Upload
marco-antonio-goes-felizardo
View
36
Download
0
Embed Size (px)
Citation preview
Resumo
www.mcsesolution.com
Os domnios, principais unidades funcionais da estrutura lgica do Active Directory.Os domnios tm trs principais funes:1. Fornecer um limite administrativo para objetos2. Permitir um gerenciamento seguro aos recursos 3. Proporcionar uma unidade de replicao para objetos
Conceito
rvore de domnios. Os domnios so agrupados em estruturas hierrquicas so chamados rvores de domnios.Floresta. Uma floresta uma instncia completa do Active Directory Directory Services, que consiste em uma ou mais rvores.
Estrutura Lgica
Armazenamento (Extensible Storage Engine (ESE)).
Instalao do Active Directory Directory Services (ADDS
Existem 4 nveis funcionais de domnio:Windows 2000Windows Server 2003Windows Server 2008Windows Server 2008 R2E 4 nveis funcionais de florestaWindows 2000 NativeWindows Server 2003Windows Server 2008Windows Server 2008 R2 Durante a instalao do AD DS a seleo automtica por padro o nvel funcional Windows Server 2003.
possvel rebaixar o nvel funcional do domnio de Windows Server 2008 R2 para Windows Server 2008 apenas se o nvel funcional da floresta estiver definido como Windows Server 2008 ou inferior.Uma vez elevado o nvel funcional da floresta no ser possvel retroceder o nvel funcional Windows 2000 ou Windows Server 2003 em nenhuma situao.
Nveis funcionais
Para instalar o Active Directory Directory Services (ADDS) voc deve ser membro do grupo Administradores do servidor que ir instalar o ADDS.
O Active Directory pode ser instalado de 3 maneiras:1 - Administrative Tools > ServerManager > Roles > Add Roles > Selecione o Active Directory Domain Services.(em seguida execute o comando DCPROMO)2 - Atravs do comando Servermanagercmd.exe I ADDS-Domain-Controller. (em seguida execute o comando DCPROMO)3 - Atravs do comando: DCPROMO. (uma nica vez)
A partio de instalao deve estar formatada com o sistemade arquivos NTFS.Para converter uma partio ou volume em NTFS use oComando:CONVERT C: /FS:NTFS onde c: a letra da unidade que deseja converter.
Active Directory Certificate Services (AD CS) oferece soluo para emisso e administrao de certificados usados em sistemas de segurana que utilizam a tecnologia de chave pblicas e privadas.
Active Directory Domain Services (ADDS)O AD DS permite um gerenciamento centralizado e seguro de toda uma rede.Armazena as informaes sobre objetos na rede e gerencia a comunicao entre os usurios e os domnios, incluindo processos de logon do usurio, autenticao e pesquisas de diretrio.O Active Directory Domain Services era anteriormente chamado de Active Directory
Active Directory Federation Services (ADFS) permite estabelecer confiana entre diferentes entidades organizacionais dando aos usurios finais um logon nico (SSO) de conexo remota entre empresas
Active Directory Lightweight Directory Services (ADLDS) um servio de diretrio LDAP.O ADLDS era anteriormente chamado de Active DirectoryApplication Mode (ADAM)
Active Directory Rights Management Services (ADRMS) permite proteger e controlar o acesso a informaes confidenciais como em documentos e e-mails.
Os arquivos relacionados ao armazenamento de dados so:NTDS.DIT Arquivo de banco de dados fsico que guarda o conteudo do Active Directory.EDB.CHK Arquivo de ponto de verificao que rastreia at onde as transaes no arquivo de log foram confirmadas.EDB.LOG Arquivo de log primrioEDB00001.LOG - Arquivo de log secundrio (ser criado conforme necessrio.TMP.EDB Banco de dados temporrio para as transaes.EDBRES00001.JRS Reserva espao para outros arquivos de log, caso o log primrio fique cheio.
