Você está na página 1de 46

Oi pessoal, como vocês estão?

Eu estou bem, fiquei muito feliz com todos os emails que eu recebi, e queria agradecer a
todo mundo que mandou os parabéns!!! =o)
Bom pessoal, hoje vamos continuar falando sobre Active Directory. Na semana passada
criamos o nosso domínio, mas antes que a gente comece a se aprofundar nesse assunto,
temos que entender os conceitos do AD, do que ele é composto e como ele funciona!
Então vamos lá! Como falamos na semana passada, o AD é um serviço de diretório na
nossa rede Windows 2003 (Lembrando, um serviço de diretório é um conjunto de
informações sobre os recursos e serviços que existem em nossa rede). Ele armazena
dados sobre contas de usuários, grupos, computadores e recursos e disponibiliza essas
informações para usuários e também para aplicativos. Ele pode armazenar um grande
número de informações, sendo totalmente escalonável (pode começar com um pequeno
número de objetos e crescer de acordo com nossa necessidade).
Mas para que realmente eu vou usá-lo?
Imagine que na sua empresa você tem cerca de 250 máquinas e cerca de 500 funcionários
que trabalham em dois turnos diferentes, ou seja cada máquina é utilizada por no mínimo
dois usuários. Como você não dispõe do Active Directory ainda, você terá que criar em
cada máquina no mínimo 2 contas de usuário locais. OK OK, ainda é viável. Mas e se
você tiver que instalar o Office 2003, configurar o internet explorer, aplicar uma série de
politicas de segurança e mapear drives na rede para cada usuário? Agora ficou
praticamente inviável. Calma, calma, eu sei que isso até poderia ser feito, mas pergunto a
vocês, valeria realmente a pena? Ter todo o gerenciamento dos recursos de uma maneira
tão descentralizada? Imagine o seu pesadelo toda vez que um usuário esquecesse a
senha... Você teria que ir até o computador dele e resetar a senha dele. É muita perda de
tempo para tão pouco resultado. O Active Directory é justamente a solução para todos
esses problemas! Como ele armazena os nossos recursos centralmente, todas as contas de
usuários poderiam ser armazenadas em um só local! E poderiamos gerenciar também as
contas a partir desse local. Configurar tudo o que precisamos para os nosso usuários,
controlar o que os usuários podem acessar, instalar todos os softwares que eles precisam,
tudo a partir desse mesmo local. Fantástico não é? Sim, mas vamos com calma, que vocês
vão se surpreender ainda mais!
O que compõe o Active Directory?
O diretório do Active Directory é composto por Objetos.
Um objeto representa qualquer recurso que possuimos na rede. Uma conta de usuário que
existe no Active Directory é um objeto, um grupo é um objeto, até uma impressora pode
ser um objeto para o AD.
Os dados que existem no diretório são armazenados em um arquivo chamado Ntds.dit,
que é a base de dados do AD.
Tudo o que criarmos no Active Directory é armazenado nessa base de dados. Quando
dizemos que o Active Directory nos permite gerenciar os nosso recursos de maneira
centralizada, estamos dizendo que como tudo está localizado em um só local, só
precisamos ir até esse local para fazer o que precisamos.
Objetos:
Quando criamos um objetos no AD, por exemplo uma conta de usuário, a mesma possui
certas propriedades, como por exemplo seu nome, seu nome de logon, telefone, endereço,
entre outras.
Essas propriedades são o que chamamos de atributos dos objetos. Os principais tipos de
objetos que o Active Directory no Windows 2003 nos disponibiliza são:

- Contas de usuários
- Grupos
- Contas de computadores
- Pastas Compartilhadas
- Impressoras
- Contatos
Domínios:
O Active Directory é composto por domínios. Um domínio é uma unidade administrativa
do Active Directory, que irá armazenar seus objetos. Por exemplo, nossa empresa
(empresa1) tem a matriz localizada em São Paulo, com cerca de 180 funcionários.
Poderiamos criar um domínio para são Paulo (empresa1.com.br) e a base de dados do AD
desse domínio conteria os objetos que pertecem a São Paulo, como por exemplo as contas
de usuário dos funcionários, os computadores dos funcionários, e as politicas de
segurança relacionas à São Paulo.
Quem cuidaria de tudo isso seria o Administrador de domínio de são Paulo, que poderia
ser o nosso analista de São Paulo.
Mas e se você tivesse uma outra empresa localizada em Fortaleza, por exemplo a
"empresa2"? OK, você poderia criar um outro domínio para sua empresa de
Forteza(empresa2.com.br), que conteria os objetos de Fortaleza, por exemplo as contas
de usuários dos seus funcionários de Fortaleza, e esses objetos seriam administrados por
uma outra pessoa, que nada tem a ver com o nosso analista de São Paulo.
Muito simples, não é? Mas aqui já conseguimos ver dois conceitos fundamentais do
Active Directory. Vimos que um domínio realmente pode ser uma unidade administrativa
e que pode ser administrada de maneira centralizada. (Lembre-se quando eu falei que o
administrador de São Paulo cuidaria de todos os objetos de São Paulo). E vimos também
que os objetos de um domínio são específicos daquele domínio, ou seja no nosso
exemplo as contas de usuários de São Paulo são armazenadas no domínio
"empresa1.com.br", enquanto as de Fortaleza são armazenada lá (no domínio
"empresa2.com.br"). Fortaleza não precisa nem saber da existência dos objetos de São
Paulo pois temos duas empresas completamente distintas e vice-versa.
Domain Controllers:
Mas qualquer Servidor Windows 2003 pode ter o AD instalado? Basicamente sim, nas
versões Standard Edition, Enterprise Edition e Datacenter Edition. A versão web Edition
não pode ser configurada como domain controller.
Quando estamos instalando o AD em um servidor Windows 2003, somos requisitados a
fornecer um nome para o nosso domínio.
Então chegamos a uma grande conclusão: Quando estamos instalando o Ad é que
criamos o nosso domínio. Não é possível criar um domínio antes e depois instalar o AD
no nosso servidor. Esse processo ocorre junto, no momento que estamos instalando o AD.
E o nome que você irá colocar? Bom esse nome será o nome de seu domínio. Por
exemplo, na nossa "Empresa1" , poderíamos criar o seu domínio como o nome de
"empresa1.com.br" (ainda mais no caso da empresa ter presença na internet, vocês verão
quão útil será criar o nome de seu domínio Windows 2003 com o nome de seu domínio
na internet.). Mas você também poderia criar o seu domínio com qualquer outro nome,
como por exemplo "empresa1", "leticia.empresa1" ou "sp.empresa1.com.br", qualquer
nome que você deseja.
DICA!
No Windows 2003 é possível modificar o nome de seu domínio depois que ele já tenha
sido criado, algo que não podíamos fazer com o Windows 2000.
Se o o nome do nosso servidor Windows 2003 fosse "servidor1", depois que ele fosse
promivod a domain controller, seu nome seria :"servidor1.empresa1.com.br", pois ele é
um domain controller do domínio "empresa1.com.br".
DICA!
No Windows 2003 é possível modificar o nome de seu domain controller depois que ele
já tenha sido promovido, algo que também não podíamos fazer no Windows 2000.
Árvores:
A definição de uma árvore é "um arranjamento hierárquivo de domínios". Quando
criamos o nosso domínio, criamos também um árvore. O nome de nossa árvore será o
mesmo nome que configuramos para o nosso domínio. Então o nome de nossa árvore
será "empresa1.com.br". Mas para que serve tudo isso? Suponhamos que na nossa
empresa, existe uma filial ou um outro departamento que necessita configurações
totalmente diferentes do nosso primeiro domínio. Então poderiamos criar um outro
domínio para nosso departamento. Mas os objetos utilizados pelos dois domínios não
serão comuns? Quem irá gerenciar os dois domínios provavelmente será o mesmo
administrador? Se a resposta for sim para qualquer uma das perguntas, provavelmente o
que precisamos não é de somente um novo domínio mas sim de um novo "Subdomínio".
Um subdomínio é um domínio que está abaixo de outro domínio na hierarquia da árvore.
(usamos também o termo "child domain" para o subdomínio). Então se departamento
"depto1" fosse o nosso departamento que precisa de um subdomínio, poderiamos criar o
subdomínio "depto1.empresa1.com.br". Para isso, usariamos um servidor (por exemplo o
"servidor2") do departamento "depto1" e promoveriamos ele a domain controller, criando
o domínio "depto1.empresa1.com.br". Só que agora, a instalação seria diferente. Ao invés
de criar uma nova árvore (como tinhamos feito) vamos criar um "subdomínio para uma
árvore já existente". O nome do nosso domain controller ficaria:
"servidor2.depto1.empresa1.com.br". Porém também temos nossa outra empresa, a
"empresa2". Não poderiamos colocar seu domínio na mesma árvore que a empresa1, pois
as empresas possuem nomes distintos. Então a solução para nosso problema seria criar
uma nova árvore para a empresa2 na nossa floresta. Pegariamos um servidor Windows
2003 na "empresa2" e promoveriamos ele a domain controller e configurariamos o nosso
domínio como um nova árvore na floresta "empresa1.com.br". Depois de todas as
configurações feitas, a nossa estrutura ficaria assim:

Florestas:
Uma floresta Windows 2003 é composta de por uma ou mais árvores de domínios
Windows 2003 que não compartilham um namespace comum. Um floresta é o limite
mais externo do Active Directory. No nosso caso, temos uma árvore e dois domínios,
todos participando da mesma floresta. Mas para ter uma floresta eu preciso de pelo
menos uma árvore e um domínio certo? Sim!
E quando a floresta é criada? Ela é criada quando criamos o nosso primeiro domínio.
Quando pegamos o nosso servidor "Servidor1" e o promovemos a domain controller,
criamos o domínio "empresa1.com.br" e ao mesmo tempo também criamos a árvore
"empresa1.com.br" e a floresta "empresa1.com.br". O nome da floresta é o nome do
primeiro domínio criado, o qual também chamamos de "forest root domain".
Organizational Units:
Para podermos entender a utilização de Organizational Units, vamos pensar em um
exemplo simples: você tem os seus arquivos, o qual você coloca em pastas para organizá-
los melhor, certo? Você pderia colocá-los direto na raiz de sua unidade? (por exemplo,
colocar todos os seus aruivos direto em C:) Sim, poderia. Isso iria funcionar? Sim, iria
funcionar. Mas isso seria funcional? Com certeza não. Tudo bem, você saberia onde estão
seus arquivos, mas e até você encontrar o que você precisa? Levaria muito mais tempo
dessa maneira do que se eles estivesse organizados em pastas específicas. A idéia de
Organizational Units, ou como são mais conhecidas "OUs", é termos pastas para poder
organizar melhor os objetos do domínio, poder aplicar configurações de segurança e
delegar autoridade administrativa. Por exemplo, se na nossa empresa tivessemos cinco
departamentos com mais ou menos 70 funcionários em cada um deles. Poderiamos
colocar todas as contas de usuários, grupos, impressoras, e computadores diretamente no
domínio. Mas e se precissásemos aplicar um politica de segurança só para os funcionários
do departamento de vendas? Teriamos de aplicar a configuração no domínio e ela
sobrecairia em todos os objetos do domínio, o que não era o desejado. Mas poderiamos
criar uma OU para o departamento vendas, colocar todos os objetos respectivos ao
departamento vendas na OU e aplicar a politica de segurança na OU, o que nada afetaria
os outros objetos do nosso domínio. Além disso, mesmo que não fosse necessário aplicar
politicas de segurança específicas para os outros departamentos, poderiamos criar uma
OU para cada departamento e colocar os objetos específicos nas OUs. Para visualizarmos
as OU que existem em nosso domínio, utilizamos a feramente "Active Directory Users
and Computers" que fica na pasta "Administrative Tools".

Bom pessoal, por hoje é só! Semana que vem, vamos ver mais algumas outras
configurações relacionadas ao AD e começar a colocar a mão na massa!
Um beijo a todos.

