Resumo

www.mcsesolution.com

Os domnios, principais unidades funcionais da estrutura lgica do Active Directory.Os domnios tm trs principais funes:1. Fornecer um limite administrativo para objetos2. Permitir um gerenciamento seguro aos recursos 3. Proporcionar uma unidade de replicao para objetos

Conceito

rvore de domnios. Os domnios so agrupados em estruturas hierrquicas so chamados rvores de domnios.Floresta. Uma floresta uma instncia completa do Active Directory Directory Services, que consiste em uma ou mais rvores.

Estrutura Lgica

Armazenamento (Extensible Storage Engine (ESE)).

Instalao do Active Directory Directory Services (ADDS

Existem 4 nveis funcionais de domnio:Windows 2000Windows Server 2003Windows Server 2008Windows Server 2008 R2E 4 nveis funcionais de florestaWindows 2000 NativeWindows Server 2003Windows Server 2008Windows Server 2008 R2 Durante a instalao do AD DS a seleo automtica por padro o nvel funcional Windows Server 2003.

possvel rebaixar o nvel funcional do domnio de Windows Server 2008 R2 para Windows Server 2008 apenas se o nvel funcional da floresta estiver definido como Windows Server 2008 ou inferior.Uma vez elevado o nvel funcional da floresta no ser possvel retroceder o nvel funcional Windows 2000 ou Windows Server 2003 em nenhuma situao.

Nveis funcionais

Para instalar o Active Directory Directory Services (ADDS) voc deve ser membro do grupo Administradores do servidor que ir instalar o ADDS.

O Active Directory pode ser instalado de 3 maneiras:1 - Administrative Tools > ServerManager > Roles > Add Roles > Selecione o Active Directory Domain Services.(em seguida execute o comando DCPROMO)2 - Atravs do comando Servermanagercmd.exe I ADDS-Domain-Controller. (em seguida execute o comando DCPROMO)3 - Atravs do comando: DCPROMO. (uma nica vez)

A partio de instalao deve estar formatada com o sistemade arquivos NTFS.Para converter uma partio ou volume em NTFS use oComando:CONVERT C: /FS:NTFS onde c: a letra da unidade que deseja converter.

Active Directory Certificate Services (AD CS) oferece soluo para emisso e administrao de certificados usados em sistemas de segurana que utilizam a tecnologia de chave pblicas e privadas.

Active Directory Domain Services (ADDS)O AD DS permite um gerenciamento centralizado e seguro de toda uma rede.Armazena as informaes sobre objetos na rede e gerencia a comunicao entre os usurios e os domnios, incluindo processos de logon do usurio, autenticao e pesquisas de diretrio.O Active Directory Domain Services era anteriormente chamado de Active Directory

Active Directory Federation Services (ADFS) permite estabelecer confiana entre diferentes entidades organizacionais dando aos usurios finais um logon nico (SSO) de conexo remota entre empresas

Active Directory Lightweight Directory Services (ADLDS) um servio de diretrio LDAP.O ADLDS era anteriormente chamado de Active DirectoryApplication Mode (ADAM)

Active Directory Rights Management Services (ADRMS) permite proteger e controlar o acesso a informaes confidenciais como em documentos e e-mails.

Os arquivos relacionados ao armazenamento de dados so:NTDS.DIT Arquivo de banco de dados fsico que guarda o conteudo do Active Directory.EDB.CHK Arquivo de ponto de verificao que rastreia at onde as transaes no arquivo de log foram confirmadas.EDB.LOG Arquivo de log primrioEDB00001.LOG - Arquivo de log secundrio (ser criado conforme necessrio.TMP.EDB Banco de dados temporrio para as transaes.EDBRES00001.JRS Reserva espao para outros arquivos de log, caso o log primrio fique cheio.

