Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este tópico descreve as etapas para criar um laboratório prático para testar o Controle de Acesso Dinâmico. As instruções devem ser seguidas sequencialmente porque há muitos componentes que têm dependências.
Prerequisites
Requisitos de hardware e software
Requisitos para a configuração do laboratório de teste:
Um servidor host executando o Windows Server 2008 R2 com SP1 e Hyper-V
Uma cópia da ISO do Windows Server 2012
Uma cópia do ISO do Windows 8
Microsoft Office 2010
Um servidor que executa o Microsoft Exchange Server 2003 ou posterior
Você precisa criar as seguintes máquinas virtuais para testar os cenários de Controle de Acesso Dinâmico:
DC1 (controlador de domínio)
DC2 (controlador de domínio)
FILE1 (servidor de arquivos e Ative Directory Rights Management Services)
SRV1 (servidor POP3 e SMTP)
CLIENT1 (computador cliente com Microsoft Outlook)
As senhas para as máquinas virtuais devem ser as seguintes:
BUILTIN\Administrador: pass@word1
Contoso\Administrador: pass@word1
Todas as outras contas: pass@word1
Criar as máquinas virtuais do laboratório de teste
Instalar a função Hyper-V
Você precisa instalar a função Hyper-V em um computador executando o Windows Server 2008 R2 com SP1.
Para instalar a função Hyper-V
Clique em Iniciar e, em seguida, clique em Gerenciador de servidores.
Na área Resumo de Funções da janela principal do Gerenciador do Servidor, clique em Adicionar Funções.
Na página Selecionar Funções de Servidor , clique em Hyper-V.
Na página Criar Redes Virtuais , clique em um ou mais adaptadores de rede se desejar disponibilizar sua conexão de rede para máquinas virtuais.
Na página Confirmar Seleções de Instalação , clique em Instalar.
O computador deve ser reiniciado para concluir a instalação. Clique em Fechar para concluir o assistente e, em seguida, clique em Sim para reiniciar o computador.
Depois de reiniciar o computador, inicie sessão com a mesma conta que utilizou para instalar a função. Depois que o Assistente de Configuração de Retoma concluir a instalação, clique em Fechar para concluir o assistente de configuração.
Criar uma rede virtual interna
Agora você vai criar uma rede virtual interna chamada ID_AD_Network.
Para criar uma rede virtual
Abra o Hyper-V Manager.
No menu Ações , clique em Gerenciador de Rede Virtual.
Em Criar rede virtual, selecione a opção Interna.
Clique em Adicionar. A página Nova Rede Virtual é exibida.
Digite ID_AD_Network como o nome da nova rede. Revise as outras propriedades e modifique-as, se necessário.
Clique em OK para criar a rede virtual e fechar o Virtual Network Manager ou clique em Apply para criar a rede virtual e continuar usando o Virtual Network Manager.
Criar o controlador de domínio
Crie uma máquina virtual para ser usada como controlador de domínio (DC1). Instale a máquina virtual usando o ISO do Windows Server 2012 e nomeie-a DC1.
Para instalar os Serviços de Domínio Active Directory
Conecte a máquina virtual ao ID_AD_Network. Inicie sessão no DC1 como Administrador com a palavra-passe pass@word1.
No Gerenciador do Servidor, clique em Gerenciare, em seguida, clique em Adicionar Funções e Recursos.
Na página Antes de começar, clique em Avançar.
Na página Selecionar tipo de instalação , clique em Instalação baseada em função ou recurso e, em seguida, clique em Avançar.
Na página Selecionar servidor de destino , clique em Avançar.
Na página Selecionar funções de servidor , clique em Serviços de Domínio Ative Directory. Na caixa de diálogo Assistente para Adicionar Funções e Recursos , clique em Adicionar Recursos e, em seguida, clique em Avançar.
Na página Selecionar recursos , clique em Avançar.
Na página Serviços de Domínio Ative Directory , examine as informações e clique em Avançar.
Na página Confirmar seleções de instalação , clique em Instalar. A barra de progresso da instalação do recurso na página Resultados indica que a função está sendo instalada.
Na página Resultados , verifique se a instalação foi bem-sucedida e clique em Fechar. No Gerenciador do Servidor, clique no ícone de aviso com um ponto de exclamação no canto superior direito da tela, ao lado de Gerenciar. Na lista Tarefas, clique no link Promover este servidor para um controlador de domínio .
Na página Configuração de Implantação , clique em Adicionar uma nova floresta, digite o nome do domínio raiz, contoso.com e clique em Avançar.
Na página Opções do Controlador de Domínio , selecione os níveis funcionais de domínio e floresta como Windows Server 2012, especifique a senha DSRM pass@word1 e clique em Avançar.
Na página Opções de DNS , clique em Avançar.
Na página Opções Adicionais , clique em Avançar.
Na página Caminhos , digite os locais do banco de dados do Ative Directory, dos arquivos de log e da pasta SYSVOL (ou aceite os locais padrão) e clique em Avançar.
Na página Opções de Revisão , confirme suas seleções e clique em Avançar.
Na página Verificação de Pré-requisitos , confirme se a validação dos pré-requisitos foi concluída e clique em Instalar.
