Este é o quinto de uma série de artigos sobre os exames para o MCSE-2003 e MCSA-2003. Nestes artigos passarei a minha experiência com os diversos exames do Windows Server 2003. Inicialmente publicarei uma série de artigos sobre o Exame 70-290: Managing and Maintaining a Microsoft Windows Server 2003 Environment
No início de Março-2004 fui aprovado no exame 70-290. Este exame é o exame básico de Administração do Windows Server 2003 (o exame equivalente para o Windows 2000 Server é o Exame 70-215). Em uma série de artigos vou dar algumas dicas de estudo e de material de apoio para esta prova.
Neste artigo apresentarei algumas questões com respostas e comentários detalhados.
Questões com respostas e comentários:
Questão 01: Você é o Administrador da rede da empresa, a qual é baseada no Windows Server 2003 Server e no Active Directory. A rede foi a pouco tempo migrada para o Windows Server 2003 e é formada por um único domínio: abc.com. Você ainda não implementou uma estrutura de Unidades Organizacionais. Com isso você teve que incluir oito contas de usuários como membros do grupo Admins. do Domínio, para que estes usuários possam administrar os servidores, usuários e grupos de suas localidades. Um dos administradores está excluindo, indevidamente, contas de usuários de outras localidades. Como você pode descobrir qual dos administradores está fazendo estas exclusões indevidas?
a) Abra o console Usuários e Computadores do Active Directory e pesquise por registros de exclusões de conta em todo o domínio.
b) Abra o console Usuários e Computadores do Active Directory e pesquise por registros de uso do direito de exclusão de contas.
c) Faça uma pesquisa no log de Segurança de todos os controladores de domínios do domínio abc.com, pesquisando por eventos de gerenciamento de contas de usuários.
d) Faça uma pesquisa no log de Segurança de todos os controladores de domínios do domínio abc.com, pesquisando por eventos de acesso às contas de usuários.
e) Faça uma pesquisa no log do Sistema de todos os controladores de domínios do domínio abc.com, pesquisando por eventos de gerenciamento de contas de usuários.
Resposta certa: c
Esta questão descreve um dos problemas que, sem sombra de dúvidas, mais irritava os administradores de redes baseadas no Windows Server 2003: Não existe uma consolidação, em uma base de dados centralizada, dos logs de evento de todos os servidores de um domínio. Ou seja, o log é individual, separado em cada servidor (DC ou member server) do domínio. Esta questão ilustra bem este problema. Neste caso, o administrador terá que pesquisar o log de Segurança em cada DC do domínio, para identificar eventos de gerenciamento de contas de usuários. Um dos tipos de eventos de de gerenciamento de contas de usuários é a exclusão de usuários. Nestes eventos fica registrada, dentre outras, informações do nome da conta excluída, do usuário que excluiu a conta e da data e hora da exclusão. Mas o problema é, digamos assim, "mais problemático", porque o usuário que excluiu a conta, tem permissão de Administrador (pertence ao grupo Admins. do Domínio) e, com isso, poderia também "limpar" o log de Segurança em todos os DCs. Ou seja, poderia cometer o crime e destruir as provas.
Questão 02: Quais as condições necessárias para que um usuário possa fazer o logon em um computador com o Windows XP Professional, o qual faz parte de um domínio baseado no Windows Server 2003 e no Active Directory:
O computador deve ter uma conta no Active Directory.
A conta de computador deve estar habilitada.
O usuário deve ter uma conta de usuário no Active Directory.
A conta do usuário não pode estar bloqueada.
A conta do usuário não pode estar desativada.
Estão corretas as seguintes afirmativas:
a) I, II
b) I, II e III
c) I, II e IV
d) II, III, IV e V
e) I, II, III, IV e V
Resposta certa: e
Comentários: Todas estas condições tem que ser atendidas, para que o usuário possa fazer o logon em um domínio do Active Directory. Primeiro o computador que está sendo utilizado deve ter uma conta no Active Directory e esta conta não pode estar desabilitada. Contas desabilitadas aparecem marcadas com um x vermelho, no console Usuários e Computadores do Active Directory. Você pode habilitar uma conta que foi desabilitada, clicando com o botão direito do mouse na respectiva conta e, no menu de opções que é exibido, clicar em Ativar conta. Além da conta de computador, o usuário que está fazendo o logon deve ter uma conta válida no Active Directory e esta conta não pode estar bloqueada e nem desativada. Uma conta é bloqueada, normalmente, quando o usuário faz um determinado número de tentativas de logon sem sucesso, dentro de um determinado intervalo. Como por exemplo, três logons sem sucesso, dentro de uma hora. O administrador pode desbloquear uma conta, acessando as propriedades da conta, clicando na guia Conta e desmarcando a opção "A conta está bloqueada".
