terça-feira, 14 de dezembro de 2010
Backup de Compartilhamentos
Existe uma forma muito simples de fazer um backup de todos os compartilhamentos de um servidor e esta forma é: o Registro do Windows!
Basta abrir o registro (regedit.exe), acessar a chave HKLC\System\CurrentControlSet\Services\LanmanServer e exportar a chave Shares. Pronto! Você acaba de gerar um arquivo .reg que contém as informações de compartilhamento do servidor. Guarde este arquivo em um lugar seguro, trancado a sete chaves.
O interessante é que este arquivo pode ser usado em outro computador, como por exemplo, numa migração física de dados, após o término da cópia dos arquivos para o novo servidor, basta executar o arquivo .reg e reiniciar o serviço Servidor (net stop/start server).
Até a próxima.
segunda-feira, 13 de dezembro de 2010
Troubleshooting Host Name Resolution
Quando um usuário faz uma chamada ao Help Desk informando não estar acessando o servidor SRV1 e, durante o atendimento, o Técnico de TI descobre que o computador do usuário está resolvendo o IP do servidor SRV1 para um número inválido. Digamos que o IP do servidor SRV1 seja 192.168.0.10 e o computador está resolvendo o IP como 192.168.0.20. Diante dessa situação, qual é a primeira coisa que o Técnico de TI faz???
Se sua resposta foi verificar o Servidor de DNS, parabéns! Você também realiza a "má" prática!
A grande maioria acha que problemas relacionados a resolução de nomes está diretamente ligada ao Servidor de DNS, o que não é verdade. Para melhor esclarecer essa afirmação, vejamos como ocorre o processo de resolução de nome de host, utilizando o exemplo acima do SRV1:
1 - A primeira coisa que o computador do usuário faz é perguntar a si mesmo se ele é o SRV1.
2 - Caso a resposta seja não, o computador do usuário (vamos chamá-lo de CLIENT10) faz uma pesquisa no DNS Client Resolver Cache. E quem diabos é esse DNS Client Resolver Cache? É a cache local do CLIENT10. Ahá! Já volto nesse assunto.
3 - Caso o DNS Client Resolver Cache não resolva, aí sim, o CLIENT10 faz uma pesquisa no Servidor de DNS.
4 - Caso o Servidor de DNS não resolva, o CLIENT10 faz uma pesquisa na cache local do NetBios.
5 - Caso o NetBios não resolva, o CLIENT10 faz uma pesquisa no Servidor WINS.
6 - Caso o Servidor WINS não resolva (ou caso não haja um Servidor WINS na rede), o CLIENT10 faz uma pesquisa utilizando o Broadcast.
7 - Caso o Broadcast não resolva, o CLIENT10 faz uma pesquisa no arquivo local "lmhosts".
8 - Caso o arquivo lmhosts não resolva, o CLIENT10 retorna um erro informando que não conseguiu resolver o IP do servidor SRV1.
Mas espere, no exemplo acima o IP do servidor SRV1 foi resolvido como 192.168.0.20. Eu sei... mas quis apenas listar aqui todo o processo de resolução de nome de host.
Voltando ao nosso exemplo, mais precisamente, o passo 2: DNS Client Resolver Cache. É sobre esse cara que eu queria falar: Quando um nome de host é resolvido, ou seja, obtêm-se o seu IP, essa informação é armazenada localmente em cada computador. E qual é o local onde essa informação é armazenada? No DNS Client Resolver Cache!
Portanto, antes de sair correndo até o Servidor de DNS, verifique o DNS Client Resolver Cache primeiro. O problema pode ser local. Como fazer isso? Abra o Prompt de Comando e digite ipconfig /displaydns. Você verá a cache de hosts resolvidos com seus respectivos IPs. Para limpar a cache local, utilize o comando ipconfig /flushdns.
Vamos agora a uma situação mais "capciosa": Digamos que no DNS Client Resolver Cache do CLIENT10 o IP do SRV1 seja 192.168.0.20 e mesmo depois de executar o comando ipconfig /flushdns, ao executar o comando ipconfig /displaydns o IP continue sendo resolvido como 192.168.0.20, o que você faz??? Servidor de DNS???... Bêêêêê!!! Resposta errada de novo.
"Wadda hell, man?!" Se o DNS Client Resolver Cache já foi limpado e, seguindo a ordem do processo de resolução de nomes, o próximo é o Servidor de DNS, você diz que não é ele? Yep! Tem ainda mais um detalhe a ser observado em relação ao DNS Client Resolver Cache:
Toda vez que o DNS Client Resolver Cache é criado/recriado são adicionados registros como o IP local do computador (127.0.0.1) e os endereços localizados no arquivo hosts... Peraí.. que arquivo é esse? Dentro da pasta %systemroot%\system32\drivers\etc, existe um arquivo chamado hosts. Abrindo com o Bloco de Notas, você tem um arquivo de texto e ao final alguns registros do tipo "host IP", como por exemplo:
127.0.0.1 localhost
É possível que o arquivo "hosts" do CLIENT10 tenha um registro do tipo "192.168.0.20 SRV1" e por isso, o IP do SRV1 esteja sendo resolvido errôneamente.
Phew! Falei muita abobrinha, mas espero que você tenha pego o espírito da coisa: Antes de correr ao Servidor de DNS, verifique o DNS Client Resolver Cache do computador afetado, abrindo o arquivo hosts e limpando a cache local com o comando ipconfig /flushdns.
That's all for now! Espero que tenham gostado dessa dica e, nos vemos na próxima. ^^
sexta-feira, 26 de novembro de 2010
Windows Server: A evolução de "um" ponto de vista
Hoje, temos no mercado o Windows Server 2008, já em seu Release 2. O primeiro sistema operacional da Microsoft exclusivo para plataforma 64 bits (tá na hora de trocar o chip!). Uma coisa que me chamou muito a atenção nestes anos de evolução do Windows, foi a evolução do Active Directory. Não só da tecnologia em si, mas da sua relação com o conceito de "Segurança" e, mais atualmente, com o conceito de "TI Verde".
Lá na época do Windows NT 4.0, a preocupação estava somente na identificação de acesso local, ou seja, dentro da minha empresa eu tenho um usuário e uma senha que me dão acesso a certos recursos da rede da minha empresa e só. O mundinho estava resumido ali dentro. Dentro da empresa, haviam apenas os computadores da empresa. Na época em questão, o foco da segurança estava no acesso físico: Fulano podia usar o computador do RH, mas não podia usar o computador do Financeiro. Além disso, o conceito de "Administração de Rede" também estava no jardim de infância: Tínhamos ferramentas para administrar os servidores, mas não os demais computadores, a quem carinhosamente chamamos de Estações de Trabalho. A manutenção e configuração das Estações de Trabalho ocorria in-place, ou seja, o técnico se deslocava até o local onde a Estação de Trabalho estava. Isso até que era bom, pois ajudava a queimar uma gordurinha... Mas essa falta de recursos de administração centralizada das Estações de Trabalho começou a pesar. Então, a Microsoft criou esse "recurso" que faltava e o introduziu em seu novo sistema operacional.
Com o Windows 2000 Server, o Active Directory apresentou uma nova tecnologia chamada "Política de Grupo" (Group Policy). Através dela, passou a ser possível definir políticas (dããã...) de configuração dos Servidores e Estações de Trabalho de forma centralizada, como por exemplo, bloqueio ao Painel de Controle ou alteração do Papel de Parede. Nessa época o foco da segurança começou a olhar para um carinha que estava batendo na porta de todas as empresas: a Internet. A preocupação era fechar todas as portas de entrada. Colocava-se um exército de prontidão na borda da rede vigiando todo o tráfego de entrada e saída. E o "mundinho" começava a ganhar novos territórios...
Lá pela época do Windows Server 2003, com a Internet já consolidada e a idéia da interatividade ganhando seu espaço, os "dispositivos interativos" começaram a ser mais frequentes dentro das empresas. E o exército que antes ficava de prontidão lá na borda da rede começou a se perguntar: "Pois é... estamos aqui vigiando quem entra e quem sai, mas e quem está lá dentro? Será que não está fazendo alguma coisa?". E a segurança que antes só se preocupava com o acesso físico e que depois passou a se preocupar com a borda da rede, agora estava preocupada com a segurança interna também. O vírus que conseguia passar a barreira da borda se disseminava rapidamente dentro da empresa, pois os computadores internos não estavam totalmente protegidos (Hum... será que o surgimento do Windows Firewall no Service Pack 2 do Windows XP foi por acaso?). Mas não eram só os computadores internos: agora haviam também os notebooks pessoais, os PDAs e os adoráveis "pendrives". Todos trafegando livremente dentro da rede corporativa.
E com toda essa "liberdade interna", quem era o doido pra dizer que não podia plugar o notebook na rede: seu Diretor Administrativo não entende bulhufas de informática e trás o notebook e quer que você o configure para acessar a rede corporativa, você teria coragem suficiente para olhar nos olhos dele e dizer: "Não vou fazer, pois seu notebook compromete a segurança da empresa..." Ok, vamos a um caso mais simples: O famoso "estagiário" trás o seu adorado pendrive de casa, pluga no computador da empresa, copia dados confidenciais e vai embora numa boa (porque estagiário sempre leva a culpa de tudo?). Outro caso: O Diretor Financeiro envia uma planilha por e-mail com a contabilidade anual da empresa para o consultor terceirizado e sabe-se lá o que ele vai fazer com essa informação.
Tá.. mas o que tudo isso tem haver com o Active Directory ou com a segurança?... TUDO!!!
Na época do Windows Server 2003, a Microsoft já possuía algumas ferramentas para controlar algumas das situações citadas acima, como o caso do Diretor Financeiro, mas foi com o Windows Server 2008 que tudo se consolidou. Para cada uma das situações apresentadas, o Windows Server 2008 possui uma tecnologia built-in, ou seja, já embutida no próprio sistema operacional. Não precisa fazer nenhum download adicional ou pagar a mais por isso. Basta apenas ativar e configurar:
- No caso do notebook do Diretor Administrativo, a Microsoft lançou uma tecnologia com o Windows Server 2008 chamada Network Access Protection (NAP). Através dela é possível definir regras de conformidade para que os computadores possam acessar a rede corporativa e, caso não atendam a essas regras, são direcionados a uma rede restrita onde poderão ser "remediadas". Por exemplo, se uma regra de conformidade exige que o software antivírus esteja atualizado e o software antivírus do notebook do Diretor Administrativo não estiver, o mesmo não terá acesso a rede corporativa até que atualize o software.
- No caso do estagiário com o pendrive, há uma nova Política de Segurança que controla o uso do pendrive dentro da empresa. Pode-se definir se ele pode ler ou gravar arquivos no pendrive.
- No caso do Diretor Financeiro, a Microsoft já possuía uma tecnologia que no Windows Server 2008 fora integrada ao Active Directory chamada Rights Management Services (RMS). Através dela é possível definir o que determinadas pessoas podem ou não fazer com um documento, planilha ou e-mail. Por exemplo, o Diretor Financeiro poderia definir que o consultor terceirizado poderia apenas abrir e imprimir a planilha e não alterar nenhuma informação. E pode-se ir além disso: ao invés do arquivo ir ao consultor, o consultor pode vir até o arquivo, sem precisar sair de seu escritório. Ahm!? Outra tecnologia que fora integrada ao Active Directory chamada Federation Services (FS), permite que usuários externos tenham acesso a sua rede interna. Existe uma outra tecnologia, mais antiga, que permite tal "integração" entre empresas diferentes chamada de "Relação de Confiança" (Trust Relationship). Só para esclarecer, o AD RMS é mais seguro que a Trust Relationship. Utilizando o AD RMS em conjunto com AD FS, o consultor terceirizado acessaria a planilha internamente, não poderia alterar nada e além disso, eliminaríamos o tráfego de e-mail pois a planilha não precisaria ser enviada a ninguém.
Perceberam como o foco da segurança e da identificação mudaram? O que antes era restrito à empresa passou a ser necessidade fora dela. Antes, o Administrador de Redes tinha controle sobre a informação que circulava internamente, mas perdia esse controle quando ela saía da empresa. Agora não... Com as tecnologias agregadas ao Windows Server 2008, o Administrador de Redes passa a ter mais controle sobre a informação que circula tanto dentro quanto fora da empresa. É como se a barreira que dividia essas fronteiras deixasse de existir.
E tudo isso é apenas uma pequena fatia do bolo. O Windows Server 2008 possui muitas outras tecnologias e funcionalidades para gerenciar a informação da empresa. E como disse anteriormente, todas já inclusas no sistema operacional. Go enable it!
quarta-feira, 20 de outubro de 2010
MDT 2010
- CD/DVD de instalação no drive;
- Acompanhar todo o assistente de instalação, respondendo as perguntas que vão aparecendo (nome do computador, fuso horário, senha do administrador, etc.);
- Instalar os drivers dos dispositivos que não foram detectados;
- Instalar os programas que serão utilizados;
- Rodar o Windows Update e aguardar algumas horas até que os megas de atualizações sejam todos aplicados;
- E por fim, desligar o computador, colocar outro na bancada e começar tudo de novo.
Tudo bem, exagerei um pouco... Na bancada talvez tenha espaço para dois ou três computadores e o processo fica um pouco mais rápido... Ou melhor ainda: você põe o estagiário para fazer o serviço, diz que precisa das máquinas no dia seguinte cedo e deixa o infeliz virar a noite para concluir a tarefa. :)
Deixando a brincadeira de lado, o cenário acima não foge muito da realidade de algumas empresas que ainda realizam seus deploys de Windows "na mão". Em alguns casos, por total desconhecimento das soluções e tecnologias que a Microsoft dispõe para tornar essa tarefa um verdadeiro "mamão com açúcar"; e em outros casos, por usarem software não legalizado em seu ambiente corporativo, o que trava a implantação dessas soluções e tecnologias.
É um barato que sai caro: Deixam de investir em licenciamento, sobrecarrega a mão de obra que já é escassa, gasta-se um tempo absurdo para manutenção do equipamento e para melhorar: "é tudo pra ontem!" Se soubessem de todo o "arsenal" que se adquire com apenas uma licença do Windows Server, acho que não pensariam duas vezes. Mas, deixemos esse assunto de lado. Vamos voltar ao deploy do Windows:
É possível automatizar todas as etapas descritas acima de forma que, apenas algumas ou nenhuma delas necessite da interação do Técnico de TI. É isso mesmo que você leu: é possível instalar o Windows, instalar os programas, como Office e Antivírus; e atualizar o Windows sem que o Técnico de TI nem precise chegar perto do computador. :S Esse ambiente de interação zero é chamado de Zero Touch Installation (ZTI). A Microsoft fornece o System Center Configuration Manager (SCCM) como a solução para implantação de um ambiente ZTI em uma rede corporativa. Devido a complexidade e robustez do SCCM, essa solução é mais comumente aplicada em grandes empresas que precisam gerenciar milhares de computadores.
Existe um outro ambiente onde a interação do Técnico de TI com o computador é menor do que o método pré-histórico lá do início do post, chamado de Lite Touch Installation (LTI). Existem diversas soluções para implantação de um ambiente LTI em uma rede corporativa, mas há uma ferramenta da Microsoft excepcional para essa tarefa: o Microsoft Deployment Toolkit (MDT). Vantagem do MDT: é gratuito. Outra vantagem do MDT: demanda menos hardware para sua implantação.
Atualmente na versão 2010, o MDT tem suporte para deploy do Windows 7 e ainda mantém suporte para deploy do Windows XP. Além disso, é possível instalar outros programas (como Office, Leitor de PDF, antivirus, entre outros) que podem ser previamente definidos ou listados ao Técnico de TI para que decida quais serão instalados.Outro recurso é a criação de um banco de drivers que instala automaticamente todo o hardware do computador sem que o Técnico de TI necessite colocar o CD/DVD da placa mãe na unidade local. E pra fechar com chave de outro, o MDT se conecta a um servidor WSUS local para atualização do Windows e demais aplicativos Microsoft. Em resumo, você pega uma máquina Bare Metal (limpa, sem sistema operacional) e termina com uma máquina pronta para uso sem muito esforço. O trabalho de várias horas cai para alguns minutos.
Mas se o seu problema é a migração do Windows XP para o Windows 7, não tem problema: o MDT também realiza essa tarefa e ainda preserva os dados locais do usuário.
O MDT em si, utiliza um CD bootável para que o computador cliente se conecte ao seu ambiente LTI. Mas como na Microsoft tudo gira em torno da "integração" (Amo muito tudo isso), é possível utilizar o serviço WDS do Windows Server 2008 para realizar um boot via placa de rede diretamente no ambiente LTI, sem a necessidade do CD do MDT (PXE boot). Como dizem por aí: "Fala sério!" Tá esperando o que para implantar o MDT? Um passo-a-passo?
Bom... eu estava pensando mesmo em escrever um passo-a-passo, mas achei excelentes materiais, que foram os quais estudei, e ao invés de escrever, vou postar os links aqui para que os interessados trilhem o mesmo caminho. Mas antes disso, gostaria de explicar um assunto relacionado ao deploy do Windows XP que pode ser uma verdadeira pedra no sapato dos marinheiros de primeira viagem.
O Windows XP e a HAL
Hardware Abstraction Layer ou HAL pode ser definida como o meio de comunicação entre o kernel do sistema operacional e a placa mãe/processador do computador. Algo como um "driver". Dependendo da arquitetura da placa mãe e do processador, o Windows XP pode utilizar diferentes tipos de HALs:
- Advanced Configuration and Power Interface (acpipic_up): halacpi.dll, ntoskrnl.exe, ntkrnlpa.exe
- ACPI Uniprocessor PC (acpiapic_up): halaapic.dll, ntoskrnl.exe, ntkrnlpa.exe
- ACPI Multiprocessor PC (acpiapic_mp): halmacpi.dll, ntkrnlmp.exe, ntkrpamp.exe
Calma... antes que comece a se questionar sobre a inviabilidade deste processo ou se existe algum mecanismo para descobrir a HAL do computador antes do deploy da imagem, preste bem atenção na frase e veja que eu usei o verbo no passado. Existe uma forma de substituir a HAL do computador logo após a aplicação da imagem. Vou postar o link aqui também.
Falem mal, mas falem de mim (by Windows Vista)
Muita gente falou mal do Windows Vista... "Era pesado..." "Era lento..." "bla bla bla..." Eu continuo me mantendo neutro nessa discussão, até porque utilizei-o muito pouco. Na minha empresa ainda reina o Windows XP. Mas nessa discussão, sempre me pergunto se o problema era realmente o Windows Vista ou o hardware utilizado. Sim, porque a maioria quer utilizar um hardware de 3 ou 4 anos atrás para rodar um sistema operacional ou software que foi lançado ontem e quer que o computador funcione bem. Atualização não é só de software não, é hardware também.
E no meio de tantas "reclamações", uma coisa boa: a partir do Windows Vista, o sistema operacional passou a ser independente da HAL. Você pode montar sua imagem de referência em um Intel I7 com 4 GB de RAM e aplicar no seu Pentium III com 1 GB de RAM que o sistema irá funcionar tranquilamente (lógico que observando as plataformas 32 e 64 bits).
Falem mal, mas falem de mim... Deixe de lado o que os outros dizem e procure conhecer a novidades tecnológicas que o Vista trouxe. Lembrem-se que o Windows 7 só existe porque existiu o Windows Vista e que boa parte das tecnologias do Windows 7 foram herdadas do Windows Vista. Deixe de ser "Maria-vai-com-as-outras" e tire suas próprias conclusões. Tenha opinião própria. Isso não é um sermão. É uma dica. ;)
Cala a boca, Chris
Ufa... Chega por hoje, já falei muito para um post só. Mas antes, mais algumas dicas: ^^
- Vocês devem ter reparado que usei algumas siglas aqui (WSUS, WDS, PXE, ...) e não expliquei muito bem o que são. Foi prosital. Por quê? Para que vocês pesquisem. Google, Wikipedia ou seja lá onde for. Busquem a informação. Viu um termo que não conhece, corra atrás. Essa dinâmica faz muita diferença entre um profissional de TI que corre atrás e aquele que espera a informação vir até ele.
- Inglês... é *IMPRESCINDÍVEL*. A maioria dos materiais técnicos que você encontrar vão estar em inglês. Tem preguiça em estudar, sinto muito, acho melhor procurar outra profissão.
Mitch Tulloch fez um material fantástico para o site WindowsNetworking.com sobre deploy do Windows 7. O mesmo guia pode ser utilizado para deploy do Windows XP. O link é:
http://www.windowsnetworking.com/articles_tutorials/Deploying-Windows-7-Part1.html
Michael Pertersen postou em seu blog o script para substituição da HAL durante o deploy do Windows XP. O script funciona no MDT 2008 mas possui uma incompatibilidade com o MDT 2010. Veja no final da página a discussão sobre esse assunto e como corrigir o problema. O link é:
http://osdeploy.wordpress.com/2009/04/08/handling-hal-switching-during-xp-deployment-no-bsod-0x07-error/
Christiano Mendes (ops... esse sou eu :P) vai deixar aqui algumas dicas extras para incrementar a configuração do MDT:
- No arquivo CustomSettings.ini acrescente as seguintes linhas:
- _SMSTSORGNAME=[Nome da Empresa]
- TimeZone=065
- TimeZoneName=E. South America Standard Time
A segunda linha configura o fuso-horário no Windows XP para Brasília.
A terceira linha configura o fuso-horário no Windows 7 para Brasília.
Durante a captura da imagem de referência do Windows XP, o MDT reportou um erro informando que o Sysprep que eu estava usando estava desatualizado. O motivo era que eu estava usando um CD do Windows XP com o Service Pack 3 já embutido. Mas o que isso tem haver??? Tem haver que a injeção do Service Pack 3 no CD do Windows XP não atualizou o conteúdo do arquivo deploy.cab situado na pasta SUPPORT do CD, ou seja, Sysprep desatualizado. Para resolver esse problema, baixe o arquivo deploy.cab atualizado e substitua o arquivo no "source file" do Windows XP na pasta do MDT. O link é:
http://www.microsoft.com/downloads/en/details.aspx?familyid=673a1019-8e3e-4be0-ac31-70dd21b5afa7&displaylang=en
Caso o autologin falhe durante o deploy da imagem customizada do Windows XP, vá nas propriedades da imagem customizada, edite o arquivo unattended.txt e insira a senha do administrador local que você definiu durante a captura da imagem de referência.
E por hoje é só. Até a próxima.
quarta-feira, 15 de setembro de 2010
Como surgiu o Active Directory?
O objetivo principal de uma rede de dados é compartilhar informações. Mas esse compartilhamento requer medidas de segurança a fim de evitar que pessoas não autorizadas tenham acesso a determinadas informações. Essa medida de segurança chama-se “Identidade e Acesso” (Identity and Access ou simplesmente, IDA).
Tendo o conceito em mente, o próximo passo era criar um repositório para armazenar as informações de IDA. Este repositório foi chamado de “Serviço de Diretório de Rede” (Network Directory Services ou mais comumente, Directory Services).
O objetivo do Serviço de Diretório é armazenar, organizar, gerenciar e compartilhar informações e recursos comuns de rede, como: usuários, grupos, computadores, impressoras, pastas compartilhadas, entre outros. Cada um desses recursos citados é considerado como um objeto dentro do diretório. Informações sobre um recurso em particular são armazenadas como atributos daquele objeto.
Um Serviço de Diretório é um componente fundamental para qualquer Sistema Operacional de Rede (Network Operating System ou simplesmente, NOS). É neste contexto que contaremos a história de um desses Serviços de Diretório lançado pela Microsoft, o NT Domains...
Era uma vez, um sistema operacional chamado Windows NT. Apesar de sua sigla significar “Nova Tecnologia” (New Technology), o Windows NT era muito limitado em sua tecnologia.
Sua base de dados de usuários, mais conhecida como SAM (Security Account Manager) não podia exceder um determinado tamanho físico de, aproximadamente, 192 MB (megabytes), e por isso, não podia chegar à casa dos milhões de usuários.
O Windows NT introduziu o conceito de Controlador de Domínio (Domain Controller ou simplesmente, DC). Cabia aos DCs autenticar os usuários (através de um login e uma senha) e prover acesso aos recursos de rede autorizados para aquele usuário. Os DCs se dividiam em PDC (Primary Domain Controller) e BDC (Backup Domain Controller). O PDC era o Highlander da rede (só podia haver um) e os BDCs tantos quantos fossem necessários. Somente o PDC podia gravar alterações na SAM. Os BDCs apenas aliviavam a carga de autenticação. Como somente o Highlander podia alterar a SAM, caso sua cabeça fosse decepada, ninguém mais poderia mexer na SAM. Usuários continuariam sendo autenticados na rede pelos BDCs, mas tarefas como alteração de senha ou criação de novos usuários não poderiam ser feitas.
O Administrador da Rede, dotado de poderes cósmicos, podia promover um BDC para PDC, mas como em todo filme, o mocinho nunca morre, se o PDC original voltasse ao ar, teríamos um problema na rede com dois Highlanders.
