Escolar Documentos
Profissional Documentos
Cultura Documentos
70-640 - Windows Server 2008 Active Directory, Configuring
70-640 - Windows Server 2008 Active Directory, Configuring
O que so domnios ? Os domnios, principais unidades funcionais da estrutura lgica do Active Directory. Os domnios tm trs principais funes: 1. Fornecer um limite administrativo para objetos 2. Permitir um gerenciamento seguro aos recursos 3. Proporcionar uma unidade de replicao para objetos
Objetos do domnio.
Usurios
Grupos
Computadores
Impressoras
Pastas Compartilhadas
Unidades Organizacionais
Banco de dados do Active Directory No banco de dados do AD ficam armazenados objetos do domnio. O computador que possui o banco de dados do Active Directory o Controlador de Domnio. O nome do banco de dados do Active Directory NTDS.DIT e ficam armazenado por padro na pasta %SYSTEMROOT%\NTDS
1 - Administrative Tools > ServerManager > Roles > Add Roles > Selecione o Active Directory Domain Services.(em seguida execute o comando DCPROMO) 2 - Atravs do comando Servermanagercmd.exe I ADDS-Domain-Controller. (em seguida execute o comando DCPROMO).
3 - Atravs do comando: DCPROMO. (uma nica vez)
rvore de domnios. Os domnios so agrupados em estruturas hierrquicas so chamados rvores de domnios. Floresta. Uma floresta uma instncia completa do Active Directory Domain Services, que consiste em uma ou mais rvores.
Floresta
rvore
Nveis funcionais Operaes em nveis funcionais so irreversveis. Existem 3 nveis funcionais de domnio: Windows 2000 native Windows Server 2003 Windows Server 2008 E 3 nveis funcionais de floresta Windows 2000 Windows Server 2003 Windows Server 2008 Aumentar nvel funcional do domnio: Active Directory Users And Computers Aumentar nvel funcional da floresta Active Directory Domains and trusts Nvel funcional Windows Server 2003 aceita DC com Windows Server 2003 ou superior e assim por diante. Read Only Domain Controller Read Only Domain Controller (RODC) um Controlador de domnio adicional somente leitura. Para instalar um RODC necessrio o nvel funcional da floresta Windows Server 2003 ou superior. Por padro o RODC no armazena senhas de contas de usurio. Voc deve popular a cache manualmente. Password Replication Policy (PRP) permite definir quais usurios tero sua senha armazenada em cache.
Ferramentas de Gerenciamento
Active Directory Domains and Trusts - Usado para gerenciar relaes de confiana de florestas e domnios, acrescentar sufixos ao nome principal do usurio e alterar os nveis funcionais de florestas e domnios
Active Directory Sites and Services Utilizado para criar e gerenciar os servios ,sites e a replicao de dados do diretrio. Active Directory Users and Computers - Um MMC (Microsoft Management Console) usado para gerenciar e publicar informaes no Active Directory. Voc pode gerenciar contas de usurio, grupos, contas de computadores, acrescentar computadores a um domnio.
ADSI Edit (Active Directory Service Interfaces Editor) Um editor LDAP (Lightweight Directory Access Protocol ) que permite gerenciar objetos e atributos no Active Directory. LDP Permite a conexo com o banco de dados do AD ou uma instancia LDS a fim de consultar, editar ou pesquisas dados do diretrio.
Nomes distintos Nomes distintos identificam o domnio de um objeto e o caminho para encontr-lo. CN=Felipe Donda,OU=Diretoria,DC=mcpbrasil,DC=com
Nome principal do usurio (UPN) O nome principal de usurio (UPN) identifica o usurio de determinado domnio: donda@mcpbrasil.com
Sub-rede IP
Sub-rede IP
Site SP
Site RJ No AD DS, um objeto de site representa os aspectos do site fsico a fim de gerenciar a replicao dos dados do diretrio entre os controladores de domnio Replicao consiste no processo de atualizar informaes no Active Directory de um controlador de domnio para outros controladores de domnio em uma rede Os objetos de sites e os objetos associados a eles so replicados em todos os controladores de domnio na floresta. possvel gerenciar os objetos utilizando a ferramenta Active Directory Sites and Services. KCC (knowledge consistency checker) O KCC knowledge consistency checker um processo interno executado em cada controlador de domnio que gera a topologia de replicao para todas as parties de diretrio contidas no controlador de domnio. IFM (Install from Media) O recurso IFM permite instalar um controlador de domnio adicional a partir da media de backup. A utilizao de IFM reduz a quantidade de dados replicados. O ADDS deve estar iniciado para executar esta operao.
