
8.       Clique no botão Apply (Aplicar) – surgirá a mensagem avisando que as informações sobre as cotas serão atualizadas. Clique em OK. As informações serão atualizadas e retornará à janela de propriedades do drive C:. Clique no botão OK para fechar a janela de propriedades. O sistema retorna à opção Meu Computador.

Importante

As cotas de disco funcionam em todos os volumes NTFS (Windows 2003), porém os arquivos em volumes que forem convertidos de FAT ou FAT32 em NTFS pertencerão automaticamente ao usuário administrador e, portando, a cota nesses arquivos é creditada para a conta do administrador.

Utilizando cotas do Windows 2008 server
Cotas de disco – após a instalação do serviço de função File Server Resouce Manager, é possível gerenciar as cotas de disco utilizando o console Quota Management. Este console facilita a notificação aos usuários ou administradores de um usuário que excedeu um limite de cota.      

Cotas utilizando a ferramenta de linha de comando DirQuota – comando utilizado para configurar cotas de disco no prompt de comando ou em um script.

Cotas utilizando as definições de diretiva de grupo o Windows Explorer – embora sempre se deva utilizar o console Quota Management para configurar cotas no Windows Server 2008, o sistema operacional continua a suportar as versões anteriores do Windows.


Auditoria do sistema
Auditoria do sistema é um processo de acompanhamento das ações que são executadas nos servidores de domínio, através da rede, no próprio sistema operacional através da gravação de eventos nos logs de auditoria do sistema operacional.

Os tipos mais comuns de eventos a serem submetidos à auditoria são:

·         Acesso a objetos (arquivos e pastas);
·         Gerenciamento de contas de usuários e grupos;
·         Quando os usuários fazem logon e logoff no sistema.
Desta forma, o administrador do sistema poderá ser capaz de perceber, por exemplo, as repetidas tentativas de acesso a um determinado arquivo da organização por um usuário que não tem permissão de acesso ou sobre quem fez alterações nas contas de usuários e grupos.

O principal objetivo da existência de um sistema de auditoria é manter um acompanhamento de tudo o que está acontecendo no sistema.

Erro: indica um problema sério
Aviso: Não é necessariamente um erro, mas poderá representar problema futuro
Informações: Operacao de sucesso de uma aplicação, driver ou serviço
Auditoria com exito: Evento de um acesso com exito
Auditoria sem exito: Evento de um acesso sem exito.

Por padrão, são gerados três logs no sistema de Log do Windows:

Log de Aplicação: Neste arquivo são armazenados os erros, avisos e mensagens informativas de diversos programas que executam no Servidor;

Log de Segurança: Este arquivo contém as informações sobre o sucesso ou não dos eventos de auditoria, de acordo com definições da política de auditoria, que irá definir quais eventos de segurança serão monitorados;

Log do Sistema: Neste arquivo são armazenados os erros, avisos e mensagens informativas do próprio sistema operacional.


 Implicações legais e o uso de  logs em auditoria forense
Atualmente, com o crescimento da utilização das redes de computadores e da internet e com o avanço das tecnologias, é elevado o número de incidentes e ameaças de software mal-intencionado. Estudos demonstram que a maior ameaça à infraestrutura das empresas pode não estar sob a forma de um ataque externo, como vírus, mas pode se encontrar dentro da própria rede interna.  

Estes tipos de ataques quando ocorrem dentro da rede da empresa podem ter alto poder de destruição, especialmente se efetuados por pessoas em cargos de confiança e que têm acesso a todos os recursos da rede dentro da empresa. Por isso, é essencial que as organizações monitorem seus sistemas e redes de forma a detectar ataques de qualquer lugar de onde partam.

Existem diversas normas que regularizam as práticas de segurança da informação. Há a família de ISO 27000, a ISO 15408, SOX, além de regulamentações legais dependendo da área de atuação da organização, como, por exemplo, as diretrizes do BACEN, CFM e do Código Civil.

A análise forense computacional consiste em um conjunto de técnicas para coleta e exame de evidências digitais, reconstrução de dados e ataques, identificação e rastreamento de invasores. Desta forma, a determinação do momento, gravidade e resultados de violações de segurança e a identificação de sistemas afetados por um incidente de segurança devem ser realizados por ela.

