014 - Windows Server 2008_Outras alterações no Windows Server 2008 R2

What's New in the Server Core Installation Option

What are the major changes?

The Server Core installation option of Windows Server® 2008 R2 includes support for additional server roles and features. Server Core installations of Windows Server 2008 R2 now use the Deployment Image Servicing and Management (DISM) tool to install and uninstall server roles.

The following changes are available in Windows Server 2008 R2:

In addition to the server roles available in Server Core installations of Windows Server® 2008, the following are available:

o The Active Directory® Certificate Services (AD CS) role

o The File Server Resource Manager component of the File Services role

o A subset of ASP.NET in the Web Server role

In addition to the Windows features available in Server Core installations of Windows Server 2008, the following features are available:

o .NET Framework

A subset of .NET Framework 2.0

A subset of .NET Framework 3.0, including Windows Communication Foundation (WCF) and Windows Workflow Foundation (WF)

A subset of .NET Framework 3.5, including WF additions from .NET Framework 3.5 and .NET Language-Integrated Query (LINQ)

o Windows PowerShell, including cmdlets for Server Manager and the Best Practices Analyzer

o Windows-on-Windows 64-bit (WoW64)

The Removable Storage feature has been removed.

You can remotely configure a server running a Server Core installation of Windows Server 2008 R2 by using Server Manager.

Who will be interested in this feature?

The Server Core installation option provides a minimal environment for running specific server roles. Because it installs only the subset of binary files that are required by the supported server roles, this installation option reduces the maintenance and management requirements, as well as the attack surface for those server roles.

The following groups might be interested in these changes:

IT planners, analysts, and designers

IT professionals who are managing any of the supported server roles

Developers and persons who design, develop, and host Web servers

Are there any special considerations?

As in Windows® 7 and full installations of Windows Server 2008 R2, Setup no longer prompts you to enter a product key. You should enter the product key at a command prompt before activating the installation.

What settings have been added or changed?

The following registry setting is new for Windows Server 2008 R2.

Setting name

Location

Previous default value (if

applicable)

Default

value

Possible

values

Installation type

HKLM\Software\Microsoft\WindowsNT\CurrentVersion

Not applicable

Server Core

Client, Server

Which editions include this feature?

The Server Core installation option is available for all editions of Windows Server 2008 R2 except Windows Server 2008 R2 for Itanium-Based Systems.

Additional references

For more information about installing, configuring, and managing Server Core installations of Windows Server 2008 R2 and Windows Server 2008, see the step-by-step guide (http://go.microsoft.com/fwlink/?LinkID=68556).

A downloadable, printable job aid which includes the most commonly used commands and procedures for administering Server Core installations is available at http://go.microsoft.com/fwlink/?LinkId=151984.

O que há de novo no Gerenciador do Servidor

Atualizado: janeiro de 2009

Aplica-se a: Windows Server 2008 R2

Quais são as principais alterações?

O sistema operacional Windows Server® 2008 R2 simplifica a tarefa de gerenciar e proteger várias funções de servidor em uma empresa com os aprimoramentos ao Gerenciador do Servidor.

As seguintes funcionalidades foram agregadas ao Gerenciador do Servidor no Windows Server 2008 R2:

Gerenciamento Remoto com o Gerenciador do Servidor. No Windows Server 2008 R2, é possível usar o Gerenciador do Servidor para executar algumas tarefas de gerenciamento em computadores remotos que executem o Windows Server 2008 R2. Para gerenciar um computador remotamente usando o Gerenciador do Servidor, conecte o Gerenciador do Servidor ao computador remoto do mesmo modo que conectaria o Console de Gerenciamento Microsoft (MMC) a outras tecnologias. Também é possível criar um MMC personalizado que contenha vários snap-ins do Gerenciador do Servidor, cada qual gerenciando um computador remoto diferente. Para obter informações detalhadas sobre como gerenciar computadores remotamente usando o Gerenciador do Servidor, consulte a Ajuda do Gerenciamento Remoto com o Gerenciador do Servidor (http://go.microsoft.com/fwlink/?LinkId=137378).

Analisador de Práticas Recomendadas. O Best Practices Analyzer (BPA) é uma ferramenta de gerenciamento de servidor que está disponível para um conjunto limitado de funções que executam no Windows Server 2008 R2. O Best Practices Analyzer ajuda administradores a reduzir as violações às práticas recomendadas por verificar uma ou mais funções instaladas no Windows Server 2008 R2 e informar as inconformidades com o administrador. Os administradores

http://go.microsoft.com/fwlink/?LinkID=68556

http://go.microsoft.com/fwlink/?LinkId=151984




podem filtrar ou excluir os resultados que não necessitam ver nos relatórios BPA. Eles também podem executar as tarefas do BPA usando a GUI do Gerenciador do Servidor ou os cmdlets do Windows PowerShell™. O Best Practices Analyzer é uma das áreas da seção Resumo da página inicial de uma função.

Cmdlets do Windows PowerShell para tarefas do Gerenciador do Servidor. Os seguintes três cmdlets do Windows PowerShell permitem que você instale, remova ou exiba informações sobre as funções disponíveis usando o Windows PowerShell. Para obter informações sobre como utilizá-los em uma sessão do Windows PowerShell, digite Get-Helpcmdlet_name–full, onde cmdlet_name representa um dos seguintes valores.

o Add-WindowsFeature

o Get-WindowsFeature

o Remove-WindowsFeature

Alterações nas funções e recursos disponíveis. O Windows Server 2008 R2 inclui as seguintes alterações nas funções e recursos disponíveis para instalação usando o Gerenciador do Servidor.

o Funções

Os Serviços de terminal agora são chamados de Serviços de Área de Trabalho Remota.

Os Windows Server Update Services (WSUS) agora estão disponíveis com o Windows Server 2008 R2. No Windows Server 2008, os WSUS estão disponíveis para download como um pacote separado no Centro de Download da Microsoft (http://go.microsoft.com/fwlink/?LinkId=137379).

O Serviços de impressão agora é chamados Serviços de Impressão e Documentos.

Os Serviços UDDI (Descrição, Descoberta e Integração Universal) não estão mais disponíveis para instalação no Windows Server 2008 R2 por meio do Gerenciador do Servidor.

o Recursos


O Windows BranchCache, um novo recurso do Windows Server 2008 R2, ajuda a reduzir a demanda por largura de rede dos computadores cliente localizados em escritórios remotos.

O Console de Gerenciamento do Acesso Direto, um recurso responsável pela configuração e capacidade de monitoramento do acesso direto, foi agregado ao Windows Server 2008 R2.

Os Serviços de Reconhecimento de Manuscrito, novos no Windows Server 2008 R2, oferecem suporte ao reconhecimento de manuscrito e ao uso de caneta ou stylus em uma superfície digital, por exemplo, um Tablet PC.

As Ferramentas de Administração de Servidor Remoto agora incluem o Centro Administrativo do Active® Directory, as ferramentas do Agente de Conexão de Área de Trabalho Remota (RD) e o Visualizador de Senha de Recuperação do BitLocker. A versão das Ferramentas de Administração de Servidor Remoto do Windows® 7, disponível para download no site CenterConnect de Downloads da Microsoft, inclui o console do Gerenciador do Servidor, que os administradores podem usar para gerenciar computadores remotos que executem a plataforma Windows Server 2008 R2.

O Suporte ao Cliente do Windows 2000 foi removido do Enfileiramento de Mensagens.

A Windows Biometric Framework viabiliza o uso de leitores de impressão digital em um computador para a verificação da identidade dos usuários.

As Ferramentas de Migração do Windows Server permitem que um administrador migre algumas funções de servidor, recursos, configurações do sistema operacional, compartilhamentos e outros dados dos computadores que executam determinadas versões do Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2 para computadores executando o Windows Server 2008 R2. Para obter mais informações sobre as Ferramentas de Migração do Windows Server e como migrar suas funções, recursos e ou outros dados para o Windows Server 2008 R2, consulte o Portal de Migração do Windows Server (http://go.microsoft.com/fwlink/?LinkID=128554).

A Extensão para IIS do Gerenciamento Remoto do Windows (WinRM) permite que um servidor receba uma solicitação de




gerenciamento remoto de um cliente usando o protocolo WS-Management.

O Visualizador XPS, componente dos Recursos do .NET Framework 3.0 no Windows Server 2008, está disponível no Windows Server 2008 R2 como um recurso autônomo.

O que o Gerenciador do Servidor faz?

O Gerenciador do Servidor, disponibilizado pela primeira vez no sistema operacional do Windows Server 2008, fornece uma fonte individual para gerenciamento da identidade e informações do sistema de um servidor, exibindo o status do servidor, identificando problemas com a configuração das funções de servidor ou com o alinhamento de algumas funções às práticas recomendadas e gerenciando todas as funções instaladas no servidor. Com a liberação do Windows Server 2008 R2, o Gerenciador do Servidor pode ser usado para gerenciar computadores remotos usando outro computador que execute o Windows Server 2008 R2 ou o Windows 7.

Quem se interessará pelo Gerenciador do Servidor?

O Gerenciador do Servidor oferece o maior benefício para qualquer um dos seguintes profissionais de TI:

Um administrador, planejador ou analista de TI que esteja avaliando o Windows Server 2008 R2.

Um planejador ou designer de TI de uma empresa.

Os primeiros usuários do Windows Server 2008 R2.

Um arquiteto de TI responsável pelo gerenciamento e segurança de computadores na sua organização.

Um administrador de TI responsável pelas configurações do servidor, implantação, proteção de segurança ou conformidade com as práticas recomendadas.

Existe alguma consideração específica?

Se você estiver executando o Gerenciador do Servidor em um computador local ou o console do Gerenciador do Servidor em um computador remoto, precisará pertencer ao grupo Administradores do computador que está sendo gerenciado.

Estas são outras considerações e requisitos sobre como utilizar a nova funcionalidade Gerenciador do Servidor.

Considerações específicas para a execução do Analisador de Práticas Recomendadas

Nesta versão, é possível executar as verificações do Best Practices Analyzer nas seguintes funções. Antes de executar uma verificação, instale no computador as funções a serem verificadas.

o Serviços de Domínio do Active Directory

o Serviços Certificados do Active Directory

o Servidor Sistema de Nomes de Domínios (DNS)

o Serviços da Área de Trabalho Remota

o Servidor Web (IIS)

Para verificar várias funções de uma só vez, execute a verificação do Best Practices Analyzer usando os cmdlets do Windows PowerShell. Para obter informações detalhadas sobre como usar o Windows PowerShell para executar as verificações do Best Practices Analyzer, consulte do tópico Ajuda do Gerenciador do Servidor, Analisador de Práticas Recomendadas (http://go.microsoft.com/fwlink/?LinkId=122786).

Considerações específicas para o gerenciamento remoto com o Gerenciador do Servidor

Se você usar o Gerenciador do Servidor para gerenciar computadores remotos em um computador que esteja executando as plataformas Windows 7 ou Windows Server 2008 R2, o gerenciamento remoto por meio do Gerenciador do Servidor requer várias etapas de configuração de linha de comando antes que o computador remoto conceda conexões aos usuários. Além disso, no computador remoto com o Windows Server 2008 R2, a opção Permitir gerenciamento remoto do servidor a partir de outros computadores usando o Gerenciador do Servidor e o Windows PowerShell deve estar selecionada. Para obter informações detalhadas sobre como preparar computadores remotamente usando o Gerenciador do Servidor, consulte Gerenciamento Remoto com o Gerenciador do Servidor na Ajuda do Gerenciador do Servidor (http://go.microsoft.com/fwlink/?LinkId=137378).







Embora não seja possível executar o console do Gerenciador do Servidor na opção de instalação do Server Core do Windows Server 2008 R2, é possível usar os cmdlets do Windows PowerShell na opção de instalação do Server Core, depois de instalar o Windows PowerShell na opção de instalação do Server Core. Você pode gerenciar computadores remotos que estejam executando a opção de instalação Server Core do Windows Server 2008 R2 com o console do Gerenciador do Servidor disponível na opção de instalação completa, caso seja membro do grupo Administradores no computador que está executando a opção de instalação Server Core.

Considerações específicas para usar os cmdlets do Windows PowerShell para tarefas do Gerenciador do Servidor

Para executar quaisquer cmdlets do Windows PowerShell relacionados ao Gerenciador do Servidor no Windows Server 2008 R2, incluindo os doi Ferramentas de Migração do Windows Server e do Best Practices Analyzer, você precisa estar executando o Windows PowerShell com direitos de usuário privilegiado. Para isso, clique em Iniciar > Todos os Programas > Acessórios > Windows PowerShell, clique com o botão direito do mouse no atalho do Windows PowerShell e selecione Executar como administrador.

Carregue o módulo do Gerenciador do Servidor em cada nova sessão do Windows PowerShell antes de trabalhar com os cmdlets do Gerenciador do Servidor. Para fazer isso, em uma sessão do Windows PowerShell aberta com os direitos de usuário privilegiado, digite Import-Module Servermanager e pressione ENTER.

Para executar as verificações do Best Practices Analyzer usando os cmdlets do Windows PowerShell, além de carregar o módulo do Gerenciador do Servidor na sua sessão do Windows PowerShell, carregue também o módulo do Best Practices Analyzer. As instruções detalhadas para executar as verificações do Best Practices Analyzer usando o Windows PowerShell estão disponíveis na Ajuda do Analisador de Práticas Recomendadas (http://go.microsoft.com/fwlink/?LinkId=122786).

Como o Windows PowerShell não está instalado, por padrão, em um computador que esteja executando a opção de instalação Server Core do Windows Server 2008 R2, para usar o Windows PowerShell nessa opção de instalação, instale-o usando ocsetup ou pkgmgr em uma sessão do Prompt de Comando. As instruções passo a passo para instalação do Windows PowerShell em um computador que esteja executando a opção




de instalação Server Core estão disponíveis no Guia de Instalação, Acesso e Remoção das Ferramentas de Migração do Windows Server (http://go.microsoft.com/fwlink/?LinkId=134763).

Preciso alterar algum código existente?

Não são necessárias alterações de código ou script para usar a nova funcionalidade Gerenciador do Servidor.

Que edições incluem a nova funcionalidade no Gerenciador do Servidor?

A nova funcionalidade Gerenciador do Servidor está disponível em todas as edições do Windows Server 2008 R2.

Embora não seja possível executar o console do Gerenciador do Servidor na opção de instalação do Server Core do Windows Server 2008 R2, é possível usar os cmdlets do Windows PowerShell na opção de instalação do Server Core, depois de instalar o Windows PowerShell na opção de instalação do Server Core. Você pode gerenciar computadores remotos que estejam executando a opção de instalação Server Core do Windows Server 2008 R2 com o console do Gerenciador do Servidor disponível na opção de instalação completa, caso seja membro do grupo Administradores no computador que está executando a opção de instalação Server Core.

Referências adicionais

Ajuda do Gerenciador do Servidor (http://go.microsoft.com/fwlink/?LinkId=137387)

Ajuda do Analisador de Práticas Recomendadas (http://go.microsoft.com/fwlink/?LinkId=122786)

O conteúdo de resolução de regras do Analisador de Práticas Recomendadas no Windows Server 2008 R2 TechCenter (http://go.microsoft.com/fwlink/?LinkId=137385)

Ajuda para Migração do Windows Server (http://go.microsoft.com/fwlink/?LinkId=137388)

Portal de Migração do Windows Server (http://go.microsoft.com/fwlink/?LinkID=128554)

Ajuda do Gerenciamento Remoto com o Gerenciador do Servidor (http://go.microsoft.com/fwlink/?LinkId=137378)










Novidades nas Contas de Serviço

Atualizado: março de 2009

Aplica-se a: Windows 7, Windows Server 2008 R2

Um dos desafios à segurança dos aplicativos de rede essenciais como o Exchange e o IIS é selecionar o tipo de conta apropriado a ser utilizado por eles.

