O controle de acesso é parte integral do NDS (Novell Directory Services) e da estrutura do sistema de arquivos do NetWare. Ele determina o que os usuários podem executar e quais informações e recursos estão disponíveis.
Uma estrutura eficiente de segurança é implementada facilmente porque a maioria dos direitos necessários são atribuídos automaticamente durante a criação dos objetos do Diretório.
Os administratores podem controlar os usuários e os grupos que precisam acessar recursos, como dados e programas, residentes em arquivos e diretórios. Eles também podem proteger os objetos no nível do servidor de acessos não autorizados.
O controle de acesso aos objetos do Diretório é mantido através da definição dos seguintes recursos:
Quando um cliente do NetWare solicita acesso a um servidor da rede, como, por exemplo, ao fazer login, o servidor começa um processo chamado autenticação. A autenticação valida as solicitações do cliente anexando um código exclusivo a cada uma delas. Este código é, então, utilizado para identificar as seguintes informações sobre cada solicitação:
Por exemplo, ocorre a autenticação quando um usuário da rede solicita login. O NDS retorna um código exclusivo para a solicitação do usuário que é anexado às informações sobre o usuário (senha, endereço da estação de trabalho e horário). Baseando-se no contexto atual e no nome do login, a autenticação identifica o objeto do Usuário para outros servidores na rede verifica se o objeto pode usar certos recursos.
A autenticação habilita uma rede do NetWare 4 para suportar um único login para toda a rede dos servidores.
A autenticação permite que um usuário que fez login na rede acesse qualquer recurso dela a que ele tem direito. Se um usuário não tem quantidade de direitos suficiente, o acesso é negado. A autenticação verifica os direitos do usuário para os recursos do Diretório e do sistema de arquivos.
O NetWare 4 suporta duas divisões de segurança para a Árvore do Diretório e do sistema de arquivos.
A segurança do NDS (Novell Directory Services) afeta o gerenciamento da Árvore do Diretório e de seus objetos. Esta segurança é usada para gerenciar os objetos do Diretório e de suas propriedades como o acesso entre os objetos do Diretório e suas propriedades, acesso aos login scripts etc.
A segurança do sistema de arquivos do NetWare afeta a forma como os objetos do Diretório podem acessar os arquivos e os diretórios nos volumes da rede. Este tipo de segurança fornece o controle dos programas de aplicativos e dos arquivos de dados nos servidores da rede.
Essa segurança é basicamente igual à segurança do sistema de arquivos usada em versões anteriores do NetWare. Novos atributos foram acrescentados aos recursos como a compressão e a migração de dados.
A segurança do NDS e do sistema de arquivos é baseada nos mesmos princípios, mas funciona separadamente. Isso é possível em administrações únicas e divididas dos recursos e dados da rede.
Os princípios comuns para a segurança do sistema de arquivos e do NDS são:
A designação de trustee determina o tipo de acesso que os objetos do Diretório têm com outros objetos do Diretório e com suas propriedades e o acesso com os diretórios e arquivos do sistema de arquivos. Essas designações são feitas atribuindo claramente os direitos para um objeto do Diretório e para suas propriedades e os arquivos e diretórios do sistema de arquivos.
Algumas designações de trustee são feitas automaticamente na instalação e quando são criados certos objetos do Diretório como os objetos Usuário e objetos Servidor NetWare. Consulte "Designações Default de Trustee" para obter mais informações.
As designações do trustee têm as seguintes características:
Uma designação explícita em um nível inferior substitui todas as designações do trustee feitas nos níveis superiores na Árvore do Diretório ou do diretório de arquivos.
Como a Árvore do Diretório e o sistema de arquivos são estruturas de árvore hierárquica, os direitos neles atribuídos são transmitidos através da árvore. Isso é denominado herança. A herança permite que os direitos atribuídos nos níveis superiores da árvore ou do sistema de arquivos sejam transmitidos pelos níveis subordinados. Os direitos recebidos dos níveis superiores são denominados direitos herdados. Esses direitos são transmitidos sem que as atribuições do trustee sejam especificadas .