Servios de Diretrio

Resumo

www.mcsesolution.com

Ferramentas de Gerenciamento Grficas

Ferramentas de Linha de comando

Objetos

Objetos. So os componentes mais bsicos da estrutura lgica. Alguns objetos mais comuns:

Esquema (Schema). Possui dois tipos de definies: classes e atributos de objetos.As classes de objetos so modelos ou plantas dos objetos que podem ser criados no Active Directory.Atributos definem os possveis valores a serem associados a uma classe de objeto.As classes de objetos, como usurios, computadores e impressoras, descrevem os possveis objetos de diretrioque voc pode criar. Exemplo - Classe User - Atributo - Nome do usurioPara editar o schema necessrio registrar a dllschmmgmt.dll Iniciar -> executar -> Regsvr32 schmmgmt.dll

Unidade organizacional (OU). Voc pode usar esses objetos recipientes para organizar outros objetos de acordo com seus propsitos administrativos.

Catlogo global. um controlador de domnio que realiza consultas dentro da floresta de modo eficiente .O primeiro controlador de domnio criado por voc ser automaticamente o servidor de catlogo global

Active Directory Administrative Center - Ferramenta de administrao do AD DS que permite centralizar o gerenciamento e personalizar para diversos propsitos.

Active Directory Domains and Trusts - Usado para gerenciar relaes de confiana de florestas e domnios,acrescentar sufixos ao nome principal do usurio e alterar os nveis funcionais de florestas e domnios

Active Directory Module for Windows PowerShell Contem 90 cmdlets no existentes no powershell padro.Utilize - Get-Command *-AD* para listar os cmdlets.

Active Directory Sites and Services Utilizado para criar e gerenciar os servios ,sites e a replicao de dados do diretrio.

Active Directory Users and Computers - Um MMC (Microsoft Management Console) usado para gerenciar e publicarinformaes no Active Directory. Voc pode gerenciar contas de usurio, grupos, contas de computadores, acrescentar computadores a um domnio.

ADSI Edit (Active Directory Service Interfaces Editor) Um editor LDAP ((Lightweight Directory Access Protocol ) que permite gerenciar objetos e atributos no Active Directory.

Usurios Grupos Computadores Impressoras

Pastas Compartilhadas Unidades Organizacionais

Dsadd Adiciona objetos no Diretrio Exemplo adicionar conta de usurio:Dsadd cn=Donda, ou=TI, dc=mcsesolution, dc=com

Dsmod Modifica objetos no DiretrioExemplo definir uma senha:dsmod user cn=Donda,ou=TI,dc=mcsesolution,dc=com" -pwd Pa$$w0rd

Dsmove Move objetos no DiretrioExemplo mover para outra OUdsmove cn=Donda, ou=TI, dc=mcsesolution, dc=com -newparent ou=Suporte, dc=mcsesolution ,dc=com"

DSrm Remove objetos do DiretrioExemplo: excluir conta de usuriodsrm "cn=Donda, ou=Suporte, dc=mcsesolution, dc=com"

Dsquery Busca objetos no DiretrioExemplo: Ler toda informao de um objeto na ou=testdsquery * ou=test,dc=mcsesolution,dc=com -scope base -attr *

Dsget Exibe informaes sobre objetos no DiretrioExemplo: Trazer nome e sobrenome de todos usurios da ou=TIdsquery "ou=TI,dc=mcsesolution,dc=com" | get user -fn -ln

Nomes distintos identificam o domnio de um objeto e o caminho para encontr-lo.CN=Felipe Donda,OU=Diretoria,DC=Mcsesolution,DC=com

Nomes Distintos

CSVDE Importa e Exporta objetos do diretrio utilizando arquivos .CSV (Separado por virgula)Exemplo para importar:csvde i f usuarios.csvExemplo para exportar usurios da ou TIcsvde -d "ou=TI,DC=mcsesolution,dc=com f usuarios.csv-r objectClass=user

LDIFDE - Importa e Exporta objetos do diretrio utilizando arquivos .LDF Exemplo para importar:ldifde i f usuarios.ldfExemplo para exportar computadoresldifde f usuarios.ldf -r (objectclass=computer)"

Ferramentas de Importao e exportao

Resumo

www.mcsesolution.com

Sites (Estrutura Fsica)

Objetos de sites

Funcionalidade do catlogo global

Localiza objetos - Uma solicitao de pesquisa ser encaminhada porta 3268 do catlogo global .

