Archive

Archive for the ‘Windows 2008’ Category

Fazer backup da GPO

August 18th, 2011 No comments

Introdução
Nesse procedimento iremos mostrar como se faz um backup em uma GPO.

Fazendo Backup na GPO

Antes de começar crie uma pasta na unidade c:\ chamada bkp_gpo.

1.inicie o GPMC do grupo de programa Administrative Tools

2.Expanda Forest\Domains\msitpro.com.br\Group Policy Objects

3.Clique com botão direito do mouse em Group Policy Objects e Selecione Backup All

4.Digite a localização com C:\bkp_gpo ou utilize o browse para localizar a pasta.

5.Digite uma descrição, nesse caso, backup GPO, clique em backup Up.
A ferramenta de backup GPO mostrará o processo do backup

6.Clique em Ok, depois de o backup ser concluído.

7.Faça backup da para bkp_gpo.

Nota:Você pode contar com essa pasta para copiar as GPOs de um dominio para o outro se quiser.Realize essa operação pelo menos uma vez por semana.

Até a próxima,

Flavio Honda

http:\\flaviohonda.wordpress.com

Share

Post to Twitter

Configurar auditoria dos eventos de logon de conta

August 17th, 2011 No comments

Objetivo:Iremos utilizar as diretivas de grupo (GPO) para habilitar a auditoria das atividades de logon dos usuarios do dominio msitpro.com.br

1. Abra o console Group Policy Management
2. Expanda Forest\Domains\Msitpro.com.br\Domain Controllers
3. CLique com o botão direito do mouse em Default Domain Controllers Policy e selecione Edit.
4.Expanda Computer Configuration\Policies\Windows em Settings\Security Settings\local policies e então selecione Audit Policy.
5.Clique duas vezes em Audit Account Logon Events.
6.Marque a caixa de seleção Define these Policy Settings.
7.Marque ambas as  caixas de seleção Success e Failure.Clique em Ok.  Neste caso estaremos fazendo auditoria dos logons bem sucedidos e os que falharem também.
8.Clique em Audit logon Events.
9.Marque a caixa de seleção Define these Policy Settings;
10.Marque ambas as  caixas de seleção Success e Failure.Clique em Ok.
11. Feche o console Group Policy Management Editor.
12.Clique em Start e clique em command Prompt.
13.Digite gpupdate.exe /forceAssim depois desse comando o servidor irá atualizar todas as diretivas, e nesse momento as novas configurações de auditoria entram em vigor.

Nota: Para verificar se auditoria está funcionando corretamente, faça logoff e após faça um logon, verifique no Event Viewer\windows Logs\Security e identifique que o evento de logon de conta estará registrado.

Até a próxima

Flavio Honda

http://flaviohonda.wordpress.com
Share

Post to Twitter

Criar objeto de configuração de senha PSO

August 17th, 2011 No comments

Introdução

Para quem não sabe o que é o PSO se trata de um novo recurso do windows server 2008, mais conhecido como diretiva refinada de senha. Nas versões anteriores do windows server, só poderia aplicar uma diretiva única ao domínio, caso você precisa-se aplicar a um grupo especifico uma diretiva de senha, você não podia, o novo recurso PSO agora você pode aplicar essa diretiva segua abaixo a diretiva no grupo msitpro. Lembrando que o nível funcional do domínio tem que ser no mínimo Windows Server 2008
Objetivo: Iremos criar um PSO que aplica uma diretiva de senha refinada a um grupo de usuarios chamado msitpro.1- Abra o ADSI Edit
2- Clique com o botão direito do mouse em ADSI edit e escolha connect To
3- Na caixa name digite o nome do dominio no nosso caso msitpro.com.br.Clique em Ok.
4-Expanda msitpro.com.br e selecione DC=msitpro,DC=com,DC=br.
5-Expanda DC=msitpro,DC=com,DC=br e selecione CN=System.
6-Expanda CN=System e selecione CN= Password Settings Container
7-Clique com o botão direito do mouse no PSC, escolha new e então seçecione Object.
Ele irá solicitar o tipo do objeto a ser criado só apenas uma opção msDS-PasswordSettings
8-Clique em Next
Vocé é solicitado a informar o valor dos atributos de um PSO.
9-Configure cada atributo com indicado com seug a lista:
-nome comum: MSITPRO PSO. Nome amigavel da PSO
-msDs-PasswordSettingsPrecedence:1 Esse PSO tem precedência mais alta possivel.
-msDs-PasswordReversibleEncryptionEnabled:False A senha não é armazenada
-msDs-PasswordHistoryLength:30 O usuario não pode reutilizar nenhuma das 30 ultimas senhas
-msDs-PasswordComplexityEnabled:True Regras de complexidade de senhas são impostas
-msDs-MinimumPasswordLength:15.As senhas devem ter um tamanho mínimo de 15 caracteres
-msDs-MinimumPasswordAge:1:00:00:00. Um usuario só pode alterar a senha depois de um dia a partir da ultima modificação.
-MaximumPasswordAge:45:00:00:00. A senha deve ser alterada a cada 45 dias
-msDs-LockoutThreshold:5. Cinco logon invalidos dentro do intervalo de tempo, especificado por XXX resultarão no bloqueio da conta
-msDs-LockoutObservationWindow: 0:01:00:00. cinco logon invalidos especificado pelo bloqueio anterior, no periodo de tempo de 1 hora resultarão no bloqueio da conta
-msDs-LockoutDuration: 1:00:00:00. uma conta, se bloqueada permanecerá bloqueada por um dia ou até que ela seja desbloqueada manualmente. Um valor zero fará com que a conta permaneça bloqueada até que um administrador a desbloquei.

