Escolar Documentos
Profissional Documentos
Cultura Documentos
Moc 10222a-Ptb Parte01 PDF
Moc 10222a-Ptb Parte01 PDF
10222A
Configurao e soluo de
problemas dos servios de domnio
do Windows Server 2008 Active
Directory
Volume 1
As informaes includas neste documento, inclusive URLs e referncias a outros sites da Internet,
esto sujeitas a alteraes sem aviso prvio. Salvo indicao em contrrio, os nomes de empresas,
organizaes, produtos, nomes de domnios, endereos de email, logotipos, pessoas, lugares e
acontecimentos aqui mencionados so fictcios e nenhuma associao a empresas, organizaes,
produtos, nomes de domnio, endereos de email, logotipos, pessoas, lugares ou acontecimentos
reais intencional ou deve ser inferida. O cumprimento de todas as leis de direitos autorais
aplicveis de exclusiva responsabilidade do usurio. Sem limitar-se aos direitos autorais, nenhuma
parte deste documento pode ser reproduzida, armazenada ou apresentada em um sistema de
recuperao ou transmitida de qualquer forma ou por qualquer meio (eletrnico, mecnico,
fotocpia, gravao ou de outra forma), ou para qualquer fim, sem a permisso por escrito da
Microsoft Corporation.
A Microsoft pode ter patentes, solicitaes de patente, marcas registradas, direitos autorais ou
outros direitos de propriedade intelectual relativos ao assunto em questo neste documento. Exceto
se expressamente fornecido em qualquer contrato de licena por escrito da Microsoft, o
fornecimento deste documento no lhe concede licena para essas patentes, marcas registradas,
direitos autorais ou outra propriedade intelectual.
Os nomes de fabricantes, produtos ou URLs fornecidos servem apenas para fins informativos, e a
Microsoft no faz promessas nem oferece garantias, expressas, implcitas ou legais, referentes a
esses fabricantes ou ao uso dos produtos com qualquer tecnologia Microsoft. A incluso de um
fabricante ou produto no implica endosso da Microsoft em relao ao fabricante ou produto.
Podem ser fornecidos links para sites de terceiros. Esses sites no so controlados pela Microsoft, e a
Microsoft no se responsabiliza pelo contedo de qualquer site vinculado ou qualquer link existente
em um site vinculado, ou qualquer mudana ou atualizao em tais sites. A Microsoft no se
responsabiliza pela divulgao por webcast ou qualquer outra forma de transmisso recebida de
qualquer site vinculado. A Microsoft fornece esses links para sua convenincia, e a incluso de
qualquer link no implica endosso da Microsoft em relao ao site ou a produtos nele contidos.
Microsoft, Microsoft Press, Access, Active Directory, ActiveX, Convergence, Excel, Forefront, Hyper-V,
Internet Explorer, MS, MSDN, MS-DOS, Outlook, PowerPoint, Segoe, SharePoint, SQL Server, Visio,
Visual Basic, Visual Studio, Windows, Windows Live, Windows Mobile, Windows NT, Windows
PowerShell, Windows Server e Windows Vista so marcas registradas ou marcas comerciais da
Microsoft Corporation nos Estados Unidos e/ou em outros pases.
Todas as outras marcas comerciais pertencem a seus respectivos proprietrios.
Lanamento: 09/2010
TERMOS DE LICENA DA MICROSOFT
OFFICIAL MICROSOFT LEARNING PRODUCTS EDIO DO
INSTRUTOR Verses de Pr-lanamento e final
Estes termos de licena so um acordo entre a Microsoft Corporation e voc. Por favor, leia-os. Eles se
aplicam ao Contedo Licenciado supracitado, que inclui a mdia na qual ele est contido, caso haja uma. Os
termos tambm se aplicam aos seguintes itens da Microsoft:
atualizaes,
suplementos,
servios via Internet e
servios de suporte
referentes a este Contedo Licenciado, a menos que outros termos acompanhem esses itens. Nesse caso,
tais termos se aplicam.
Ao usar o Contedo Licenciado, voc estar aceitando estes termos. Se voc no os aceitar,
no use o Contedo Licenciado.
o uso dos Materiais Acadmicos ser exclusivamente para sua referncia ou treinamento
pessoal;
voc no republicar nem postar os Materiais Acadmicos em nenhum computador de
rede, nem os transmitir em nenhuma mdia;
voc incluir o aviso de direitos autorais original dos Materiais Acadmicos, ou um aviso
de direitos autorais em benefcio da Microsoft no formato indicado abaixo:
Formato do Aviso:
2010 Reimpresso para uso como referncia pessoal apenas com a
permisso da Microsoft Corporation. Todos os direitos reservados.
Microsoft, Windows e Windows Server so marcas registradas ou comerciais
da Microsoft Corporation nos Estados Unidos e/ou em outros pases. Outros
nomes de empresas e produtos aqui mencionados so marcas comerciais de
seus respectivos proprietrios.
6. SERVIOS VIA INTERNET. A Microsoft poder fornecer servios via Internet com o Contedo
Licenciado. Ela poder alter-los ou cancel-los a qualquer momento. Voc no poder usar esses
servios de maneira que possa danific-los ou prejudicar seu uso por outros. Em nenhuma hiptese
voc poder usar os servios para tentar obter acesso no autorizado a qualquer servio, dado, conta
ou rede.
7. ESCOPO DA LICENA. O Contedo Licenciado licenciado, no vendido. Este contrato apenas
outorga a voc alguns direitos de uso do Contedo Licenciado. A Microsoft se reserva todos os outros
direitos. Salvo quando a legislao aplicvel lhe conceder mais direitos do que esta limitao, voc s
poder usar o Contedo Licenciado conforme expressamente permitido neste contrato. Ao fazer isso,
voc dever cumprir quaisquer limitaes tcnicas no Contedo Licenciado que permitam o seu uso
apenas de determinadas maneiras. vedado(a):
a instalao de mais cpias do Contedo Licenciado em Dispositivos de sala de aula do que o
nmero de Alunos mais o Instrutor na Sesso de Treinamento Autorizada;
a concesso de permisso de acesso ao servidor para mais Dispositivos de sala de aula do que o
nmero de Alunos inscritos mais o Instrutor que ministrar a Sesso de Treinamento Autorizada,
caso o Contedo Licenciado esteja instalado em um servidor de rede;
a cpia ou reproduo do Contedo Licenciado em qualquer servidor ou local para posterior
reproduo ou distribuio;
a divulgao dos resultados de qualquer teste de desempenho do Contedo Licenciado a terceiros
sem o prvio consentimento, por escrito, da Microsoft;
a resoluo de limitaes tcnicas no Contedo Licenciado;
a realizao de engenharia reversa, descompilao ou desmontagem do Contedo Licenciado,
exceto e somente na medida em que esta atividade seja expressamente permitida pela legislao
aplicvel, no obstante esta limitao;
a produo de mais cpias do Contedo Licenciado do que aquelas especificadas neste contrato
ou permitidas pela legislao aplicvel, no obstante esta limitao;
a publicao do Contedo Licenciado para a cpia por outras pessoas;
a transferncia do Contedo Licenciado, no todo ou em parte, para um terceiro;
o acesso a ou uso de qualquer Contedo Licenciado para o qual voc (i) no esteja ministrando
um Curso e/ou (ii) no tenha sido autorizado pela Microsoft a acessar e usar;
o aluguel, arrendamento ou emprstimo do Contedo Licenciado; ou
o uso do Contedo Licenciado para servios de hospedagem comercial ou fins comerciais gerais.