Fornece a autenticao do nome principal do usurio.Um servidor de catlogo global resolve o nome principal do usurio (UPN) quando o controlador de domnio da autenticao desconhece a conta de usurio.

Valida as referncias de objeto em uma floresta.Os controladores de domnio usam o catlogo global para validar as referncias a objetos de outros domnios na floresta.

Fornece informaes sobre a associao ao grupo universal em um ambiente de vrios domnios.O controlador de domnio tambm pode descobrir associaes de um usurio ao grupo local do domnio e ao grupo global e a associao a esses grupos no ser replicada no catlogo global.

Se um servidor de catlogo global no estiver disponvel quando um usurio efetuar logon em um domnio em que os grupos universais esto disponveis, o computador cliente do usurio poder usar as credenciais armazenadas em cache para fazer logon .

Em sua rede fsica, um site representa um conjunto de computadores conectados por uma rede de alta velocidade, como uma rede local (LAN).

No AD DS, um objeto de site representa os aspectos do site fsico a fim de gerenciar a replicao dos dados do diretrio entre os controladores de domnio

Replicao consiste no processo de atualizar informaes no Active Directory de um controlador de domnio para outros controladores de domnio em uma rede

Os objetos de sites e os objetos associados a eles so replicados em todos os controladores de domnio na floresta. possvel gerenciar os objetos utilizando a ferramenta ActiveDirectory Sites and Services:

Sites - Os objetos de sites so localizados no continer de sites. Em todos os sites, h um objeto de Configuraes de Site NTDS. Esse objeto identifica o Intersite TopologyGenerator (ISTG).

Sub-redes - Os objetos da sub-rede identificam os intervalos dos endereos IP em um site.

Servidores - Os objetos de servidor so criados automaticamente quando voc adiciona a funo de servidor Active Directory Domain Services

Configuraes NTDS - Todo objeto de servidor contm um objeto de Configuraes NTDS, que representa o controlador de domnio no sistema de replicao. Tambm possvel Habilitar ou desabilitar o catlogo global em um servidor atravs do NTDS Settings.

Conexes - Os parceiros da replicao dos servidores de um site so identificados pelos objetos de conexo. A replicao ocorre em uma direo.

Links de sites - Os links de site representam o fluxo da replicao entre os sites. Representa a conexo fsica de longa distncia (WAN) entre dois ou mais sites

Transportes IP e SMTP entre sites - A replicao usa a chamada de procedimento remoto (RPC) no transporte IP ou SMTP

O nome principal de usuario (UPN) identificam o usurio de determinado dominio:donda@mcsesolution.com

Nome Principal de usurio (UPN)

O banco de dados do Active Directory dividido logicamente em parties. Cada partio uma unidade de replicao e cada uma delas tem sua prpria topologia de replicao.

Parties do AD DS

Site RJ

Site SPSub-rede IP

Sub-rede IP

Topologia

O KCC um processo interno executado em cada controlador de domnio que gera a topologia de replicao para todas as parties de diretrio contidasno controlador de domnio

Replicaoconfigurvel

Domnio

Floresta Esquema

Configurao

Resumo

www.mcsesolution.com

Catalogo Global e Administradores

Group Policy Templates

Item-Level targeting

O administrador do domnio (conta Administradores internos) pode sempre efetuar logon no domnio, mesmo quando um servidor de catlogo global no estiver disponvel.

Repadmin uma ferramenta de linha de comando que reporta falhas entre dois parceiros de replicaorepadmin /showrepl server.mcsesolution.com - exibe os parceiros de replicao e as falhas ocorridas no Servidor, no domnio mcsesolution.com.