Para serem eficazes, as informações reunidas para a análise forense devem conter o seguinte:

Hora do ataque
Duração do ataque
Sistena afetados pelo o ataque
Alterações feitas durante o ataque

Análise Forense

Vale ressaltar que logs de segurança sozinhos não fornecem informações suficientes para o planejamento de respostas a incidentes. Eles devem ser combinados com outras tecnologias que coletam e consultam informações para compor uma parte central de uma solução abrangente para monitoramento de segurança e detecção de ataques.

Todas as versões do Microsoft Windows, desde o Microsoft Windows NT versão 3.1 até as mais recentes, são capazes de registrar eventos de segurança com a funcionalidade de arquivo de log incorporada.

Você sabia?
O arquivo de log de eventos de segurança (SecEvent.evt) fica no diretório %systemroot%\System32\config.
Somente os administradores têm permissão de acesso ao log de segurança

Existem dois tipos de evento que são registrados no log de eventos de segurança:

O log de eventos de segurança utiliza um formato de arquivo personalizado para registrar dados de monitoramento de segurança. Para visualizar todas as informações registradas no arquivo de log deve ser utilizado programa apropriado, o visualizador de eventos.

1.As cotas são um importante recurso para evitar o uso excessivo e descontrolado do espaço em disco em um servidor de arquivos. Elas podem ser configuradas de duas formas:
 R) Cota fixa e Cota flexível
2.As informações referentes aos erros e mensagens ocorridas no sistema operacional são armazenadas no arquivo
R) Log de sistema
 3.Para que o administrador implemente uma política de cotas, ele primeiro deverá observar o tipo de sistema a ser utilizado. Obrigatoriamente, qual será?
  R) NTFS



Grupos Padrão
Administradores: Os membros desse grupo têm controle total do servidor e podem atribuir direitos do usuário e permissões de controle de acesso para os usuários conforme necessário. A conta <b>Administrador</b> também é um membro padrão. Quando esse servidor é incluído em um domínio, o grupo Admins. do Domínio é adicionado ao grupo automaticamente. Como o grupo tem controle total do servidor, adicione usuários com cuidado.
Operadores de Cópia: Os membros desse grupo podem fazer backup e restaurar arquivos do servidor, independentemente
Administradores DHCP (instalado com o serviço do Servidor DHCP): Os membros desse grupo têm acesso administrativo ao serviço do servidor protocolo de configuração dinâmica de hosts (DHCP). Esse grupo fornece uma forma de atribuir acesso administrativo limitado somente ao servidor DHCP, ao mesmo tempo em que não fornece acesso total ao servidor. Os membros desse grupo podem administrar o DHCP em um servidor que usa o console DHCP ou o comando Netsh, mas não são capazes de executar outras ações administrativas no servidor.
Usuários DHCP (instalado com o serviço do Servidor DHCP): Os membros desse grupo têm acesso somente leitura ao serviço do servidor DHCP. Dessa forma, os membros podem exibir informações e propriedades armazenadas em um servidor DHCP especificado. Essas informações são úteis para oferecer suporte à equipe quando ela precisar obter relatórios de status do DHCP.
Convidados: Os membros desse grupo terão um perfil temporário criado durante o logon, e quando o membro fizer logoff, o perfil será excluído.
HelpServicesGroup: Esse grupo permite que os administradores definam permissões comuns para todos os aplicativos para os quais há suporte. Por padrão, o único membro do grupo é a conta associada aos aplicativos de suporte da Microsoft, como a Assistência remota. Não adicione usuários a esse grupo.
Operadores de Configuração de Rede: Os membros desse grupo podem fazer alterações nas configurações do TCP/IP, atualizar e liberar endereços TCP/IP. Esse grupo não tem membros padrão.
Usuários de Monitor de Desempenho: Os usuários desse grupo podem monitorar os contadores de desempenho no servidor localmente e de clientes remotos sem serem membros dos grupos <b>Administradores</b> ou <b>Usuários de log de desempenho</b>.
Usuários de Log de Desempenho: Os membros desse grupo podem gerenciar os contadores de desempenho, os logs e os alertas no servidor localmente e de clientes remotos sem serem membros do grupo <b>Administradores</b>.
Usuários Avançados: Os membros desse grupo podem criar contas de usuário; no entanto, eles só podem modificar e excluir as contas que criaram. Esses membros podem criar grupos locais e adicionar ou remover usuários dos grupos locais que criaram. Eles também podem adicionar ou remover os usuários dos grupos <b>Usuários avançados</b>, <b>Usuários</b> e <b>Convidados</b>. Os membros podem criar recursos compartilhados e administrar os recursos compartilhados que criaram. Eles não podem apropriar-se de arquivos, fazer backup ou restaurar pastas, carregar ou descarregar drivers de dispositivos nem gerenciar logs de segurança e de auditoria.
Opers. de Impressão: Os membros desse grupo podem gerenciar impressoras e filas de impressão.
Usuários da Área de Trabalho Remota: Os membros desse grupo podem fazer logon remotamente em um servidor. Para obter mais informações, consulte.
Duplicador: O grupo <b>Duplicadores</b> fornece suporte a funções de replicação. O único membro do grupo <b>Duplicadores</b> deve ser uma conta de usuário de domínio usada para fazer logon nos serviços <b>Duplicadores do controlador do domínio</b>. Não adicione as contas de usuário dos usuários reais a esse grupo.
Usuários do Terminal Server: Este grupo contém o usuário que está conectado ao computador no momento usando o Terminal Server. Qualquer programa que um usuário possa executar no Windows NT 4.0 poderá ser executado para um membro do grupo <b>Usuário do servidor de terminal</b>. As permissões padrão atribuídas ao grupo permitem que os seus membros executem a maioria dos programas mais recentes.
Usuários: Os membros desse grupo podem realizar as tarefas comuns, como executar aplicativos, usar impressoras locais e de rede e bloquear o servidor. Eles não podem compartilhar diretórios ou criar impressoras locais. Por padrão, os grupos <b>Usuários do domínio</b>, <b>Usuários autenticados</b> e <b>Interativo</b> são membros desse grupo. Por isso, qualquer conta de usuário criada no domínio se torna membro desse grupo.
Usuários WINS (instalado com o serviço WINS): Os membros desse grupo têm acesso somente leitura aos serviços WINS. Dessa forma, os membros podem exibir informações e propriedades armazenadas em um servidor WINS especificado. Essas informações são úteis para oferecer suporte à equipe quando ela precisar obter relatórios de status do WINS.