Na página Resultados , verifique se o servidor foi configurado com êxito como um controlador de domínio e clique em Fechar.
Reinicie o servidor para concluir a instalação do AD DS. (Por padrão, isso acontece automaticamente.)
Crie os seguintes usuários usando a Central Administrativa do Ative Directory.
Criar usuários e grupos no DC1
Inicie sessão no contoso.com como Administrador. Inicie o Centro Administrativo do Ative Directory.
Crie os seguintes grupos de segurança:
Nome do Grupo Endereço de E-mail FinanceAdmin financeadmin@contoso.com FinanceException financeexception@contoso.com Crie a seguinte unidade organizacional (UO):
Nome da UO Computers FileServerOU FILE1 Crie os seguintes usuários com os atributos indicados:
User Username Endereço de e-mail Department Group Country/Region Myriam Delesalle MDelesalle MDelesalle@contoso.com Finance US Milhas Reid MReid MReid@contoso.com Finance FinanceAdmin US Esther Valle EValle EValle@contoso.com Operations FinanceException US Maira Wenzel MWenzel MWenzel@contoso.com HR US Joaquim Baixo JLow JLow@contoso.com HR US Servidor RMS rms rms@contoso.com Para obter mais informações sobre como criar grupos de segurança, consulte Criar um novo grupo no site do Windows Server.
Para criar um Objeto de Diretiva de Grupo
Passe o cursor no canto superior direito da tela e clique no ícone de pesquisa. Na caixa Pesquisar, digite gerenciamento de política de grupo e clique em Gerenciamento de Política de Grupo.
Expanda Floresta: contoso.com, depois expanda Domínios, navegue até contoso.com, expanda (contoso.com) e, em seguida, selecione FileServerOU. Clique com o botão direito do mouse em Criar um GPO neste domínio e vincule-o aqui
Digite um nome descritivo para o GPO, como FlexibleAccessGPO, e clique em OK.
Para habilitar o Controle de Acesso Dinâmico para contoso.com
Abra o Console de Gerenciamento de Diretiva de Grupo, clique em contoso.com e clique duas vezes em Controladores de Domínio.
Clique com o botão direito do mouse em Diretiva de Controladores de Domínio Padrão e selecione Editar.
Na janela Editor de Gerenciamento de Diretiva de Grupo, clique duas vezes em Configuração do Computador, clique duas vezes em Diretivas, clique duas vezes em Modelos Administrativos, clique duas vezes em Sistema e, em seguida, clique duas vezes em KDC.
Clique duas vezes em Suporte KDC para declarações, autenticação composta e proteção Kerberos e selecione a opção ao lado de Habilitado. Você precisa habilitar essa configuração para usar as Políticas de Acesso Central.
Abra um prompt de comando elevado e execute o seguinte comando:
gpupdate /force
Criar o servidor de ficheiros e o servidor AD RMS (FILE1)
Crie uma máquina virtual com o nome FILE1 a partir da ISO do Windows Server 2012.
Conecte a máquina virtual ao ID_AD_Network.
Junte a máquina virtual ao domínio contoso.com e, em seguida, inicie sessão em FILE1 como contoso\administrator utilizando a palavra-passe pass@word1.
Instalar o Gerenciador de Recursos de Serviços de Arquivo
Para instalar a função Serviços de Arquivo e o Gerenciador de Recursos de Servidor de Arquivos
No Gerenciador do Servidor, clique em Adicionar Funções e Recursos.
Na página Antes de começar, clique em Avançar.
Na página Selecionar tipo de instalação , clique em Avançar.
Na página Selecionar servidor de destino , clique em Avançar.
Na página Selecionar Funções de Servidor, expanda Serviços de Ficheiro e Armazenamento, marque a caixa de seleção ao lado de Serviços de Ficheiro e iSCSI, expanda e selecione Gestor de Recursos do Servidor de Ficheiros.
No Assistente para Adicionar Funções e Recursos, clique em Adicionar Recursos e, em seguida, clique em Avançar.
Na página Selecionar recursos , clique em Avançar.
Na página Confirmar seleções de instalação , clique em Instalar.
Na página Progresso da instalação , clique em Fechar.
Instalar os Pacotes de Filtros do Microsoft Office no servidor de arquivos
Você deve instalar os Pacotes de Filtros do Microsoft Office no Windows Server 2012 para habilitar IFilters para uma matriz maior de arquivos do Office do que os fornecidos por padrão. O Windows Server 2012 não tem IFilters para arquivos do Microsoft Office instalados por padrão, e a infraestrutura de classificação de arquivos usa IFilters para executar a análise de conteúdo.
Para baixar e instalar os IFilters, consulte Microsoft Office 2010 Filter Packs.
Configurar notificações por e-mail no FILE1
Ao criar cotas e triagens de arquivos, você tem a opção de enviar notificações por e-mail aos usuários quando o limite de cota estiver se aproximando ou depois que eles tentarem salvar arquivos que foram bloqueados. Se quiser notificar rotineiramente determinados administradores sobre eventos de triagem de cota e arquivo, você pode configurar um ou mais destinatários padrão. Para enviar essas notificações, você deve especificar o servidor SMTP a ser usado para encaminhar as mensagens de email.
