Aula 8 — Configure o servidor de arquivos no Windows Server 2025: crie compartilhamentos SMB, entenda a diferença entre permissões NTFS e de compartilhamento e gerencie cotas de disco
📁 O que é um File Server
Um servidor de arquivos (File Server) é um servidor dedicado ao armazenamento e compartilhamento centralizado de arquivos e pastas. Em vez de cada usuário guardar seus arquivos localmente, tudo fica no servidor — acessível de qualquer computador do domínio.
💡 Analogia: o File Server é como um armário central em um escritório. Em vez de cada funcionário ter seus documentos guardados na própria gaveta (inacessível aos outros), tudo fica no armário central — com cada gaveta tendo uma chave diferente para cada departamento.
CentralizaçãoUm local únicoArquivos acessíveis de qualquer PC do domínio
BackupMais fácilBasta fazer backup de uma pasta no servidor
SegurançaControle de acessoPermissões por usuário ou grupo do AD
CotasLimite de espaçoDefine quanto cada usuário pode usar no servidor
AuditoriaRastreabilidadeRegistra quem acessou ou modificou arquivos
SMBProtocoloServer Message Block — protocolo nativo do Windows
📦 Instalando o Papel File Server
O papel File and Storage Services já vem parcialmente instalado no Windows Server. Para recursos avançados como cotas e triagem de arquivos, instale o File Server Resource Manager (FSRM).
Instalar File Server e FSRM pelo Server Manager
1. Server Manager → Gerenciar → Adicionar Funções e Recursos 2. Funções de servidor → expanda Serviços de Arquivo e Armazenamento 3. Expanda Serviços de Arquivo e iSCSI 4. Marque:
☑ Servidor de Arquivos
☑ Gerenciador de Recursos de Servidor de Arquivos (FSRM) 5. Instalar (não requer reinicialização)
Instalar pelo PowerShell
# Instalar File Server e FSRM ▶Install-WindowsFeature -Name FS-FileServer, FS-Resource-Manager -IncludeManagementTools
🔒 Permissões NTFS vs Permissões de Compartilhamento
Este é o conceito mais importante do File Server. Existem dois níveis independentes de permissão, e ambos precisam estar configurados corretamente para o acesso funcionar.
⚠️ Regra de ouro: o acesso efetivo é o mais restritivo entre as permissões NTFS e de compartilhamento. Se o compartilhamento permite Controle Total mas o NTFS permite apenas Leitura, o usuário só poderá ler. Boas práticas: Compartilhamento = Controle Total para todos; use NTFS para controle granular.
Permissão NTFS
O que permite
Leitura
Ver arquivos e subpastas, ler conteúdo
Leitura e Execução
Leitura + executar programas
Listar conteúdo
Ver nomes de arquivos e pastas
Gravar
Criar arquivos e subpastas, escrever em arquivos
Modificar
Leitura + Gravar + Excluir arquivos
Controle Total
Tudo, incluindo alterar permissões e proprietário
📤 Criando Compartilhamentos SMB
Preparar a estrutura de pastas
# Criar pastas no servidor para cada departamento ▶New-Item -ItemType Directory -Path "C:\Compartilhamentos\TI" ▶New-Item -ItemType Directory -Path "C:\Compartilhamentos\Administracao" ▶New-Item -ItemType Directory -Path "C:\Compartilhamentos\Alunos" ▶New-Item -ItemType Directory -Path "C:\Compartilhamentos\Publico"
Criar compartilhamento pelo Server Manager
1. Server Manager → Serviços de Arquivo e Armazenamento → Compartilhamentos 2. Clique em Tarefas → Novo Compartilhamento... 3. Perfil: Compartilhamento SMB — Rápido 4. Caminho local: C:\Compartilhamentos\TI 5. Nome do compartilhamento: TI(será acessado como \\SRV-ESCOLA\TI) 6. Permissões: deixe padrão por ora — ajustaremos via NTFS 7. Clique em Criar
Criar compartilhamento pelo PowerShell
# Criar compartilhamento SMB ▶New-SmbShare -Name "TI" -Path "C:\Compartilhamentos\TI" -Description "Pasta do departamento de TI" -FullAccess "Everyone"
Agora que os compartilhamentos estão criados com Controle Total para Everyone no nível de compartilhamento, vamos definir o acesso real via NTFS, vinculando aos grupos do Active Directory.
Configurar NTFS pela GUI
1. No Explorador de Arquivos, clique com botão direito na pasta TI 2. Propriedades → aba Segurança 3. Clique em Editar... 4. Remova o grupo Users se quiser restringir 5. Clique em Adicionar... → digite GRP-TI → Verificar Nomes → OK 6. Marque a permissão desejada: Modificar 7. Clique em OK → Aplicar
Configurar NTFS pelo PowerShell
# Dar permissão de Modificar ao GRP-TI na pasta TI ▶$acl = Get-Acl "C:\Compartilhamentos\TI" ▶$rule = New-Object System.Security.AccessControl.FileSystemAccessRule("ESCOLA\GRP-TI", "Modify", "ContainerInherit,ObjectInherit", "None", "Allow") ▶$acl.SetAccessRule($rule) ▶Set-Acl "C:\Compartilhamentos\TI" $acl
✅ Dica de segurança: remova o grupo Users das permissões NTFS de pastas departamentais e adicione apenas os grupos específicos do AD. Mantenha a herança desabilitada em pastas sensíveis para ter controle total sobre quem acessa.
💻 Acessando os Compartilhamentos
Usuários do domínio acessam os compartilhamentos pelo caminho UNC (Universal Naming Convention): \\servidor\compartilhamento.