Em um computador local, um administrador pode configurar o aplicativo para executar como Serviço Local, Serviço de Rede ou Sistema Local. Essas contas de serviço são simples de configurar e usar, mas estão normalmente compartilhadas entre vários aplicativos e serviços, e não podem ser gerenciadas no nível de domínio.

Se você configurar o aplicativo para usar uma conta de domínio, poderá isolar os privilégios do aplicativo, mas precisará gerenciar senhas manualmente ou criar uma solução personalizada para esse objetivo. Muitos aplicativos SQL Server e ISS usam essa estratégia para melhorar a segurança, com a consequência de mais administração e complexidade.

Nessas implantações, os administradores de serviço gastam uma quantidade de tempo considerável em tarefas de manutenção (por exemplo, gerenciamento de senhas de serviço e de SPNs [nomes das entidades de usuário]) necessárias para autenticação Kerberos. Além disso, essas tarefas de manutenção podem interromper o serviço.

Quais são as novidades nas contas de serviço?

Nos sistemas operacionais Windows Server® 2008 R2 e Windows® 7, há dois novos tipos disponíveis: conta de serviço gerenciada e conta virtual. A conta de serviço gerenciada destina-se a prover aos aplicativos essenciais, por exemplo, SQL Server e IIS, isolamento das suas próprias contas de domínio, enquanto elimina a necessidade da administração manual do SPN e das credenciais para essas contas. As contas virtuais no Windows Server 2008 R2 e Windows 7 são “contas locais gerenciadas” que podem usar as credenciais de um computador para acessar os recursos da rede.

Quem se interessará pelas contas de serviço de serviço?

Os administradores se interessarão em usar as contas de serviço gerenciadas para aumentar a segurança enquanto simplificam ou eliminam o gerenciamento de senhas e SPN.

As contas virtuais simplificam a administração do serviço eliminando o gerenciamento de senhas e permitindo que os serviços acessem a rede com credenciais de conta de computadores em um ambiente de domínio.

Quais são os benefícios das novas contas de serviços?

Além da segurança avançada fornecida pelas contas individuais para os serviços essenciais, há quatro benefícios administrativos importantes associados às contas de serviço gerenciadas:

Elas permitem que os administradores criem contas de classe de domínio que podem ser usadas para gerenciar e administrar serviços em computadores locais.

Diferentemente de contas de domínio normais em que os administradores precisam redefinir as senhas manualmente, as senhas de rede para essas contas serão redefinidas automaticamente.

Ao contrário do que ocorre com as contas locais normais de usuário e computador, o administrador não precisa executar tarefas complexas de gerenciamento de SPN para usar as contas de serviço gerenciadas.

As tarefas administrativas das contas de serviço gerenciadas podem ser delegadas a não administradores.

Qual o impacto dessas alterações no gerenciamento de conta?

As contas de serviço gerenciadas podem reduzir a quantidade de gerenciamento de conta necessária para serviços e aplicativos essenciais.

Há alguma consideração específica sobre como usar as novas opções de contas de serviço?

Para usar as contas virtuais e contas de serviço gerenciadas, o computador cliente em que o aplicativo ou serviço está instalado deve estar executando o Windows Server 2008 R2 ou Windows 7. No Windows Server 2008 R2 e Windows 7, uma conta de serviço gerenciada pode ser usada para serviços em um único computador. Contas de serviço gerenciadas não podem ser compartilhadas entre vários computadores e não podem ser usadas em clusters de servidores nos quais um serviço seja replicado para vários nós de cluster.

Os domínios do Windows Server 2008 R2 apresentam suporte nativo para o gerenciamento automático de senha e de SPN. Se o domínio estiver em execução no modo Windows Server 2003 ou Windows Server 2008, serão

necessárias etapas de configuração adicionais para dar suporte às contas de serviço gerenciadas. Isso significa que:

Se o controlador de domínio estiver executando o Windows Server 2008 R2 e o esquema tiver sido atualizado para dar suporte às contas de serviço gerenciadas, ambos os gerenciamentos automáticos de senha e de SPN estarão disponíveis.

Se o controlador de domínio estiver em um computador que está executando o sistema operacional Windows Server 2008 ou Windows Server 2003, e o esquema do Active Directory tiver sido atualizado para dar suporte a esse recurso, as contas de serviço gerenciadas poderão ser usadas e as senhas das contas de serviço automaticamente gerenciadas. No entanto, o administrador do domínio que estiver usando esses sistemas operacionais de servidor ainda precisará configurar manualmente os dados SPN dessas contas.

Para usar contas de serviço gerenciadas nas plataformas Windows Server 2008, Windows Server 2003 ou em ambientes de domínio de modo misto, as seguintes alterações devem ser aplicadas ao esquema:

Execute adprep /forestprep no nível da floresta.

Execute adprep /domainprep em cada domínio que deseja criar e usar contas de serviço gerenciadas.

Implante um controlador de domínio que execute o Windows Server 2008 R2 no domínio para gerenciar contas de serviço gerenciadas usando cmdlets do Windows PowerShell. Para obter mais informações, consulte Adprep.

Para obter mais informações sobre o gerenciamento de SPNs, consulte Principais Nomes de Serviços (essa página pode estar em inglês).

Novidades nos cartões inteligentes

Atualizado: fevereiro de 2009


O Windows® 7 inclui novos recursos que facilitam o uso e implantação de cartões inteligentes, e permitem que eles sejam utilizados para executar uma variedade maior de tarefas. Os novos recursos estão disponíveis em todas as versões do Windows 7.

http://technet.microsoft.com/pt-br/library/cc731728%28WS.10%29.aspx


O que há de novo nos cartões inteligentes?

Os recursos do Windows 7 ampliaram o suporte à funcionalidade Plug and Play e ao padrão PIV (verificação de identidade pessoal) do National Institute of Standards and Technology (NIST) no que se refere a cartões inteligentes.

Isso significa que os usuários do Windows 7 poderão usar os cartões inteligentes dos fornecedores que publicarem seus drivers pelo Windows Update sem precisar de um middleware específico. Esses drivers são baixados do mesmo modo que os drivers dos outros dispositivos do Windows.

Quando um cartão inteligente compatível com PIV é inserido no leitor, o Windows tenta baixar o driver usando o Windows Update. Se o driver apropriado não estiver disponível, ele recorrerá a um minidriver compatível com PIV, incluído no Windows 7.

Quem pode ter interesse em usar os cartões inteligentes?

Administradores de rede que queiram aumentar a segurança dos computadores em sua organização, principalmente dos portáteis (utilizados por usuários remotos), se interessarão pela implantação simplificada e os cenários de uso viabilizados pelo suporte PIV a Plug and Play do cartão inteligente. Os usuários se interessarão pela capacidade de usar cartões inteligentes para executar com segurança as tarefas comerciais essenciais.

Quais são os benefícios dos recursos novos e alterados?

As novas opções do suporte a cartão inteligente no Windows 7 incluem:

Criptografando unidades com a Criptografia de Unidade de Disco BitLocker. Nos sistemas operacionais Windows 7 Enterprise e Windows 7 Ultimate, os usuários podem optar por criptografar sua mídia removível ativando o BitLocker e escolhendo a opção de cartão inteligente para desbloqueá-la. No tempo de execução, o Windows recuperará o minidriver correto para o cartão inteligente e permitirá que a operação seja executada.

Logon em domínio com cartão inteligente usando o protocolo PKINIT. No Windows 7, o minidriver correto para um cartão inteligente específico é recuperado automaticamente, permitindo que um novo cartão seja autenticado no domínio sem a necessidade de que o usuário instale ou configure middleware adicional.

Assinatura de documento e e-mail. Os usuários do Windows 7 podem ter a certeza de que, no tempo de execução, o Windows recuperará o

minidriver correto para um cartão inteligente no momento da assinatura de um e-mail ou documento. Além disso, os documentos XPS (XML Paper Specification) podem ser assinados sem a necessidade de software adicional.

Uso com aplicativos de linha de negócios. No Windows 7, qualquer aplicativo que use CNG (Cryptography Next Generation) ou CryptoAPI para habilitar o uso de certificados pode ter a certeza de que, no tempo de execução, o Windows recuperará o minidriver correto para um cartão inteligente, sem a necessidade de nenhum middleware adicional.

Qual o impacto dessas alterações no uso do cartão inteligente?

A utilização de cartões inteligentes está se expandindo rapidamente. A fim de encorajar mais organizações e usuários a adotarem cartões inteligentes e aumentarem a segurança, o processo de fornecimento e uso dos novos cartões inteligentes é simplificado e admite um número maior de cenários de usuário final.

Novidades no Controle de Conta de Usuário

Atualizado: junho de 2009


Novidades no Controle de Conta de Usuário

Antes da introdução do UAC (Controle de conta de Usuário), quando um usuário era conectado como um administrador, esse usuário recebia automaticamente acesso completo a todos os recursos do sistema. Embora a execução como administrador permita que um usuário instale softwares legítimos, ele também pode instalar, intencionalmente ou não, um programa mal-intencionado. Um programa mal-intencionado instalado por um administrador pode comprometer totalmente o computador e afetar todos os usuários.

Com a introdução do UAC, o modelo de controle de acesso foi alterado para ajudar a atenuar o impacto de um programa mal-intencionado. Quando um usuário tenta iniciar uma tarefa ou um serviço do administrador, a caixa de diálogo Controle de Conta de Usuário solicita que o usuário clique em Sim ou Não antes que o token de acesso completo de administrador do usuário possa ser usado. Se o usuário não for um administrador, ele precisará fornecer as credenciais de um administrador para executar o programa. Como o UAC exige que um administrador aprove instalações de aplicativos, não é possível instalar

aplicativos não autorizados automaticamente ou sem o consentimento explícito de um administrador.

No Windows® 7 e Windows Server® 2008 R2, a funcionalidade UAC foi aprimorada para:

Aumentar o número de tarefas que o usuário padrão pode realizar que não solicitam a aprovação do administrador.

Permitir que um usuário com privilégios de administrador configure a experiência UAC no Painel de Controle.

Fornecer diretivas de segurança local adicionais que permitam a um administrador local alterar o comportamento das mensagens UAC para administradores locais no Modo de Aprovação de Administrador.

Fornecer diretivas de segurança local adicionais que permitam a um administrador local alterar o comportamento das mensagens UAC para usuários padrão.

Quem desejará usar o UAC?

O UAC ajuda os administradores e usuários padrão a protegerem seus computadores, impedindo a execução de programas que possam ser mal-intencionados. A experiência aprimorada do usuário facilita para os usuários realizar tarefas diárias, ao mesmo tempo em que protegem os computadores.

O UAC ajuda administradores corporativos a protegerem a rede impedindo que usuários executem software mal-intencionado.


Por padrão, os administradores e usuários padrão acessam recursos e executam aplicativos no contexto de segurança de usuários padrão. Quando um usuário faz logon em um computador, o sistema cria um token de acesso para ele. O token de acesso contém informações sobre o nível de acesso que é concedido ao usuário, incluindo os SIDs (identificadores de segurança) e privilégios do Windows específicos.

Quando um administrador faz logon, dois tokens de acesso distintos são criados para o usuário: um token de acesso de usuário padrão e um token de acesso de administrador. O token de acesso do usuário padrão contém as mesmas informações específicas de usuário do token de acesso de administrador, porém os privilégios administrativos do Windows e os SIDs foram removidos. O token de acesso de usuário padrão é usado para iniciar

aplicativos que não desempenham tarefas administrativas (aplicativos de usuário padrão).

Quando o usuário executa aplicativos que realizam tarefas administrativas (aplicativos de administrador), é solicitado que o usuário altere ou "eleve" o contexto de segurança de um usuário padrão para um administrador, chamado Modo de Aprovação de Administrador. Nesse modo, o administrador deve fornecer aprovação para que aplicativos sejam executados na área de trabalho protegida com privilégios administrativos. As melhorias do UAC no Windows 7 e Windows Server 2008 R2 resultam em uma experiência aprimorada ao usuário ao configurar o computador e solucionar seus problemas.

Redução do número de prompts UAC

O Windows 7 e Windows Server 2008 R2 reduzem o número de prompts UAC aos quais os administradores locais e usuários padrão devem atender.

Para reduzir o número de prompts aos quais o administrador local deve responder:

Os prompts de operação de arquivo foram mesclados.

Os prompts do Internet Explorer para executar instaladores de aplicativo foram mesclados.

Os prompts do Internet Explorer para instalar controles ActiveX® foram mesclados.

A configuração padrão UAC permite que um usuário padrão realize as tarefas a seguir sem receber um prompt UAC:

Instalar atualizações do Windows Update.

Instalar drivers que são baixados do Windows Update ou incluídos no sistema operacional.

Exibir as configurações do Windows. (No entanto, é solicitado a um usuário padrão os privilégios elevados quando ele altera as configurações do Windows.)

Unir dispositivos Bluetooth para o computador.

Redefinir o adaptador de rede e realizar outras tarefas de reparação e diagnóstico de rede.

Configurar experiência UAC no Painel de Controle

O Windows Vista® oferece dois níveis de proteção UAC ao usuário: ligado ou desligado. O Windows 7 e o Windows Server 2008 R2 apresentam níveis de prompt adicionais que são semelhantes ao modelo de zona de segurança do Internet Explorer. Se você tiver feito logon como um administrador local, é possível habilitar ou desabilitar prompts UAC, ou escolher quando ser notificado sobre alterações no computador. Existem quatro opções de nível de notificação:

Nunca me notificar. Você não será notificado de nenhuma alteração feita nas configurações do Windows ou quando o software for instalado.

Notificar-me apenas quando programas tentarem fazer alterações no meu computador. Você não será notificado quando fizer alterações nas configurações do Windows, mas sim quando um programa tentar fazer alterações no computador.

Notificar-me sempre. Você será notificado quando fizer alterações nas configurações do Windows e quando os programas tentarem fazer alterações no computador.

Notificar-me sempre e aguardar minha resposta. Você será solicitado para todas as tarefas de administrador na área de trabalho protegida. Essa opção é semelhante ao comportamento atual do Windows Vista.

A tabela a seguir compara o número de prompts UAC para ações de usuário no Windows 7 e Windows Server 2008 R2 com o número de prompts UAC no Windows Vista Service Pack 1.

Ações

Notificar-me apenas quando programas

tentarem fazer alterações no meu

computador

Notificar-me sempre

Alterar configurações de personalização

Sem prompts Menos prompts

Gerenciar sua área de trabalho


Configurar e solucionar problema de rede


Usar Transferência Menos prompts Mesmo número de prompts

Fácil do Windows

Instalar controles ActiveX por meio do Internet Explorer

Menos prompts Menos prompts

Conectar dispositivos

Sem prompts

Nenhum prompt se os drivers estiverem no Windows Update ou número semelhante de prompts se os drivers não estiverem no Windows Update.

Usar o Windows Update

Sem prompts Sem prompts

Configurar backups Sem prompts Mesmo número de prompts

Instalar ou remover software


Alterar o comportamento de mensagens UAC para administradores locais

Se você tiver feito logon como um administrador local, é possível alterar o comportamento de prompts UAC nas diretivas de segurança locais para administradores locais no Modo de Aprovação de Administrador.