Para configurar opções de email no Gerenciador de Recursos de Servidor de Arquivos
Abra o Gerenciador de Recursos do Servidor de Arquivos. Para abrir o Gestor de Recursos de Servidor de Arquivos, clique em Iniciar, escreva Gestor de Recursos de Servidor de Arquivos e clique em Gestor de Recursos de Servidor de Arquivos.
Na interface Gerenciador de Recursos de Servidor de Arquivos, clique com o botão direito do mouse em Gerenciador de Recursos de Servidor de Arquivos e clique em Configurar opções. A caixa de diálogo Opções do Gerenciador de Recursos do Servidor de Arquivos é aberta.
Na guia Notificações por Email , em Nome do servidor SMTP ou Endereço IP, digite o nome do host ou o endereço IP do servidor SMTP que encaminhará as notificações por email.
Se você quiser notificar rotineiramente determinados administradores sobre eventos de triagem de cota ou arquivo, em Destinatários de administrador padrão, digite cada endereço de e-mail, como fileadmin@contoso.com. Use o formato account@domain e utilize ponto-e-vírgulas para separar várias contas.
Criar grupos em FILE1
Para criar grupos de segurança em FILE1
Entre no FILE1 como contoso\administrator, com a senha: pass@word1.
Adicione NT AUTHORITY\Authenticated Users ao grupo WinRMRemoteWMIUsers__ .
Criar ficheiros e pastas em FILE1
Crie um novo volume NTFS em FILE1 e, em seguida, crie a seguinte pasta: D:\Finance Documents.
Crie os seguintes arquivos com os detalhes especificados:
Finance Memo.docx: Adicione algum texto relacionado a finanças no documento. Por exemplo, «As regras de negócio sobre quem pode aceder aos documentos financeiros foram alteradas. Os documentos financeiros são agora acedidos apenas pelos membros do grupo FinanceExpert. Nenhum outro departamento ou grupo tem acesso.» Você precisa avaliar o impacto dessa alteração antes de implementá-la no ambiente. Certifique-se de que este documento tenha CONTOSO CONFIDENTIAL como rodapé em todas as páginas.
Pedido de Aprovação para Hire.docx: Crie um formulário neste documento que recolha informações sobre o candidato. Você deve ter os seguintes campos no documento: Nome do candidato, CPF, Cargo, Salário proposto, Data de início, Nome do supervisor, Departamento. Adicione uma seção adicional no documento que tenha um formulário para Assinatura do supervisor, Salário aprovado, Conformação da oferta e Status da oferta. Ative o gerenciamento de direitos de documentos.
Word Document1.docx: Adicione algum conteúdo de teste a este documento.
Word Document2.docx: Adicione conteúdo de teste a este documento.
Workbook1.xlsx
Workbook2.xlsx
Crie uma pasta na área de trabalho chamada Expressões Regulares. Crie um documento de texto na pasta chamada RegEx-SSN. Digite o seguinte conteúdo no ficheiro e, em seguida, salve e feche o ficheiro: ^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$
Partilhe a pasta D:\Finance Documents como Documentos Financeiros e permita que todos tenham acesso de Leitura e Escrita à partilha.
Note
As políticas de acesso central não são ativadas por padrão no sistema ou no volume de inicialização C:.
Instalar o Active Directory Rights Management Services
Adicione o Ative Directory Rights Management Services (AD RMS) e todos os recursos necessários por meio do Gerenciador do Servidor. Escolha todas as predefinições.
Para instalar o Active Directory Rights Management Services
Entre no FILE1 como CONTOSO\Administrator ou como membro do grupo Administradores do Domínio.
Important
Para instalar a função de servidor AD RMS, a conta do instalador (neste caso, CONTOSO\Administrator) terá de ser membro do grupo Administradores local no computador servidor onde o AD RMS será instalado, bem como membro do grupo Administradores de Empresa no Ative Directory.
No Gerenciador do Servidor, clique em Adicionar Funções e Recursos. O Assistente para Adicionar Funções e Recursos é exibido.
Na tela Antes de começar , clique em Avançar.
Na tela Selecionar Tipo de Instalação , clique em Instalação Baseada em Função/Recurso e clique em Avançar.
Na tela Selecionar Destinos do Servidor , clique em Avançar.
Na tela Selecionar Funções de Servidor , marque a caixa ao lado de Ative Directory Rights Management Services e clique em Avançar.
Na caixa de diálogo Adicionar recursos necessários para o Ative Directory Rights Management Services? , clique em Adicionar Recursos.
Na tela Selecionar Funções de Servidor , clique em Avançar.
Na tela Selecionar recursos para instalar , clique em Avançar.
Na tela Ative Directory Rights Management Services , clique em Avançar.
Na tela Selecionar Serviços de Função , clique em Avançar.
Na tela Função de Servidor Web (IIS), clique em Avançar.
Na tela Selecionar Serviços de Função , clique em Avançar.
Na tela Confirmar seleções de instalação , clique em Instalar.
Após a conclusão da instalação, na tela Progresso da Instalação , clique em Executar configuração adicional. O Assistente de Configuração do AD RMS é exibido.
No ecrã AD RMS , clique em Seguinte.
Na tela Cluster AD RMS , selecione Criar um novo cluster raiz do AD RMS e clique em Avançar.
Na tela Banco de Dados de Configuração , clique em Usar Banco de Dados Interno do Windows neste servidor e clique em Avançar.
Note
O uso do Banco de Dados Interno do Windows é recomendado apenas para ambientes de teste porque ele não oferece suporte a mais de um servidor no cluster AD RMS. As implantações de produção devem usar um servidor de banco de dados separado.
No ecrã Conta de Serviço , em Conta de Utilizador de Domínio, clique em Especificar e, em seguida, especifique o nome de utilizador (contoso\rms) e a Palavra-passe (pass@word1), clique em OK e, em seguida, clique em Seguinte.
Na tela Modo Criptográfico , clique em Modo Criptográfico 2.
No ecrã Armazenamento de Chave de Cluster, clique em Avançar.
No ecrã Palavra-passe da Chave de Cluster , nas caixas Palavra-passe e Confirmar palavra-passe , escreva pass@word1 e, em seguida, clique em Seguinte.
Na tela Site do Cluster , verifique se Site Padrão está selecionado e clique em Avançar.
Na tela Endereço do Cluster , selecione a opção Usar uma conexão não criptografada , na caixa Nome de Domínio Totalmente Qualificado , digite FILE1.contoso.com e clique em Avançar.
Na tela Nome do Certificado de Licenciante , aceite o nome padrão (FILE1) na caixa de texto e clique em Avançar.
Na tela Registro do SCP , selecione Registrar SCP agora e clique em Avançar.
Na tela Confirmação , clique em Instalar.
No ecrã Resultados , clique em Fechar e, em seguida, clique em Fechar no ecrã Progresso da Instalação . Quando terminar, termine a sessão e inicie a sessão como contoso\rms usando a senha fornecida (pass@word1).
Inicie o console do AD RMS e navegue até Modelos de Política de Direitos.
Para abrir a consola do AD RMS, no Gestor de Servidor, clique em Servidor Local na árvore da consola, clique em Ferramentas e, em seguida, clique em Serviços de Gestão de Direitos do Ative Directory.
Clique no modelo Criar Política de Direitos Distribuídos localizado no painel direito, clique em Adicionar e selecione as seguintes informações:
Idioma: Inglês dos EUA
Nome: Somente administrador do Contoso Finance
Descrição: Somente administrador de finanças da Contoso
Clique em Adicionar e, em seguida, clique em Avançar.
Na seção Usuários e Direitos, clique em Usuários e direitos, clique em Adicionar, digite financeadmin@contoso.come clique em OK.
Selecione Controle Total e deixe o direito de Conceder ao proprietário (autor) controle total sem expiração selecionado.
Clique nas guias restantes sem alterações e, em seguida, clique em Concluir. Entre como CONTOSO\Administrator.
Navegue até a pasta C:\inetpub\wwwroot\_wmcs\certification, selecione o arquivo ServerCertification.asmx e adicione Usuários Autenticados para ter permissões de Leitura e Gravação ao arquivo.
Abra o Windows PowerShell e execute
Get-FsrmRmsTemplate. Verifique se consegue ver o modelo RMS criado nas etapas anteriores deste procedimento com este comando.
Important
Se desejar que os servidores de arquivos sejam alterados imediatamente para que você possa testá-los, será necessário fazer o seguinte:
No servidor de arquivos, FILE1, abra um prompt de comando elevado e execute os seguintes comandos:
- gpupdate /force.
- NLTEST /SC_RESET:contoso.com
No controlador de domínio (DC1), replique o Ative Directory.
Para obter mais informações sobre as etapas para forçar a replicação do Ative Directory, consulte Replicação do Ative Directory
Opcionalmente, em vez de usar o Assistente para Adicionar Funções e Recursos no Gerenciador do Servidor, você pode usar o Windows PowerShell para instalar e configurar a função de servidor AD RMS, conforme mostrado no procedimento a seguir.
Para instalar e configurar um cluster AD RMS no Windows Server 2012 usando o Windows PowerShell
Faça logon como CONTOSO\Administrator com a senha: pass@word1.
Important
Para instalar a função de servidor AD RMS, a conta do instalador (neste caso, CONTOSO\Administrator) terá de ser membro do grupo Administradores local no computador servidor onde o AD RMS será instalado, bem como membro do grupo Administradores de Empresa no Ative Directory.
Na área de trabalho do Servidor, clique com o botão direito do mouse no ícone do Windows PowerShell na barra de tarefas e selecione Executar como Administrador para abrir um prompt do Windows PowerShell com privilégios administrativos.
Para usar cmdlets do Gerenciador do Servidor para instalar a função de servidor AD RMS, digite:
Add-WindowsFeature ADRMS '"IncludeAllSubFeature '"IncludeManagementToolsCrie a unidade do Windows PowerShell para representar o servidor AD RMS que você está instalando.
Por exemplo, para criar uma unidade do Windows PowerShell chamada RC para instalar e configurar o primeiro servidor em um cluster raiz do AD RMS, digite:
Import-Module ADRMS New-PSDrive -PSProvider ADRMSInstall -Name RC -Root RootClusterDefina propriedades em objetos no namespace da unidade que representam as definições de configuração necessárias.