Neste artigo, apresento e explico conceitos teóricos sobre os diversos elementos que
compõem o Active Directory. Desta forma, podemos ter uma visão ampla e completa do
que é exatamente o Active Directory.
O Active Directory é o serviço de diretórios do Windows Server 2003. Um Serviço de
Diretório é um serviço de rede, o qual identifica todos os recursos disponíveis em uma
rede, mantendo informações sobre estes dispositivos (contas de usuários, grupos,
computadores, recursos, políticas de segurança etc.) em um banco de dados e torna estes
recursos disponíveis para usuários e aplicações.
Afinal, o que é Diretório? Um diretório nada mais é do que um cadastro ou, melhor
ainda, um banco de dados com informações sobre usuários, senhas e outros elementos
necessários ao funcionamento de um sistema, quer seja um conjunto de aplicações no
Mainframe, um grupo de servidores da rede local, o sistema de e-mail ou outro sistema
qualquer.
Imagine uma empresa onde o usuário, para realizar o seu trabalho diário, tem que acessar
aplicações e serviços em diferentes plataformas e modelos: No Mainframe, em aplicações
cliente/servidor, sistemas de e-mail, intranet da empresa e além desta variedade de
aplicações, você também precisa de acesso aos recursos básicos da rede, tais como pastas
e impressoras compartilhadas.
Para piorar um pouco a situação, a senha do Mainframe expira, por exemplo, a cada 30
dias e não pode repetir as últimas 5 senhas. A da rede expira a cada 60 dias e não pode
repetir as últimas 13. A do e-mail expira a cada 45 dias e ele não pode repetir as últimas
10. O que tem a ver este monte de senha com o conceito de Diretório? Tem muito a ver.
Observe que em cada ambiente existe um banco de dados para cadastro do nome de
usuário, senha e outras informações, como por exemplo seção, matrícula e assim por
diante. Este banco de dados, com informações sobre usuários da rede, é um exemplo
típico de diretório.
A proposta da Microsoft é que, aos poucos, as aplicações sejam integradas com o Active
Directory. O que seria uma aplicação integrada com o Active Directory? Seria uma
aplicação que, ao invés de ter o seu próprio cadastros de usuários, senhas e grupos (seu
próprio diretório), fosse capaz de acessar as contas e grupos do Active Directory e
atribuir as permissões de acesso diretamente às contas e grupos do Active Directory. Por
exemplo, vamos supor que você utilize o Exchange 2003 como servidor de e-mail. Este é
um exemplo de aplicação que já é integrada com o Active Directory. Ao instalar o
Exchange 2003, este é capaz de acessar a base de usuários do Active Directory e você
pode criar contas de e-mail para os usuários do Active Directory.
Chegará o dia do logon único, quando todas as aplicações forem ou diretamente
integradas com o Active Directory, ou capazes de acessar a base de usuários do Active
Directory e atribuir permissões de acesso aos usuários e grupos do Active Directory.
Domínio
O conjunto de servidores, estações de trabalho, bem como as informações do diretório, é
que formam uma unidade conhecida como Domínio. Todos os servidores que contém
uma cópia da base de dados do Active Directory fazem parte do domínio.
Um domínio pode também ser definido como um limite administrativo e de segurança.
Ele é um limite administrativo, pois as contas de Administrador têm permissões de acesso
em todos os recursos do domínio, mas não em recursos de outros domínios. Ele é um
limite de segurança porque cada domínio tem definições de políticas de segurança que se
aplicam às contas de usuários e demais recursos dentro do domínio e não a outros
domínios. Um domínio baseado no Active Directory e no Windows Server 2003 é
possível ter dois tipos de servidores Windows Server 2003:
. Controladores de Domínio (DC – Domain Controlers)
. Servidores Membro (Member Servers)
Um Domínio é simplesmente um agrupamento lógico de contas e recursos, os quais
compartilham políticas de segurança.
A criação de conta de usuários, grupos de usuários e outros elementos do Active
Directory, bem como alterações nas contas de usuários, nas políticas de segurança e em
outros elementos do Active Directory, podem ser feitas em qualquer um dos
Controladores de Domínios. Uma alteração feita em um DC será automaticamente
repassada (o termo técnico é “replicada”) para os demais Controladores de Domínio. Por
isso que o Domínio transmite a idéia de um agrupamento lógico de Contas de usuários e
grupos, bem como de políticas de segurança, uma vez que todo o Domínio compartilha a
mesma lista de usuários, grupos e políticas de segurança.
Nos Servidores Membros podem ser criadas contas de usuários e grupos, as quais
somente serão validas no Servidor Membro onde foram criadas. Embora isso seja
tecnicamente possível, essa é uma prática não recomendada,uma vez que isso dificulta
enormemente a administração de um Domínio.
Os DCs compartilham uma lista de usuários, grupos e políticas de segurança e também
são responsáveis por fazer a autenticação dos usuários na rede, já os servidores membros
não possuem uma cópia da lista de usuário e grupos, estes não efetuam a autenticação dos
clientes e também não armazenam informações sobre as políticas de segurança para o
Domínio – as quais também são conhecidas por GPO – Group Policies Objects.
Os recursos de segurança são integrados com o Active Directory através do mecanismo
de logon e autenticação. Todo usuário tem que fazer o logon (informar o seu nome de
usuário e senha), para ter acesso aos recursos da rede. Durante o logon, o Active
Directory verifica se as informações fornecidas pelo usuário estão corretas e então libera
o acesso aos recursos para os quais o usuário tem permissão de acesso.
Os recursos disponíveis através do Active Directory, são organizados de uma maneira
hierárquica, através do uso de Domínios. Uma rede na qual o Active Directory está
instalado pode ser formada por um ou mais domínios. Como a utilização do Active
Directory, um usuário somente precisa estar cadastrado em um único Domínio, sendo que
este usuário pode receber permissões para acessar recursos de qualquer um dos
Domínios.
A utilização do Active Directory simplifica em muito a administração, pois fornece um
local centralizado, através do qual os recursos da rede podem ser administrados.
O Active Directory utiliza o DNS (Domain Name System) como serviço de nomeação de
servidores e recursos e de resolução de nomes. Por isso, um dos pré-requisitos para que o
Active Directory possa ser instalado e funcionar perfeitamente é que o DNS deve estar
instalado e corretamente configurado.
Um usuário cadastrado em um Domínio pode receber permissões para acessar recursos de
outros Domínios, o Windows Server 2003 cria e mantém relação de confiança entre os
diversos Domínios. As relações de confiança são bidirecionais e transitivas.
Todo Domínio possui as seguintes características:
. Todos os Objetos de uma rede (contas de usuários, grupos, impressoras, políticas de
segurança, etc.) fazem parte de um único domínio. Cada domínio somente armazena
informações sobre os objetos do próprio domínio.
. Cada domínio possui suas próprias políticas de segurança.
Árvore de Domínios
Uma árvore nada mais é do que um agrupamento ou arranjo hierárquico de um ou mais
domínios do Windows Server 2003, os quais ”compartilham um espaço de nome”.
Unidades Organizacionais
Uma Unidade Organizacional é uma divisão que pode ser utilizada para organizar os
objetos de um determinado domínio em um agrupamento lógico para efeitos de
administração. Isso resolve uma série de problemas que existiam em redes baseadas no
NT Server 4.0. Com a utilização de unidades organizacionais, é possivel restringir os
direitos administrativos apenas em nível da Unidade Organizacional sem que, com isso, o
usuário tenha poderes sobre todos os demais objetos do Domínio.
Utilize Unidades Organizacionais quando quiser delegar tarefas administrativas sem que,
para isso, tenha que dar poderes administrativos em todo o Domínio ou para melhorar
alterações na estrutura da sua companhia. A infra-estrutura das OU´s não deve-se basear
na estrutura organizacional da companhia, mas sim na infra-estrutura da política da rede.
Objetos do Active Directory
. Contas de Usuários
Uma conta de usuário é um objeto de Active Directory, o qual contém diversas
informações sobre o usuário. Para ter acesso aos recursos dos computadores do domínio
deve ser cadastrado no Active Directory.
. Contas de Computador
Todo computador que faz parte do domínio, seja uma estação de trabalho ou servidor
membro, deve ter uma conta de computador no Active Directory. Quando você adiciona
uma máquina no domínio, automaticamente é criado um conta de computador. Estações
rodando Windows 95/98/ME, não cria conta de computador no Active Directory.
. Grupo de Usuários
Responsável para facilitar a administração e a atribuição de permissões para acesso a
recursos, tais como: pastas compartilhadas, impressoras remotas, serviços diversos etc.
Nos próximos artigos estarei tratando com maiores detalhes os Objetos do Active
Direcory.
Abraços!
Duas questões para que eu tente te ajudar:?

1. O IP das estações é dinamico o ou o IP de acesso a Internet?


2. Esse seu servidor é servidor proxy/prove acesso a Internet às estações, ou você tem
outro servidor que exerça essa função?
Sem o DHCP o ActiveDirectory funciona normalmente, mas sem o DNS ele NÃO
FUNCIONA, mas quando se instala o ActiveDirectory, ele instala o DNS e configura o
necessário para que ele funcione de forma correta.

Se você configurar o DHCP, os IPs deixarão de ser dinâmicos.

O DHCP serve para que você atribua parametros de configuração automaticamente às


estações que se conectem ao seu Controlador de Domínio (DC), como por exemplo, o
endereço do gateway e do servidor WINS entre outros, e assim você não precise, ir e
configurar todos os parametros manualmente em cada máquina.

Tenho uma dica pra você, o principal uso que você pode fazer do ActiveDirectory é o
GroupPolicy, para que assim você coloque restrições nas máquinas, não deixando os
usuarios mexer em qualquer configuração das estações.

Para te ajudar vou te mandar por e-mail alguns tutoriais que tenho sobre ActiveDirectory,
DHCP e DNS.

Se tiver alguma dúvida, pode perguntar, por aqui ou por e-mail.

Pra que Serve?


Serve para fazer um diretório de usuarios (esqueça o active, é propaganda da microsoft).
Assim, de forma generica, numa rede de larga escala os usuarios e suas respectivas
filiais/departamentos são organizados por funções e estruturas, sendo que cada um tem a
sua auditoria e restrição aplicadas no servidor. Além de o processamento ficar muito mais
centralizado, é mais facil de se verificar erros e problemas além de todos os usuarios
serem administrados a partir de um computador.
. Preparação do Ambiente
Antes de implementarmos o Active Directory é importante validarmos os seguintes pré-
requisitos:

• IP fixo no servidor Windows 2003 onde o AD vai ser instalado

• Servidor com Windows Server 2003 com todos os Service Pack(s) e Hotfix(es)
instalados

• Eventviewer sem nenhuma mensagem de error ou warning (boa prática)

• Não é necessário instalar DNS Server e nenhum outro software adicional por
enquanto

• Definir o nome FQDN (Full Qualified Domain Name) do domínio, de preferência


um nome DNS interno, no nosso caso guiapratico.local ao invés de
guiapratico.com.br.
• Configurar o IP do DNS primário para o próprio IP da seguinte forma:
2. Implementação do Active Directory
Estando com o Windows Server 2003 atualizado e ligado e logado como Administrator
do servidor, vamos fazer os seguintes procedimentos:
a) Validar a configuração da placa de
rede
Ir em Start, Control Panel, duplo
clique em Network Connections,
botão direito na placa de rede e
Properties
Selecionar Internet Protocol (Tcp/IP)
e clicar no botão Properties
Devemos colocar um IP fixo para o
servidor e como ele é o primeiro do
domínio também definir no DNS ele
próprio como servidor, apesar de ele
ainda não possuir o serviço de DNS.

b) Ir em Start e depois em Run


b) digitar dcpromo e OK
Com isto iniciaremos o processo de
instalação do Active Directory.

d) Tela de boas vindas, clique em next


É neste ponto que realmente começa a
instalação do Active Directory.

e) A segunda tela do assistente é informando


que o Windows Server 2003 implementa
segurança.
O Assistente do Active Directory informa que
o Windows Server 2003 possui mais
segurançao que os anteriores. Portanto alguns
clientes legados (Windows 95 e Windows NT
4.0 SP3) como também Apple Mac OS X e
clientes Samba, podem não atender todos
estes requisitos de segurança.
Por default o Windows Server 2003 assina
digitalmente os pacotes SMB, com isto temos
que ter alguns cuidados:

• Para máquinas Windows for


Workgroups e/ou Windows 9x, fazer
upgrade ou instalar o Active Directory
Client (gratuíto); Para máquinas
Windows NT4 instalar um service
pack posterior ao 3

• Se não puder fazer esta instalação é


necessário desabilitar na policie dos
servidores 2003 o parâmetro: Secure
channel encryption or signing, caso
contrário os sistemas legados não
conseguiram entrar e nem efetuar
logon no domínio.

f) Na terceira tela do assistente é necessário


definir se é um DC (Domain Controller) de
um novo domínio ou se vai ser adicionado há
um domínio existente.
No nosso caso como é o primeiro DC da rede
é a primeira opção.

g) A quarta tela do assistente questiona como


será criado o novo domínio, as opções
possíveis são explicadas abaixo:

• Domain in a new forest


Primeiro domínio de uma nova
floresta, primeira máquina da floresta
Active Directory