Os direitos de acesso ao software para servidor que possa estar includo com o Contedo
Licenciado, inclusive os Discos Rgidos Virtuais, no concedem a voc nenhum direito para
implementar patentes da Microsoft ou outras propriedades intelectuais da Microsoft em softwares
ou dispositivos que acessem o servidor.
8. RESTRIES EXPORTAO. O Contedo Licenciado est sujeito s leis e normas de exportao
dos Estados Unidos. Voc dever cumprir todas as leis e normas nacionais e internacionais de
exportao que se aplicam ao Contedo Licenciado. Essas leis incluem restries a destinos, usurios
finais e uso final. Para obter informaes adicionais, visite a pgina www.microsoft.com/exporting.
9. SOFTWARE/CONTEDO LICENCIADO NO COMERCIALIZVEL (NFR ou Not For
Resale). vedada a venda de software ou Contedo Licenciado identificado como NFR ou Not for
Resale (No Comercializvel).
10. EDIO ACADMICA. Voc dever ser um Usurio Educacional Qualificado para usar Contedo
Licenciado identificado como Academic Edition ou AE. Caso voc no saiba se ou no um Usurio
Educacional Qualificado, visite a pgina www.microsoft.com/education ou contate a afiliada da
Microsoft em seu pas.
11. RESCISO. Sem prejuzo de quaisquer outros direitos, a Microsoft poder rescindir este contrato caso
voc no cumpra os termos e condies destes termos de licena. No caso de seu status como Centro
de Aprendizagem Autorizado ou Instrutor a) expirar, b) ser rescindido voluntariamente por voc e/ou
c) ser rescindido pela Microsoft, este contrato ser rescindido automaticamente. Em caso de resciso
deste contrato, voc dever destruir todas as cpias do Contedo Licenciado e de todos os seus
componentes.
12. CONTRATO INTEGRAL. Este contrato, e os termos dos suplementos, das atualizaes, dos
servios via Internet e dos servios de suporte usados por voc, constituem o contrato
integral para o Contedo Licenciado e os servios de suporte.
13. LEGISLAO APLICVEL.
a. Nos Estados Unidos. Se voc tiver adquirido o Contedo Licenciado nos Estados Unidos, as leis
do Estado de Washington regero a interpretao deste contrato e sero aplicveis s reclamaes
de violao do mesmo, independentemente dos princpios de conflito de leis. As leis do Estado
onde voc vive regero todas as outras reclamaes, incluindo leis de defesa do consumidor,
concorrncia desleal e obrigaes extracontratuais.
b. Fora dos Estados Unidos. Se voc tiver adquirido o Contedo Licenciado em qualquer outro
pas, as leis desse pas sero aplicveis.
14. EFEITO LEGAL. Este contrato descreve alguns direitos legais. Voc poder ter outros direitos de
acordo com as leis do seu pas. Voc tambm poder ter direitos em relao ao terceiro de quem o
Contedo Licenciado foi adquirido. Este contrato no alterar os seus direitos de acordo com as leis do
seu pas, caso as leis do seu pas no o permitam.
15. ISENO DE RESPONSABILIDADE. O Contedo Licenciado licenciado no estado em que
se encontra. O risco de us-lo responsabilidade sua. A Microsoft no oferece garantias
ou condies expressas. Voc poder ter direitos de consumidor adicionais de acordo com
suas leis locais, os quais este contrato no poder alterar. Na extenso permitida pelas leis
locais, a Microsoft exclui as garantias implcitas de comercializao, adequao a uma
finalidade especfica e no-violao.
16. LIMITAO E EXCLUSO DE RECURSOS E DANOS. VOC PODE RECUPERAR DA
MICROSOFT E DE SEUS FORNECEDORES APENAS DANOS DIRETOS LIMITADOS A US$ 5,00
(CINCO DLARES AMERICANOS). NO POSSVEL RECUPERAR OUTROS DANOS,
INCLUINDO CONSEQENCIAIS, LUCROS CESSANTES, ESPECIAIS, INDIRETOS OU
INCIDENTAIS.
Esta limitao aplica-se a:
qualquer assunto relacionado ao Contedo Licenciado, ao software, aos servios, ao contedo
(incluindo cdigo) em sites de Internet de terceiros ou a programas de terceiros; e
reclamaes por violao contratual, quebra de garantia ou condio, responsabilidade objetiva,
negligncia ou outra responsabilidade extracontratual, na extenso permitida pela legislao
aplicvel.
Tambm ser aplicada ainda que a Microsoft saiba ou tivesse que saber sobre a possibilidade dos
danos. A limitao ou excluso acima poder no se aplicar a voc pelo fato de o seu pas no permitir
a excluso ou limitao de danos incidentais, conseqenciais ou outros.
Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory xiii
Reconhecimento
O Microsoft Learning gostaria de prestar reconhecimento e agradecer
contribuio dos profissionais a seguir para a elaborao deste curso. O esforo
deles nas diversas etapas do desenvolvimento garantiu aos alunos uma boa
experincia em sala de aula.
Contedo
Mdulo 1: Introduo ao AD DS (Servios de Domnio Active Directory)
Lio 1: Introduo ao Active Directory, identidade e acesso 1-4
Lio 2: Componentes e Conceitos do Active Directory 1-21
Lio 3: Instalao dos Servios de Domnio Active Directory 1-47
Laboratrio: Instalao de um controlador de domnio do AD DS para
criar uma floresta de domnio nico 1-57
Lio 4: Extenso de IDA com Servios do Active Directory 1-66
Descrio do curso
O objetivo deste curso de 5 dias ensinar aos Especialistas na Tecnologia Active
Directory a configurar o AD DS (Servios de Domnio Active Directory) em um
ambiente distribudo, implementar a Diretiva de Grupo, executar backup e
restaurao, e monitorar e solucionar problemas relacionados ao Active Directory.
