Você está na página 1de 6

Resumo

www.mcsesolution.com
Conceito Os domnios, principais unidades funcionais da estrutura lgica do Active Directory. Os domnios tm trs principais funes: 1. Fornecer um limite administrativo para objetos 2. Permitir um gerenciamento seguro aos recursos 3. Proporcionar uma unidade de replicao para objetos Estrutura Lgica rvore de domnios. Os domnios so agrupados em estruturas hierrquicas so chamados rvores de domnios. Floresta. Uma floresta uma instncia completa do Active Directory Directory Services, que consiste em uma ou mais rvores. Instalao do Active Directory Directory Services (ADDS Para instalar o Active Directory Directory Services (ADDS) voc deve ser membro do grupo Administradores do servidor que ir instalar o ADDS. O Active Directory pode ser instalado de 3 maneiras: 1 - Administrative Tools > ServerManager > Roles > Add Roles > Selecione o Active Directory Domain Services. (em seguida execute o comando DCPROMO) 2 - Atravs do comando Servermanagercmd.exe I ADDSDomain-Controller. (em seguida execute o comando DCPROMO) 3 - Atravs do comando: DCPROMO. (uma nica vez) A partio de instalao deve estar formatada com o sistema de arquivos NTFS. Para converter uma partio ou volume em NTFS use o Comando: CONVERT C: /FS:NTFS onde c: a letra da unidade que deseja converter. Nveis funcionais Existem 4 nveis funcionais de domnio: Windows 2000 Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 E 4 nveis funcionais de floresta Windows 2000 Native Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 Durante a instalao do AD DS a seleo automtica por padro o nvel funcional Windows Server 2003. possvel rebaixar o nvel funcional do domnio de Windows Server 2008 R2 para Windows Server 2008 apenas se o nvel funcional da floresta estiver definido como Windows Server 2008 ou inferior. Uma vez elevado o nvel funcional da floresta no ser possvel retroceder o nvel funcional Windows 2000 ou Windows Server 2003 em nenhuma situao. Armazenamento (Extensible Storage Engine (ESE)). Os arquivos relacionados ao armazenamento de dados so: NTDS.DIT Arquivo de banco de dados fsico que guarda o conteudo do Active Directory. EDB.CHK Arquivo de ponto de verificao que rastreia at onde as transaes no arquivo de log foram confirmadas. EDB.LOG Arquivo de log primrio EDB00001.LOG - Arquivo de log secundrio (ser criado conforme necessrio. TMP.EDB Banco de dados temporrio para as transaes. EDBRES00001.JRS Reserva espao para outros arquivos de log, caso o log primrio fique cheio.

Servios de Diretrio Active Directory Certificate Services (AD CS) oferece soluo para emisso e administrao de certificados usados em sistemas de segurana que utilizam a tecnologia de chave pblicas e privadas. Active Directory Domain Services (ADDS) O AD DS permite um gerenciamento centralizado e seguro de toda uma rede.Armazena as informaes sobre objetos na rede e gerencia a comunicao entre os usurios e os domnios, incluindo processos de logon do usurio, autenticao e pesquisas de diretrio. O Active Directory Domain Services era anteriormente chamado de Active Directory Active Directory Federation Services (ADFS) permite estabelecer confiana entre diferentes entidades organizacionais dando aos usurios finais um logon nico (SSO) de conexo remota entre empresas Active Directory Lightweight Directory Services (ADLDS) um servio de diretrio LDAP. O ADLDS era anteriormente chamado de Active Directory Application Mode (ADAM) Active Directory Rights Management Services (ADRMS) permite proteger e controlar o acesso a informaes confidenciais como em documentos e e-mails.

Resumo
www.mcsesolution.com
Ferramentas de Gerenciamento Grficas Ferramentas de Importao e exportao CSVDE Importa e Exporta objetos do diretrio utilizando arquivos .CSV (Separado por virgula) Exemplo para importar: csvde i f usuarios.csv Exemplo para exportar usurios da ou TI csvde -d "ou=TI,DC=mcsesolution,dc=com f usuarios.csv -r objectClass=user LDIFDE - Importa e Exporta objetos do diretrio utilizando arquivos .LDF Exemplo para importar: ldifde i f usuarios.ldf Exemplo para exportar computadores ldifde f usuarios.ldf -r (objectclass=computer)" Objetos Objetos. So os componentes mais bsicos da estrutura lgica. Alguns objetos mais comuns:

Active Directory Administrative Center - Ferramenta de administrao do AD DS que permite centralizar o gerenciamento e personalizar para diversos propsitos.
Active Directory Domains and Trusts - Usado para gerenciar relaes de confiana de florestas e domnios, acrescentar sufixos ao nome principal do usurio e alterar os nveis funcionais de florestas e domnios Active Directory Module for Windows PowerShell Contem 90 cmdlets no existentes no powershell padro. Utilize - Get-Command *-AD* para listar os cmdlets. Active Directory Sites and Services Utilizado para criar e gerenciar os servios ,sites e a replicao de dados do diretrio. Active Directory Users and Computers - Um MMC (Microsoft Management Console) usado para gerenciar e publicar informaes no Active Directory. Voc pode gerenciar contas de usurio, grupos, contas de computadores, acrescentar computadores a um domnio.