• Child domain in an existing domain


tree
Adição de um domínio filho em uma
floresta e árvore já existente. No
nosso exemplo o nosso domínio
GuiaPratico será adicionado a arvore

• Domain tree in an existing forest


Uma nova árvore de domínio em uma
floresta existente

h) Na quinta tela do assistente devemos


definir o nome dns da Zona, como já
definimos previamente, colocamos
guiapratico.local

i) Na sexta tela do assistente definimos o


nome NetBIOS do domínio, este nome será
utilizado em máquinas legadas (Windows 9x,
NT) para ingressarem no domínio.

j) Na sétima tela do assistente, já terminamos


a parte de configuração de design do Active
Directory e temos que validar onde o mesmo
será instalado, por default é implementado
em C:\%SystemRoot%\NTDS
Para trabalharmos com os arquivos da base
do Active Directory utilizamos o comando
NTDSutil, para configurarmos limpeza a
base, desfragmentaçao e etc..

k) Na oitava tela do assistente definimos onde


fica o diretório físico do compartilhamento
SYSVOL, todo o conteúdo desta pasta é
replicado entre todos os DCs do mesmo
domínio.

l) Na nona tela do assistente o setup detectará


que não possuímos DNS Server instalado e
nos dará três opções, a mais viável é a
segunda (marcada com um retângulo
vermelho), onde o setup instala e configura a
zona dns do domínio (guiapratico.local)
automaticamente.
Obs: Como o DNS não está implementado
será solicitado as mídias de instalação do
Windows Server 2003.

m) Na décima tela do assistente definimos


qual será a permissão padrão para o domínio,
por default o legado permitia a leitura de
certas informações do domínio (Everyone),
nós optamos por permissões compatíveis com
Windows 2000 e/ou 2003, que diz que
somente usuários Autenticados possam ler
informações no domínio.

n) Esta é a senha que será usada quando o


Domain Controller for iniciado no modo
Directory Services Restore Mode, esta opção
só aparece quando rodamos o setup /cmdcons
esta senha é somente para esta finalidade,
caso queiramos trocar é necessário acessar o
utilitário ntdsutil e escolher a opção Set
DSRM password

o) Na penúltima tela é mostrado um resumo


de todas opções escolhidas durante o
assistente de instalação do Active Directory.

p) E na última tela, temos o tradicional


Finish, que informa que a criação foi com
existo e que este servidor foi designado para
o Site default chamado Default-First-Site-
Name.
Após o Finish será necessário o reboot do
servidor.
3. Validando a Instalação do Active Directory
Depois de executado os passos acima e reiniciado o servidor. Devemos atentar para os
seguintes pontos:
3.1. Analisar o arquivo de log
O assistente do Active Directory, gera dois arquivos de log: DCPROMO.LOG e
dcpromoui.log, o primeiro arquivo contém toda atividade que o assistente de instalação
executou no processo de criação do Active Directory, já no segundo temos todas opções
selecionadas e executadas na interface gráfica que executamos no dcpromo.
Os arquivos de instalação ficam no diretório c:\Windows\Debug.
3.2 Verificar se o compartilhamento NETLOGON e SYSVOL estão disponíveis
O servidor não é considerado Domain Controller enquanto não estiver com os
compartilhamentos NETLOGON e SYSVOL disponíveis, quando isto ocorre é gerado
um evento 13516 no Event Viewer de Aplicação informando que o servidor já está apto a
receber toda a gama de autenticação.
Logo após aparecer o Event ID 13516 é possível ir em Start / Run / e digitar \\<servidor>,
onde <servidor> é o nome do servidor que estamos instalando, deverá aparecer os
seguintes diretórios:
3.3 Verificando o Active Directory Users and Computers
Depois que validamos a instalação do Active Directory, devemos ir em Start /
Run / dsa.msc e validar o Active Directory Users and Computers:
Podemos perceber que o Active Directory Uses Computers aparece no formato padrão
com os usuários e grupos padrão.
4. Checklist da Instalação do Active Directory
Etapa Passos necessários
Instalar o sistema operacional Windows Server 2003 + Updates
1
(hotfixes + service pack)
2 Definir o nome do domínio
3 Configurar a placa de rede
4 Rodar o dcpromo
5 Reiniciar o servidor
Validar a instalação do Active Directory (Eventviewer, arquivos de
6
logs e shares)
7 Parabéns, você já está com um Active Directory funcional!
Implementando o Active Directory – Dicas, Truques e
Práticas Recomendadas (300)
Data da publicação: 22 de Setembro de 2004

Data do bate-papo: 3 de Agosto de 2004

Nota: Partes desta transcrição foram alteradas para maior clareza do mesmo.

Introdução

Host Guest_Guilherme_Moderator :

Bem-vindos ao bate-papo sobre Implementando o Active Directory - Dicas, Truques e Práticas


Recomendadas. Dentro de alguns minutos iniciaremos o bate-papo.

Host Guest_Guilherme_Moderator :

Atenção com as brincadeiras, senhores...

Host Guest_Guilherme_Moderator :

Nosso tema de hoje é "Implementando o Active Directory - Dicas, Truques e Práticas


Recomendadas” e o nosso convidado é o Rodrigo Vallim

Host Guest_Guilherme_Moderator :

Rodrigo Vallim é especialista em infra-estrutura da Microsoft Brasil, possui 10 anos de


experiência atuando em grandes consultorias, desenhando e implantando soluções de TI em
empresas dos mais variados segmentos.

Host Guest_Guilherme_Moderator :

Utilize a área inferior da página para enviar suas perguntas.

Host Guest_Guilherme_Moderator :

Informamos que usuários com comportamentos inadequados podem ser removidos do bate-
papo.

Host Guest_Guilherme_Moderator :

Neste bate-papo serão abordados os conceitos, recursos e benefícios do serviço de diretório


Active Directory. Entraremos nos detalhes dos seus componentes lógicos e físicos como
também nos procedimentos para tornar os controladores de domínios mais seguros

Host Guest_Guilherme_Moderator :

A transcrição deste bate-papo será disponibilizada em até duas semanas no site Technet
Brasil.

Host Guest_Guilherme_Moderator :
Faremos o que for necessário para responder ao máximo de perguntas possível. Talvez em
alguns momentos não tenhamos nenhuma resposta para a sua pergunta nem possamos obtê-
la de imediato.

Host Guest_Guilherme_Moderator :

É recomendável também enviar as perguntas feitas aqui para o fórum de discussão do


Windows Server 2003 no Technet Brasil.

Host Guest_Guilherme_Moderator :

Olá, eu sou Guilherme Azevedo, Developer Evangelist da Microsoft Brasil. O nosso convidado
para o bate-papo de hoje e o Rodrigo Vallim

Host Guest_Guilherme_Moderator :

Rodrigo, seja bem vindo!!

Host Guest_Rodrigo_Vallim :

Boa tarde pessoal, quero agradecer a presença de todos, sejam bem vindos!

Host Guest_Rodrigo_Vallim :

É um prazer estar aqui com vocês, vamos às perguntas...

Começo do bate-papo

Guest_mazzucco :

Tenho hoje um AD (principal) e um outro no servidor exchange, quando cai o principal não
teria que assumir a do exchange automaticamente ?

Host Guest_Rodrigo_Vallim :

Como está a distribuição de FSMO's em seu ambiente? Qual é o SO dos clientes?

Guest_mazzucco :

p/ falar a verdade não sei nem o que é FSMO´S, os clientes são NT, 2000 e XP.

Host Guest_Rodrigo_Vallim :

Mazzuco, os FSMO's são Operations Masters do domínio, provavelmente o seu pripeiro DC


instalado tem todos os papéis, que são Infrastructure Master, Domain Naming Master, PDC
Emulator, etc...

Host Guest_Rodrigo_Vallim :

você precisa transferir esses papéis quando sobrar apenas um DC na rede, pode encontrar
detalhes em...

Host Guest_Rodrigo_Vallim :

FSMO's transfer: http://support.microsoft.com/default.aspx?scid=kb;en-


us;324801&Product=winsvr2003

Host Guest_Rodrigo_Vallim :

Dessa forma seu DC ficará disponível.


Guest_anderson_repom :

como ter certeza que todos os DC esta replicando corretamente?

Host Guest_Rodrigo_Vallim :

Você tem três opções, uma é verificar os objetos no Active directory Users and Computer, não
é a melhor, outra é verificar o tamanho da pasta NTDS, a mais recomendada é utilizar uma
ferramenta do Resource Kit que controla esse tipo de informação...

Host Guest_Rodrigo_Vallim :

quando instala-se um Domain Controller faz-se necessário criar tolerância a falhas, então você
tem que criar também outro Global Catalog logo após a instalação, nesse seu servidor de
Exchange você cdeveria criar um GC, isso aceleraria o processo do Exchange

Host Guest_Rodrigo_Vallim :

inclusive, se você tiver o GC replicado nas duas máquinas, provavelmente ele já continuará a
fornecer logon, mas se a máquina principal demorar a voltar no ar, você deverá transferir as
FSMO's sim, elas fazem os serviços do AD funcionar corretamente.

Guest_MarcioCosta :

Sr. Rodrigo me preocupa a integração do AD com o NDS da Novell, em termos migração e


convivência em um mesmo ambiente, o que pode ser comentado objetivamente sobre isso.

Guest_rlemes :

tenho uma rede em uma escola onde estou estudando uma solução para dividir as redes
fisicamente dos laboratórios da rede administrativa , qual seria a melhor solução ? Site ou 2°
placa de rede no DC onde os usuários do lab.

Guest_PoupatempoSantoAmaro :

Fazer segmentação por vlan no switch é uma boa solução

Guest_Consist :

Para tranferir o AD de um DC para outro, em subnets diferentes, é preciso fazer backup e


restore do System State?

Guest_Isaias :

Estou iniciando um projeto de migração de uma rede Windows NT Server para 2003, tenho 5
sites (SP,RJ,Sorocaba,Descalvado,Manaus), o ideal seria ter um DC em cada subnet?

Guest_nelsonrs :

Temos nosso ambiente segmentado por dmz, cada ambiente com um ad e um domínio. Como
fazer para que o usuário interno seja autenticado na dmz???

Guest_larmelin :

Rodrigo, como faço para alterar todos os serviços de FSMO's do meu domain controler
principal?

Guest_Isaias :

Rodrigo/Guilherme: Existe como no AD eu determinar que o usuário tenha um Preferred


Server como no Netware, pelo que estou vendo ele somente tem a opção de se criar uma
subnet e um site ai sim os usuários vao logar naquela subnet que ele pertence..

Guest_Everson :

Sou um novato em WS 2003. Há como eu restringir o acesso dos clientes ao Painel de


Controles, Meu Computador e as demais ferramentas de configuração através do Servidor? Se
sim, de que forma?

Guest_rlemes :

Administro um rede em uma escola onde estou estudando uma solução para dividir as redes
fisicamente dos laboratórios da rede administrativa , qual seria a melhor solução ? Site ou 2°
placa de rede no DC.

Guest_Isaias :

Everson: tem sim usando o Group Polices

Host Guest_Guilherme_Moderator :

Rodrigo, MarcioCosta fez a pergunta: Sr. Rodrigo me preocupa a integração do AD com o NDS
da Novell, em termos migração e convivência em um mesmo ambiente, o que pode ser
comentado objetivamente sobre isso.

Guest_rlemes :

posso instalar um servidor Exchange 2003 em um member server em uma rede que ja possui
um DC?

Guest_Álvaro :

Senhores, entou precisando criar um grupo para nao acessar a internet, esta deveria estar
atrelada de alguma forma ao Firewall?

Guest_Eiji :

uma preguntinha.......eu consigo logar alguma máquina win98 em um servidor


winserver2003?? sou novato também........

Guest_anderson_repom :

Ficou faltando parte da minha resposta...

Guest_Adriana Rodrigo tudo bem ? Estou fazendo o curso online 2003 Microsoft e vi o capitulo
que trata conceitos de AD. Por exemplo se eu tiver um cenário onde tenho 3 andares onde
servidores (Serv Arq.=DC) , Exchange, Firewal se encontram em um andar .

Guest_NoNJpa :

Temos nosso ambiente segmentado por dmz, cada ambiente com um ad e um domínio. Como
fazer para que o usuario interno seja autenticado na dmz???

Guest_ALPHABYTE :

Boa tarde, para eu instalar um servidor de AD, eu preciso instalar também um Isa Server ?

Guest_mazzucco :
uma outra pergunta. Posso transferir já a FSMO´s , caso aconteça alguma coisa ?