Aps concluir este curso, os alunos sero capazes de implementar e configurar os
Servios de Domnio Active Directory em seu ambiente corporativo.
Pblico-alvo
O pblico-alvo deste curso inclui Especialistas na Tecnologia Active Directory,
Administradores de Servio e Administradores Corporativos que desejam aprender
a implementar o Active Directory em um ambiente distribudo; proteger domnios
atravs da Diretiva de Grupo; executar backup e restaurao; e monitorar e
solucionar problemas de configurao do Active Directory para garantir uma
operao tranquila.
Pr-requisitos do aluno
Para participar deste curso, voc precisa estar em conformidade com os seguintes
pr-requisitos:
Noes bsicas de rede. Voc deve compreender como o protocolo TCP/IP
funciona e ter uma noo bsica sobre endereamento, resoluo de nomes
(DNS [Sistema de Nomes de Domnio ]/WINS [Servio de Cadastramento na
Internet do Windows]), mtodos de conexo (com fio, sem fio, VPN [rede
virtual privada) e NET+ ou conhecimento equivalente.
Conhecimento intermedirio dos sistemas operacionais de rede. Voc deve
ter um conhecimento intermedirio de sistemas operacionais como Windows
2000, Windows XP ou Windows Server 2003. recomendvel tambm
compreender o sistema operacional cliente Windows Vista.
Conscientizao das prticas recomendadas de segurana. Voc deve
conhecer as permisses de sistema de arquivos, os mtodos de autenticao, a
estao de trabalho, os mtodos de proteo de servidores etc.
Conhecimento bsico do hardware do servidor. Voc deve ter um A+ ou
conhecimento equivalente.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
ii Sobre este curso
Objetivos do curso
Depois de conclurem este curso, os alunos sero capazes de:
Localizar a funo estratgica de um servio de diretrio em uma empresa no
que diz respeito a identidade e acesso.
Explicar os processos de autenticao e autorizao.
Identificar os principais componentes do AD DS.
Compreender os requisitos de instalao de um controlador de domnio para
criar uma nova floresta.
Identificar as funes de e as relaes entre AD DS, servios AD LDS, AD RMS,
AD FS e AD CS.
Instalar, localizar e descrever os snap-ins usados para administrar o AD DS.
Executar tarefas administrativas bsicas com o snap-in Usurios e
Computadores do Active Directory.
Criar um console do MMC (Console de Gerenciamento da Microsoft) para
administrao.
Executar tarefas administrativas enquanto estiver conectado como um usurio.
Controlar a exibio dos objetos no snap-in Usurios e Computadores do
Active Directory.
Localizar objetos no Active Directory.
Trabalhar com consultas salvas.
Identificar o DN (nome distinto), RDN (nome diferenciado relativo) e CN
(nome comum) de um objeto do Active Directory.
Use o comandos do DS para administrar o Active Directory na linha de
comando.
Criar e configurar as propriedades relacionadas a contas de um objeto de
usurio.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Sobre este curso iii
Estrutura do curso
Esta seo fornece um resumo do curso:
Mdulo 1: explica como instalar e configurar os Servios de Domnio Active
Directory, e como instalar e configurar um controlador de domnio somente
leitura.
Mdulo 2: explica como trabalhar com segurana e eficincia no Active Directory.
Mdulo 3: explica como gerenciar e oferecer suporte s contas de usurio no
Active Directory.
Mdulo 4: explica como criar, modificar, excluir e oferecer suporte aos objetos de
grupo no Active Directory.
Mdulo 5: explica como criar e configurar contas de computador.
Mdulo 6: explica o que Diretiva de Grupo, como ela funciona e qual a melhor
forma de implementa a Diretiva de Grupo na sua organizao.
Mdulo 7: explica como gerenciar a segurana e a instalao de softwares, e como
fazer a auditoria de arquivos e pastas.
Mdulo 8: explica como administrar os Servios de Domnio Active Directory com
segurana.
Mdulo 9: descreve os componentes de autenticao do domnio, incluindo as
diretivas que especificam requisitos de senha e a auditoria das atividades
relacionadas a autenticao.
Mdulo 10: explica como implementar o DNS para dar suporte resoluo de
nomes dentro do domnio do AD DS e fora do seu domnio e da sua intranet.
Mdulo 11: explica como administrar controladores de domnio em uma floresta.
Mdulo 12: explica como criar um servio de diretrio distribudo que oferea
suporte a controladores de domnio em partes da rede que so separadas por links
dispendiosos, lentos ou no confiveis.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Sobre este curso ix
Materiais do curso
Os seguintes materiais foram includos no seu kit:
Manual do curso. Contm o material abordado em aula. Deve ser usado em
conjunto com o CD complementar do curso.
CD complementar do curso. Contm o contedo completo do curso, incluindo o
contedo expandido de cada pgina de tpico, exerccios de laboratrio
completos e suas respectivas respostas, recursos por tpico e categoria, e links
da Web. Deve ser usado dentro e fora da aula.
A tabela a seguir mostra a funo de cada mquina virtual usada neste curso:
Configurao de software
O seguinte software est instalado em todas as mquinas virtuais:
Windows Server 2008 Enterprise
Windows Vista Enterprise
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
xii Sobre este curso
Importante: o nvel de hardware deste curso foi modificado para ser executado, por
padro, supondo-se que 4 GB de RAM esto disponveis na mquina host, em vez de 2
GB, que a quantidade normal de memria necessria, definida pelo hardware nvel 5.5.
Portanto, a configurao padro na instalao e na inicializao definida para ser
executada quando houver 4 GB de RAM disponveis na mquina host. Para conhecer as
etapas detalhadas sobre como configurar esse ambiente, siga as etapas descritas na
seo Configurao da sala de aula Hardware nvel 5.5 com 4 GB de RAM do Guia de
Configurao da Sala de Aula.
Se voc no tiver 4 GB de RAM disponveis nas mquinas dos alunos, ser necessrio
executar etapas de configurao alternativas. Um arquivo de configurao
LauncherSettings.config alternativo fornecido no curso; esse arquivo definir
novamente os valores de RAM de cada mquina virtual para permitir que eles sejam
inicializados e executados na definio normal do hardware nvel 5.5, com a alocao de
2 GB de RAM disponveis na mquina host. Para obter detalhes sobre como configurar a
sala de aula em que h somente 2 GB disponvel nas mquinas dos alunos, consulte a
seo Configurao da sala de aula Hardware nvel 5.5 com 4 GB de RAM do Guia de
Configurao da Sala de Aula.
altamente recomendvel que voc leia o MSL Lab Launcher Getting Started Guide
disponvel no MCT Download Center. Esse documento contm informaes sobre como
instalar e personalizar o MSL Lab Launcher e complementar o contedo do guia de
configurao deste curso.