Usurios

Grupos

Computadores

Impressoras

ADSI Edit (Active Directory Service Interfaces Editor) Um editor LDAP ((Lightweight Directory Access Protocol ) que permite gerenciar objetos e atributos no Active Directory.
Ferramentas de Linha de comando Dsadd Adiciona objetos no Diretrio Exemplo adicionar conta de usurio: Dsadd cn=Donda, ou=TI, dc=mcsesolution, dc=com Dsmod Modifica objetos no Diretrio Exemplo definir uma senha: dsmod user cn=Donda,ou=TI,dc=mcsesolution,dc=com" -pwd Pa$$w0rd Dsmove Move objetos no Diretrio Exemplo mover para outra OU dsmove cn=Donda, ou=TI, dc=mcsesolution, dc=com -newparent ou=Suporte, dc=mcsesolution ,dc=com" DSrm Remove objetos do Diretrio Exemplo: excluir conta de usurio dsrm "cn=Donda, ou=Suporte, dc=mcsesolution, dc=com" Dsquery Busca objetos no Diretrio Exemplo: Ler toda informao de um objeto na ou=test dsquery * ou=test,dc=mcsesolution,dc=com -scope base attr * Dsget Exibe informaes sobre objetos no Diretrio Exemplo: Trazer nome e sobrenome de todos usurios da ou=TI dsquery "ou=TI,dc=mcsesolution,dc=com" | get user -fn -ln Pastas Compartilhadas Unidades Organizacionais

Esquema (Schema). Possui dois tipos de definies: classes e atributos de objetos. As classes de objetos so modelos ou plantas dos objetos que podem ser criados no Active Directory. Atributos definem os possveis valores a serem associados a uma classe de objeto. As classes de objetos, como usurios, computadores e impressoras, descrevem os possveis objetos de diretrio que voc pode criar. Exemplo - Classe User - Atributo - Nome do usurio Para editar o schema necessrio registrar a dll schmmgmt.dll Iniciar -> executar -> Regsvr32 schmmgmt.dll Unidade organizacional (OU). Voc pode usar esses objetos recipientes para organizar outros objetos de acordo com seus propsitos administrativos. Catlogo global. um controlador de domnio que realiza consultas dentro da floresta de modo eficiente . O primeiro controlador de domnio criado por voc ser automaticamente o servidor de catlogo global Nomes Distintos Nomes distintos identificam o domnio de um objeto e o caminho para encontr-lo. CN=Felipe Donda,OU=Diretoria,DC=Mcsesolution,DC=com

Resumo
www.mcsesolution.com
Sites (Estrutura Fsica)

Topologia
O KCC um processo interno executado em cada controlador de domnio que gera a topologia de replicao para todas as parties de diretrio contidas no controlador de domnio Parties do AD DS Sub-rede IP

Em sua rede fsica, um site representa um conjunto de computadores conectados por uma rede de alta velocidade, como uma rede local (LAN).

Sub-rede IP

Site SP

O banco de dados do Active Directory dividido logicamente em parties. Cada partio uma unidade de replicao e cada uma delas tem sua prpria topologia de replicao.

Site RJ No AD DS, um objeto de site representa os aspectos do site fsico a fim de gerenciar a replicao dos dados do diretrio entre os controladores de domnio Replicao consiste no processo de atualizar informaes no Active Directory de um controlador de domnio para outros controladores de domnio em uma rede Os objetos de sites e os objetos associados a eles so replicados em todos os controladores de domnio na floresta. possvel gerenciar os objetos utilizando a ferramenta Active Directory Sites and Services: Objetos de sites Sites - Os objetos de sites so localizados no continer de sites. Em todos os sites, h um objeto de Configuraes de Site NTDS. Esse objeto identifica o Intersite Topology Generator (ISTG). Sub-redes - Os objetos da sub-rede identificam os intervalos dos endereos IP em um site. Servidores - Os objetos de servidor so criados automaticamente quando voc adiciona a funo de servidor Active Directory Domain Services Configuraes NTDS - Todo objeto de servidor contm um objeto de Configuraes NTDS, que representa o controlador de domnio no sistema de replicao. Tambm possvel Habilitar ou desabilitar o catlogo global em um servidor atravs do NTDS Settings. Conexes - Os parceiros da replicao dos servidores de um site so identificados pelos objetos de conexo. A replicao ocorre em uma direo. Links de sites - Os links de site representam o fluxo da replicao entre os sites. Representa a conexo fsica de longa distncia (WAN) entre dois ou mais sites Transportes IP e SMTP entre sites - A replicao usa a chamada de procedimento remoto (RPC) no transporte IP ou SMTP