Outo problema neste modelo PDC/BDC estava na replicação das alterações: Quanto mais BDCs na rede, mais replicações para o PDC. Geralmente, o PDC possuía hardware mais potente que os BDCs devido a essa demanda de serviço. Quando o Highlander morria e um BDC era promovido, devido ao hardware inferior, o servidor não dava conta do recado.
Os servidores que não eram Controladores de Domínio eram chamados de Servidores Membro (Member Servers). Não era possível promover um Servidor Membro à Controlador de Domínio porque a estrutura da SAM era completamente diferente. A única forma de promoção (Membro para Controlador) ou demoção (Controlador para Membro) era através da reinstalação do servidor.
Como se não bastasse, o NT amarrava tanto a sua base de dados, que não permitia integração com outras aplicações baseadas em servidor, como o SQL Server por exemplo. Com isso, uma pessoa tinha que utilizar um usuário e senha para ser autenticado na rede e outro usuário e senha para acessar o banco de dados.
Em resumo, muita coisa precisava ser melhorada no NT Domains. Foi então que a Microsoft resolveu apostar em outro Serviço de Diretório...
Era uma vez, um grupo de pessoas que formavam a União Internacional de Telecomunicações (International Telecommunication Union – ITU). Esse grupo, espalhado em aproximadamente 130 países, é uma agência das Nações Unidas que age como um fórum para governos que buscam um consenso em questões de telecomunicações globais.
Lá pela década de 80, a ITU lançou um documento chamado “X.500 – Data Network and Open System Communications – Directory”, contendo uma série de recomendações para os Serviços de Diretório. Mas a ITU não definia padrões, apenas recomendava. O órgão responsável pelas padronizações internacionais é a Organização Internacional para Padronização (International Organization for Standardization – ISO).
Uma observação: a sigla ISO não se encaixa no nome International Organization for Standardization, que deveria ser IOS. Isso é porque ISO vem do grego isos e significa “igual”. Este padrão foi adotado para evitar a variação das siglas na tradução do nome International Organization for Standardization: IOS em inglês, OIP em português e assim por diante.
Para padronizar a sua recomendação X.500 a ITU procurou a ISO e esta por sua vez lançou a ISO 9594 “Information Technology – Open Systems Interconnection – The Directory”. O problema do X.500 da ITU era o protocolo de acesso utilizado, o Directory Access Protocol (DAP), que além de consumir muita banda, dependia da pilha do protocolo OSI, que fora pouco adotado devido a sua complexidade.
Pouco tempo depois da padronização do X.500, surgiu um grupo de especialistas com foco voltado para as atividades com a Internet, chamado Internet Engineering Task Force (IETF). Este grupo possui tamanha influência sobre a Internet, que consegue sobrepor padronizações ISO e recomendações ITU a cerca de protocolos de comunicações que acharem úteis, através de documentos chamados Request for Comments (RFCs).
E foi através da RFC 1777 “Lighweight Directory Access Protocol” que surgiu o protocolo LDAP. Durante o seu desenvolvimento, o LDAP foi chamado de Lightweight Directory Browsing Protocol (LDBP), mas foi renomeado quando deixou de ser apenas um protocolo de consulta e incorporou funções de update.
Atualmente, o LDAP se encontra na versão 3, RFC 2251. Não há padronização ISO ou recomendação ITU para o LDAP. Mas devido ao seu baixo consumo de banda e utilização da pilha do protocolo TCP/IP, diversas soluções baseadas na implementação LDAP/X.500 começaram a ser desenvolvidas.
E foi baseada na implementação LDAP/X.500, que a Microsoft lançou seu novo Serviço de Diretório chamado Windows NT Directory Services (NTDS) que, posteriormente, seria conhecido como Active Directory.
Com o Active Directory (AD), a Microsoft deu um salto gigantesco e trouxe novos conceitos, novas funcionalidades e novas tecnologias ao seu Serviço de Diretório. Dentre eles:
- Sua base de dados, agora baseada no modelo X.500, comporta bilhões de objetos;
- O modelo PDC/BDC deixou de existir (sim, o Highlander morreu). No AD, cada Controlador de Domínio consegue ler e gravar na base de dados e replicar as alterações aos demais Controladores de Domínio, utilizando um processo chamado Multi-master replication;
- A promoção ou demoção de um Controlador de Domínio passou a ser realizada sem a necessidade de reinstalação do sistema operacional;
- O acesso às informações do Diretório foi facilitado através de métodos mais simplificados de segurança e interfaces de acesso, o que permitiu maior integração com aplicações baseadas em servidor e a utilização de login único (Single Sign-On – SSO) para acesso a vários serviços de rede.
O Active Directory foi lançado oficialmente em 1999 com o Windows 2000 Server. Já são 11 anos de vida.
quarta-feira, 14 de julho de 2010
Diário de um TI: Permissões no File Server
Após retornar à realidade, você analisa cuidadosamente o problema e descobre que o HD está com setores defeituosos e precisará ser substituído. Felizmente, você descobre que os setores defeituosos afetaram apenas os arquivos do sistema operacional e não os dados. Começa então o longo processo de cópia dos arquivos para o novo HD.
Terminada a cópia, você resolve navegar por entre as pastas e descobre uma pasta chamada "Usuarios" e lá dentro há uma pasta pessoal para cada usuário que loga na rede. Coisa pouca... 100 usuários. E como diz a Lei de Murphy: "Nada é tão ruim que não possa piorar", ao verificar a segurança das pastas, percebe que as permissões foram perdidas. Neste momento, se você tiver alguém subordinado, mande-o fazer o trabalho e vá para casa descansar.
Mas a empresa é pequena e você é o único técnico de TI e terá que refazer as 100 permissões de cada pasta. Aparentemente, seu fim de semana programado no clube irá por água abaixo. De repente, baixa o espírito Dr. House Informático em você e você se torna "o cara" da informática.
Você vai até o Controlador de Domínio, abre o Prompt de Comando e digita:
dsquery user ou=usuarios,dc=rede,dc=com ¦ dsget user -samid > usuarios.txt
Com isso você acaba de gerar um arquivo .txt com todos os logins de usuário da sua rede. Então você abre o Excel e começa a preparar o arquivo mágico:
1 - A primeira planilha é renomeada para "Script";
1.1 - Na célula A1 você digita "subinacl /subdirectories";
1.2 - Na célula B1 você digita "/grant=";
1.3 - Na célula C1 você digita "C";
1.4 - Na célula A2 você digita "d:\usuarios\";
1.5 - Na célula A3 você digita "REDE\";
2 - A segunda planilha é renomeada para "Users";
3 - A terceira planilha é renomeada para "Result".
