Apêndice B: configuração do ambiente de teste
Este tópico descreve as etapas para criar um laboratório prático para testar o Controle de Acesso Dinâmico. As instruções devem ser seguidas na ordem apresentada, pois muitos componentes dependem de outros.
Pré-requisitos
Requisitos de hardware e software
Requisitos de configuração do laboratório de teste:
Um servidor host executando o Windows Server 2008 R2 com SP1 e Hyper-V
Uma cópia do Windows Server 2012 ISO
Uma cópia do Windows Server 8 ISO
Microsoft Office 2010
Um servidor executando Microsoft Exchange Server 2003 ou posterior
Você precisará criar as seguintes máquinas virtuais para testar os cenários de Controle de Acesso Dinâmico:
DC1 (controlador de domínio)
DC2 (controlador de domínio)
FILE1 (servidor de arquivos e Active Directory Rights Management Services)
SRV1 (servidor POP3 e SMTP)
CLIENT1 (computador cliente com Microsoft Outlook)
As senhas das máquinas virtuais deverão ser as seguintes:
BUILTIN\Administrator: pass@word1
Contoso\Administrator: pass@word1
Todas as outras contas: pass@word1
Criar as máquinas virtuais do laboratório de teste
Instalar a função Hyper-V
É necessário instalar a função Hyper-V em um computador que executa o Windows Server 2008 R2 com SP1.
Para instalar a função Hyper-V
Clique em Iniciar e, em seguida, em Gerenciador do Servidor.
Na área Resumo das Funções da janela principal do Gerenciador do Servidor, clique em Adicionar Funções.
Na página Selecionar Funções do Servidor, clique em Hyper-V.
Na página Criar Redes Virtuais, clique em um ou mais adaptadores de rede se desejar disponibilizar sua conexão de rede para as máquinas virtuais.
Na página Confirmar Seleções de Instalação, clique em Instalar.
O computador deverá ser reinicializado para concluir a instalação. Clique em Fechar para encerrar o assistente e em Sim para reiniciar o computador.
Depois de reiniciar o computador, entre com a mesma conta usada para instalar a função. Depois que o Assistente para Continuar Configuração concluir a instalação, clique em Fechar para encerrar o assistente.
Criar uma rede virtual interna
Agora você criará uma rede virtual interna chamada ID_AD_Network.
Para criar uma rede virtual
Abra o Gerenciador do Hyper-V.
No menu Ações, clique em Gerenciador de Rede Virtual.
Em Criar rede virtual, selecione Interna.
Clique em Adicionar. A página Nova Rede Virtual é exibida.
Digite ID_AD_Network para o nome da nova rede. Analise as outras propriedades e modifique-as se necessário.
Clique em OK para criar a rede virtual e feche o Gerenciador de Rede Virtual, ou clique em Aplicar para criar a rede virtual e continuar a usar o Gerenciador de Rede Virtual.
Criar o controlador de domínio
Crie uma máquina virtual para ser usada como o controlador de domínio (DC1). Instale a máquina virtual usando o Windows Server 2012 ISO e nomeie-a como DC1.
Para instalar os Serviços de Domínio Active Directory
Conecte a máquina virtual à ID_AD_Network. Entre no DC1 como Administrador com a senha pass@word1.
No Gerenciador do Servidor, clique em Gerenciar e depois em Adicionar Funções e Recursos.
Na página Antes de começar , clique em Avançar.
Na página Selecionar tipo de instalação, clique em Instalação baseada em função ou recurso e depois em Avançar.
Na página Selecionar servidor de destino, clique em Avançar.
Na página Selecionar funções de servidor, clique em Serviços de Domínio Active Directory. Na caixa de diálogo Assistente de Adição de Funções e Recursos, clique em Adicionar Recursos e em Avançar.
Na página Selecionar recursos, clique em Avançar.
Na página Serviços de Domínio Active Directory, revise as informações e clique em Avançar.
Na página Confirmar seleções de instalação, clique em Instalar. A barra de progresso de instalação do recurso na página Resultados indica que a função está sendo instalada.
Na página Resultados, confirme se a instalação foi concluída com êxito e clique em Fechar. No Gerenciador do Servidor, clique no ícone de aviso com o ponto de exclamação no canto superior direito da tela, ao lado de Gerenciar. Na lista de Tarefas, clique no link Promover este servidor a um controlador de domínio.
Na página Configuração de implantação, clique em Adicionar nova floresta, digite o nome do domínio raiz contoso.com e clique em Avançar.
Na página Opções do Controlador de Domínio, selecione o domínio e os níveis funcionais de floresta como Windows Server 2012, especifique a senha do DSRM pass@word1 e clique em Avançar.
Na página Opções de DNS, clique em Avançar.
Na página Opções Adicionais, clique em Avançar.
Na página Caminhos, digite os locais do banco de dados Active Directory, dos arquivos de log e da pasta SYSVOL (ou aceite os locais padrão) e clique em Avançar.
Na página Opções de Revisão, confirme suas seleções e clique em Avançar.
Na página Verificação de Pré-requisitos, confirme se a validação foi concluída e clique em Instalar.
Na página Resultados, verifique se o servidor foi configurado com êxito como controlador de domínio e clique em Fechar.
Reinicie o servidor para concluir a instalação do AD DS. (Isso ocorre automaticamente por padrão.)
Crie os seguintes usuários usando o Centro Administrativo do Active Directory.
Criar os usuários e grupos no DC1
Entre em contoso.com como Administrador. Inicie o Centro Administrativo do Active Directory.
Crie os seguintes grupos de segurança:
Nome do Grupo Endereço de Email FinanceAdmin financeadmin@contoso.com FinanceException financeexception@contoso.com Crie a seguinte unidade organizacional:
Nome da OU Computadores FileServerOU FILE1 Crie os usuários a seguir com os atributos indicados:
Usuário Nome de Usuário Endereço de email department Agrupar País/Região Myriam Delesalle MDelesalle MDelesalle@contoso.com Finance EUA Miles Reid MReid MReid@contoso.com Finance FinanceAdmin EUA Esther Valle EValle EValle@contoso.com Operations FinanceException EUA Maira Wenzel MWenzel MWenzel@contoso.com HR EUA Jeff Low JLow JLow@contoso.com HR EUA Servidor RMS rms rms@contoso.com Para obter mais informações sobre como criar grupos de segurança, consulte Criar um novo grupo no site do Windows Server.
Para criar um Objeto de Política de Grupo
Mova o cursor para o canto superior direito da tela e clique no ícone de pesquisa. Na caixa Pesquisar, digite gerenciamento de política de grupo e clique em Gerenciamento de Política de Grupo.
Expanda Floresta: contoso.com e depois Domínios, navegue para contoso.com, expanda (contoso.com) e selecione FileServerOU. Clique com o botão direito do mouse em Criar um GPO neste domínio e vincular ele aqui
Digite um nome descritivo para o GPO, como GPOdeAcessoFlexível e depois clique em OK.
Para habilitar o Controle de Acesso Dinâmico para contoso.com
No Console de Gerenciamento de Política de Grupo, clique em contoso.com e clique duas vezes em Controladores de Domínio.
Clique com o botão direito do mouse em Política de Controladores de Domínio Padrão e depois em Editar.
Na janela Editor de Gerenciamento de Política de Grupo, clique duas vezes em Configuração do Computador, duas vezes em Políticas, duas vezes em Modelos Administrativos, duas vezes em Sistema e, por fim, duas vezes em KDC.
Clique duas vezes em Suporte KDC para declarações, autenticação composta e proteção Kerberos e marque a opção ao lado de Habilitado. É necessário habilitar esta configuração para usar as Políticas de Acesso Central.
Abra um prompt de comandos com privilégios elevados e execute o seguinte comando:
gpupdate /force
Criar o servidor de arquivos e o servidor AD RMS (FILE1)
Crie uma máquina virtual com o nome FILE1 no Windows Server 2012 ISO.
Conecte a máquina virtual à ID_AD_Network.
Associe a máquina virtual ao domínio contoso.com e entre no FILE1 como contoso\administrator usando a senha pass@word1.
Instalar o Gerenciador de Recursos de Serviços de Arquivos
Para instalar a função Serviços de Arquivos e o Gerenciador de Recursos de Servidor de Arquivos
No Gerenciador do Servidor, clique em Adicionar Funções e Recursos.
Na página Antes de começar , clique em Avançar.
Na página Selecionar tipo de instalação, clique em Avançar.
Na página Selecionar servidor de destino, clique em Avançar.
Na página Selecionar Funções de Servidor, expanda Serviços de Arquivo e Armazenamento, marque a caixa de seleção ao lado de Serviços de Arquivo e iSCSI, expanda e selecione Gerenciador de Recursos do Servidor de Arquivos.
No Assistente de Adição de Funções e Recursos, clique em Adicionar Recursos e em Avançar.
Na página Selecionar recursos, clique em Avançar.
Na página Confirmar seleções de instalação, clique em Instalar.
Na página Progresso da instalação, clique em Fechar.
Instalar os Pacotes de Filtro do Microsoft Office no servidor de arquivos
Você deverá instalar o Microsoft Office Filter Pack no Windows Server 2012 para habilitar IFilters para uma maior gama de arquivos do Office do que o oferecido por padrão. O Windows Server 2012 não possui nenhum IFilter para os Arquivos do Microsoft Office instalados por padrão, e a infraestrutura de classificação de arquivos usa IFilters para realizar análise de conteúdo.
Para baixar e instalar os IFilters, consulte Pacotes de Filtros do Microsoft Office 2010.
Configurar as notificações de email no FILE1
Ao criar cotas e telas de arquivo, você tem a opção de enviar notificações por email para os usuários quando o seu limite de cota está se aproximando ou depois que eles tentaram salvar arquivos que foram bloqueados. Se você deseja notificar rotineiramente certos administradores sobre os eventos de cotas e triagem de arquivos, configure um ou mais destinatários padrão. Para enviar essas notificações, é necessário especificar o servidor SMTP usado para encaminhamento de mensagens de email.
Para configurar as opções de email no Gerenciador de Recursos de Servidor de Arquivos
Abra o Gerenciador de Recursos de Servidor de Arquivos. Para abrir o Gerenciador de Recursos de Servidor de Arquivos, clique em Iniciar, digite gerenciador de recursos do servidor de arquivos e clique em Gerenciador de Recursos do Servidor de Arquivos.
Na interface do Gerenciador de Recursos de Servidor de Arquivos, clique com o botão direito do mouse em Gerenciador de Recursos de Servidor de Arquivos e depois em Configurar opções. A caixa de diálogo Opções do Gerenciador de Recursos de Servidor de Arquivos é aberta.
Na guia Notificações por Email, no nome do servidor SMTP ou endereço IP, digite o nome do host ou o endereço IP do servidor SMTP para encaminhar as notificações por email.
Se você quiser notificar rotineiramente certos administradores sobre os eventos de cota e triagem de arquivo, em Destinatários padrão do administrador, digite os respectivos endereços de email, como fileadmin@contoso.com. Use o formato conta@domínio e use ponto e vírgula para separar várias contas.
Criar grupos no FILE1
Para criar grupos de segurança no FILE1
Entre no FILE1 como contoso\administrator com a senha: pass@word1.
Adicione NT AUTHORITY\Authenticated Users ao grupo WinRMRemoteWMIUsers__ .
Criar arquivos e pastas no FILE1
Crie um novo volume NTFS no FILE1 e depois crie a seguinte pasta: D:\Documentos Financeiros.
Crie os arquivos a seguir com os detalhes especificados:
Memorando financeiro.docx: Acrescente algum texto referente a finanças no documento. Por exemplo: "as regras de negócios sobre quem pode acessar documentos financeiros foram alteradas. Documentos financeiros agora somente podem ser acessados por membros do grupo FinanceExpert. Outros departamentos ou grupos não possuem acesso". Você precisará avaliar o impacto desta alteração antes de implementá-la no ambiente. Verifique se a indicação CONFIDENCIAL DA CONTOSO está no rodapé de todas as páginas do documento.
Solicitação de aprovação para contratação.docx: Crie um formulário neste documento para coletar as informações dos candidatos. É necessário possuir os seguintes campos neste documento: Nome do Candidato, Cadastro de Pessoas Físicas, Cargo, Salário Proposto, Data de Início, Nome do supervisor, Departamento. Acrescente uma seção adicional no documento com formulário para Assinatura do Supervisor, Salário Aprovado, Confirmação da Oferta e Status da Oferta. Habilite o gerenciamento de direitos para documentos.
Documento do Word1.docx: Acrescente conteúdo de teste a este documento.
Documento do Word2.docx: Acrescente conteúdo de teste a este documento.
Pasta de trabalho1.xlsx
Pasta de trabalho2.xlsx
Crie uma pasta na área de trabalho chamada Expressões Regulares. Crie um documento de texto na pasta chamado RegEx-SSN. Digite o conteúdo a seguir no arquivo e, em seguida, salve e feche o arquivo: ^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$
Compartilhe a pasta D:\Documentos Financeiros como Documentos Financeiros e permita que todos tenham acesso de Leitura e Gravação para compartilhar.
Observação
As políticas de acesso central não estão habilitadas por padrão no sistema ou volume de inicialização C:.
Instalar o Active Directory Rights Management Services
Adicione o AD RMS e todos os recursos necessários pelo Gerenciador do Servidor. Escolha todos os padrões.
Para instalar o Active Directory Rights Management Services
Entre no FILE1 como CONTOSO\Administrator ou como membro do grupo Admins. do Domínio.
Importante
Para instalar a função de servidor do AD RMS, a conta do instalador (neste caso, CONTOSO\Administrator) deverá receber associação no grupo Administradores local no computador do servidor onde o AD RMS está instalado e também no grupo Administradores de Empresa no Active Directory.
No Gerenciador do Servidor, clique em Adicionar Funções e Recursos. O Assistente para Adicionar Funções e Recursos é aberto.
Na tela Antes de começar, clique em Avançar.
Na tela Selecionar Tipo de Instalação, clique em Instalação Baseada em Função/Recurso e em Avançar.
Na tela Selecionar Destinos do Servidor, clique em Avançar.
Na tela Selecionar Funções de Servidor, marque a caixa ao lado do Active Directory Rights Management Services e clique em Avançar.
Na caixa de diálogo Adicionar recursos requeridos para os Active Directory Rights Management Services?, clique em Adicionar Recursos.
Na tela Selecionar Funções de Servidor, clique em Avançar.
Na tela Selecionar Recursos a Serem Instalados, clique em Avançar.
Na tela Active Directory Rights Management Services, clique em Avançar.
Na tela Selecionar Serviços de Função, clique em Avançar.
Na tela Função de Servidor Web (IIS), clique em Avançar.
Na tela Selecionar Serviços de Função, clique em Avançar.
Na tela Confirmar Seleções de Instalação, clique em Instalar.