Dcdiag uma ferramenta de linha de comando que pode verificar o registro de DNS de um controlador de domnio, verificar se os identificadores de segurana (SIDs) apresentam as permisses de replicao apropriadas, analisar o estado dos controladores de domnio e assim por diantedcdiag /test:replications - verifica os erros de replicao entre os controladores de domnio:

GPOs podem ser aplicados ao computador local, sites, domnios e unidades organizacionais.Nesta ordem, tendo precedncia a ultima a ser aplicada caso exista conflito. Do contrario as polticas so acumulativas.

Block Inheritance Opo que pode ser aplicado a um domnio ou OU e faz com que as polticas no sejam herdadas. (Bloqueio de herana).

Enforced - Opo que fora a aplicao da poltica. (Mesmo quando a opo Block inheritance esteja marcada.

Group Policy Object

GPO e Power Shell

possvel criar, linkar, renomear, fazer backup, copiar e remover GPOs atravs do PowerShell:

Import-module GroupPolicy get-help *-gp*

Starter GPOs

Starter GPOs so modelos de objetos de polticas de grupo que podem ser criados, armazenados e utilizados.Ao criar uma nova poltica possvel tomar por base um modelo existente em Starter GPOs.Nos modelos do Starter GPOs existem dois tipos de ambientes EC e SSLF:

Enterprise Client (EC). Servidores neste ambiente esto localizados em um domnio que usa AD DS e que mantm comunicao com servidores executando o Windows Server 2008 ou Windows Server 2003 SP2 ou superior.Os clientes neste ambiente executam sistemas como o Windows Vista ou Windows XP professional com SP2 ou superior.

Specialized Security Limited Functionality (SSLF). O conceito de segurana neste ambiente to grande que a perda de funcionalidade ou gerenciamento aceitvel. Por exemplo, agencias de inteligncia ou militar operam neste ambiente. Os servidores neste ambiente executam apenas o Windows Server 2008.

possvel definir um alvo especifico utilizando mais de 29 combinaes de colees com lgica boolena (And, Or, Not).Alm de muitos itens intuitivos de modo que a poltica s se aplica a usurios e computadores especficos.

Como utilizar o Item-Level targeting

1)Edite a poltica desejada.2) Em preferences selecione o item desejado.3) Defina a poltica conforme sua necessidade.4) Clique e Common e selecione Item-Level targeting para criar o seu filtro.

Ferramentas relacionadas a sites e replicao

Os templates ADM agora so arquivos ADMX (admx, adml)

Read-Only Domain Controller. Um controlador de domnio com uma verso somente leitura do banco de dados do Active Directory que pode ser implantadas em ambientes onde a segurana do controlador de domnio no pode ser garantida. O uso de Read-Only Domain Controllers (RODC) impede que as alteraes feitas nas filiais da floresta possam poluir ou corromper o seu AD via replicao. Password Replication Policy (PRP) permite definir quais usurios tero sua senha armazenada em cache no RODC

RODC

Computadores podem agora participar de um domnio sem estar conectado ao domnio durante o processo de implantao, tambm conhecido Offline Domain Join.Utilize a ferramenta Djoin.exe para adicionar os computadores.Voc pode executar Djoin.exe apenas em computadores que executam o Windows 7 ou Windows Server 2008 R2.

djoin /provision /domain /machine /savefile [/machineou ] [/dcname ] [/reuse] [/downlevel] [/defpwd] [/nosearch] [/printblob]