Elevar sem aviso. Os aplicativos que são marcados como aplicativos de administrador e aplicativos que são detectados como aplicativos de instalação são executados automaticamente com o token de acesso completo de administrador. Todos os outros aplicativos são automaticamente executados com o token de usuário padrão.

Solicitar credenciais na área de trabalho protegida. A caixa de diálogo Controle de Conta de Usuário é exibida na área de trabalho protegida. Para que um aplicativo seja executado com o token de acesso completo de administrador, o usuário deve inserir credenciais administrativas. Esta configuração dá suporte à conformidade com Critérios Comuns ou diretivas corporativas.

Solicitar consentimento na área de trabalho protegida. A caixa de diálogo Controle de Conta de Usuário é exibida na área de trabalho protegida. Para permitir que um arquivo seja executado com o token de acesso completo de administrador, o usuário deve clicar em Sim ou Não na caixa de diálogo Controle de Conta de Usuário. Se o usuário não for um membro do grupo Administradores locais, as credenciais administrativas serão solicitadas. Esta configuração dá suporte à conformidade com Critérios Comuns ou diretivas corporativas.

Pedir credenciais. Essa configuração é semelhante a Solicitar credenciais na área de trabalho protegida, mas a caixa de diálogo Controle de Conta de Usuário é exibida na área de trabalho.

Pedir consentimento. Essa configuração é semelhante a Solicitar consentimento na área de trabalho protegida, mas a caixa de diálogo Controle de Conta de Usuário é exibida na área de trabalho.

Solicitação de consentimento para binários que não são do Windows. A caixa de diálogo Controle de Usuário de Conta é exibida na área de trabalho para todos os arquivos que não forem assinados digitalmente com o certificado digital do Windows.

Alterar o comportamento de mensagens UAC para usuários padrão

Se você tiver feito logon como um administrador local, é possível alterar o comportamento de prompts UAC nas diretivas de segurança locais para usuários padrão.

Negar automaticamente solicitações de elevação. Os aplicativos de administrador não podem ser executados. O usuário receberá uma mensagem de erro que informará que a diretiva está impedindo o aplicativo de ser executado.

Pedir credenciais. Esta é a configuração-padrão. Para que um aplicativo seja executado com o token de acesso completo de administrador, o usuário deverá inserir credenciais administrativas na caixa de diálogo Controle de Conta de Usuário que é exibida na área de trabalho.

Solicitar credenciais na área de trabalho protegida. Para que um aplicativo seja executado com o token de acesso completo de administrador, o usuário deverá inserir credenciais administrativas na caixa de diálogo Controle de Conta de Usuário que é exibida na área de trabalho protegida.

Qual o impacto dessas alterações no UAC?

Em resposta a solicitações do cliente, o UAC aprimorado permite que os usuários realizem tarefas diárias com menos prompts e fornece aos administradores mais controle sobre o modo como o UAC faz solicitações aos usuários.

What's New in the Web Server (IIS) Role (IIS 7)

Atualizado: dezembro de 2008


Many features have been added or enhanced in Internet Information Services (IIS) 7.5, which is the foundation of the Web Server role in Windows Server® 2008 R2.

The following changes are available in the Web Server (IIS) role in Windows Server 2008 R2:

Integrated extensions

o WebDAV and FTP

o Request Filtering

o Administration Pack modules

Management enhancements

o Best Practices Analyzer

o Windows PowerShell™ Provider and cmdlets

o Configuration logging and tracing

Application hosting enhancements

o Service hardening

o Managed service accounts

o Hostable Web Core

o Failed Request Tracing for FastCGI

Enhancements to .NET support on Server Core

Integrated extensions

Building on the extensible and modular architecture introduced with IIS 7.5, the new IIS 7.5 integrates and enhances existing extensions while still providing additional extensibility and customization.

WebDAV and FTP

WebDAV and FTP functionality available in IIS 7 has been greatly enhanced by incorporating many new features that enable Web authors to publish content

more reliably and securely than before. The new FTP and WebDAV modules also offer Web server administrators more options for authentication, auditing, and logging.

Request Filtering

The Request Filtering module, previously available as an extension for IIS 7, helps prevent potentially harmful requests from reaching the server by allowing you to restrict or block specific HTTP requests.

Administration Pack modules

Extension modules previously available for IIS 7 as part of the IIS Administration Pack offer additional tools to help you administer your IIS 7.5 Web server from Gerenciador do IIS. These modules include the Configuration Editor and UI extensions that will help you manage Request Filtering rules, FastCGI, and ASP.NET application settings.

Management enhancements

IIS 7.5 has the same distributed and delegated management architecture as IIS 7, but IIS 7.5 also offers new administration tools.

Best Practices Analyzer

Best Practices Analyzer (BPA) is a management tool that can be accessed by using Server Manager and Windows PowerShell. BPA can help administrators reduce best practice violations by scanning an IIS 7.5 Web server and reporting when potential configuration issues are found.

Windows PowerShell Provider and cmdlets

The IIS module for Windows PowerShell is a Windows PowerShell snap-in that allows you to perform IIS administrative tasks and manage IIS configuration and run-time data. In addition, a collection of task-oriented cmdlets provide a simple way to manage Web sites, Web applications, and Web servers.

Configuration logging and tracing

Configuration logging and tracing allows you to audit access to the IIS configuration and to track successful or failed modifications by enabling any new logs that become available in the Event Viewer.

Application hosting enhancements

Offering a variety of new features that help increase security and improve diagnostics, IIS 7.5 is an even more flexible and manageable platform for many types of Web applications, such as ASP.NET and PHP.

Service hardening

Building on the IIS 7 application pool isolation model that increased security and reliability, every IIS 7.5 application pool now runs each process as a unique, less-privileged identity.

Managed service accounts

Domain accounts that have passwords managed by the host computer are now supported as service identities in IIS 7.5. This means that server administrators no longer have to worry about expiring application pool passwords.

Hostable Web Core

Core IIS Web engine components can be consumed or hosted by other applications. This lets IIS components service HTTP requests directly in an application. This is useful for enabling basic Web server capabilities for custom applications or for debugging applications.

Failed Request Tracing for FastCGI

In IIS 7.5, PHP developers that use the FastCGI module can implement IIS trace calls within their applications. Developers can then troubleshoot application errors by using IIS Failed Request Tracing to debug the code during development.

Enhancement to .NET support on Server Core

The Server Core installation option of Windows Server 2008 R2 provides support for the .NET Framework 2.0, 3.0, 3.5.1, and 4.0. This means you can host ASP.NET applications, perform remote management tasks from Gerenciador do IIS, and locally run cmdlets included with the Windows PowerShell Provider for IIS.

Who will be interested in these features?

Any business or organization that hosts or develops Web sites or Windows Communication Foundation (WCF) services can benefit from the improvements made in IIS 7.5.


Enterprise IT planners and designers for organizations.

IT professionals who deploy or administer IIS.

Developers who create Web sites or WCF services.

Internet service providers (ISPs) or similar organizations that provide Web hosting.

Which editions include the Web Server (IIS) role?

This feature is available in all editions.

What's New in Windows Deployment

Publicado: setembro de 2009



New versions of Windows Deployment Services, the Windows® Automated Installation Kit (Windows AIK), and the Microsoft Deployment Toolkit (MDT) are available to assist in the deployment of Windows® 7 and Windows Server® 2008 R2. Each of these tools includes new features that improve the process of deploying Windows.

The following list describes the different Windows deployment technologies and the major changes for deployment in this release:

Microsoft Deployment Toolkit The Microsoft Deployment Toolkit (MDT) is a solution accelerator that collects many Microsoft deployment technologies together into a single means of automating installations. Using MDT, you can automate Windows operating-system installations by using Zero Touch Installation (ZTI) or Lite Touch Installation (LTI) processes. The deployment of Windows can be completely automated by using the ZTI method, or require a minimum of interaction at the targeted computer by using the LTI method. ZTI uses Microsoft System Center Configuration Manager 2007 or Microsoft Systems Management Server 2003 with the Operating System Deployment Feature Pack. For more information about MDT, see Microsoft Deployment Toolkit (http://go.microsoft.com/fwlink/?LinkId=160877).


Windows Deployment Services Windows Deployment Services is a server role that was included with Windows Server® 2008; it has been updated for Windows Server 2008 R2. This version contains new multicast features and driver-provisioning functionality. With driver provisioning, you can deploy driver packages (along with a Windows image) to client computers based on the hardware of the client, and add driver packages to boot images. This version also enables you to deploy virtual hard disk (VHD) images by using an unattended installation. For complete list of the differences in each version of Windows Deployment Services, see Windows Deployment Services: What's New (http://go.microsoft.com/fwlink/?LinkId=140114). For more information about the changes in Windows Server 2008 R2, see Windows Deployment Services (http://go.microsoft.com/fwlink/?LinkId=141973).

Windows Automated Installation Kit The Windows Automated Installation Kit (Windows AIK) is a collection of tools and documentation that enable you to customize your own Windows deployment environment. This collection of tools includes all of the Windows Setup configuration options, imaging tools, Windows Preinstallation Environment customizations, and processes and guidance. The Windows AIK is ideal for highly customized deployment environments and provides extensive control and flexibility.

Who will be interested in this feature?


IT generalists

IT specialists

Anyone responsible for deploying Windows 7 operating systems

What new functionality does the Windows Automated Installation Kit provide?

The following sections describe the major changes in the Windows Automated Installation Kit (Windows AIK). For additional information about the Windows AIK, see Windows Automated Installation Kit for Windows 7 (http://go.microsoft.com/fwlink/?LinkId=141410).






Deployment Image Servicing and Management tool

Deployment Image Servicing and Management (DISM) is a command-line tool used to service Windows images. You can use it to install, uninstall, configure, and update Windows features, packages, drivers and international settings. DISM commands can also be used for servicing a running operating system. You can use DISM to:

Add or remove 32-bit and 64-bit device drivers.

Add or remove language packs.

Enable or disable Windows features.

Add and configure updates.

Why is this change important?

DISM replaces many of the tools in previous releases of the Windows AIK, including Package Manager (Pkgmgr.exe), the International Settings Configuration Tool (Intlcfg.exe), and the Windows PE command-line tool (PEimg.exe). DISM provides the same functionality that Package Manager provided and includes additional functionality when used with Windows 7 and Windows Server 2008 R2.

DISM is installed with Windows 7 and Windows Server 2008 R2. It can be used to service Windows Server 2008 R2, Windows Server 2008, Windows 7, Windows Vista® with Service Pack 1 (SP1), or Windows Preinstallation Environment images.

How should I prepare for this change?

Because DISM consolidates many tools that were included in previous versions of the Windows AIK, any scripts or other tools that make calls to Package Manager should be updated to make calls to DISM instead.

What existing functionality is changing?

The following tools are deprecated in this release of the Windows AIK. If you have an existing automated environment that uses these tools, you will need to modify the environment to use DISM to deploy Windows 7 or Windows Server 2008 R2.

Observação

Some of these tools are not available with this release of the Windows AIK. If

you intend to deploy previous versions of Windows that require these tools, you must use the version of the Windows AIK that included these tools.

Intlcfg.exe. The International Settings Configuration Tool (Intlcfg.exe) is used to change the language and locale, fonts, and input settings of a Windows image. In Windows 7 and Windows Server 2008 R2, the functionality of this tool is included as part of the DISM tools. This release of the Windows AIK includes the Intlcfg.exe tool to enable the configuration of Windows Vista and Windows Server 2008 installations only.

PEimg.exe. This command-line tool is used for creating and modifying Windows PE images. The functionality of this tool is included as part of the DISM tools. This tool is not available with this release of the Windows AIK.

Pkgmgr.exe. Package Manager is used to install, remove, or update packages on an offline Windows image. The functionality of this tool is included as part of the DISM tools. Package Manager is included in all Windows installations, and you can continue to use existing scripts that call Package Manager. However, we recommend for all Windows 7 installations that you update your environment to support DISM.

PostReflect.exe. PostReflect.exe is used to reflect all boot-critical device drivers out of the driver store in an offline image. The functionality of this tool is built into the Sysprep tool. This tool is not available with this release of the Windows AIK.

VSP1CLN.exe. The Windows Vista SP1 Files Removal Tool (VSP1CLN.exe) is used to remove the files that are archived after Windows Vista SP1 is applied to a Windows Vista RTM image. This tool is no longer required and is not available with this release of the Windows AIK.

User State Migration Tool 4.0

The Windows User State Migration Tool (USMT) 4.0 is now installed as part of the Windows AIK. You can use USMT 4.0 to streamline and simplify user-profile migration during large deployments of Windows Vista, Windows 7, and Windows Server 2008 R2 operating systems. USMT captures user accounts, user files, operating system settings, and application settings, and then migrates them to a new Windows installation. You can use USMT for both side-by-side and wipe-and-load migrations.

The most significant new feature of USMT 4.0 is the hard-link migration store. The hard-link migration store is for use in computer-refresh scenarios only. The hard-link migration store enables you to perform an in-place migration where all

user state is maintained on the computer while the old operating system is removed and the new operating system is installed. This scenario drastically improves migration performance, significantly reduces hard-disk utilization, and reduces deployment costs.

New Windows default disk-partition structure

The default Windows installation now includes support for a separate system partition. In default installations, Windows Setup creates two partitions on a hard disk. You can use one partition for recovery tools, to enable BitLocker™ Drive Encryption, or for other features. You use the second partition to install the operating system.

The system partition, which hosts the boot manager and related files, will no longer have a drive letter by default. You can manually add a drive letter during installation by using the Microsoft-Windows-Setup\DiskConfiguration\Disk\ModifyPartitions\ModifyPartition\Letter setting.

Deploy virtual hard disks with native boot

In Windows 7 and Windows Server 2008 R2, a virtual hard disk (VHD) can be used as the running operating system on designated hardware without any other parent operating system, virtual computer, or hypervisor. A hypervisor is a layer of software below the operating system that runs virtual machines. Disk management tools, the DiskPart tool, and the Disk Management Microsoft Management Console (MMC), can be used to create a bootable .vhd file. A generalized image file (.wim) can then be deployed to the VHD, and the .vhd file can be copied to multiple computers. The boot manager can be configured to boot the .wim file from the VHD.

Which editions include this feature?

These features are included in the Windows 7 version of the Windows AIK. DISM is available in all editions of Windows 7 and Windows Server 2008 R2.

Native boot support for VHDs is available in these Windows editions:

Windows 7 Enterprise

Windows 7 Ultimate

Windows Server 2008 R2

Novidades nos Serviços de Implantação do Windows

Publicado: abril de 2009



As alterações a seguir nos Serviços de Implantação do Windows estão disponíveis no Windows Server 2008 R2:

Provisionamento de driver dinâmico. A capacidade de implantar pacotes de driver em computadores cliente como parte de uma instalação, a capacidade de adicionar pacotes e drivers a imagens de inicialização antes de implantação. Para obter mais detalhes, consulte Provisionamento de pacote de drivers posteriormente neste tópico.

Implantação de disco virtual. A capacidade de implantar imagens de disco rígido virtual (.vhd) como parte de uma instalação não monitorada. Para obter mais detalhes, consulte implantação de .vhd posteriormente neste tópico.

Funcionalidade adicional de multicast. A capacidade de desconectar automaticamente clientes lentos e dividir transmissões em vários fluxos com base nas velocidades do cliente. Além disso, oferece suporte para multicasting em ambientes que usam o IPv6.

Fornecedor de PXE para Servidor de Transporte. Inclui um fornecedor PXE quando você instala o serviço da função Servidor de Transporte. Você pode usar o Servidor de Transporte para inicialização de rede, dados multicast ou ambos como parte de uma configuração avançada. O Servidor de Transporte é um servidor autônomo. Isto é, quando você usa o Servidor de Transporte para inicialização de rede e multicast, o seu ambiente não precisa de AD DS (Serviços de Domínio Active Directory) ou DNS (Sistema de Nome de Domínio). Para obter instruções, consulte o tópico Configuração do Servidor de Transporte.

Funcionalidade adicional de EFI. Suporta inicialização de rede de computadores x64 com EFI, incluindo a funcionalidade de adição automática, referência de DHCP a clientes diretos a um servidor PXE específico, para implantar imagens de inicialização usando multicast.

Para ver um gráfico que mostre as diferenças em todas as versões dos Serviços de Implantação do Windows, consulte Serviços de Implantação do Windows: Novidades (http://go.microsoft.com/fwlink/?LinkId=140114 [a página pode estar em inglês]).

http://technet.microsoft.com/pt-br/library/dd735188%28WS.10%29.aspx#driver

http://technet.microsoft.com/pt-br/library/dd735188%28WS.10%29.aspx#vhd

http://technet.microsoft.com/pt-br/library/dd348475%28WS.10%29.aspx


Quem estaria interessado nesses recursos?

Os grupos a seguir podem se interessar por essas alterações:

Especialistas em implantação que são responsáveis pela implantação de sistemas operacionais do Windows

Planejadores de TI, criadores ou analistas que estão avaliando o Windows 7 ou Windows Server 2008 R2

Que nova funcionalidade esta função oferece?

Esta seção contém detalhes sobre o provisionamento de driver dinâmico e implantação de .vhd nesta versão.

Provisionamento de driver dinâmico

No Windows Server 2008 R2, você pode adicionar e configurar pacotes de drivers em um servidor que esteja executando os Serviços de Implantação do Windows. Depois que você tiver adicionado pacotes de drivers ao servidor, você poderá fazer o seguinte:

Implantar pacotes de drivers a computadores clientes no hardware do cliente como parte de uma instalação.

Observação

Essa funcionalidade está disponível somente quando você estiver instalando imagens dos seguintes sistemas operacionais: Windows Vista com SP1, Windows Server 2008, Windows 7 e Windows Server 2008 R2.

Adicionar pacotes de drivers (como drivers de adaptadores de rede, drivers de armazenamento em massa e drivers de barramento) a suas imagens de inicialização do Windows 7 e Windows Server 2008 R2.

Para obter instruções, consulte Gerenciamento e implantação de pacotes de drivers (http://go.microsoft.com/fwlink/?LinkID=143313 [a página pode estar em inglês]).

Por que essa alteração é importante?

Essa nova funcionalidade oferece os seguintes benefícios:

Elimina a necessidade de adicionar pacotes de drivers manualmente usando as ferramentas do Kit de Instalação Automatizada do Windows.


Minimiza o tamanho das imagens de instalação.

Facilita a atualização e o gerenciamento de drivers, pois os drivers são armazenados fora das imagens.

Elimina a necessidade de manter várias imagens para diferentes configurações de hardware.

Elimina a necessidade de ferramentas adicionais para gerenciar drivers (por exemplo, o MDT ou Microsoft Deployment Toolkit ou soluções que não são Microsoft).

Elimina a necessidade de usar um arquivo de instalação sem monitoramento para adicionar drivers.

Como me preparar para essa alteração?

Seguem abaixo os pré-requisitos para provisionamento de pacote de drivers:

Um servidor dos Serviços de Implantação do Windows configurado com o seguinte:

o A imagem de inicialização do Windows 7 ou Windows Server 2008 R2 (em \Sources\Boot.wim no DVD de instalação).

o Instalar imagens para Windows Vista com SP1, Windows Server 2008, Windows 7 ou Windows Server 2008 R2.

Pacotes de drivers para o hardware que deseja implantar. Observe que esses pacotes devem ser extraídos (isto é, o pacote não pode ser um arquivo .msi ou .exe).

Implantação de disco virtual

Você pode implantar imagens .vhd do Windows Server 2008 R2 em computador físico (não uma máquina virtual) usando os Serviços de Implantação do Windows. Em geral, você implanta imagens .vhd da mesma maneira que implanta imagens .wim. Este cenário é destinado a usuários avançados que já têm imagens .vhd. Para obter instruções, consulte Implantação de imagens de disco rígido virtual (http://go.microsoft.com/fwlink/?LinkId=146973 [a página pode estar em inglês]).


Essa nova funcionalidade oferece os seguintes benefícios:


Permite que você padronize o .vhd como seu formato de imagem comum. Antes, você tinha que gerenciar imagens de sistema operacional no formato .vhd para máquinas virtuais e no formato .wim para computadores físicos.

Simplifica a implantação de imagem por meio da habilitação de computadores físicos para inicializar a partir de imagens .vhd.

Permite que você provisione um servidor com várias imagens .vhd e alterne entre as imagens facilmente. Você pode criar várias imagens .vhd que são personalizadas para diferentes funções e as implante em um único servidor. Em seguida, se o equilíbrio das cargas de trabalho mudar no centro de dados (por exemplo, você quiser realocar um computador executando o Microsoft SQL Server para ser um servidor da Web), você poderá inicializar dentro do .vhd para essa função em vez de reinstalar o sistema operacional.

Permite que você reverta alterações quando usar discos diferenciais.

O que muda no funcionamento?

O uso do WDSUTIL na linha de comando é o único método suportado de adicionar e configurar as imagens. Além disso, a implantação deve fazer parte de uma instalação automatizada, de modo que você deve criar e configurar dois arquivos não monitorados para automatizar a instalação.

Como me preparar para essa alteração?

Para implantar imagens .vhd, você precisa do seguinte:

Um servidor dos Serviços de Implantação do Windows que seja configurado para pelo menos uma imagem de inicialização.

Familiaridade com a ferramenta de linha de comando WDSUTIL, pois essa é a única maneira de importar e configurar imagens .vhd.

Uma imagem .vhd com suporte. Os únicos sistemas operacionais suportados são Windows Server 2008 R2, Windows 7 Enterprise e Windows 7 Ultimate. Imagens .vhd fixas, dinâmicas e diferenciais são suportadas. Porém, observe que uma imagem suportada não pode conter o seguinte:

o Mais de um sistema operacional.

o Mais de uma partição.

o Aplicativos ou dados (em vez de um sistema operacional).

o Uma edição de 64 bits do Windows que é particionada com uma GPT (tabela de partição GUID).

Quais edições incluem esses recursos?

Esses recursos estão disponíveis em todas as edições.

Novidades no Windows PowerShell



O Windows PowerShell™ é um novo shell de linha de comando e linguagem de scripts criado especialmente para a administração de sistemas. Baseado no Microsoft .NET Framework, o Windows PowerShell ajuda os profissionais de TI a controlar e automatizar a administração do sistema operacional Windows e dos aplicativos que são executados nesse sistema.

As simples ferramentas de comando do Windows PowerShell, denominadas cmdlets, permitem gerenciar os computadores de sua empresa usando a linha de comando. Os provedores do Windows PowerShell permitem que você acesse repositórios de dados, como o Registro e o repositório de certificados, tão facilmente quanto acessa o sistema de arquivos. Além disso, o Windows PowerShell oferece suporte completo a todas as classes WMI (Instrumentação de Gerenciamento do Windows).

O Windows PowerShell é totalmente extensível. Você pode escrever seus próprios cmdlets, provedores, funções e scripts, e empacotá-los em módulos para compartilhar com outros usuários.

O Windows Server® 2008 R2 inclui o Windows PowerShell 2.0. Ele também inclui cmdlets e provedores que podem ser adicionados ao Windows PowerShell, de modo que você possa usar e gerenciar outros recursos e funções do Windows Server no Windows PowerShell. Os recursos e funções de servidor que você pode gerenciar no Windows PowerShell incluem Serviços de Domínio Active Directory®, Criptografia de Unidade de Disco Windows® BitLocker™, o serviço do Servidor DHCP, Diretiva de Grupo, Serviços de Área de Trabalho Remota e Backup do Windows Server. Para obter mais informações, consulte Novidades do Windows PowerShell Cmdlets para Funções e Recursos.





As alterações a seguir estão disponíveis no Windows PowerShell do Windows Server 2008 R2:

Novos cmdlets. O Windows PowerShell apresenta mais de 100 novos cmdlets, incluindo Get-Hotfix, Send-MailMessage, Get-ComputerRestorePoint, New-WebServiceProxy, Debug-Process, Add-Computer, Rename-Computer e Reset-ComputerMachinePassword.

Gerenciamento remoto. Você pode executar comandos em um computador ou em centenas de computadores usando um único comando. É possível estabelecer uma sessão interativa com um único computador ou estabelecer uma sessão que possa receber comandos remotos de vários computadores.

Windows PowerShell ISE (Integrated Scripting Environment). O Windows PowerShell ISE é uma interface gráfica do usuário do Windows PowerShell que permite executar comandos e escrever, editar, executar, testar e depurar scripts na mesma janela. Ele oferece até oito ambientes de execução independentes e inclui um depurador interno, edição em várias linhas, execução seletiva, cores em sintaxe, números de linha e coluna, e Ajuda contextual. O Windows PowerShell ISE é um recurso opcional do Windows Server 2008 R2. Para instalá-lo, use o Assistente para Adicionar Recursos.

Trabalhos em segundo plano. Com os trabalhos em segundo plano do Windows PowerShell, é possível executar comandos de maneira assíncrona e "em segundo plano", assim, você pode continuar trabalhando em sua sessão. Você pode executar trabalhos em segundo plano em um computador local ou remoto, podendo armazenar os resultados no local ou remotamente.

Depurador. O depurador do Windows PowerShell pode ajudar a depurar funções e scripts. É possível definir e remover pontos de interrupção, recorrer a um código, verificar os valores das variáveis e exibir o rastreamento de uma pilha de chamadas.

Módulos. Os módulos do Windows PowerShell permitem organizar os scripts e funções do Windows PowerShell em unidades independentes. Você pode empacotar seus cmdlets, provedores, scripts, funções e outros arquivos em módulos que podem ser distribuídos a outros usuários. Para os usuários, os módulos são mais fáceis de instalar e usar do que os snap-ins do Windows PowerShell. Os módulos podem incluir qualquer tipo de arquivo, incluindo arquivos de áudio, imagens, arquivos de Ajuda e ícones. Os módulos são executados em uma sessão separada para evitar conflitos de nome.

Transações. Agora, o Windows PowerShell oferece suporte a transações, que permitem gerenciar um conjunto de comandos como uma unidade lógica. Uma transação pode ser confirmada ou pode ser completamente desfeita, de modo que os dados afetados não sejam alterados pela transação.

Eventos. O Windows PowerShell inclui uma nova infraestrutura de eventos que permite a você criar eventos e se inscrever em eventos do sistema e aplicativos, para depois escutar, encaminhar e agir em relação aos eventos de maneira síncrona ou assíncrona.

Funções avançadas. As funções avançadas se comportam exatamente como os cmdlets, mas são escritas na linguagem de scripts do Windows PowerShell, e não no C#.

Internacionalização de scripts. Os scripts e funções podem exibir mensagens e texto de Ajuda aos usuários em vários idiomas.

Ajuda online. Além da Ajuda na linha de comando, o cmdlet Get-Help possui um novo parâmetro Online que abre uma versão completa e atualizada de cada tópico de Ajuda no Microsoft TechNet.

Quem estaria interessado nesse recurso?

Os grupos a seguir podem ter interesse nessas alterações:

Profissionais de TI que desejam gerenciar o Windows na linha de comando e automatizar as tarefas administrativas.

Desenvolvedores que desejam usar a ampla linguagem de scripts do Windows PowerShell para criar aplicativos .NET Framework e estender o Windows PowerShell.

Todos os usuários que desejam conhecer o Windows PowerShell para gerenciar seus respectivos sistemas, escrever scripts para automatizar suas tarefas e criar novas ferramentas sem precisar conhecer uma linguagem de programação.

Há considerações especiais?

O Windows PowerShell apresenta os seguintes requisitos de sistema e recursos:

O Windows PowerShell exige o Microsoft .NET Framework 2.0.

O Windows PowerShell ISE, o programa de interface gráfica do usuário do Windows PowerShell, exige o Microsoft .NET Framework 3.5 com Service Pack 1. Quando você usa o Assistente para Adicionar Recursos para adicionar o Windows PowerShell ISE, o assistente também adiciona a versão necessária do Microsoft .NET Framework se ela ainda não estiver instalada no sistema.

O cmdlet Out-GridView exige o Microsoft .NET Framework 3.5 com Service Pack 1.

O cmdlet Get-WinEvent exige o Windows Vista® ou versões posteriores do Windows e o Microsoft .NET Framework 3.5.

O cmdlet Export-Counter é executado somente no Windows Server 2008 R2, Windows® 7 e em versões posteriores do Windows.

Os recursos remotos baseados na WMI do Windows PowerShell não exigem nenhuma configuração e são executados em qualquer versão do Windows que ofereça suporte ao Windows PowerShell. Os recursos remotos baseados no WS-Management exigem computadores locais e remotos para executar o Windows Vista ou uma versão posterior do Windows. Além disso, você deve habilitar e configurar o WS-Management em todos os computadores participantes. Para obter mais informações, consulte About_Remote.

Vários cmdlets funcionam somente quando o usuário atual for um membro do grupo Administradores no computador ou quando o usuário atual puder fornecer as credenciais de um membro do grupo Administradores. Esse requisito é explicado nos tópicos de Ajuda dos cmdlets afetados.

Quais configurações foram adicionadas ou alteradas?

O valor da entrada de registro do PowerShellVersion em HKLM\SOFTWARE\Microsoft\PowerShell\1\PowerShellEngine foi alterado.

Configurações do Registro

Nome da configuraçã

o Location (local)

Valor padrã

o anterior (se aplicá

Valor

padrão

Valores

possíveis


vel)

PowerShellVersion

HKLM\SOFTWARE\Microsoft\PowerShell\1\PowerShellEngine

1.0 2.0 1.0, 2.0

Configurações de Diretiva de Grupo

Nome da configuração

Location (local)

Valor padrão anterior

(se aplicável)

Valor padrão

Valores possíveis

Ativar Execução de Script

Administrative Templates\Classic Administrative Templates\Windows Components\Windows PowerShell

Restrito Restrito

Restricted, AllSigned, RemoteSigned, Unrestricted

Preciso alterar qualquer código existente?

Não. O Windows PowerShell 2.0 é compatível com versões anteriores. Funções, scripts, cmdlets e provedores escritos para o Windows PowerShell 1.0 devem executar no Windows PowerShell 2.0 sem alterações. As poucas alterações de última hora são listadas e explicadas nas notas de versão que acompanham o produto.

Como devo me preparar para implantar esse recurso?

Os recursos remotos baseados no WS-Management exigem que o Windows PowerShell esteja instalado em todos os computadores locais e remotos. Os computadores devem estar executando o Windows Vista ou uma versão posterior do Windows. O recurso remoto WS-Management deve estar habilitado e configurado.

Quais edições incluem esse recurso?

O Windows PowerShell está disponível em todas as edições. O Windows PowerShell ISE é um componente opcional do Windows Server 2008 R2. Para instalá-lo, use o Assistente para Adicionar Recursos.

Ele está disponível nas versões de 32 e 64 bits?

Sim.


Além da Ajuda que está disponível na linha de comando, você pode consultar os recursos a seguir para obter mais informações:

Ajuda do Windows PowerShell no TechNet. Versões completas e atualizadas dos tópicos de Ajuda do Windows PowerShell no Microsoft TechNet.

Blog do Windows PowerShell. O melhor recurso para aprender com outros usuários do Windows PowerShell e colaborar com eles. Leia o blog do Windows PowerShell e ingresse no Fórum do Usuário do Windows PowerShell (microsoft.public.windows.powershell). Use o Windows Live Search para encontrar outros blogs e recursos do Windows PowerShell. Assim, à medida que for desenvolvendo o seu conhecimento, sinta-se à vontade para contribuir com as suas ideias.

SDK do Windows PowerShell. Oferece conteúdo de referência usado para o desenvolvimento de cmdlets, provedores e aplicativos de host.

Guia do Programador do Windows PowerShell. Oferece tutoriais para a criação de cmdlets, provedores e aplicativos de host. Também contém informações sobre conceitos fundamentais do Windows PowerShell.

Consulte também

Outros Recursos

Novidades do Windows PowerShell Cmdlets para Funções e Recursos

Novidades do Windows PowerShell Cmdlets para Funções e Recursos



O Windows PowerShell™ é um novo shell de linha de comando e linguagem de scripts desenvolvido especialmente para administração de sistemas. Incluído no Microsoft .NET Framework, o Windows PowerShell é útil para profissionais de TI responsáveis pelo controle e automação da administração de sistemas operacionais Windows e dos aplicativos que são executados em tais plataformas.






Com os comandos internos do Windows PowerShell (conhecidos como cmdlets), é possível usar a linha de comando para gerenciar os computadores da empresa. Os provedores do Windows PowerShell permitem que você acesse repositórios de dados (por exemplo, o registro e o repositório de certificados) com a mesma facilidade com que acessa o sistema de arquivos.


As seguintes funções e recursos disponíveis no Windows Server® 2008 R2 oferecem cmdlets para automação das tarefas de administração comuns do sistema:

Cmdlets dos Serviços de Domínio Active Directory

Cmdlets do Active Directory Rights Management Services

Cmdlets do Best Practice Analyzer

Cmdlets da Criptografia de Unidade de Disco BitLocker do Windows

Cmdlets do BITS

Cmdlets do serviço do Servidor DHCP

Cmdlets de Diagnóstico e Suporte

Cmdlets do Cluster de Failover

Cmdlets da Diretiva de Grupo

Cmdlets do Servidor Web (IIS)

Cmdlets do Balanceamento de Carga de Rede

Cmdlets do Gerenciador de Servidor

Cmdlets da Migração de Servidor

Cmdlets dos Serviços de Área de Trabalho Remota

Cmdlets de Backup do Windows Server

Cmdlets do Windows PowerShell e do Windows PowerShell ISE (Integrated Scripting Environment)

Cmdlets do WS-Management



















Quem se interessará por esse recurso?

Essas alterações são interessantes para Profissionais de TI que desejem controlar e automatizar a administração de sistemas operacionais Windows e dos aplicativos que são executados em tais plataformas.


O recurso está disponível em todas as edições do Windows Server 2008 R2.

Ele está disponível nas versões de 32 e 64 bits do Windows Server 2008 R2?

Sim.


Além da Ajuda disponível na linha de comando, você pode consultar os seguintes recursos para obter mais informações:

Blog do Windows PowerShell. O melhor recurso para aprender e colaborar com outros usuários do Windows PowerShell. Leia o blog do Windows PowerShell e ingresse no Fórum de Usuários do Windows PowerShell(microsoft.public.windows.powershell) (em inglês). Use o Windows Live Search para encontrar outros blogs e recursos do Windows PowerShell. À medida que desenvolver seu conhecimento, sinta-se à vontade para compartilhar suas ideias.

Windows PowerShell Help no TechNet. Uma versão atualizada dos tópicos de Ajuda do Windows PowerShell no Microsoft TechNet.

SDK do Windows PowerShell. Apresenta o conteúdo de referência usado no desenvolvimento de cmdlets, provedores e aplicativos de host.

Guia do programador do Windows PowerShell. Apresenta tutoriais para a criação de cmdlets, provedores e aplicativos de host. Também contém informações sobre os conceitos fundamentais do Windows PowerShell.

Novidades nos recursos de Pesquisa, Busca e Organização do Windows

Atualizado: março de 2009

Aplica-se a: Windows 7





Quais são as novidades nos recursos de Pesquisa, Busca e Organização do Windows?

O Windows 7 apresenta diversos de novos recursos e aprimoramentos que podem ajudar profissionais de TI a implantar e manter a funcionalidade pesquisa, busca e organização da área de trabalho:

Aprimoramentos no desempenho e estabilidade do indexador.

Aprimoramentos no desempenho e relevância da experiência de pesquisa.

A introdução da pesquisa federada e dos conectores de pesquisa.

A introdução de agregações e visualizações para organizar melhor os resultados da pesquisa.

A introdução de bibliotecas para ajudar na organização.

Aprimoramentos no desempenho e na interface do usuário do Windows Explorer.

Configurações adicionais de Diretivas de Grupo, disponíveis em todos os sistemas operacionais com suporte.

Impacto reduzido no servidor que executa o Microsoft Exchange Server durante a indexação de e-mail sem cache (clássico, online).

A capacidade de indexar caixas de correio delegadas.

Suporte para indexação de documentos criptografados dos sistemas de arquivos locais.

Suporte para indexação de e-mail assinado digitalmente de clientes de e-mail ativados por MAPI, como o Microsoft Outlook®.

A capacidade expandida de realizar consultas remotas rápidas de compartilhamentos de arquivos, inclusive nos sistemas operacionais Windows Vista®, Windows Server® 2008, Windows® XP com o Windows Search 4.0 instalado, e nas versões anteriores.

O Serviço Windows Search permite que você realize pesquisas rápidas de arquivo em um servidor a partir de computadores que estejam executando os sistemas operacionais Windows® 7 ou Windows Server® 2008 R2, ou que apresentem uma instalação do WDS (Windows Desktop Search) em conjunto

com as plataformas Windows Vista, Windows Server 2008, Windows XP, Windows Server® 2003 R2 ou Windows Server® 2003.

A indexação de e-mail sem cache também é conhecida como e-mail clássico, online. No Windows® 7, a indexação do e-mail sem cache causa um impacto menor sobre o Microsoft Exchange Server. Diferente do e-mail sem cache, o e-mail com cache usa um arquivo de Pastas Offline (.ost) para manter uma cópia local da caixa de correio do Exchange Server no seu computador, o que permite a indexação local do e-mail.

Quem se interessará pelos recursos de Pesquisa, Busca e Organização do Windows?

Este recurso destina-se a profissionais de TI. Os aprimoramentos na pesquisa também são relevantes para usuários de computadores domésticos.

Antes de implantar os recursos de Pesquisa, Busca e Organização do Windows no Windows 7, os administradores devem considerar vários fatores, inclusive:

A função de pesquisa de área de trabalho dentro da estratégia de pesquisa da empresa.

Que repositórios de dados deseja publicar para o acesso direto do cliente no Windows Explorer usando o padrão OpenSearch.

As práticas atuais de armazenamento de documentos e como elas se relacionam com as bibliotecas.

A importância da criptografia do armazenamento na sua organização.

A importância da criptografia e assinatura de e-mails para sua organização.


A tabela a seguir apresenta uma visão geral breve da maioria dos recursos e funções novos dos recursos de Pesquisa, Busca e Organização do Windows no Windows 7.

Recurso Novo no Windows 7

Aprimoramentos no A navegação está melhor organizada e mais

desempenho e na interface do usuário do Windows Explorer

intuitiva, as tarefas diárias estão mais acessíveis e há inúmeros aprimoramentos na apresentação do conteúdo para o usuário final.

A introdução de bibliotecas para ajudar na organização

As bibliotecas facilitam e agilizam a localização de arquivos. Com base no êxito da experiência dos Meus Documentos, as bibliotecas trabalham como pastas, mas não têm funcionalidade adicional. Além de procurar arquivos usando a estrutura hierárquica de pastas, você pode procurar metadados como data, tipo, autor e marcas. Os usuários podem incluir arquivos de vários locais de armazenamento nas bibliotecas sem ter de movê-los ou copiá-los dos locais de armazenamento originais.

Aprimoramentos na experiência de pesquisa

A experiência de pesquisa está integrada com as tarefas diárias por meio do Windows Explorer, do menu Iniciar e da introdução de novas bibliotecas. Os resultados da pesquisa levam em conta a relevância, o que agiliza a localização das informações procuradas. Outros aprimoramentos na experiência incluem a introdução de correspondências em realce no documento pesquisado, um construtor de pesquisa para criação de consultas avançadas e modos de exibição. Os modos de exibição permitem que você articule os resultados da pesquisa, listam as pesquisas mais recentes e fornecem um escopo mais amplo para o menu Iniciar, incluindo tarefas do Painel de Controle.

A introdução da pesquisa federada e dos conectores de pesquisa

O Windows 7 permite a pesquisa de conteúdo em índices remotos. A integração da pesquisa federada no Windows proporciona aos usuários os benefícios de usar ferramentas e fluxos de trabalho familiares ao pesquisar dados remotos. Essa integração avançada fornece como benefício adicional correspondências realçadas dentro do documento pesquisado. O Windows 7 oferece suporte à pesquisa federada por meio do padrão público OpenSearch. Outros aprimoramentos são a interface do usuário consistente para os resultados da pesquisa remota dentro do Windows Explorer e a capacidade de arrastar e soltar arquivos nos resultados da pesquisa entre locais diferentes.

Indexação de e-mail sem cache (clássico, online)

Antes que os usuários possam pesquisar e-mails, o serviço de indexação do Windows precisa indexar o repositório de e-mails, o que envolve a coleta das propriedade e do conteúdo dos itens dentro de tal repositório. Mais tarde, a indexação inicial é seguida por uma incremental, menor - à medida que os e-mails são recebidos, lidos e excluídos, assim por diante - para manter o índice atualizado. O Windows 7 minimiza o impacto no servidor que está executando o Exchange Server por reduzir o número de RPC (chamadas de procedimentos remotos) necessárias para indexar as mensagens de e-mail e anexos. Como as mensagens são indexadas nos formatos nativos (HTML, RTF e texto), não há carga para o servidor na conversão dos tipos de e-mail. O Windows indexará pastas públicas somente quando elas estiverem armazenadas no cache local.

Consulta remota

O Windows 7 estende a capacidade de pesquisa entre áreas de trabalho remotas. O Windows 7 ou Windows Search 4.0 (disponíveis nas plataformas Windows Vista e Windows XP) permitem que os usuários façam consultas em computadores remotos que estejam executando sistemas operacionais com suporte; o Windows Vista permite apenas a pesquisa em computadores que estejam executando o mesmo sistema operacional, ou seja, o Windows Vista.

Suporte para indexação de arquivos criptografados

O Windows 7 oferece suporte total para indexação de arquivos criptografados nos sistemas de arquivo locais, permitindo que usuários indexem e pesquisem as propriedades e conteúdos de tais arquivos. Os usuários podem configurar manualmente o Windows para incluir esses arquivos na indexação, ou isso pode ser definido nas Diretivas de Grupo pelos administradores.

Suporte para indexação de e-mail assinado digitalmente

O Windows 7 permite que você pesquise conteúdo em e-mails assinados digitalmente. Isso inclui o corpo da mensagem e todos os anexos.

Um computador que esteja executando as funções do Windows Vista Service Pack 1 (SP1) e Windows

Search 4.0, como segue:

Os usuários podem pesquisar todas as mensagens de e-mail assinadas digitalmente que eles enviaram. Essa pesquisa inclui todo o conteúdo da mensagem.

Os usuários podem pesquisar todas as mensagens de e-mail assinadas digitalmente que eles receberam. No entanto, essas pesquisas estão limitadas a determinadas propriedades, como assunto, remetente ou destinatários. Os usuários não podem pesquisar o corpo da mensagem ou o conteúdo dos anexos.

Qual o impacto dessas alterações nos recursos de Pesquisa, Busca e Organização do Windows?

O Windows 7 apresenta aprimoramentos consideráveis no modo de utilização dos recursos de Pesquisa, Busca e Organização do Windows:

Integração mais próxima com os fluxos de trabalho diários.

Resultados de pesquisa mais relevantes.

Termos da pesquisa realçados, facilitando a identificação dos resultados.

Um construtor integrado e avançado de consultas.

No Windows 7, há uma nova ênfase em organização, com a introdução de bibliotecas e vários aprimoramentos nos modos de exibição e na visualização dos dados.

O Windows 7 não oferece suporte para a indexação do conteúdo de mensagens de e-mail criptografadas ou de quaisquer confirmações S/MIME recebidas nas mensagens assinadas por S/MIME que você enviar.

Novidades na Auditoria de Segurança do Windows

Atualizado: abril de 2009



Há um número de aprimoramentos de auditoria no Windows Server® 2008 R2 e Windows® 7 que aumenta o nível de detalhes em logs de auditoria de segurança e simplificam a implantação e o gerenciamento de diretivas de auditoria Esses aprimoramentos incluem:

Auditoria de Acesso a Objetos Globais No Windows Server 2008 R2 e Windows 7, os administradores podem definir as SACLs (listas de controle de acesso do sistema) de todo o computador para o registro ou sistema de arquivos. A SACL específica é aplicada, automaticamente, a cada objeto desse tipo. Isso pode ser útil para verificar se todos os arquivos críticos, as pastas e as configurações do registro em um computador estão protegidos, e para identificar a ocorrência de uma problema com um recurso do sistema.

Relatório "Razão do acesso". A lista de ACEs (entradas de controle de acesso) fornece os privilégios, nos quais a decisão para permitir ou negar acesso ao objeto foi baseada. Isso pode ser útil para documentar as permissões, como associados a um grupo, que permite ou evita a ocorrência de um evento de auditoria particular.

Configurações de diretiva de auditoria avançadas. As 53 novas configurações podem ser usadas no lugar de nove configurações básicas de auditoria, em Diretivas Locais\Diretiva de Auditoria, para permitir que os administradores direcionem, de forma específica, os tipos de atividades que eles querem fazer auditoria e eliminem as atividades de auditoria desnecessárias que podem tornar os logs de auditoria mais difíceis de gerenciar e decifrar.

As seções a seguir descrevem esses aprimoramentos mais detalhadamente.

O que esses aprimoramentos de auditoria fazem?

No Windows XP, os administradores possuem nove categorias de eventos de auditoria de segurança que podem ser monitorados para êxito, falha ou êxito e falha. Esses eventos estão completamente corretos no escopo e podem ser disparados por uma variedade de ações similares, muitas delas podem gerar um grande número de entradas de log de eventos.

No Windows Vista® e Windows Server 2008, o número de eventos de auditoria aumentou de nove para 53, permitindo que um administrador seja mais seletivo no número e nos tipos de eventos para fazer auditoria. No entanto, diferentemente dos nove eventos básicos do Windows XP, esses novos eventos de auditoria não são integrados à Diretiva de Grupo e só podem ser

implantados por meio de scripts de logon gerados com a ferramenta de linha de comando Auditpol.exe.

No Windows Server 2008 R2 e Windows 7, todas as funcionalidades de auditoria foram integradas com a Diretiva de Grupo. Isso permite que os administradores configurem, implantem e gerenciem essas configurações no GPMC (Console de Gerenciamento de Diretiva de Grupo) ou no snap-in Diretiva de Segurança Local para um site de domínio ou uma OU (unidade organizacional). O Windows Server 2008 R2 e Windows 7 fazem com que os profissionais de TI acompanhem, de maneira mais fácil, as atividades significantes, definidas precisamente, que ocorrem na rede.