Os atributos listados são os requeridos . Depois de clicar em Next na pagina do atributo -msDs-LockoutDuration, você será capaz de configurar o atributo opcional.
10.Clique bi bitão Mire Attributes.
11. Na caixa Edit Attibutes, digite CN=msitpro,CN=Users, DC=msitpro,DC=com,DC=br  e clique em ok.
Clique em concluir.

Nota: A diretiva de senha foi aplica somente ao grupo especifico msitpro não afetando as diretivas do domínio.

Flavio Honda

http://flaviohonda.wordpress.com

Share

Post to Twitter

Criando contas de usuários com o Windows PowerShell no Windows Server 2008

August 10th, 2011 No comments

Objetivo: Automatizar a criação de contas de usuários no Windows Server 2008 pelo Windows PowerShell

1. Vá em iniciar e abra o Windows PowerShell

2. Conecte-se a OU CPD(Coloque a OU que você preferir no meu caso estou trabalhando com a ou CPD) e digite o comando:
$objOU=[ADSI]“LDAP://OU=CPD,DC=microsoft,DC=com”

3. Crie um usuário na OU digitando o comando:
$objUser=$objOU.Create(“user”,”CN=Flavio Honda”)

4. Informe o atributo obrigatório, o  nome de logon pré-Windows 2000 do usuário, digitando o comando:
$objUser.Put(“sAMAccountName”,”flavio.honda”)

5. Confirme as modificações no Active Directory digitando o comando:
$objUser.SetInfo()

6. Confirme se o objeto foi criado digitando o comando:
$objUser.distinguishedName

O nome Distinto do usuário deve ser retornado.

7. Examine os atributos do usuário que o o Active Directory configurou automaticamente digitando o comando:
$objUser | get-member

Esse comando conecta o objeto que representa o usuário ao cmdlet Get-Member, que enumera os atributos preenchidos.

Até a proxima,

Flavio Honda

http://flaviohonda.wordpress.com

Share

Post to Twitter

Automatizando criação dos usuários com VBScript no Windows Server 2008

August 4th, 2011 No comments

Objetivo: Automatizar a criação de usuários utilizando o script do VBScript

1. Abra o notepad

2. Digite as seguintes linhas de códigos para criação do usuário:

Set objOU=GetObject(“LDAP://OU=CPD,DC=microsoft,DC=com”)
Set objUser=objOU.Create(“user”,”CN=Flavio Honda”)
objUser.Set.Put “sAMAccountName”,”flavio.honda”
objUser.SetInfo()

3.Agora salve oscript na sua pasta Documents como “Newuser.vbs”, incluindo as aspas para que o notepad não adicione uma extensão .txt.

4. Abra o prompt de comando.

5. Digite:
cd %userprofile%\documents e pressione enter

6. Execute o script digitando cscript.exe newuser.vbs

7. Confirme se o usuário foi criado com sucesso no Active directory.

Até a proxima,

Flavio Honda
http://flaviohonda.wordpress.com

Share

Post to Twitter

Renomeando arquivos com data/hora

August 2nd, 2011 2 comments

Não sei se todos sabem mas executando .bat o prompt não entende o que é a “/” e “:”, por isso vamos usar as variareis abaixo:

%time%
%date%

Sempre vamos pegar a hora e data local do computador que será executado o script.

Nome meu caso a Data aparece da seguinte forma.
Data atual: 10/03/2010

Para visualizar o formato da sua data, entre no prompt e digite “echo %date%” sem as aspas.