3.1 - Aqui você entra com a fórmula mágica na célula A1 "=CONCATENAR(Script!A$1;" ";Script!A$2;ARRUMAR(Users!A1);" ";Script!B$1;Script!A$3;ARRUMAR(Users!A1);"=";Script!C$1)"
Com a base do arquivo pronta, você abre o arquivo usuarios.txt copiado do Controlador de Domínio, seleciona todos os usuários e cola na planilha Users. Ao acessar novamente a planilha Result, você tem a linda linha de comando:
subinacl /subdirectories d:\usuarios\fulano /grant=REDE\fulano=C
Você replica a fórmula para as outras 100 linhas correspondentes aos usuários, salva a planilha Result como sendo um arquivo de texto simples com o nome Permissoes.bat, baixa o utilitário SubInACL, instala o utilitário no Servidor de Arquivos, copia o arquivo Permissoes.bat para a pasta onde o SubInACL foi instalado, executa o arquivo .bat e contempla a maravilha da automação da tarefa.
Aos poucos, você já começa a sentir o cheiro do cloro da piscina, com a sensação de missão cumprida.
segunda-feira, 17 de maio de 2010
Versões do Windows 7
sexta-feira, 26 de março de 2010
System Restore no Windows Server 2003
Quando fui mostrar.... vi que ele não estava no suposto lugar. Pesquisei na net e descobri que o 2003 não possui, nativamente, o System Restore. Em um fórum, havia uma explicação dizendo que o backup de System State do NTBackup fazia a mesma coisa.
Mas em outro fórum, encontrei um passo a passo mostrando como ativar o System Restore no Windows Server 2003. Para isto, iremos precisar do CD de instalação do Windows XP Home ou Professional.
Faça o download deste arquivo e extraia o conteúdo em uma pasta qualquer.
Execute primeiro o AddSystemRestoreEntries.reg e clique em Sim quando perguntado se deseja adicionar as informações no registro.
Insira o CD de instalação do Windows XP, clique com o botão direito no outro arquivo extraído, sr.inf, e selecione a opção Install. Aponte para a pasta /I386 do CD quando solicitado.
Reinicie o servidor e voilà, guia System Restore adicionada na janela System Properties.
Have Fun.
Segurança em 3 fatores
O primeiro fator se baseia "naquilo que você sabe", ou seja, no uso de senhas. Este fator por si só já tem pontos de falha, pois senhas muito complexas ocasionam em: ou o usuário esquece, ou acaba anotando em algum lugar.
O segundo fator se baseia "naquilo que você tem", ou seja, um smartcard ou pendrive, por exemplo. Diversas empresas estão adotando este fator para reforçar a segurança de acesso a suas redes.
O terceiro fator se baseia "naquilo que você é", ou seja, escaneamento de retina ou impressão digital, por exemplo. Ainda possui um custo muito elevado, mas grandes centros corporativos adotaram e estão adotando este terceiro fator para acesso aos seus dados mais sensíveis.
sexta-feira, 29 de janeiro de 2010
TI em Instituições de Ensino Superior
Segundo Piva, a chegada de computadores na escola vem sendo discutida por educadores, pais e diretores. Uma das grandes questões a ser trabalhada, e que vem sendo sistematicamente esquecida, é a da quebra da reprodução do sistema tradicional de ensino pelos professores, ante a necessidade de se estabelecer um novo paradigma de educação, mas adequado à utilização das TI e ao aluno no contexto atual da sociedade. De acordo com o autor, isso ocorre porque os professores foram educados num paradigma com métodos, ferramentas e técnicas diferentes das que são necessárias hoje para o ensino, utilizando a informática e outras tecnologias. A tendência natural é converter a ferramenta computador em mais um meio de reprodução de técnicas antigas. Assim, mesmo utilizando computadores em sala de aula, os professores têm a tendência de tentar ministrar aulas com métodos convencionais. Isso é normal e faz parte da primeira de cinco fases da implantação de computadores na prática pedagógica da escola, as quais Piva classifica como:
- Quebra de Paradigmas – excesso de informação para os professores, falando sobre os novos tempos, a necessidade de mudança, sempre os motivando e mostrando os novos conceitos de lecionar com a nova tecnologia chamada computador;
- Exposição – primeiro contato entre professor, o computador e os alunos (ou professor e o computador, a princípio). É a fase dos descobrimentos. É aqui que se espera o início da utilização do teclado, dos processadores de texto, de algumas utilizações de software de “exercício e repetição” e de algumas consultas a enciclopédias e obras de referência. Nesse momento, entra em cena a figura dos técnicos ou pessoal de apoio, que serão responsáveis por fornecer o apoio técnico básico para desenvolver a confiança dos professores e sua capacidade de fazer a manutenção básica nos softwares mais comuns e, dessa forma, facilitar os trabalhos dos alunos e dos professores;
- Contágio – comentário entre os professores sobre como conseguiram realizar uma excelente aula de determinada maneira... o outro fala também de seu êxito. Isso é importantíssimo, pois motivará os outros a obter êxito também. Começam a ser desenvolvidas atividades com início, meio e fim, atividades instrucionais básicas individualizadas e com ritmo individual. Os alunos redigem suas composições no computador. O andamento dos estudos evolui com o aumento da produtividade dos alunos e a mudança na expectativa dos professores. O computador começa a perder seu “simbolismo” e a atenção na aula retorna ao seu ponto central: a matéria. O pessoal de apoio inicia nessa fase o treinamento em outras ferramentas, tais como: banco de dados, planilhas, softwares de hipermídia, comunicação (a Internet entra em cena);
- Incorporação – Aumenta significativamente o interesse pela Internet. Os professores começam a aplicar a interdisciplinaridade na prática, baseada em projetos. É o início da experimentação dos primeiros projetos “grupais”. É nessa fase que se sente maior choque entre o “velho” e o “novo”. A questão que vem mais à tona é: “Como avaliar os alunos?” O choque com o sistema tradicional de avaliação é certo! Os professores passam a experimentar novos cronogramas e novas formas de avaliação e, também, a enfatizar a preocupação no desenvolvimento das habilidades dos alunos e a observar mais atentamente os colegas, questionando a forma como conduzem as aulas. Iniciam-se as primeiras trocas de informações (e idéias). A parte de apoio tecnológico começa a sair de cena (da sala de aula). E passa a trabalhar apenas nos “bastidores”, provendo maior eficácia e eficiência aos recursos tecnológicos;
- Inovações e trocas – concentração da equipe em objetivos do grupo (e não mais individuais), começando pela integração dos currículos. Parte-se do trabalho em equipe e da formação de uma inteligência coletiva (cabe à direção incentivar os professores a escrever suas experiências e notas de aulas para que elas sejam disponibilizadas para todo o grupo). Procura-se, aqui, atingir padrões mais elevados de ensino. Os professores encontram (em sua grande maioria) um meio termo entre o ensino direto (tradicional) e o ensino por projetos: integração interdisciplinar e formas alternativas de avaliação. Os professores mais interessados começam a pesquisar por conta própria, sendo cada vez mais gratificante trazer novidades para o grupo. E assim, o grupo – professor, aluno e tecnologias – atinge seu ponto mais alto de integração. O grupo está coeso e feliz, conseguindo, na medida do possível, atingir todos os seus objetivos educacionais.