Dsget Exibe informaes sobre objetos no Diretrio Exemplo: Trazer nome de todos usurios da ou=TI dsquery "ou=TI,dc=mcpbrasil,dc=com" | get user -fn
Ferramentas de Importao e exportao CSVDE Importa e Exporta objetos do diretrio utilizando arquivos .CSV (Separado por virgula) Exemplo para importar: csvde i f usuarios.csv Exemplo para exportar usurios da ou TI csvde -d "ou=TI,DC=mcpbrasil,dc=com f usuarios.csv -r objectClass=user LDIFDE - Importa e Exporta objetos do diretrio utilizando arquivos .LDF Exemplo para importar: ldifde i f usuarios.ldf Exemplo para exportar computadores ldifde f usuarios.ldf -r (objectclass=computer)"
IFM (Install from Media) Para criar uma media para criao de um domain controller adicional escolha entre as opes: create full %s Cria uma mdia IFM completa para o ADDC ou AD/LDS. create rodc %s Cria uma mdia IFM para um ReadOnly DC create Sysvol full %s Cria uma mdia IFM com o SYSVOL para um ADDC. create Sysvol RODC %s Cria uma mdia IFM com o SYSVOL para um RODC. Exemplo: No prompt de comando digite:
Parties do AD
Para editar o schema necessrio registrar a dll schmmgmt.dll e ser pelo menos do grupo schema admins Iniciar -> executar -> Regsvr32 schmmgmt.dll Use o Snap-In Active Directory Schema para editar o schema. Catalogo Global Localiza objetos - Uma solicitao de pesquisa ser encaminhada porta 3268 do catlogo global . Fornece a autenticao do nome principal do usurio. Um servidor de catlogo global resolve o nome principal do usurio (UPN) quando o controlador de domnio da autenticao desconhece a conta de usurio.
Valida as referncias de objeto em uma floresta. Os controladores de domnio usam o catlogo global para validar as referncias a objetos de outros domnios na floresta.
Fornece informaes sobre a associao ao grupo universal em um ambiente de vrios domnios. O controlador de domnio tambm pode descobrir associaes de um usurio ao grupo local do domnio e ao grupo global e a associao a esses grupos no ser replicada no catlogo global. Se um servidor de catlogo global no estiver disponvel quando um usurio efetuar logon em um domnio em que os grupos universais esto disponveis, o computador cliente do usurio poder usar as credenciais armazenadas em cache para fazer logon . O administrador do domnio (conta Administradores internos) pode sempre efetuar logon no domnio, mesmo quando um servidor de catlogo global no estiver disponvel.
Schema Esquema (Schema). Possui dois tipos de definies: classes e atributos de objetos. As classes de objetos so modelos ou plantas dos objetos que podem ser criados no Active Directory. Atributos definem os possveis valores a serem associados a uma classe de objeto.
Objetos de Sites Sites - Os objetos de sites so localizados no continer de sites. Em todos os sites, h um objeto de Configuraes de Site NTDS. Esse objeto identifica o Intersite Topology Generator (ISTG). Sub-redes - Os objetos da sub-rede identificam os intervalos dos endereos IP em um site. Servidores - Os objetos de servidor so criados automaticamente quando voc adiciona a funo de servidor Active Directory Domain Services Configuraes NTDS - Todo objeto de servidor contm um objeto de Configuraes NTDS, que representa o controlador de domnio no sistema de replicao. Tambm possvel Habilitar ou desabilitar o catlogo global em um servidor atravs do NTDS Settings. Conexes - Os parceiros da replicao dos servidores de um site so identificados pelos objetos de conexo. A replicao ocorre em uma direo. Links de sites - Os links de site representam o fluxo da replicao entre os sites. Representa a conexo fsica de longa distncia (WAN) entre dois ou mais sites Transportes IP e SMTP entre sites - A replicao usa a chamada de procedimento remoto (RPC) no transporte IP ou SMTP Trusts Relaes de confiana podem ser unidirecionais ou bidirecionais.