Cada computador da sala de aula funcionar como host de cinco mquinas virtuais
que sero executadas no Virtual Server 2005R2 SP1.
O tempo estimado para configurao da sala de aula aproximadamente 140
minutos.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Introduo ao AD DS (Servios de Domnio Active Directory) 1-1
Mdulo 1
Introduo ao AD DS (Servios de Domnio
Active Directory)
Sumrio:
Lio 1: Introduo ao Active Directory, identidade e acesso 1-4
Lio 2: Componentes e conceitos do Active Directory 1-21
Lio 3: Instalao dos Servios de Domnio Active Directory 1-47
Laboratrio: Instalao de um controlador de domnio do AD DS para
criar uma floresta de domnio nico 1-57
Lio 4: Extenso de IDA com Servios do Active Directory 1-66
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
1-2 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
O Active Directory e seus servios relacionados compem a base das redes que
executam o Windows, pois juntos eles trabalham para armazenar informaes
sobre as identidades de usurios, computadores e servios, autenticar um usurio
ou um computador e fornecer um mecanismo com o qual o usurio ou
computador pode acessar recursos na empresa. Neste mdulo, voc comear a
explorar o Active Directory do Windows Server 2008 instalando a funo do AD
DS (Servios de Domnio Active Directory) e criando um DC (controlador de
domnio) em uma nova floresta do Active Directory. Voc descobrir que o
Windows Server 2008 d continuidade evoluo do Active Directory mediante o
aprimoramento de muitos dos conceitos e recursos com os quais voc j est
familiarizado graas sua experincia com o Active Directory.
Este mdulo concentra-se na criao de uma nova floresta do Active Directory com
um nico domnio em um nico controlador de domnio. O Laboratrio deste
mdulo orientar voc na criao de um domnio chamado contoso.com, que ser
usado em todos os outros laboratrios deste curso. Nos mdulos posteriores, voc
aprender a implementar outros cenrios, como florestas de vrios domnios,
atualizaes de florestas existentes para o Windows Server 2008 e opes de
instalao avanadas.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Introduo ao AD DS (Servios de Domnio Active Directory) 1-3
O mais importante de tudo que este mdulo prepara a base do curso inteiro ao
apresentar uma "viso geral" do Active Directory. Voc ir rever conceitos-chave de
autenticao, autorizao e servios de diretrio e ter uma viso geral de alto nvel
sobre os principais componentes do Active Directory e como eles se combinam.
Seja voc bastante experiente com o Active Directory ou um novato na plataforma,
este mdulo o capacitar a entender onde voc ir chegar neste curso.
Objetivos
Aps concluir este mdulo, voc ser capaz de:
Localizar a funo estratgica de um servio de diretrio em uma empresa no
que diz respeito a identidade e acesso.
Explicar os processos de autenticao e autorizao.
Identificar os principais componentes do AD DS.
Compreender os requisitos de instalao de um controlador de domnio para
criar uma nova floresta.
Identificar as funes do AD DS, AD LDS, AD RMS, AD FS e AD CS e as
relaes entre eles.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
1-4 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Lio 1
Introduo ao Active Directory, identidade e
acesso
Objetivos
Aps concluir esta lio, voc ser capaz de:
Explicar conceitos, terminologia, processos e tecnologias de autenticao e
autorizao.
Localizar a funo estratgica de um servio de diretrio em uma empresa no
que diz respeito a identidade e acesso.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Introduo ao AD DS (Servios de Domnio Active Directory) 1-5
Pontos principais
Se voc resumir tudo, a funo de um profissional de TI (tecnologia da
informao) conectar usurios com as informaes de que eles precisam para
fazer seu trabalho. Isso seria muito fcil se no tivssemos de nos preocupar com
algo chamado "segurana". Como os usurios precisam de diferentes nveis de
acesso a diferentes classes de informao, devemos gerenciar a associao dos
usurios certos com os nveis de acesso corretos: proteo das informaes.
O setor define vrias abordagens para obter proteo das informaes. Cada uma
dessas estruturas de "sopa de letrinhas" basicamente um ponto de vista diferente
sobre o mesmo problema:
IDA: identidade e acesso. Usurios e outras entidades de segurana (que podem
incluir computadores, servios e grupos) so representados como identidades
(com frequncia chamadas de "contas") que recebem acesso (permisses) a
informaes, recursos ou sistemas.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
1-6 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Leitura adicional
Solues de identidade e acesso da Microsoft (em ingls) -
http://go.microsoft.com/fwlink/?LinkId=168485
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Introduo ao AD DS (Servios de Domnio Active Directory) 1-7
Pontos principais
No centro da proteo das informaes esto dois conceitos essenciais: identidade
e acesso, ou IDA.
Vamos usar alguns minutos para examinar os fundamentos, componentes,
processos e tecnologias de identidade e acesso em sistemas Windows. Embora a
maior parte destas informaes ou todas elas sejam familiares para voc, levando
em considerao a sua experincia anterior com o Windows, importante definir a
base do Active Directory e esclarecer a terminologia, os componentes e os
processos envolvidos em IDA.
Em um sistema protegido, cada usurio representado por uma identidade. Em
sistemas Windows, a identidade a conta do usurio. As contas de um ou mais
usurios so mantidas em um armazenamento de identidades, tambm chamado de
banco de dados de diretrio. Em sistemas Windows, uma identidade chamada de
entidade de segurana. As entidades de segurana so identificadas de maneira
exclusiva por um atributo, conhecido como identificador de segurana, ou SID.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
1-8 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Na outra ponta do sistema est o recurso para o qual o usurio precisa de acesso. O
recurso protegido com permisses, e cada uma delas determina uma combinao
de um nvel especfico de acesso com uma identidade. Muitos recursos do
Windows, como arquivos e pastas em volumes NTFS (principalmente), so
protegidos por um descritor de segurana devidamente nomeado que contm uma
DACL (lista de controle de acesso discricionrio) em que cada permisso assume a
forma de uma ACE (entrada de controle de acesso).
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Introduo ao AD DS (Servios de Domnio Active Directory) 1-9
Autenticao e autorizao
Pontos principais
Entre o usurio (entidade de segurana) e o acesso ao recurso existem alguns
conceitos e processos importantes.
Os prximos quatro slides detalharo este processo.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
1-10 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Autenticao
Pontos principais
Autenticao o processo de verificar a identidade de um usurio. O usurio
fornece credenciais, que consistem em pelo menos dois componentes: um nome de
logon e um segredo (como uma senha), que apenas o usurio e o sistema
conhecem. O sistema valida a exatido das credenciais apresentadas pelo usurio
comparando-as com aquelas armazenadas como parte da identidade.
