Certificando-se
em Windows 2000 Professional - Parte 4
Este mês, continuaremos a apresentação dos principais
tópicos para o exame de Certificação do Windows
2000 Professional – 70-210. Nesta coluna, falarei sobre o
sistema de arquivos NTFS, sobre permissões de compartilhamento,
permissões NTFS e a interação entre estes dois
tipos de permissões. Pela minha própria experiência
e pelo que pode ser lido em colunas publicadas em sites de certificação
americanos, este é um assunto certo no exame.
Também gostaria de dar dicas sobre alguns ótimos sites,
com tutoriais e cursos gratuitos sobre TCP/IP. Para o candidato
que está se preparando para a certificação
MCSE e que, portanto, terá que enfrentar o exame do Windows
2000 Server (70-215), os exames do Active Directory (70-216 e 70-217)
e os exames de Design (70-219, 70-220 ou 70-221), o conhecimento
do TCP/IP é de fundamental importância.
Como o número de links é muito grande, selecionei
os principais sites e coloquei a lista de links neste endereço:
w
ww.juliobattisti.com.br/tcpip.asp.
Vamos ao estudo das permissões de compartilhamento e das
permissões NTFS.
Compartilhamento de pastas
Em primeiro lugar, vamos a alguns detalhes sobre compartilhamento
de pastas e permissões de compartilhamento. Quando compartilhamos
uma pasta, estamos permitindo que seu conteúdo seja acessado
através da rede. Os usuários podem acessá-la
através da rede, bem como todo o seu conteúdo. Por
exemplo: poderíamos criar uma pasta compartilhada onde seriam
colocados documentos, orientações e manuais, de tal
forma que estes arquivos pudessem ser acessados por qualquer estação
conectada à rede.
Ao compartilharmos uma pasta, todo o seu conteúdo passa a
estar disponível. Isso significa que se existirem outras
sub-pastas dentro da pasta compartilhada, estas também estarão
disponíveis para acesso pela rede.
Considere o exemplo da Figura 1. Se a pasta C:\Documentos for compartilhada,
todo o seu conteúdo e também o conteúdo das
sub-pastas C:\Documentos\Ofícios e C:\Documentos\Memorandos
estará disponível para acesso através da rede.
Figura 1: Ao compartilhar uma pasta, todo
o seu conteúdo estará disponível
Porém, quando uma pasta é compartilhada, não
significa que seu conteúdo deva ser acessado por todos os
usuários da rede. É possível restringir o número
de usuários que terão acesso à pasta compartilhada
e isso é feito através de "Permissões
de compartilhamento".
Com o uso de permissões, podemos definir quais usuários
poderão acessar o conteúdo da pasta compartilhada.
Para isso, é criada uma lista com o nome dos usuários
e grupos que possuem permissão de acesso.
Também é possível limitar o que os usuários
com permissão de acesso podem fazer, pois podem existir situações
em que alguns usuários devem ter permissão apenas
para ler o conteúdo da pasta compartilhada, e outras em que
alguns usuários devem ter permissão de leitura e escrita,
enquanto outros devem ter permissões totais, tais como leitura,
escrita e até eliminação de arquivos.
Na Figura 2, abaixo, temos um exemplo. O grupo
Gerentes
possui permissões de Controle total, enquanto o grupo
Usuários
possui permissões apenas para leitura.
Figura 2: Grupos diferentes com permissões
diferentes
Não esqueça para o exame
Permissões de compartilhamento, não impedem
o acesso ao conteúdo da pasta localmente. Isto é:
se um usuário fizer o logon no computador onde está
a pasta compartilhada, ele terá acesso a todo o conteúdo
da pasta, a menos que as Permissões NTFS estejam configuradas
para impedir isto (este é um assunto para as próximas
páginas).
Ao criarmos um compartilhamento em uma pasta, por padrão,
o Windows 2000 atribui a permissão Controle total para
o grupo Todos. Conforme o nome sugere, isso significa que qualquer
usuário com acesso ao computador, seja localmente, seja
pela rede, terá todas as permissões.
Por isso ao criar um compartilhamento, também devemos configurar
as permissões necessárias, a menos que estejamos compartilhando
uma pasta de domínio público, onde todos os usuários
possam ter Controle total sobre arquivos e sub-pastas da pasta compartilhada.