Políticas para a criação de Usuários
Para que possamos aumentar a segurança e a confiabilidade da rede em relação à utilização dos nomes adotados pelos usuários, algumas recomendações, restrições e melhores práticas devem ser levadas em consideração:
 O nome de logon deve ser único no domínio;
 O nome de logon não pode ser igual ao nome de um grupo de domínio;
 O nome de logon pode conter espaços em branco e pontos, porém não pode ser formado somente por espaços e pontos;
 Podem ter no máximo 20 caracteres;
 Não podem ser utilizados os seguintes caracteres: “/ \ : ; [ ] = ; + * ? < > ;
 O sistema operacional não diferencia letras maiúsculas e minúsculas para o nome do logon.
Por padrão no Windows Server 2003 são estabelecidas políticas de segurança em relação à criação de senhas de usuários:
 Para trocar a senha, não pode ser utilizada senha igual às 24 últimas;
 A senha expira (deve ser alterada) a cada 42 dias;
 O tempo mínimo de vida da senha é um dia;
 Tamanho mínimo de sete caracteres.


Unidades Organizacionais
Podemos, muitas vezes, necessitar de uma estrutura hierárquica específica para cada domínio dentro de uma árvore de domínio, por exemplo. Desta forma, podemos dividir um domínio em unidades organizacionais que pode ser utilizada para organizar objetos de um determinado domínio em agrupamento lógico para efeitos de administração. Diversos domínios que formam uma árvore não precisam ter a mesma estrutura hierárquica de unidades organizacionais.


Servidor Membro
Um computador configurado como um Servidor Membro é um computador que:
 Não processa logons de conta;
 Não participa do processo de replicação do Active Directory;
 Não armazena informações de diretivas de segurança do domínio.
São exemplos de servidores membros máquinas com os seguintes serviços instalados:
 Servidores de arquivos;
 Servidores de aplicativos;
 Servidores de bancos de dados;
 Servidores Web;
 Servidores de certificados;
 Firewalls;
 Servidores de acesso remoto.


Controlador de Domínio
Um Controlador de Domínio é um computador que utiliza o Active Directory para armazenar cópias de leitura/gravação do banco de dados de domínio, participa em replicações com vários mestres e autentica usuários.
Em um domínio, todos os Controladores de Domínio compartilham uma lista de usuários, grupos e políticas de segurança. Os Controladores de Domínio armazenam dados de diretório e gerenciam a comunicação entre usuários e domínios, inclusive processos de logon do usuário, autenticação e pesquisas de diretório.
As alterações realizadas em um dos Controladores de Domínio são replicadas para todos os demais. Os Controladores de Domínio sincronizam dados de diretório usando a replicação com vários mestres, o que garante a consistência das informações no decorrer do tempo.


