Download - AISE - M7 - FT3
Página 1 de 6
Módulo 7 – Políticas de Segurança
Ficha de trabalho 3 - Serviços de ficheiros
Quando o administrador partilha uma pasta, está a permitir que o conteúdo desta seja acedido por outros
computadores da rede. Quando uma pasta é partilhada, os utilizadores podem aceder-lhe através da rede,
bem como ao conteúdo (subpastas e ficheiros) da pasta que foi partilhada. Por exemplo, podemos criar uma
pasta partilhada onde são colocados documentos, circulares ou manuais, de tal forma que os estes possam
ser acedidos a partir de qualquer estação de trabalho conectada à rede.
Ao partilhar uma pasta todo o conteúdo da pasta passa a estar disponível para acesso através da rede. Isto
significa que se houver outras subpastas, dentro da pasta partilhada, estas também estarão disponíveis para
acesso pela rede.
Considere o exemplo da ilustração 1. Se a pasta «C:\Documentos» for partilhada, todo o seu conteúdo e
também o conteúdo das subpastas «C:\Documentos\Ofícios» e «C:\Documentos\Memorandos» estarão
disponíveis para acesso através da rede.
Ilustração 1 Estrutura de pastas
Agrupamento Vertical de Escolas Santos Simões
Curso Profissional Técnico de Informática de Gestão
Disciplina: Aplicações Informáticas e Sistemas de Exploração
Ano Letivo 2012/2013
Página 2 de 6
Quando uma pasta é partilhada num computador, é criado um caminho para aceder a esta a partir dos
restantes computadores da rede. Este caminho segue o padrão UNC – Universal Naming Convention
(Convenção Universal de Nomes). Todos os caminhos que seguem o padrão UNC iniciam com duas barras
invertidas, seguidas pelo nome do computador onde está o recurso partilhado (que pode ser uma pasta
partilhada, um impressora partilhada, etc), mais uma barra invertida e o nome da partilha.
Imaginemos que estamos a partilhar recursos num servidor da rede cujo nome é: SERVIDOR01. Neste
servidor são criadas três pastas partilhadas com os seguintes nomes de partilha: documentos, manuais e
memorandos. O servidor SERVIDOR01 também partilha uma impressora com o nome de partilha «laser1».
Qual seria o caminho para aceder a estes recursos, segundo o padrão UNC?
\\SERVIDOR01\documentos
\\SERVIDOR01\manuais
\\SERVIDOR01\memorandos
\\SERVIDOR01\laser1
Restringir o acesso às pastas partilhadas Quando uma pasta é partilhada, não significa que o seu conteúdo deva ser acedido por todos os utilizadores
da rede. É possível restringir quais utilizadores terão acesso à pasta partilhada, e qual o número máximo de
utilizadores que podem aceder à pasta simultaneamente. Esta restrição é feita através de Permissões de
partilha.
Com a utilização de Permissões de partilha é possível definir quais os utilizadores que poderão aceder ao
conteúdo da pasta partilhada. Para isso, é criada uma lista com o nome dos utilizadores e grupos que
possuem permissão de acesso. Esta lista é tecnicamente conhecida como ACL – Access Control List (Lista de
Controlo de Acesso).
Também é possível limitar o que os utilizadores com permissão de acesso podem fazer. Pode haver situações
em que alguns utilizadores devem ter permissão apenas para ler o conteúdo da pasta partilhada, pode haver
outras situações em que alguns utilizadores devem ter permissão de leitura e escrita, enquanto outros devem
ter permissões totais, tais como leitura, escrita e até exclusão de ficheiros e assim por diante.
Na ilustração 2 podemos ver um exemplo em que o grupo Gestores possui permissões de Controlo total,
enquanto o grupo Utilizadores possui permissões apenas para leitura.