Vamos pegar como exemplo o arquivo “Teste.txt” e Renomear para a Data atual, veja o exemplo abaixo.

ren Teste.txt %date:~0,2%%date:~3,2%%date:~6,4%.txt

O arquivo será renomeado para 10032010.txt

%date:~0,2% = Aqui estou falando para o script utilizar 2 caracteres a partir da posição 0
%date:~3,2% = Aqui estou falando para o script utilizar 2 caracteres a partir da posição 3
%date:~6,4% = Aqui estou falando para o script utilizar 4 caracteres a partir da posição 6

A mesma coisa fazemos com a variável %time$, primeiro vamos ver o formato da hora, execute:

echo %time%
15:42:28,24

Vamos pegar como exemplo novamente o arquivo Teste.txt.

Digitem:
Neste caso só quero pegar “15:42″ os demais vou descartar

ren teste.txt %time:~0,2%%time:~3,2%.txt

O arquivo teste será renomeado para o 1542.txt

Agora vamos incrementar, usaremos o arquivo teste.txt novamente e renomearemos com a data e hora.

ren teste.txt %date:~0,2%%date:~3,2%%date:~6,4%%time:~0,2%%time:~3,2%.txt

100320101548.txt

Espero que tenha ajudado o pessoal que tem duvidas em desenvolver script .bat para renomear arquivo no formato de data/hora.

 

Erick Albuquerque | Microsoft MVP
MVP Profile | Twitter| Linkedin | http://iisbrasil.wordpress.com

Share

Post to Twitter

Concedendo permissões para usuário restrito em serviços do Windows

July 28th, 2011 No comments

Neste artigo o colunista Erick Albuquerque irá mostrar como definir permissão para um determinado serviço no Windows 2008.

Muitas vezes enfrentamos situações que não queremos deixar o um serviço com a conta de Administrator Local e/ou outros.
Neste artigo vamos falar sobre permissões em serviços do Windows.

Cenário: Usuário Lab, está no grupo Domain Users e no grupo local Remote Desktop Users, para acesso remoto.
O usuário LAB não possui permissão para fazer exatamente nada que esteja fora do seu perfil, como exemplo iremos pegar o Service.Lab, quando o usuário Lab acessa o services.msc e tenta manipular o serviço “Service.Lab” ele nota que não possui permissão nem mesmo para fazer um stop/start no serviço.

Muitos administradores de redes simplesmente acrescentam o usuário no grupo local de Administrators pensando que irão resolver o problema, que na verdade irão, mas podem causar muitos problemas no futuros.

Ex: Vírus, deleção acidental e entre outros.

1. Primeiro passo é descobrir quais permissões o nosso serviço possui, pois na hora de definir as permissões para o usuário teremos que manter a antiga.

2. Iniciar > Executar > cmd > OK

3. Lembrando que é necessário executar o CMD como Administrator.

4. Digite: sc sdshow “nome do serviço”.

A saída do comando será algo parecido com isso:

D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCR
RC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

Essas são as permissões que o serviço já possui.

Vamos pegar esse trecho “D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)” para entender como funciona a nomenclatura das permissões.

D: – Discretionary ACL (DACL), Controle de permissões.
A:- Allow – Aqui você passa parâmetros que está liberando as permissões de controle e de grupos/usuários.
CCLCSWRPWPDTLOCRRC= São as permissões que está liberado para o usuário trabalhar com o serviço. Ex: stop/start do serviço.

CC – SERVICE_QUERY_CONFIG – ask the SCM for the service’s current configuration
DC – Delete All Child Objects
LC – SERVICE_QUERY_STATUS – ask the SCM for the service’s current status
SW – SERVICE_ENUMERATE_DEPENDENTS – list dependent services
RP – Read all properties
WP – SERVICE_STOP – stop the service
DT – SERVICE_PAUSE_CONTINUE – pause / continue the service
LO – SERVICE_INTERROGATE – ask the service its current status
CR – SERVICE_USER_DEFINED_CONTROL – send a service control defined by the service’s authors
SD – Delete
RC – READ_CONTROL – read the security descriptor on this service.
WD – Modify permissions
WO – Modify owner
BA- Built-in administrators

Abaixo algumas siglas nos quais podemos usar para dar permissão por grupo:

“AO” Account operators
“RU” Alias to allow previous Windows 2000
“AN” Anonymous logon
“AU” Authenticated users
“BA” Built-in administrators
“BG” Built-in guests
“BO” Backup operators
“BU” Built-in users
“CA” Certificate server administrators
“CG” Creator group
“CO” Creator owner
“DA” Domain administrators
“DC” Domain computers
“DD” Domain controllers
“DG” Domain guests
“DU” Domain users
“EA” Enterprise administrators
“ED” Enterprise domain controllers
“WD” Everyone
“PA” Group Policy administrators
“IU” Interactively logged-on user
“LA” Local administrator
“LG” Local guest
“LS” Local service account
“SY” Local system
“NU” Network logon user
“NO” Network configuration operators
“NS” Network service account
“PO” Printer operators
“PS” Personal self
“PU” Power users
“RS” RAS servers group
“RD” Terminal server users
“RE” Replicator
“RC” Restricted code
“SA” Schema administrators
“SO” Server operators
“SU” Service logon user

Lembrando que podemos ser mais restritivo e dar a permissão por SID do usuário.

Para pegar o SID de um usuário use o comando dsget em seu Active Directory:
Exp: dsget user “CN=Lab,OU=Users,DC=lab,DC=local” –sid

5. Agora vamos setar a permissão apenas para o usuário Lab

Sintaxe: sc sdget “nome do serviço” <permissões>
Sc sdget “Service.Lab” D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCR
RC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

Notem que estamos mantendo as permissões antigas e agora iremos dar a permissão para o usuário Lab.

Sc sdget “Service.Lab” D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCR
RC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD) (A;;CCLCSWRPWPDTLOCRRC;;; S-1-5-21-1607579371-585640051-1745129182-1147)

Executado com sucesso.
Agora peça para o usuário entrar no servidor e tentar manipular o serviço.

Lembrando que este procedimento serve para outros serviços do Windows.

Até a próxima.

Conclusão

Neste artigo aprendemos a dar permissões para serviços do Windows sendo que o usuário não possui nenhum outro tipo de permissão que não seja Domain Users.

Post original: http://erickalbuquerque.com.br/?p=211

Erick Albuquerque | Microsoft MVP
MVP Profile | Twitter | Linkedin | http://iisbrasil.wordpress.com

 

Share

Post to Twitter

Contadores para monitoramento de desempenho do Domain Controler

July 28th, 2011 No comments

Aplica-se em: Windows Server 2008 e Windows Server 2008 R2

Abaixo alguns contadores para monitoramento de desempenho de Replicação, autenticação e banco de dados no Domain Controler.

Post original: http://erickalbuquerque.com.br/?p=214

 

Erick Albuquerque | Microsoft MVP
MVP Profile | Twitter | Linkedin | http://iisbrasil.wordpress.com

Share

Post to Twitter

Configurando mais de um endereço de IP a uma conexão de rede.

July 28th, 2011 No comments

Introdução

Pode surgir a necessidade de se ter mais de um endereço de IP configurado em uma única conexão de rede. Um dos motivos para se ter vários endereços de IP em uma única placa de rede é no caso de um firewall, você possui um range de IP validos e precisa configurar todos eles em uma única conexão de rede.

 

Objetivo

O objetivo deste tutorial é mostrar como se configura vários endereços de IP em uma única conexão de rede.

 

Como fazer

O primeiro passo é acessar as propriedades da conexão de rede e nessa tela você deve selecionar a opção “Protocolo TCP/IP Versão 4 (TCP/IPv4)” e clicar em “Propriedades”.

image

Você só terá a opção de atribuir mais de um endereço de IP a uma conexão de rede caso essa conexão esteja configurada com IP fixo. Na tela das propriedade do “Protocolo TCP/IP Versão 4 (TCP/IPv4)” e clicar em “Avançado…”

image

Nas configurações avançadas você tem na seção “Endereços IP” nessa seção você tem o botão “Adicionar…” clique nele para adicionar um novo endereço de IP.

image

Na tela “Endereço TCP/IP” você deve informar o endereço IP e Máscara de sub-rede a ser adicionado. Após fornecer as informações clique em “Adicionar”.

image

Você já poderá ver o novo endereço de IP adicionado a essa conexão de rede.

image

Nas configurações avançadas de TCP/IP você pode adicionar também Gateways e servidores DNS para a conexão de rede.

Share

Post to Twitter

Windows Server 2008: Server Manager

July 28th, 2011 No comments

O Server Manager é um novo recurso incluído no Windows Server 2008. Sua função é auxiliar os administradores de TI no processo de instalação, configuração e gerenciamento de funções de servidor e de recursos que fazem parte do Windows Server 2008. O Server Manager substitui e consolida uma variedade de recursos do Microsoft Windows Server 2003, como o Gerenciar o Servidor, Configurar o Servidor, e Adicionar ou Remover Componentes do Windows.