Os direitos herdados são controlados bloqueando-se os direitos específicos com um IRF (Inherited Rights Filter).
Na Árvore do Diretório, os objetos recebem, ou herdam, automaticamente os direitos concedidos para seus objetos pai. O IRF é utilizado para bloquear alguns ou todos os direitos herdados transmitindo-os para os objetos subordinados.
No entanto, é importante lembrar que um IRF não pode conceder direitos; ele só pode bloquear os direitos atribuídos para os objetos nos níveis superiores da árvore. Entretanto, um IRF pode ser habilitado para todos os arquivos, diretórios, objetos do Diretório e propriedade do objeto.
O direito do objeto Supervisor e o direito de propriedade podem ser bloqueados por um IRF. No entanto, o Direito Supervisiona para arquivos e diretórios não pode.
A equivalência de segurança permite que você atribua os direitos através da associação. Isso significa que um objeto pode adquirir direitos pela sua relação atribuída com um outro objeto como os containers, grupos, cargos organizacionais.
A equivalência de segurança permite que um objeto seja equivalente nos direitos para outro objeto. Por default, todo objeto é equivalente de segurança para o objeto da [Root] e para o trustee do objeto [Público]. Isso permite que todos os objetos pesquisem e naveguem pela Árvore do Diretório.
Os direitos de equivalência de segurança são transmitidos através da Árvore do Diretório independente de quaisquer outras designações do trustee. Portanto, os direitos atribuídos para um objeto não afetam os direitos recebidos através da equivalência de segurança. Por exemplo, poderia ser feita equivalência de segurança de um objeto do Usuário para um objeto de Grupo como direito Supervisionar para todos os objetos na árvore. Quaisquer direitos explícitos atribuídos para o objeto do Usuário em um objeto particular da Unidade Organizacional não afetarão os direitos recebidos através da equivalência de segurança.
Todo objeto é o equivalente de segurança para todos os objetos do container que fazem parte de seu nome completo (nome exclusivo) . Isso é conhecido como equivalência de segurança implícita.
A equivalência de segurança implícita é uma característica do esquema do Diretório e não pode ser modificada. Por causa disso, a segurança implícita de um objeto não é visível para os utilitários do NetWare.
A equivalência de segurança não é transitiva. Por exemplo, um objeto do Usuário que é um equivalente de segurança para o objeto ADMIN do usuário recebe as equivalências de segurança que este pode ter com outros objetos.
A equivalência de segurança difere da que é da herança já que esta permite que os direitos sejam transmitidos pela árvore dos objetos pai para o filho até que os direitos sejam bloqueados por um IRF. A equivalência de segurança, por outro lado, aplica-se apenas aos direitos concedidos explicitamente para os objetos para os quais alguém mantém a equivalência de segurança.
Uma regra simples para ser lembrada é que a herança pode ser bloqueada quando se habilita um IRF, mas a equivalência de segurança ou as designações de trustee não podem ser bloqueadas. A equivalência de segurança e as designações do trustee devem ser concedidas e revogadas explicitamente.
É importante entender porque todos os objetos em um container do objeto da Unidade Organizacional são automaticamente equivalentes de segurança com o objeto da Unidade Organizacional. Habilitar um IRF para o objeto da Unidade Organizacional não afeta os direitos recebidos deste através da equivalência de segurança.
Os direitos reais que um objeto tem depende da combinação das designações explícitas do trustee, da herança e do IRF. Esta combinação determina os direitos efetivos do objeto.
Os direitos efetivos do objeto controlam seu acesso a outro objeto e suas propriedades. Estes direitos definem o que o objeto pode realmente fazer em um determinado nível na Árvore do Diretório ou no sistema de arquivos.
Um objeto do Usuário pode ter designações explícitas do trustee no nível Organizacional, mas pode ter direitos muito diferentes nos níveis de objetos inferiores da Unidade Organizacional por causa de um IRF. É importante entender isso durante o cálculo dos direitos efetivos para um determinado objeto.