Depois da conclusão da instalação, na tela Progresso da Instalação, clique em Executar configuração adicional. O Assistente de Configuração de AD RMS é exibido.
Na tela AD RMS, clique em Avançar.
Na tela Cluster do AD RMS, selecione Criar novo cluster AD RMS raiz e clique em Avançar.
Na tela Banco de Dados de Configuração, clique em Usar o Banco de Dados Interno do Windows neste servidor e depois em Avançar.
Observação
É recomendado usar o Banco de Dados Interno do Windows em ambientes de teste porque ele não dá suporte a mais de um servidor no cluster do AD RMS. Implantações de produção devem usar um servidor de banco de dados separado.
Na tela Conta de Serviço, em Conta de Usuário do Domínio, clique em Especificar e especifique o nome de usuário (contoso\rms) e senha (pass@word1), depois clique em OK e em Avançar.
Na tela Modo Criptográfico, clique em Modo Criptográfico 2.
Na tela Armazenamento de Chave do Cluster , clique em Avançar.
Na tela Senha da Chave de Cluster, nas caixas Senha e Confirmar senha, digite pass@word1 e clique em Avançar.
Na tela Site do Cluster, verifique se Site Padrão está selecionado e depois clique em Avançar.
Na tela Endereço do Cluster, selecione a opção Usar uma conexão descriptografada e na caixa Nome de Domínio Totalmente Qualificado, digite FILE1.contoso.com e clique em Avançar.
Na tela Nome do Certificado de Licenciante, aceite o nome padrão (FILE1) na caixa de texto e clique em Avançar.
Na tela Registro de SCP, selecione Registrar SCP agora e clique em Avançar.
Na tela Confirmação, clique em Instalar.
Na tela Resultados, clique em Fechar e depois em Fechar na tela Progresso da Instalação. Depois de terminado, saia e entre como contoso\rms usando a senha fornecida (pass@word1).
Inicie o console do AD RMS e navegue para Modelos de Política de Direitos.
Para abrir o console do AD RMS, no Gerenciador do Servidor, clique em Servidor Local na árvore de console, clique em Ferramentas e selecione Active Directory Rights Management Services.
Clique no modelo Criar Política de Direitos Distribuídos localizado no painel direito, clique em Adicionar e selecione as seguintes informações:
Idioma: Inglês dos EUA
Nome: Somente Administrador Financeiro da Contoso
Descrição: Somente Administrador Financeiro da Contoso
Clique em Adicionar e em Avançar.
Na seção Usuários e Direitos, clique em Usuários e direitos, clique em Adicionar, digite financeadmin@contoso.com e clique em OK.
Selecione Controle Total e deixe Conceder ao proprietário (autor) o direito ininterrupto de controle total selecionado.
Passe pelas guias seguintes sem fazer alterações e clique em Concluir. Faça login como CONTOSO\Administrator.
Navegue até a pasta C:\inetpub\wwwroot\_wmcs\certification, selecione o arquivo ServerCertification.asmx e adicione Usuários Autenticados para ter permissões de leitura e gravação ao arquivo.
Abra o Windows PowerShell e execute
Get-FsrmRmsTemplate. Verifique se é possível ver o modelo de RMS criado nas etapas anteriores deste procedimento com este comando.
Importante
Se desejar que os servidores de arquivo sejam alterados imediatamente para que você possa testá-los, faça o seguinte:
No servidor de arquivos, FILE1, abra um prompt de comandos com privilégios elevados e execute os seguintes comandos:
- gpupdate /force.
- NLTEST /SC_RESET:contoso.com
No controlador de domínio (DC1), replique o Active Directory.
Para obter mais informações sobre as etapas para forçar a replicação do Active Directory, consulte Replicação do Active Directory
Opcionalmente, em vez de usar o Assistente de Adição de Funções e Recursos no Gerenciador do Servidor, é possível usar o Windows PowerShell para instalar e configurar a função de servidor do AD RMS como mostrado no procedimento a seguir.
Para instalar e configurar um cluster de AD RMS no Windows Server 2012 usando o Windows PowerShell
Entre como CONTOSO\Administrator com a senha: pass@word1.
Importante
Para instalar a função de servidor do AD RMS, a conta do instalador (neste caso, CONTOSO\Administrator) deverá receber associação no grupo Administradores local no computador do servidor onde o AD RMS está instalado e também no grupo Administradores de Empresa no Active Directory.
Na área de trabalho do Servidor, clique com o botão direito do mouse no ícone do Windows PowerShell na barra de tarefas e selecione Executar como Administrador para abrir um prompt do Windows PowerShell com privilégios administrativos.
Para usar os cmdlets do Gerenciador do Servidor para instalar a função de servidor do AD RMS, digite:
Add-WindowsFeature ADRMS '"IncludeAllSubFeature '"IncludeManagementToolsCrie a unidade do Windows PowerShell para representar o servidor do AD RMS instalado.
Por exemplo, para criar uma unidade do Windows PowerShell chamada RC para instalar e configurar o primeiro servidor em um cluster de raiz do AD RMS, digite:
Import-Module ADRMS New-PSDrive -PSProvider ADRMSInstall -Name RC -Root RootClusterDefina as propriedades nos objetos no namespace da unidade que representa as definições de configuração requeridas.
Por exemplo, para definir a conta de serviço do AD RMS, digite o seguinte no prompt de comando do Windows PowerShell:
$svcacct = Get-CredentialQuando a caixa de diálogo de segurança do Windows for exibida, digite o nome de usuário de domínio da conta de serviço do AD RMS CONTOSO\RMS e a senha atribuída a ele.
Em seguida, para atribuir a conta de serviço do AD RMS às configurações de cluster do AD RMS, digite o seguinte:
Set-ItemProperty -Path RC:\ -Name ServiceAccount -Value $svcacctEm seguida, para definir o servidor do AD RMS par ausar o Banco de Dados Interno do Windows, digite o seguinte no prompt de comando do Windows PowerShell:
Set-ItemProperty -Path RC:\ClusterDatabase -Name UseWindowsInternalDatabase -Value $trueEm seguida, para armazenar com segurança a senha da chave do cluster em uma variável, digite o seguinte no prompt de comando do Windows PowerShell:
$password = Read-Host -AsSecureString -Prompt "Password:"Digite a senha da chave do cluster e pressione a tecla ENTER.
Em seguida, para atribuir a senha à instalação do AD RMS, digite o seguinte no prompt de comando do Windows PowerShell:
Set-ItemProperty -Path RC:\ClusterKey -Name CentrallyManagedPassword -Value $passwordEm seguida, para definir o endereço do cluster do AD RMS, digite o seguinte no prompt de comando do Windows PowerShell:
Set-ItemProperty -Path RC:\ -Name ClusterURL -Value "http://file1.contoso.com:80"Em seguida, para atribuir o nome de SLC à instalação do AD RMS, digite o seguinte no prompt de comando do Windows PowerShell:
Set-ItemProperty -Path RC:\ -Name SLCName -Value "FILE1"Em seguida, para definir o SCP (ponto de conexão de serviço) para o cluster do AD RMS, digite o seguinte no prompt de comando do Windows PowerShell:
Set-ItemProperty -Path RC:\ -Name RegisterSCP -Value $trueExecute o cmdlet Install-ADRMS. Além de instalar a função do servidor do AD RMS e configurar o servidor, este cmdlet também instala outros recursos requeridos pelo AD RMS, se necessário.
Por exemplo, para alterar a unidade do Windows PowerShell chamada RC, instalar e configurar o AD RMS, digite:
Set-Location RC:\ Install-ADRMS -Path.Digite "Y" quando o cmdlet solicitar confirmação para o início da instalação.
Saia como CONTOSO\Administrator e entre novamente como CONTOSO\RMS usando a senha fornecida ("pass@word1").
Importante
Para gerenciar o servidor do AD RMS, a conta com a qual você entrou e que estará usando para gerenciar o servidor (neste caso, o CONTOSO\RMS) deverá possuir associação no grupo Administradores local e no computador do servidor do AD RMS, bem como associação no grupo Administradores de Empresa no Active Directory.
Na área de trabalho do Servidor, clique com o botão direito do mouse no ícone do Windows PowerShell na barra de tarefas e selecione Executar como Administrador para abrir um prompt do Windows PowerShell com privilégios administrativos.
Crie a unidade do Windows PowerShell para representar o servidor do AD RMS que você está configurando.
Por exemplo, para criar uma unidade do Windows PowerShell chamada RC para configurar o cluster raiz do AD RMS, digite:
Import-Module ADRMSAdmin ` New-PSDrive -PSProvider ADRMSAdmin -Name RC -Root http://localhost -Force -Scope GlobalPara criar um novo modelo de direitos para o administrador financeiro da Contoso e atribuí-lo direitos de usuário com controle total na instalação do AD RMS, digite o seguinte no prompt de comando do Windows PowerShell:
New-Item -Path RC:\RightsPolicyTemplate '"LocaleName en-us -DisplayName "Contoso Finance Admin Only" -Description "Contoso Finance Admin Only" -UserGroup financeadmin@contoso.com -Right ('FullControl')Para verificar se é possível ver o novo modelo de direitos para o administrador financeiro da Contoso, faça o seguinte no prompt de comando do Windows PowerShell:
Get-FsrmRmsTemplateAnalise a saída deste cmdlet para confirmar se o modelo de RMS criado na etapa anterior está presente.
Criar o servidor de email (SRV1)
SRV1 é o servidor de email SMTP/POP3. É necessário configurá-lo para enviar notificações por email como parte do cenário de assistência para acesso negado.
Configure o Microsoft Exchange Server neste computador. Para obter mais informações, consulte Como instalar o Exchange Server.
Criar a máquina virtual cliente (CLIENT1)
Para criar a máquina virtual cliente
Conecte o CLIENT1 à ID_AD_Network.
Instale o Microsoft Office 2010.
Entre como Contoso\Administrator e use as seguintes informações para configurar o Microsoft Outlook.