Existem dois tipos de autenticao: local e remota. O logon local ou interativo
ocorre quando um usurio faz logon em um computador diretamente; por
exemplo, quando voc faz logon no seu laptop pela manh. O logon remoto ou de
rede quando voc se conecta a outro computador, como um servidor de
arquivos, um servidor de emails ou mesmo um controlador de domnio, para
recuperar um script de logon.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Introduo ao AD DS (Servios de Domnio Active Directory) 1-11
Tokens de acesso
Pontos principais
Depois que um usurio autenticado, a LSA (autoridade de segurana local) gera
um token de acesso e segurana (tambm chamado de token de segurana ou token de
acesso) que representa o usurio no sistema; para isso, a LSA coleta o SID do
usurio e de todos os grupos aos quais ele pertence. O token de acesso tambm
representa privilgios (chamados de direitos de usurio) do usurio no sistema,
como o direito de desligar o sistema ou at mesmo de fazer logon no sistema
interativamente (localmente).
importante lembrar que o token de acesso gerado e armazenado localmente no
computador que autenticou o usurio. Quando um usurio faz logon em seu
desktop (logon local ou interativo), o desktop cria um token de segurana e,
presumindo que o usurio tenha direito de fazer logon no sistema interativamente,
chama o processo do Windows Explorer, que cria a rea de trabalho.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
1-12 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
O descritor de segurana de um recurso protegido, como um arquivo ou uma pasta
de um volume NTFS, descreve integralmente suas caractersticas de segurana. O
descritor de segurana contm a DACL, que por sua vez contm entradas de
controle de acesso (ACEs, ou "permisses"). Cada permisso composta por um
sinalizador, que indica se a ACE uma ACE Permitir ou Negar, um Objeto de
confiana (o SID de um usurio ou grupo) e uma marca de acesso que especifica
um nvel de acesso. Portanto, a ACE define quem (o Objeto de confiana
representado pelo SID) pode ou no pode fazer o que (representado pela mscara
de acesso).
O descritor de segurana tambm contm a SACL (lista de controle de acesso do
sistema), que contm configuraes de auditoria e atributos, como o proprietrio
do objeto. Como a DACL o foco da maior parte da rotina de gerenciamento de
segurana de um recurso, muitas vezes o nome e o acrnimo so abreviados. Por
isso, a forma abreviada lista de controle de acesso, ou ACL, embora tecnicamente
imprecisa, usada por muitos administradores e em vrias documentaes
(inclusive neste curso) para se referir DACL.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
1-14 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Autorizao
Pontos principais
Autorizao o processo que determina se um certo nvel de acesso a um recurso
deve ser concedido ou negado para um usurio. feita uma solicitao de acesso
que indica o recurso, o nvel de acesso e o token de segurana que representa o
usurio. Em seguida, o subsistema de segurana examina a ACL do recurso,
comparando os SIDs das ACEs com os do token de segurana. A primeira ACE a
coincidir com um SID no token e o tipo desejado de acesso determina se o usurio
pode (se a ACE uma ACE Permitir) ou no (se a ACE uma ACE Negar) acessar
o recurso. Quando no h correspondncia, o acesso negado.
Leitura adicional
Tecnologias de logon e autenticao (em ingls):
http://technet.microsoft.com/pt-br/library/cc780455(WS.10).aspx
Tecnologias de autorizao e controle de acesso (em ingls):
http://technet.microsoft.com/pt-br/library/cc782880(WS.10).aspx
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Introduo ao AD DS (Servios de Domnio Active Directory) 1-15
Pontos principais
Em uma configurao autnoma de sistemas Windows, tambm chamada de grupo
de trabalho, cada computador mantm somente um armazenamento de identidades
confivel: uma lista local de usurios e grupos armazenada no Registro, chamada
banco de dados do Gerenciador de Contas de Segurana, ou SAM.
Como os sistemas Windows so seguros, um usurio no pode nem mesmo fazer
logon em um computador sem ter uma conta de usurio nesse sistema. Ele deve
apresentar credenciais validadas com base nas identidades do SAM. Depois que o
usurio autenticado e autorizado para logon local, acionado o processo do
Windows Explorer, que gera a j conhecida rea de trabalho do Windows.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
1-16 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Os desafios de gerenciamento e segurana de um grupo de trabalho so resolvidos
por meio da centralizao do armazenamento de identidades, de modo que exista
apenas uma identidade (conta de usurio) necessria para um usurio - um
armazenamento de identidades confivel para todos os computadores. Essa
unidade de identidade confivel criada com a introduo de um domnio do
Active Directory.
Um domnio do Active Directory fornece um armazenamento de identidades
centralizado confivel para todos os membros do domnio, isto , todos os
computadores que mantm contas no domnio. Um domnio tambm fornece um
servio de autenticao centralizado. Tanto o armazenamento de identidades (o
banco de dados do Active Directory) quanto o servio de autenticao, junto com
inmeros outros componentes e servios sobre os quais voc aprender neste
curso, so hospedados em um servidor que desempenha a funo de controlador de
domnio.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
1-18 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Como mencionado nas introdues ao mdulo e a esta lio, o Active Directory
fornece a soluo de IDA para redes corporativas baseadas no Windows. O IDA
necessrio para manter a segurana de recursos empresariais, como arquivos,
emails, aplicativos e bancos de dados. Uma infraestrutura de IDA deve fazer o
seguinte:
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Introduo ao AD DS (Servios de Domnio Active Directory) 1-19
Lio 2
Componentes e conceitos do Active Directory
Objetivos
Aps concluir esta lio, voc ser capaz de:
Identificar os principais componentes do AD DS.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
1-22 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
O Active Directory um banco de dados de configurao e recursos empresariais.
Um pacote de servios d suporte ao banco de dados e utiliza as informaes
contidas nele para fornecer identidade e acesso corporativo. Na terminologia de
banco de dados, cada "registro" do banco de dados do Active Directory um objeto
do Active Directory, como um usurio, grupo ou computador. Cada "campo" um
atributo, tambm chamado de propriedade de um objeto. Os atributos incluem o
nome, a senha, a descrio, a associao ou o SID do objeto.
As entidades de segurana, tambm chamadas de "contas", so um tipo especfico
de objeto no AD DS. As entidades de segurana possuem vrios atributos
exclusivos, sendo que o mais importante deles o SID. O SID utilizado para
atribuir acesso a recursos para uma conta, conforme aprendemos na lio anterior.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Introduo ao AD DS (Servios de Domnio Active Directory) 1-23
Pontos principais
Nesta demonstrao, o instrutor apresentar a funo e a estrutura do esquema
fazendo um tour pelo Esquema do Active Directory.
Muitas vezes, o esquema comparado a um plano grfico do Active Directory. Ele
define os atributos e tipos de objetos que podem ser armazenados no diretrio. Por
exemplo, o fato de o Active Directory poder ter objetos de usurio e a necessidade
de os objetos de usurio terem um nome de logon e um endereo de email
(opcional) determinado pelo esquema.
O esquema tem dois contineres principais. O continer Attributes armazena as
definies de cada atributo suportado pelo Active Directory. possvel abrir os
atributos de propriedades com as quais voc j est familiarizado:
objectSID: identificador de segurana.
sAMAccountName: o nome de logon anterior ao Windows 2000, que a
maioria dos administradores chama de "nome de usurio".
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Introduo ao AD DS (Servios de Domnio Active Directory) 1-25
Etapas da demonstrao
1. Na mquina virtual 10222A-HQDC01-A, abra
D:\AdminTools\ADConsole.msc. Expanda os ns Active Directory > Esquema
do Active Directory [HQDC01.contoso.com].
2. Examine o continer Attributes. Abra as Propriedades dos seguintes itens:
objectSID
sAMAccountName (o que a maioria dos administradores chama de nome de
usurio)
unicodePwd
member
descrio
3. Abra o continer Classes. Enquanto percorre o continer, observe classes de
objeto familiares, como usurio, computador e grupo.
Leitura adicional
O que o esquema do Active Directory? (em ingls)
http://technet.microsoft.com/pt-br/library/cc784826(WS.10).aspx
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
1-26 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Unidades organizacionais
Pontos principais
O Active Directory um banco de dados hierrquico. Os objetos do
armazenamento de dados podem ser reunidos em contineres. Um tipo de
continer a classe de objeto chamada continer. Voc viu os contineres padro,
como Usurios, Computadores e Builtin, ao abrir o snap-in Usurios e
Computadores do Active Directory. Outro tipo de continer a UO (unidade
organizacional). As UOs fornecem no apenas um continer para objetos, mas
tambm um escopo com o qual gerenci-los. Isso ocorre porque as UOs podem ter
objetos chamados GPOs (Objetos de Diretiva de Grupo) vinculados a elas. Os
GPOs podem conter parmetros de configurao que sero aplicados
automaticamente por usurios ou computadores de uma UO.
Leitura adicional
Os Mdulos 6 e 8 discutem a finalidade, o gerenciamento e o design de
unidades organizacionais.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Introduo ao AD DS (Servios de Domnio Active Directory) 1-27
Pontos principais
A administrao baseada em diretiva diminui a carga de gerenciamento at mesmo
das maiores e mais complexas redes, pois fornece um nico ponto para configurar
parmetros que so implantados em vrios sistemas.
A Diretiva de Grupo permite definir configuraes de segurana e milhares de
parmetros de configurao para um ou mais usurios ou computadores da
empresa. Por exemplo, a Diretiva de Grupo que define diretivas de senha e
bloqueio para um domnio, especificando o comprimento mnimo das senhas e a
poltica de expirao de senha. A Diretiva de Grupo pode especificar configuraes
de auditoria, por exemplo, para monitorar o acesso a pastas no servidor ou as
alteraes feitas em grupos de segurana sigilosos do Active Directory, como
Administradores do Domnio. A Diretiva de Grupo tambm pode gerenciar a
configurao, por exemplo, especificando uma home page do Microsoft Internet
Explorer para um grupo de usurios ou impedindo usurios de acessar
ferramentas de edio do Registro.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
1-28 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
O conceito importante de Diretiva de Grupo que deve ser entendido neste ponto
do curso que a Diretiva de Grupo permite definir a configurao em um objeto
chamado GPO. Um GPO pode ser aplicado a um ou mais usurios ou
computadores.
Outro exemplo de gerenciamento baseado em diretiva so as diretivas refinadas de
senha e bloqueio, um novo recurso do Windows Server 2008. Agora possvel
especificar diferentes diretivas de senha e bloqueio para diferentes grupos de
usurios do ambiente. Por exemplo, voc pode configurar um comprimento
mnimo de senha maior e uma diretiva de alterao de senha mais frequente para
os membros do grupo Administradores do Domnio do que para usurios normais.
interessante e importante observar que essas tecnologias permitem que o Active
Directory v alm do simples gerenciamento de identidades e acesso e d uma
contribuio significativa para o gerenciamento mais amplo de sua rede
corporativa.
Leitura adicional
Os Mdulos 6 a 9 detalham o gerenciamento baseado em diretiva.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Introduo ao AD DS (Servios de Domnio Active Directory) 1-29
Pontos principais
Como mencionado na lio anterior, o AD DS armazena suas identidades no
diretrio - um armazenamento de dados hospedado em controladores de domnio.
O diretrio um nico arquivo, chamado ntds.dit, e por padro est localizado na
pasta %systemroot%\ntds de um controlador de domnio.
O banco de dados dividido em vrias parties, o que ser detalhado nos
prximos mdulos. As parties incluem:
Esquema: discutido em um tpico anterior.
Contexto de nomenclatura de domnio (NC de domnio): uma partio
especialmente importante para a administrao cotidiana, pois contm os
dados sobre os objetos de um domnio - os usurios, grupos e computadores,
por exemplo. Quando voc faz alteraes no Active Directory usando o snap-in
Usurios e Computadores do Active Directory, est modificando o contedo
do NC de Domnio.
Configurao: contm informaes sobre domnios, servios e topologia.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
1-30 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Leitura adicional
Voc aprender mais sobre as parties do Active Directory e o SYSVOL ao
longo deste curso. DNS o foco do Mdulo 10, e o PAS examinado com
detalhes no Mdulo 12. O contedo de SYSVOL explorado no Mdulo 6, e
os objetos armazenados na Configurao so discutidos no Mdulo 12. Os
objetos da partio Domnio so abordados nos Mdulos 3 a 6, e as tarefas de
manuteno e administrao de banco de dados so detalhadas nos Mdulos
9 e 13.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Introduo ao AD DS (Servios de Domnio Active Directory) 1-31
Controladores de domnio
Pontos principais
Os controladores de domnio, tambm chamados de controladores de domnio,
so servidores que desempenham a funo do AD DS. Como parte dessa funo,
eles hospedam e replicam o banco de dados do Active Directory (NTDS.DIT) e
SYSVOL.
Os controladores de domnio tambm executam o servio Centro de Distribuio
de Chaves Kerberos, que executa autenticao e outros servios do Active
Directory.
