Página 1 de 6

Módulo 7 – Políticas de Segurança

Ficha de trabalho 3 - Serviços de ficheiros

Quando o administrador partilha uma pasta, está a permitir que o conteúdo desta seja acedido por outros

computadores da rede. Quando uma pasta é partilhada, os utilizadores podem aceder-lhe através da rede,

bem como ao conteúdo (subpastas e ficheiros) da pasta que foi partilhada. Por exemplo, podemos criar uma

pasta partilhada onde são colocados documentos, circulares ou manuais, de tal forma que os estes possam

ser acedidos a partir de qualquer estação de trabalho conectada à rede.

Ao partilhar uma pasta todo o conteúdo da pasta passa a estar disponível para acesso através da rede. Isto

significa que se houver outras subpastas, dentro da pasta partilhada, estas também estarão disponíveis para

acesso pela rede.

Considere o exemplo da ilustração 1. Se a pasta «C:\Documentos» for partilhada, todo o seu conteúdo e

também o conteúdo das subpastas «C:\Documentos\Ofícios» e «C:\Documentos\Memorandos» estarão

disponíveis para acesso através da rede.

Ilustração 1 Estrutura de pastas

Agrupamento Vertical de Escolas Santos Simões

Curso Profissional Técnico de Informática de Gestão

Disciplina: Aplicações Informáticas e Sistemas de Exploração

Ano Letivo 2012/2013

Página 2 de 6

Quando uma pasta é partilhada num computador, é criado um caminho para aceder a esta a partir dos

restantes computadores da rede. Este caminho segue o padrão UNC – Universal Naming Convention

(Convenção Universal de Nomes). Todos os caminhos que seguem o padrão UNC iniciam com duas barras

invertidas, seguidas pelo nome do computador onde está o recurso partilhado (que pode ser uma pasta

partilhada, um impressora partilhada, etc), mais uma barra invertida e o nome da partilha.

Imaginemos que estamos a partilhar recursos num servidor da rede cujo nome é: SERVIDOR01. Neste

servidor são criadas três pastas partilhadas com os seguintes nomes de partilha: documentos, manuais e

memorandos. O servidor SERVIDOR01 também partilha uma impressora com o nome de partilha «laser1».

Qual seria o caminho para aceder a estes recursos, segundo o padrão UNC?

\\SERVIDOR01\documentos

\\SERVIDOR01\manuais

\\SERVIDOR01\memorandos

\\SERVIDOR01\laser1

Restringir o acesso às pastas partilhadas Quando uma pasta é partilhada, não significa que o seu conteúdo deva ser acedido por todos os utilizadores

da rede. É possível restringir quais utilizadores terão acesso à pasta partilhada, e qual o número máximo de

utilizadores que podem aceder à pasta simultaneamente. Esta restrição é feita através de Permissões de

partilha.

Com a utilização de Permissões de partilha é possível definir quais os utilizadores que poderão aceder ao

conteúdo da pasta partilhada. Para isso, é criada uma lista com o nome dos utilizadores e grupos que

possuem permissão de acesso. Esta lista é tecnicamente conhecida como ACL – Access Control List (Lista de

Controlo de Acesso).

Também é possível limitar o que os utilizadores com permissão de acesso podem fazer. Pode haver situações

em que alguns utilizadores devem ter permissão apenas para ler o conteúdo da pasta partilhada, pode haver

outras situações em que alguns utilizadores devem ter permissão de leitura e escrita, enquanto outros devem

ter permissões totais, tais como leitura, escrita e até exclusão de ficheiros e assim por diante.

Na ilustração 2 podemos ver um exemplo em que o grupo Gestores possui permissões de Controlo total,

enquanto o grupo Utilizadores possui permissões apenas para leitura.