Servidor Windows Server 2003
Documentos
Gestores = Controlo total
Utilizadores = Apenas leitura
Ilustração 2 Permissões da pasta «Documentos»
Ao criar uma partilha numa pasta, por padrão o Windows Server 2003 atribui como permissão de partilha
Read (Somente Leitura) para o grupo Everyone (Todos), que conforme o nome sugere, significa: qualquer
Página 3 de 6
utilizador com acesso ao computador, seja localmente, seja pela rede. Ou seja, ao criar uma partilha,
automaticamente será permitida a leitura em todo o conteúdo desta para todos os utilizadores da rede. Por
isso ao criar uma partilha, o administrador deve configurar as permissões necessárias, a menos que esteja a
ser partilhada uma pasta de domínio público, onde todos os utilizadores devam ter acesso de leitura em todos
os ficheiros e subpastas da pasta que está a ser partilhada.
IMPORTANTE: As permissões definem o que o utilizador pode fazer com o conteúdo de uma pasta partilhada,
desde apenas leitura, até ao controlo total sobre o conteúdo da pasta partilhada. Porém, as permissões de
partilha apenas têm efeito se o acesso for feito pela rede. Se o utilizador fizer o logon no computador onde
está a pasta partilhada e acedê-la localmente, através da drive C: (ou outra drive qualquer onde está a pasta
partilhada), as permissões de partilha não serão verificadas e, portanto, não terão nenhum efeito.
Entender as permissões de partilha Existem três níveis de permissões de partilha, conforme descrito a seguir:
Leitura: A permissão de Leitura permite ao utilizador:
o Listar os nomes de ficheiros e de subpastas, dentro da pasta partilhada.
o Aceder às subpastas dentro da pasta partilhada.
o Abrir os ficheiros para leitura.
o Execução de ficheiros de programa (.exe, .com, etc).
Alteração: Permite ao utilizador os mesmos direitos da permissão leitura, mais os seguintes direitos:
o Criação de ficheiros e subpastas.
o Alteração de dados nos ficheiros.
o Exclusão de subpastas e ficheiros.
Controlo total: Controlo total possibilita as mesmas operações que Leitura e Alteração, mais as
seguintes:
o Alteração de permissões (apenas para ficheiros e pastas do NTFS).
o Apropriação (Take Ownership), apenas para ficheiros e pastas em um volume formatado com
NTFS.
As permissões de partilha: Leitura, Alteração e Controlo total, podem ser Permitidas ou Negadas. Ou seja,
podemos permitir o acesso com um determinado nível (leitura, alteração ou controlo total) ou negar
explicitamente o acesso para um utilizador ou grupo para qualquer uma destas permissões.
Considere um exemplo prático. Suponha que todos os utilizadores do grupo Gestores devem ter permissão de
Leitura a uma pasta partilhada, com exceção de um gestor cuja conta de utilizador é jsilva, o qual deve ter
negado o direito de leitura na referida pasta. Para simplificar a atribuição de permissões o administrador faz o
seguinte:
Permissão de Leitura para o grupo Gestores – Permitir.
Permissão de Leitura para o utilizador jsilva – Negar.
Com isto todos os utilizadores do grupo Gestores terão permissão de leitura, com exceção do utilizador
“jsilva”, o qual teve a permissão de leitura negada. Outra recomendação é que devemos sempre atribuir
permissões para grupos de utilizadores, ao invés de atribuir para utilizadores individuais, pois isso facilita a
administração.
Página 4 de 6
Quando um utilizador pertence a mais de um grupo, como é que fica a permissão efetiva do
utilizador?
Quando um utilizador pertence, por exemplo, a dois grupos e os dois grupos recebem permissão para aceder
a uma partilha, sendo que os dois grupos possuem permissões diferentes, por exemplo, um tem permissão de
Leitura e o outro de Alteração. Como é que ficam as permissões do utilizador que pertence aos dois grupos?
Para responder a esta questão, considere as seguintes observações:
Quando um utilizador pertence a mais de um grupo, cada qual com diferentes níveis de permissões para uma
pasta partilhada, o nível de permissão para o utilizador que pertence a mais de um grupo, é a combinação das
permissões atribuídas aos diferentes grupos.