Existem três níveis de permissão de compartilhamento:
1. Leitura: Permite ao usuário
exibir a listagem de pastas e arquivos, ler o conteúdo
de arquivos e executar programas. Ele também pode verificar
atributos dos arquivos e navegar em pastas e sub-pastas, mas não
pode alterar ou eliminar arquivos ou pastas e tampouco criar novos
arquivos ou pastas.
Nota: Pastas e arquivos possuem atributos que
o Windows 2000 utiliza para gerenciamento. Por exemplo, existe
um atributo "Leitura", que, uma vez marcado, torna o
arquivo somente para leitura. Para ver os atributos de um arquivo
ou pasta, basta dar um clique com o botão direito do mouse
sobre o arquivo ou pasta. No menu que surge, dê um clique
na opção "Propriedades", e o Windows 2000
vai exibir uma janela onde é possível verificar
e modificar os atributos do arquivo ou pasta, desde que o usuário
tenha as devidas permissões.
2. Alteração: Além de todas
as ações da permissão "Leitura",
o usuário tem permissão para criar pastas e novos
arquivos, alterar arquivos e atributos dos arquivos, eliminar
arquivos e pastas. Não pode fazer alterações
em permissões de arquivos e nem alterações
no usuário "dono" dos arquivos e pastas (No Windows
2000, objetos como pastas e arquivos possuem um "dono",
que normalmente é o usuário que cria a pasta ou
o arquivo).
3. Controle total: Permite ao usuário
alterar permissões de arquivos e tornar-se dono de pastas
e arquivos criados por outros usuários. Além disso,
ele pode realizar todas as ações da permissão
Alteração.
As permissões de compartilhamento Leitura, Alteração
e Controle total podem ser permitidas ou negadas. Vamos considerar
um exemplo prático: supondo que todos os usuários
do grupo
Gerentes devem ter acesso de Leitura a
uma pasta compartilhada, com exceção de um gerente
cuja conta de usuário é
jsilva. Para
simplificar a atribuição de permissões fazemos
o seguinte:
Permissão de Leitura para o grupo
Gerentes
=> Permitir
Permissão de Leitura para o usuário
jsilva
=> Negar
Com isso, todos os usuários do grupo Gerentes terão
permissão de leitura, com exceção do usuário
jsilva. Outra recomendação é
que sempre devemos atribuir permissões para grupos de usuários,
ao invés de atribui-las para usuários individuais,
pois isso facilita a administração.
Um usuário em mais de um grupo
Um usuário pertence, por exemplo, a dois grupos e os dois
grupos recebem permissão para acessar um compartilhamento,
sendo que um tem permissão de Leitura e o outro de Alteração.
Como ficam as permissões do usuário que pertence aos
dois grupos?
Quando um usuário pertence a mais de um grupo, com diferentes
níveis de permissões para uma pasta compartilhada,
o nível de permissão para o usuário é
a combinação das permissões atribuídas
aos diferentes grupos.
No nosso exemplo, o usuário pertence a dois grupos, um com
permissão de somente Leitura e outro com permissão
de Alterações. O nível de permissão
do usuário é de Alterações, pois é
a soma das permissões dos dois grupos, conforme indicado
na Figura 3, abaixo.
Figura 3: Usuário que pertence a
mais de um grupo
Negar tem precedência sobre qualquer
outra permissão
Vamos considerar o exemplo do usuário que pertence a três
grupos. Se ele tiver permissão de leitura em um dos grupos,
permissão de alteração em outro e no terceiro
grupo for
negado acesso à pasta compartilhada,
o usuário terá o acesso negado, uma vez que Negar
tem precedência sobre qualquer outra permissão, conforme
indicado pela Figura 4, a seguir.
Figura 4: Negar tem precedência sobre
permitir
Não esqueça: Quando copiamos uma
pasta compartilhada, a pasta original permanece compartilhada, porém
a cópia não é compartilhada. Quando movemos
uma pasta compartilhada, a pasta deixa de ser compartilhada.
Algumas orientações para a
criação de pastas compartilhadas:
Todo compartilhamento deve ter um nome, para que possa ser
acessado pela rede, conforme veremos nas próximas lições.
