Embed Size (px)
Citation preview
Administração de Sistemas Operacionais Escola Técnica Estadual Maria Eduarda Ramos de Barros
Curso Técnico em Redes de Computadores
Professor Emerson Felipe
Item Item Item
Aula
AD DSPromover DC
Administrando o AD
4ª Aula
Active Directory Domain Services
Active Directory Domain ServicesO Active Directory Domain Services (AD DS) é a principal função entre os serviços associados ao AD
• Active Directory Certificate Services (AD CS)• Active Directory Federation Services (AD FS)• Active Directory Lightweight Directory Services (AD LDS)• Active Directory Rights Management Services (AD RMS)
Active Directory Domain ServicesToda infraestrutura de domínio é criada a partir dessa função.A promoção de um novo Controlador de domínio (DC) ocorre pelo console do server manager. Pode-se promover um novo controlador de dominio (DC) através do comando dcpromo.
Promover novo DCO primeiro DC do domínio que define a Forest Root Domain. Após a instalação da função do AD DS inicia a processo de criação do novo Domínio pelo assistente. 3 Opções existem nesse assistente
• Adicionar um novo DC em um domínio existente• Adicionar um novo domínio (pai, filhos) em uma floresta existente• Criar uma nova floresta
Opções da promoção do novo DCNível funcional de Floresta e Domínio
DNS
Catálogo Global (GC)
RODC
Senha do DRSM
Opções da promoção do novo DCNível funcional de Floresta e Domínio
• O nível funcional determina os recursos disponíveis no ambiente do AD de acordo com a versão do Windows Server nos DCs
• O nível funcional mais elevado sempre vai conter todos os recursos das versões anteriores.
Após elevar o nível funcional não é possível rebaixá-lo exceto em alguns casos
Opções da promoção do novo DCNível funcional de Floresta e Domínio
• Windows Server 2008 R2• Windows Server 2008• Windows Server 2003• Windows Server 2000
Numa promoção de um DC Windows Server 2008 R2 os níveis funcionais disponíveis são
Opções da promoção do novo DCDNS
• Ao promover um DC é necessário um servidor DNS. Para um ambiente de domínio caso o servidor DNS não exista o assistente irá instalar e configurar a função
Opções da promoção do novo DCCatálogo Global (GC)
• O primeiro DC do domínio sempre conterá o Catálogo Global
• Catálogo Global - é um controlador de domínio que armazena uma cópia de todos os objetos do Active Directory em uma floresta. O catálogo global armazena uma cópia completa de todos os objetos no diretório para seu domínio host e uma cópia parcial de todos os objetos para todos os outros domínios na floresta.
Opções da promoção do novo DCRODC (Read only domain controller)
• É um controlador de domínio adicional de um domínio que hospeda partições apenas para leitura (read only) do banco de dados do Active Directory. Dessa forma, o RODC não pode ser o primeiro DC do domínio
• O RODC é utilizado em filiais que possuem segurança física, largura de banda de rede e especialistas locais para oferecer suporte limitados
Opções da promoção do novo DCSenha do DRSM
• Directory Services Restore Mode (DRSM) – Para recuperar backups do AD em um DC é necessário entrar nesse modo de restauração e o mesmo solicita uma senha para ser executado. Sempre na promoção de um novo DC será necessário configurar essa senha.
Opções DNS do novo DCAo promover um novo DC ele é configurado para instalar um novo DNS.Como, neste ponto, não existe um servidor DNS sendo executado na rede para essa nova infraestrutura de domínio um aviso é apresentado.