Quando um usuário faz login na rede, o acesso aos objetos folha e container é determinado pela estrutura da segurança do NDS. Na base da segurança do NDS está a ACL (Access Control List) .
O ACL é uma propriedade de todo objeto do Diretório. Ele define quem pode acessar o objeto (trustees) e o que cada trustee pode fazer (direitos).
Todos os objetos relacionados no ACL podem ter direitos diferentes das propriedades do objeto. Por exemplo, se dez usuários estão relacionados no ACL do objeto Impressora como trustees, cada um deles pode ter direitos diferentes para aquele objeto Impressora e suas propriedades. Um objeto pode ter o direito Ler, um outro pode ter o direito Apagar etc.
Para alterar o acesso do trustee a um objeto, altere a entrada do trustee no ACL do objeto. Apenas os trustees com o direito Gravar na propriedade do ACL podem alterar as designações do trustee ou o IRF (Inherited Rights Filter).
O ACL está dividido em dois tipos de direitos:
Define um trustee do objeto e controla o que ele pode fazer com o objeto.
Limita o acesso do trustee para especificar as propriedades do objeto.
Resumindo, os direitos de objeto definem quem pode acessar o objeto, e o que pode ser feito com este objeto. Os direitos de propriedade refinam o nível de acesso especificando as propriedades do objeto que podem ser acessadas.
Os direitos de objeto controlam o que os trustees de um objeto podem fazer com aquele objeto. Eles controlam o objeto como uma entidade única na Árvore do Diretório, mas não permitem que o trustee acesse as informações armazenadas naquelas propriedades do objeto (a menos que o trustee tenha o direito de objeto Supervisionar, que também inclui o direito de propriedade do Supervisor).
A tabela a seguir descreve os direitos do objeto que você quer atribuir a um trustee.
|
Direito |
Descrição |
|---|---|
|
Browse |
Concede o direito de ver o objeto na Árvore do Diretório. Também permite que um usuário execute uma pesquisa para ver o objeto se ele corresponde ao valor da pesquisa. (Isto é verdade apenas quando se compara a classe básica do objeto ou o nome parcial; do contrário, é necessário o direito Comparar para os objetos da propriedade.) |
|
Criar |
Concede o direito de criar um novo objeto dentro de um objeto de container na Árvore do Diretório. Este direito se aplica apenas aos objetos do container porque os objetos folha não podem ter outros objetos. |
|
Apagar |
Garante o direito de apagar um objeto da Árvore do Diretório. No entanto, um objeto de container não pode ser apagado a não ser que todos os objetos no container sejam apagados primeiro. Para apagar os objetos, também é necessário o direito Gravar para todas as propriedades de objetos existentes . |
|
Renomear |
Garante o direito de mudar o nome parcial do objeto. Na verdade, altera a propriedade de nomeação. Dessa forma, o nome completo do objeto é alterado. |
|
Supervisionar |
Garante todos os direitos do objeto das suas propriedades. Qualquer um com o direito Supervisionar para um objeto tem acesso a todas as suas propriedades. O direito Supervisionar pode ser bloqueado com o IRF (Inherited Rights Filter). |
Enquanto os direitos do objeto permitem que você veja um objeto, apague-o, crie um novo etc., apenas o direito de propriedade do Supervisor permite que você veja as informações armazenadas nas propriedades do objeto.
Para ver as informações sobre as propriedades de um objeto, corrija os direitos de propriedade. Os direitos de propriedade controlam o acesso a cada propriedade de um objeto.
Os direitos de propriedade se aplicam apenas às propriedades de objetos do Diretório, e não aos próprios objetos. Com o NDS, você tem uma certa flexibilidade para decidir quais informações sobre a propriedade os outros podem acessar.