É possível utilizar o Server Manager para configurar diversas "funções" e "recursos" em sua máquina. No Windows Server 2008, uma função de servidor descreve a função principal (primária) do servidor. Os administradores podem optar por dedicar um servidor inteiro a uma função ou instalar múltiplas funções de servidor em um único computador. Por exemplo, as funções DHCP (Dynamic Host Configuration Protocol) e DNS (Domain Name System) poderiam ser instaladas juntas em um servidor. Geralmente, um recurso de servidor não descreve a função primária do servidor. Em vez disso, ele descreve uma função auxiliar ou de suporte do servidor. Por exemplo, o Clustering Failover é um recurso que podem ser escolhidos pelos administradores para serem instalados depois de instalar funções específicas, como a File Server, a fim de tornar a função File Server mais redundante.

A Experiência do Server Manager

O Server Manager contém uma interface gráfica e ferramentas de linha de comando que permitem instalar, configurar e gerenciar, de forma eficiente, as funções e os recursos do Windows Server 2008.

  • Concluir a instalação e a configuração inicial utilizando o ICT (Initial Configuration Tasks)
    O ICT guia você nos procedimentos necessários para concluir a instalação e a configuração inicial de um novo servidor, como especificar a senha de administrador, e o nome do computador, associar a máquina a um domínio e habilitar o Windows Update e as funções de servidor. O ICT substitui o recurso Post-Setup Security Updates apresentado no Windows Server 2003 Service Pack 1 (SP1). Ele também estende a funcionalidade do Post-Setup Security Updates, guiando você por todas as tarefas que devem ser concluídas para configurar um novo servidor e não somente pelas tarefas relacionadas à segurança.

  • Adicionar e configurar novas funções ou remover funções instaladas
    O Add/Remove Role Wizard (Assistente para Adicionar/Remover Função) permite que você adicione e configure uma ou mais funções ou ainda remova as funções atualmente instaladas. Toda função deve incluir um ou mais serviços de função ou, opcionalmente, elementos da função que podem ser instalados. Por exemplo, é possível selecionar a função Serviços de Terminal e depois selecionar o serviço de função TS Gateway para a instalação, utilizando o Add Role Wizard (Assistente para Adicionar Função). Navegue pelas páginas do assistente e selecione as opções de configuração mais adequadas as suas necessidades. Depois de instalar o TS Gateway, será possível removê-lo, utilizando o Remove Role Wizard (Assistente para Remover Função).

  • Adicionar novos recursos ou remover recursos instalados
    O Add/Remove Feature Wizard (Assistente para Adicionar/Remover Recurso) permite que você adicione um ou mais recursos ou ainda remova os recursos atualmente instalados. Diferente das funções, os recursos não podem ser configurados com a utilização do Add Feature Wizard. Abra o Add Feature Wizard (Assistente para Adicionar Recurso) a fim de visualizar a lista completa de recursos, incluindo o RSAT (Remote Server Administration Tools), e depois selecione o recurso Clustering Failover para a instalação.

  • Visualizar o status de funções instaladas e executar tarefas de gerenciamento relacionadas
    O Server Manager Console (Server Manager) fornece uma visualização consolidada do servidor, incluindo informações de configuração de servidor; status das funções e recursos instalados e links para adicionar e remover funções de servidor, serviços e recursos. As ferramentas de gerenciamento para as funções e recursos instalados também são armazenadas no Server Manager para que seja possível acessar todas as ferramentas de gerenciamento em um único local. O Server Manager ajuda a melhorar a produtividade de forma que você possa gastar menos tempo com a implantação, o gerenciamento e a manutenção de sua infra-estrutura e gastar mais tempo utilizando os novos recursos a fim de agregar valor aos negócios. Depois de instalar o TS Gateway, abra o Server Manager e navegue pela página inicial da função Serviços de Terminal para visualizar listas de eventos, serviços, recursos e itens de suporte relacionados à função. Você também pode navegar pelo snap-in de gerenciamento TS Gateway para executar ações adicionais de configuração.

  • Utilizar a linha de comando ou scripts para instalar funções e recursos
    Servermanagercmd é uma ferramenta de linha de comando que permite instalar e remover funções e recursos a partir do avilso de linha de comando ou por meio de scripts. Ele também permite consultar o servidor a fim de obter uma lista com as funções e os recursos disponíveis, como também com aqueles que estão atualmente instalados no servidor.

http://www.microsoft.com/brasil/servidores/windowsserver2008/servermanagement.mspx

Share

Post to Twitter

Categories: Windows 2008, Windows 2008 R2 Tags: