Windows Server 2003: Conceitos básicos

Sistema de ficheiros
Permissões Vs. Direitos dos utilizadores
Utilizadores e Grupos
Políticas de grupo
Perfil de utilizador

Sistema de Ficheiros

NTFS
ACL

NTFS

É o sistema de ficheiros (NT File System) nativo dos sistemas Windows NT, Windows 2000 e Windows Server 2003.

Tal como os sistemas de ficheiros ext2 (do Linux), mas contrariamente ao FAT (aplicado nas versões mais "leves" do Windows), fornece segurança, fiabilidade e performance. Fornece entre outras capacidades:

Recuperação da consistência do sistema através do log de actividade;
Definição de permissões sobre ficheiros e directórios;
Quotas;
Cifragem;
Compressão.

ACLs

Cada ficheiro ou directório em NTFS tem uma DACL (Descritionary Access Control List) associada, vulgarmente denominada ACL.

Existe uma outra lista, denominada SACL (System Access Control List), que define quais os eventos que o utilizador ou grupo está autorizado a auditar.

Nesta lista são definidos as permissões que utilizadores ou grupos têm acesso ao ficheiro bem como os tipos de acesso que cada um tem. Cada utilizador ou grupo é identificado na lista através do SID (Security IDentifier).

Utilizadores e Grupos

Existem três tipos de contas (accounts):

de Utilizadores, que contém toda a informação referente a um utilizador do domínio, nomeadamente:
- nome;
- password;
- grupos a que pertence no domínio,
- localização de perfil de utilziador;
- localização de My Documents;
- ...
de Computadores, que guarda a informação necessária para identificar univocamente um computador no domínio;
de Grupos de utilizadores, são grupos de utiliziadores.

Permissões e directos de utilizador deve ser prioritariamente associados a grupos de utilizadores, com todas as vantagens que daí advêm.

Existem dois tipos de grupos de utilizadores:

Grupos de distribuição
- não podem ser usados na atribuição de permissões de acessos e controlo sobre recursos;
- são usados como listas de distribuição de e-mail;
Grupos de segurança:
- são usados na atribuição de permissões e direitos dos utilizadores;
- também podem ser usados como listas de distribuição de e-mail.

Permissões Vs. Direitos dos utilizadores

Permissões são diferentes de Direitos dos utilizadores ou grupos.

Permissões

Permissões são direitos de acesso que os utilizadores ou grupos têm de sobre determinado objecto ou recurso. Permissões são definidas no objecto ou recurso.

Esta tabela define as permissões possíveis sobre os objectos, nomeadamente objectos do sistema de ficheiros.

Direitos dos utilizadores

Direitos dos utilizadores (user rights) são associadas às contas dos utilizadores ou de grupos de utilizadores, que são herdados pelos utilizadores que fazem parte dos grupos.

Existem dois tipos de direitos:

Privilégios, que associam ao utilizador a possibilidade de realizar determinada operação sobre grupos ou tipos de objectos no sistema:
- Adicionar workstations (clientes) ao domínio;
- Desligar o sistema;
- Backup de ficheiros e directórios;
- (...)
Direitos de login, que determinam as formas permitidas a um utilizador ou grupo de fazer login no sistema:
- Login local permitido;
- Login local recusado;
- Login como serviço;
- Login remoto;
- (...)

Políticas de grupo

A aplicação de políticas de grupo (group policies) permite gerir grupos de utilizadores e computadores de forma centralizada (através do Active Directory) no que respeita a configuração de (entre outras):

segurança
dados (localização de home, profile, etc.)
scripting (startup, shutdown, login, logout);
instalação de software;
interface (GUI)
aplicações

Sempre que determinada entidade, i.e. computador ou utilizador, arranca ou entra num computador, as restrições definidas pelas políticas de grupo são lidas do Active Directory e impostas à entidade.
Por exemplo, a política de grupo pode impôr que todos os utilizador do domínio devem ter uma determinada imagem de fundo. Assim, sempre que um utilziador do domínio fizer login, a tal imagem é definida como imagem de fundo do seu ambiente de trabalho.

As políticas de grupo podem ser definidas para diferentes tipos de entidades reconhecidas pelo Active Directory, nomeadamente domínio, sites, unidades Organizacionais (Organizational Units, OU), computadores locais. Note-se que mais do que uma política de grupo pode ser definida para a mesma entidade e que as políticas de grupo definidas para domínio são herdadas pelas unidades organizacionais e pelos computadores locais, bem como as políticas de grupo definidas para as unidades organizacionais são herdadas pelos computadores locais.

Assim, podem ser várias as políticas de grupo a que um computador ou utilizador está sujeito, sendo que podem ocorrer conflitos e contradições entre essas políticas. Para resolve esses casos, foi definida uma lógica de precedências entre políticas de grupos definidas para as diferentes entidades. Assim, é definida a seguinte ordem descrescente de precedências:

Unidades organizacionais;
Domínio;
Site;
Computadores local.

Complementarmente, para cada uma das unidades, as várias políticas de grupo são ordenadas pelo seu grau de precedência. No entanto, a "herança" pode ser bloqueada.

Perfil de utilizador

Perfil de utilizador corresponde à informação associada ao utilizador.
Nomeadamente:

Application data;
Cookies;
Desktop;
Favorites;
Local settings;
My Documents;
My Recent Documents;
NetHood;
PrintHood;
SendTo;
Start Menu;
Templates.

Existem quatro tipos de perfil de utilizador:

Local profile, é um perfil do utilizador disponível apenas na máquina em que é guardado;
Roaming profile, é um perfil que é guardado no servidor e que está disponível em qualquer máquina que utilizador faça login. As actualizações do perfil são feitas no servidor, estando portanto acessíveis globalmente;
Mandatory roaming profile, é um "roaming profile" associado a determinados utilizadores ou grupos, mas cujas actualizações não são guardadas;
Temporary profile, é um perfil criado no momento em que o um dos outros tipos de perfil não está acessível e que é apagado assim que o utilizador faz logout.

Última actualização: 2005-12-15