Olá,
Recentemente precisei efetuar uma pesquisa no meu AD que me trouxesse como resultado todos os logins (samid) dos usuários.
Achei um momento interessante para por em prática as ferramentas de consulta do AD (DSQUERY).
Aminha consulta específica montei da seguinte forma:
dsquery user -limit 200 ou=usuarios,ou=cm,dc=casamagalhaes,dc=com,dc=br -name * | dsget user -samid
Traduzindo:
dsquery user -limit 200 -> Consulta de até 200 usuários
ou=usuarios,ou=cm,dc=casamagalhaes,dc=com,dc=br -> Caminho completo da OU onde estão os usuários que serão consultados
-name * -> Consultar qualquer nome
| dsget user -samid -> Aqui estou especificando o que quero a consulta me retorne, nesse caso os logins dos usuários
Informações mais detalhadas sobre a ferramenta DSQUERY podem ser encontradas no link:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/pt-br/library/ServerHelp/46ba1426-43fd-4985-b429-cd53d3046f01.mspx?mfr=true
[]´s
sexta-feira, 5 de outubro de 2007
quarta-feira, 19 de setembro de 2007
Olá,
Há pouco descobri uma ferramenta que me ajudou a resolver um problema de replicação entre dois controladores de domínio. É a ferramenta da Microsoft DCDIAG. Trata-se de uma ferramenta de linha de comando que faz analise dos controladores de domínio de uma floresta. No meu caso, como o problema relaciona-se a replicação utilizei o seguinte teste:
Dcdiag /test:Replications
Esse teste me mostrou erros específicos que pude avaliar e corrigir no meu domínio para que a replicação voltasse a ocorrer normalmente. O Dcdiag também possui outros testes interessantes como: registro de DNS dos servidores (Connectivity), serviço de Logon (NetLogons), serviço FSMO (FsmoCheck), etc.
Essa ferramenta pode ser baixada gratuitamente da área de downloads da Microsoft (http://www.microsoft.com/downloads).
Há pouco descobri uma ferramenta que me ajudou a resolver um problema de replicação entre dois controladores de domínio. É a ferramenta da Microsoft DCDIAG. Trata-se de uma ferramenta de linha de comando que faz analise dos controladores de domínio de uma floresta. No meu caso, como o problema relaciona-se a replicação utilizei o seguinte teste:
Dcdiag /test:Replications
Esse teste me mostrou erros específicos que pude avaliar e corrigir no meu domínio para que a replicação voltasse a ocorrer normalmente. O Dcdiag também possui outros testes interessantes como: registro de DNS dos servidores (Connectivity), serviço de Logon (NetLogons), serviço FSMO (FsmoCheck), etc.
Essa ferramenta pode ser baixada gratuitamente da área de downloads da Microsoft (http://www.microsoft.com/downloads).
sábado, 8 de setembro de 2007
Monitorando o uso das portas no Windows
Olá,
É extremamente importante para o administrador saber que portas estão sendo utilizadas e por quais programas no seu Sistema Operacional. Utilize o comando Netstat para verificar se não exite nenhuma conexão estranha no seu micro. Portas abertas por conexões desconhecidas geralmente indicam algum tipo de invasão na máquina.
*netstat –a servidor = retorna a lista de nomes registrados no WINS, pelo computador chamado servidor
*netstat –a = Exibe todas as portas de conexões e de escuta
*netstat –e: Esta opção exibe estatísticas sobre a interface Ethernet do computador
*netstat –n: Exibe endereços e números de porta em forma numérica
*netstat –s: Exibe estatística por protocolo
*netstat -s –p ip 10: Mostra conexões para o protocolo especificado por protocolo, que pode ser tcp ou udp a cada 10 segundos.
* netstat –r: Exibe o conteúdo da tabela de roteamento do computador
[]´s
É extremamente importante para o administrador saber que portas estão sendo utilizadas e por quais programas no seu Sistema Operacional. Utilize o comando Netstat para verificar se não exite nenhuma conexão estranha no seu micro. Portas abertas por conexões desconhecidas geralmente indicam algum tipo de invasão na máquina.
*netstat –a servidor = retorna a lista de nomes registrados no WINS, pelo computador chamado servidor
*netstat –a = Exibe todas as portas de conexões e de escuta
*netstat –e: Esta opção exibe estatísticas sobre a interface Ethernet do computador
*netstat –n: Exibe endereços e números de porta em forma numérica
*netstat –s: Exibe estatística por protocolo
*netstat -s –p ip 10: Mostra conexões para o protocolo especificado por protocolo, que pode ser tcp ou udp a cada 10 segundos.
* netstat –r: Exibe o conteúdo da tabela de roteamento do computador
[]´s
Como localizar todos os arquivos pertencentes a um usuário em um disco
Olá,
É muito importante se estabelecer cotas de disco para gerenciar o limite de cópia dos usuários. Facilmente você pode ver quanto de espaço cada usuário está ocupando no disco. Mas como saber quais e onde estão os arquivos pertencentes a um usuário específico?
Para obter essa informação utilize o comando: FSUTIL FILE BYSID
Exemplo: fsutil file findbysid fulano c:\ > fulanoFiles.txt
Esse comando irá gravar a lista de arquivos pertencentes ao usuário fulano no arquivo fulanoFiles.txt
[]´s
É muito importante se estabelecer cotas de disco para gerenciar o limite de cópia dos usuários. Facilmente você pode ver quanto de espaço cada usuário está ocupando no disco. Mas como saber quais e onde estão os arquivos pertencentes a um usuário específico?
Para obter essa informação utilize o comando: FSUTIL FILE BYSID
Exemplo: fsutil file findbysid fulano c:\ > fulanoFiles.txt
Esse comando irá gravar a lista de arquivos pertencentes ao usuário fulano no arquivo fulanoFiles.txt
[]´s
Comandos para visualizar portas abertas no firewall do XP
Olá,
Seguem dois comandos muito interessantes para monitorar o firewall do Windows XP.
Visualizar portas abertas em todas as interfaces de rede: Netsh firewall show state
Exibir configuração completa do firewall: Netsh firewall show config
Dica: Utilize também o comando netstat [–a] [-n] [-o] para identificar os programas que podem ter portas de escuta abertas na configuração do firewall.
[]´s
Seguem dois comandos muito interessantes para monitorar o firewall do Windows XP.
Visualizar portas abertas em todas as interfaces de rede: Netsh firewall show state
Exibir configuração completa do firewall: Netsh firewall show config
Dica: Utilize também o comando netstat [–a] [-n] [-o] para identificar os programas que podem ter portas de escuta abertas na configuração do firewall.
[]´s
Desabilitando um serviço com o Console de recuperação do Windows
Olá,
O Console de recuperação do Windows pode evitar muitas dores de cabeça, inclusive formatações de máquinas. Procure conhecer seus recursos ao máximo. Por exemplo, se você não tiver conseguindo inicializar a máquina após a instalação de um driver ou serviço você pode desabilitá-lo com essa ferramenta.
Carregue o Console de recuperação pelo CD do Windows (o ideal é que você já tenha instalado na sua máquina. Verifique com fazê-lo em um outro tópico postado).
Primeiro identifique o serviço que deseja desabilitar com o comando: LISTSVC
Feito isso, desabilite o serviço com o comando: DISABLE
[]´s
O Console de recuperação do Windows pode evitar muitas dores de cabeça, inclusive formatações de máquinas. Procure conhecer seus recursos ao máximo. Por exemplo, se você não tiver conseguindo inicializar a máquina após a instalação de um driver ou serviço você pode desabilitá-lo com essa ferramenta.
Carregue o Console de recuperação pelo CD do Windows (o ideal é que você já tenha instalado na sua máquina. Verifique com fazê-lo em um outro tópico postado).
Primeiro identifique o serviço que deseja desabilitar com o comando: LISTSVC
Feito isso, desabilite o serviço com o comando: DISABLE
[]´s
terça-feira, 26 de junho de 2007
Instalando o Console de recuperação
Olá,
Quando se tem um servidor, deve-se adotar algumas políticas de recuperação de desastres. Uma que considero simples e de extrema importância é a instalação do Console de recuperação do Windows.