Seu nome: Administrador de Arquivos
Endereço de email: fileadmin@contoso.com
Tipo de conta: POP3
Servidor de email de entrada: O endereço IP estático do SRV1
Servidor de email de saída: O endereço IP estático do SRV1
Nome de usuário: fileadmin@contoso.com
Lembrar a senha: Selecionar
Crie um atalho para o Outlook na área de trabalho do contoso\administrator.
Abra o Outlook e receba as mensagens "aberto pela primeira vez".
Exclua as eventuais mensagens de teste geradas.
Crie um novo atalho na área de trabalho para todos os usuários na máquina virtual cliente apontando para \\FILE1\Documentos financeiros.
Reinicie se necessário.
Habilitar a assistência para Acesso Negado na máquina virtual cliente
Abra o Editor de Registro e navegue para HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Explorer.
Defina EnableShellExecuteFileStreamCheck para 1.
Valor: DWORD
Configuração de laboratório para implantar declarações em cenários entre florestas
Criar uma máquina virtual para o DC2
Crie uma máquina virtual no Windows Server 2012 ISO.
Crie a máquina virtual com o nome DC2.
Conecte a máquina virtual à ID_AD_Network.
Importante
Associar máquinas virtuais a um domínio e implantar tipos de declaração entre florestas requer que as máquinas virtuais possam resolver os FQDNs dos domínios em questão. Para tal, você pode definir as configurações de DNS manualmente nas máquinas virtuais. Para obter mais informações, consulte Configurando uma rede virtual.
Todas as imagens de máquina virtual (servidores e clientes) devem ser reconfiguradas para usar um endereço IPv4 (IP versão 4) estático e configurações do cliente do DNS (Sistema de Nome de Domínio). Para obter mais informações, consulte Configurar um cliente DNS para o endereço IP estático.
Configurar uma nova floresta chamada adatum.com
Para instalar os Serviços de Domínio Active Directory
Conecte a máquina virtual à ID_AD_Network. Entre no DC2 como Administrador com a senha Pass@word1.
No Gerenciador do Servidor, clique em Gerenciar e depois em Adicionar Funções e Recursos.
Na página Antes de começar , clique em Avançar.
Na página Selecionar Tipo de Instalação, clique em Instalação baseada em função ou recurso e depois em Avançar.
Na página Selecionar servidor de destino, clique em Selecionar um servidor no pool de servidores, clique nos nomes do servidor em que você deseja instalar o AD DS (Serviços de Domínio Active Directory) e em Avançar.
Na página Selecionar Funções de Servidor, clique em Serviços de Domínio Active Directory. Na caixa de diálogo Assistente de Adição de Funções e Recursos, clique em Adicionar Recursos e em Avançar.
Na página Selecionar Recursos, clique em Avançar.
Na página AD DS, revise a informação e clique em Avançar.
Na página Confirmação, clique em Instalar. A barra de progresso de instalação do recurso na página Resultados indica que a função está sendo instalada.
Na página Resultados, verifique se a instalação foi bem-sucedida e, em seguida, clique no ícone de aviso com um ponto de exclamação no canto superior direito da tela, ao lado de Gerenciar. Na lista de Tarefas, clique no link Promover este servidor a um controlador de domínio.
Importante
Se você fechar o assistente de instalação neste momento, em vez de clicar em Promover este servidor a controlador de domínio, poderá continuar com a instalação do AD DS clicando em Tarefas no Gerenciador do Servidor.
Na página Configuração de Implantação, clique em Adicionar nova floresta, digite o nome do domínio raiz adatum.com e clique em Avançar.
Na página Opções do Controlador de Domínio, selecione o domínio e os níveis funcionais de floresta como Windows Server 2012, especifique a senha do DSRM pass@word1 e clique em Avançar.
Na página Opções de DNS, clique em Avançar.
Na página Opções Adicionais, clique em Avançar.
Na página Caminhos, digite os locais do banco de dados Active Directory, dos arquivos de log e da pasta SYSVOL (ou aceite os locais padrão) e clique em Avançar.
Na página Opções de Revisão, confirme suas seleções e clique em Avançar.
Na página Verificação de Pré-requisitos, confirme se a validação foi concluída e clique em Instalar.
Na página Resultados, verifique se o servidor foi configurado com êxito como controlador de domínio e clique em Fechar.
Reinicie o servidor para concluir a instalação do AD DS. (Isso ocorre automaticamente por padrão.)
Importante
Para garantir que a rede foi configurada devidamente, depois de configurar ambas as florestas, faça o seguinte:
- Entre em adatum.com como adatum\administrator. Abra a janela do Prompt de Comando, digite nslookup contoso.com e pressione ENTER.
- Entre no contoso.com como contoso\administrator. Abra a janela do Prompt de Comando, digite nslookup adatum.com e pressione ENTER.
Se esses comandos forem executados sem erros, as florestas podem se comunicar. Para ver mais informações sobre os erros de nslookup, consulte a seção de solução de problemas no tópico Usando o NSlookup.exe
Defina contoso.com como floresta confiável para adatum.com
Nesta etapa, você criará a relação de confiança entre os sites da Adatum Corporation e da Contoso, Ltd.