Servios de Diretrio
Resumo
www.mcsesolution.com
Ferramentas de Gerenciamento Grficas
Ferramentas de Linha de comando
Objetos
Objetos. So os componentes mais bsicos da estrutura lgica. Alguns objetos mais comuns:
Esquema (Schema). Possui dois tipos de definies: classes e atributos de objetos.As classes de objetos so modelos ou plantas dos objetos que podem ser criados no Active Directory.Atributos definem os possveis valores a serem associados a uma classe de objeto.As classes de objetos, como usurios, computadores e impressoras, descrevem os possveis objetos de diretrioque voc pode criar. Exemplo - Classe User - Atributo - Nome do usurioPara editar o schema necessrio registrar a dllschmmgmt.dll Iniciar -> executar -> Regsvr32 schmmgmt.dll
Unidade organizacional (OU). Voc pode usar esses objetos recipientes para organizar outros objetos de acordo com seus propsitos administrativos.
Catlogo global. um controlador de domnio que realiza consultas dentro da floresta de modo eficiente .O primeiro controlador de domnio criado por voc ser automaticamente o servidor de catlogo global
Active Directory Administrative Center - Ferramenta de administrao do AD DS que permite centralizar o gerenciamento e personalizar para diversos propsitos.
Active Directory Domains and Trusts - Usado para gerenciar relaes de confiana de florestas e domnios,acrescentar sufixos ao nome principal do usurio e alterar os nveis funcionais de florestas e domnios
Active Directory Module for Windows PowerShell Contem 90 cmdlets no existentes no powershell padro.Utilize - Get-Command *-AD* para listar os cmdlets.
Active Directory Sites and Services Utilizado para criar e gerenciar os servios ,sites e a replicao de dados do diretrio.
Active Directory Users and Computers - Um MMC (Microsoft Management Console) usado para gerenciar e publicarinformaes no Active Directory. Voc pode gerenciar contas de usurio, grupos, contas de computadores, acrescentar computadores a um domnio.
ADSI Edit (Active Directory Service Interfaces Editor) Um editor LDAP ((Lightweight Directory Access Protocol ) que permite gerenciar objetos e atributos no Active Directory.
Usurios Grupos Computadores Impressoras
Pastas Compartilhadas Unidades Organizacionais
Dsadd Adiciona objetos no Diretrio Exemplo adicionar conta de usurio:Dsadd cn=Donda, ou=TI, dc=mcsesolution, dc=com
Dsmod Modifica objetos no DiretrioExemplo definir uma senha:dsmod user cn=Donda,ou=TI,dc=mcsesolution,dc=com" -pwd Pa$$w0rd
Dsmove Move objetos no DiretrioExemplo mover para outra OUdsmove cn=Donda, ou=TI, dc=mcsesolution, dc=com -newparent ou=Suporte, dc=mcsesolution ,dc=com"
DSrm Remove objetos do DiretrioExemplo: excluir conta de usuriodsrm "cn=Donda, ou=Suporte, dc=mcsesolution, dc=com"
Dsquery Busca objetos no DiretrioExemplo: Ler toda informao de um objeto na ou=testdsquery * ou=test,dc=mcsesolution,dc=com -scope base -attr *
Dsget Exibe informaes sobre objetos no DiretrioExemplo: Trazer nome e sobrenome de todos usurios da ou=TIdsquery "ou=TI,dc=mcsesolution,dc=com" | get user -fn -ln
Nomes distintos identificam o domnio de um objeto e o caminho para encontr-lo.CN=Felipe Donda,OU=Diretoria,DC=Mcsesolution,DC=com
Nomes Distintos
CSVDE Importa e Exporta objetos do diretrio utilizando arquivos .CSV (Separado por virgula)Exemplo para importar:csvde i f usuarios.csvExemplo para exportar usurios da ou TIcsvde -d "ou=TI,DC=mcsesolution,dc=com f usuarios.csv-r objectClass=user
LDIFDE - Importa e Exporta objetos do diretrio utilizando arquivos .LDF Exemplo para importar:ldifde i f usuarios.ldfExemplo para exportar computadoresldifde f usuarios.ldf -r (objectclass=computer)"
Ferramentas de Importao e exportao
Resumo
www.mcsesolution.com
Sites (Estrutura Fsica)
Objetos de sites
Funcionalidade do catlogo global
Localiza objetos - Uma solicitao de pesquisa ser encaminhada porta 3268 do catlogo global .