Imagine que seu servidor parou por conta de algum serviço novo instalado e você precisa desabilitar o serviço para conseguir inicializar o servidor novamente. Caso você não tenha o Console de recuperação já instalado, você deve correr para achar o cd do sistema operacional, dar o boot e aguardar a função ser carregada. Observe que você perdeu tempo precioso que poderia ser poupado se o console de recuperação já estivesse instalado. Neste caso, na inicialização do sistema operacional a opção para o console já seria fornecida.
Para instalar o console de recuperação acesse a pasta i386 do cd do Windows pelo prompt de comando e execute o seguinte comando: winnt32 /cmdcons. Pronto, o console será instalado e estará disponível na inicialização da máquina.
[]´s
Quando se tem um servidor, deve-se adotar algumas políticas de recuperação de desastres. Uma que considero simples e de extrema importância é a instalação do Console de recuperação do Windows.
Imagine que seu servidor parou por conta de algum serviço novo instalado e você precisa desabilitar o serviço para conseguir inicializar o servidor novamente. Caso você não tenha o Console de recuperação já instalado, você deve correr para achar o cd do sistema operacional, dar o boot e aguardar a função ser carregada. Observe que você perdeu tempo precioso que poderia ser poupado se o console de recuperação já estivesse instalado. Neste caso, na inicialização do sistema operacional a opção para o console já seria fornecida.
Para instalar o console de recuperação acesse a pasta i386 do cd do Windows pelo prompt de comando e execute o seguinte comando: winnt32 /cmdcons. Pronto, o console será instalado e estará disponível na inicialização da máquina.
[]´s
Preparando uma floresta Windows 2000 para receber um controlador de domínio 2003
Olá,
Quando precisei incluir um controlador 2003 em uma floresta Windows tive pequenas dificuldades que considero interessante divulgar como foram resolvidas.
O schema de um AD do Windows 2000 Server não é compatível com o schema do Windows 2003 Server, portanto se você deseja incluir o controlador 2003 na floresta do 2000 você deve prepará-la antes.
Antes de fazer qualquer procedimento gere um backup do Estado de sistema. Assim, havendo problemas mais sérios você terá como recuperar seu AD.
Feito o backup siga os seguintes passos:
1-) Desative a conexão de rede do seu controlador 2000 por questões de segurança.
2-) Insira do cd do Windows 2003 Server no seu controlador 2000, o cd possui os utulitários necessários para a preparação.
3-) Acesse pelo prompt de comando o drive do cd e dentro do cd a pasta i386.
4-) Agora execute o comando adprep /forestprep. Atenção, a versão correta do aplicativo Adprep.exe é a 5.2.3790.2075, tentei uma versão anterior e não deu certo. Se você já tiver executado uma versão anterior não tem problema, execute a mais nova que as informações adicionais serão incuídas. Encontrei a versão mais nova do Adprep no cd 2 do Windows 2003.
5-) Execute o comando adprep /domainprep.
6-) Execute o comando adprep /gpprep.
Pronto, reative a conexão de rede do controlador e reinicie. Feito isso inclua o controlador 2003 na floresta.
[]´s
Quando precisei incluir um controlador 2003 em uma floresta Windows tive pequenas dificuldades que considero interessante divulgar como foram resolvidas.
O schema de um AD do Windows 2000 Server não é compatível com o schema do Windows 2003 Server, portanto se você deseja incluir o controlador 2003 na floresta do 2000 você deve prepará-la antes.
Antes de fazer qualquer procedimento gere um backup do Estado de sistema. Assim, havendo problemas mais sérios você terá como recuperar seu AD.
Feito o backup siga os seguintes passos:
1-) Desative a conexão de rede do seu controlador 2000 por questões de segurança.
2-) Insira do cd do Windows 2003 Server no seu controlador 2000, o cd possui os utulitários necessários para a preparação.
3-) Acesse pelo prompt de comando o drive do cd e dentro do cd a pasta i386.
4-) Agora execute o comando adprep /forestprep. Atenção, a versão correta do aplicativo Adprep.exe é a 5.2.3790.2075, tentei uma versão anterior e não deu certo. Se você já tiver executado uma versão anterior não tem problema, execute a mais nova que as informações adicionais serão incuídas. Encontrei a versão mais nova do Adprep no cd 2 do Windows 2003.
5-) Execute o comando adprep /domainprep.
6-) Execute o comando adprep /gpprep.