Questão 03: Você é o Administrador de uma rede com servidores baseados no Windows Server 2003 Server e no Active Directory. A rede é formada por um único domínio: abc.com. Os clientes são baseados no Windows 2000 Professional e alguns clientes no Windows XP Professional. Você gostaria de restringir o acesso as configurações de rede, tais como as configurações do protocolo TCP/IP para os usuários da rede. Estas restrições serão impostas via GPO. Você criou uma nova GPO chamada SemAcessoRede, na qual você fez as configurações para desabilitar o acesso as propriedades de configuração da interface de rede local. A GPO foi associada ao domínio abc.com. Pergunta-se: a solução proposta atende os requisitos de bloquear o aceso dos usuários as propriedades de configuração da interface de rede e apresenta algum inconveniente?
a) A solução proposta atende os requisitos e não apresenta nenhum inconveniente.
b) A solução proposta não apresenta nenhum inconveniente porém não atende aos requisitos.
c) A solução proposta não apresenta nenhum inconveniente porém atende apenas parcialmente aos requisitos, uma vez que através da linha de comando, os usuários conseguirão alterar as propriedades da interface de rede.
d) A solução proposta atende os requisitos mas apresenta o inconveniente de bloquear o acesso inclusive dos administradores, às propriedades de configuração da rede.
e) A solução proposta atende os requisitos mas apresenta o inconveniente de bloquear o acesso inclusive dos administradores, às propriedades de configuração da rede, fazendo com que estes somente possam alterar estas propriedades através de um Prompt de comando, usando o comando ipconfig /all.
Resposta certa: d
Comentários: Ao aplicar uma GPO que nega o acesso às propriedades de configuração da interface de rede, esta GPO será aplicada a todos os usuários do domínio, inclusive aos membros do grupo Admins. do Domínio (Domain Admins). O inconveniente é que os membros do grupo Admins. de Domínio (Domain Admins) devem ter acesso a estas propriedades, para poder configurar as estações de trabalho da rede e prestar suporte aos usuários com problemas. Na prática, inclusive o grupo de técnicos de suporte também deve ter acesso a estas propriedades. Por isso ficamos com a alternativa "d", ou seja, a GPO como proposta, atende aos requisitos, mas com o inconveniente (ou efeito colateral como prefiram) de bloquear o acesso também para os membros dos grupos que precisam acesso a estas propriedades, tais como Administradores e Técnicos de suporte. A boa notícia é que tem solução para este problema. Veja a questão 08 para a descrição da solução para este inconveniente.
Questão 04: Você é o Administrador de uma rede com servidores baseados no Windows Server 2003 Server e no Active Directory. Para auxiliar na administração do ambiente, você está utilizando o recurso de Assistência Remota. Você gostaria de utilizar este recurso, mesmo quando estiver acessando a rede da empresa a partir de casa, através de uma conexão via Internet. Toda conexão da rede da Empresa para a Internet e vice-versa é feita através de um Firewall. Para que você possa utilizar o recurso de Administração remota, através do Firewall, o que deve ser feito?
a) A porta 3389 deve ser habilitada no Firewall
b) A porta 443 deve ser habilitada no Firewall
c) A porta 80 deve ser habilitada no Firewall
d) O recurso de NAT deverá ser desabilitado.
e) O recurso de VPN deverá ser desabilitado.
Resposta certa: a
Comentários: Como usar a assistência remota através de um firewall:
A assistência remota usa o protocolo de área de trabalho remota (RDP - Remot Desktop Protocol) para estabelecer uma conexão entre um usuário que está solicitando ajuda e um assistente que está oferecendo a ajuda. O RDP usa a porta TCP 3389 para essa conexão. Para permitir que os usuários de uma organização solicitem ajuda fora da organização usando a assistência remota, a porta 3389 deverá estar aberta no firewall. Para proibir os usuários de solicitarem ajuda fora da organização, essa porta deverá estar fechada no firewall.
Se fechar a porta 3389, você também bloqueará todos os serviços de terminal e de área de trabalho remota. Se desejar permitir esses serviços, mas limitar as solicitações de assistência remota, use o recurso de GPOs, para configurar as diretivas relacionadas a assistência remoto e ao terminal services. Se a porta estiver aberta somente para tráfego de saída, um usuário poderá solicitar assistência remota usando o Windows Messenger.
Importante: O firewall de conexão com a Internet (ICF) da Microsoft permite tráfego de entrada e saída de assistência remota, contanto que a solicitação inicial de assistência tenha sido feita no computador em que o firewall está ativado. O ICF foi projetado para ser usado somente com computadores autônomos ou pertencentes a um grupo de trabalho.
Com isso ficamos com a alternativa a, ou seja, a porta 3389 deve ser habilitada. A porta 443 é utilizada pelo protocolo SSL - Security Sockets Layer. A porta 80 á a porta padrão para o HTTP. E o uso da assistência remota não tem nada a ver com o fato de os recursos de NAT ou VPN estarem sendo utilizados.
Conclusão
Neste artigo eu apresentei algumas questões, com respostas e comentários detalhados, sobre tópicos relacionados ao Exame 70-290.
Não deixe de conferir os simulados para o Exame 70-290, disponíveis aqui no site. São três simulados, com 20 questões cada um, com respostas e comentários detalhados. Os simulados estão disponíveis nos endereços a seguir:
Sinta-se à vontade para entrar em contato, quer seja para trocar idéias, para enviar sugestões ou para esclarecer alguma dúvida. Estou esperando o seu contato no endereço batisti@hotmail.com.