Você está na página 1de 57

Departamento de Engenharia Informtica e de Sistemas Instituto Superior de Engenharia de Coimbra Aula 3

Servios de Rede II (2012/13)

A maioria das funes do domnio podem ser distribudas por diversas mquinas. Alis isso mesmo desejavel Existem contudo algumas funes que devem ser efectuadas por um nico controlador de domnio, num determinado instante. Essas funes so:
RID (Relative ID) Master Atribuio de IDs nicos para os objectos pertencentes a um determinado domnio PDC emulator Master Para emulao de Primary Domain Controller para maquinas preWindows 2000 Este servidor permite autenticao NTLM e Kerberos V5 Infrastruture Master Funo responsvel por verificar a consistncia da informao entre domnios

@
2

Schema master Controla todas as alteraes efetuadas ao schema usado na floresta Deve existir um nico schema para uma floresta Pode ser alterado atravs da consola de gesto do schema necessrio registar a consola atravs do comando
regsvr32 \WINDOWS\system32\schmmgmt.dll

Domain Naming Master Controlador de domnio responsvel por efetuar a gesto das criaes e remoes de domnios da floresta Garante que os nomes so nicos Pode ser alterado atravs da consola de gesto de domnios e relaes de confiana

O Assistente para instalao do Active Directory (Dcpromo.exe) atribui todas estas 5 funes ao primeiro controlador de domnio no domnio raiz da floresta. Transferir o OM de um controlador de domnio para outro pode ser feito como uma regular manuteno ou de disater recovery. Isso pode ser feito com o utilitrio Ntdsuti.

Servios de Rede II (2012/13)

@
3

Clique em em Start->Run, e escreva ntdsutil. Escreva roles Escreva connections e pressione ENTER. Escreva connect to server nome_do_servidor e pressione ENTER, onde nome_do_servidor o nome do controlador de domnio para o qual deseja atribuir a funo OM. No prompt server connections , escreva q e pressione ENTER. Escreva transfer funo, onde funo a funo que quer transferir. Para obter uma lista de funes que podem ser transferidas, escreva ? no prompt fsmo maintenance e pressione ENTER. Por exemplo, para transferir a funo mestre RID digite transfer rid master. A nica exceo para a funo emulador PDC do qual a sintaxe transfer pdc e no transfer pdc emulator. No prompt fsmo maintenance escreva q e pressione ENTER para obter acesso ao prompt ntdsutil. Escreva q e pressione ENTER para fechar o utilitrio Ntdsutil.
Servios de Rede II (2012/13)

@
4

Servios de Rede II (2012/13)

@
5

o repositrio central de informao sobre os objectos de uma rvore ou de uma floresta Por omisso, criado no primeiro controlador de domnio instalado
Um controlador de domnio que possua uma cpia do Global Catalog ser tambm conhecido por Global Catalog Server Cada um destes controladores possui uma rplica completa da informao respeitante aos objectos do domnio a que pertence (read/write) uma rplica parcial dos objectos dos restantes domnios (read only)

@
6

Permite a um utilizador o acesso a objectos, independentemente do domnio a que pertence e do domnio em que fez logon Em sites de uma empresa, onde no se justifique um Global Catalog, poder-se- activar a funcionalidade Universal Group Membership Caching
Esta funcionalidade permitir manter em cache os objectos usados mais recentemente Por omisso, efectuado um refrescamento de 8 em 8 horas

@
7

Em Active Directory Sites and Services

Servios de Rede II (2012/13)

@
8

Uma query um pedido especfico efectuado sobre o global catalog de modo a encontrar, modificar ou eliminar dados da AD Passos (ver figura):
1 e 2 queries ao DNS para saber quem Global Catalog Server 3 e 4 queries ao Global Catalog Server

@
9

Pesquisa de objectos
Find Nos menus de contexto da AD DSQuery Comando de linha No Windows Server possvel criar/guardar Saved Queries Alguns exemplo: Lista as contas com Password Never expires: (&(objectCategory=person)(objectClass=user)(userAccountControl:1.2. 840.113556.1.4.803:=65536)) Lista as contas de utilizadores ativas: (&(&(objectCategory=person)(objectClass=user)(!userAccountControl:1 .2.840.113556.1.4.803:=2)))