O nome do compartilhamento pode ser diferente do nome da pasta,
mas uma recomendação importante é que seja
escolhido um nome descritivo do conteúdo da pasta, para
que ela seja facilmente localizada na rede. Você não
colocaria um nome "Projetos"" em uma pasta com
documentos contábeis, certo?
Organize recursos de tal maneira que todas as pastas que
devam ser acessadas pelo mesmo grupo de usuários, com
o mesmo nível de permissão, estejam dentro da
mesma pasta compartilhada. Por exemplo: se você possui
sete pastas com documentos e programas que devem ser acessados
pelos grupos Contabilidade e Marketing. Coloque estas pastas
dentro de uma pasta principal e compartilhe a pasta principal,
ao invés de criar sete compartilhamentos individuais.
Configure o nível de permissão mínimo
necessário para que os usuários realizem o seu
trabalho. Por exemplo: se os usuários precisam apenas
ler os documentos de uma pasta compartilhada, atribua permissão
de Leitura e não de Alteração ou Controle
total.
Sempre que possível, atribua permissões para
grupos de usuários e não para usuários
individuais, pois isso facilita a administração.
Determine que grupos necessitam de acesso a quais pastas
compartilhadas e com quais níveis de permissão.
Documente bem todo esse processo, para que você possa
ter um bom controle sobre recursos compartilhados e permissões
atribuídas.
Agora vamos ver alguns detalhes sobre os sistemas de arquivos que
o Windows 2000 reconhece e também sobre permissões
NTFS. Um sistema de arquivos determina a maneira como o Windows
2000 organiza e recupera as informações no disco rígido
ou em outros tipos de mídia. O Windows 2000 reconhece os
seguintes sistemas de arquivos: FAT, FAT32, NTFS e NTFS 5.
O sistema FAT vem desde a época do DOS e tem sido mantido
por questões de compatibilidade. Além disso, se você
tem mais de um sistema operacional instalado em seu computador,
alguns sistemas mais antigos (DOS, Windows 3.x e as primeiras versões
do Windows 95) só reconhecem o sistema FAT.
Com o sistema de arquivos FAT, a única maneira de restringir
o acesso ao conteúdo de uma pasta compartilhada é
através de permissões de compartilhamento (vale lembrar
que elas não terão efeito se o usuário estiver
logado localmente, na máquina onde a pasta foi criada). Com
a utilização do sistema FAT, alguns recursos avançados,
tais como compressão e criptografia e auditoria, não
estão disponíveis.
O sistema FAT32 apresenta algumas melhorias em relação
ao sistema FAT. Existe um melhor aproveitamento do espaço
no disco, com conseqüente redução de desperdício.
Um grande inconveniente do sistema FAT32 é que ele não
é reconhecido pelo Windows NT 4.0.
Com o sistema de arquivos FAT32, a única maneira de restringir
o acesso ao conteúdo de uma pasta compartilhada é
através das permissões de compartilhamento. Assim
como acontece com o FAT, no FAT32, alguns recursos avançados,
tais como compressão e criptografia e auditoria, não
estão disponíveis.
Sistema NTFS
O sistema de arquivos NTFS é utilizado no Windows NT Server
4.0 e foi mantido no Windows 2000 Server por questões de
compatibilidade. É um sistema bem mais eficiente do que FAT
e FAT32, além de permitir uma série de recursos avançados,
como permissões em nível de arquivos e pastas, compressão,
auditoria de acesso, partições bem maiores do que
as permitidas com FAT e FAT32, desempenho bem superior do que com
FAT e FAT32.
Uma das principais vantagens do NTFS é que ele permite que
sejam definidas permissões de acesso em nível de arquivo
e de pastas, isto é, pode-se ter arquivos em uma mesma pasta,
com permissões diferentes para usuários diferentes.
Além disso, as permissões NTFS têm efeito local
(não esqueça disso), isto é: mesmo que o usuário
faça o logon no computador onde um determinado arquivo existe,
se o usuário não tiver as permissões NTFS necessárias,
ele não poderá acessar o arquivo. Isso confere um
alto grau de segurança, desde que as permissões NTFS
sejam configuradas corretamente.
No Windows 2000, temos também o NTFS 5, que apresenta diversas
melhorias em relação ao NTFS, como por exemplo: criptografia
de arquivos e pastas, cotas de usuário (permite limitar o
espaço em disco que cada usuário pode utilizar), melhorias
de gerenciamento e otimização.