Pastas Padrão DCNestas pastas são armazenadas a base de dados do AD (NTDS.dit) e os arquivos de log e de verificação (EDB*.log/EDB.chk)
• Database Folder: c:\windows\NTDS• Log files folder: c:\windows\NTDS
Pasta de armazenamento das GPO (Group Policy Object)
• SYSVOL folder: c:\windows\SYSVOL
Resumo da InstalaçãoPara cada função instalada e configuradas é exibida um resumo e um script powershell é gerado. O script pode ser usado em processos de automação de implantações
Administrando Active Directory
Active Directory Administrative Center – Permite gerenciar os objetos do AD, gerar script das tarefas de gerenciamento, recuperar objetos apagados
Active Directory Domain and Trusts – Criar e gerenciar relações de confiança entre domínios e florestas além de permitir alterar o nível funcional de ambos
Active Directory Sites and Services - Usado para administrar a replicação de dados do diretório entre todos os sites em uma floresta
Consoles Active Directory
Active Directory Users and Computers – Console mais conhecida do AD para administrar e publicar informações no Active Directory
Active Directory Schema – Essa console permite exibir e gerenciar o esquema do ADADSI Edit - é um editor de LDAP que pode ser usado para gerenciar objetos e atributos no AD
Consoles Active Directory
O AD é formado por objetos de vários tipos e partir dessa console é possível gerenciá-los vamos conhecer alguns deles
• Usuário• Grupo• Computador• OU
Active Directory Users and Computers
Usuário – É um objeto que permite autenticação no domínio e associação de aplicações. Ele é composto de atributos
Atributos importantes:Nome, nome de logon e senha
Esse objeto possui um identificador de segurança (SID)que é utilizado para receber permissões de acesso a recursos
Active Directory - Usuário
Usuário – Nas propriedades do objeto criado é possível visualizar e editar mais atributos desse usuárioDica: é possível alterar atributos de vários objetos selecionados ao mesmo tempo
Active Directory - Usuário
DesafioÉ possível criar usuários através de linha de comando?
Um Grupo é um objeto utilizado para facilitar a administração de múltiplos objetos a partir de um único ponto e também possuem SID. Ex: Um grupo chamado TurmaA terá associado várias contas de usuário para melhor gerenciá-los já que possuem “algo” em comum
Active Directory - Grupo
Atributos básicos para a criação: nome, escopo e tipo
• Segurança - é um tipo de grupo que pode receber permissões para recursos e também pode ser usado como lista de distribuição de e-mails
• Distribuição – é um tipo usado somente como lista de distribuição de e-mails, não é possível receber permissões para recursos
Active Directory - Grupo
Tipos de Grupo
• Domínio Local – Utilizado para associar objetos que possuem necessidades de acesso a recursos semelhantes
• Global – Utilizado para organizar os objetos por funções, localidades, setores, etc.• Universal – Utilizado para associar objetos de vários domínios
Active Directory - GrupoEscopos de Grupo
• Membros - são os objetos que fazem parte desse grupo
• Membro de – são os grupos na qual o grupo em questão faz parte
Active Directory - GrupoPropriedades de grupo
Active Directory - Grupo
• Nos Contêineres BUILTIN e Users existem vários grupos de segurança que atribuem vários níveis de permissões no domínio. Contêineres são pastas para organizar objetos no AD e não podem ser associadas a GPOs
• Enteprise Admins, Schema Admins, Admins, Domain Admins,• Server Operators, Accounting Operators, Backup Operators, Printing Operators
Grupos Padrão
A conta de computador é criada automaticamente sempre que um computador ingressa no domínio tornando o computador confiável para contas de domínio. Essas contas criadas automaticamente são armazenadas por padrão no Contêiner Computers
Active Directory - Computador
O recomendado é que as contas de computadores sejam organizadas em OUs (Organization Units) pois a “Pasta” Computers não é uma OU e sim um Contêiner dessa forma não é possível vincular GPOs ou criar sub-OUs
Active Directory - Computador
Outra recomendação é criar a conta de computador antes de ingressar no domínio dessa forma ele já vai estar na OU correta e as politicas associadas a OU já serão incorporadas
As contas de computador também possuem usuário e senha que são utilizados para criar uma ligação segura entre o computador e o DC
Active Directory - Computador
Por padrão qualquer usuário do domínio pode adicionar dez computadores no domínioPara restringir essa configuração é necessário alterar o atributo ms-DS-MachineAccountQuota de contas de usuário para 0Dica: Para alterar o contêiner padrão de computador basta usar o comando redircmp
Objetos que permitem a organização do AD hierarquicamente definindo um escopo para os objetos nele armazenados. A elas também poderão ser aplicadas GPOs e delegar administração dos objetos nela contidos.
Active Directory - OU (Organization Unit)
Ao criar uma nova OU por padrão a opção de proteção contra exclusão acidental já vem marcada.
Active Directory - OU (Organization Unit)
DesafioComo remover objetos protegidos contra exclusão acidental?
© 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