Contas de usuários
Quando você está administrando uma rede de uma empresa é necessário, de alguma maneira, poder identificar quem é o usuário logado e quais ações ele está realizando. É importante identificar cada usuário para liberar ou não o acesso a recursos protegidos por permissões de acesso. Os sistemas operacionais identificam cada usuário pelas informações de logon.
Que informações são essas?
Um nome com o qual o usuário foi carregado na rede e sua respectiva senha. Desta forma, o primeiro passo para que um usuário tenha acesso aos recursos da rede é cadastrar o usuário.
Em uma rede Microsoft, cadastrar o usuário significa criar uma conta e uma senha no Active Directory.
Para que possamos acessar recursos do sistema, o Active Directory exibe verificação da identidade do indivíduo (autenticação). O principal ponto de autenticação é a conta do usuário, com seu nome de logon, senha e o identificador de segurança (SID).
A conta de usuário está integrada ao objeto de usuário Active Directory, que inclui não apenas o nome, a senha e SID do usuário, como também as informações de
Contas de computadores
Contas de Usuários
AD
Grupos de usuários
3/3
contato, como: telefone, endereços, informações sobre a organização (títulos, superiores diretos, gerentes), grupos, configurações (caminho do perfil, serviços do terminal), acesso e configurações do acesso remoto.
As informações sobre as contas de usuários e grupos ficam gravadas no Active Directory, nos servidores configurados (DCS do domínio), onde as informações são verificadas.


Distributed File System (DFS)
O DFS (sistema de arquivos distribuídos) permite que os administradores agrupem pastas compartilhadas localizadas em diferentes servidores conectando-os de forma transparente a um ou mais espaços de nomes DFS.
Um espaço de nomes DFS é uma exibição virtual de pastas compartilhadas em uma organização. Usando as ferramentas do DFS, um administrador seleciona que pastas compartilhadas serão apresentadas no espaço de nomes, projeta a hierarquia na qual as pastas aparecerão e determina os nomes que as pastas compartilhadas exibirão no espaço de nomes.

Quando um usuário visualiza o espaço de nomes, as pastas parecem residir em um único disco rígido de alta capacidade. Os usuários podem navegar pelas pastas no espaço de nomes sem que precisem saber os nomes dos servidores ou das pastas compartilhadas que hospedam os dados. O DFS também oferece outros benefícios, como, por exemplo, a tolerância a falhas e a capacidade de compartilhamento de carga.


EFS (Encrypting File System)
O EFS, Sistema de Arquivos com Criptografia, é um recurso do Windows que permite armazenar informações no disco rígido em um formato criptografado. Ele é um componente do sistema de arquivo NTFS e está implementado nos sistemas Windows 2000, Windows XP Professional, Windows Server 2003 e 2008.
A criptografia é o mecanismo de segurança mais forte que a Microsoft implementou para auxiliar os administradores na manutenção segura das informações nos servidores. Ele permite a proteção dos arquivos em caso de invasão do servidor, pois os dados de um arquivo somente poderão ser lidos por um programa ou usuário que tenha a chave criptográfica apropriada para tal.
No EFS, o processo de criptografia é simples. Para criptografar um arquivo, basta marcar uma caixa de seleção nas propriedades do arquivo ou da pasta para ativá-la. Os arquivos são criptografados quando são fechados e estão prontos para uso quando são abertos, ocorrendo o processo de criptografia de forma transparente utilizando um algoritmo padrão. Caso não seja mais necessária a utilização da criptografia, é só desmarcar a caixa de seleção nas propriedades do arquivo.


Compartilhando arquivos protegidos com o EFS
Caso seja necessário compartilhar arquivos protegidos pelo EFS com outros usuários, será preciso adicionar os certificados de segurança de criptografia ao arquivo.