Conforme descrito anteriormente, podemos definir permissões
de acesso em nível de pasta ou arquivo, mas somente em unidades
formatadas com o sistema de arquivos NTFS (seja na versão
do NT Server 4.0 ou o NTFS 5 do Windows 2000). Por isso, é
aconselhável instalar o Windows 2000 sempre em unidades formatadas
com NTFS, pois isso melhora a segurança.
Com relação às permissões NTFS, temos
um conjunto diferente de permissões quando tratamos de pastas
ou arquivos. Nas Tabelas 1 (para pastas) e 2 (para arquivos), são
apresentadas as permissões e o nível de acesso para
cada uma delas.
Permissões
NTFS para pastas |
Permissão |
Nível de acesso |
Leitura |
Listar pastas e arquivos dentro da pasta,
exibir permissões, donos e atributos. |
Gravar |
Criar novos arquivos e sub-pastas dentro da pasta, alterar
atributos da pasta e visualizar o dono e as permissões
da pasta. |
Listar Conteúdo |
Ver o nome de arquivos e sub-pastas. |
Ler e executar |
É permitido navegar em sub-pastas para chegar a outras
pastas e arquivos, mesmo que o usuário não tenha
permissão de acesso às pastas nas quais está
navegando. Ele possui os mesmos direitos que as permissões
Leitura e Listar Conteúdo de pastas. |
Modificar |
Eliminar a pasta e todas as ações
permitidas por Gravar e Ler e executar. |
Controle Total |
Permite que sejam alteradas as permissões. O usuário
pode tornar-se dono da pasta e eliminar sub-pastas e arquivos.
Além disso, pode realizar todas as ações
de todas as outras permissões NTFS. |
Tabela 1
Permissões
NTFS para arquivos |
Permissão |
Nível de acesso |
Leitura |
Ler o arquivo, exibir permissões,
dono e atributos. |
Gravar |
O usuário pode gravar um arquivo com o mesmo nome
sobre o arquivo, alterar atributos da pasta e visualizar o
dono e as permissões da pasta. |
Ler e executar |
Executar aplicativos (normalmente programas
.exe, .bat ou .com) e realizar todas as ações
da permissão Leitura. |
Modificar |
Modificar e eliminar arquivo, além de todas as ações
das permissões Gravar e Ler e executar. |
Controle total |
O usuário pode alterar permissões
e tornar-se dono do arquivo. Além disso, pode realizar
todas as ações de todas as outras permissões
NTFS. |
Tabela 2
Todo arquivo ou pasta em uma unidade formatada com NTFS, possui
uma Lista de controle de acesso (Access control list – ACL),
onde há uma lista de todas as contas de usuários e
grupos para os quais foi garantido acesso para o recurso, bem como
o nível de acesso de cada um deles.
Existem alguns detalhes que devemos observar sobre permissões
NTFS:
Permissões NTFS são cumulativas. Isto é,
se um usuário pertence a mais de um grupo, cujas permissões
para um recurso têm diferentes níveis, a permissão
efetiva do usuário é a soma das permissões.
Permissões NTFS para um arquivo têm prioridade
sobre permissões NTFS para pastas. Por exemplo: se um
usuário tem permissão NTFS de escrita em uma pasta,
mas somente permissão NTFS de leitura para um arquivo
dentro desta pasta, sua permissão efetiva será
somente a de leitura, pois a permissão para o arquivo
tem prioridade sobre a permissão para a pasta.
Negar uma permissão NTFS tem prioridade sobre permitir.
Se um usuário pertence a dois grupos diferentes e um
dos grupos tem permissão de leitura para um arquivo,
enquanto o outro tem permissão de leitura negada, o usuário
não terá o direito de leitura.
Você pode estar se perguntando como é que o Windows
2000 se comporta quando existem diferenças entre as permissões
de compartilhamento e as permissões NTFS. Por exemplo: se
nas permissões de compartilhamento o usuário
maria
tem direito de Controle total e nas permissões NTFS o usuário
maria tem direito de Leitura. Qual é a permissão
efetiva do usuário
maria?
Não esqueça: Quando há diferenças
entre permissões de compartilhamento e permissões
NTFS, a permissão efetiva é a mais restritiva, aquela
que limita mais as ações que podem ser realizadas.