@
10

Servios de Rede II (2012/13)

@
11

Servios de Rede II (2012/13)

@
12

Definir segurana associada ao objeto


necessrio ativar a opo Advanced Features Definio das permisses, owner, entre outros, da mesma forma que se definem para o sistema de ficheiros

O controle de acesso administrado ao nvel do objeto por meio da configurao de diversos nveis de acesso, ou permisses, aos objetos, como Controle Total, Gravao, Leitura ou Sem Acesso. Os elementos que definem as permisses de controle de acesso sobre os objetos no Active Directory incluem descritores de segurana, herana de objetos e autenticao.
Servios de Rede II (2012/13)

@
13

Uma das novidades do windows 2008 server a implementao de um recycle bin de objetos da AD. Para isso tem de ativar esta funo. Click em Start->All Programs > Administrative Tools Clique com o boto do lado direito do rato em PowerShell e clique em Run as Admnistrator

Escreva:
Enable-ADOptionalFeature Identity CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,D C=com Scope ForestOrConfigurationSet Target empresaabc.com

Escreve Y quando solicitado.

Servios de Rede II (2012/13)

@
14

Para recuperar um objeto pode utilizar o utilitrio LDP ou o PowerShell. LDP


Para abrir um Ldp.exe, clique Click em Start e em run escreva ldp.exe. Para se ligar ao servidor deve escrever Conexes, Conectar e, em seguida, clique em Associar. Na rvore do console, navegue at CN=Deleted Objects. Localize e clique com o boto direito do rato no objeto Active Directory excludo que deseja restaurar e, em seguida, clique em Modificar. Na caixa de dilogo Modificar:
Em Editar Atributo de Entrada, escreva isDeleted Deixe a caixa Valores vazia. Em Operao, clique em Excluir e em Enter Em Editar Atributo de Entrada, escreva distinguishedName. Em Valores, escreva o nome diferenciado original (tambm conhecido como DN) desse objeto Active Directory. Em Operao, clique em Substituir. Certifique-se de que a caixa de seleo Estendido esteja marcada, clique em Enter e em Executar.

Servios de Rede II (2012/13)

@
15

PowerShell
Click em Start->All Programs -> Administrative Tools Clique com o boto do lado direito do rato em PowerShell e clique em Run as Admnistrator Escreva a seguinte linha de comando: Get-ADObject -Filter {String} -IncludeDeletedObjects | RestoreADObject Por exemplo se deseja recuperar um objecto de chamdo utilizador 1 escreva: Get-ADObject -Filter {displayName -eq utilizador1"} IncludeDeletedObjects | Restore-ADObject

Servios de Rede II (2012/13)

@
16

No Windows 2008 server R2 pode parar e arrancar o servio da AD sem necessitar de desligar o servidor que serve de domain controler. Deve fazer:
Start->All Programs Administrative Tools Services Escolha o servio Active Directory Domain Services e faa stop para o parar ou start para o arrancar.

Servios de Rede II (2012/13)

@
17

O DNS um servio essencial para o funcionamento da Active Directory


Usado para a traduo de nomes em endereos IP ... e tambm na traduo inversa traduo de IPs pelos nomes dos computadores respectivos Usado na localizao de servidores que alojam determinados servios Este um servio indispensvel para o normal e correto funcionamento da AD

Ver os contedos de SR1

@
18

Uma relao de confiana (trust relationship) uma ligao entre dois domnios a partir da qual permitido a um domnio autenticar-se no outro. Se nenhuma relao de confiana for criada, o domnio o limite para aceder a recursos de uma organizao.

@
19

Caractersticas
Mtodo de criao Manual ou explcito Automtico ou implcito

Transitividade
Se A confia em B e B confia em C ento A confia em C Pode ser restringido

Direco
Num sentido Em ambos os sentidos

@
20

Servios de Rede II (2012/13)

@
21

possvel criar uma relao de confiana externa para formar uma relao de confiana intransitiva, unidirecional ou bidirecional, com domnios que esto fora da sua floresta. As relaes de confiana externas, s vezes, so necessrias quando os utilizadores necessitam de aceder a recursos de um domnio do Windows NT 4.0 ou de um domnio localizado em uma floresta diferente, que no seja associada por uma relao de confiana da floresta

Servios de Rede II (2012/13)

@
22

Abra Domnios e Relaes de Confiana do Active Directory. Na rvore da console, clique com o boto direito do rato no n para o domnio com o qual deseja estabelecer uma relao de confiana e, em seguida, clique em Propriedades. Na guia Relaes de Confiana, clique em Nova Relao de Confiana e em Avanar. Na pgina Nome da Relao de Confiana, escreva o nome DNS (ou NetBIOS) do domnio em clique em Avanar. Na pgina Tipo de Relao de Confiana, clique em Relao de confiana externa e em Avanar. Na pgina Direo da Relao de Confiana, execute um destes procedimentos:
Para criar uma relao de confiana externa bidirecional, clique em Bidirecional.
Os utilizadores nesse domnio e no domnio especificado podero aceder aos recursos em qualquer um deles.

Para criar uma relao de confiana externa unidirecional, clique em Unidirecional: en


Os utilizadores do domnio especificado no podero aceder a nenhum recurso nesse domnio

Servios de Rede II (2012/13)

@
23

possvel estabelecer uma relao de confiana de realm entre qualquer sistema a correr Kerberos verso 5 (V5) no Windows e um domnio do Windows Server 2008 ou do Windows Server 2008 R2. Esta relao de confiana permite a interoperabilidade entre plataformas diferentes com servios de segurana baseados em outras verses do protocolo Kerberos V5, por exemplo, implementaes do UNIX.

Servios de Rede II (2012/13)

@
24

possvel criar uma relao de confiana entre duas diferentes florestas . Todos os controladores de domnio dentro da mesma floresta mantm uma relao de confiana transitive two-way com os outros controladores de domnio da mesma floresta. A criao dessa relao entre duas florestas fornece uma relao de confiana transitiva, unidirecional ou bidirecional, entre cada domnio que reside dentro de cada floresta. As relaes de confiana de floresta so teis para fornecedores de aplicaes, organizaes sob processo de fuso ou aquisio, extranets comerciais colaborativas e organizaes em busca de uma soluo para a autonomia administrativa.
Servios de Rede II (2012/13)

@
25

essencialmente uma explicita relao de confiana entre dois domnios da estrutura. utilizado para otimizar a performance quando precisamos de aceder a recursos entre domnios distintos ligados atravs de confianas transitivas

Servios de Rede II (2012/13)

@
26

Na rvore da console, clique com o boto direito do rato no domnio que contem a relao de confiana que deseja verificar e, em seguida, clique em Propriedades. Na guia Relaes de Confiana, em Domnios em que este domnio confia (relaes de confiana de sada) ou Domnios que confiam neste domnio (relaes de confiana de entrada), clique na relao de confiana a ser verificada e em Propriedades. Clique em Validar. Siga um destes procedimentos e clique em OK:
Clique em No validar a relao de confiana de entrada. Clique em Sim, validar a relao de confiana de entrada.

Servios de Rede II (2012/13)

@
27

Na rvore da console, clique com o boto direito do rato no domnio que tem a relao de confiana que quer remover e, em seguida, clique em Propriedades. Na guia Relaes de Confiana, em Domnios em que este domnio confia (relaes de confiana de sada) ou Domnios que confiam neste domnio (relaes de confiana de entrada), clique na relao de confiana a ser removida e em Remover. Siga um destes procedimentos e clique em OK:
Clique em No, remover apenas a relao de confiana do domnio local. Clique em Sim, remover a relao de confiana do domnio local e do outro domnio.