Segundo Machado e Silveira, é importante entender que as universidades possuem objetivos complexos, empregam tecnologias complexas e, conseqüentemente, adotam uma multiplicidade de critérios de estruturação, como forma de viabilizar o seu funcionamento e atingir seus objetivos estratégicos.
Por isso mesmo não se deve analisar a realidade em que estão inseridas sem levar alguns fatores em consideração. Os principais problemas de integração percebidos no ambiente universitário, ressaltados por Machado e Silveira, são:
- Rivalidade entre o corpo docente e o técnico-administrativo, gerado, em parte, por tratamento diferenciado, mas acima disso, por carência de informação e de comunicação, que implica falta de clareza sobre o papel e a importância de cada um desses segmentos para que a universidade atinja seus objetivos.
- Existência de forte e arraigado corporativismo de grupos internos, em função do caráter eletivo dos cargos de gerência e chefia. São formados verdadeiros feudos dentro da universidade, com seus membros se protegendo mutuamente. Seu corporativismo pode funcionar como fator de integração dentro de um grupo, como também gerar conflitos entre esses grupos. Onde há conflitos decorrentes de corporativismo, geralmente quem perde é a instituição.
- A integração entre a universidade e a comunidade na qual essa instituição está inserida ainda é acanhada, principalmente nas universidades privadas, onde as atividades de extensão são pouco desenvolvidas.
Faz-se necessário, portanto, introduzir uma dinâmica interna que propicie o alcance dos objetivos organizacionais da IES e que leve em conta os fatores ambientais já descritos. Tachizawa e Andrade desenvolvem em sua obra uma interpretação da utilização dos sistemas de informação nas IES, o que parece interessante focar.
Segundo esses autores, é preciso, em primeiro lugar, identificar os processos-chave mais relevantes e replanejá-los à luz de uma visão sistêmica da instituição. A construção do planejamento nos três níveis de ação gerencial (estratégico, tático e operacional), de forma a integrar um sistema aberto que leve em consideração as diversas variáveis envolvidas.
Durante o processo, propõe-se a identificação de possíveis sistemas de informação anteriormente existentes e a necessidade até mesmo de excluí-los, caso não se correlacionem aos processos-chave, identificados e relacionados em uma matriz de processos e níveis decisórios.
A conjugação do modelo de gestão informacional com o entendimento e o desenvolvimento de processos de gestão notadamente permeados por uma dimensão sistêmica, da forma proposta por Tachizawa e Andrade, tende a gerar novas estruturas organizacionais na IES, “cada vez mais horizontalizadas, enxutas e adaptáveis às mutações ambientais”.
Referências bibliográficas
MACHADO, N. S.; SILVEIRA, A. Configurações estruturais em organizações universitárias. Florianópolis: Insultar, 1998.
PIVA, D. Recomendações para otimização e adaptação das metodologias de elaboração do planejamento estratégico de sistemas de informação aos novos tempos. 1996. Dissertação (Mestrado em Sistema de Informação). Programa de Pós-Graduação PUC, Campinas
TACHIZAWA, Takeshy; ANDRADE, Rui O. B. Gestão de instituições de ensino. Rio de Janeiro: FGV, 1999.
quarta-feira, 27 de janeiro de 2010
TI v2.0
A informação é o recurso estratégico mais importante que qualquer organização precisa gerenciar. E cabe a Área de TI: coletar, analisar, produzir e distribuir as informações de uma organização. Infelizmente, muitas organizações ainda não reconhecem a Área de TI como sendo crucial para o seu negócio e investem pouco nesta área.
Uma coisa é certa, o mundo dos negócios mudou:
- Antes havia poucas opções de produtos e hoje temos, além de uma variedade de produtos, uma concorrência absurda para o mesmo produto (“Quer pagar quanto?”);
- Antes seu concorrente estava na esquina ao lado e hoje ele pode estar em qualquer parte do mundo;
- Antes eram as organizações que decidiam qual era o melhor produto a ser ofertado aos consumidores e hoje se o produto não for do jeitinho que o consumidor quer, feche as portas e vá vender água de côco na beira da praia.
Assim como o mundo dos negócios mudou, o escopo do negócio também mudou: “TI faz parte do negócio”. Organizações que deixam TI de fora da bolha do negócio tendem ao fracasso. Há muito tempo, TI deixou de ser apenas um setor responsável por manter a infra-estrutura e passou a fazer parte da mesa do conselho diretor da organização.
É preciso entender que: “Toda organização que usa TI depende de TI”. Isto é fato. Quanto maior a qualidade dos serviços de TI, maior também será a qualidade nos negócios da organização.
Qualificar TI incide em:
- Investimento em infra-estrutura: De que adianta ter uma Ferrari se a estrada é de terra?
- Capacitação profissional: O que vou fazer com uma Ferrari se não sei dirigir?
- Bem estar pessoal: Qual a graça em dirigir uma Ferrari se não tem uma mulher maravilhosa ao lado?
A Área de TI precisa estar qualificada e preparada para os grandes desafios:
- Ambientes Heterogêneos: Na década de 80 tínhamos os ambientes homogêneos, ou seja, a organização adquiria um pacote fechado de hardware e software de uma única marca (HP, Dell, IBM). Hoje há um misto de tecnologias e soluções de várias marcas no ambiente corporativo e cabe a Área de TI integrar todas essas tecnologias, de forma que a “conversa” entre elas seja transparente.
- Demanda VS. Entrega VS. Treinamento: A cada dia, o número de requisições feitas à Área de TI cresce em uma escala absurda e em quase 100% dos casos (99,99%), as implementações não seguem o mesmo ritmo. A Área de TI entra em um beco sem saída, porque assim como crescem as requisições, sua complexidade também aumenta e, devido a falta de treinamento, acaba-se apelando para o famoso recurso da “gambiarra”, o que torna a solução ainda mais complexa que a própria requisição.
- Mais produtividade e menos custo: O grande vilão da Área de TI. Mesmo que todos os membros da Área de TI estejam armados com Miniguns (saudades do Unreal), derrotar esse desafio é tarefa árdua e que exige muito trabalho, mas não é impossível.
Mas então, o que a Área de TI precisa fazer? Como vencer todos estes desafios? Segue algumas dicas:
- Conheça o negócio da organização: TI precisa parar de enxergar só TI;
- Dimensione suas capacidades e recursos: Conheça sua infra-estrutura e saiba o que você pode oferecer;
- Aprenda a falar “dinheirês”: Quando for pedir algo ao seu diretor ou gestor financeiro, use uma linguagem que ele entenda (menos técnica);
- Torne-se um Ativo Estratégico: Integre TI ao negócio da organização;
- Transforme Gestão em Governança: Decida junto com a organização o caminho que a Área de Ti deverá seguir.
Torre de Babel
Dentro de toda empresa existe uma Torre de Babel. Setores, Grupos ou “Panelinhas” que tomam decisões e ações sem antes consultar ou informar as outras áreas envolvidas e acabam gerando o caos dentro do ambiente corporativo. É preciso criar um “idioma” comum entre todas as áreas da organização para que o processo se torne mais transparente e entendível. É neste contexto que surge a nova cara da TI: ser “Provedor de Serviços”.
Segundo o Wikipedia, serviço é uma forma de entregar valor ao cliente facilitando o resultado almejado por ele sem a necessidade de arcar com custos específicos e riscos. Em outras palavras, é fornecer ao cliente, seja ele usuário interno ou externo, a informação solicitada de forma objetiva e com segurança.
Partindo do conceito de prover serviços, a Área de TI assume uma nova roupagem: “Gerenciamento de Serviços”, que segundo o Wikipedia, é um conjunto de capacidades organizacionais especializadas para prover valor ao cliente. Em outras palavras (Wikipedia gosta de falar difícil), gerenciar serviços é aplicar uma metodologia, um conjunto de regras que define como a informação deverá ser entregue ao cliente, e qual cliente está apto a receber determinada informação.
Nesta transformação, a Área de TI passa a conhecer quem são seus clientes; quais serviços pode oferecer e a quem; e a infra-estrutura (equipamentos, documentações, políticas de segurança, regras de acesso, etc) utilizada para manter tais serviços.
Neste novo conceito, fica mais visível dimensionar o impacto que uma alteração influenciaria em qualquer um dos níveis (cliente, serviço ou infra).
TI Poliglota
Alguém se lembra de uma propaganda do Guaraná, em que no final ouvia-se uma voz dizendo: “Tem gente que não sabe pedir!”? TI não escapa muito a esta realidade. Usamos um linguajar muito técnico para as nossas solicitações. Não que seja um erro, mas talvez a outra ponta não entenda nada do que você está falando. Exemplificando:
A Área de TI identifica que uma switch começou a resetar quando recebe um tráfego muito alto. Imediatamente faz-se uma solicitação de compra de uma nova switch com o motivo: Resetando. Sabe o que teu diretor financeiro vai fazer? Provavelmente, sua solicitação cairá em uma pilha de outras solicitações e irá caducar de tanto esperar.
Como dito anteriormente, a Área de TI é responsável por coletar, analisar, produzir e distribuir as informações, ou seja, ela detém a informação e tem poder para manipulá-la. Não estou dizendo para fazer uso indevido da mesma. Isso é antiético. O que quero dizer é que a Área de TI tem poder para trabalhar a informação e deixá-la na forma que teu diretor financeiro entenda claramente o motivo de sua solicitação.
Vamos pegar o exemplo acima: Faça um comparativo entre o tráfego da switch problemática e o faturamento da empresa. Mostre que no momento em que a switch resetou, houve uma considerável perda no faturamento. Tenho certeza que teu diretor financeiro não vai pensar duas vezes antes de efetivar sua solicitação. Ainda mais se ele notar que o valor da perda daria para comprar umas 3 switches.
Ativo Estratégico, o diferencial da TI
É o termo do momento: “TI como Ativo Estratégico”. Quando disse que o escopo do negócio mudou e que TI faz parte da mesma bolha, eu me referia a Ativo Estratégico.
Portanto, TI como Ativo Estratégico é quando a organização começa a usar recursos de TI em suas estratégias de negócio, visando lucro, produtividade, qualidade, redução de custos e, principalmente, inovações. Meu olho até brilha com esta palavra: Inovação.
Explorar uma área que seus concorrentes ainda não exploraram, ser o pioneiro, ditar as regras do jogo. Qual empresa não quer este posto? TI como Ativo Estratégico é a “menina dos olhos” de qualquer organização.
Governança de TI: Um por todos e todos por um
Cansado de ouvir teu diretor financeiro reclamando da Área de TI? Então, traga-o para a tomada de decisões. Governança de TI implica na integração entre a Gestão de TI e a diretoria da organização (financeira, administrativa, etc.), de forma a traçarem juntos os rumos tecnológicos que a organização seguirá. Assim, quando teu diretor financeiro vier reclamar da TI, você pode rebater: “Você é culpado também!”.
Eu vejo Governança de TI como o último estágio (atual) que a TI pode alcançar. Mas isso só é possível se a Gestão estiver bem estruturada, com todos os seus recursos e capacidades bem definidas.
Mas vou deixar esse assunto para outro post (até porque ainda estou lendo sobre este assunto ^^).
Mensagem Final
Para encerrar, vou deixar aqui uma citação de William Edwards Deming:
“Um sistema não consegue enxergar a si próprio. É preciso haver uma visão de fora.”
Isso não quer dizer que é preciso contratar gente para que a coisa mude (talvez em alguns casos). O que Deming quis dizer é que é preciso criar uma forma de enxergar o sistema, olhando de fora dele. Nosso corpo, por exemplo, sabemos que ele está em constantes mudanças, mas algumas delas não conseguimos ver. Mas, quando usamos um espelho, conseguimos enxergar essas mudanças e, em alguns casos, agimos.
Portanto, tudo que uma organização precisa fazer para mudar e se conhecer melhor, é comprar um espelho! :)