Floresta

Esquema
Configurao

Domnio Replicao configurvel

<Domnio> <Aplicativo>

Funcionalidade do catlogo global Localiza objetos - Uma solicitao de pesquisa ser encaminhada porta 3268 do catlogo global . Fornece a autenticao do nome principal do usurio. Um servidor de catlogo global resolve o nome principal do usurio (UPN) quando o controlador de domnio da autenticao desconhece a conta de usurio. Valida as referncias de objeto em uma floresta. Os controladores de domnio usam o catlogo global para validar as referncias a objetos de outros domnios na floresta. Fornece informaes sobre a associao ao grupo universal em um ambiente de vrios domnios. O controlador de domnio tambm pode descobrir associaes de um usurio ao grupo local do domnio e ao grupo global e a associao a esses grupos no ser replicada no catlogo global. Se um servidor de catlogo global no estiver disponvel quando um usurio efetuar logon em um domnio em que os grupos universais esto disponveis, o computador cliente do usurio poder usar as credenciais armazenadas em cache para fazer logon . Nome Principal de usurio (UPN) O nome principal de usuario (UPN) identificam o usurio de determinado dominio: donda@mcsesolution.com

Resumo
www.mcsesolution.com
Catalogo Global e Administradores GPO e Power Shell possvel criar, linkar, renomear, fazer backup, copiar e remover GPOs atravs do PowerShell: Import-module GroupPolicy get-help *-gp* Group Policy Object GPOs podem ser aplicados ao computador local, sites, domnios e unidades organizacionais. Nesta ordem, tendo precedncia a ultima a ser aplicada caso exista conflito. Do contrario as polticas so acumulativas. Block Inheritance Opo que pode ser aplicado a um domnio ou OU e faz com que as polticas no sejam herdadas. (Bloqueio de herana). Enforced - Opo que fora a aplicao da poltica. (Mesmo quando a opo Block inheritance esteja marcada. Item-Level targeting possvel definir um alvo especifico utilizando mais de 29 combinaes de colees com lgica boolena (And, Or, Not). Alm de muitos itens intuitivos de modo que a poltica s se aplica a usurios e computadores especficos.

O administrador do domnio (conta Administradores internos) pode sempre efetuar logon no domnio, mesmo quando um servidor de catlogo global no estiver disponvel.
Ferramentas relacionadas a sites e replicao Repadmin uma ferramenta de linha de comando que reporta falhas entre dois parceiros de replicao repadmin /showrepl server.mcsesolution.com - exibe os parceiros de replicao e as falhas ocorridas no Servidor, no domnio mcsesolution.com. Dcdiag uma ferramenta de linha de comando que pode verificar o registro de DNS de um controlador de domnio, verificar se os identificadores de segurana (SIDs) apresentam as permisses de replicao apropriadas, analisar o estado dos controladores de domnio e assim por diante dcdiag /test:replications - verifica os erros de replicao entre os controladores de domnio: RODC Read-Only Domain Controller. Um controlador de domnio com uma verso somente leitura do banco de dados do Active Directory que pode ser implantadas em ambientes onde a segurana do controlador de domnio no pode ser garantida. O uso de Read-Only Domain Controllers (RODC) impede que as alteraes feitas nas filiais da floresta possam poluir ou corromper o seu AD via replicao. Password Replication Policy (PRP) permite definir quais usurios tero sua senha armazenada em cache no RODC Starter GPOs Starter GPOs so modelos de objetos de polticas de grupo que podem ser criados, armazenados e utilizados. Ao criar uma nova poltica possvel tomar por base um modelo existente em Starter GPOs. Nos modelos do Starter GPOs existem dois tipos de ambientes EC e SSLF:

Como utilizar o Item-Level targeting


1)Edite a poltica desejada. 2) Em preferences selecione o item desejado. 3) Defina a poltica conforme sua necessidade. 4) Clique e Common e selecione Item-Level targeting para criar o seu filtro. Group Policy Templates Os templates ADM agora so arquivos ADMX (admx, adml) Offline Domain Join Computadores podem agora participar de um domnio sem estar conectado ao domnio durante o processo de implantao, tambm conhecido Offline Domain Join. Utilize a ferramenta Djoin.exe para adicionar os computadores. Voc pode executar Djoin.exe apenas em computadores que executam o Windows 7 ou Windows Server 2008 R2. djoin /provision /domain <domain_name> /machine <destination computer> /savefile <filename.txt> [/machineou <OU name>] [/dcname <name of domain controller>] [/reuse] [/downlevel] [/defpwd] [/nosearch] [/printblob]

Enterprise Client (EC). Servidores neste ambiente esto localizados em um domnio que usa AD DS e que mantm comunicao com servidores executando o Windows Server 2008 ou Windows Server 2003 SP2 ou superior. Os clientes neste ambiente executam sistemas como o Windows Vista ou Windows XP professional com SP2 ou superior.
Specialized Security Limited Functionality (SSLF). O conceito de segurana neste ambiente to grande que a perda de funcionalidade ou gerenciamento aceitvel. Por exemplo, agencias de inteligncia ou militar operam neste ambiente. Os servidores neste ambiente executam apenas o Windows Server 2008.

Resumo
www.mcsesolution.com
Fine-Grained Passwords

A lixeira no Active Directory


O recurso da lixeira permite recuperar objetos excludos do Active Directory.

Fine-Grained Passwords um recurso que permite estabelecer uma poltica de senha para grupos distintos. Para implementar o Fine-Grained Password necessrio que nvel funcional do domnio esteja definido como Windows 2008. Voc pode utilizar o ADSI Edit ou o LDIFDE para criar Password Settings objects (PSOs): . Utilizando o ADSI 1) Expanda DC=<domain_name> 2) Expanda CN=System. 3) Clique em CN=Password Settings Container 4) Crie um novo objeto msDS-PasswordSettings. Defina as opes: msDS-PasswordSettingsPrecedence Prioridade ( maior que 0) msDS-PasswordReversibleEncryptionEnabled Criptografia reversvel (True/False) msDS-PasswordHistoryLength Histrico de senhas (0 at 1024) msDS-PasswordComplexityEnabled Complexidade da senha (True/False) msDS-MinimumPasswordLength Tamanho minimo da senha (0 at 255) msDS-MinimumPasswordAge Idade mnima da senha (00:00:00:00 at idade maxima) msDS-MaximumPasswordAge Idade mxima da senha (Never at 00:00:00:00) msDS-LockoutThreshold Bloqueio da conta (0 at 65535) msDS-LockoutObservationWindow De 00:00:00:01 at msDS-LockoutDuration msDS-LockoutDuration Durao do bloqueio (never at msDSLockoutObservationWindow ) msDS-PSOAppliesTo Usurios/Grupos a que se aplica esta poltica.
Utilizando o LDFIDE: dn: CN=PSO1, CN=Password Settings Container,CN=System,DC=dc1,DC=mcsesolution,DC=lab changetype: add objectClass: msDS-PasswordSettings msDSMaximumPasswordAge:-1728000000000 msDSMinimumPasswordAge:-864000000000 msDSMinimumPasswordLength:8 msDSPasswordHistoryLength:24 msDSPasswordComplexityEnabled:TRUE msDSPasswordReversibleEncryptionEnabled:FALSE msDS-LockoutObservationWindow:-18000000000 msDS-LockoutDuration:-18000000000 msDS-LockoutThreshold:0 msDS-PasswordSettingsPrecedence:20 msDS-PSOAppliesTo:CN=user1,CN=Users,DC=dc1, DC=mcsesolution,DC=lab Para importar ldifde i -f arquivo.ldf

Para habilitar a lixeira: (Ateno este um procedimento irreversvel) em servidores Domain Controllers atualizados para o Windows Server 2008 R2 necessrio antes atualizar o Schema. Passos para habilitar a lixeira em um servidor atualizado. 1) adprep /forestprep - No server que possui a funo "schema master" 2) adprep /domainprep /gpprep - No server que possui a funo "infrastructure operations master" 3) adprep /rodcprep - Se existir um read-only domain controllers na sua rede. Passos para habilitar a lixeira em um servidor com uma nova instalao do Windows Server 2008 R2 1) Apenas aumente o nvel funcional da floresta para Windows Server 2008 R2 Se houver o Active Directory Lightweight Directory Services (AD LDS) 2) Atualizar o schemma utilizando o seguinte comando: ldifde.exe i f MS-ADAM-Upgrade-2.ldf s nomedoservidor:port b Administrator Pa$$w0rd j . -$ adamschema.cat 3) Aumentar o nvel funcional do conjunto de configuraes do AD LDS para Windows Server 2008 R2 Depois que o nvel funcional da floresta do ambiente estiver definido como Windows Server 2008 R2, voc poder habilitar a Lixeira do Active Directory usando os seguintes mtodos: Cmdlet do mdulo do Active Directory EnableADOptionalFeature (Esse o mtodo recomendado.)