Os aprimoramentos de diretiva de auditoria no Windows Server 2008 R2 e Windows 7 permitem que os administradores conectem regras de negócios e diretivas de auditoria. Por exemplo, a aplicação de configurações de diretiva de auditoria, por um domínio ou uma OU, permitirá que os administradores documentem a conformidade com as regras, como:

Acompanhar toda a atividade do administrador de grupos em servidores com informações financeiras.

Acompanhar todos os arquivos acessados por grupos definidos de funcionários.

Confirmar que a SACL correta foi aplicada a cada arquivo, pasta e chave de registro quando eles foram acessados.


Os aprimoramentos de auditoria no Windows Server 2008 R2 e Windows 7 suportam as necessidades de profissionais de TI responsáveis pela implementação, manutenção e monitoramento da segurança contínua de ativos físicos e de informação de uma organização.

Essas configurações podem ajudar os administradores a responder os seguintes tipos de questões:

Quem está acessando os nossos ativos?

Quais ativos estão sendo acessados?

Quando e onde eles foram acessados?

Como eles obtiveram acesso?

A percepção de segurança e o desejo de ter uma pista forense são motivos significantes por trás dessas questões. A qualidade dessa informação é exigida e avaliada por auditores em um número crescente de organizações.


Um número de considerações especiais é aplicado a várias tarefas associadas aos aprimoramentos de auditoria no Windows Server 2008 R2 e Windows 7:

Criando uma diretiva de auditoria: Para criar uma diretiva de auditoria de segurança avançada do Windows, é preciso usar o GPMC ou o snap-in Diretiva de Segurança Local em um computador executando o Windows Server 2008 R2 ou Windows 7. (Você pode usar o GPMC em um computador executando Windows 7, após instalar as Ferramentas de Administração do Servidor Remoto).

Aplicando configurações de diretiva de auditoria. Se você estiver usando a Diretiva de Grupo para aplicar as configurações de diretiva de auditoria avançadas e as configurações de acesso a objetos, os computadores clientes precisarão executar o Windows Server 2008 R2 ou Windows 7. Além disso, apenas computadores executando o Windows Server 2008 R2 ou Windows 7 podem fornecer os dados do relatório "razão do acesso",

Desenvolvendo um modelo de diretiva de auditoria. Para planejar configurações de auditoria de segurança avançadas e configurações de acesso a objetos globais, é preciso usar o GPMC que direciona um controlador de domínio executando o Windows Server 2008 R2.

Distribuindo a diretiva de auditoria. Após desenvolver um GPO (objeto de Diretiva de Grupo) que inclui configurações de auditoria de segurança avançadas, ele poderá ser distribuído por meio de controladores de domínio executando qualquer sistema operacional de servidor do Windows. No entanto, se você não puder colocar computadores clientes executando o Windows 7 em uma OU separada, use o filtro de WMI (Instrumentação de Gerenciamento do Windows) para verificar se as configurações de diretiva avançadas foram aplicadas somente a computadores clientes executando o Windows 7.

Observação

As configurações de diretiva de auditoria avançadas também podem ser aplicadas a computadores clientes executando o Windows Vista. No entanto, as diretivas de auditoria para esses computadores clientes precisam ser criadas e aplicadas, separadamente, por meio dos scripts de logon

Auditpol.exe.

Importante

A utilização das configurações de diretiva de auditoria básicas em Diretivas Locais/Diretiva de Auditoria e das configurações avançadas em Configuração de Diretiva de Auditoria Avançada pode causar resultados inesperados. Portanto, os dois conjuntos de configurações de diretiva de auditoria não devem ser combinados. Se usar as configurações Configuração de Diretiva de Auditoria Avançada, habilite a configuração de diretiva Auditoria: Forçar as configurações da subcategoria de diretiva de auditoria (Windows Vista ou posterior) a substituir as configurações da categoria de diretiva de auditoria, em Diretivas Locais\Opções de Segurança. Isso evitará conflitos entre configurações parecidas, fazendo com que a auditoria de segurança básica seja ignorada.

Além disso, para planejar e implantar diretivas de auditoria de evento de segurança, os administradores precisam direcionar um número de questões estratégicas e operacionais, inclusive:

Por que precisamos de uma diretiva de auditoria?

Quais atividades e eventos são mais importantes para a nossa organização?

Quais tipos de eventos de auditoria nós podemos omitir da estratégia de auditoria?

Quantos recursos de rede e quanto tempo do administrador nós queremos dedicar para gerar, coletar e armazenar eventos e analisar dados?


Todas as versões do Windows Server 2008 R2 e Windows 7, que podem processar Diretivas de Grupo, podem ser configuradas para usar esses aprimoramentos de auditoria de segurança. As versões do Windows Server 2008 R2 e Windows 7, que não podem ingressar a um domínio, não tem acesso a esses recursos. Não há diferença no suporte de auditoria de segurança entre as versões de 32 bits e 64 bits do Windows 7.

Que nova funcionalidade este recurso oferece?

A nova funcionalidade a seguir é fornecida pelo Windows Server 2008 R2 e Windows 7: Auditoria de Acesso a Objetos Globais, configurações "razão do acesso" e configurações de diretiva de auditoria avançadas.

Auditoria de Acesso a Objetos Globais

Com a Auditoria de Acesso a Objetos Globais, os administradores podem definir SACLs de computadores por tipo de objeto para o registro ou sistema de arquivo. A SACL específica é aplicada, automaticamente, a cada objeto desse tipo.

Os auditores poderão provar que todos os recursos do sistema estão protegidos por uma diretiva de auditoria, apenas exibindo os conteúdos da configuração da diretiva Auditoria de Acesso a Objetos Globais. Por exemplo, a configuração da diretiva "acompanhar todas as alterações feitas pelos administradores do grupo" será o suficiente para mostrar que essa diretiva está em vigor.

As SACLs de recurso também são úteis para cenários de diagnóstico. Por exemplo, configurando uma diretiva Auditoria de Acesso a Objetos Globais, para registrar todas as atividades de um usuário específico, e habilitando as diretivas de auditoria Falhas de Acesso em um recurso (registro e sistema de arquivo) ajudará os administradores a identificar rapidamente qual objeto, em um sistema, está negando acesso ao usuário.

Observação

Se uma diretiva Auditoria de Acesso a Objetos Globais e uma SACL de arquivo ou pasta (ou uma única SACL de configuração de registro ou uma diretiva Auditoria de Acesso a Objetos Globais) forem configuradas em um computador, a SACL eficaz será derivada da combinação entre a diretiva Auditoria de Acesso a Objetos Globais e a SACL de arquivo ou pasta. Isso significa que um evento de auditoria será gerado se uma atividade corresponder à diretiva Auditoria de Acesso a Objetos Globais ou à SACL de arquivo ou pasta.

Configurações "Razão do acesso"

Há vários eventos no Windows para auditar sempre uma operação com ou sem êxito. Os eventos normalmente incluem o usuário, o objeto e a operação, mas não incluem o porquê da operação ser permitida ou negada. As análises forenses e os cenários de suporte melhoraram no Windows Server 2008 R2 e Windows 7, registrando o motivo, com base em permissões, pelo qual alguém teve acesso a recursos corporativos.

Configurações de diretiva de auditoria avançadas

No Windows Server 2008 R2 e Windows 7, as diretivas de auditoria aprimoradas podem ser configuradas e implantadas por meio da Diretiva de

Grupo, que reduz o custo e as despesas de gerenciamento e aumenta significativamente a flexibilidade e a eficácia da auditoria de segurança.

As seções a seguir descrevem os novos eventos e categorias de eventos disponíveis no nó Configuração de Diretiva de Auditoria Avançada da Diretiva de Grupo.

Eventos de logon da conta

Os eventos dessa categoria ajudam o domínio do documento em tentativas de autenticação dos dados da conta, tanto para um controlador de domínio como para um SAM (Gerenciador de Contas de Segurança). Diferentemente de eventos de logon e logoff, que acompanham tentativas de acesso a um computador particular, os eventos dessa categoria são relatados no banco de dados que está sendo usado.

Configuração Descrição

Validação de credenciais

Eventos de auditoria gerados por testes de validação em credenciais de logon da conta do usuário.

Operações de tíquete de serviço Kerberos

Eventos de auditoria gerados por solicitações de tíquete de serviço Kerberos.

Outros eventos de logon da conta

Eventos de auditoria gerados por respostas a solicitações de credenciais, enviadas por um logon da conta de usuário ,que não são validação de credenciais ou tíquetes Kerberos.

Serviço de autenticação Kerberos

Eventos de auditoria gerados por solicitações de TGT (tíquete de concessão de tíquete) de autenticação Kerberos.

Eventos de gerenciamento de conta

As configurações dessa categoria podem ser usadas para monitorar alterações em grupos e contas de computadores e usuários.


Gerenciamento de contas do usuário

Alterações de auditoria em contas do usuário

Gerenciamento de Eventos de auditoria gerados por alterações em

contas do computador contas do computador, como quando uma conta do computador é criada, alterada ou excluída.

Gerenciamento de grupos de segurança

Eventos de auditoria gerados por alterações em grupos de segurança.

Gerenciamento de grupos de distribuição

Eventos de auditoria gerados por alterações em grupos de distribuição.

Observação

Os eventos dessa subcategoria são registrados somente em controladores de domínio.

Gerenciamento de grupos de aplicativo

Eventos de auditoria gerados por alterações em grupos de aplicativo.

Outros eventos de gerenciamento da conta

Eventos de auditoria gerados por outras alterações em contas do usuário que não foram abordadas nessa categoria.

Eventos de acompanhamento detalhados

Os eventos de acompanhamento detalhados podem ser usados para monitorar as atividades de aplicativos individuais para entender como um computador está sendo usado e as atividades de usuários nesse computador.


Criação de processos

Eventos de auditoria gerados quando um processo for criado ou iniciado. O nome do aplicativo ou usuário que criou o processo também sofre auditoria.

Término de processos

Eventos de auditoria gerados no fim do processo.

Atividade DPAPI

Eventos de auditoria gerados quando são feitas solicitações de criptografia ou descriptografia à DPAPI (interface do aplicativo de Proteção de Dados). A DPAPI é usada para proteger informações secretas, como senha armazenada ou informação de chave. Para obter mais informações sobre DPAPI, consulte Proteção de Dados do Windows.

Eventos de RPC

Conexões de RPC (chamada de procedimento remoto) de entrada de auditoria.


Eventos de acesso de DS

Os eventos de acesso de DS fornecem uma pista de auditoria de nível baixo de tentativas de acesso e modificação de objetos nos AD DS (Serviços de Domínio Active Directory®). Esses eventos são registrado somente em controladores de domínio.


Acesso ao Serviço de Diretório

Eventos de auditoria gerados quando um objeto de AD DS é acessado.

Apenas os objetos de AD DS que correspondem à SACL são registrados

Os eventos dessa subcategoria são parecidos com os eventos de Acesso ao Serviço de Diretório disponíveis nas versões anteriores do Windows.

Alterações no Serviço de Diretório

Eventos de auditoria gerados por alterações em objetos AD DS. Os eventos são registrados quando um objeto é criado, excluído, modificado, movido ou sua exclusão for desfeita.

Replicação do Serviço de Diretório

Replicação de auditoria entre dois controladores de domínio AD DS.

Replicação Detalhada do Serviço de Diretório

Eventos de auditoria gerados por replicação detalhada de AD DS entre controladores de domínio.

Eventos de logon/logoff

Os eventos de logon e logoff permitem que você acompanhe tentativas de logon em um computador de forma interativa ou em uma rede. Esses eventos são especialmente úteis para acompanhar atividades do usuário e identificar possíveis ataques em recursos da rede.


Logon Eventos de auditoria gerados por tentativas de logon na conta do usuário em um computador.

Logoff Eventos de auditoria gerados pelo encerramento de uma

sessão de logon. Esses eventos ocorrem no computador que foi acessado. Para um logon interativo, o evento de auditoria de segurança é gerado no computador em que foi feito o logon na conta do usuário.

Bloqueio da conta Eventos de auditoria gerados por uma falha na tentativa de logon em uma conta bloqueada.

Modo Principal IPsec

Eventos de auditoria gerados uma um protocolo IKE ou protocolo Authenticated IP durante negociações de Modo Principal.

Modo Rápido IPsec Eventos de auditoria gerados uma um protocolo IKE ou protocolo Authenticated IP durante negociações de Modo Rápido.

Modo Estendido IPsec

Eventos de auditoria gerados uma um protocolo IKE ou protocolo Authenticated IP durante negociações de Modo Estendido.

Logon especial Eventos de auditoria gerados por logons especiais

Outros eventos de logon/logoff

Outros eventos de auditoria relacionados ao logon e logoff que não estão concluídos na categoria Logon/Logoff.

Servidor de diretivas de rede (em inglês)

Eventos de auditoria gerados por solicitação de acesso ao usuário de RADIUS (IAS) e NAP (Proteção de Acesso à Rede). Essas solicitações podem ser Conceder, Negar, Descartar, Quarentena, Bloquear, Desbloquear.

Eventos de acesso a objetos

Os eventos de acesso a objetos permitem que você acompanhe tentativas de acesso a objetos específicos ou tipos de objetos em uma rede ou computador. Para auditar um arquivo, diretório, chave de registro ou qualquer outro objeto, você precisa habilitar a categoria Acesso a Objetos para eventos de êxito e falha. Por exemplo, a subcategoria Sistema de Arquivos precisa ser habilitada para fazer auditoria em operações de arquivo, e a subcategoria Registro precisa ser habilitada para fazer auditoria no acesso de registro.

É difícil provar que essa diretiva está em vigor para um auditor externo. Não há uma maneira fácil de verificar se as SACLs apropriadas foram definidas em todos os objetos herdados.


Sistema de arquivos Auditoria de tentativas do usuário de acessar objetos

do sistema do arquivo. Um evento de auditoria de segurança é gerado somente para objetos que tem SACLs e somente se o tipo de acesso for solicitado, como Gravar, Ler ou Modificar, e se a conta que está fazendo a solicitação correspondente às configurações na SACL.

Registro

Auditoria tentativas de acessar objetos de registro. Um evento de auditoria de segurança é gerado somente para objetos que tem SACLs e somente se o tipo de acesso for solicitado, como Ler, Gravar ou Modificar, e se a conta que está fazendo a solicitação correspondente às configurações na SACL.

Objeto Kernel

Auditoria de tentativas de acesso ao kernel do sistema, que inclui mutexes e sinais. Apenas objetos kernel com uma SACL correspondente geram eventos de auditoria de segurança.

Observação

A configuração de auditoria Auditoria: Auditoria de acesso de objetos de sistema global controla a SACL padrão de objetos kernel.

SAM Eventos de auditoria gerados por tentativas de acesso aos objetos de SAM (Gerenciador de Contas de Segurança).

Serviços de certificação

Auditoria de operações de AD CS (Serviços de Certificados do Active Directory)

Aplicativo gerado

Aplicativos de auditoria que geram eventos por meio das APIs (interfaces de programação de aplicativo) de auditoria do Windows. Os aplicativos criados para usar a API de auditoria do Windows usam essa subcategoria para registrar eventos de auditoria relacionados à sua função.

Manipulação do identificador

Eventos de auditoria gerados quando um identificador de um objeto é aberto ou fechado. Apenas objetos com uma SACL correspondente geram eventos de auditoria de segurança.