Offline Domain Join

Resumo

www.mcsesolution.com

Fine-Grained Passwords

Fine-Grained Passwords um recurso que permite estabelecer uma poltica de senha para grupos distintos. Para implementar o Fine-Grained Password necessrio que nvel funcional do domnio esteja definido como Windows 2008.Voc pode utilizar o ADSI Edit ou o LDIFDE para criar Password Settings objects (PSOs):.Utilizando o ADSI1) Expanda DC=2) Expanda CN=System.3) Clique em CN=Password Settings Container 4) Crie um novo objeto msDS-PasswordSettings.Defina as opes:msDS-PasswordSettingsPrecedencePrioridade ( maior que 0)msDS-PasswordReversibleEncryptionEnabledCriptografia reversvel (True/False)msDS-PasswordHistoryLengthHistrico de senhas (0 at 1024)msDS-PasswordComplexityEnabledComplexidade da senha (True/False)msDS-MinimumPasswordLengthTamanho minimo da senha (0 at 255)msDS-MinimumPasswordAgeIdade mnima da senha (00:00:00:00 at idade maxima)msDS-MaximumPasswordAgeIdade mxima da senha (Never at 00:00:00:00)msDS-LockoutThresholdBloqueio da conta (0 at 65535)msDS-LockoutObservationWindowDe 00:00:00:01 at msDS-LockoutDurationmsDS-LockoutDurationDurao do bloqueio (never at msDS-LockoutObservationWindow )msDS-PSOAppliesToUsurios/Grupos a que se aplica esta poltica.

Utilizando o LDFIDE:dn: CN=PSO1, CN=Password SettingsContainer,CN=System,DC=dc1,DC=mcsesolution,DC=labchangetype: add objectClass: msDS-PasswordSettings msDS-MaximumPasswordAge:-1728000000000 msDS-MinimumPasswordAge:-864000000000 msDS-MinimumPasswordLength:8 msDS-PasswordHistoryLength:24 msDS-PasswordComplexityEnabled:TRUE msDS-PasswordReversibleEncryptionEnabled:FALSE msDS-LockoutObservationWindow:-18000000000 msDS-LockoutDuration:-18000000000 msDS-LockoutThreshold:0 msDS-PasswordSettingsPrecedence:20 msDS-PSOAppliesTo:CN=user1,CN=Users,DC=dc1, DC=mcsesolution,DC=lab

Para importar ldifde i -f arquivo.ldf

Para habilitar a lixeira: (Ateno este um procedimento irreversvel) em servidores Domain Controllers atualizadospara o Windows Server 2008 R2 necessrio antes atualizar o Schema.Passos para habilitar a lixeira em um servidor atualizado.1) adprep /forestprep - No server que possui a funo "schema master"2) adprep /domainprep /gpprep - No server que possui a funo "infrastructure operations master"3) adprep /rodcprep - Se existir um read-only domaincontrollers na sua rede.

Passos para habilitar a lixeira em um servidor com uma nova instalao do Windows Server 2008 R2 1) Apenas aumente o nvel funcional da floresta para Windows Server 2008 R2Se houver o Active Directory Lightweight Directory Services (AD LDS) 2) Atualizar o schemma utilizando o seguinte comando:ldifde.exe i f MS-ADAM-Upgrade-2.ldf s nomedoservidor:port b Administrator Pa$$w0rd j . -$ adamschema.cat

3) Aumentar o nvel funcional do conjunto de configuraes do AD LDS para Windows Server 2008 R2

Depois que o nvel funcional da floresta do ambiente estiver definido como Windows Server 2008 R2, voc poder habilitar a Lixeira do Active Directory usando os seguintes mtodos: Cmdlet do mdulo do Active Directory Enable-ADOptionalFeature (Esse o mtodo recomendado.)

766ddcd8-acd0-445e-f3b9-a7f9b6744f2a o identificador exclusivo global (GUID) da Lixeira do Active Directory

Para verificar se a Lixeira do Active Directory est habilitada, navegue para o continer CN=Partitions. No painel de detalhes, localize o atributo msDS-EnabledFeature e confirme se o seu valor est definido como CN=Recycle Bin Feature,CN=Optional Features,CN=DirectoryService,CN=Windows NT,CN=Services,CN=Configuration, DC=mcsesolution, DC=lab, em que mcsesolution e labrepresentam o nome de domnio raiz da floresta apropriado do seu ambiente AD DS.