Host Guest_Rodrigo_Vallim :

O Windows 2003 possui uma ferramenta de migração do NDS para o AD, essa ferramenta traz
os usuários e senhas, enquanto os dois ambientes trabalham em conjunto...

Guest_Tapioca :

O que é FSMO´s?

Guest_anderson_repom :

que ferramenta do Resource Kit seria para monitorar a replicação?

Guest_Jorge :

ALPHABYTE: não...

Guest_MarcioCosta :

E quanto a questão de réplica ?

Host Guest_Rodrigo_Vallim :

Flexible Single Master Operations (FSMO) )

Guest_ALPHABYTE :

obrigado..

Guest_Tapioca :

Ahh..... Isso é Win 2003.. Isso nao é sobre AD????

Guest_Eiji :

uma preguntinha.......eu consigo logar alguma máquina win98 em um servidor


winserver2003?? sou novato também........

Guest_larmelin :

Rodrigo, como faço para alterar todos os serviços de FSMO's do meu domain controller
principal, para eu poder estar removendo este servidor da rede.?

Guest_MarcioCosta :

E complementando quanto a autenticação, pode ser feita através do Netware ou do AD?

Guest_Jorge :

ALPHABYTE: o ISA é como um Firewall...

Guest_Consist :

Eiji, com a tool DSClient é possível sim logar no W2003.

Host Guest_Rodrigo_Vallim :

Active Directory Replication Monitor (ReplMon.exe), você pode encontrar no CD do Windows


2003 em \Support\Tools
Guest_anderson_repom :

ok obrigado

Host Guest_Guilherme_Moderator :

Rodrigo, rlemes têm a pergunta: Tenho uma rede em uma escola onde estou estudando uma
solução para dividir as redes fisicamente dos laboratórios da rede administrativa, qual seria a
melhor solução? Site ou 2° placa de rede no DC onde os usuários do lab.

Guest_ALPHABYTE :

ok.. obrigado ..

Guest_Eiji :

obrigado

Host Guest_Rodrigo_Vallim :

resposta ao RLemes:

Guest_Adriana :

Rodrigo tudo bem ? Estou fazendo o curso online 2003 Microsoft e vi o capitulo que trata
conceitos de AD. Gostaria, se possível, ter uma visão bem resumida de quando é melhor criar
mais de uma floresta,arvore, domínio,site e Ou.Por exemplo , um cenário

Guest_Tapioca :

Adriana, a melhor maneira de aprender é fazendo testes, nao buscando respostas prontas

Guest_Adriana :

uma empresa com 3 andares fisicamente no mesmo prédio e todos os servidores localizados
apenas em um andar.

Host Guest_Guilherme_Moderator :

Adriana, sua pergunta já está na fila de perguntas, obrigado

Guest_Eiji :

Estou fazendo o curso de win200server e gostaria de uma ajuda estou fazendo todo o projeto
na empresa para implementar o servidor só não sei se instalo o winserver2003 ou o
2000server alguma sugestão ? o AD encontra alguma diferença que terei dificuldade?

Guest_nelsonrs :

Complementando minha pergunta...minha rede interna é win2000 e minha dmz win2003..


tenho isa interno e externo.

Guest_Tapioca :

Isso aqui nao era p/ tratar exclusivamente de AD????

Host Guest_Rodrigo_Vallim :

Isso vai depender do tamanho de seu ambiente e do quanto pode gastar, normalmente uma
segunda placa de rede é mais barato, mas não é tão rápida quanto uma solução por
hardware, eu aconselho uma nova subnet por hardware, se estiver dentro das possibilidade
Host Guest_Rodrigo_Vallim :

Possibilidades de gastos da empresa, ok?

Guest_Consist :

Tapioca, também tenho essa dúvida.

Host Guest_Guilherme_Moderator :

Rodrigo, Isaias têm a dúvida:Estou iniciando um projeto de migração de uma rede Windows
NT Server para 2003, tenho 5 sites (SP,RJ,Sorocaba,Descalvado,Manaus), o ideal seria ter um
DC em cada subnet?

Guest_claudia1 :

Rodrigo, para migrar um AD de um DC para outro de subnets diferentes o que devo fazer?

Host Guest_Rodrigo_Vallim :

Resposta ao Isaias:

Guest_Isaias :

obrigado Guilherme

Guest_rlemes :

Rodrigo a solução por hardware seria um segundo DC?

Host Guest_Rodrigo_Vallim :

Isaias, isso vai depender de quantos usuários você tem em cada site e qual é o link entre eles,
pode me descrever melhor?

Guest_Tapioca :

Cadê os truques?? E as práticas recomendadas??????

Host Guest_Rodrigo_Vallim :

Rlemes: seria um switch router, roteador, algo do tipo, para ser criada uma nova subnet, não
é uma solução barata.

Guest_Isaias :

claro, minha intensão é mesmo colocar um DC em casa ponta da rede mesmo, o que me
preocupa mesmo é a segunda questão que tinha feito..

Guest_Eiji :

é cade ? rs

Guest_rlemes :

obrigado rodrigo

Host Guest_Guilherme_Moderator :

Tapioca: As dicas e truques dependem das perguntas, obrigado.


Guest_Eiji :

ah ok

Guest_Tapioca :

Ahhh ok. Certo

Guest_DJS :

Rodrigo, tenho um AD com estações W2K Pro e Win98, embora eu tenha instalado o DSClient
nos Win98, os mapeamentos depois de algumas horas aparecem quebrados. Como posso
corrigir e pq acontece ?

Guest_PoupatempoSantoAmaro :

Olá Rodrigo, Como faço para replicar uma base de dados do active directory estando em dois
sites diferentes?

Guest_Jorge :

DJS: Já atualizou o Win98?? ele tem problemas com mapeamentos...

Guest_anderson_repom :

Como faço para desfragmentar o AD?

Host Guest_Rodrigo_Vallim :

Isaias: o ideal é sempre você ter um DC em cada site, isso evita o logon através do link em
outras localidades, você também precisa criar um GC em cada site, e se preocupar com a
replicação tanto do AD como das Zonas DNS...

Guest_DJS :

Todos atualizados SR2.

Guest_MarcioCosta :

A resposta a minha pergunta não foi totalmente concluída, gostaria que fosse considerada a
questão da replicação e autenticação em um ambiente mix entre NDS e AD, aproveitando em
um ambiente com servidores NT4 e 2000

Host Guest_Rodrigo_Vallim :

Com o 2003 você pode criar zonas DNS localizadas ou que replicam para todo o seu diretório,
tome cuidado com isso...

Host Guest_Rodrigo_Vallim :

isaias, ok?

Guest_Jorge :

DJS: e teu mapeamento é por script??

Host Guest_Guilherme_Moderator :

OK MarcioCosta será considerada

Guest_DJS :
Para o Jorge, sim é por scripr

Guest_suportejr :

Como faço para dar acesso ao um grupo de usuários a ter a opção de desligar somente o
servidor

Guest_Struck :

Tenho um PDC NT 4.0 e um Server 2003. Existe a possibilidade de migrar além das contas as
informações do domínio? ou terei que ir estação por estação, remover do domínio NT 4 e
adicionar no Dominio Server 2003?

Guest_Adriana :

Guilherme Moderator , minha questão não foi respondida ainda. está na fila ?

Host Guest_Guilherme_Moderator :

Sim Adriana, temos muitas perguntas, mas a sua está anotada, obrigado

Guest_Adriana :

ok Obrigada Guilherme

Host Guest_Guilherme_Moderator :

Rodrigo, nelsonrs perguntou: Temos nosso ambiente segmentado por dmz, cada ambiente
com um ad e um domínio. Como fazer para que o usuário interno seja autenticado na dmz???
Complementando minha pergunta...minha rede interna é win2000 e minha dmz win2003.

Host Guest_Rodrigo_Vallim :

MarcioCosta, posso responder sua pergunta na publicação desse chat, está um pouco fora do
escopo desse chat, ok?

Guest_Zé_Butcher :

Acho que as perguntas deveriam focar no tema do Chat... está parecendo suporte online...

Guest_DJS :

Galera, falem sobre AD, senão ninguém saí com respostas DO AD em sí !!!

Guest_MarcioCosta :

Ok. Grato

Guest_anderson_repom :

Rodrigo qual a dica que você tem para os convidados?

Guest_PoupatempoSantoAmaro :

Eu queria saber como faço replicação de AD em sites diferente

Guest_DJS :

Guilherme minha questão sobre o AD está na fila ?

Host Guest_Rodrigo_Vallim :
nelsonrs: Considerando que são duas florestas distintas, você deve criar um relacionamento
de confiança da DMZ para a rede interna, claro que o Firewall precisa ser configurado para
abrir as portas para esse fim.

Guest_DJS :

que BADERNA !!

Host Guest_Rodrigo_Vallim :

Pessoal, foco em AD.

Host Guest_Guilherme_Moderator :

Pergunta: Everson;Sou um novato em WS 2003. Há como eu restringir o acesso dos clientes


ao Painel de Controles, Meu Computador e as demais ferramentas de configuração através do
Servidor? Se sim, de que forma?

Guest_William :

Voces tem algum link com práticas recomendadas de implementação de AD??

Guest_ALPHABYTE :

o servidor de AD é um servidor muito pesado, ele tem que ser um servidor único, ou posso
colocá-lo junto com outras coisas no mesmo servidor ?

Guest_Adriana :

Para uma implementação de AD em um cenário qualquer quais seriam as 10 recomendações


ou dicas mais importantes a serem consideradas para tal implementação ?

Host Guest_Rodrigo_Vallim :

Everson: Você pode utilizar Group Policies, esse é um recurso do Active Directory onde você
pode gerenciar todas as suas estações Windows 2000 e XP.

Guest_nelsonrs :

ok. a partir dai eu vou verificar como fazer este relacionamento e qual a porta a ser aberta...
você tem o link para estas duas finalidades

Host Guest_Guilherme_Moderator :

Pergunta: rlemes; posso instalar um servidor Exchange 2003 em um member server em uma
rede que ja possui um DC?

Guest_NoNJpa :

seguindo a pergunta do nelsonrs os usuários dessa DMZ não estão usando as políticas feitas
para cada OU

Host Guest_Rodrigo_Vallim :

rlemes: Claro, sem problemas, no momento da instalação o Exchange irá acrescentar os


objetos no AD.

Guest_rlemes :

Valeu rodrigo
Host Guest_Guilherme_Moderator :

Pertunta: Álvaro; Entou precisando criar um grupo para nao acessar a internet, esta deveria
estar atrelada de alguma forma ao Firewall?

Guest_Isaias :

Desculpe Guilherme tive que dar uma saída urgente..

Guest_Isaias :

bom podemos continuar...

Host Guest_Guilherme_Moderator :

Isaias, esse transcript estará disponível no site do Technet em breve

Host Guest_Rodrigo_Vallim :

Alvaro: Você cria um Grupo no AD, se estiver utilizando o ISA Server ele aceita os grupos
criados no AD para esse fim, se estiver utilizando um firewall de terceiros você precisará
verificar a forma de trabalho desse firewall.

Host Guest_Rodrigo_Vallim :

pessoal, vou selecionar perguntas que tenham mais a ver com o tópico.

Guest_NoNJpa :

Formulando minha questão melhor :> utilizando o ambiente que o nelsonrs citou foram
criados usuários dentro do AD na DMZ e não estou conseguindo aplicar as regras para esses
usuários

Guest_MarcioCosta :

Rodrigo, tive sérios problemas de corrupção do AD, quando da instalação do SQL Server 2000,
existe algum problema de compatibilidade, tendo em vista que a instalação foi realizada com o
último service pack aplicado no SQL?

Guest_Isaias :

Gostaria de saber as melhores praticas para uma migração deste tipo de rede inteiramente
NT4 para 2003 direto... e mantendo a compatibilidade com NT pois manterei o nível de acesso
em modo de compatibilidade com NT

Guest_Isaias :

Estarei migrando gradativamente até eleger todos o ambiente totalmente para 2003

Host Guest_Guilherme_Moderator :

Pergunta: Adriana; Estou fazendo o curso online 2003 Microsoft e vi o capitulo que trata
conceitos de AD. Por exemplo se eu tiver um cenário onde tenho 3 andares onde servidores
(Serv Arq.=DC) , Exchange, Firewall se encontram em um andar .

Guest_Isaias :

estou fazendo um curso na Bras Figueiredo o 2274 fala de AD mas muito basico..

Host Guest_Rodrigo_Vallim :
Adriana: não entendi sua pergunta Adriana.