A tabela seguir descreve os direitos de propriedade que você pode designar para um trustee.
|
Direito |
Descrição |
|---|---|
|
Auto Acrescentar ou Apagar |
Permite que você mesmo se acrescente ou se remova como um valor da propriedade, mas você não pode alterar nenhum outro valor da propriedade. Este direito só é utilizado nas propriedades onde seu objeto Usuário pode ser relacionado como um valor. Por exemplo, listas dos membros do grupo ou de endereçamento. Este direito está incluído no direito Gravar; isto é, se é dado o direito Gravar, você também pode realizar as Operações de Auto Acrescentar ou Apagar. |
|
Comparar |
Permite que você compare qualquer valor com um valor existente da propriedade. A comparação pode retornar Verdadeiro ou Falso, mas não pode oferecer o valor da propriedade. |
|
Ler |
Permite que você leia os valores da propriedade. Este direito inclui o direito Comparar; isto é, se é dado o direito Ler, você também pode realizar as operações Comparar. |
|
Supervisionar |
Fornece a você todos os direitos de propriedade. O direito Supervisionar pode ser bloqueado por um IRF (Inherited Rights Filter) do objeto. |
|
Gravar |
Permite que você acrescente, altere ou remova todos os valores da propriedade. Este direito inclui o direito Auto Acrescentar ou Apagar; isto é, se é dado o direito Gravar, você pode realizar as operações Auto Acrescentar ou Apagar. O direito Gravar para a propriedade do ACL (Access Control List) é o mesmo quando é dado o direito Supervisionar para o objeto---o direito para conceder os direitos. |
O direitos de propriedade podem ser atribuídos de duas formas:
Atribui os direitos que você escolhe de todas as propriedades para o objeto. Por exemplo, a definição do direito Ler Todas as Propriedades permitiria que você visse o valor de todas as propriedades para um objeto.
Atribui os direitos apenas para as propriedades que você especificou. Ao se conceder os direitos para as propriedades específicas, todos os direitos concedidos na opção Todas as Propriedades são substituídos. Dessa forma, você pode definir as designações de direitos gerais para um grupo de objetos e as definições específicas de propriedade para um objeto selecionado.
A segurança do sistema de arquivos do NetWare existe no nível do servidor. Este armazena os volumes que têm os diretórios com os arquivos. A segurança do sistema de arquivos não muda na estrutura de segurança do NDS.
No entanto, o acesso ao sistema de arquivos do NetWare é controlado pelos mesmos princípios de segurança do NDS. Os princípios básicos incluem as designações de trustee, a herança e a equivalência de segurança. O sistema de arquivos também utiliza IRFs (Inherited Rights Filters) que participam da determinação dos direitos efetivos.
Versões anteriores do NetWare denominavam os IRFs do sistema de arquivos como IRMs (Inherited Rights Masks).
Há, no entanto, algumas pequenas diferenças entre o NDS e a segurança do sistema de arquivos:
Quando um usuário faz login na rede, o acesso aos arquivos e diretórios é determinado pela estrutura de segurança do sistema de arquivos do NetWare. Na base da segurança do sistema de arquivos do NetWare, está o DET (Directory Entry Table).
O DET armazena as informações sobre o acesso aos diretórios e arquivos. Ele possui informações sobre um arquivo do volume e os nomes e as propriedades do diretório.
Por exemplo, uma entrada pode apresentar o seguinte:
Antes de acessar os arquivos e diretórios, você deve ter direitos de acesso suficientes para o sistema de arquivos.
A tabela a seguir relaciona os direitos do sistema de arquivos disponíveis para designar os trustees no NetWare 4:
|
Direito |
Permite que você |
|---|---|
|
Controlar Acesso |
Acrescente e remova os trustees e altere os direitos para os arquivos e diretórios. |
|
Criar |
Crie subdiretórios e arquivos. |
|
Apagar |
Apague os diretórios e arquivos. |
|
Explorar Arquivo |
Veja os nomes dos arquivos e dos diretórios na estrutura do sistema de arquivos. |
|
Modificar |
Renomeie os diretórios e arquivos e altere os atributos do arquivo. |
|
Ler |
Abra e leia os arquivos; e abra, leia e execute os aplicativos. |
|
Supervisionar |
Conceda todos os direitos relacionados nesta tabela. |
|
Gravar |
Abra, grave e modifique um arquivo. |
Há três direitos que devem ser utilizados com cuidado.
O direito Supervisionar [S] concede todos os privilégios para os arquivos e diretórios, mas ele não pode ser filtrado.
Os usuários com os direitos Supervisionar [S] podem designar trustees e conceder todos os direitos para outros usuários.
O direito Controlar Acesso [A] permite que os usuários façam designações de trustee, mas eles só podem transmitir os mesmos direitos que possuem. O direito Controlar Acesso [A] também permite que os usuários modifiquem os IRFs.
Modificar [M]
O direito Modificar [M] permite que os usuários alterem os arquivos, diretórios e os atributos do sistema de arquivos.
Os atributos do sistema de arquivos atribuem os direitos para os diretórios ou arquivos individuais. Alguns atributos só têm sentido quando aplicados no nível do arquivo, mas alguns podem ser aplicados nos níveis do diretório e do arquivo.
Tome cuidado quando estiver designando os atributos do diretório e do arquivo. O atributo se aplica a todos os usuários.
Por exemplo, se você designar o atributo Inibir Exclusão para um arquivo, ninguém, nem mesmo o proprietário do arquivo ou o supervisor do sistema, pode apagar o arquivo. Mas nenhum trustee com o direito Modificar pode alterar o atributo para permitir a exclusão.
Tabela 6-1 relaciona e explica os direitos armazenados no DET (Directory Entry Table) para arquivos e diretórios:
|
Código do atributo |
Descrição |
Aplica-se a |
|---|---|---|
|
A |
Necessário Armazenar identifica os arquivos que foram modificados desde o último backup. Este atributo é designado automaticamente. |
Só arquivos |
|
Cc |
Impossível Comprimir indica que o arquivo não pode ser comprimido por causa da economia de espaço limitado. |
Só arquivos |
|
Co |
Comprimir indica que um arquivo está comprimido. |
Só arquivos |
|
Dc |
Não Comprimir impede que os dados dos arquivos sejam comprimidos em arquivos de diretóro ou individuais. Este atributo substitui as definições da compressão automática dos arquivos não acessados dentro de um prazo determinado. |
Diretórios e arquivos |
|
Di |
Inibir exclusão significa que o arquivo ou diretório não pode ser excluído. Este atributo substitui o direito do trustee Apagar. |
Diretórios e arquivos |
|
Dm |
Não Migrar evita que os arquivos e diretórios sejam migrados do disco rígido do servidor para outro meio de armazenamento. |
Diretórios e arquivos |
|
Ds |
Não Subalocar evita que os dados sejam subalocados. |
Só arquivos |
|
H |
O atributo Oculto oculta os arquivos e diretórios assim eles não podem ser relacionados utilizando-se o comando DIR. Um usuário com o direito Explorar Arquivos pode utilizar o comando FILER ou NDIR para relacionar os diretórios e arquivos com o atributo Oculto. |
Diretórios e arquivos |
|
I |
O atributo Indexado permite que grandes arquivos sejam acessados indexando-se os arquivos com mais de 64 entradas do FAT (File Allocation Table). Este atributo é definido automaticamente. |
Só arquivos |
|
Ic |
Comprimir Imediatamente define os dados que serão comprimidos assim que um arquivo for fechado. Se for aplicado a um diretório, todos os arquivos no diretório serão comprimidos assim que cada arquivo é fechado. |
Diretórios e arquivos |
|
M |
Migrar indica que um arquivo foi migrado do disco rígido do servidor para um outro meio de armazenamento. |
Só arquivos |
|
N |
Normal indica se o atributo Ler/Gravar está designado e se o atributo Compartilhável não está. Esta é a designação de atributo default para todos os novos arquivos. |
Diretórios e arquivos |
|
P |
Purgar marca com flag um arquivo ou diretório para ser apagado do sistema assim que ele for apagado. Os arquivos e diretórios purgados não podem ser recuperados. |
Diretórios e arquivos |
|
Ri |
Inibir Renomeação evita que o nome do arquivo ou do diretório sejam modificados. |
Diretórios e arquivos |
|
Ro |
Apenas leitura evita que um arquivo seja modificado. Este atributo define automaticamente Inibir Exclusão e Inibir Renomeação. |
Só arquivos |