Pronto, reative a conexão de rede do controlador e reinicie. Feito isso inclua o controlador 2003 na floresta.
[]´s
quarta-feira, 20 de junho de 2007
Cálculo da Memória virtual
Fiz algumas pesquisas sobre o dimensionamento ideal da memória virtual que deve ser configurada no micro. O seguinte cálculo costuma resolver o problema de pouca memória virtual:
Tamanho inicial = Valor da memória física existente no micro.
Tamanho máximo = Valor da memória física x 1.5
Por exemplo, o micro possui 512 Mb de memóra RAM, então a configuração ideal de memória seria:
Tamanho inicial = 512 Mb
Tamanho máximo = 512 x 1.5 = 768 Mb
Onde configurar??
Acesse as Propriedades do sistema, escolha a aba Avançado, clique no botão Configurações do bloco de Desempenho. Nas Opções de desempenho escolha a aba Avançado. No bloco Memória Virtual escolha Aterar. Insira os valores desejados e clique em Definir.
[]´s
Tamanho inicial = Valor da memória física existente no micro.
Tamanho máximo = Valor da memória física x 1.5
Por exemplo, o micro possui 512 Mb de memóra RAM, então a configuração ideal de memória seria:
Tamanho inicial = 512 Mb
Tamanho máximo = 512 x 1.5 = 768 Mb
Onde configurar??
Acesse as Propriedades do sistema, escolha a aba Avançado, clique no botão Configurações do bloco de Desempenho. Nas Opções de desempenho escolha a aba Avançado. No bloco Memória Virtual escolha Aterar. Insira os valores desejados e clique em Definir.
[]´s
quarta-feira, 13 de junho de 2007
Atualizando GPO
Olá,
O tempo padrão de atualização de GPO em um domínio é de 90 minutos, mas você com certeza encontra situações em que a atualização de alguma política tem que ser feita imediatamente. Nesses casos proceda da seguinte maneira:
Windows 2000 Professional ou Server:
O tempo padrão de atualização de GPO em um domínio é de 90 minutos, mas você com certeza encontra situações em que a atualização de alguma política tem que ser feita imediatamente. Nesses casos proceda da seguinte maneira:
Windows 2000 Professional ou Server:
- Atualiza as políticas da máquina: secedit /refreshpolicy machine_policy
- Atualiza as políticas de usuário: secedit /refreshpolicy user_policy
- Força as atualizações da política da máquina: secedit /refreshpolicy machine_policy /enforce
- Força as atualizações da política da máquina: secedit /refreshpolicy user_policy /enforce
- Atualiza as políticas de máquina e usuário: gpupdate
- Força a atualização das políticas de máquina e usuário: gpupdate /force
quinta-feira, 10 de maio de 2007
10 Dicas sobre o exame da Microsoft 70-290 - Managing and Maintaining a Microsoft Windows Server 2003 Environment
Olá,
Acabei de prestar esse exame da Microsoft e estou postando aqui algumas dicas sobre ele.
Acabei de prestar esse exame da Microsoft e estou postando aqui algumas dicas sobre ele.
1-) Exercite de forma prática todos os assuntos abordados no programa oficial do exame 70-290. Tente não ficar apenas no mundo da teoria. A Microsoft utiliza uma técnica de aplicação de teste chamada Simulated Desktop onde você tem a simulação do ambiente de configuração. Por exemplo, na questão você abre o Windows explorer para compartilhar uma determinada pasta e atribuir as devidas permissões a um usuário ou grupo de usuários. Das 43 questões do teste, encontrei essa ferramenta em aproximadamente 8 questões.
Então no decorrer dos seus estudos abra as telas para conhecê-las, faça configurações. Os detalhes são muito importantes e serão cobrados. Outro conselho que dou nesse sentido é criar um ambiente virtual de trabalho. Não utilize os servidores da sua empresa como ambiente de testes, isso pode lhe causar grandes transtornos. Utilize o Virtual PC da Microsoft, por exemplo. É uma ferramenta free.
2-) Estude detalhadamente o Monitor de sistema junto com Logs e alerta de desempenho. Crie logs de alertas. Configure uma conexão ODBC com um banco SQL para armazenar os logs dos contadores. Aprenda quais os principais contadores devem ser monitorados nos servidores a fim de detectar gargalos de utilização.
