Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Adicionando e Protegendo um Computador com Windows Server 2003 em um Domínio do Active Directory no Windows Small Business Server 2003

Publicado: 27 de agosto de 2004

Nesta página

Introdução
Antes de Começar
Associando um Servidor com Windows Server 2003, Standard Edition a um Domínio
Protegendo um Servidor de Membro do Domínio
Informações Relacionadas

Introdução

Usando os domínios do serviço de diretório do Microsoft Active Directory com o Microsoft Windows Server 2003, o Standard Edition pode ajudá-lo a fortalecer a segurança através de algumas vantagens dos recursos de autenticação e identidades baseadas em padrões.

Quando você adiciona um novo servidor à sua rede, ele não se conecta automaticamente ao seu domínio. Como o novo servidor ainda não é gerenciado pelas configurações fornecidas pelo Active Directory, pelas configurações da Diretiva de Grupo, ou pelos scripts de logon, ele não pode aproveitar as vantagens dos benefícios de segurança do domínio. O servidor pode assim ser comprometido mais facilmente e expor toda a sua rede a ameaças de segurança. Se você usa o Active Directory, é uma boa idéia associar um novo servidor ao seu domínio imediatamente após ter instalado seu sistema operacional, para habilitar o gerenciamento centralizado, especificar diretivas centralizadas do computador, e possibilitar a outros usuários o acesso aos recursos do servidor.

O Active Directory ajuda a aumentar sua garantia de que os usuários que fizerem logon em sua rede foram autenticados. Autenticação é o processo de validação das credenciais de uma pessoa, processo de computador, ou dispositivo. É necessário que a pessoa, processo, ou dispositivo que faz a solicitação forneça uma credencial que prove ser quem ou o que afirma ser. Formas comuns de credenciais são assinaturas digitais, cartões inteligentes, dados biométricos, e uma combinação de nomes de usuário e senhas.

Quando você associa novos servidores ao seu domínio, as configurações de Diretiva de Grupo já estabelecidas são automaticamente aplicadas a esses novos membros do domínio. Portanto, você não precisa configurar os novos servidores localmente para levá-los a um padrão de domínio, como uma diretiva rígida de senha. O servidor membro associado ao domínio é protegido pela Diretiva de Grupo através do Active Directory. Apenas membros do grupo Administradores de Domínio e de outros grupos que você especificar têm direito de modificar informações de domínio, incluindo membros (como usuários e computadores) e diretivas de grupo. Servidores de membro do domínio também têm administradores locais que podem realizar muitas tarefas administrativas como adicionar e remover programas, mas não podem alterar recursos do Active Directory.

Este documento contém instruções passo-a-passo para as duas tarefas seguintes:

  • Associar um servidor com Windows Server 2003, Standard Edition a um domínio

  • Proteger um servidor de membro do domínio

O tempo para completar ambas as tarefas é de aproximadamente uma hora, no total.

IMPORTANTE: As instruções deste documento foram desenvolvidas através do menu Iniciar que aparece como padrão quando você instala seu sistema operacional. Se você alterou seu menu Iniciar, os passos podem ser um pouco diferentes.

Para definições de termos relacionados a segurança, veja:

Antes de Começar

Se você está usando o Windows Server 2003, Standard Edition, deve adicionar o Console de Gerenciamento da Diretiva de Grupo - Group Policy Management Console (GPMC), um download gratuito disponível no site do Microsoft Windows Server System: http://go.microsoft.com/fwlink/?LinkId=31715. O GPMC já está instalado em um computador com Microsoft Windows Small Business Server 2003.

Para garantir que o Windows Server 2003, Standard Edition faça um bom trabalho, é recomendável que você tenha 1.5 gigabytes (GB) de espaço disponível em disco para a instalação, uma velocidade de CPU de 550 megahertz (MHz), e 256 megabytes (MB) de RAM. Para mais informações sobre os requisitos do sistema operacional, veja os Requisitos do Sistema no site do Microsoft Windows Server System: http://go.microsoft.com/fwlink/?LinkId=31716.