Formas de acessar compartilhamentos no cliente
# Pelo Executar (Win + R) ▶\\SRV-ESCOLA\TI
# Pelo Explorador de Arquivos: digitar na barra de endereço ▶\\192.168.1.10\TI
# Mapear unidade de rede pelo PowerShell (drive Z:) ▶New-PSDrive -Name "Z" -PSProvider FileSystem -Root "\\SRV-ESCOLA\TI" -Persist
# Mapear via CMD (persistente) ▶net use Z: \\SRV-ESCOLA\TI /persistent:yes
# Ver conexões ativas no servidor ▶Get-SmbSession # Ver arquivos abertos remotamente ▶Get-SmbOpenFile
✅ Mapeamento via GPO: em produção, unidades de rede são mapeadas automaticamente por GPO quando o usuário faz login. O drive Z: aparece já conectado sem que o usuário precise fazer nada. Veremos isso na próxima aula (GPO).
📊 Cotas de Disco com FSRM
O FSRM (File Server Resource Manager) permite definir cotas — limites de espaço em disco por pasta ou usuário — e triagem de arquivos para bloquear tipos proibidos (ex: .mp3, .exe).
📌 Cotas
Dura: bloqueia quando o limite é atingido
Suave: notifica mas não bloqueia
Configurável por pasta
Envia alertas por e-mail ao atingir %
🚫 Triagem de Arquivos
Bloqueia extensões proibidas
Ex: bloquear .mp3, .avi, .exe em pastas de dados
Modos: ativo (bloqueia) ou passivo (só alerta)
Grupos de arquivos predefinidos
Criar cota pelo FSRM (GUI)
1. Server Manager → Ferramentas → Gerenciador de Recursos de Servidor de Arquivos 2. Expanda Gerenciamento de Cotas → Cotas 3. Botão direito → Criar Cota... 4. Caminho: C:\Compartilhamentos\Alunos 5. Limite: 1 GB | Tipo: Dura (bloqueia) 6. Clique em Criar
Criar cota pelo PowerShell
# Criar cota dura de 1 GB para a pasta Alunos ▶New-FsrmQuota -Path "C:\Compartilhamentos\Alunos" -Size 1GB -SoftLimit $false
# Listar cotas configuradas ▶Get-FsrmQuota
# Ver uso atual de uma cota ▶Get-FsrmQuota -Path "C:\Compartilhamentos\Alunos" | Select-Object Path, Size, Usage
📝 Atividade Prática
Configurar o servidor de arquivos com compartilhamentos departamentais, permissões NTFS por grupo e cota para a pasta de alunos.
1
Instalar e criar pastas
Instale os papéis File Server e FSRM. Crie a estrutura de pastas em C:\Compartilhamentos\ com as subpastas TI, Administracao, Alunos e Publico.
2
Criar compartilhamentos SMB
Compartilhe as 4 pastas via PowerShell ou Server Manager com FullAccess para Everyone no nível de compartilhamento. Verifique com Get-SmbShare.
3
Configurar permissões NTFS
Via GUI (aba Segurança): dê permissão Modificar ao GRP-TI na pasta TI, ao GRP-Administracao na pasta Administracao, e ao GRP-Alunos na pasta Alunos. A pasta Publico deve permitir Modificar para Todos (Authenticated Users).
4
Cota e testes
Crie uma cota dura de 500 MB na pasta Alunos. Tente acessar os compartilhamentos pelo caminho UNC \\SRV-ESCOLA\TI com usuários de diferentes grupos e confirme que as permissões estão funcionando. Tire screenshots dos testes.
📌 Para refletir: a combinação de grupos do AD com permissões NTFS é o modelo de segurança de arquivos mais usado em empresas. Quando um funcionário muda de departamento, basta movê-lo de grupo no AD — as permissões nas pastas são ajustadas automaticamente, sem tocar nas configurações de nenhuma pasta.
❓ Verifique seu Conhecimento
Um usuário tem permissão Controle Total no compartilhamento SMB, mas apenas Leitura nas permissões NTFS da pasta. Qual será o acesso efetivo ao acessar pelo caminho de rede?
AControle Total — o compartilhamento prevalece sobre NTFS
BSem acesso — as permissões se cancelam
CApenas Leitura — o mais restritivo entre os dois níveis prevalece
DModificar — a média das permissões
✓ O acesso efetivo pela rede é sempre o mais restritivo entre as permissões de compartilhamento e as permissões NTFS. Controle Total (compartilhamento) + Leitura (NTFS) = Leitura.
Qual comando PowerShell cria um novo compartilhamento SMB dando acesso total a todos?
✓ New-SmbShare cria um novo compartilhamento SMB. O parâmetro -FullAccess define quem tem Controle Total no nível de compartilhamento. Set-SmbShare modifica compartilhamentos existentes.
Qual é a sintaxe correta do caminho UNC para acessar o compartilhamento TI no servidor SRV-ESCOLA?
Ahttp://SRV-ESCOLA/TI
Bsmb://SRV-ESCOLA/TI
C/SRV-ESCOLA/TI
D\\SRV-ESCOLA\TI
✓ O caminho UNC (Universal Naming Convention) usa duas barras invertidas antes do servidor e uma barra invertida antes do compartilhamento: \\servidor\compartilhamento.
Qual a vantagem de controlar o acesso a pastas compartilhadas por grupos do AD em vez de por usuários individuais?
AGrupos têm permissões mais fortes que usuários individuais no NTFS
BAo mudar um usuário de grupo no AD, o acesso às pastas é ajustado automaticamente sem alterar permissões NTFS
CGrupos não podem ser removidos acidentalmente como usuários
DGrupos reduzem o uso de espaço em disco no servidor
✓ Gerenciar permissões por grupos é muito mais escalável: mover um usuário entre grupos no AD ajusta automaticamente o acesso a todas as pastas — sem precisar modificar as ACLs NTFS de cada pasta individualmente.