Por exemplo, para definir a conta de serviço AD RMS, no prompt de comando do Windows PowerShell, digite:
$svcacct = Get-CredentialQuando a caixa de diálogo Segurança do Windows for exibida, digite o nome de usuário de domínio da conta de serviço AD RMS CONTOSO\RMS e a senha atribuída.
Em seguida, para atribuir a conta de serviço AD RMS às configurações do cluster AD RMS, digite o seguinte:
Set-ItemProperty -Path RC:\ -Name ServiceAccount -Value $svcacctEm seguida, para definir o servidor AD RMS para usar o Banco de Dados Interno do Windows, no prompt de comando do Windows PowerShell, digite:
Set-ItemProperty -Path RC:\ClusterDatabase -Name UseWindowsInternalDatabase -Value $trueEm seguida, para armazenar com segurança a senha da chave de cluster em uma variável, no prompt de comando do Windows PowerShell, digite:
$password = Read-Host -AsSecureString -Prompt "Password:"Digite a senha da chave de cluster e pressione a tecla ENTER.
Em seguida, para atribuir a senha à instalação do AD RMS, no prompt de comando do Windows PowerShell, digite:
Set-ItemProperty -Path RC:\ClusterKey -Name CentrallyManagedPassword -Value $passwordEm seguida, para definir o endereço do cluster AD RMS, no prompt de comando do Windows PowerShell, digite:
Set-ItemProperty -Path RC:\ -Name ClusterURL -Value "http://file1.contoso.com:80"Em seguida, para atribuir o nome SLC para sua instalação do AD RMS, no prompt de comando do Windows PowerShell, digite:
Set-ItemProperty -Path RC:\ -Name SLCName -Value "FILE1"Em seguida, para definir o ponto de conexão de serviço (SCP) para o cluster AD RMS, no prompt de comando do Windows PowerShell, digite:
Set-ItemProperty -Path RC:\ -Name RegisterSCP -Value $trueExecute o comando cmdlet Install-ADRMS. Além de instalar a função de servidor AD RMS e configurar o servidor, este cmdlet também instala outros recursos exigidos pelo AD RMS, se necessário.
Por exemplo, para alterar para a unidade do Windows PowerShell chamada RC e instalar e configurar o AD RMS, digite:
Set-Location RC:\ Install-ADRMS -Path.Digite "Y" quando o cmdlet solicitar que você confirme que deseja iniciar a instalação.
Faça logout como CONTOSO\Administrator e faça logon como CONTOSO\RMS usando a senha fornecida ("pass@word1").
Important
Para gerir o servidor AD RMS, a conta em que iniciou sessão e está a utilizar para gerir o servidor (neste caso, CONTOSO\RMS) terá de ser membro do grupo Administradores local no computador servidor AD RMS, bem como membro do grupo Administradores de Empresa no Ative Directory.
Na área de trabalho do Servidor, clique com o botão direito do mouse no ícone do Windows PowerShell na barra de tarefas e selecione Executar como Administrador para abrir um prompt do Windows PowerShell com privilégios administrativos.
Crie a unidade do Windows PowerShell para representar o servidor AD RMS que você está configurando.
Por exemplo, para criar uma unidade do Windows PowerShell chamada RC para configurar o cluster raiz do AD RMS, digite:
Import-Module ADRMSAdmin ` New-PSDrive -PSProvider ADRMSAdmin -Name RC -Root http://localhost -Force -Scope GlobalPara criar um novo modelo de direitos para o administrador financeiro da Contoso e atribuir-lhe direitos de utilizador com controlo total na sua instalação do AD RMS, na linha de comandos do Windows PowerShell, escreva:
New-Item -Path RC:\RightsPolicyTemplate '"LocaleName en-us -DisplayName "Contoso Finance Admin Only" -Description "Contoso Finance Admin Only" -UserGroup financeadmin@contoso.com -Right ('FullControl')Para verificar se você pode ver o novo modelo de direitos para o administrador financeiro da Contoso, no prompt de comando do Windows PowerShell:
Get-FsrmRmsTemplateAnalise a saída deste cmdlet para confirmar se o modelo RMS criado na etapa anterior está presente.
Criar o servidor de correio (SRV1)
SRV1 é o servidor de correio SMTP/POP3. Você precisa configurá-lo para que possa enviar notificações por e-mail como parte do cenário de assistência Access-Denied.
Configure o Microsoft Exchange Server neste computador. Para obter mais informações, consulte Como instalar o Exchange Server.
Criar a máquina virtual cliente (CLIENT1)
Para criar a máquina virtual cliente
Conecte o CLIENT1 ao ID_AD_Network.
Instale o Microsoft Office 2010.
Entre como Contoso\Administrador e use as seguintes informações para configurar o Microsoft Outlook.
Seu nome: File Administrator
Endereço de e-mail: fileadmin@contoso.com
Tipo de conta: POP3
Servidor de entrada de e-mail: Endereço IP estático de SRV1
Servidor de e-mail de saída: Endereço IP estático de SRV1
Nome de usuário: fileadmin@contoso.com
Lembrar senha: Selecione
Crie um atalho para o Outlook na área de trabalho contoso\administrator.