|
Rw |
Ler/Gravar permite que você grave em um arquivo. Todos os arquivos são criados com este atributo. |
Só arquivos |
|
Sh |
Compartilhável permite que mais de um usuário acesse o arquivo ao mesmo tempo. Normalmente este atributo é usado com Apenas Leitura. |
Só arquivos |
|
Sy |
O atributo Sistema oculta o arquivo ou o diretório. Dessa forma, ele não pode ser visto quando se usa o comando DIR. Ele só pode ser visto se um usuário que tem os direitos Explorar Arquivo utilizar o comando FILER ou NDIR. O Sistema normalmente é usado com os arquivos do sistema operacional como o DOS. |
Diretórios e Arquivos |
|
T |
Transacional permite que um arquivo seja acompanhado e protegido pelo TTS (Transaction Tracking System). |
Só arquivos |
|
X |
O atributo Apenas Executar evita que o arquivo seja copiado, modificado ou que seja feito backup dele. Ele permite a renomeação. O único jeito para remover este atributo é apagando o arquivo. Utilize este atributo para arquivos de programa como o .EXE ou .COM. Faça uma cópia de um arquivo antes de marcá-lo como Apenas Executar, assim você pode substituir o arquivo se ele se corromper. |
Só arquivos |
Os login scripts definem o mapeamento do drive do usuário, as instruções de captura e definições de variáveis. Eles também chamam os menus e aplicativos. Para facilitar a administração da rede, os usuários e recursos devem ser colocados juntos dentro dos objetos da Unidade Organizacional.
Quando um usuário faz login, o utilitário LOGIN executa os login scripts adequados. Estão disponíveis quatro tipos de login scripts e eles podem ser utilizados separadamente ou juntos para criar um ambiente personalizado para os usuários. Tudo é opcional menos o login default.
Login scripts são executados na ordem abaixo:
Define os ambientes gerais para todos os usuários de um container. O utilitário LOGIN executa primeiro os login scripts de container. Um usuário só pode utilizar um login script de container.
Um login script de container substitui o login script do sistema do NetWare 3TM.
Define os ambientes para vários usuários ao mesmo tempo. O utilitário LOGIN executa um login script de perfil depois do login script de container .
Apenas um login script de perfil pode ser atribuído para o usuário, mas outros login scripts de perfil podem ser especificados na linha de comando. Vários usuários podem utilizar o mesmo login script de perfil.
Define os ambientes específicos, como as opções de impressão ou o nome do usuário para e-mail, para um único usuário. O utilitário LOGIN executa o login script do usuário depois que foi executado um login script de container e de perfil.
Um usuário pode ter apenas um login script do usuário.
É pré-codificado no comando LOGIN.EXE e não é editável. Ele é executado se um usuário não tem seu próprio login script, mesmo que exista um login script de container ou de perfil.
O login script default é executado para todos os usuários (inclusive o usuário ADMIN) a menos que você crie um login script do usuário. O login script default possui apenas comandos essenciais como mapeamentos do drive para os utilitários do NetWare®.
Se você não quer criar nenhum login script do usuário e nenhum login script default para executar para os usuários, você pode desabilitar o login script default incluindo o comando NO_DEFAULT no login script do container ou do perfil.
Para usar o login script de uma Organização, Unidade Organizacional ou objeto do Perfil, os usuários precisam ter o direito Browse para o objeto e o direito Ler para a propriedade do Login Script do objeto.
NOTA: Para obter mais informações sobre os direitos Browse ou Ler para um arquivo, objeto ou propriedade, consulte "Browsing" e "Direitos" em Conceitos.
A manutenção dos login scripts do usuário consome tempo. Tente incluir o máximo de informações sobre a personalização nos login scripts do container e do perfil, que são pouquíssimos em número e mais fáceis de serem mantidos.