Guest_Adriana :

uma empresa com 3 andares fisicamente no mesmo prédio e todos os servidores localizados
apenas em um andar.

Guest_Adriana :

este é o resto da questão

Guest_Adriana :

qual é a melhor dicas de construção de AD´s ?

Host Guest_Rodrigo_Vallim :

Adriana...

Guest_Isaias :

Rodrigo/Guillher, tem alguma forma de dizer o PREFERRED SERVER para o usuário?

Guest_Isaias :

ou somente da outra forma que expus.

Guest_MarcioCosta :

Acrescento que neste mesmo servidor estava instalado o Exchange Server 2003, e se tratava
de um servidor windows 2003, com todos os patches aplicados

Guest_Licio :

argh

Host Guest_Rodrigo_Vallim :

Se é um mesmo prédio, possivelmente você está em uma mesma Lan, então você pode
distribuir esses servidores em um mesmo andar, ou um CPD sem problemas, e todos os
usuários acessarão esses servidores centralizadamente, sem perder performance.

Guest_suportejr :

RODRIGO => Criei um grupo no active directory chamando XXXX criei os usuários dentro dei
permissão nas estações beleza mas ele não deixar logar no servidor qual permissão devo dar
a esse usuários

Guest_Jorge :

Isaias: Só a novell tem isso, no Windows acho que somente domínios diferentes

Guest_Adriana :

ok Rodrigo. Grata

Host Guest_Guilherme_Moderator :

Pergunta: ALPHABYTE;Boa tarde, para eu instalar um servidor de AD, eu preciso instalar


também um Isa Server ?
Guest_PoupatempoSantoAmaro :

Eu queria saber como faço replicação do AD em sites diferentes

Guest_Isaias :

pois eh jorge terei mesmo que criar sites e subnets para resolver esta questão

Host Guest_Rodrigo_Vallim :

Alphabyte: Não precisa, apenas se quiser proteger sua rede da Internet.

Host Guest_Guilherme_Moderator :

Pergunta: mazzucco;Posso tranferir já a FSMO´s , caso aconteça alguma coisa ?

Guest_Jorge :

é... acho que sim

Guest_Isaias :

o meu maior problema é o roaming profile... no caso de usuários de notebook o link para as
unidades é baixo

Guest_Isaias :

e pelo que estou vendo não vou conseguir implementar da forma que desejo.

Guest_Isaias :

na verdade ainda estou desenhando o SCOPO e colocando todas as funcionalidades que vou
precisar..

Guest_Jorge :

mas o que você precisa??

Host Guest_Rodrigo_Vallim :

mazzuco: você pode distribuí-las, somente pode ter uma de cada por domínio, pode ver mais
detalhes em: http://support.microsoft.com/default.aspx?scid=kb;en-
us;324801&Product=winsvr2003

Host Guest_Guilherme_Moderator :

Pergunta: Eiji; Estou fazendo o curso de win200server e gostaria de uma ajuda estou fazendo
todo o projeto na empresa para implementar o servidor só não sei se instalo o winserver2003
ou o 2000server alguma sugestão ? o AD encontra alguma diferença que te

Host Guest_Rodrigo_Vallim :

Eiji: Instale o Windows 2003, ele traz uma série de vantagens na administração do Active
Directory, DNS, replicação, etc, além de estar com a segurança extremamente melhorada.

Host Guest_Guilherme_Moderator :

Ainda nos restam aproximadamente 15 minutos no bate-papo de hoje.

Guest_anderson_repom :
como faco para desfragmentar o AD?

Guest_suportejr :

Guilherme_Moderator : Criei um grupo no active directory chamando XXXX criei os usuarios


dentro dei permissão nas estações beleza mas ele não deixar logar no servidor qual permissão
devo dar a esse usuarios

Host Guest_Guilherme_Moderator :

Pergunta: PoupatempoSantoAmaro; Como faço para replicar uma base de dados do active
directory estando em dois sites diferentes?

Guest_Eiji :

ah obrigado

Guest_mazzucco :

é facil a migração do 2000 server p/ 2003? resumidamente como é ?

Host Guest_Guilherme_Moderator :

Suportejr: sua pergunta já foi anotada e está na lista, obrigado

Guest_Adriana :

Guilherme fiz uma segunda pergunta .. será que está na fila ?

Guest_NoNJpa :

utilizando o ambiente que o nelsonrs citou foram criados usuários dentro do AD na DMZ e não
estou conseguindo aplicar as regras para esses usuários

Host Guest_Rodrigo_Vallim :

PoupaTempoSantoAmaro: Você terá que criar no "Active Directory Sites and Services" um site
lógico para cada unidade, vincular uma subnet a cada site, e criar um link de replicação entre
os sites, nesse link você configura a janela e período da replicação. Sua

Host Guest_Rodrigo_Vallim :

rede precisa estar totalmente roteável para funcionar.

Guest_Adriana :

Para uma implementação de AD em um cenário qualquer quais seriam as 10 recomendações


ou dicas mais importantes a serem consideradas para tal implementação ?

Host Guest_Guilherme_Moderator :

Pergunta: anderson_repom; como faço para desfragmentar o AD?

Host Guest_Guilherme_Moderator :

Adriana: Sim, está na fila, obrigado

Guest_claudia1 :

para migrar um AD de um DC para outro de subnets diferentes o que devo fazer?


Guest_Adriana :

obrigada Gulherme

Host Guest_Rodrigo_Vallim :

anderson_repon: utilize o NTDSUtil.exe, através do prompt de comando.

Host Guest_Guilherme_Moderator :

Pergunta: Struck;Tenho um PDC NT 4.0 e um Server 2003. Existe a possibilidade de migrar


além das contas as informações do domínio? ou terei que ir estação por estação, remover do
domínio NT 4 e adicionar no Dominio Server 2003?

Guest_anderson_repom :

tenho que para algum serviço? a rede vai ficar indisponível?

Guest_anderson_repom :

tenho que fazer em todos os DC?

Guest_anderson_repom :

com que freqüência?

Guest_anderson_repom :

qual impacto que vou ter na rede?

Host Guest_Guilherme_Moderator :

Ainda nos restam aproximadamente 10 minutos no bate-papo de hoje.

Host Guest_Rodrigo_Vallim :

struck: você pode utilizar o admt para migrar todas as contas e informações do AD.

Host Guest_Rodrigo_Vallim :

ferramenta da Microsoft

Host Guest_Rodrigo_Vallim :

ADMT: http://support.microsoft.com/default.aspx?scid=kb;en-
us;325851&Product=winsvr2003

Host Guest_Guilherme_Moderator :

Pergunta: ALPHABYTE; O servidor de AD é um servidor muito pesado, ele tem que ser um
servidor único, ou posso colocá-lo junto com outras coisas no mesmo servidor ?

Host Guest_Rodrigo_Vallim :

alphabyte: não é obrigatório ele ser um servidor único, basicamente vai depender da
quantidade de usuários que ele vai atender, isso vai depender muito do hardware utilizado.

Guest_nariga :

existe alguma ferramenta que comprova o quanto um Active Directory está ou não saudável?
Guest_Isaias :

Obrigado a todos e boa tarde !

Host Guest_Guilherme_Moderator :

Pergunta: Adriana; Para uma implementação de AD em um cenário qualquer quais seriam as


10 recomendações ou dicas mais importantes a serem consideradas para tal implementação ?

Guest_NoNJpa :

guilherme tenho uma pergunta : tilizando o ambiente que o nelsonrs citou um pouco acima
foram criados usuários dentro do AD na DMZ e não estou conseguindo aplicar as regras para
esses usuários

Host Guest_Rodrigo_Vallim :

Adriana: para um cenário qualquer fica difícil, mas você deve pensar nos seguintes itens:
Quantidade de usuários atendidos, assim saberá quantos DC's terá, se está dividida em várias
localidades, para verificar o link e criação de sites, quantos domínios

Guest_claudia1 :

o backup system state serve para transferir as definições de AD de uma maquina para uma
maquina idêntica de backup?

Guest_Adriana :

ok Rodrigo. Obrigada

Host Guest_Guilherme_Moderator :

NONJpa, Infelizmente o convidado responderá as perguntas já feitas

Host Guest_Rodrigo_Vallim :

terá que criar, se a empresa tem filiais para separar em domínios, estrutura DNS é muito
importante, resolução de nomes é o principal para o bom funcionamento do AD...

Host Guest_Guilherme_Moderator :

Ainda nos restam aproximadamente 5 minutos no bate-papo de hoje.

Guest_NoNJpa :

utilizando o ambiente que o nelsonrs citou um pouco acima foram criados usuários dentro do
AD na DMZ e não estou conseguindo aplicar as regras para esses usuários

Host Guest_Guilherme_Moderator :

Pergunta: suportejr;Criei um grupo no active directory chamando XXXX criei os usuários


dentro dei permissão nas estações beleza mas ele não deixar logar no servidor qual permissão
devo dar a esse usuarios

Guest_claudia1 :

backup system state serve para transferir as definições de AD de uma maquina para uma
maquina identica backup?

Guest_Struck :
tenho 40 maquinas no domínio x do NT 4.0... quero mudar todas as 40 estações para o
domínio y.local do Server2003... tenho que fazer manualmente cada estação?

Guest_nelsonrs :

???

Host Guest_Rodrigo_Vallim :

Suportejr: para logar no servidor esse grupo precisa da permissão "Logon on Locally", você
encontra essa permissão nas Políticas de Grupo Locais do servidor: "Domain Security Policy"

Guest_claudia1 :

struck teoricamente a ferramenta admt foi feita para isso.

Guest_suportejr :

valeu

Host Guest_Guilherme_Moderator :

Pergunta: NoNJpa : utilizando o ambiente que o nelsonrs citou foram criados usuários dentro
do AD na DMZ e não estou conseguindo aplicar as regras para esses usuários

Host Guest_Rodrigo_Vallim :

NoNJpa: que regras são essas? Pode explicar melhor?

Guest_NoNJpa :

criei políticas de usuários

Guest_NoNJpa :

para uma determinada OU

Host Guest_Rodrigo_Vallim :

Pessoal, obrigado pela presença, essa será a última pergunta que responderei hoje, as que
ficaram sem resposta terão suas dúvidas sanadas na publicação desse chat. Obrigado.

Guest_claudia1 :

e a minha pergunta?

Guest_MarcioCosta :

Minhas perguntas não foram respondidas a tempo, como posso obter as respostas?

Guest_Adriana :

obrigada Rodrigo

Guest_Jorge :

Obrigado Rodrigo!!

Guest_ALPHABYTE :

Valeu!
Guest_Eiji :

valeu car

Host Guest_Rodrigo_Vallim :

Você colocou essas configurações por usuário ou computador, dentro da GPO?

Guest_NoNJpa :

por usuario

Guest_rlemes :

valeu Rodrigo

Host Guest_Rodrigo_Vallim :

Que tipo de política, pode citar uma?

Guest_Struck :

claudia1 podes me ajudar? dingostruck@ig.com.br

Guest_denis :

Tenho uma rede com 2 DC com 2003. A maquina q era o PDC foi perdida antes q pudesse
fazer a migração tradicional via Operation Master. Quais as ferramentas ( e aonde estao )
poderia usar para promover meu DC restante para PDC ? Grato.

Guest_NoNJpa :

tipo esconder todos ícones do desktop

Guest_Jorge :

denis: DCPROMO

Host Guest_Rodrigo_Vallim :

Mas os usuários não estão se logando pelas contas da DMZ certo? E sim com as contas do
domínio interno, então o que vai valer são as infos do domínio interno.

Guest_nelsonrs :

estes usuarios estão logados na dmz

Guest_Jorge :

denis: Executar: DCPROMO.EXE

Guest_nelsonrs :

são usuários distintos

Guest_denis :

Jorge, aparentemente nem todos os recursos atribuídos ao PDC inicial podem ser transferidos
via dcpromo.

Guest_mazzucco :
Obrigado Rodrigo.

Guest_Jorge :

mas o que você ainda precisa transferir??

Guest_denis :

O proprio DNS fica meio perdido. Nao conseguindo abrir as policies ( do domínio e da maquina
local )

Host Guest_Rodrigo_Vallim :

Pessoal, o tempo acabou, muito obrigado pela presença de todos, o que ficou sem resposta
será publicado junto com esse chat em um futuro próximo, não percam o Webcast de SP2 do
Windows XP, muito interessante. Boa tarde a todos! Obrigado!

Guest_Adriana :

Boa Tarde

Host Guest_Guilherme_Moderator :

Obrigado pela sua participação e pelas perguntas!