Para alcançar um desempenho aceitável para o Windows Small Business Server, é recomendável que você tenha 4 GB de espaço disponível no disco rígido, uma velocidade de CPU de 550 MHz, e 512 MB de RAM. Para mais informações, veja os Requisitos do Sistema para o Windows Small Business Server 2003 no site do Windows Server System: http://go.microsoft.com/fwlink/?LinkId=31717.

Obs.: Conforme a configuração do seu sistema, os requisitos podem variar.

Associando um Servidor com Windows Server 2003, Standard Edition a um Domínio

Associar um servidor com Windows Server 2003, Standard Edition a um domínio permite que o servidor seja gerenciado pelo Active Directory e pela Diretiva de Grupo. Isso ajuda a fortalecer a segurança pois o acesso ao servidor é controlado por configurações padronizadas de segurança em sua rede, o que limita o que pode ser feito no servidor e quem pode fazê-lo. Esta seção fornece instruções passo-a-passo sobre como associar um servidor de grupo de trabalho a um domínio já existente do Windows Server 2003, e depois fazer logon no domínio desse servidor.

Completando o Assistente para Instalação do Servidor (Set Up Server Wizard)

Esta seção explica como configurar uma conta em um computador de um domínio.

Requisitos

  • Credenciais: Você deve fazer logon no controlador de domínio do Windows Small Business Server como membro do grupo Administradores de Domínio.
    Obs.: Imagens de tela neste documento retratam um ambiente de teste. As informações que você vê em sua tela podem ser um pouco diferentes das mostradas nessas imagens.

Inicie o Assistente para Instalação do Servidor

  1. No controlador de domínio com Windows Small Business Server, clique em Server Computers no painel de árvore (à esquerda) do Server Management. (Se o Server Management não estiver aberto, clique em Start e aponte para Server Management.)

  2. No painel de detalhes (à direita), clique em Set Up Server Computers.

Digite as informações que o Assistente para Instalação do Servidor solicitar

  1. Na página Welcome to the Set Up Server Wizard, clique em Next.

  2. Na página Server Computer Name, digite seu nome de servidor membro na caixa Server name, e depois clique em Next (Figura 1).

    Cc875844.win2k3sbs_01(pt-br,TechNet.10).gif
    Figura 1 Digitando o nome do servidor membro no Assistente para Instalação do Servidor
    Veja a imagem em tela cheia


  3. Na página IP Address Confirmation, siga um dos seguintes passos:

    • Se você usa DHCP para designer o endereço IP do servidor membro, aceite o padrão. Depois clique em Next. (Figura 2)
      OU

    • Clique em Use the following static IP address e digite o endereço que quer usar para o servidor. Depois clique em Next. (Figura 2)

      Cc875844.win2k3sbs_02(pt-br,TechNet.10).gif
      Figura 2 Especificando como o servidor membro obtém um endereço IP
      Veja a imagem em tela cheia


  4. Na página Completing the Set Up Server Wizard, verifique se as informações estão corretas, e clique em Finish.

  5. Na caixa de diálogo Finishing Your Installation, verifique a URL, e clique em OK. (Figura 3)

    Cc875844.win2k3sbs_03(pt-br,TechNet.10).gif
    Figura 3 A URL para o novo servidor membro


Associando o Servidor Membro ao Domínio

A pessoa que associa o servidor ao domínio é um Administrador de computador local que conhece as credenciais de um usuário de domínio, que tem permissão de realizar essa tarefa.

Requisitos

  • Credenciais: Você deve fazer logon no servidor como membro do grupo de Administradores locais. Geralmente, o primeiro usuário de um servidor de grupo de trabalho é um membro do grupo do Administrador local.

Conecte-se à página de Configuração da Rede

  1. No novo servidor membro, faça logon como membro do grupo de segurança do Administrador local.

  2. Clique em Iniciar, aponte para Todos os Programas, e selecione Internet Explorer.

  3. Na caixa Endereço, digite a URL que você viu anteriormente quando verificou o Finishing Your Installation Dialogue.

  4. Clique em Connect to the network now (Figura 4).

    Cc875844.win2k3sbs_04(pt-br,TechNet.10).gif
    Figura 4 Conectando-se à página de Configuração da Rede


  5. Na caixa de diálogo Security Warning, clique em Yes para instalar o ActiveX control (Figura 5).

    Cc875844.win2k3sbs_05(pt-br,TechNet.10).gif
    Figura 5 Instalando o ActiveX control

  6. Na página User Account and Password Information do Small Business Server Network Configuration Wizard, digite o nome de usuário de uma conta que tenha permissão de associar computadores ao domínio, na caixa User name, e a senha correspondente na caixa Password. Depois clique em Next (Figura 6).