Trusts Domnios filhos possuem uma relao de confiana automtica transitiva e bidirecional com o domnio pai. Tipos de relaes de confiana: Forest trust Permite Autenticao seletiva ou domain Wide Shortcut trusts Acelera o processo de autenticao. Realm trust No para rede Windows. External trust No transitivo
Forest Trust Na autenticao seletiva necessrio definir a permisso Allowed to Authenticate ao grupo ou ao usurio confivel para o mesmo possa ser autenticado no domnio confiante.
FSMO (Flexible Single Masters Operations) Existem 5 funes masters: Duas nicas na floresta; Schema Master Domain Naming Masters Trs nicas em um domnio; PDC Emulator RID Master Infrastructure Master Schema Master Necessrio para updates do Schema. Domain Naming Masters Necessrios para incluso/ Alterao e Excluso de novos domnios RID Master Emite uma lista de tickets com SID + GUID para criao de objetos de segurana. Infrastructure rastreia participao em grupos de outros domnios. PDC Emulator Controla o tempo, o servio Master Browse, Conflitos de GPO.
A C
Use o MMC para transferir roles e use NTDSUtil para apoderar-se (seize) de um funo.
C confia em A
Restartable AD DS possvel parar e iniciar o servio do Active Directory tanto pela ferramenta services parando o servio Active Directory Domain Services como pelo comando net. Net stop NTDS Backup do AD DS Para fazer o Backup do Active Directory, instale o feature Windows Server Backup e regularmente efetue backup do System State utilizando a ferramenta grfica ou digite a seguinte linha de comando: wbadmin start systemstatebackup backuptarget:d: Restaurao do AD Restaurao no-autoritativa do AD DS Uma restaurao no-autoritativa retorna o servio de diretrio ao estado que tinha no momento da criao do backup. Depois de concluda a operao de restaurao, a replicao do AD DS atualiza o controlador de domnio , aplicando as alteraes feitas desde o momento da criao do backup.
GPOs podem ser aplicados ao computador local, sites, domnios e unidades organizacionais. Nesta ordem, tendo precedncia a ultima a ser aplicada caso exista conflito. Do contrario as polticas so acumulativas.
Block Inheritance Opo que pode ser aplicado a um domnio ou OU e faz com que as polticas no sejam herdadas. (Bloqueio de herana). Enforced - Opo que fora a aplicao da poltica. (Mesmo quando a opo Block inheritance esteja marcada. Starter GPOs Starter GPOs so modelos de objetos de polticas de grupo que podem ser criados, armazenados e utilizados. Ao criar uma nova poltica possvel tomar por base um modelo existente em Starter GPOs. Item-Level targeting possvel definir um alvo especifico utilizando mais de 29 combinaes de colees com lgica boolena (And, Or, Not). Alm de muitos itens intuitivos de modo que a poltica s se aplica a usurios e computadores especficos. Como utilizar o Item-Level targeting 1) Edite a poltica desejada. 2) Em preferences selecione o item desejado. 3) Defina a poltica conforme sua necessidade. 4) Clique e Common e selecione Item-Level targeting para criar o seu filtro.
Restaurao autoritativa fornece um mtodo de recuperao de objetos e contineres que tenham sido excludos do AD DS. 1.Restaure o backup desejado que, geralmente, o mais recente. wbadmin start systemstaterecovery verso backuptarget:d:
2.Inicie o controlador de domnio no DSRM (Directory Services Restore Mode). 3.Use Ntdsutil.exe para marcar os objetos desejados, contineres ou parties como autoritativos. Exemplo: ntdsutil Activate Instance NTDS Authoritative Restore Restore Object cn=nomedouser, dc=mcsesolution, dc=lab 4.Reinicie no modo normal para propagar as alteraes
Pode ser usado o AutoEnroll (inscrio automatica) de certificados via GPO . Network Device Enrollment Services (NDES) podem emitir certificados para os switches de rede e roteadores
Microsoft Simple Certification Enrollment Protocol (MSCEP) usado para permitir que os roteadores e outros dispositivos de rede para obter certificados de uma CA Certificate Templates -Version 3 somente vista e Server 2008 -Version 2 Server 2003, Server 2008, XP, e Vista. DNS Forward Lookup Zone - Mapeamento de nome para IP Reverse Lookup Zone - Mapeamento de IP para nome. Zona de pesquisa - Armazena Registros de recursos da zona (nome de domnio).