3-) Procure não ter dúvidas sobre o gerenciamento de discos. Domine os conceitos de disco básico e dinâmico. Saiba diferenciar e implementar RAID nos discos. Esse é um assunto bastante cobrado no teste.
4-) Aprenda a configurar perfis locais, móveis e mandatórios de usuário. Detalhe, não esqueça de que a variável de ambiente para o usuário é %username% . Por exemplo, na hora de configurar nas propriedades da conta do usuário o caminho do seu perfil você pode utilizar as seguintes formas: \\servidor\perfis\joao ou \\servidor\perfis\%username% .
5-) Não tenha dúvidas sobre os tipos de backup oferecidos pela ferramenta NTBACKUP do windows: Normal, Incremental, Diferencial, Diário e Cópia. As estratégias utilizadas para para reduzir o tempo do backup ou o tempo do restore. Aprenda como fazer backup do estado de sistema e o que ele contém. Aprenda também a criar um backup do tipo ASR. Isso será cobrado em detalhes com certeza. Na área de recuperação de desastre também é imprescindível saber como instalar a ferramenta Recovery console com o comando winnt32 /cmdcons e seus principais comandos como o LISTSVC para listar todos os serviços instalados no servidor e os comando DISABLE para desabilitar um desses serviços se necessário.
6-) Pratique exaustivamente a utilização de grupos para acesso a recursos de um domínio. Saiba em que momento deve-se utilizar os Grupos Locais, Grupos Globais ou Grupos Universais. Conheça a estratégia AGLP da Microsoft para atribuição de permissões que significa:
Criar contas de usuários (A = Accounts)
Adicionar contas de usuários aos Grupos Globais (G = Global)
Adicione os Grupos Globais (ou Universais) aos Grupos Locais (L = Local)
Conceda as permissões aos Grupos Locias (P = Permissions)
7-) Conheça todas as regras de permissões de compartilhamento e permissões NTFS. Lembre-se das seguintes regras de permissões:
COMPARTILHAMENTO + NTFS = Vale a mais restritiva das duas
NTFS no grupo A + NTFS do grupo B = vale a soma das permissões nos 2 grupos (permissões NTFS são cumulativas).
Negar tem predominância sobre permitir.
Permissão de arquivo tem predominância sobre permissão da pasta.
Permissões de compartilhamento não tem nenhum efeito localmente (nesse caso vale a NTFS), apenas para acesso via rede.
8-) O recurso Teminal Service é muito cobrado no teste. Aprenda a gerenciá-lo e aplica-lo
9-) Algumas questões sobre o IIS também são entradas no teste. Aprenda a publicar impressoras e pastas virtuais com este serviço.
10-) Os tópicos oficiais abordados no teste são:
Gerenciamento e manutenão de dispositivos físicos e lógicos.
Gerenciamento e manutenção de usuários, computadores e grupos
Gerenciamento e manutenção de acesso a recursos
Gerenciamento e manutenção de um ambiente de servidor
Gerenciamento e implementação da recuperação de desastres
Então saiba focar seus estudos em tópicos que você acha que não está muito bem antes de fazer a prova.
São essas as 10 dicas que achei interessante passar sobre esse teste. No mais, gerencie bem seu tempo. Não esqueça de utilizar o recurso de marcação de questões na prova para revisá-las ao final do teste. Esse recurso é realmente útil quando você está em dúvida em uma questão. Passe para a próxima, faça primeiramente as que você tem segurança. Isso ajuda a passar o nervosismo e vai dar uma melhor indicação do tempo que você ainda pode passar tentando resolver as questões mais difíceis.
Bons estudos e boa prova!!!! []´s
terça-feira, 17 de abril de 2007
Tipos de grupos existentes no Windows
Olá,
Um amigo me fez uma pergunta interessante sobre os tipos de usuários que podem ser criados no sistema operacional Windows 2000 professional. Resolvi então postar as definições dos principais grupos existentes . (Essas definições são válidas também para o Windows XP e são da própria Microsoft.
Administradores - Os administradores têm acesso completo e irrestrito ao computador/domínio
Convidados - Por padrão, os convidados têm o mesmo acesso como membros do grupo 'Usuários', com excessão da conta 'Convidado' que é ainda mais restrita.