Para definir Contoso como floresta de confiança da Adatum
Entre no DC2 como administrador. Na tela Iniciar, digite domain.msc.
Na árvore de consoles, clique com o botão direito do mouse em adatum.com e clique em Propriedades.
Na guia Relações de Confiança, clique em Nova Relação de Confiança e em Avançar.
Na página Nome da Relação de Confiança, digite contoso.com, no campo de nome do DNS e depois clique em Avançar.
Na página Tipo de Relação de Confiança, clique em Relação de Confiança da Floresta e em Avançar.
Na página Direção da Relação de Confiança, clique emBidirecional.
Na página Lados da Relação de Confiança, clique em Neste domínio e no domínio especificado e depois clique em Avançar.
Continue a seguir as instruções do assistente.
Criar usuários adicionais na floresta Adatum
Crie o usuário Jeff Low com a senha pass@word1 e defina o atributo da empresa com o valor Adatum.
Para criar um usuário com o atributo Empresa
Abra um prompt de comandos com privilégios elevados no Windows PowerShell e cole o seguinte código:
New-ADUser ` -SamAccountName jlow ` -Name "Jeff Low" ` -UserPrincipalName jlow@adatum.com ` -AccountPassword (ConvertTo-SecureString ` -AsPlainText "pass@word1" -Force) ` -Enabled $true ` -PasswordNeverExpires $true ` -Path 'CN=Users,DC=adatum,DC=com' ` -Company Adatum`
Criar o tipo de declaração Empresa no adataum.com
Para criar um tipo de declaração usando o Windows PowerShell
Entre em adatum.com como administrador.
Abra um prompt de comandos com privilégios elevados no Windows PowerShell e digite o seguinte código:
New-ADClaimType ` -AppliesToClasses:@('user') ` -Description:"Company" ` -DisplayName:"Company" ` -ID:"ad://ext/Company:ContosoAdatum" ` -IsSingleValued:$true ` -Server:"adatum.com" ` -SourceAttribute:Company ` -SuggestedValues:@((New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("Contoso", "Contoso", "")), (New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("Adatum", "Adatum", ""))) `
Habilitar a propriedade de recurso Empresa no contoso.com
Para habilitar a propriedade de recurso Empresa no contoso.com
Entre em contoso.com como administrador.
No Gerenciador do Servidor, clique em Ferramentas e em Centro Administrativo do Active Directory.
No painel esquerdo do Centro Administrativo do Active Directory, clique em Modo de Exibição de Árvore. No painel esquerdo, clique em Controle de Acesso Dinâmico e clique duas vezes em Propriedades do Recurso.
Selecione Empresa na lista de Propriedades do Recurso, clique com o botão direito do mouse e selecione Propriedades. Na seção Valores Sugeridos , clique em Adicionar para adicionar os valores sugeridos: Contoso e Adatum, depois clique duas vezes em OK .
Selecione Empresa na lista Propriedades do Recurso, clique com o botão direito do mouse e selecione Habilitar.
Habilitar o Controle de Acesso Dinâmico no adatum.com
Para habilitar o Controle de Acesso Dinâmico para adatum.com
Entre em adatum.com como administrador.
Abra o Console de Gerenciamento de Política de Grupo, clique em adatum.com e clique duas vezes em Controladores de Domínio.
Clique com o botão direito do mouse em Política de Controladores de Domínio Padrão e depois em Editar.
Na janela Editor de Gerenciamento de Política de Grupo, clique duas vezes em Configuração do Computador, duas vezes em Políticas, duas vezes em Modelos Administrativos, duas vezes em Sistema e, por fim, duas vezes em KDC.
Clique duas vezes em Suporte KDC para declarações, autenticação composta e proteção Kerberos e marque a opção ao lado de Habilitado. É necessário habilitar esta configuração para usar as Políticas de Acesso Central.
Abra um prompt de comandos com privilégios elevados e execute o seguinte comando:
gpupdate /force
Crie o tipo de declaração Empresa no contoso.com
Para criar um tipo de declaração usando o Windows PowerShell
Entre em contoso.com como administrador.
Abra um prompt de comandos com privilégios elevados no Windows PowerShell e digite o seguinte código:
New-ADClaimType '"SourceTransformPolicy ` '"DisplayName 'Company' ` '"ID 'ad://ext/Company:ContosoAdatum' ` '"IsSingleValued $true ` '"ValueType 'string' `
Criar a regra de acesso central
Para criar uma regra de acesso central
No painel esquerdo do Centro Administrativo do Active Directory, clique em Modo de Exibição de Árvore. No painel esquerdo, clique em Controle de Acesso Dinâmico e clique em Regras de Acesso Central.
Clique com o botão direito em Regras de Acesso Central, em Nova e depois emRegra de Acesso Central.
No campo Nome, digite RegradeAcessoparaFuncionáriosAdatum.
Na seção Permissões, selecione a opção Usar as seguintes permissões como atuais, clique em Editar e em Adicionar. Clique no link Selecionar uma entidade, digite Usuários Autenticados e clique em OK.