Abra o Outlook e resolva todas as mensagens 'iniciadas pela primeira vez'.
Exclua todas as mensagens de teste que foram geradas.
Crie um novo atalho na área de trabalho para todos os usuários na máquina virtual cliente que aponte para \\FILE1\Finance Documents.
Reinicialize conforme necessário.
Habilite a assistência Access-Denied na máquina virtual cliente
Abra o Editor do Registro e navegue até HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Explorer.
Defina EnableShellExecuteFileStreamCheck como 1.
Valor: DWORD
Configuração de laboratório para implantação de declarações em florestas
Criar uma máquina virtual para DC2
Crie uma máquina virtual a partir da ISO do Windows Server 2012.
Crie o nome da máquina virtual como DC2.
Conecte a máquina virtual ao ID_AD_Network.
Important
A associação de máquinas virtuais a um domínio e a implantação de tipos de declaração entre florestas exigem que as máquinas virtuais sejam capazes de resolver os FQDNs dos domínios relevantes. Talvez seja necessário configurar manualmente as configurações de DNS nas máquinas virtuais para fazer isso. Para obter mais informações, consulte Configurando uma rede virtual.
Todas as imagens de máquinas virtuais (servidores e clientes) devem ser reconfiguradas para usar um endereço IP estático versão 4 (IPv4) e configurações de cliente DNS (Sistema de Nomes de Domínio). Para obter mais informações, consulte Configurar um cliente DNS para endereço IP estático.
Configure uma nova floresta chamada adatum.com
Para instalar os Serviços de Domínio Active Directory
Conecte a máquina virtual ao ID_AD_Network. Inicie sessão no DC2 como Administrador com a palavra-passe Pass@word1.
No Gerenciador do Servidor, clique em Gerenciare, em seguida, clique em Adicionar Funções e Recursos.
Na página Antes de começar, clique em Avançar.
Na página Selecionar Tipo de Instalação , clique em Instalação Baseada em Função ou Recurso e em Avançar.
Na página Selecionar servidor de destino , clique em Selecionar um servidor do pool de servidores, clique nos nomes do servidor onde deseja instalar os Serviços de Domínio Ative Directory (AD DS) e clique em Avançar.
Na página Selecionar Funções de Servidor , clique em Serviços de Domínio Ative Directory. Na caixa de diálogo Assistente para Adicionar Funções e Recursos , clique em Adicionar Recursos e, em seguida, clique em Avançar.
Na página Selecionar Recursos , clique em Avançar.
Na página AD DS , reveja as informações e, em seguida, clique em Seguinte.
Na página Confirmação , clique em Instalar. A barra de progresso da instalação do recurso na página Resultados indica que a função está sendo instalada.
Na página Resultados , verifique se a instalação foi bem-sucedida e clique no ícone de aviso com um ponto de exclamação no canto superior direito da tela, ao lado de Gerenciar. Na lista Tarefas, clique no link Promover este servidor para um controlador de domínio .
Important
Se você fechar o assistente de instalação neste momento, em vez de clicar em Promover este servidor para um controlador de domínio, poderá continuar a instalação do AD DS clicando em Tarefas no Gerenciador do Servidor.
Na página Configuração de Implantação , clique em Adicionar uma nova floresta, digite o nome do domínio raiz, adatum.com e clique em Avançar.
Na página Opções do Controlador de Domínio , selecione os níveis funcionais de domínio e floresta como Windows Server 2012, especifique a senha DSRM pass@word1 e clique em Avançar.
Na página Opções de DNS , clique em Avançar.
Na página Opções Adicionais , clique em Avançar.
Na página Caminhos , digite os locais do banco de dados do Ative Directory, dos arquivos de log e da pasta SYSVOL (ou aceite os locais padrão) e clique em Avançar.
Na página Opções de Revisão , confirme suas seleções e clique em Avançar.
Na página Verificação de Pré-requisitos , confirme se a validação dos pré-requisitos foi concluída e clique em Instalar.
Na página Resultados , verifique se o servidor foi configurado com êxito como um controlador de domínio e clique em Fechar.
Reinicie o servidor para concluir a instalação do AD DS. (Por padrão, isso acontece automaticamente.)
Important
Para garantir que a rede esteja configurada corretamente, depois de configurar ambas as florestas, você deve fazer o seguinte:
- Inicie sessão no adatum.com como adatum\administrator. Abra uma janela de Prompt de Comando, digite nslookup contoso.com e pressione ENTER.
- Entre no contoso.com como contoso\administrator. Abra uma janela de Prompt de Comando, digite nslookup adatum.com e pressione ENTER.
Se esses comandos forem executados sem erros, as florestas poderão se comunicar entre si. Para mais informações sobre erros do nslookup, consulte a secção de resolução de problemas no tópico Usando NSlookup.exe
Defina contoso.com como uma floresta confiável para adatum.com
Nesta etapa, você cria uma relação de confiança entre o site da Adatum Corporation e o site da Contoso, Ltd.
Para definir a Contoso como uma floresta confiável para Adatum
Inicie sessão no DC2 como administrador. Na tela inicial , digite domain.msc.