Servidor Windows Server 2003

Documentos

Gestores = Controlo total

Utilizadores = Apenas leitura

Ilustração 2 Permissões da pasta «Documentos»

Ao criar uma partilha numa pasta, por padrão o Windows Server 2003 atribui como permissão de partilha

Read (Somente Leitura) para o grupo Everyone (Todos), que conforme o nome sugere, significa: qualquer

Página 3 de 6

utilizador com acesso ao computador, seja localmente, seja pela rede. Ou seja, ao criar uma partilha,

automaticamente será permitida a leitura em todo o conteúdo desta para todos os utilizadores da rede. Por

isso ao criar uma partilha, o administrador deve configurar as permissões necessárias, a menos que esteja a

ser partilhada uma pasta de domínio público, onde todos os utilizadores devam ter acesso de leitura em todos

os ficheiros e subpastas da pasta que está a ser partilhada.

IMPORTANTE: As permissões definem o que o utilizador pode fazer com o conteúdo de uma pasta partilhada,

desde apenas leitura, até ao controlo total sobre o conteúdo da pasta partilhada. Porém, as permissões de

partilha apenas têm efeito se o acesso for feito pela rede. Se o utilizador fizer o logon no computador onde

está a pasta partilhada e acedê-la localmente, através da drive C: (ou outra drive qualquer onde está a pasta

partilhada), as permissões de partilha não serão verificadas e, portanto, não terão nenhum efeito.

Entender as permissões de partilha Existem três níveis de permissões de partilha, conforme descrito a seguir:

Leitura: A permissão de Leitura permite ao utilizador:

o Listar os nomes de ficheiros e de subpastas, dentro da pasta partilhada.

o Aceder às subpastas dentro da pasta partilhada.

o Abrir os ficheiros para leitura.

o Execução de ficheiros de programa (.exe, .com, etc).

Alteração: Permite ao utilizador os mesmos direitos da permissão leitura, mais os seguintes direitos:

o Criação de ficheiros e subpastas.

o Alteração de dados nos ficheiros.

o Exclusão de subpastas e ficheiros.

Controlo total: Controlo total possibilita as mesmas operações que Leitura e Alteração, mais as

seguintes:

o Alteração de permissões (apenas para ficheiros e pastas do NTFS).

o Apropriação (Take Ownership), apenas para ficheiros e pastas em um volume formatado com

NTFS.

As permissões de partilha: Leitura, Alteração e Controlo total, podem ser Permitidas ou Negadas. Ou seja,

podemos permitir o acesso com um determinado nível (leitura, alteração ou controlo total) ou negar

explicitamente o acesso para um utilizador ou grupo para qualquer uma destas permissões.

Considere um exemplo prático. Suponha que todos os utilizadores do grupo Gestores devem ter permissão de

Leitura a uma pasta partilhada, com exceção de um gestor cuja conta de utilizador é jsilva, o qual deve ter

negado o direito de leitura na referida pasta. Para simplificar a atribuição de permissões o administrador faz o

seguinte:

Permissão de Leitura para o grupo Gestores – Permitir.

Permissão de Leitura para o utilizador jsilva – Negar.

Com isto todos os utilizadores do grupo Gestores terão permissão de leitura, com exceção do utilizador

“jsilva”, o qual teve a permissão de leitura negada. Outra recomendação é que devemos sempre atribuir

permissões para grupos de utilizadores, ao invés de atribuir para utilizadores individuais, pois isso facilita a

administração.

Página 4 de 6

Quando um utilizador pertence a mais de um grupo, como é que fica a permissão efetiva do

utilizador?

Quando um utilizador pertence, por exemplo, a dois grupos e os dois grupos recebem permissão para aceder

a uma partilha, sendo que os dois grupos possuem permissões diferentes, por exemplo, um tem permissão de

Leitura e o outro de Alteração. Como é que ficam as permissões do utilizador que pertence aos dois grupos?

Para responder a esta questão, considere as seguintes observações:

Quando um utilizador pertence a mais de um grupo, cada qual com diferentes níveis de permissões para uma

pasta partilhada, o nível de permissão para o utilizador que pertence a mais de um grupo, é a combinação das

permissões atribuídas aos diferentes grupos.

No exemplo a seguir, o utilizador pertence a dois grupos, um com permissão de somente leitura e outro com

permissão de alterações. A nível de permissão do utilizador é de alterações, pois é a soma das permissões

dos dois grupos, conforme indicado na ilustração 3:

Servidor Windows Server 2003

Documentos

Gestores = Controlo total

Utilizadores = Apenas leitura

jsilva – Grupos: Gestores e Utilizadores

Ilustração 3 Permissões do utilizador jsilva

Negar tem precedência sobre quaisquer outras permissões:

Vamos considerar o exemplo do utilizador que pertence a três grupos. Se num dos grupos ele tiver permissão

de leitura e noutro grupo permissão de alteração, mas se para o terceiro grupo, for negada a permissão de

leitura, o utilizador terá o acesso negado, uma vez que Negar tem precedência sobre quaisquer outras

permissões.

Orientações para a criação de pastas partilhadas Todas as partilhas devem ter um nome, para que a partilha possa ser acedida pela rede. O nome da partilha

pode ser diferente do nome da pasta. Uma recomendação importante é para que seja escolhido um nome

descritivo do conteúdo da pasta, de tal maneira que a partilha seja mais facilmente localizada na rede. Por

exemplo: não colocaríamos o nome de partilha “Projetos” numa pasta partilhada com documentos da

Contabilidade.

Devemos organizar os recursos, de tal maneira que todas as pastas que devam ser acedidas pelo mesmo

grupo de utilizadores, com o mesmo nível de permissão, estejam dentro da mesma pasta partilhada. Por

exemplo, se possuirmos sete pastas com documentos, os quais devem ser acedidos pelos grupos

Contabilidade e Marketing, devemos colocar estas pastas dentro de uma pasta principal e partilhar esta, ao

invés de criar sete partilhas individuais. De seguida atribuímos permissões de acesso somente para os grupos

Contabilidade e Marketing.

Página 5 de 6

Configurar o nível de permissão mínimo necessário para que os utilizadores realizem o seu trabalho. Por

exemplo se os utilizadores precisam apenas de ler os documentos numa pasta partilhada, atribua permissão

de Leitura e não de Alteração ou Controlo total.

Sempre que possível, atribua permissões para grupos de utilizadores e não para utilizadores individuais, pois

isso facilita a administração.

Determine que grupos necessitam de acesso a quais pastas partilhadas e com quais níveis de permissão.

Documente bem todo esse processo, para que possa ter um bom controlo sobre os recursos partilhados e as

permissões atribuídas.

Criar e aceder a pastas partilhadas

Criar uma pasta partilhada:

1. Clicar com o botão direito do rato sobre a pasta a partilhar.

2. Escolher a opção “Partilha e Segurança” (Sharing and Security).

3. Marcar a opção “Partilhar esta pasta” (Share this folder). Ver ilustração 4.

4. Definir um nome para a partilha.

5. Clicar no botão “Permissões…” (Permissions).

6. Adicionar utilizadores ou grupos e definir as suas permissões.

Ilustração 4 Janela "Partilha e Segurança"

Ilustração 5 Definição de permissões de acesso

Aceder a uma pasta partilhada:

1. Verifique que o computador está na rede do domínio. Para isso tem de estar inserido no domínio e ter

um endereço IP fornecido pelo servidor DHCP.

2. Abra o Explorador do Windows ou o programa “O meu computador”.

3. Na barra de endereço escreva:

\\pc00\Partilhada

Em que “pc00” é o nome do computador onde está a pasta partilhada, e “Partilhada” é o nome da

partilha.

Página 6 de 6

Exercícios:

No Windows Server 2003:

1. Criar 3 utilizadores diferentes no Active Directory, visitante1, visitante2 e visitante3.

2. Criar 2 grupos de utilizadores no Active Directory, grupo1 e grupo2.

3. O utilizador visitante1 deve fazer parte do grupo1, o visitante2 deve fazer parte do grupo2 e o

visitante3 deve fazer parte de ambos os grupos.

4. Criar uma pasta partilhada no servidor.

5. Atribuir as seguintes permissões de acesso à pasta partilhada:

a. Grupo1: Permitir controlo total

b. Grupo2: Negar controlo total

No Windows XP:

6. Fazer login com os 3 utilizadores diferentes criados no ponto 1, e verificar se é possível aceder à pasta

partilhada.