Compartilhamento de arquivos

Auditoria de tentativas de acesso a uma pasta compartilhada. No entanto, nenhum evento de auditoria de segurança foi gerado quando uma pasta foi criada, excluída ou suas permissões de compartilhamento

foram alteradas.

Compartilhamento de arquivos detalhado

Auditoria de tentativas de acesso a arquivos e pastas em uma pasta compartilhada. A configuração Compartilhamento de arquivos detalhado registra um evento todas as vezes que um arquivo ou pasta foi acessado, enquanto a configuração Compartilhamento de arquivos registra somente um evento para qualquer conexão estabelecida entre um cliente e um compartilhamento de arquivos. Os eventos de auditoria Compartilhamento de Arquivos Detalhado inclui informações detalhadas sobre permissões ou outros critérios usados para conceder ou negar acesso.

Descarte de pacote da plataforma para filtros

Pacotes de auditoria descartados pela WFP (Plataforma para Filtros do Windows).

Conexão da plataforma para filtros

Conexões de auditoria permitidas ou bloqueadas pela WFP.

Outros eventos de acesso a objetos

Eventos de auditoria gerados pelo gerenciamento de trabalhos de Agendador de Tarefas ou objetos de COM+.

Eventos de alteração de diretivas

Os eventos de alteração de diretivas permitem que você acompanhe alterações de diretivas de segurança importantes em uma rede ou sistema local. Como essas diretivas são normalmente estabelecidas por administradores, para ajudar a proteger recursos da rede, qualquer alteração ou tentativa de alterar essas políticas pode ser um aspecto importante do gerenciamento de segurança de uma rede.


Alteração de diretiva de auditoria

Alterações de auditoria nas configurações de diretiva de auditoria de segurança.

Alteração de diretiva de autenticação

Eventos de auditoria gerados por alterações em diretivas de autenticação.

Alteração de diretiva de autorização

Eventos de auditoria gerados por alterações em diretivas de autorização.

Alteração de diretiva de nível de regra MPSSVC

Eventos de auditoria gerados por alterações nas regras de auditoria usadas pelo Firewall do Windows.

Alteração na diretiva da plataforma de filtragem

Eventos de auditoria gerados por alterações em WFP.

Outros eventos de alteração de diretiva

Eventos de auditoria gerados por outras alterações em diretivas de segurança que não foram auditadas na categoria Alteração de Diretiva.

Eventos de uso de privilégio

Os privilégios em uma rede são concedidos para usuários ou computadores para tarefas definidas concluídas. Os eventos de uso de privilégios permitem que você acompanhe o uso de certos privilégios em um ou mais computadores.


Uso de privilégio confidencial

Eventos de auditoria gerados pelo uso de privilégios confidenciais (direitos do usuário), como ação como parte do sistema operacional, backup de arquivos e diretórios, representação do computador cliente ou a geração de auditorias de segurança.

Uso de privilégio não confidencial

Eventos de auditoria gerados pelo uso de privilégios não confidenciais (direitos do usuário), como logon local ou com a conexão de uma área de trabalho remota, alteração do tempo do sistema ou remoção do computador de uma base de encaixe.

Outros eventos de uso de privilégio

Não usado.

Eventos do sistema

Os eventos do sistema permitem que você acompanhe alterações de alto nível para um computador que não está incluído em outras categorias e que possui possíveis implicações de segurança.


Alteração do estado de segurança

Eventos de auditoria gerados por alterações no estado de segurança do computador.

Extensão do sistema de segurança

Eventos de auditoria relacionados a extensões ou serviços do sistema de segurança

Integridade do sistema

Eventos de auditoria que violam a integridade do subsistema de segurança.

Driver IPsec Eventos de auditoria gerados pelo driver de filtro do IPsec.

Outros eventos de sistema

Auditoria de qualquer um dos eventos a seguir:

Inicialização e desligamento do Firewall do Windows.

Processamento da diretiva de segurança pelo Firewall do Windows.

Arquivo de chave de criptografia e operações de migração.

Novidades no Backup do Windows Server

Publicado: agosto de 2009



O Backup do Windows Server Backup no Windows Server® 2008 R2 foi aperfeiçoado e introduz recursos que permitem mais controle sobre o que você pode fazer o backup e onde você pode armazená-lo. Ele também oferece suporte de linha de comando e do Windows PowerShell™ para gerenciar os backups remotamente.

As seguintes alterações estão disponíveis no Windows Server 2008 R2: Essas alterações resultam em maior flexibilidade, eficiência e gerenciamento para criar e gerenciar backups e executar recuperações:

Habilidade para fazer backup/excluir arquivos individuais e incluir/excluir tipos e caminhos de arquivos de um volume

Melhor desempenho e uso de backups incrementais

Opções expandidas para armazenamento de backup

Opções e desempenho melhorados para backups e recuperações de estado do sistema

Suporte expandido à linha de comando.

Suporte expandido do Windows PowerShell

Para obter detalhes sobre essas alterações, consulte a seção da nova funcionalidade mais adiante nesse tópico,

O que o Backup do Windows Server faz?

O Backup do Windows Server consiste em um snap-in do MMC (Console de Gerenciamento Microsoft), em ferramentas de linha de comando e um snap-in e cmdlets do Windows PowerShell que fornecem uma solução completa para as suas necessidades diárias de backup e recuperação. Você pode usar o Backup do Windows Server para fazer backup de um servidor completo (todos os volumes), volumes selecionados, do estado do sistema ou arquivos e pastas específicos, além de criar um backup que você pode usar para recuperação bare-metal. Você pode recuperar volumes, pastas, arquivos, certos aplicativos e o estado do sistema. E, no caso de desastres como falhas no disco rígido, você pode realizar uma recuperação bare-metal. Você pode usar o Backup do Windows Server para criar e gerenciar backups para o computador local ou um computador remoto. E, você pode programar backups para executarem automaticamente.


O Backup do Windows Server é destinado a todos que precisem de uma solução básica de backup: de pequenos empresários a grandes empresas.

Os grupos a seguir podem se interessar por essas alterações:

Profissionais de TI responsáveis pela infraestrutura, backup e recuperação de desastre

Pequenos empresários ou indivíduos que não são profissionais de TI que procuram por uma solução de backup completa e passo a passo

Médias ou grandes empresas que procuram uma solução de backup flexível e eficiente que pode ser controlada por script e gerenciada remotamente


Para realizar uma recuperação bare-metal ou do sistema operacional, você precisará de um backup (criado usando o Backup do Windows Server) de todo o servidor ou apenas dos volumes que contêm arquivos de sistema operacional

e do Ambiente de Recuperação do Windows, que restaurará seu sistema completo para seu sistema antigo ou um novo disco rígido. Para obter mais informações, consulte Recuperar o Sistema Operacional o Todo o Servidor (essa página pode estar em inglês) (http://go.microsoft.com/fwlink/?LinkId=159599).

Certas tarefas de backups ou recuperação devem ser realizadas com dois computadores que executam a mesma versão do Windows Server 2008 ou Windows Server 2008 R2, enquanto outras podem ser realizadas em computadores usando as duas versões. A tabela a seguir mostra as tarefas que você pode realizar com um determinado tipo de backup.

Para obter mais informações sobre os problemas a serem considerados ao usar o Backup do Windows Server no Windows Server 2008 R2, consulte Visão Geral do Backup do Windows Server (esta página pode estar em inglês) (http://go.microsoft.com/fwlink/?LinkId=159614).

Backup criado com o Windows Server 2008

Backup de volume

criado com o Windows

Server 2008 R2

Backup de arquivo/pasta criado com o

Windows Server 2008 R2

Backup de recuperação bare-metal

criado com o Windows

Server 2008

Realize uma recuperação de arquivo/pasta para um computador que está executando o Windows Server 2008

Com suporte Sem suporte Sem suporte Com suporte

Realize uma recuperação de volume para um computador que está executando o Windows Server 2008


Realize uma recuperação bare-metal para








um computador que está executando o Windows Server 2008

Realize uma recuperação de estado do sistema para um computador que está executando o Windows Server 2008


Gerencie backups com o comando Wbadmin em um computador que está executando o Windows Server 2008


Gerencie backups com o snap-in do MMC do Backup do Windows Server no Windows Server 2008


Gerencie backups com cmdlets do Windows PowerShell no Windows Server 2008


Realize backups ou recuperações remotas usando a opção Conectar-se a Outro

Sem suporte Com suporte Com suporte Sem suporte

Computador no Windows Server 2008 R2

Realize uma recuperação de arquivo/pasta para um computador que está executando o Windows Server 2008 R2

Com suporte Com suporte Com suporte Com suporte

Realize uma recuperação de volume para um computador que está executando o Windows Server 2008 R2


Realize uma recuperação bare-metal para um computador que está executando o Windows Server 2008 R2


Realize uma recuperação de estado do sistema para um computador que está executando o Windows Server 2008 R2


Gerencie backups com o comando Wbadmin em um computador que está executando o Windows


Server 2008 R2

Gerencie backups com a interface do usuário do Backup do Windows Server no Windows Server 2008 R2


Gerencie backups com cmdlets do Windows PowerShell no Windows Server 2008 R2


Que nova funcionalidade este recurso oferece?

Habilidade para fazer backup/excluir arquivos individuais e incluir/excluir tipos e caminhos de arquivos de um volume

O Backup do Windows Server permite que você retorne determinados arquivos em vez de volumes completos. Além disso, você pode excluir arquivos de seus backups com base no tipo ou caminho do arquivo.


Essa alteração oferece maior flexibilidade e controle sobre o que você inclui em seus backups, em vez de solicitar que você faça backups de volumes inteiros.


Novas opções foram adicionadas aos assistentes de Agendamento de Backup e Backup Único (disponíveis no snap-in de Backup do Windows Server). Essas opções permitem que você pegue arquivos e pastas para adicionar ao seu backup e exclua tipos e caminhos de arquivos de seu backup. Além disso, os comandos Wbadmin enable backup e Wbadmin start backup foram atualizados para incluir essa funcionalidade.

Melhor desempenho e uso de backups incrementais

O Backup do Windows Server, por padrão, cria backups incrementais que funcionam como backups totais (você pode recuperar qualquer item de um

backup simples, mas o backup apenas ocupará o espaço necessário para um backup incremental). Todos os backups de arquivos/pastas (exceto o primeiro) são incrementais em que apenas os arquivos alterados são lidos e transferidos para o local de armazenamento de backup. Além disso, o Backup do Windows Server não exige intervenção do usuário para excluir periodicamente backups antigos para liberar espaço no disco para novos backups, os backups antigos são excluídos automaticamente.


Essa alteração oferece menor tempo de desempenho para criar backups que ocupam menos espaço. Além disso, por causa dessa alteração, os administradores não precisam excluir backups antigos manualmente nem fazer nada para certificar que backups desnecessários estão sendo excluídos.


Não é necessária a ação do usuário para criar backups incrementais. No entanto, se você estiver fazendo o backup de volumes inteiros, você pode configurar as definições de desempenho usando a caixa de diálogo atualizada Otimizar Desempenho do Backup disponível no snap-in do MMC de Backup do Windows Server.

Opções expandidas para armazenamento de backup

Agora, você pode armazenar backups criados usando um backup agendado em uma pasta ou volume compartilhado remoto. (Se você armazenar backups em uma pasta compartilhada remota, apenas uma versão do backup será mantida) Você também pode armazenar backups em discos rígidos virtuais.


Essa alteração permite que você armazene backups em locais que também contêm outros dados; você não precisa mais dedicar um disco inteiro para armazenar backups.


Novas opções foram adicionadas ao Assistente de Agendamento de Backup (disponível no snap-in do MMC de Backup do Windows Server) para selecionar uma pasta ou volume compartilhado remoto como local de armazenamento de backup. Além disso, o comando Wbadmin enable backup foi atualizado para incluir essa funcionalidade.

Opções e desempenho melhorados para backups e recuperações de estado do sistema

Agora, você pode usar o snap-in do MMC de Backup do Windows Server para criar backups que você pode usar para realizar recuperações de estado do sistema. Além disso, você pode usar um backup simples para fazer o backup do estado do sistema e de outros dados no seu servidor. Os backups de estado do sistema agora são mais rápidos e exigem menos espaço para diversas versões porque usam cópias de sombras para versões (semelhantes a backups com base em volume) e pastas não individuais para cada versão. Para obter mais informações sobre como os backups de estado do sistema são armazenados no Windows Server 2008 R2, consulte a Biblioteca Técnica (esta página pode estar em inglês) (http://go.microsoft.com/fwlink/?LinkID=143713).


No Windows Server 2008, você somente pode criar backups de estado do sistema usando o comando Wbadmin. Além disso, você não pode fazer backup do estado do sistema e de outros itens no mesmo backup, o que tornaria as recuperações mais difíceis.


Novas opções foram adicionadas aos assistentes de Gerenciamento de Backup e Backup Único (disponíveis no snap-in do MMC de Backup do Windows Server) que permitem que você crie um backup do estado do sistema e adicione outros itens ap backup ao mesmo tempo. Além disso, os comandos Wbadmin enable backup e Wbadmin start backup foram atualizados para incluir o parâmetro –systemState, que permite que você inclua o estado do sistema em um backup agendado ou único.

Suporte expandido à linha de comando.

Alterações no comando Wbadmin espelham as alterações no snap-in do MMC de Backup do Windows Server, ou seja, a habilidade de fazer backup de arquivos em vez de volumes inteiros, a habilidade de excluir certos tipos ou caminhos de arquivos e a habilidade de armazenar backups agendados em pastas e volumes compartilhados remotos. Para obter sintaxes e exemplos, consulte a Referência de Comandos (esta página pode estar em inglês) (http://go.microsoft.com/fwlink/?LinkID=140216).






As alterações no comando Wbadmin oferecem maior controle, desempenho e capacidades, além de manter a interface do usuário e o comando consistentes entre si.


A funcionalidade dos seguintes comandos foi atualizada:

Wbadmin enable backup

Wbadmin start backup

Wbadmin start sysrecovery

Suporte ao Expanded Windows PowerShell

O Backup do Windows Server melhorou os cmdlets do Windows PowerShell no Windows Server 2008 R2 para automatizar tarefas de rotina e melhorar o gerenciamento de scripts de backup usando as capacidades do Windows PowerShell.


As alterações ofereceram maior gerenciamento, gerenciamento remoto e capacidades de script, além de manter o suporte cmdlet consistente com as alterações feitas no snap-in do MMC de Backup do Windows Server e no comando Wbadmin.

Observação

As recuperações ainda devem ser realizadas usando o snap-in do MMC ou o comando Wbadmin.


Como com o comando Wbadmin, as alterações nos cmdlets do Windows PowerShell para Backup do Windows Server espelham as alterações no snap-in do MMC de Backup do Windows Server, ou seja, a habilidade de fazer backup de arquivos em vez de volumes inteiros, a habilidade de excluir certos tipos ou caminhos de arquivos e a habilidade de armazenar backups agendados em pastas e volumes compartilhados remotos. Para obter mais detalhes, consulte o conteúdo sobre cmdlets de Backup do Windows Server (esta página pode estar em inglês) (http://go.microsoft.com/fwlink/?LinkId=159759).



Há dependências?

Você deve instalar especificamente o componente do Windows PowerShell de Backup do Windows Server no Gerenciamento de Servidores. Para obter instruções, consulte Instalar Ferramentas de Backup do Windows Server (esta página pode estar em inglês) (http://go.microsoft.com/fwlink/?LinkID=101794).