    Cc875844.win2k3sbs_06(pt-br,TechNet.10).gif
    Figura 6 Digitando informações da conta de usuário e senha
    Veja a imagem em tela cheia


  7. Na página Computer Name, selecione o nome do servidor membro na caixa Available Computer Names, e clique em Next.

  8. Verifique as informações, e clique em Finish.

  9. Clique em Continue para reiniciar o novo servidor membro.

Fazendo logon no Domínio

Para fazer logon no domínio a partir do servidor membro

  1. No servidor que você adicionou ao domínio, pressione CTRL+ALT+DELETE.

  2. Em User name, digite o nome de usuário de um Administrador de Domínio (Figura 7).

  3. Em Password, digite a senha correspondente à conta do Administrador de Domínio.

  4. Clique em Options.

  5. Digite ou selecione o nome de domínio na lista Log on to, e clique em OK.

    Cc875844.win2k3sbs_07(pt-br,TechNet.10).gif
    Figura 7 Fazendo logon no domínio a partir do servidor membro


Verificando Novas Configurações

Você pode checar se obteve sucesso ao associar o servidor ao seu domínio, seguindo os seguintes passos.

Para verificar o computador e nome do usuário de domínio

  1. Clique em Iniciar, depois em Command Prompt.

  2. No prompt de comando (Figura 8), digite:
    whoami

  3. Pressione Enter, e verifique a precisão das informações que aparecem.

    Cc875844.win2k3sbs_08(pt-br,TechNet.10).gif
    Figura 8 Um exemplo de um nome preciso de domínio

  4. No prompt de comando, digite:
    exit

  5. Pressione Enter.

  6. Clique em Iniciar, com o botão direito clique em Meu Computador, e clique em Propriedades.

  7. Clique na guia Nome do Computador, e verifique se estão corretos o Nome completo do computador e as informações do Domínio.

  8. Clique em Cancelar para sair da caixa de diálogo Propriedades do Sistema.

Protegendo um Servidor de Membro do Domínio

Após ter associado um servidor ao seu domínio, há algumas tarefas adicionais que você realiza para proteger o servidor em sua rede. As seguintes tarefas também ajudam a simplificar o gerenciamento diário do usuário e servidor:

  • Desative a conta do Administrador local.

  • Crie uma unidade organizacional (UO) para servidores-membro.

  • Crie um objeto de Diretiva de Grupo baseado em um modelo de segurança (security template) da Microsoft.

Desativando a Conta do Administrador Local

Esta seção fornece instruções passo-a-passo sobre como desativar a conta do Administrador local no servidor membro do domínio, e depois remover do grupo de Administradores locais quaisquer administradores que não sejam do domínio. Remover a conta do Administrador local fortalece a segurança, pois reduz o número de usuários que podem possivelmente acessar o servidor. Lembre-se de habilitar a conta do administrador local administrador antes de remover o servidor membro do domínio, ou você não terá acesso administrativo ao computador.

Requisitos

  • Credenciais: Você deve fazer logon no servidor membro do domínio como membro do grupo de Administradores locais.

Para desativar o Administrador local no servidor membro do domínio

  1. Clique em Iniciar, com o botão direito clique em Meu Computador, e depois clique em Gerenciar.

  2. No painel de árvore (à esquerda) do console de Gerenciamento do Computador, expanda Usuários e Grupos Locais, e clique em Usuários.

  3. No painel de detalhes (à direita), dê um clique duplo na conta do Administrador.

  4. Selecione A conta está inativa, e clique em OK.

  5. Feche o console Gerenciamento do Computador.

  6. Faça logoff do servidor membro do domínio.
    Obs.: É recomendável fazer logoff de um servidor quando você não está realizando tarefas nele.

Criando uma Unidade Organizacional (UO) para Gerenciar Servidores-Membro

Servidores e computadores clientes têm diferentes requisitos de segurança. Usando os recursos do Active Directory, você pode construir uma estrutura de gerenciamento para ajudá-lo a gerenciar de forma segura ambos os tipos de computador.