No exemplo a seguir, o utilizador pertence a dois grupos, um com permissão de somente leitura e outro com
permissão de alterações. A nível de permissão do utilizador é de alterações, pois é a soma das permissões
dos dois grupos, conforme indicado na ilustração 3:
Servidor Windows Server 2003
Documentos
Gestores = Controlo total
Utilizadores = Apenas leitura
jsilva – Grupos: Gestores e Utilizadores
Ilustração 3 Permissões do utilizador jsilva
Negar tem precedência sobre quaisquer outras permissões:
Vamos considerar o exemplo do utilizador que pertence a três grupos. Se num dos grupos ele tiver permissão
de leitura e noutro grupo permissão de alteração, mas se para o terceiro grupo, for negada a permissão de
leitura, o utilizador terá o acesso negado, uma vez que Negar tem precedência sobre quaisquer outras
permissões.
Orientações para a criação de pastas partilhadas Todas as partilhas devem ter um nome, para que a partilha possa ser acedida pela rede. O nome da partilha
pode ser diferente do nome da pasta. Uma recomendação importante é para que seja escolhido um nome
descritivo do conteúdo da pasta, de tal maneira que a partilha seja mais facilmente localizada na rede. Por
exemplo: não colocaríamos o nome de partilha “Projetos” numa pasta partilhada com documentos da
Contabilidade.
Devemos organizar os recursos, de tal maneira que todas as pastas que devam ser acedidas pelo mesmo
grupo de utilizadores, com o mesmo nível de permissão, estejam dentro da mesma pasta partilhada. Por
exemplo, se possuirmos sete pastas com documentos, os quais devem ser acedidos pelos grupos
Contabilidade e Marketing, devemos colocar estas pastas dentro de uma pasta principal e partilhar esta, ao
invés de criar sete partilhas individuais. De seguida atribuímos permissões de acesso somente para os grupos
Contabilidade e Marketing.
Página 5 de 6
Configurar o nível de permissão mínimo necessário para que os utilizadores realizem o seu trabalho. Por
exemplo se os utilizadores precisam apenas de ler os documentos numa pasta partilhada, atribua permissão
de Leitura e não de Alteração ou Controlo total.
Sempre que possível, atribua permissões para grupos de utilizadores e não para utilizadores individuais, pois
isso facilita a administração.
Determine que grupos necessitam de acesso a quais pastas partilhadas e com quais níveis de permissão.
Documente bem todo esse processo, para que possa ter um bom controlo sobre os recursos partilhados e as
permissões atribuídas.
Criar e aceder a pastas partilhadas
Criar uma pasta partilhada:
1. Clicar com o botão direito do rato sobre a pasta a partilhar.
2. Escolher a opção “Partilha e Segurança” (Sharing and Security).
3. Marcar a opção “Partilhar esta pasta” (Share this folder). Ver ilustração 4.
4. Definir um nome para a partilha.
5. Clicar no botão “Permissões…” (Permissions).
6. Adicionar utilizadores ou grupos e definir as suas permissões.
Ilustração 4 Janela "Partilha e Segurança"
Ilustração 5 Definição de permissões de acesso
Aceder a uma pasta partilhada:
1. Verifique que o computador está na rede do domínio. Para isso tem de estar inserido no domínio e ter
um endereço IP fornecido pelo servidor DHCP.
2. Abra o Explorador do Windows ou o programa “O meu computador”.
3. Na barra de endereço escreva:
\\pc00\Partilhada
Em que “pc00” é o nome do computador onde está a pasta partilhada, e “Partilhada” é o nome da
partilha.
Página 6 de 6
Exercícios:
No Windows Server 2003:
1. Criar 3 utilizadores diferentes no Active Directory, visitante1, visitante2 e visitante3.
2. Criar 2 grupos de utilizadores no Active Directory, grupo1 e grupo2.
3. O utilizador visitante1 deve fazer parte do grupo1, o visitante2 deve fazer parte do grupo2 e o
visitante3 deve fazer parte de ambos os grupos.
4. Criar uma pasta partilhada no servidor.
5. Atribuir as seguintes permissões de acesso à pasta partilhada:
a. Grupo1: Permitir controlo total
b. Grupo2: Negar controlo total
No Windows XP:
6. Fazer login com os 3 utilizadores diferentes criados no ponto 1, e verificar se é possível aceder à pasta
partilhada.