Por exemplo, se todos os usuários precisam acessar os utilitários do NetWare no mesmo volume, coloque o mapeamento de drive de pesquisa naquele volume em um único login script do container e não no login script do usuário.
Crie os login scripts do perfil se há vários usuários precisando de login script igual.
Finalmente, nos login scripts do usuário, inclua apenas aqueles itens individuais que não podem ser incluídos nos login scripts do perfil ou do container.
Já que até três login scripts podem ser executados toda vez que um usuário faz login, podem ocorrer conflitos. Se isto acontecer, o último login script a ser executado (normalmente o login script do usuário) substitui os comandos que estão em conflito no login script anterior.
Os login scripts são propriedades dos objetos. A tabela a seguir mostra quais objetos podem ter quais login scripts.
|
Objeto |
Tipo de Login Script |
|---|---|
|
Organização |
Container |
|
Unidade Organizacional |
Container |
|
Perfil |
Perfil |
|
Usuário |
Usuário |
As convenções a seguir podem ajudar você a planejar os login scripts efetivos.
|
Assunto |
Convenções |
|---|---|
|
Login scripts mínimos |
Nenhum mínimo. Todos os quatro tipos de login scripts são opcionais. Os login scripts podem ter uma única linha ou várias. Não há nenhum comando obrigatório para os login scripts. |
|
Maiúsculas e minúsculas |
Aceita-se tanto letra maiúscula quanto minúscula. Exceção: as variáveis do identificador que estão entre aspas e são precedidas por um sinal de porcentagem (%) devem ser colocadas em letra maiúscula. |
|
Caracteres por linha |
150 caracteres por linha é o máximo; 78 caracteres por linha (largura padrão da tela) é recomendável para a leitura. |
|
Pontuação e símbolos |
Digite todos os símbolos (#, %, ", _ ) e a pontuação exatamente como apresentado nos exemplos e na síntaxe. |
|
Comandos por linha |
Use apenas um comando por linha. Inicie cada comando em uma nova linha; pressione As linhas que se ocultam automaticamente são consideradas um comando. O output do comando GRAVAR é melhor exibido se GRAVAR for repetido no começo de cada linha oculta. |
|
Seqüência de comandos |
Normalmente, digite os comandos na ordem que você quer que eles sejam executados, com as seguintes restrições:
|
|
Linhas em branco |
As linhas em branco não afetam a execução do login script. Utilize-as para visualizar os grupos de comando separadamente. |
|
Observações (REMARK, REM, asteriscos e ponto-e-vírgula) |
As linhas que começam com REMARK, REM, um asterisco ou um ponto-e-vírgula são comentários, que não são mostrados quando o login script é executado. Use as observações para anotar a utilização de cada comando ou grupo de comandos. |
|
Variáveis do Identificador |
Digite as variáveis do identificador exatamente como apresentado. Para que o valor de uma variável do identificador seja mostrado na tela da estação de trabalho como parte de um comando GRAVAR, coloque o identificador entre aspas e antes dele coloque o sinal de porcentagem (%). |
O Netware 4 não utiliza o login script do sistema global. Cada objeto da Unidade Organizacional que você cria tem seu próprio login script (login script do container). A ordem de execução dos login scripts é a seguinte:
1. Login script do container, se houver
2. Login script do perfil, se utilizado
3. Login script do usuário ou login script default se não houver outro script disponível
Para criar um login script mais global e incluir os usuários dos objetos da Unidade Organizacional, você pode utilizar o objeto Perfil para configurar o ambiente específico para um grupo de usuários. Um objeto Perfil fornece uma definição adicional de mapeamentos do drive para o qual é especificado um login script do container.
Um objeto Perfil pode ser utilizado para determinar a alocação de recursos de acordo com o local. Por exemplo, suponha que cada andar da sua empresa tenha três impressoras e três filas de impressão, e você queira designar um determinado grupo para uma fila de impressão específica. Você pode utilizar um objeto Perfil para capturar uma determinada fila de impressão. Os usuários, cujo atributo do perfil foi especificado, irá capturar automaticamente aquela fila de impressão.