Os passos a seguir são criados para Windows Small Business Server 2003, embora você possa realizá-los no Windows Server 2003, Standard Edition, indo ao menu Iniciar e clicando em Ferramentas Administrativas.

Requisitos

  • Credenciais: Você deve fazer logon no servidor membro do domínio como membro do grupo de Administradores locais.

Para criar uma nova UO para gerenciar servidores-membro

Obs.: Sua organização pode ter uma estrutura de UO já existente para gerenciar computadores clientes e servidores. Os passos abaixo devem ser usados se não existir nenhuma estrutura de UO em sua organização. O Windows Server 2003 Security Guide em http://go.microsoft.com/fwlink/?LinkId=31741 tem informações adicionais sobre métodos melhores para a criação de uma estrutura de UO para gerenciar usuários e computadores.

  1. Faça logon em um servidor com Windows Small Business Server 2003 como membro do grupo Administradores do Domínio.

  2. No menu Start, clique em Server Management.

  3. No painel de árvore (à esquerda), expanda Advanced Management, clique em Active Directory Users and Computers, e selecione o nó para seu nome de domínio (Figura 9).

  4. No menu Action, aponte para New, e clique em Organizational Unit.

    Cc875844.win2k3sbs_09(pt-br,TechNet.10).gif
    Figura 9 Adicionando uma UO
    Veja a imagem em tela cheia


  5. Em Name, digite Member Servers OU e clique em OK.
    A imagem é restaurada e a nova UO aparece selecionada.

Para mover o novo servidor membro do domínio para a UO

  1. No painel de árvore abaixo do nome de seu domínio expanda MyBusiness | Computers e selecione o nó SBSServers.

  2. Arraste e solte o objeto do computador para o novo servidor membro do domínio, desde o painel de detalhes até Member Servers OU na árvore do console.

  3. No painel de árvore, selecione Member Servers OU, e então confirme o sucesso do movimento anterior.

  4. Feche o nó Active Directory Users and Computers.

Criando e Conectando um Novo Objeto de Diretiva de Grupo para a Nova Unidade Organizacional (UO)

Agora que o servidor membro do domínio está em uma UO do Active Directory, você pode gerenciá-lo usando a Diretiva de Grupo. A vantagem do gerenciamento de segurança (e outras configurações) ao usar esse recurso é que você realiza determinado gerenciamento apenas uma vez, e ele é aplicado a todos os objetos da pasta. Se você adicionar outro servidor ou refizer esse colocando-o na UO, todas as suas configurações serão aplicadas ao novo servidor.

Requisitos

Para criar um novo objeto de Diretiva de Grupo no Console de Gerenciamento da Diretiva de Grupo

  1. No painel de árvore (à esquerda), expanda Advanced Management, e selecione Group Policy Management.

  2. Expanda Forest: <DomainName> (Contoso.local no exemplo da Figura 10), Domains, <DomainName>, e então selecione o nó Group Policy objects.

    Cc875844.win2k3sbs_10(pt-br,TechNet.10).gif
    Figura 10 Adicionando um objeto de Diretiva de grupo no Console de Gerenciamento da Diretiva de Grupo
    Veja a imagem em tela cheia


  3. No menu Action, clique em New.

  4. Na caixa de diálogo New GPO, ao lado de Name, digite High Security - Member Server Baseline e clique em OK.

  5. No painel de detalhes, clique com o botão direito em High Security - Member Server Baseline, e depois clique em Edit (Figura 11).

    Cc875844.win2k3sbs_11(pt-br,TechNet.10).gif
    Figura 11 Editando os objetos da Diretiva de Grupo no servidor
    Veja a imagem em tela cheia


  6. Na árvore de console do Group Policy object Editor, abaixo de Computer Configuration, expanda Windows Settings.

  7. Abaixo de Windows Settings, clique com o botão direito em Security Settings, e depois clique em Import Policy (Figura 12).