766ddcd8-acd0-445e-f3b9-a7f9b6744f2a o identificador exclusivo global (GUID) da Lixeira do Active Directory

Para verificar se a Lixeira do Active Directory est habilitada, navegue para o continer CN=Partitions. No painel de detalhes, localize o atributo msDS-EnabledFeature e confirme se o seu valor est definido como CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=mcsesolution, DC=lab, em que mcsesolution e lab representam o nome de domnio raiz da floresta apropriado do seu ambiente AD DS.

Resumo
www.mcsesolution.com
Restartable AD DS possvel parar e iniciar o servio do Active Directory tanto pela ferramenta services parando o servio Active Directory Domain Services como pelo comando net. Net stop NTDS Backup Para fazer o Backup do Active Directory, instale o feature Windows Server Backup e regularmente efetue backup do System State utilizando a ferramenta grfica ou digite a seguinte linha de comando: wbadmin start systemstatebackup backuptarget:d: Restaurao do AD DS IFM (Criando uma media) Para criar uma media para criao de um domain controller adicional escolha entre as opes: create full %s Cria uma mdia IFM completa para o ADDC ou AD/LDS. create rodc %s Cria uma mdia IFM para um Read-Only DC create Sysvol full %s Cria uma mdia IFM com o SYSVOL para um ADDC. create Sysvol RODC %s Cria uma mdia IFM com o SYSVOL para um RODC. Exemplo: No prompt de comando digite: ntdsutil Activate Instance NTDS IFM create full e:\mediaifm Aps criar a media no Windows Server 2008 R2 no qual deseja promover a Domain Controller adicional, execute o DCPROMO /ADV e na janela Install from Media aponte para os arquivos recm criados. Comandos PowerShell Clique em Start/ Administrative Tools / Active Directory Module for PowerShell. New-ADUser Name "Felipe Donda" SamAccountName FelipeD DisplayName "Felipe Donda" Title "IT Manager" Enabled $true ChangePasswordAtLogon $true -AccountPassword (ConvertTo-SecureString "Pa$$w0rd" -AsPlainText -force) -PassThru New-ADGroup -Name "IT Managers" -SamAccountName itmanagers -GroupScope Global -GroupCategory Security -Description "IT Managers Group" PassThru New-ADOrganizationalUnit -Name SuporteTecnico ProtectedFromAccidentalDeletion $true -PassThru Add-ADGroupMember -Identity itmanagers -Members FelipeD Get-ADGroupMember -Identity itmanagers Get-ADPrincipalGroupMembership -Identity FelipeD Get-ADDomain -Current LoggedOnUser Informaes Bibliografia
http://technet.microsoft.com Guia completo Windows Server 2008 Willian R Stanek

Reinicie o controlador de domnio em DSRM (Directory Services Restore Mode).


Restaurao no-autoritativa de AD DS Uma restaurao no-autoritativa retorna o servio de diretrio ao estado que tinha no momento da criao do backup. Depois de concluda a operao de restaurao, a replicao do AD DS atualiza o controlador de domnio, aplicando as alteraes feitas desde o momento da criao do backup. Restaurao autoritativa de objetos Active Directory excludos. A restaurao autoritativa fornece um mtodo de recuperao de objetos e contineres que tenham sido excludos do AD DS. A restaurao autoritativa um processo de quatro etapas: 1.Inicie o controlador de domnio no DSRM ou pare o servio NTDS. 2.Restaure o backup desejado que, geralmente, o mais recente. 3.Use Ntdsutil.exe para marcar os objetos desejados, contineres ou parties como autoritativos. Exemplo: ntdsutil Activate Instance NTDS Authoritative Restore Restore Object cn=nomedouser, dc=mcsesolution, dc=lab 4.Reinicie no modo normal para propagar as alteraes . IFM (Install from Media) O recurso IFM permite instalar um controlador de domnio adicional a partir da media de backup. A utilizao de IFM reduz significativamente o tempo necessrio para instalar informaes de diretrio atravs da reduo da quantidade de dados replicados na rede . O ADDS deve estar iniciado para executar esta operao.

Desenvolvimento
Daniel Donda www.mcsesolution.com | donda@mcsesolution.com

Você também pode gostar