Fornece a autenticao do nome principal do usurio.Um servidor de catlogo global resolve o nome principal do usurio (UPN) quando o controlador de domnio da autenticao desconhece a conta de usurio.
Valida as referncias de objeto em uma floresta.Os controladores de domnio usam o catlogo global para validar as referncias a objetos de outros domnios na floresta.
Fornece informaes sobre a associao ao grupo universal em um ambiente de vrios domnios.O controlador de domnio tambm pode descobrir associaes de um usurio ao grupo local do domnio e ao grupo global e a associao a esses grupos no ser replicada no catlogo global.
Se um servidor de catlogo global no estiver disponvel quando um usurio efetuar logon em um domnio em que os grupos universais esto disponveis, o computador cliente do usurio poder usar as credenciais armazenadas em cache para fazer logon .
Em sua rede fsica, um site representa um conjunto de computadores conectados por uma rede de alta velocidade, como uma rede local (LAN).
No AD DS, um objeto de site representa os aspectos do site fsico a fim de gerenciar a replicao dos dados do diretrio entre os controladores de domnio
Replicao consiste no processo de atualizar informaes no Active Directory de um controlador de domnio para outros controladores de domnio em uma rede
Os objetos de sites e os objetos associados a eles so replicados em todos os controladores de domnio na floresta. possvel gerenciar os objetos utilizando a ferramenta ActiveDirectory Sites and Services:
Sites - Os objetos de sites so localizados no continer de sites. Em todos os sites, h um objeto de Configuraes de Site NTDS. Esse objeto identifica o Intersite TopologyGenerator (ISTG).
Sub-redes - Os objetos da sub-rede identificam os intervalos dos endereos IP em um site.
Servidores - Os objetos de servidor so criados automaticamente quando voc adiciona a funo de servidor Active Directory Domain Services
Configuraes NTDS - Todo objeto de servidor contm um objeto de Configuraes NTDS, que representa o controlador de domnio no sistema de replicao. Tambm possvel Habilitar ou desabilitar o catlogo global em um servidor atravs do NTDS Settings.
Conexes - Os parceiros da replicao dos servidores de um site so identificados pelos objetos de conexo. A replicao ocorre em uma direo.
Links de sites - Os links de site representam o fluxo da replicao entre os sites. Representa a conexo fsica de longa distncia (WAN) entre dois ou mais sites
Transportes IP e SMTP entre sites - A replicao usa a chamada de procedimento remoto (RPC) no transporte IP ou SMTP
O nome principal de usuario (UPN) identificam o usurio de determinado dominio:[email protected]
Nome Principal de usurio (UPN)
O banco de dados do Active Directory dividido logicamente em parties. Cada partio uma unidade de replicao e cada uma delas tem sua prpria topologia de replicao.
Parties do AD DS
Site RJ
Site SPSub-rede IP
Sub-rede IP
Topologia
O KCC um processo interno executado em cada controlador de domnio que gera a topologia de replicao para todas as parties de diretrio contidasno controlador de domnio
Replicaoconfigurvel
Domnio
Floresta Esquema
Configurao
Resumo
www.mcsesolution.com
Catalogo Global e Administradores
Group Policy Templates
Item-Level targeting
O administrador do domnio (conta Administradores internos) pode sempre efetuar logon no domnio, mesmo quando um servidor de catlogo global no estiver disponvel.
Repadmin uma ferramenta de linha de comando que reporta falhas entre dois parceiros de replicaorepadmin /showrepl server.mcsesolution.com - exibe os parceiros de replicao e as falhas ocorridas no Servidor, no domnio mcsesolution.com.