A lixeira no Active Directory

O recurso da lixeira permite recuperar objetos excludos do Active Directory.

Resumo

www.mcsesolution.com

Restartable AD DS

Comandos PowerShell

possvel parar e iniciar o servio do Active Directorytanto pela ferramenta services parando o servio Active Directory Domain Services como pelo comando net.

Net stop NTDS

Para fazer o Backup do Active Directory, instale o featureWindows Server Backup e regularmente efetue backup do System State utilizando a ferramenta grfica ou digite a seguinte linha de comando:wbadmin start systemstatebackup backuptarget:d:

Para criar uma media para criao de um domain controlleradicional escolha entre as opes:create full %s Cria uma mdia IFM completa para o ADDC ou AD/LDS.create rodc %s Cria uma mdia IFM para um Read-Only DCcreate Sysvol full %s Cria uma mdia IFM com o SYSVOL para um ADDC.create Sysvol RODC %s Cria uma mdia IFM com o SYSVOL para um RODC. Exemplo:No prompt de comando digite:

ntdsutilActivate Instance NTDS IFMcreate full e:\mediaifm

Aps criar a media no Windows Server 2008 R2 no qual deseja promover a Domain Controller adicional, execute o DCPROMO /ADV e na janela Install from Media aponte para os arquivos recm criados.

IFM (Criando uma media)

Backup

O recurso IFM permite instalar um controlador de domnio adicional a partir da media de backup.A utilizao de IFM reduz significativamente o tempo necessrio para instalar informaes de diretrio atravs da reduo da quantidade de dados replicados na rede .O ADDS deve estar iniciado para executar esta operao.

Reinicie o controlador de domnio em DSRM (DirectoryServices Restore Mode).

Restaurao no-autoritativa de AD DSUma restaurao no-autoritativa retorna o servio de diretrio ao estado que tinha no momento da criao do backup. Depois de concluda a operao de restaurao, a replicao do AD DS atualiza o controlador de domnio, aplicando as alteraes feitas desde o momento da criao do backup.

Restaurao autoritativa de objetos Active Directoryexcludos.A restaurao autoritativa fornece um mtodo de recuperao de objetos e contineres que tenham sido excludos do AD DS. A restaurao autoritativa um processo de quatro etapas:

1.Inicie o controlador de domnio no DSRM ou pare o servio NTDS.2.Restaure o backup desejado que, geralmente, o mais recente.3.Use Ntdsutil.exe para marcar os objetos desejados, contineres ou parties como autoritativos.Exemplo: ntdsutilActivate Instance NTDSAuthoritative RestoreRestore Object cn=nomedouser, dc=mcsesolution, dc=lab4.Reinicie no modo normal para propagar as alteraes.

Restaurao do AD DS

Clique em Start/ Administrative Tools / Active DirectoryModule for PowerShell.

New-ADUser Name "Felipe Donda" SamAccountNameFelipeD DisplayName "Felipe Donda" Title "IT Manager" Enabled $true ChangePasswordAtLogon$true -AccountPassword (ConvertTo-SecureString"Pa$$w0rd" -AsPlainText -force) -PassThru

New-ADGroup -Name "IT Managers" -SamAccountNameitmanagers -GroupScope Global -GroupCategory Security-Description "IT Managers Group" PassThru

New-ADOrganizationalUnit -Name SuporteTecnico -ProtectedFromAccidentalDeletion $true -PassThru

Add-ADGroupMember -Identity itmanagers -MembersFelipeD

Get-ADGroupMember -Identity itmanagers

Get-ADPrincipalGroupMembership -Identity FelipeD

Get-ADDomain -Current LoggedOnUserIFM (Install from Media)

Informaes

Bibliografia http://technet.microsoft.comGuia completo Windows Server 2008 Willian R Stanek

DesenvolvimentoDaniel Donda www.mcsesolution.com | donda@mcsesolution.com