NTFS (Networf File System)
O sistema de arquivos NTFS utiliza o conceito de ACL (Acess Control List) para controlar as permissões de acesso aos arquivos e pastas. Estas permissões são armazenadas como entradas de controle de acesso (ACEs – Acess Control Entries) e são utilizadas pelo sistema de arquivo NTFS para controle das permissões. Desta forma, é possível determinar quais usuários podem exibir ou atualizar arquivos. A Microsoft implementou um conjunto de permissões-padrão para diferentes tipos de arquivos, projetadas para atender as necessidades básicas de segurança do sistema:

Arquivos de usuários: Neste caso os usuários possuem permissões de controle total em relação aos seus próprios arquivos. Os administradores também possuem o mesmo direito, porém os outros usuários não podem ler ou gravar nesses arquivos.
Arquivos de sistema: Os usuários podem ler, mas não podem gravar em subpastas e na pasta %SystemRoot%. Os administradores podem adicionar e atualizar arquivos, realizando, assim, as atualizações de aplicativos.
Arquivos de programa: Os usuários têm acesso de leitura e os administradores possuem acesso total na pasta %ProgramFiles%, permitindo que os administradores instalem aplicativos e os usuários apenas executem.
Os administradores terão controle total sobre todas as novas pastas criadas na raiz de um disco, enquanto os usuários terão apenas acesso de leitura.


Vale observar que as permissões-padrão de arquivo e pasta funcionam bem para os ambientes de desktop. Entretanto, é comum a necessidade de permissão de grupos de usuários para permitir a colaboração. Desta forma, os administradores podem atribuir a usuários ou grupos de usuários qualquer uma das seguintes permissões sobre um arquivo ou pasta:
 Leitura: Os usuários podem exibir o conteúdo de uma pasta e abrir seus arquivos. Vale observar que, caso o usuário não tenha permissão de execução sobre um arquivo executável, não será capaz de iniciar o executável;
 Gravar: Cria arquivos, subpastas, altera o atributo da pasta e visualiza o dono e as permissões;  Listar conteúdo da pasta: Os usuários podem pesquisar o conteúdo de uma pasta;  Ler e Executar: Além da permissão de leitura, os usuários podem executar aplicativos;  Modificar: Os usuários podem ler, editar e excluir arquivos e pastas;  Controle Total: Os usuários podem realizar qualquer ação no arquivo ou pasta, incluindo criar, excluir e modificar as permissões sobre eles. Até mesmo podem tornar-se donos da pasta e excluir pastas e arquivos.


Como já vimos no item anterior de compartilhamento de arquivos, para realizar o gerenciamento das permissões de acesso a recursos, sejam em um servidor remoto ou em volume local, utilizamos o Windows Explorer.
A figura abaixo mostra a caixa de diálogo que é aberta após clicarmos com o botão direito do mouse no arquivo ou pasta em um sistema NTFS e selecionarmos propriedades ou compartilhamento de segurança em seguida, na opção de segurança.
A partir do Windows 2000, foi implementado um controle mais flexível e de maior complexidade. Desta forma, o editor de ACL, apresenta três caixas de diálogo:

 A primeira caixa de diálogo, ou seja, a aba de segurança, fornece visão ampla das configurações de segurança ou permissões do recurso a um grupo de usuário ou usuários.
Para acessar a segunda caixa de diálogo será necessário clicar na opção avançado, que mostra mais detalhes sobre a ACL. Esta opção relaciona as entradas específicas de controle de acesso que foram atribuídas ao arquivo ou pasta, além de possibilitar a configuração da opção de auditoria.
A terceira caixa de diálogo aparecerá quando for selecionada uma permissão na lista de entradas de permissão e clicada a opção editar. Esta opção relaciona as permissões mais detalhadas e mais granulares, compreendendo as permissões das listas de permissões da primeira e da segunda caixa de diálogo


Schtasks
O programa Shtasks.exe permite ao administrador efetuar as mesmas operações realizadas pelo snap-in da console de gerenciamento. Ele agenda comandos e programas para serem executados periodicamente ou em um horário específico e possibilita a criação, consulta, alteração, execução, exclusão e finalização das tarefas agendadas em um computador remoto.


São opções da ferramenta:
 SCHTASKS/Create: Cria uma nova tarefa agendada;
 Schtasks/Change: Propriedade de uma tarefa que altera um ou mais do seguinte;
 SCHTASKS/Run: Inicia uma tarefa agendada imediatamente;
 SCHTASKS/End: Interrompe um programa que foi iniciado por uma tarefa;
 SCHTASKS/Delete: Exclui uma tarefa agendada;
SCHTASKS/Query: Exibe todas as tarefas que estão agendadas para execução no computador, incluindo aquelas que agendadas por outros usuários.


O SchTask encontra-se na pasta %SYSTEMROOT%\System32.
Para executá-la o administrador deverá digitar schtasks.exe /? em uma janela de prompt de comando para exibir a ajuda da ferramenta.