Servios de Rede II (2012/13)

@
28

A topologia dos sites da AD foram alterados para refletirem aos ambiente de rede existentes. Podemos considerar os trs seguintes casos:
RING Temos a replicao dos arquivos sendo feita de servidor a servidor de forma circular e bidirecional Mesmo que algum servidor fique fora, o acesso ao cliente continua sendo possvel e a replicao no sentido contrrio FULL MESH Todos os servidores replicam com todos. HUB and SPOKE Temos um servidor central que recebe as atualizaes de todos os outros

Servios de Rede II (2012/13)

@
29

Servios de Rede II (2012/13)

@
30

A empresa A uma produtora de vidro e tem uma fabrica e os escritrios central localizados na cidade de Leuven na Belgica. Tem ainda mais quatro mais pequenas fabricas em Marselha, Bruxelas, Amesterdo e Krakow. A empresa decidiu instalar o ws 2008 em todas as localizaes e considerar cada um deles como um DC.
Bruxelas
512
512

Amesterdo

Leuven

256

Marselha

128
Servios de Rede II (2012/13)

Krakow

@
31

Uma das hipteses de implementar a seguinte


512 512

Bruxelas

Amesterdo
256

Leuven
128

Marselha

Krakow

Servios de Rede II (2012/13)

@
32

O RODC um Domain Controller como qualquer outro do ambiente do domnio, porm o mesmo permite apenas a leitura dos objetos do Active Directory, no efetuando aes de escrita de objetos (criao / excluso / alterao).

Servios de Rede II (2012/13)

@
33

Servios de Rede II (2012/13)

@
34

Servios de Rede II (2012/13)

@
35

Servios de Rede II (2012/13)

@
36

Servios de Rede II (2012/13)

@
37

Conjunto de configuraes que podem ser aplicadas a computadores, sites, domnios e unidades de organizao para especificar
comportamentos permitidos para os utilizadores restries na utilizao de recursos aces a serem realizadas automaticamente

Para criar estas configuraes necessrio:


criar Group Policy Objects (GPO) aplic-los aos grupos de objectos pretendidos

@
38

Podem existir vrias polticas a actuarem sobre um mesmo objecto Ordem de aplicao das GPO:
Computador local Site - O mais alto nvel. Todas as configuraes feitas sero aplicadas a todos os utilizadores/computadores/domnios nesse site. Domnio - o segundo nvel. Configuraes feitas aqui afetaro todos os utilizadores/computadores dentro do domnio. Unidade de Organizao s afeta os recursos que fazem parte dela

@
39

GPO1 Acesso ao Painel de Controlo Disabled GPO2 Acesso ao Painel de Controlo Enabled GPO3 Acesso ao Painel de Controlo Disabled GPO4 Acesso ao Painel de Controlo Enabled A ultima GPO aplicada foi a GPO4 por isso ela tem preferncia ou como alguns gostam de falar A GPO4 Ganha e o utilizador fica assim com acesso ao painel de controlo.
Servios de Rede II (2012/13)

@
40

Pode bloquear a herana entre GPO, marcando a opo Block Inheritance sobre a Unidade Organizacional onde no se deseja aplicar diretivas herdadas.

Pode tambm forar a aplicao de uma diretiva, de modo que ela ter precedncia sobre todas as outras. Para isso marque a opo Enforce sobre a GPO.

Servios de Rede II (2012/13)

@
41

Existem polticas de grupo


Locais Afectam apenas o computador local No Locais Criadas na Active Directory e atribudas
a sites
Todos os computadores do site independentemente do seu domnio

a domnios
Todos os objectos do domnio

A unidades de organizao
Todos os objectos presentes na OU

Por omisso encontram-se definidas


Default Domain Policy Default Domain Controllers Policy

@
42

Configuraes
Computador Configuraes que afectam os computadores independentemente de quem se autentica Utilizador Configuraes que afectam os utilizadores independentemente do computador em que se autenticam

RSoP (Resultant Set of Policy)


De modo a facilitar a verificao das polticas que esto a ser atribudas a determinados objectos, possvel pedir ao SO o resultado do somatrio de todas as polticas que esto a ser aplicadas

@
43

A ferramenta para trabalhar a gesto da politica de grupo (GPO) o Snap-in Group Policy Management.