Dcdiag uma ferramenta de linha de comando que pode verificar o registro de DNS de um controlador de domnio, verificar se os identificadores de segurana (SIDs) apresentam as permisses de replicao apropriadas, analisar o estado dos controladores de domnio e assim por diantedcdiag /test:replications - verifica os erros de replicao entre os controladores de domnio:
GPOs podem ser aplicados ao computador local, sites, domnios e unidades organizacionais.Nesta ordem, tendo precedncia a ultima a ser aplicada caso exista conflito. Do contrario as polticas so acumulativas.
Block Inheritance Opo que pode ser aplicado a um domnio ou OU e faz com que as polticas no sejam herdadas. (Bloqueio de herana).
Enforced - Opo que fora a aplicao da poltica. (Mesmo quando a opo Block inheritance esteja marcada.
Group Policy Object
GPO e Power Shell
possvel criar, linkar, renomear, fazer backup, copiar e remover GPOs atravs do PowerShell:
Import-module GroupPolicy get-help *-gp*
Starter GPOs
Starter GPOs so modelos de objetos de polticas de grupo que podem ser criados, armazenados e utilizados.Ao criar uma nova poltica possvel tomar por base um modelo existente em Starter GPOs.Nos modelos do Starter GPOs existem dois tipos de ambientes EC e SSLF:
Enterprise Client (EC). Servidores neste ambiente esto localizados em um domnio que usa AD DS e que mantm comunicao com servidores executando o Windows Server 2008 ou Windows Server 2003 SP2 ou superior.Os clientes neste ambiente executam sistemas como o Windows Vista ou Windows XP professional com SP2 ou superior.
Specialized Security Limited Functionality (SSLF). O conceito de segurana neste ambiente to grande que a perda de funcionalidade ou gerenciamento aceitvel. Por exemplo, agencias de inteligncia ou militar operam neste ambiente. Os servidores neste ambiente executam apenas o Windows Server 2008.
possvel definir um alvo especifico utilizando mais de 29 combinaes de colees com lgica boolena (And, Or, Not).Alm de muitos itens intuitivos de modo que a poltica s se aplica a usurios e computadores especficos.
Como utilizar o Item-Level targeting
1)Edite a poltica desejada.2) Em preferences selecione o item desejado.3) Defina a poltica conforme sua necessidade.4) Clique e Common e selecione Item-Level targeting para criar o seu filtro.
Ferramentas relacionadas a sites e replicao
Os templates ADM agora so arquivos ADMX (admx, adml)
Read-Only Domain Controller. Um controlador de domnio com uma verso somente leitura do banco de dados do Active Directory que pode ser implantadas em ambientes onde a segurana do controlador de domnio no pode ser garantida. O uso de Read-Only Domain Controllers (RODC) impede que as alteraes feitas nas filiais da floresta possam poluir ou corromper o seu AD via replicao. Password Replication Policy (PRP) permite definir quais usurios tero sua senha armazenada em cache no RODC
RODC
Computadores podem agora participar de um domnio sem estar conectado ao domnio durante o processo de implantao, tambm conhecido Offline Domain Join.Utilize a ferramenta Djoin.exe para adicionar os computadores.Voc pode executar Djoin.exe apenas em computadores que executam o Windows 7 ou Windows Server 2008 R2.