Devido grande importncia da autenticao para a empresa, podemos imaginar
que a orientao de prtica recomendada ter pelo menos dois controladores de
domnio disponveis para que, se os clientes no conseguirem acessar um, tenham
acesso ao outro.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
1-32 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Leitura adicional
Os controladores de domnio so discutidos ao longo deste curso, mas os
Mdulos 11 e 12 abordam especificamente a administrao e o
posicionamento dos controladores de domnio. O Mdulo 9 discute os
RODCs.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Introduo ao AD DS (Servios de Domnio Active Directory) 1-33
Domnio
Pontos principais
So necessrios um ou mais controladores de domnio para criar um domnio do
Active Directory. Um domnio uma unidade administrativa onde so
compartilhados certos recursos e caractersticas. Primeiro, todos os controladores
de domnio replicam a partio do domnio do armazenamento de dados, que
contm, entre outras coisas, os dados de identidade dos usurios, grupos e
computadores do domnio. Como todos os controladores de domnio mantm o
mesmo armazenamento de identidades, qualquer controlador de domnio pode
autenticar qualquer identidade em um domnio.
Um domnio tambm um escopo de diretivas administrativas, como as diretivas
de complexidade de bloqueio de contas e senhas. Essas diretivas configuradas em
um domnio afetam todas as contas existentes nele, mas no as contas de outros
domnios.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
1-34 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Leitura adicional
Voc aprender mais sobre domnios ao longo deste curso, e o Mdulo 14
destaca as consideraes de design relacionadas ao nmero de domnios que
voc deve ter na empresa.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Introduo ao AD DS (Servios de Domnio Active Directory) 1-35
Replicao
Pontos principais
Os servios de replicao distribuem dados de diretrios em uma rede. Isso inclui
o armazenamento de dados e os dados necessrios para implementar diretivas e
configurao, como scripts de logon. Voc aprender no Mdulo 12 que a
replicao do Active Directory eficiente e robusta.
O Active Directory mantm uma partio separada do armazenamento de dados,
chamada Configurao, que armazena informaes sobre a configurao, a
topologia e os servios de rede: o NC de Configurao.
Leitura adicional
A Replicao do Active Directory abordada com detalhes no Mdulo 12. A
replicao de SYSVOL discutida no Mdulo 9.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
1-36 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Sites
Pontos principais
Ao considerar a topologia de rede de uma empresa distribuda, certamente voc
discutir os sites da rede. No entanto, no Active Directory, os sites tm um
significado muito peculiar porque h uma classe de objeto especfica chamada site.
Um site do Active Directory um objeto que representa uma parte da empresa
onde a conectividade de rede boa. Um site cria um limite de replicao e
utilizao de servio.
Os controladores de domnio de um site replicam alteraes em questo de
segundos. As alteraes so replicadas entre os sites de forma controlada,
supondo-se que as conexes entre sites sejam lentas, caras ou no confiveis em
comparao com as conexes dentro de um site.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Introduo ao AD DS (Servios de Domnio Active Directory) 1-37
Leitura adicional
Os objetos de sub-rede e sites do Active Directory so discutidos no Mdulo 12.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
1-38 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
rvore
Pontos principais
O namespace DNS (Sistema de Nomes de Domnio) dos domnios de uma floresta
cria rvores na floresta. Se um domnio um subdomnio de outro domnio, os
dois so considerados uma rvore. Por exemplo, se a floresta treyresearch.net
contm dois domnios, treyresearch.net e antarctica.treyresearch.net, esses
domnios constituem uma parte contgua do namespace DNS, portanto so uma
nica rvore. Por outro lado, se os dois domnios so treyresearch.net e
proseware.com, que no so contguos no namespace DNS, considera-se que a
floresta tem duas rvores. rvores so o resultado direto dos nomes DNS
escolhidos para os domnios da floresta.
O slide ilustra uma floresta do Active Directory da Trey Research, que mantm uma
pequena operao em uma estao de campo na Antrtida. Como a conexo da
Antrtida com a sede cara, lenta e no confivel, Antarctica est configurado
como um domnio parte. O nome DNS da floresta treyresearch.net. O domnio
Antarctica um domnio filho no namespace DNS, antarctica.treyresearch.net, por
isso considerado um domnio filho na rvore de domnio.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Introduo ao AD DS (Servios de Domnio Active Directory) 1-39
Leitura adicional
Os conceitos e o design de uma floresta de vrios domnios so discutidos no
Mdulo 14.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
1-40 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Floresta
Pontos principais
Uma floresta uma coleo de um ou mais domnios do Active Directory. O
primeiro domnio instalado em uma floresta chama-se domnio raiz da floresta. Uma
floresta contm uma nica definio de configurao de rede e uma nica instncia
do esquema de diretrio. Em outras palavras, cada controlador de domnio de uma
floresta replica as parties Configurao e Esquema.
Uma floresta uma nica instncia do diretrio - nenhum dado replicado pelo
Active Directory fora dos limites da floresta. Portanto, a floresta define um limite de
replicao e de segurana.
Leitura adicional
Os conceitos e o design de uma floresta de vrios domnios so discutidos no
Mdulo 14.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Introduo ao AD DS (Servios de Domnio Active Directory) 1-41
O Catlogo Global
Pontos principais
Vrios componentes e tecnologias permitem consultar o Active Directory para
localizar objetos no armazenamento de dados. Uma partio do armazenamento
de dados chamada catlogo global (tambm conhecido como conjunto de atributos
parcial) contm informaes sobre cada objeto do diretrio. uma espcie de
ndice que pode ser utilizado para localizar objetos no diretrio. Ele
particularmente importante quando voc procura objetos em outro domnio de
uma floresta. Como os controladores de domnio do seu domnio no contero
informaes sobre objetos de outros domnios, voc deve contar com o catlogo
global, que possui o conjunto de atributos parcial indexado de todos os objetos de
outros domnios.
Leitura adicional
O catlogo global explorado com detalhes no Mdulo 12.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
1-42 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Nvel funcional
Pontos principais
A funcionalidade disponvel no domnio ou na floresta do Active Directory
depende do seu nvel funcional. O nvel funcional uma configurao do AD DS
que permite usar recursos avanados do AD DS no domnio inteiro ou na floresta
inteira. Existem trs nveis funcionais de domnio (Windows 2000 nativo,
Windows Server 2003 e Windows Server 2008) e dois nveis funcionais de floresta
(Windows Server 2003 e Windows Server 2008). medida que voc aumenta o
nvel funcional de um domnio ou de uma floresta, os recursos fornecidos pela
verso do Windows se tornam disponveis para o AD DS. Por exemplo, quando o
nvel funcional do domnio elevado para Windows Server 2008, torna-se
disponvel um novo atributo que revela a ltima vez em que o usurio fez logon
com xito em um computador, o computador em que o usurio fez logon pela
ltima vez e o nmero de tentativas de logon malsucedidas desde o ltimo logon.
O fato importante que voc precisa saber sobre nveis funcionais que eles
determinam as verses do Windows permitidas em controladores de domnio.