Na caixa de diálogo Permissão de Entrada para Permissões, clique em Adicionar uma condição e digite as condições a seguir: [User] [Company] [Equals] [Value] [Adatum]. As permissões devem ser Modificar, Ler e Executar, Ler e Gravar.
Clique em OK.
Clique em OK três vezes para concluir e voltar ao Centro Administrativo do Active Directory.
Comandos equivalentes do Windows PowerShellO seguinte cmdlet ou cmdlets do Windows PowerShell executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que possa aparecer quebra em várias linhas aqui devido a restrições de formatação.
New-ADCentralAccessRule ` -CurrentAcl:"O:SYG:SYD:AR(A;;FA;;;OW)(A;;FA;;;BA)(A;;FA;;;SY)(XA;;0x1301bf;;;AU;(@USER.ad://ext/Company:ContosoAdatum == `"Adatum`"))" ` -Name:"AdatumEmployeeAccessRule" ` -ProposedAcl:$null ` -ProtectedFromAccidentalDeletion:$true ` -Server:"contoso.com" `
Criar a política de acesso central
Para criar a política de acesso central
Entre em contoso.com como administrador.
Abra um prompt de comandos com privilégios elevados no Windows PowerShell e cole o seguinte código:
New-ADCentralAccessPolicy "Adatum Only Access Policy" Add-ADCentralAccessPolicyMember "Adatum Only Access Policy" ` -Member "AdatumEmployeeAccessRule" `
Publicar a nova política por meio da Política de Grupo
Para aplicar a política de acesso central aos servidores do arquivo por meio da Política de Grupo
Na tela Iniciar, digite Ferramentas Administrativas e na barra Pesquisar, clique em Configurações. Nos resultados de Configurações, clique em Ferramentas Administrativas. Abra o Console de Gerenciamento de Política de Grupo na pasta Ferramentas Administrativas.
Dica
Se a configuração Mostrar Ferramentas Administrativas estiver desabilitada, a pasta Ferramentas Administrativas e seus conteúdos não aparecerão nos resultados de Configurações.
Clique com o botão direito do mouse no domínio contoso.com e clique em Criar um GPO neste domínio e fazer um link para ele aqui
Digite um nome descritivo para o GPO, como GPOdeAcessodaDatum e depois clique em OK.
Para aplicar a política de acesso central ao servidor de arquivos por meio da Política de Grupo
Na tela Iniciar, digite Gerenciamento de Política de Grupo na caixa Pesquisar. Abra Gerenciamento de Política de Grupo na pasta de Ferramentas Administrativas.
Dica
Se a configuração Mostrar Ferramentas Administrativas estiver desabilitada, a pasta Ferramentas Administrativas e seus conteúdos não aparecerão nos resultados de Configurações.
Navegue e selecione Contoso da seguinte maneira: Group Policy Management\Forest: contoso.com\Domains\contoso.com.
Clique com o botão direito do mouse na políticaGPOdeAcessodaDatum e selecione Editar.
No Editor de Gerenciamento de Política de Grupo, clique em Configuração do Computador, expanda Políticas, expanda Configurações do Windows e clique em Configurações de Segurança.
Expanda Sistema de Arquivos, clique com o botão direito do mouse em Política de Acesso Central e clique em Gerenciar políticas de acesso central.
Na caixa de diálogo Configuração de Políticas de Acesso Central, clique em Adicionar, selecione Política de Acesso Somente para Adatum e clique em OK.
Feche o Editor de Gerenciamento de Política de Grupo. Você acaba de adicionar a política de acesso central à Política de Grupo.
Crie a pasta Ganhos no servidor de arquivos
Crie um novo volume NTFS no FILE1 e crie a seguinte pasta: D:\Ganhos.
Observação
As políticas de acesso central não estão habilitadas por padrão no sistema ou volume de inicialização C:.
Definir a classificação e aplicar a política de acesso central à pasta Ganhos
Para atribuir a política de acesso central no servidor de arquivos
No Gerenciador Hyper-V, conecte-se ao servidor FILE1. Entre no servidor usando Contoso\Administrator, com a senha pass@word1.
Abra um prompt de comandos com privilégios elevados e digite: gpupdate /force. Isso garantirá que suas alterações na Política de Grupo entrarão em vigor no servidor.
Será necessário atualizar as Propriedades de Recurso Global do Active Directory. Abra o Windows PowerShell, digite
Update-FSRMClassificationpropertyDefinitione pressione ENTER. Feche o Windows PowerShell.Abra o Windows Explorer e navegue para D:\GANHOS. Clique com o botão direito do mouse na pasta Ganhos e clique em Propriedades.
Clique na guia Classificação. Selecione Empresa e, em seguida, selecione Adatum no campo Valor.
Clique em Alterar, selecione Política de Acesso Somente para Adatum no menu suspenso e clique em Aplicar.
Clique na guia Segurança, clique em Avançado e, em seguida, clique na guia Política Central. Você deverá ver AdatumEmployeeAccessRule listada. Você pode expandir o item para ver todas as permissões definidas ao criar a regra no Active Directory.
Clique em OK para retornar ao Windows Explorer.