Guest_Eiji :

boa tarde valeu

Guest_Igm :

Boa Tarde

Guest_MarcioCosta :

Boa tarde e um forte abraço a todos

Host Guest_Guilherme_Moderator :

Precisamos ir agora. Se você tiver mais perguntas, publique-as no fórum de discussão do


Windows Server 2003 no Technet Brasil. A transcrição deste bate-papo será disponibilizada
em até duas semanas no site Technet Brasil.

Guest_denis :

Boa tarde. Obrigado.

Guest_Jorge :

é verdade... Já tentou refazer o DNS

Host Guest_Guilherme_Moderator :

Informamos que as transcrições de bate-papos anteriores estão disponíveis em


<http://www.technetbrasil.com.br/Seminarios/TransBatePapos.aspx>. Esta transcrição estará
disponível em até duas semanas.

Host Guest_Guilherme_Moderator :

Por favor, preencham a pesquisa de satisfação em


http://microsoft.researchexpress.net:80/encuestas/surveys/indexDirect.asp?
id=52&zone=Microsoft_Technet&newuser=Yes
<http://microsoft.researchexpress.net/encuestas/surveys/indexDirect.asp?
id=52&zone=Microsof

Guest_denis :

Valeu Jorge. ( eu refiz as duas maquinas ) era para uma eventual perda futura. Grato

Guest_Jorge :

falows

Host Guest_Guilherme_Moderator :

Obrigado pessoal

Guest_Adriana :

obrigada Gulherme

Oito Secure Active Directory dicas que


você pode usar hoje
Secure Active Directory - dicas que você pode usar
Active Directory é o maior e mais vital do sistema de
distribuição de sua empresa. Isso faz dela uma das
maiores preocupações de segurança para
administradores de sistema. Existem várias tarefas que
você pode fazer para tornar seu Active Directory
seguros e robustos.
Secure Active Directory - dicas que você pode usar
Active Directory é o maior e mais vital do sistema de distribuição de sua empresa.
Dica # 1: Documento de toda e cada entidade no Directório - Comece com suas
estruturas de nível superior, como a floresta e configuração de domínio, unidade
organizacional (UO) estrutura, alto nível de segurança do diretório, e as relações de
confiança existentes. Em seguida, documentar as políticas do seu grupo, informações
relativas aos controladores de domínio diferente, os métodos utilizados para fazer
backups de dados e todas as alterações feitas ao projeto original de vez em quando.
Finalmente, você deve garantir que o DNS é documento de informação relacionados.
Dica # 2: Implementar controle em Administração - Você precisa fazer isto para
trabalhar junto com os administradores dos diferentes domínios na floresta e chegar a
controlador de domínio uniforme (DC modelo de administração), que funciona de forma
eficaz para toda a floresta.
Dica # 3: Não faça muitos administradores - É melhor que você use uma combinação
de políticas de grupo e várias ferramentas de terceiros para conceder aos usuários,
direitos apenas o suficiente para que possam desempenhar as suas tarefas sem problemas.
Não faça domínio muitos administradores de nível porque isso coloca a segurança de
todo o seu Active Directory em perigo. É melhor que você usar diferentes contas com
direitos administrativos elevados e convenção de nomenclatura adequada, que lhes
permitam desempenhar as suas tarefas.
Dica # 4: Teste de suas políticas de grupo - as políticas de grupo são um dos
componentes mais essenciais que ajudam na tomada de seu Active Directory segura.
Portanto, você deve testá-los cuidadosamente antes de rolar para fora.
Dica # 5: renomear a conta de administrador e desativar a conta do cliente - Este é
um elemento essencial para manter o seu Active Directory segurança contra ameaças
externas, tais como malware e hackers. Recomenda-se que após você renomear a conta
de administrador original, crie outra conta e nomeá-lo como administrador. Habilite a
auditoria de alto nível sobre esta conta. Dessa forma, se alguém tentar usar essa conta
para aceder à sua rede, você pode facilmente rastreá-lo.
Dica # 6: Implementar Strong Password Regras - Você deve fazer os usuários em sua
rede, ciente de dicas e estratégias que podem ser usados para criar senhas fortes.
Dica # 7: Garantir que todos os controladores de domínio são colocados em um local
seguro - Colocados na posição diferente em toda a empresa, cada controlador de domínio
executa sua própria cópia do Active Directory. Assim, se você não colocar esses
servidores em um local seguro, eles podem facilmente ser roubado. E, para um
profissional não vai demorar muito tempo para executar programas de quebra de senhas
para obter informações confidenciais relacionadas com o Active Directory e diferentes
entidades dentro dela.
Dica # 8 proteger as contas de serviço - Estas são as contas que várias aplicações usar
para executar seus serviços no seu computador. Estas contas são geralmente configurado
para nunca expiram. Para proteger essas contas, é melhor que você gerar uma convenção
de nomenclatura para contas de serviço e, em seguida, renomeá-los de tal forma que eles
identificam o serviço que executa. Em seguida, colocar todas as contas de serviço em um
grupo conta com um nome como "contas de serviço". A este grupo, aplicar uma política
de "Log on Locally desativar" e permitir "fazer logon como um serviço de permissões
de" direita.
19 Dicas para Proteger Smart Active Directory
Sean Deuby Sean Deuby
At a Glance: At a Glance:

• Administrative security segurança administrativa

• Account password and group security Conta senha e grupo de segurança


• Domain controller security Controlador de domínio de segurança
Active Directory Active Directory
Group Policy Group Policy
Does Active Directory keep you up at night? O Active Directory mantê-lo durante a
noite? One could easily understand why. Pode-se facilmente entender o porquê. It is most
likely the largest and most critical distributed system in your enterprise. O mais provável
é o maior e mais importante sistema distribuído em sua empresa. Along with Junto com
disaster recovery, Active Directory ® security is at the top of the list of topics that gnaw
away at an administrator's sleep. recuperação de desastres do Active Directory ®
segurança está no topo da lista de tópicos que roer um administrador do sono.
But there's a lot you can do to enhance your Active Directory security, and you've
probably already taken some steps. Mas há muita coisa que você pode fazer para
melhorar a sua segurança do Active Directory, e você provavelmente já tomou algumas
medidas. What follows is a list of tips you can use to help you make your Active
Directory installation more secure. O que se segue é uma lista de dicas que você pode
usar para ajudá-lo a tornar a sua instalação do Active Directory mais seguro. First I'll
cover administrative security, then passwords and group security, then wrap up with tips
for domain controller security. Primeiro vou cobrir a segurança administrativa, em
seguida, senhas e segurança do grupo, em seguida, embrulhar com dicas de segurança de
controlador de domínio.
1. 1. Document What You Have Documente o que você tem
The very first step you need to take is to document your Active Directory configuration.
O primeiro passo você precisa tomar é o de documentar sua configuração do Active
Directory. It's not very exciting work, but you can't tell where you need to go if you don't
know where you are right now. Não é muito emocionante trabalho, mas você não pode
dizer onde você precisa ir se você não sabe onde você está agora. A good place to start is
with the high-level structures like forest and domain configuration, organizational unit
(OU) structure, top-level directory security, and existing trust relationships. Um bom
lugar para começar é com as estruturas de alto nível como a floresta e configuração de
domínio, unidade organizacional (OU), estrutura, segurança de diretório de nível
superior, e relações de confiança existentes. Document your site topology by listing the
sites, configuration settings for each site, site links and their settings, the list of subnets
and their settings, and any manually created connection objects and their settings.
Documento topologia seu site a lista dos sites, definições de configuração para cada site,
links de sites e suas configurações, a lista de sub-redes e suas configurações, e todos os
objetos de conexão criada manualmente e suas configurações. Document your Group
Policy Objects (GPOs) with a Group Policy utility like the Group Policy Management
Console (GPMC), available from Microsoft downloads and included in Windows
Server™ 2003 R2. Documento sua Group Policy Objects (GPOs) com um utilitário de
Diretiva de Grupo, como o Group Policy Management Console (GPMC), disponível a
partir de downloads da Microsoft e incluída no Windows Server ™ 2003 R2. The
documentation you create should include password and audit policies, and don't forget to
include what the GPOs are linked to and who has rights on them. A documentação deve
incluir criar senha e diretivas de auditoria, e não se esqueça de incluir o que os GPOs
ligados e que tem direitos sobre eles. Be sure you have a list of all changes you've made
to the Active Directory schema, preferably in the form of a Lightweight Directory
Interchange Format (LDIF) file. Tenha certeza que você tem uma lista de todas as
mudanças que você fez com o esquema do Active Directory, de preferência sob a forma
de um arquivo Lightweight Directory Interchange Format (LDIF). There's even a GPMC
script included in the download to help you get started. Há mesmo um script GPMC
incluído no download para ajudar você a começar. It is located in the %programfiles
%\gpmc\scripts directory and is called GetReportsForAllGPOs.wsf. Ele está localizado
na pasta% programfiles% \ diretório \ scripts GPMC e é chamado
GetReportsForAllGPOs.wsf.
While you're at it, also list your domain controllers and their names, their OS versions,
and virus scanning software and their versions. Enquanto você está nisso, também lista os
controladores de domínio e os seus nomes, suas versões do sistema operacional, antivírus
e software e suas versões. Record the backup methods you're using and how often they
run, along with how long you keep the backups. Record os métodos de backup que você
está usando e quantas vezes eles correm, com quanto tempo você manter os backups. If
you use disk-based backups, record where you securely keep the backup files. Se você
usar backups baseados em disco, registro, onde seguramente manter os arquivos de
backup. If you use Windows ® DNS, use DNSCMD and DNSLINT to document its
configuration. Se você usa o Windows ® DNS, DNSCmd uso e DNSLint para
documentar sua configuração. Note whether it's integrated with Active Directory,
whether you use application partitions, and how they are configured. Observe se ele é
integrado com o Active Directory, se você usar partições de aplicativo e como eles são
configurados.
2. 2. Control Your Administration O controle da Administração
Active Directory security begins right at the top—your administration model. Segurança
do Active Directory começa logo no início, o seu modelo de administração. Controlling
your administration is the single most important step in securing your forest and it's also
probably the hardest. Controlando sua administração é o passo mais importante para
garantir a floresta e também é provavelmente o mais difícil. Everyone wants to own a
piece of Active Directory, but a well-secured forest model can't allow this. Todo mundo
quer possuir um pedaço de Active Directory, mas um modelo de floresta bem protegido
não pode permitir isso. If your company's installation is like most, your logical Active
Directory design is already set, so you have to work within its constraints. Se a instalação
da sua empresa é como a maioria, a sua lógica design do Active Directory já está
definido, então você tem que trabalhar dentro de suas limitações. If not, you have the
opportunity to build Active Directory from the start. Se não, você tem a oportunidade de
construir Active Directory desde o início.
The forest is the only true security boundary within Active Directory. A floresta é o único
verdadeiro limite de segurança dentro do Active Directory. Domains should be used to
facilitate your company's IT support infrastructure and replication, and OUs should be
used to delegate administration within a domain. Os domínios devem ser utilizadas para
facilitar a sua empresa de suporte de TI e infra-estrutura de replicação, e OUs devem ser
usadas para delegar a administração dentro de um domínio. If you have hard security
constraints between two parts of your company, consider implementing another forest. Se
você tiver restrições de segurança rígido entre duas partes de sua empresa, considere a
implementação de outra floresta. See " Multiple Forest Considerations in Windows 2000
and Windows Server 2003 " for recommendations. Consulte " Considerações Várias
Forest no Windows 2000 e Windows Server 2003 "para as recomendações. If necessary,
add a security-filtered forest trust to communicate with your first forest (see " Planning
and Implementing Federated Forests in Windows Server 2003 " for more information).
Se necessário, adicione um filtro de confiança de floresta de segurança para se comunicar
com sua primeira floresta (ver " Planejamento e Implementação de Federated florestas no
Windows Server 2003 "para mais informações). If your domains are already administered
by different groups, realize that administrative access to any domain controller in the
forest can jeopardize the entire forest. Se seus domínios já estão administrados por
diferentes grupos, percebemos que o acesso administrativo para qualquer controlador de
domínio na floresta pode comprometer toda a floresta. As a result, you need to work
closely with the administrative teams of the other domains to ensure you have a uniform
domain controller (DC) administration model across the forest. Como resultado, você
precisa trabalhar em estreita colaboração com as equipes administrativas dos outros
domínios para garantir que você tenha um controlador de domínio uniforme (DC) modelo
de administração em toda a floresta. For more detail on this topic, read " Design
Considerations for Delegation of Administration in Active Directory ". Para mais
detalhes sobre este assunto, consulte " Considerações de design para delegação de
administração no Active Directory ".
3. 3. Limit the Number of Administrators Limitar o número de administradores
Within your forest, you need to do everything you can to limit the number of
administrators. Dentro de sua floresta, que você precisa fazer tudo que você pode limitar
o número de administradores. Though the Active Directory security model is much better
than it was in Windows NT ® 4.0, it still has a weakness: you can't fully administer a
domain controller without being an administrator of the domain. Embora o Active
Directory modelo de segurança é muito melhor do que era no Windows NT ® 4.0, ele
ainda tem um ponto fraco: você não pode administrar completamente um controlador de
domínio sem ser um administrador do domínio. This means that in a basic Active
Directory implementation, computer operators in locations that contain DCs are usually
members of Domain Admins so they can perform all maintenance functions on these
servers. Isto significa que em uma base de implementação do Active Directory,
operadores de computador em locais que contenham DCs são geralmente os membros do
Domain Admins para que eles possam realizar todas as funções de manutenção nesses
servidores. Don't do this! Não faça isso! You've handed the keys to your Active Directory
forest to a potentially large number of employees with unknown backgrounds and
security qualifications. Você já entregou as chaves de sua floresta do Active Directory
para um número potencialmente grande de trabalhadores com origens desconhecidas e
qualificações de segurança. Instead, follow the time-honored practice of determining
requirements first and then creating a solution based on these requirements. Em vez
disso, siga a prática consagrada pelo tempo de determinar as necessidades em primeiro
lugar e, em seguida, criar uma solução com base nesses requisitos. Meet with operations
management to figure out exactly what tasks they need to perform on DCs. Reúna-se com
a gestão de operações para descobrir exatamente quais as tarefas que precisam executar
em DCs. Then, design a solution using a combination of Group Policy and third-party
tools to grant them as many rights as possible without elevating them to Domain Admins.
Então, a concepção de uma solução utilizando uma combinação de Diretiva de Grupo e
ferramentas de terceiros para conceder-lhes tantos direitos quanto possível, sem elevar-
lhes Domain Admins.
Finally, your administration team must assume the tasks you can't securely delegate to
operations. Finalmente, a sua equipa de administração deve assumir as tarefas que você
não pode delegar a segurança das operações. This is a very touchy area because you're
taking away responsibilities from operations, but you'll have the big stick of information
security on your side. Esta é uma área muito delicada, porque você está tirando as
responsabilidades de operações, mas você terá a big stick de segurança da informação do
seu lado.
4. 4. Test Group Policy Settings Test Settings Group Policy
This is a good opportunity to say a few words about Group Policy. Esta é uma boa
oportunidade para dizer algumas palavras sobre a Diretiva de Grupo. It's the single most
powerful tool for controlling your forest's security. É a ferramenta mais poderosa para
controlar a segurança da sua floresta. Precisely because it's so powerful, however, you
need to make sure you test these settings in a controlled environment before rolling them
out. Precisamente porque é tão poderoso, no entanto, você precisa ter certeza de que você
testar essas configurações em um ambiente controlado antes de rolar para fora. You can
use a duplicate test-bed environment, be it physical or virtual (through the use of
virtualization software such as Virtual Server 2006). Você pode usar uma cópia do
ambiente de ensaio, seja ela física ou virtual (através da utilização de software de
virtualização como o Virtual Server 2006). You can implement these policies in stages by
first linking new security-focused GPOs to individual OUs, then to the entire domain.
Você pode implementar essas políticas em etapas, primeiro ligando nova GPOs de
segurança voltado para OUs individual, em seguida, para todo o domínio.
5. 5. Use Separate Administrative Accounts Use Separe contas administrativas
Once you've limited the number of administrators, make sure all employees who perform
operations with elevated privileges use separate administrative accounts. Uma vez que
você limitou o número de administradores, certifique-se de todos os funcionários que
realizam operações com privilégios elevados utilização separada contas administrativas.
These accounts should have a naming convention that's different from standard accounts
and should reside in their own OU so you can apply unique GPOs to them. Estas contas
deveriam ter uma convenção de nomeação que é diferente de contas padrão e deve residir
no seu próprio modo OU você pode aplicar GPOs exclusivo para eles. You can group
these accounts by the roles they perform and assign rights to these groups rather than to
individuals. Você pode agrupar as contas, os papéis que desempenham e atribuir direitos
a estes grupos e não aos indivíduos. For example, helpdesk members responsible for
account management should have their administrative accounts in a group named
"<domain name> Account Admins", and this group should be added to the Account
Operators built-in group. Por exemplo, os membros do helpdesk responsável pela gestão
de contas deveriam ter suas contas administrativas de um grupo chamado "<nome
Administradores de conta", e este grupo deve ser adicionado ao Operadores de contas
interna no grupo.
6. 6. Restrict Elevated Built-In Groups Restringir elevados Criada em grupos
If your security model follows the recommendations I just outlined, it's relatively easy to
put all elevated built-in groups into Group Policy's Restricted Groups feature. Se o seu
modelo de segurança segue as recomendações que acabamos de descrever, é
relativamente fácil de colocar todos os elevados built-in grupos em função da Diretiva de
Grupo de grupos restritos. This will ensure that the group's membership is enforced every
five minutes, limiting the chance that a rogue administrator will inject their account into
it. Isso irá assegurar que os membros do grupo é aplicada a cada cinco minutos, limitando
a possibilidade de que um administrador desonesto vai injetar sua conta para ela. Use
Restricted Groups to keep groups like Schema Admins empty and to keep Enterprise
Admins very small. Grupos de Uso Restrito para manter grupos como Administradores
de esquema vazio e manter Enterprise Admins muito pequeno.
7. 7. Use a Dedicated Terminal Server for Administration Use um servidor de terminais
dedicados para a Administração
Service administrators (responsible for running core Active Directory services like DCs,
sites, and the schema) should perform all their tasks from dedicated terminal server
administration points (TSAPs) rather than from their desktops. Os administradores de
Serviço (responsável pela execução dos serviços centrais do Active Directory como CDs,
sites, e no esquema) deve realizar todas as suas funções de servidor dedicado terminal
pontos administração (TSAPs) ao invés de seus desktops. This is a much more secure
practice that minimizes any leaking of desktop malware, makes working with a separate
administrative account much less cumbersome and provides a locked-down, customized
administration point. Esta é uma prática muito mais seguro que minimize qualquer
vazamento de malware desktop, torna o trabalho com uma conta administrativa separada
muito menos complexo e fornece uma bloqueado, ponto de administração personalizada.
Keep these TSAPs in their own OU, and use GPOs to prevent Internet access, restrict
logon locally to administrative accounts only, increase auditing procedures, and
implement a password-protected screen saver. Manter estes TSAPs em sua própria OU, e
GPOs usar para impedir o acesso de Internet, restringir logon localmente para contas
administrativas somente, os procedimentos de auditoria aumentar e implementar uma
proteção de tela protegida por senha. Upgrading your TSAP to Windows Server 2003
will cause its Active Directory administration tools to sign and encrypt Lightweight
Directory Access Protocol (LDAP) traffic between itself and your Windows Server 2003
DCs. Actualizar o seu TSAP para o Windows Server 2003 fará com que seu Active
Directory ferramentas de administração para assinar e criptografar Lightweight Directory
Access Protocol (LDAP), o tráfego entre si eo seu Windows Server 2003 DCs.
8. 8. Disable Guest and Rename Administrator Clientes Disable e Administrador
Renomear
Basic account security measures are to disable the guest account and rename the
administrator account. medidas básicas de segurança conta são para desabilitar a conta de
convidado e renomear a conta de administrador. You may have already done this. Você
pode já ter feito isso. Either way, don't forget to also remove the default description of
these accounts, since that's easy for bad guys to search for. De qualquer maneira, não se
esqueça de remover também a descrição do padrão destas contas, já que é fácil para os
bandidos para pesquisar. Most programmatic attacks use the administrator account's well-
known Security Identifier (SID) rather than its name, so renaming Administrator is really
of limited use. A maioria dos ataques programático usar a conta de administrador do bem
conhecido Security Identifier (SID), em vez de seu nome, para mudar o nome do
administrador é realmente de uso limitado. It does show that you're using due diligence
for security audits, however. Ele mostra que você está usando diligência para auditorias
de segurança, no entanto. The rename policy also can be useful for creating a honeypot
Administrator account. A política de mudar o nome também pode ser útil para criar uma
conta de Administrador chamariz. This is an account named Administrator (after you've
renamed the real account) that has a high level of auditing enabled. Esta é uma conta