Iniciando um programa
A seguir, a lista com os programas mais usados que uma ação pode executar:
Executar um script: cscript.exe
Copiar um arquivo: robocopy
Iniciar um serviço: net
Parar um serviço: net
Desligar: shut
Reiniciar: Desligar
Fazer logoff: Desligar
Limpeza de disco: cleanmgr
Desfragmentar um disco: defrag
Conectar-se a uma rede dial-up: rasdial
Arquivar um log de eventos: wevtutil



Configurações de tarefas
Aplica-se a: Windows Server 2008, Windows Vista
As configurações de tarefas especificam como uma tarefa é executada, interrompida ou excluída. As configurações de uma tarefa são exibidas na guia Configurações da caixa de diálogo Propriedades da Tarefa ou Criar Tarefa. A lista a seguir contém as descrições de configurações de tarefas.
 Permitir que a tarefa seja executada por demanda
É possível especificar se uma tarefa pode ser executada manualmente antes ou depois de ser agendada para execução, permitindo que a tarefa seja executada por demanda. A configuração padrão possibilita que o usuário execute a tarefa a qualquer momento, sob demanda. Para obter mais informações sobre como executar uma tarefa por demanda, consulte Executar uma tarefa por demanda.
Observação
Essa configuração não está disponível para tarefas configuradas para Windows 2003, Windows XP ou Windows 2000.
 Executar a tarefa o mais cedo possível após uma inicialização agendada tiver sido perdida
Se essa configuração for selecionada, o serviço Agendador de Tarefas iniciará a tarefa se ela for agendada para execução em um determinado momento, mas por algum motivo não foi ativada (por exemplo, o computador foi desligado ou o serviço Agendador de Tarefas estava ocupado). O serviço Agendador de Tarefas não iniciará a tarefa imediatamente depois que a tarefa for perdida. Por padrão, o serviço aguardará dez minutos antes de iniciar a tarefa perdida.
Observação
Essa configuração não está disponível para tarefas configuradas para Windows 2003, Windows XP ou Windows 2000.
 Se ocorrer falha na tarefa, reiniciar a cada: <período>
Use essa configuração para reiniciar uma tarefa se ocorrer uma falha na sua execução (o resultado da última execução da tarefa não foi bem-sucedido). Você especifica o intervalo de tempo gasto entre as tentativas de reinício da tarefa e o número de tentativas de reiniciá-la.
Observação
Essa configuração não está disponível para tarefas configuradas para Windows 2003, Windows XP ou Windows 2000.
 Interromper a tarefa se ela for executada por mais de: <período>
Essa configuração limita a quantidade de tempo que uma tarefa pode ser executada. Use essa configuração para limitar as tarefas que possam demorar muito tempo para serem executadas, tornando-se inconveniente para o usuário.
 Se essa tarefa não for encerrada quando solicitado, force sua interrupção
Se essa configuração for selecionada e a tarefa não responder a um pedido de interrupção, sua parada será forçada.
Observação
Essa configuração não está disponível para tarefas configuradas para Windows 2003, Windows XP ou Windows 2000.
 Se a tarefa não estiver agendada para ser executada novamente, excluí-la após: <período>
Se essa configuração estiver selecionada, o serviço Agendador de Tarefas excluirá automaticamente a tarefa se ela não for agendada para execução novamente. O serviço Agendador de Tarefas aguardará o período especificado antes de excluir a tarefa. Se essa configuração não estiver selecionada, o serviço Agendador de Tarefas não excluirá a tarefa automaticamente. A tarefa deve incluir pelo menos um disparo com uma data de vencimento para selecionar essa configuração.
 Se a tarefa já estiver sendo executada, a seguinte regra será aplicada:
Você deve especificar como o serviço Agendador de Tarefas deve executar a tarefa se outra instância da tarefa já estiver em execução:
 Não iniciar uma nova instância: o serviço Agendador de Tarefas não executará a nova instância da tarefa e interromperá a instância que já estiver em execução.
 Executar uma nova instância em paralelo: o serviço Agendador de Tarefas executará a nova instância da tarefa paralelamente com a instância que já estiver em execução.
 Colocar uma nova instância na fila: o serviço Agendador de Tarefas adicionará a nova instância da tarefa à fila de tarefas que o serviço executará e o serviço não interromperá a instância da tarefa que já estiver em execução.
 Interromper a instância existente: o serviço Agendador de Tarefas interromperá a instância da tarefa que já estiver em execução e executará a nova instância da tarefa.
Observação
O valor dessa configuração é Não iniciar uma nova instância para tarefas configurados para Windows 2003, Windows XP ou Windows 2000.