    Cc875844.win2k3sbs_12(pt-br,TechNet.10).gif
    Figura 12 O Editor de objeto da Diretiva de Grupo
    Veja a imagem em tela cheia


  8. Na janela Import Policy From, selecione High Security - Member Server Baseline.inf (localizado na subpasta %windir%\security\templates), e depois clique em Open (Figura 13).

    Esse modelo, outros modelos e outras orientações de segurança estão disponíveis como parte do Windows Server 2003 Security Guide no site do Microsoft Download Center em http://go.microsoft.com/fwlink/?LinkId=31741. Após extraí-lo rodando o executável, você pode copiar os modelos para a pasta %windir%\security\templates ou importar para o diretório de extração na caixa Import Policy From (Figura 14). Além desses modelos, o diretório Windows Server 2003 Security Guide\Tools and Templates\Security Guide\Security Templates também inclui uma planilha de Excel com detalhes das configurações de cada modelo.

    Cc875844.win2k3sbs_13(pt-br,TechNet.10).gif
    Figura 13 Importando uma Diretiva de Grupo


    Cc875844.win2k3sbs_14(pt-br,TechNet.10).gif
    Figura 14 Definindo configurações de segurança usando o arquivo High Security - Member Server Baseline.inf


  9. Feche o Group Policy object Editor.

  10. No painel de árvore, expanda Group Policy objects, e selecione High Security - Member Server Baseline.

  11. Se você vir uma caixa de diálogo de segurança do Microsoft Internet Explorer a qualquer momento, clique em Add.

    A instalação padrão do Internet Explorer em qualquer sistema operacional do Windows Server 2003 exibe esse tipo de caixa de diálogo por precaução de segurança.

  12. Na caixa Trusted Sites, clique em Add, depois em Close.

  13. Clique na guia Settings.

  14. No painel de detalhes, você pode agora clicar no link Show All próximo às configurações para ver quais configurações de segurança foram importadas para o objeto da Diretiva de Grupo.

Para conectar o High Security - Member Server Baseline à UO Member Servers

  1. No painel de árvore, arraste e solte o High Security - Member Server Baseline na UO Member Servers.

  2. Para conectar a diretiva, clique em OK.

  3. No painel de árvore, expanda a UO Member Servers.
    Verifique o link ao objeto da Diretiva de Grupo High Security - Member Server Baseline.

  4. Feche todas as janelas e faça logoff.

Verificando as Novas Configurações

Cheque o servidor membro do domínio para garantir que as alterações feitas nas configurações tiveram resultado.

Para verificar as configurações de Diretiva de Grupo do servidor membro do domínio

  1. Faça logon em seu servidor membro do domínio como membro do grupo Administradores do Domínio.

  2. No menu Start, clique em Run.

  3. No campo Open, digite gpupdate, e clique em OK.
    Obs.: A Diretiva de Grupo restaura regularmente os membros do domínio. Contudo, o comando gpupdate garante que todas as diretivas ativas sejam restauradas imediatamente.

  4. Quando o comando for concluído, clique em Start, e depois em Run novamente.

  5. No campo Open, digite rsop.msc e clique em OK.
    Esse comando abre o console de gerenciamento Resultant Set of Policy e automaticamente recupera as informações da Diretiva de Grupo para o servidor.

  6. No painel de detalhes abaixo de Computer Configuration, expanda Windows Settings, expanda Security Settings, expanda Local Policies, e então selecione Audit Policy.

  7. No painel de detalhes, verifique a Computer Setting para o Audit account management (essa é a configuração de diretiva "vencedora") e dê um clique duplo em Audit account management.

  8. Na caixa de diálogo Audit account management Properties (Figura 15), clique na guia Precedence.

    As configurações da Diretiva de Grupo são listadas em ordem, com a última configuração aplicada no topo da lista.

    Cc875844.win2k3sbs_15(pt-br,TechNet.10).gif
    Figura 15 Propriedades iniciais de lockout da conta


  9. Verifique as configurações da Diretiva de Grupo, feche todas as janelas e faça logoff.

Informações Relacionadas

Para mais informações sobre proteção de um servidor membro do domínio, veja:

Para mais informações sobre proteção de um computador com Windows Server 2003, veja:

Para mais informações sobre o Windows Server 2003 Domain Name System (DNS), veja:

Para definições de termos relacionados a segurança, veja:

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2014 Microsoft