Servios de Rede II (2012/13)

@
44

No Group Policy Management clique com o lado direito em Group Policy Object e selecione New

Pode criar as GPOs no n Group Policy Objects e depois vincula-las ou pode criar uma GPO j vinculando a uma OU ou domnio.

Servios de Rede II (2012/13)

@
45

Aps vincular uma GPO pode criar filtros de utilizadores ou grupos implicando assim que as regras definidas somente sero aplicadas aos objetos de rede que deseja. Por defeito recebem as politicas os utilizadores de domnio.

Servios de Rede II (2012/13)

@
46

O WMI disponibiliza informaes sobre o computador destino. Essas informaes podem ser dados de hardware e software, configuraes e informaes de configurao

Servios de Rede II (2012/13)

@
47

Depois de criar e vincular uma GPO necessrio trabalhar na sua configurao. Para isso selecionar Edit para escolher quais politicas a serem definidas.

Servios de Rede II (2012/13)

@
48

Computer Configuration
Policies Software Settings > Usado para instalao de software Windows Settings > Configurao de Scripts, Segurana (senhas, auditoria), firewall, NAP, restrio de aplicaes. Administrative Templates > So definies de configurao de registro. Nas verses anteriores ao vista a extenso era ADM, hoje ADMX (bem menor tambm). Pode obter modelos administrativos no Microsoft Download Center, por exemplo, para configurar o Office. Preferences > Recurso novo no Windows Server 2008. Windows Settings Control Panel Settings

Servios de Rede II (2012/13)

@
49

User Configuration
Policies Software Settings > Usado para instalao de software Windows Settings > Configurao de Scripts de logon/Logoff, restrio de aplicaess. Redirecionamento de pastas, Configurao do IE. Administrative Templates > Assim como para computador so definies de configurao de registro. Preferences > Recurso novo no Windows Server 2008. Windows Settings Control Panel Settings

Servios de Rede II (2012/13)

@
50

Servios de Rede II (2012/13)

@
51

Aqui pode fazer o download das diferentes diretivas existentes: http://www.microsoft.com/enus/download/details.aspx?id=25250 Pode por exemplo:
Bloquear as portas USB Esconder o disco c: No permitir ao utilizador que aceda ao Painel de Controlo No permitir que o utilizador faa instalao de software Etc

Servios de Rede II (2012/13)

@
52

Mapear uma drive


User Configuration\Preferences\Windows Settings Clique com o boto direito em Drive Maps e New Mapped Drive Action Update Label as: o caminho do mapeamento Marque Reconnect Existing selecione a letra do mapeamento

Impedir a instalao de programas


User Configuration\Policies\Administrative Templates\Control Panel Pode escolher as opes abaixo: Hide the Add a program from CD-ROM or floppy disk option (habilita ou desabilita a instalao de programas via cd-rom ou floppy) Hide the Add programs from Microsoft option (habilita ou desabilita a instalao de programas via Microsoft) Hide the Add programs from your network option (habilita ou desabilita a instalao de programas via rede)

Servios de Rede II (2012/13)

@
53

O Windows Server 2008 (R2) tem uma nova pasta chamada Starter GPO dentro do Group Policy Management Console (gpmc.msc). Aqui podemos criar e guardar modelos de Group Policies que podem ser usadas como base para novas GPOs.

Servios de Rede II (2012/13)

@
54

Pode-se usar a entrada Software Installation das GPO definidas para disponibilizar packages de software a ser instalado em computadores ou para determinados utilizadores A instalao fica disponvel no Control Panel + Add or Remove Programs Mtodos
Published No obrigatrio Assigned Obrigatrio Advanced

@
55

Servios de Rede II (2012/13)

@
56

Windows server 2008 R2 Unleashed, Randy Morimoto et al, 2010 SAMS. http://technet.microsoft.com/pt http://technet.microsoft.com/ptbr/library/cc730798(v=ws.10).aspx http://www.projetoderedes.com.br/blog/downloads/ http://www.jorgebarata.eti.br/saiba-como-usar-o-starter-gpono-windows-server-2008-pt-br/ http://blogs.technet.com/b/grouppolicy/

Servios de Rede II (2012/13)

@
57