Você pode criar um objeto Perfil para um script com função especial como, por exemplo, para permitir o acesso aos aplicativos. Por exemplo, você pode criar um script de perfil que será utilizado apenas pelos administradores do backup. Este script pode fornecer a estes usuários uma atribuição específica do drive para que seja feito o backup do software e dos utilitários.
Os objetos abaixo ajudam na administração do acesso à rede:
A primeira vez que você faz login na nova Árvore do Diretório, você está fazendo login como o objeto Usuário ADMIN---o único objeto Usuário criado durante o processo de instalação do NetWare 4. ADMIN é criado quando se define pela primeira vez uma Árvore do Diretório mas não quando posteriormente se acrescentar outros servidores a uma árvore existente.
Ao ADMIN, são conferidos todos os direitos (inclusive o Direito Supervisionar) a cada objeto e propriedade da Árvore do Diretório. Isto confere ao ADMIN controle total da Árvore do Diretório.
NOTA: Quando fizer login pela primeira vez em uma nova Árvore do Diretório, você poderá desejar criar um objeto Usuário e conferir, a este objeto, direitos Supervisionar, garantindo que haja mais de um objeto com direitos suficientes para controlar completamente a árvore. Esse objeto pode ser crucial se o objeto ADMIN for acidentalmente apagado.
Quando criado, o ADMIN recebe o direito Supervisionar sobre o objeto Servidor NetWare. Isto confere ao ADMIN o direito Supervisionar para os diretórios raízes de todos os volumes NetWare ligados ao servidor, podendo assim gerenciar todos os diretórios e arquivos em cada volume da Árvore do Diretório.
ADMIN não tem siginificado especial como o de SUPERVISOR das versões anteriores do NetWare. Ao ADMIN são garantidos os direitos de criação e gerenciamento de todos os objetos simplesmente porque é o primeiro objeto criado.
Você pode renomear ou apagar o ADMIN a qualquer momento; contudo, você deverá designar outro objeto Usuário ao direito do objeto Supervisionar ao objeto [Root] antes de apagar o ADMIN.
NOTA: Se você criar um objeto Usuário e designar a ele equivalência de segurança ao objeto Usuário ADMIN e apagar o ADMIN, o novo objeto Usuário perde a equivalência de segurança.
ADVERTÊNCIA: Nunca apague o ADMIN sem ter designado o direito Supervisionar a outro objeto Usuário. Não fazê-lo poderá ser desastroso porque você estará eliminando o controle de supervisão da Árvore do Diretório. A restauração do acesso à árvore só poderá ser realizado com assistência do Suporte Técnico da Novell. Este aviso também se aplica a outras seções da Árvore do Diretório onde você tiver um objeto Usuário ADMIN definido. Em cada nível da árvore onde você tiver um ADMIN definido, certifique-se de que também tem um objeto Usuário com o direito Supervisionar explícito. É importante lembrar também que os direitos podem ser conferidos em um container e podem também ser retirados. Se todos os direitos forem filtrados em um container e não houver um usuário com todos os direitos naquele container, o container fica sem direitos administrativos totais. Isto pode causar problemas.
O Cargo Organizacional é semelhante a um objeto Grupo. A diferença básica é que um objeto Grupo normalmente é usado em um login script e é voltado para a atividade (como acesso a um aplicativo em seu servidor). Objetos Cargo Organizacional não são usados em login scripts e são mais adequados à criação de administradores que contêm um pequeno número de ocupantes. O objeto Cargo Organizacional tem um atributo conhecido como "ocupante do cargo".
Um ocupante pode ser movido rapidamente para dentro e para fora do Cargo Organizacional para facilitar a realização de tarefas de curto prazo. Se o administrador regular estiver ausente por qualquer período de tempo, outro usuário poderá ser movido temporariamente para o Cargo Organizacional administrativo para gerenciar a rede.
Você cria o objeto Cargo Organizacional e confere direitos específicos dependendo das características necessárias para o cargo. Assim, você designa usuários ao Cargo Organizacional como ocupantes através do Administrador NetWare ou NETADMIN.