Na árvore da consola, clique com o botão direito do rato em adatum.com e, em seguida, clique em Propriedades.
No separador Confianças , clique em Nova Confiança e, em seguida, clique em Seguinte.
Na página Nome de Confiança , digite contoso.com, no campo Nome DNS (Sistema de Nomes de Domínio) e clique em Avançar.
Na página Tipo de Confiança , clique em Confiança na Floresta e, em seguida, clique em Seguinte.
Na página Direção da Confiança, clique em Dois sentidos.
Na página Lados da Confiança , clique em Este domínio e no domínio especificado e, em seguida, clique em Seguinte.
Continue a seguir as instruções no assistente.
Criar usuários adicionais na floresta de Adatum
Crie o usuário Jeff Low com a senha pass@word1 e atribua o atributo da empresa com o valor Adatum.
Para criar um usuário com o atributo Company
Abra um prompt de comando elevado no Windows PowerShell e cole o seguinte código:
New-ADUser ` -SamAccountName jlow ` -Name "Jeff Low" ` -UserPrincipalName jlow@adatum.com ` -AccountPassword (ConvertTo-SecureString ` -AsPlainText "pass@word1" -Force) ` -Enabled $true ` -PasswordNeverExpires $true ` -Path 'CN=Users,DC=adatum,DC=com' ` -Company Adatum`
Crie o tipo de reivindicação Empresa no adataum.com
Para criar um tipo de declaração usando o Windows PowerShell
Inicie sessão no adatum.com como administrador.
Abra um prompt de comando com privilégios elevados no Windows PowerShell e digite o seguinte código:
New-ADClaimType ` -AppliesToClasses:@('user') ` -Description:"Company" ` -DisplayName:"Company" ` -ID:"ad://ext/Company:ContosoAdatum" ` -IsSingleValued:$true ` -Server:"adatum.com" ` -SourceAttribute:Company ` -SuggestedValues:@((New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("Contoso", "Contoso", "")), (New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("Adatum", "Adatum", ""))) `
Ative a propriedade de recurso da Empresa no contoso.com
Para ativar a propriedade de recurso da empresa no contoso.com
Inicie sessão no contoso.com como administrador.
No Gerenciador do Servidor, clique em Ferramentas e, em seguida, clique em Centro Administrativo do Ative Directory.
No painel esquerdo do Centro Administrativo do Ative Directory, clique em Modo de Exibição em Árvore. No painel esquerdo, clique em Controle de Acesso Dinâmico e clique duas vezes em Propriedades do Recurso.
Selecione Empresa na lista Propriedades do Recurso , clique com o botão direito do mouse e selecione Propriedades. Na seção Valores Sugeridos , clique em Adicionar para adicionar os valores sugeridos: Contoso e Adatum e clique em OK duas vezes.
Selecione Empresa na lista Propriedades do Recurso , clique com o botão direito do mouse e selecione Ativar.
Ativar o Controle de Acesso Dinâmico no adatum.com
Para habilitar o Controle de Acesso Dinâmico para adatum.com
Inicie sessão no adatum.com como administrador.
Abra o Console de Gerenciamento de Diretiva de Grupo, clique em adatum.com e clique duas vezes em Controladores de Domínio.
Clique com o botão direito do mouse em Diretiva de Controladores de Domínio Padrão e selecione Editar.
Na janela Editor de Gerenciamento de Diretiva de Grupo, clique duas vezes em Configuração do Computador, clique duas vezes em Diretivas, clique duas vezes em Modelos Administrativos, clique duas vezes em Sistema e, em seguida, clique duas vezes em KDC.
Clique duas vezes em Suporte KDC para declarações, autenticação composta e proteção Kerberos e selecione a opção ao lado de Habilitado. Você precisa habilitar essa configuração para usar as Políticas de Acesso Central.
Abra um prompt de comando elevado e execute o seguinte comando:
gpupdate /force
Crie o tipo de reivindicação da empresa no contoso.com
Para criar um tipo de declaração usando o Windows PowerShell
Inicie sessão no contoso.com como administrador.
Abra um prompt de comando com privilégios elevados no Windows PowerShell e digite o seguinte código:
New-ADClaimType '"SourceTransformPolicy ` '"DisplayName 'Company' ` '"ID 'ad://ext/Company:ContosoAdatum' ` '"IsSingleValued $true ` '"ValueType 'string' `
Criar a regra de acesso central
Para criar uma regra de acesso central
No painel esquerdo do Centro Administrativo do Ative Directory, clique em Modo de Exibição em Árvore. No painel esquerdo, clique em Controlo de Acesso Dinâmico e, em seguida, clique em Regras de Acesso Central.
Clique com o botão direito do rato em Regras de Acesso Central, clique em Novo e, em seguida, em Regra de Acesso Central.
No campo Nome , digite AdatumEmployeeAccessRule.
Na seção Permissões , selecione a opção Usar as seguintes permissões como permissões atuais , clique em Editar e, em seguida, clique em Adicionar. Clique no link Selecionar um principal, digite Utilizadores Autenticados e clique em OK.