O Backup do Windows Server está disponível em todas as edições do Windows Server 2008 e do Windows Server 2008 R2. Entretanto, o snap-in do MMC de Backup do Windows Server não está disponível para a opção de instalação Núcleo do Servidor do Windows Server 2008 R2. Para executar backups de computadores com uma instalação Núcleo do Servidor, é necessário usar o comando Wbadmin ou cmdlets do Windows PowerShell para Backup do Windows Server, ou gerenciar backups remotamente de outro computador.


Para obter mais informações sobre como fazer backup ou recuperar seu servidor, consulte Backup e Recuperação (esta página pode estar em inglês) (http://go.microsoft.com/fwlink/?LinkID=93012).

Para obter instruções de backup ou de recuperação de servidores que executam Serviços de Domínio do Active Directory®, consulte Recuperando Serviços de Domínio do Active Directory (esta página pode estar em inglês) (http://go.microsoft.com/fwlink/?LinkId=143754).

Outras alterações no Windows Server 2008 R2

Publicado: agosto de 2009


Este documento descreve recursos novos e alterados no Windows Server® 2008 R2. Ele não lista de maneira abrangente todas as alterações no Windows Server 2008 R2, mas se concentra em melhorias de diversas áreas.

A menos que definido em contrário, estes itens se aplicam a todas as opções de instalação e edições do Windows Server 2008 R2.

Observação

Para obter uma exibição completa dos recursos, artigos, demonstrações e








orientações do Windows 7, visite a Série Springboard para Windows 7 (a página pode estar em inglês) no TechCenter do Cliente do Windows.

Neste documento:

Serviços de Gerenciamento de Direitos do Active Directory (em inglês)

Serviços essenciais e fundamentos

Instalador autônomo de atualização do Windows

TCP chimney

Serviço de transferência inteligente de plano de fundo

Novas ferramentas de migração de servidor e guias de migração

Codificador e decodificador de voz e áudio do Windows Media

Serviços de gerenciamento de direitos Active Directory

Os novos cmdlets do Windows® PowerShell™ permitem que você implante e administre o AD RMS (Active Directory® Rights Management Services) na linha de comando.

Implantação do PowerShell. Este recurso se aplica a Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter e Windows Server 2008 R2 Foundation. Antes do Windows Server 2008 R2, a função do AD RMS pode ser adicionada e provisionada somente pelo Gerenciador do Servidor. No Windows Server 2008 R2, você pode criar cmdlets do Windows PowerShell para adicionar e provisionar a função do AD RMS.

Administração do PowerShell. Esse recurso se aplica ao Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Foundation e Microsoft® Hyper-V™ Server 2008 R2. Antes do Windows Server 2008 R2, funcionalidade de administração do AD RMS estava disponível pelo Gerenciador do Servidor ou com scripts. No Windows Server 2008 R2, toda a funcionalidade de administração para a função do AD RMS também está disponível pelos cmdlets do Windows PowerShell.

Serviços essenciais e fundamentos

Diretiva de Grupo


http://technet.microsoft.com/pt-br/library/dd883262%28WS.10%29.aspx#BKMK_ADRDS

http://technet.microsoft.com/pt-br/library/dd883262%28WS.10%29.aspx#BKMK_CORE

http://technet.microsoft.com/pt-br/library/dd883262%28WS.10%29.aspx#BKMK_Wusa

http://technet.microsoft.com/pt-br/library/dd883262%28WS.10%29.aspx#BKMK_chimney

http://technet.microsoft.com/pt-br/library/dd883262%28WS.10%29.aspx#BKMK_BITS

http://technet.microsoft.com/pt-br/library/dd883262%28WS.10%29.aspx#BKMK_guides

http://technet.microsoft.com/pt-br/library/dd883262%28WS.10%29.aspx#BKMK_EncoderDecoder

No Windows Server 2008 R2, a Diretiva de Grupo foi aprimorada nas seguintes maneiras:

Novos cmdlets do Windows PowerShell. Este recurso se aplica a Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter e Windows Server 2008 R2 Foundation. Antes do Windows Server 2008 R2, os profissionais de TI gerenciavam e automatizavam a Diretiva de Grupo pelo GPMC (Console de Gerenciamento de Diretiva de Grupo) ou com scripts gravados em relação a interfaces GPMC COM. O Windows Server 2008 R2 apresenta um eficiente conjunto de 25 cmdlets, que permitem que você gerencie e automatize a Diretiva de Grupo pelo Windows PowerShell. Com esses cmdlets, um administrador de TI pode fazer backup, restauração, emissão de relatórios e configuração dos GPOs (objetos de Diretiva de Grupo) por meio de configurações de registro. Essa funcionalidade é adicionada quando o GPMC é instalado.

Suporte do ADMX para Reg_QWORD & Reg_MultiSZ. Antes do Windows Server 2008 R2, não era possível configurar uma chave de registro que fosse do tipo QWORD ou MultiSZ pelos Modelos Administrativos de Diretiva de Grupo (ADMX). O esquema ADMX foi atualizado para suportar os tipos de registro QWORD e MultiSZ.

Aprimoramentos no editor do ADMX. Este recurso se aplica a Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter e Windows Server 2008 R2 Foundation. Antes do Windows Server 2008 R2, o editor do ADMX era exibido como uma caixa de diálogo fixa e não redimensionável. O texto da interface do usuário geralmente era anexado, e o conteúdo da Ajuda era difícil de ser encontrado. O novo editor do ADMX é exibido em uma janela dimensionável que evita a anexação de texto e as informações sobre configurações, incluindo Ajuda e comentários, são fáceis de ser encontradas.

Aprimoramentos das preferências de Diretiva de Grupo. Este recurso se aplica a Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter e Windows Server 2008 R2 Foundation. Novos recursos foram adicionados às Preferências de Diretiva de Grupo que permitem configurar o Internet Explorer® 8. A nova funcionalidade também está disponível em Tarefas Agendadas e Planos de Energia para o Windows Server 2008 R2. Os profissionais de TI pode usar as Preferências de Diretiva de Grupo para configurar de maneira central o Internet Explorer 8, as Tarefas Agendadas e os Planos de Energia. Essa funcionalidade é adicionada quando o

GPMC é instalado. Além disso, as extensões do lado do cliente da preferência de Diretiva de Grupo estão incluídas no Windows Server 2008 R2, de modo que você não precisa baixá-los do Windows Update ou da Central de Download da Microsoft.

GPOs iniciais são incluídos no Windows Windows Server 2008 R2. Oito GPOs iniciais com base nas diretrizes de segurança da Microsoft estão incluídos no Windows Server 2008 R2. Isso permite que um administrador selecione os GPOs iniciais do GPMC. Antes do Windows Server 2008 R2, se um administrador selecionasse o nó do GPO inicial do GPMC, ele ficaria vazio, a menos que tivessem criado ou baixado GPOs iniciais do Central de Download.

Para obter mais informações, consulte Novidades na Diretiva de Grupo.

Windows PowerShell 2.0

O Windows PowerShell 2.0 é compatível com o Windows PowerShell 1.0, mas tem algumas alterações. Você precisa atualizar seus scripts e aplicativos existentes para acomodar as seguintes alterações:

O valor da entrada de registro do PowerShellVersion em HKLM\SOFTWARE\Microsoft\PowerShell\1\PowerShellEngine foi alterado para 2.0.

Novos cmdlets e variáveis adicionados que podem entrar em conflito com variáveis e funções em perfis e scripts.

O operador -ieq executa uma comparação de caracteres que não diferencia maiúsculas de minúsculas.

O cmdlet Get-Command obtém funções por padrão (além dos cmdlets).

Comandos nativos que geram uma interface de usuário não podem ser enviados para o cdmlet Out-Host.

As novas palavras-chave de idioma Begin, Process, End e Dynamic Param podem entrar em conflito com palavras similares que são usadas no momento em scripts e funções. Podem ocorrer erros de análise se essas palavras forem interpretadas como palavras-chave de idioma.

A resolução do nome do cmdlet é alterada. No Windows PowerShell 1.0, um erro de tempo de execução foi gerado quando dois snap-ins do Windows PowerShell exportaram cmdlets com o mesmo nome. No Windows PowerShell 2.0, o último cmdlet que foi adicionado à sessão é


executado quando você digita o nome do comando. Para executar um comando que não é executado por padrão, qualifique o nome do cmdlet com o nome do snap-in ou módulo em que é originado.

Um nome de função seguido por -? obtém o tópico de Ajuda para a função, se houver um incluído na função.

A resolução do parâmetro para métodos do Microsoft .NET Framework é alterada. No Windows PowerShell 1.0, se você tiver chamado um método .NET sobrecarregado com mais de uma sintaxe bem ajustada, nenhum erro será reportado. No Windows PowerShell 2.0, um erro de ambiguidade é reportado. Além disso, no Windows PowerShell 2.0, o algoritmo para escolher o método de melhor ajuste é revisado significativamente para reduzir o número de ambiguidades.

Se usar o Import-Module para carregar comandos que usam verbos reprovados ou caracteres restritos no nome do comando, você receberá um aviso. Use o comando Get-Verb para ver uma lista de verbos aprovados. Não use nenhum dos seguintes caracteres nos nomes de comando: [ # , ( ) { } [ ] & - / \ $ ^ ; : " ' < > | ? @ ` * ~ % + =

Se você estiver enumerando uma coleção no pipeline e tentar modificar a coleção no pipeline, o Windows PowerShell 2.0 gerará uma exceção. Por exemplo, os comandos a seguir funcionam no Windows PowerShell 1.0, mas falham depois da primeira iteração do pipeline no Windows PowerShell 2.0.

Windows PowerShell

$h = @{Name="Hello"; Value="Test"}

$h.keys | foreach-object {$h.remove($_)}

Para evitar esse erro, crie uma subexpressão para o enumerador usando os caracteres $(), como mostrado abaixo:

Windows PowerShell

$($h.keys) | foreach-object {$h.remove($_)}

Para obter mais informações, consulte Novidades do Windows PowerShell do Windows Server TechCenter.

Codificador e decodificador de voz e áudio do Windows Media

Os DMOs (DirectX Media Objects) para o Codificador de Voz e Áudio do Windows Media (wmspdmoe.dll) e Decodificador de Voz e Áudio do Windows Media (wmspdmod.dll) foram atualizados no Windows Server 2008 R2. Agora, eles produzem um erro quando há uma tentativa de usá-los fora do conjunto de taxas de amostra suportadas, que são 8 kHz, 16 kHz, 11,25 kHz e 22,5 kHz.

Instalador autônomo de atualização do Windows

O Instalador autônomo de atualização do Windows (Wusa.exe) oferece os seguintes aprimoramentos no Windows Server 2008 R2:

Suporte a desinstalação. Antes do Windows Server 2008 R2, o Wusa.exe incluía somente suporte a instalação. No Windows Server 2008 R2, o Wusa.exe inclui suporte a desinstalação, de modo que os administradores podem desinstalar atualizações e uma linha de comando. Os usuários podem desinstalar uma atualização, oferecendo o caminho para o arquivo .msu ou por meio do número do pacote (da Base de Conhecimento Microsoft) da atualização a ser desinstalada. Use o seguinte comando para desinstalar uma atualização especificando o caminho total para a atualização:

wusa.exe /uninstall <Path>

Use o seguinte comando para desinstalar uma atualização especificando o número do pacote da atualização na Base de Dados de Conhecimento Microsoft:

wusa.exe /uninstall /kb:<KB Number>

Parâmetros adicionais da linha de comando. Novos parâmetros estão disponíveis no Windows Server 2008 R2 para permitir registro em log, extração de conteúdos de um arquivo .msu e o controle do comportamento de reinício quando uma atualização é instalada em modo silencioso.


Parâmetro de linha de

comando Windows Server 2008 Windows Server 2008 R2

/log

Não disponível. O log pode ser ativado somente por ferramentas de rastreamento.

O novo parâmetro permite o log pela ferramenta Wusa.exe.

/extract

Não disponível. Os conteúdos dos arquivos .msu só podem ser extraídos usando a ferramenta Expand.exe.

O novo parâmetro permite que os arquivos .msu sejam extraídos pelo uso da ferramenta Wusa.exe.

/quiet Suporta somente a opção /norestart.

Estendida para suportar as opções /forcerestart, /warnrestart e /promptrestart.

Informações estendidas de erro. A ferramenta Wusa.exe oferece informações estendidas em situações de erros para um diagnóstico melhor.

Erro Código de erro em

Windows Server 2008

Código de erro em Windows Server 2008 R2

A atualização já está instalada.

1 (S_FALSE) 0x240006 (WU_S_ALREADY_INSTALLED)

A atualização não é aplicável.

1 (S_FALSE) 0x80240017 (WU_E_NOT_APPLICABLE)

Observação

Uma atualização foi lançada para fornecer os códigos de erro para o Windows Server 2008 R2 em computadores que estão executando o Windows Server 2008. Para obter mais informações, consulte o artigo 949545 na Base de Dados de Conhecimento Microsoft (http://go.microsoft.com/fwlink/?LinkId=151807 [a página pode estar em




inglês]).

TCP chimney

O comportamento padrão dos descarregamentos do TCP mudou da seguinte maneira:

Nos adaptadores de rede de 10 GbE, as conexões de TCP são descarregadas por padrão.

Nos adaptadores de rede de 1 GbE, as conexões de TCP não são descarregadas por padrão.

Para descarregar as conexões de TCP em um adaptador de rede de 1 GbE, você deve ativar explicitamente o descarregamento do TCP. Para ativar o descarregamento do TCP, siga estas etapas:

1. Verifique se um adaptador de rede de 1 GbE de chaminé de TCP está instalado no computador e se o descarregamento do TCP está ativado no adaptador de rede.

2. Execute o seguinte comando em um prompt de comando elevado:

netsh int tcp set global chimney=enabled

Serviço de transferência inteligente de plano de fundo

O BITS (Serviço de Transferência Inteligente de Plano de Fundo) 4.0 aproveita a infraestrutura do BranchCache™ para fornecer a funcionalidade de transferência de arquivos ponto a ponto. Ele não interopera com a solução cache a ponto do BITS 3.0 que foi incluída com o Windows Vista® e Windows Server 2008.

Observação

Como resultado dessa mudança, qualquer aplicativo ou serviço corporativo (como o Windows Server Update Services) que usa o armazenamento em cache de ponto BITS 3.0 deve baixar arquivos diretamente do servidor de origem em vez de recuperá-los de um computador de mesmo nível. Para evitar ou corrigir esse problema, use um computador que tenha o Windows Server 2008 R2 e o BranchCache instalados.

Novas ferramentas de migração de servidor e guias de migração

Os guias de migração e ferramentas de migração do servidor são apresentados para facilitar o processo de migração de funções do servidor, configurações do sistema operacional e dados de um servidor existente que esteja executando o Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2 em um computador que esteja executando o Windows Server 2008 R2. A maioria dessas ferramentas e desses guias de migração suportam o seguinte:

Migrações entre arquiteturas (plataformas de computador x86 a x64)

Migrações entre ambientes físicos e virtuais

Migrações entre as opções de Instalação completa e Núcleo do Servidor do sistema operacional Windows Server

As ferramentas de migração do servidor, os guias de migração, ou ambos, estão disponíveis para funções de servidor de Impressão, Arquivo, AD DS (Serviços de Domínio Active Directory), DNS e DHCP, recurso BranchCache, dados e pastas compartilhadas, dados e configuração de IP e usuários e grupos locais.

Para obter mais informações, consulte Migrar para o Windows Server 2008 R2 (http://go.microsoft.com/fwlink/?LinkID=128554 [a página pode estar em inglês]).


Documents

014 - Windows Server 2008_Outras alterações no Windows Server 2008 R2