Duplicadores - permite a duplicação de arquivos em um domínio.
Operadores de configuração de rede - Membros do grupo podem ter alguns privilégios administrativos para gerenciar a configuração de recursos de rede.
Operadores de cópia - Os operadores de cópia podem substituir as restrições de segurança com o único objetivo de fazer backup e restaurar arquivos.
Usuários - Os usuários são impedidos de fazer alterações acidentais ou intencionais no âmbito do sistema. Sendo assim, eles podem executar aplicativos certificados, mas não podem executar a maioria dos aplicativos herdados.
Usuários avançados - Os usuários possuem, em sua maioria, poderes administrativos com algumas restrições. Sendo assim, eles podem executar aplicativos herdados, além dos aplicativos certificados.
Usuários da área de trabalho remota - Os membros desse grupo têm direito a fazer logon remotamente.
Lembrando que esse esses são grupos de usuários pertencem ao SAM, que é o banco de dados de segurança local de um computador, ou seja, permitem acesso a recursos localizados apenas no próprio computador. Diferente de grupos que residem do Active Directory de um Servidor e que podem acessar recursos de toda a rede.
Um amigo me fez uma pergunta interessante sobre os tipos de usuários que podem ser criados no sistema operacional Windows 2000 professional. Resolvi então postar as definições dos principais grupos existentes . (Essas definições são válidas também para o Windows XP e são da própria Microsoft.
Administradores - Os administradores têm acesso completo e irrestrito ao computador/domínio
Convidados - Por padrão, os convidados têm o mesmo acesso como membros do grupo 'Usuários', com excessão da conta 'Convidado' que é ainda mais restrita.
Duplicadores - permite a duplicação de arquivos em um domínio.
Operadores de configuração de rede - Membros do grupo podem ter alguns privilégios administrativos para gerenciar a configuração de recursos de rede.
Operadores de cópia - Os operadores de cópia podem substituir as restrições de segurança com o único objetivo de fazer backup e restaurar arquivos.
Usuários - Os usuários são impedidos de fazer alterações acidentais ou intencionais no âmbito do sistema. Sendo assim, eles podem executar aplicativos certificados, mas não podem executar a maioria dos aplicativos herdados.
Usuários avançados - Os usuários possuem, em sua maioria, poderes administrativos com algumas restrições. Sendo assim, eles podem executar aplicativos herdados, além dos aplicativos certificados.
Usuários da área de trabalho remota - Os membros desse grupo têm direito a fazer logon remotamente.
Lembrando que esse esses são grupos de usuários pertencem ao SAM, que é o banco de dados de segurança local de um computador, ou seja, permitem acesso a recursos localizados apenas no próprio computador. Diferente de grupos que residem do Active Directory de um Servidor e que podem acessar recursos de toda a rede.
domingo, 15 de abril de 2007
Desbloqueando anexos no MS Outlook
Para desbloquear um tipo de anexo bloqueado pelo MS Outlook acesse a área do registry do o windows descrita abaixo e faça a seguinte alteração:
HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Security
- Clicar no menu Editar, clicar em Novo, e então clicar em Valor da Seqüência.
- Digitar o seguinte nome para o novo valor:
Level1Remove, pressionar "ENTER".
- Dar um clique com o botão direito do mouse no nome do novo valor da seqüência, e então clicar em Modificar.
- Digitar a extensão do tipo de arquivo que gostaria de acessar, no caso: exe;jpg;doc;html;gif e etc.
OBS: sempre separado por ponto e virgula.
- Quando concluído, clicar em OK.
Reinicie o MS Outlook e tente acessar novamente o anexo.
HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Security
- Clicar no menu Editar, clicar em Novo, e então clicar em Valor da Seqüência.
- Digitar o seguinte nome para o novo valor:
Level1Remove, pressionar "ENTER".
- Dar um clique com o botão direito do mouse no nome do novo valor da seqüência, e então clicar em Modificar.
- Digitar a extensão do tipo de arquivo que gostaria de acessar, no caso: exe;jpg;doc;html;gif e etc.
OBS: sempre separado por ponto e virgula.
- Quando concluído, clicar em OK.
Reinicie o MS Outlook e tente acessar novamente o anexo.
Assinar:
Postagens (Atom)