djoin /provision /domain /machine /savefile [/machineou ] [/dcname ] [/reuse] [/downlevel] [/defpwd] [/nosearch] [/printblob]
Offline Domain Join
Resumo
www.mcsesolution.com
Fine-Grained Passwords
Fine-Grained Passwords um recurso que permite estabelecer uma poltica de senha para grupos distintos. Para implementar o Fine-Grained Password necessrio que nvel funcional do domnio esteja definido como Windows 2008.Voc pode utilizar o ADSI Edit ou o LDIFDE para criar Password Settings objects (PSOs):.Utilizando o ADSI1) Expanda DC=2) Expanda CN=System.3) Clique em CN=Password Settings Container 4) Crie um novo objeto msDS-PasswordSettings.Defina as opes:msDS-PasswordSettingsPrecedencePrioridade ( maior que 0)msDS-PasswordReversibleEncryptionEnabledCriptografia reversvel (True/False)msDS-PasswordHistoryLengthHistrico de senhas (0 at 1024)msDS-PasswordComplexityEnabledComplexidade da senha (True/False)msDS-MinimumPasswordLengthTamanho minimo da senha (0 at 255)msDS-MinimumPasswordAgeIdade mnima da senha (00:00:00:00 at idade maxima)msDS-MaximumPasswordAgeIdade mxima da senha (Never at 00:00:00:00)msDS-LockoutThresholdBloqueio da conta (0 at 65535)msDS-LockoutObservationWindowDe 00:00:00:01 at msDS-LockoutDurationmsDS-LockoutDurationDurao do bloqueio (never at msDS-LockoutObservationWindow )msDS-PSOAppliesToUsurios/Grupos a que se aplica esta poltica.
Utilizando o LDFIDE:dn: CN=PSO1, CN=Password SettingsContainer,CN=System,DC=dc1,DC=mcsesolution,DC=labchangetype: add objectClass: msDS-PasswordSettings msDS-MaximumPasswordAge:-1728000000000 msDS-MinimumPasswordAge:-864000000000 msDS-MinimumPasswordLength:8 msDS-PasswordHistoryLength:24 msDS-PasswordComplexityEnabled:TRUE msDS-PasswordReversibleEncryptionEnabled:FALSE msDS-LockoutObservationWindow:-18000000000 msDS-LockoutDuration:-18000000000 msDS-LockoutThreshold:0 msDS-PasswordSettingsPrecedence:20 msDS-PSOAppliesTo:CN=user1,CN=Users,DC=dc1, DC=mcsesolution,DC=lab
Para importar ldifde i -f arquivo.ldf
Para habilitar a lixeira: (Ateno este um procedimento irreversvel) em servidores Domain Controllers atualizadospara o Windows Server 2008 R2 necessrio antes atualizar o Schema.Passos para habilitar a lixeira em um servidor atualizado.1) adprep /forestprep - No server que possui a funo "schema master"2) adprep /domainprep /gpprep - No server que possui a funo "infrastructure operations master"3) adprep /rodcprep - Se existir um read-only domaincontrollers na sua rede.
Passos para habilitar a lixeira em um servidor com uma nova instalao do Windows Server 2008 R2 1) Apenas aumente o nvel funcional da floresta para Windows Server 2008 R2Se houver o Active Directory Lightweight Directory Services (AD LDS) 2) Atualizar o schemma utilizando o seguinte comando:ldifde.exe i f MS-ADAM-Upgrade-2.ldf s nomedoservidor:port b Administrator Pa$$w0rd j . -$ adamschema.cat
3) Aumentar o nvel funcional do conjunto de configuraes do AD LDS para Windows Server 2008 R2
Depois que o nvel funcional da floresta do ambiente estiver definido como Windows Server 2008 R2, voc poder habilitar a Lixeira do Active Directory usando os seguintes mtodos: Cmdlet do mdulo do Active Directory Enable-ADOptionalFeature (Esse o mtodo recomendado.)
766ddcd8-acd0-445e-f3b9-a7f9b6744f2a o identificador exclusivo global (GUID) da Lixeira do Active Directory
Para verificar se a Lixeira do Active Directory est habilitada, navegue para o continer CN=Partitions. No painel de detalhes, localize o atributo msDS-EnabledFeature e confirme se o seu valor est definido como CN=Recycle Bin Feature,CN=Optional Features,CN=DirectoryService,CN=Windows NT,CN=Services,CN=Configuration, DC=mcsesolution, DC=lab, em que mcsesolution e labrepresentam o nome de domnio raiz da floresta apropriado do seu ambiente AD DS.