Na caixa de diálogo Entrada de Permissão para Permissões, clique em Adicionar uma condição e insira as seguintes condições: [Utilizador] [Empresa] [Igual] [Valor] [Adatum]. As permissões devem ser Modificar, Ler e Executar, Ler, Escrever.
Clique em OK.
Clique em OK três vezes para concluir e retornar ao Centro Administrativo do Ative Directory.
Comandos equivalentes do Windows PowerShellO cmdlet ou cmdlets do Windows PowerShell a seguir executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que os cmdlets possam aparecer divididos em várias linhas aqui por restrições de formatação.
New-ADCentralAccessRule ` -CurrentAcl:"O:SYG:SYD:AR(A;;FA;;;OW)(A;;FA;;;BA)(A;;FA;;;SY)(XA;;0x1301bf;;;AU;(@USER.ad://ext/Company:ContosoAdatum == `"Adatum`"))" ` -Name:"AdatumEmployeeAccessRule" ` -ProposedAcl:$null ` -ProtectedFromAccidentalDeletion:$true ` -Server:"contoso.com" `
Criar a política de acesso central
Para criar uma política de acesso central
Inicie sessão no contoso.com como administrador.
Abra um prompt de comando com privilégios elevados no Windows PowerShell e cole o seguinte código:
New-ADCentralAccessPolicy "Adatum Only Access Policy" Add-ADCentralAccessPolicyMember "Adatum Only Access Policy" ` -Member "AdatumEmployeeAccessRule" `
Publicar a nova política através da Política de Grupo
Para aplicar a política de acesso central entre servidores de arquivos por meio da Diretiva de Grupo
Na tela Iniciar , digite Ferramentas Administrativas e, na barra de pesquisa, clique em Configurações. Nos resultados de Configurações , clique em Ferramentas Administrativas. Abra o Console de Gerenciamento de Diretiva de Grupo na pasta Ferramentas Administrativas .
Tip
Se a configuração Mostrar Ferramentas Administrativas estiver desabilitada, a pasta Ferramentas Administrativas e seu conteúdo não aparecerão nos resultados das Configurações .
Clique com o botão direito do mouse no domínio contoso.com, clique em Criar um GPO neste domínio e vincule-o aqui
Digite um nome descritivo para o GPO, como AdatumAccessGPO, e clique em OK.
Para aplicar a diretiva de acesso central ao servidor de arquivos por meio da Diretiva de Grupo
Na tela Iniciar , digite Gerenciamento de Política de Grupo, na caixa Pesquisar . Abra o Gerenciamento de Diretiva de Grupo na pasta Ferramentas Administrativas.
Tip
Se a configuração Mostrar Ferramentas Administrativas estiver desabilitada, a pasta Ferramentas Administrativas e seu conteúdo não aparecerão nos resultados das Configurações.
Navegue até Contoso e selecione-a da seguinte maneira: Gerenciamento de Política de Grupo\Floresta: contoso.com\Domínios\contoso.com.
Clique com o botão direito do mouse na política AdatumAccessGPO e selecione Editar.
No Editor de Gerenciamento de Diretiva de Grupo, clique em Configuração do Computador, expanda Diretivas, expanda Configurações do Windows e clique em Configurações de Segurança.
Expanda Sistema de Arquivos, clique com o botão direito do mouse em Política de Acesso Central e clique em Gerenciar Políticas de Acesso Central.
Na caixa de diálogo Configuração de Políticas de Acesso Central, clique em Adicionar, selecione Política de Acesso Apenas Adatum e clique em OK.
Feche o Editor de Gestão de Política de Grupo. Agora você adicionou a diretiva de acesso central à Diretiva de Grupo.
Criar a pasta Ganhos no servidor de arquivos
Crie um novo volume NTFS em FILE1 e crie a seguinte pasta: D:\Earnings.
Note
As políticas de acesso central não são ativadas por padrão no sistema ou no volume de inicialização C:.
Definir classificação e aplicar a política de acesso central na pasta Ganhos
Para atribuir a política de acesso central no servidor de arquivos
No Hyper-V Manager, conecte-se ao servidor FILE1. Entre no servidor usando Contoso\Administrator, com a senha pass@word1.
Abra um prompt de comando elevado e digite: gpupdate /force. Isso garantirá que as alterações da Diretiva de Grupo entrem em vigor no servidor.
Você também precisa atualizar as Propriedades de Recursos Globais do Ative Directory. Abra o Windows PowerShell, digite
Update-FSRMClassificationpropertyDefinitione pressione ENTER. Feche o Windows PowerShell.Abra o Windows Explorer e navegue até D:\EARNINGS. Clique com o botão direito do mouse na pasta Ganhos e clique em Propriedades.
Clique na guia Classificação . Selecione Empresa e, em seguida, selecione Adatum no campo Valor .
Clique em Alterar, selecione Política de Acesso Somente Adatum no menu suspenso e clique em Aplicar.
Clique no separador Segurança , clique em Avançadas e, em seguida, clique no separador Política Central . Você deve ver o AdatumEmployeeAccessRule listado. Você pode expandir o item para exibir todas as permissões definidas quando criou a regra no Ative Directory.
Clique em OK para regressar ao Explorador do Windows.