chamada Administrador (depois que você renomeou a conta real) que tem um elevado
nível de auditoria habilitado. If anyone attempts to log onto this account by guessing the
password, the attempt will be logged. Se alguém tenta fazer login para essa conta,
adivinhando a senha, a tentativa será registrado. If you have an event log monitoring
utility, you can also trigger an alert. Se você tem um log de eventos acompanhamento de
utilidade, você também pode acionar um alerta.
9. 9. Limit Access to the Administrator Account Limitar o acesso à conta de
administrador
You should severely limit the number of people who have access to the real
Administrator account and password. Você deve limitar severamente o número de
pessoas que têm acesso à conta Administrador real e senha. For the highest level of
security, consider the nuclear password option: two (or more) administrators generate two
(or more) eight-digit, random, strong passwords separate from each other; then each
admin enters his password into the password field. Para o maior nível de segurança,
considere a opção de senha nuclear: dois (ou mais) administradores gerar dois (ou mais)
de senhas de oito dígitos aleatórios forte, separados uns dos outros, então cada um admin
entrar sua senha no campo senha. (For a good password generator, take a look at
www.winguides.com/security/password.php .) The account now has a password that is
16-digits or longer and that requires at least two administrators to log on; one
administrator can't do it alone. (Para um gerador de senhas bom, dê uma olhada no
www.winguides.com / security / password.php .) A conta agora tem uma senha de 16
dígitos ou mais e que exige, pelo menos, dois administradores de logon, um
administrador não pode fazer isso sozinho.
10. 10. Watch the DSRM Password Assista a senha de DSRM
An often overlooked but important password is the Directory Service Restore Mode
(DSRM) password on domain controllers. Uma frequentemente esquecido a senha, mas
importante é o Directory Service Restore Mode (DSRM) senha em controladores de
domínio. The DSRM password, unique to each DC, is used to log onto a DC that has
been rebooted into DSRM mode to take its copy of Active Directory offline. A senha
DSRM, exclusivo para cada DC, é utilizado para registrar em um DC que foi reiniciado
em Modo de DSRM ter sua cópia do Active Directory offline. You need to update the
DSRM password regularly because with this password a local operator can copy
NTDS.DIT (the Active Directory database) off the server and reboot before anyone
noticed. Você precisa atualizar a senha DSRM regularmente, pois com a senha de um
operador local pode copiar NTDS.DIT (o Active Directory banco de dados) do servidor e
reiniciar antes que alguém notou. In early builds of Windows 2000, the only way to
change the password was to log on and change it manually—impractical if you have
more than two DCs. No início de compilações do Windows 2000, a única forma de
alterar a senha era para fazer logon e alterá-lo manualmente impraticável se tiver mais de
dois DCs. Windows 2000 Service Pack 2 introduced the SETPWD command (see the
Knowledge Base article " Configure Your Server Wizard sets a blank recovery mode
password ") to remotely update the DSRM password. Windows 2000 Service Pack 2
apresenta o comando setpwd (veja o artigo do Knowledge Base " Configure Your Server
Wizard define um modo de recuperação de senha em branco ") para atualizar
remotamente a senha DSRM. The NTDSUTIL command in Windows 2003 has the
ability to change it remotely (see " How To Reset the Directory Services Restore Mode
Administrator Account Password in Windows Server 2003 "). O comando Ntdsutil no
Windows 2003 tem a capacidade de mudá-la remotamente (consulte " Como Redefinir o
Directory Services Restore Mode Administrator Account senha no Windows Server 2003
"). Create a script to run this operation against your DCs, and run it regularly. Criar um
script para executar esta operação contra o DC e execute-o regularmente.
11. 11. Enforce Strong Password Rules Impor regras de senha forte
By now, you all know the benefits of strong passwords, but it's probably too much to
expect your users to use them willingly. Até agora, todos sabem os benefícios de senhas
fortes, mas é provavelmente demasiado para esperar seus usuários a usá-los de bom
grado. To help them along, you really should enforce strong password rules in your
domain (see " Enabling Strong Password Functionality in Windows 2000 "). Para ajudá-
los junto, você realmente deve fazer cumprir as regras senha forte no seu domínio
(consulte " Ativando Strong Password funcionalidade no Windows 2000 "). You can help
your users by suggesting strategies such as the use of passphrases instead of confusing
word/number/character combinations. Você pode ajudar a seus usuários, sugerindo
estratégias como o uso de senhas em vez da palavra confusa / / número de combinações
de caracteres.
12. 12. Protect the Service Account's Password Proteja senha da conta de serviço
As you know, service accounts are another sore subject. Como você sabe, as contas de
serviço são outro assunto delicado. The nature of service accounts—used on application
servers for the application's service—makes a low-impact password change very difficult,
and so the password is usually set to never expire. A natureza das contas de serviço
utilizadas em servidores de aplicativos para o aplicativo de serviço faz uma alteração de
senha de baixo impacto muito difícil, e por isso a senha é geralmente definida como
nunca expiram. Because the account controls an important service (often on many
servers), compromising the service account's password is not something you want to
happen. Como a conta controla uma importante serviço (muitas vezes em vários
servidores), comprometendo a senha da conta de serviços não é algo que você quer que
aconteça.
Though it may be difficult to solve the password change problem, you can take steps to
mitigate the risk of attack or accidental changes. Embora possa ser difícil resolver o
problema da mudança de senha, você pode tomar medidas para mitigar o risco de ataque
ou de alterações acidentais. Give the accounts a naming convention that identifies them
as service accounts and suggests what they're used for. Dê as contas de uma convenção
de nomeação que os identifica como contas de serviço e sugere que eles são usados. Put
all of these accounts into a group named something like "Service Accounts" and apply a
policy to your application servers to deny the "Log on Locally" policy but allow "Log on
as a Service". Coloque todas as contas em um grupo chamado algo como "contas de
serviço" e aplicar uma política de seus servidores de aplicativos para negar o "Log on
Locally política", mas permitir "fazer logon como um serviço". Keep them in their own
OU so you can apply GPOs unique to their requirements. Mantê-los em seus próprios OU
para que você possa aplicar GPOs única para suas necessidades.
13. 13. Make Sure that Each DC is Physically Secure Verifique se cada DC é fisicamente
seguro
Domain controllers make up the physical aspect of Active Directory. Os controladores de
domínio compõem o aspecto físico do Active Directory. Distributed throughout your
enterprise, each DC has its own copy of the Active Directory database NTDS.DIT.
Distribuídos em toda a empresa, cada DC tem sua própria cópia do banco de dados
NTDS.DIT Active Directory. This means that one of your paramount security concerns is
to make sure that each DC is physically secure. Isto significa que uma de suas
preocupações com a segurança é primordial para se certificar de que cada DC é
fisicamente seguro. If one of them grows legs and walks off, the thief will have physical
access to the directory information tree (DIT) and can run cracking programs against it to
obtain usernames and passwords. Se um deles cresce pernas e se afasta, o ladrão terá
acesso físico à árvore de informações do diretório (DIT) e pode executar programas de
cracking de encontro a ele para obter nomes de usuários e senhas. Therefore, you must
have a reaction plan in place to change all passwords in a domain if one of its DCs is
stolen. Portanto, você deve ter um plano de reação no local para mudar todas as senhas
em um domínio, se um dos seus DCs é roubado.
A proposed feature of the forthcoming version of Windows Server (code-named
"Longhorn") aims to mitigate the risk from this scenario dramatically with the read-only
domain controller (RODC), a DC whose DIT contains no user passwords. Uma
característica da proposta a próxima versão do Windows Server (codinome "Longhorn")
visa reduzir o risco de este cenário dramaticamente com o controlador de domínio
somente leitura (RODC), a DC cujo DIT não contém senhas do usuário. Users are logged
on via a Kerberos referral from a full DC; you can configure the RODC to cache the
passwords of users who use it for authentication. Usuário está conectado através de uma
referência Kerberos a partir de um DC completa, você pode configurar o RODC para
armazenar em cache as senhas dos usuários que o utilizam para autenticação. In a branch
office scenario, only the branch office's users will have their passwords cached on the
RODC so if it's compromised they're the only passwords that must be changed
immediately. Em um cenário de filial, somente os usuários do escritório da sucursal terá
suas senhas em cache no RODC por isso, se é que eles estão comprometidos as senhas só
que deve ser mudado imediatamente. The RODC caching configuration is very flexible;
it even includes a way to determine who had their password cached on it. A configuração
do cache RODC é muito flexível, que inclui até mesmo uma forma de determinar quem
tinha a senha em cache sobre ele. As with all discussion of prerelease software, though,
this is subject to change. Como acontece com toda a discussão do software pré-
lançamento, porém, esta está sujeita a alterações.
14. 14. Minimize Unnecessary Services and Open Ports Minimize os serviços
desnecessários e Portas Abertas
The Windows Server 2003 SP1 Security Configuration Wizard can quickly harden your
DCs in this aspect by stepping you through a wizard to lock it down. O Windows Server
2003 SP1 Security Configuration Wizard pode rapidamente endureçais os vossos DCs
neste aspecto através de um reforço através de um assistente para encerrar o assunto.
One attack to be wary of—a denial of service of sorts—fills the available disk space on a
DC. Um ataque para ser cauteloso, uma negação de serviço do tipo, preenche o espaço
disponível em disco em um DC. There are two ways this attack can be executed. Há duas
maneiras de esse ataque pode ser executado. The first is by attempting to flood Active
Directory with objects. A primeira é a tentativa de inundação do Active Directory com os
objetos. Because Active Directory is hugely scalable, it is unlikely to crash in this
scenario, but flooding Active Directory with objects will increase the size of the database
until it fills the disk partition. Como o Active Directory é altamente escalável, é pouco
provável que a falha nesse cenário, mas cheias de objetos do Active Directory irá
aumentar o tamanho do banco de dados até que ela preencha a partição de disco. Besides
ensuring the DIT is on a partition with lots of free space, consider implementing directory
quotas via DSMOD PARTITION or DSMOD QUOTA. Além de garantir o DIT está em
uma partição com bastante espaço livre, considere a implementação de cotas de diretório
via dsmod partição ou QUOTA dsmod. This will prevent any one security principal from
adding too many objects to the directory. Isso impedirá que qualquer entidade de
segurança da adição de um muitos objetos ao diretório.
Another denial of service attack has to do with flooding the SYSVOL folder with files,
causing it to fill up the boot partition, and crashing the DC. Outro ataque de negação de
serviço tem a ver com a inundação da pasta SYSVOL com arquivos, fazendo com que
encher a partição de boot, e bater a DC. You can't use a quota system in this case, but you
can create a simple reserve file or files to take up existing free disk space. Você não pode
usar um sistema de quotas no caso em apreço, mas você pode criar um arquivo reserva
simples ou arquivos para ocupar espaço em disco livre existente. If you encounter this
type of disk-filling situation, simply erase reserve files, one at a time, to maintain free
disk space until you resolve the root cause. Se você encontrar esse tipo de disco de
enchimento situação, basta apagar os arquivos de reserva, um de cada vez, para manter o
espaço livre em disco até que você resolver a causa raiz. You can easily create reserve
files with the FSUTIL FILE CREATENEW command. Você pode facilmente criar
arquivos de reserva com o comando fsutil createnew FILE.
15. 15. Make the DC Time Source Secure Verifique a fonte de tempo segura DC
Because Active Directory depends on Kerberos, it's very sensitive to time variations
between its DCs. Como o Active Directory depende Kerberos, é muito sensível a
variações de tempo entre os seus DCs. This is especially true in trusts between forests
because they may rely on different time hierarchies. Isto é especialmente verdadeiro em
trusts entre florestas porque eles podem confiar em hierarquias de tempo diferentes. By
default, the PDC operations master in the root domain is the reference to which all other
DCs in the forest look for accurate time. Por padrão, o mestre de operações PDC no
domínio raiz é a referência para o qual todos os outros DCs na floresta para olhar o tempo
exato. What time source does this DC look to for accurate time? Que fonte de tempo faz
este olhar DC para o tempo exato? Is it secure? É seguro?
16. 16. Audit Important Events Auditoria de eventos importantes
You must enable auditing in a domain-level GPO, with no override, to ensure every
system in your domain is tracking important events. Você deve habilitar a auditoria em
um GPO de nível de domínio, sem substituir, para garantir que cada sistema em seu
domínio é o acompanhamento de eventos importantes. You should audit failed logons,
successful and failed account management, object access, and policy change. Você não
deve auditar logons, gerenciamento de contas de sucesso e falha, acesso a objetos, e
mudar a política. Use the same GPO to boost the security log size, because with the
increased auditing you'll need it. Use o mesmo GPO para aumentar o tamanho do log de
segurança, pois com a fiscalização aumentou você vai precisar dele.
17. 17. Use IPsec Use IPsec
Many organizations have dragged their feet on the implementation of IPsec because of
the complex rules you must build, but it's relatively easy to implement for inter-DC
communication only. Muitas organizações têm arrastado os pés sobre a implementação
do IPSec por causa das regras complexas que você deve construir, mas é relativamente
fácil de implementar para a comunicação inter-DC só. For communications from DCs to
clients, there are a number of options to consider. Para as comunicações de CDs para os
clientes, há uma série de opções a considerar. Windows Server 2003 DCs by default have
SMB signing enabled, which means they sign all their communications to the client to
prevent spoofing. Windows Server 2003 por padrão DCs têm a assinatura SMB
habilitada, o que significa que assinar todas as suas comunicações com o cliente para
evitar a falsificação. Its policy is listed as "Microsoft network server: Digitally sign
communications (always)". Sua política é listado como "Servidor de rede Microsoft:
assinar digitalmente a comunicação (sempre)". Be aware of this change when you
upgrade, and don't disable it if you don't have to. Esteja ciente desta mudança quando
você atualizar, e não desativá-lo se você não tem.
18. 18. Don't Store LAN Manager Hash Values Não guarde valores de hash LAN
Manager
You should try to rid yourself of LM (Lan Manager) password hashes if possible; many
password crackers attack the weak LM hash and then deduce the stronger NTLM hash.
Você deve tentar se livrar do LM (LAN Manager) hashes de senha, se possível, muitos
crackers senha atacar o hash LM fracos e, em seguida, deduzir o mais forte hash NTLM.
The policy you need is "Do Not Store LAN Manager Hash Value on Next Password
Change". A política de que você precisa é "Não Store LAN Manager Hash Value na
próxima alteração de senha". Also consider enabling "Send NTLM v2 response only,
refuse LM and NTLM". Contemplar a possibilidade de "Enviar somente resposta NTLM
v2, recusar LM e NTLM". Most down-level clients can be configured to use NTLMv2. A
maioria dos clientes de baixo nível pode ser configurado para usar o NTLMv2. This may
not be possible for Active Directory installations in factory environments or other
installations where embedded Windows is used. Isto pode não ser possível para as
instalações do Active Directory em ambientes de fábrica ou de outras instalações onde
embutido do Windows é usada. Test these settings carefully because they can break
down-level clients. Testar essas configurações com cuidado porque pode quebrar os
clientes de baixo nível. It's important to remember that these clients not only include
Windows NT 4.0 and Windows Me, but also other Server Message Block (SMB)-enabled
network clients like network attached storage (NAS) devices, UNIX clients running
Samba, or embedded Windows devices like factory station controllers. É importante
lembrar que esses clientes só incluem o Windows NT 4.0 e Windows Me, mas também
outras Server Message Block (SMB) habilitado clientes de rede como o armazenamento
anexado à rede (NAS), os clientes UNIX executando o Samba, ou dispositivos
incorporados Windows como fábrica controladores de estação. The Knowledge Base
article " Client, service, and program incompatibilities that may occur when you modify
security settings and user rights assignments " lists recommendations for most DC
security settings and user rights. O artigo do Knowledge Base " do cliente, serviço e
incompatibilidades do programa que podem ocorrer quando você modificar as
configurações de segurança e atribuições de direitos do usuário "listas de recomendações
para a maioria das configurações de segurança do DC e os direitos do usuário.
19. 19. Don't Forget Your Business Practices Não esqueça suas práticas de negócio
Handle emergencies and document procedures for facing situations like compromised
passwords, general Active Directory attacks, and Active Directory disaster recovery.
Manipular emergências e procedimentos de documento para enfrentar situações como
senhas comprometidas, general ataca Active Directory e Active Directory de recuperação
de desastres. Microsoft has done much of this work for you in " Best Practice Guide for
Securing Active Directory Installations ", and " Best Practices: Active Directory Forest
Recovery ". Microsoft tem feito muito desse trabalho para você no " Guia de Boas
Práticas para Proteger Instalações do Active Directory "e" Best Practices: Active
Directory da floresta de recuperação ".