A lixeira no Active Directory
O recurso da lixeira permite recuperar objetos excludos do Active Directory.
Resumo
www.mcsesolution.com
Restartable AD DS
Comandos PowerShell
possvel parar e iniciar o servio do Active Directorytanto pela ferramenta services parando o servio Active Directory Domain Services como pelo comando net.
Net stop NTDS
Para fazer o Backup do Active Directory, instale o featureWindows Server Backup e regularmente efetue backup do System State utilizando a ferramenta grfica ou digite a seguinte linha de comando:wbadmin start systemstatebackup backuptarget:d:
Para criar uma media para criao de um domain controlleradicional escolha entre as opes:create full %s Cria uma mdia IFM completa para o ADDC ou AD/LDS.create rodc %s Cria uma mdia IFM para um Read-Only DCcreate Sysvol full %s Cria uma mdia IFM com o SYSVOL para um ADDC.create Sysvol RODC %s Cria uma mdia IFM com o SYSVOL para um RODC. Exemplo:No prompt de comando digite:
ntdsutilActivate Instance NTDS IFMcreate full e:\mediaifm
Aps criar a media no Windows Server 2008 R2 no qual deseja promover a Domain Controller adicional, execute o DCPROMO /ADV e na janela Install from Media aponte para os arquivos recm criados.
IFM (Criando uma media)
Backup
O recurso IFM permite instalar um controlador de domnio adicional a partir da media de backup.A utilizao de IFM reduz significativamente o tempo necessrio para instalar informaes de diretrio atravs da reduo da quantidade de dados replicados na rede .O ADDS deve estar iniciado para executar esta operao.
Reinicie o controlador de domnio em DSRM (DirectoryServices Restore Mode).
Restaurao no-autoritativa de AD DSUma restaurao no-autoritativa retorna o servio de diretrio ao estado que tinha no momento da criao do backup. Depois de concluda a operao de restaurao, a replicao do AD DS atualiza o controlador de domnio, aplicando as alteraes feitas desde o momento da criao do backup.
Restaurao autoritativa de objetos Active Directoryexcludos.A restaurao autoritativa fornece um mtodo de recuperao de objetos e contineres que tenham sido excludos do AD DS. A restaurao autoritativa um processo de quatro etapas:
1.Inicie o controlador de domnio no DSRM ou pare o servio NTDS.2.Restaure o backup desejado que, geralmente, o mais recente.3.Use Ntdsutil.exe para marcar os objetos desejados, contineres ou parties como autoritativos.Exemplo: ntdsutilActivate Instance NTDSAuthoritative RestoreRestore Object cn=nomedouser, dc=mcsesolution, dc=lab4.Reinicie no modo normal para propagar as alteraes.
Restaurao do AD DS
Clique em Start/ Administrative Tools / Active DirectoryModule for PowerShell.
New-ADUser Name "Felipe Donda" SamAccountNameFelipeD DisplayName "Felipe Donda" Title "IT Manager" Enabled $true ChangePasswordAtLogon$true -AccountPassword (ConvertTo-SecureString"Pa$$w0rd" -AsPlainText -force) -PassThru
New-ADGroup -Name "IT Managers" -SamAccountNameitmanagers -GroupScope Global -GroupCategory Security-Description "IT Managers Group" PassThru
New-ADOrganizationalUnit -Name SuporteTecnico -ProtectedFromAccidentalDeletion $true -PassThru
Add-ADGroupMember -Identity itmanagers -MembersFelipeD
Get-ADGroupMember -Identity itmanagers
Get-ADPrincipalGroupMembership -Identity FelipeD
Get-ADDomain -Current LoggedOnUserIFM (Install from Media)
Informaes
Bibliografia http://technet.microsoft.comGuia completo Windows Server 2008 Willian R Stanek
DesenvolvimentoDaniel Donda www.mcsesolution.com | [email protected]