No nosso exemplo, a permissão efetiva para o usuário
maria seria Leitura.
Vamos analisar algumas situações práticas para
fixar bem a combinação entre permissões de
compartilhamento e NTFS.
Exemplo 1
Considere a situação indicada na Figura 5, ao lado.
Qual é a permissão efetiva do usuário
jsilva2,
na pasta compartilhada Memorandos?
Figura 5: A permissão efetiva é
a mais restritiva
Na Figura 5, a permissão efetiva do usuário jsilva2
é leitura, pois esta é a mais restritiva entre Modificar
(a permissão NTFS do usuário
jsilva2)
e Leitura (permissão de compartilhamento do usuário
jsilva2). A mesma análise é válida
em relação ao usuário
maria.
Exemplo 2
Vamos analisar uma situação um pouco mais complexa,
na qual teremos que considerar a combinação de permissões
dos diferentes grupos aos quais um usuário pertence, além
da combinação entre permissões de compartilhamento
e permissões NTFS.
Vamos admitir que o usuário
jsilva2 pertença
aos grupos Contabilidade e Marketing. Com base na Figura 6, ao lado,
qual seria a permissão efetiva para o usuário
jsilva2,
na pasta compartilhada Memorandos?
Figura 6: Usuário jsilva2 pertence
aos grupos Marketing e Contabilidade
Para definir a permissão efetiva para o usuário
jsilva2,
temos que levar em conta algumas regras.
Quando um usuário pertence a vários grupos com
diferentes permissões (quer sejam permissões de
compartilhamento ou NTFS), a permissão efetiva é
a soma das permissões.
Negar tem prioridade sobre permitir. No caso das permissões
de compartilhamento, um dos grupos aos quais o usuário
jsilva2 pertence – grupo Contabilidade
– tem a permissão de leitura negada. Logo, a permissão
efetiva de compartilhamento para jsilva2 é
negar leitura.
A permissão efetiva NTFS para o usuário
jsilva2
é a soma das permissões do usuário com as permissões
dos grupos Marketing e Contabilidade. Com isso a permissão
NTFS efetiva é Permitir Controle total.
Exemplo 3
Assim, podemos restringir nosso exemplo a uma situação
mais simplificada, conforme indicado na Figura 7, ao lado.
Figura 7: Simplificando a situação
Temos que lembrar que quando existe diferença entre permissões
de compartilhamento e NTFS vale a mais restritiva. Com isso podemos
determinar que a permissão efetiva do usuário jsilva2
sobre o compartilhamento Memorandos é negar Leitura.
Não esqueça
Quando copiamos ou movemos pastas, considere os seguintes fatos
a respeito das permissões NTFS resultantes:
Quando movemos ou copiamos uma pasta para uma partição
formatada com FAT ou FAT32, as permissões NTFS serão
perdidas.
Quando copiamos uma pasta ou arquivo para a mesma partição
ou para uma partição diferente, o Windows 2000 considera
a cópia como se fosse uma nova pasta/arquivo. Neste caso,
a cópia irá herdar as permissões NTFS da
pasta onde a cópia está sendo feita.
Quando movemos uma pasta/arquivo dentro da mesma partição,
a pasta/arquivo mantém as permissões NTFS que estavam
atribuídas.
Quando movemos uma pasta/arquivo para uma partição
diferente é como se estivéssemos fazendo uma cópia
na nova partição e excluindo na partição
atual. Neste caso, a pasta/arquivo vai herdar as permissões
NTFS da pasta de destino.
Conclusão
Volto a insistir: este resumo não é, de maneira alguma
um substituto para uma preparação cuidadosa. Selecione
o método de estudo ao qual você melhor se adapta: fazer
cursos, estudar por conta própria, comprar livros etc., mas
não deixe de fazer uma preparação cuidadosa,
pois sem isso e sem experiência prática não
é fácil passar nos exames.
Aproveite para ir aprimorando os seus conhecimentos sobre TCP/IP,
pois eles serão muito importantes para os exames do Windows
2000 Server e do Active Directory.
Na próxima coluna apresentaremos a quarta parte deste resumo.
Até lá e um bom estudo para você, amigo leitor.
Não deixe de enviar as suas opiniões, críticas
e sugestões. Entre em contato através do e-mail
webmaster@juliobattisti.com.br,
ou visite o meu
site.