Para que voc possa elevar o nvel funcional de um domnio para Windows Server
2008, todos os controladores de domnio devem estar executando o Windows
Server 2008.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Introduo ao AD DS (Servios de Domnio Active Directory) 1-43
Leitura adicional
Os nveis funcionais so apresentados com detalhes no Mdulo 14.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
1-44 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
O Active Directory e o DNS tm uma relao muito prxima. Primeiro, existe uma
relao um-para-um entre um nome DNS e um domnio do Active Directory. Em
segundo lugar, h total confiana no DNS para localizar computadores e servios
no domnio. Em terceiro lugar, bastante comum configurar controladores de
domnio para que eles tambm funcionem como servidores DNS. Quando voc faz
isso, tem a opo de armazenar dados de DNS, chamados de zona, no prprio
Active Directory.
O armazenamento de dados do Active Directory tambm pode ser usado para dar
suporte a aplicativos e servios no diretamente relacionados ao AD DS. Dentro do
banco de dados, as parties de aplicativos podem armazenar dados para dar
suporte a aplicativos que exigem dados replicados. O servio DNS em um servidor
Windows Server 2008 pode armazenar suas informaes em um banco de dados
chamado zona integrada ao Active Directory, que mantido como uma partio de
aplicativo no AD DS e replicado usando servios de replicao do Active Directory.
Leitura adicional
O DNS abordado no Mdulo 10.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Introduo ao AD DS (Servios de Domnio Active Directory) 1-45
Relaes de confiana
Pontos principais
No incio deste mdulo, voc considerou a configurao padro autnoma de
"grupo de trabalho" do Windows Server. Em seguida, aprendeu que, quando uma
mquina ingressa em um domnio, a Autoridade de Segurana Local do sistema
comea a confiar no armazenamento de identidades e nos servios de autenticao
fornecidos pelo domnio. Isso permite que uma conta de usurio armazenada no
domnio seja autenticada e d acesso a recursos do servidor.
O mesmo conceito se estende a outros domnios. Um domnio pode autenticar
usurios de outro e permitir que esses usurios recebam acesso a recursos do
domnio. Isso feito ao se estabelecer uma relao de confiana entre domnios.
Em uma relao de confiana, o domnio de confiana estende seu realm de
confiana para que ele confie no armazenamento de identidades e nos servios de
autenticao do domnio. As contas de usurio no domnio de confiana podem
ser melhor autenticadas, e os SIDs das contas de usurio no domnio confivel
podem ser adicionados a ACLs no domnio de confiana.
Em uma floresta, um domnio confia no outro. Voc deve estabelecer relaes de
confiana manualmente entre os domnios de florestas diferentes.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
1-46 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Leitura adicional
As relaes de confiana so abordadas no Mdulo 14.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Introduo ao AD DS (Servios de Domnio Active Directory) 1-47
Lio 3
Instalao dos Servios de Domnio Active
Directory
Objetivos
Aps concluir esta lio, voc ser capaz de:
Compreender os requisitos de instalao de um controlador de domnio para
criar uma nova floresta.
Configurar um controlador de domnio com a funo do AD DS usando a
interface do Windows.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
1-48 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
A instalao do Windows Server 2008 um processo simples:
1. Insira o DVD de instalao do Windows Server 2008.
2. Ligue o sistema.
Se o disco rgido do sistema estiver vazio, o sistema inicializar a partir do
DVD. Se no houver informaes no disco, talvez voc tenha de pressionar
uma tecla para inicializar do DVD.
Caso o sistema no seja inicializado do DVD nem oferea um menu de
inicializao, v para as configuraes de BIOS da mquina e defina a ordem
de inicializao para assegurar que o sistema seja inicializado do DVD.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Introduo ao AD DS (Servios de Domnio Active Directory) 1-49
9. Clique em Avanar.
A caixa de dilogo Instalando o Windows exibida, mostrando a captura de
tela a seguir. A janela mantm voc informado sobre o andamento da
instalao do Windows.
11. Insira uma senha para a conta Administrador nas caixas Nova Senha e
Confirmar Senha e pressione ENTER.
A senha deve ter no mnimo sete caracteres e pelo menos trs destes quatro
tipos de caracteres:
Letras maisculas: AZ
Letras minsculas: az
Nmeros: 09
Caracteres no alfanumricos: smbolos como $, #, @ e !
12. Clique em OK.
Pontos principais
Para reduzir os custos de gerenciamento e a exposio a vulnerabilidades de
segurana, a instalao do Windows Server 2008 instala somente os principais
componentes do sistema operacional. No entanto, diferentemente das verses
anteriores do Windows, o resultado uma instalao mnima em vez de um
servidor multifuncional. Assim, aps a instalao do sistema operacional, voc
dever adicionar os componentes necessrios para o servidor com base na funo
que ele desempenhar na sua empresa. A funcionalidade do Windows Server 2008
adicionada na forma de funes e recursos. O console de Gerenciamento de
Servidor permite adicionar e remover funes. Ele tambm mostra os snap-ins
administrativos mais comuns com base na funo do servidor.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
1-54 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Antes de instalar a funo AD DS em um servidor e promov-lo para atuar como
controlador de domnio, voc deve planejar a infraestrutura do Active Directory.
Entre as informaes necessrias para criar um controlador de domnio esto as
seguintes:
O nome e o nome DNS do domnio. Um domnio deve ter um nome DNS
exclusivo, como contoso.com, e um nome curto, como CONTOSO, chamado
nome NetBIOS. NetBIOS um protocolo de rede que tem sido usado desde as
primeiras verses do Windows NT e ainda utilizado por alguns aplicativos
herdados.
Se o domnio precisar dar suporte a controladores de domnio que executam
verses anteriores do Windows. Quando criar uma nova floresta do Active
Directory, voc ir configurar o nvel funcional. Se o domnio incluir somente
controladores de domnio do Windows Server 2008, voc poder definir o
nvel funcional adequadamente para aproveitar os recursos avanados
introduzidos por esta verso do Windows.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Introduo ao AD DS (Servios de Domnio Active Directory) 1-55
Leitura adicional
Esta lista abrange as configuraes que voc dever definir ao criar um
controlador de domnio. Existem vrias outras consideraes sobre a
implantao do AD DS em uma configurao de empresa. Para obter mais
informaes, consulte a Biblioteca Tcnica do Windows Server 2008, em
http://technet.microsoft.com/pt-br/library/cc706994(WS.10).aspx.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
1-56 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Para instalar e configurar um controlador de domnio do Windows Server 2008,
primeiro necessrio instalar a funo do AD DS usando o Gerenciador de
Servidores. Fazendo isso, voc adiciona os arquivos e componentes do Registro
necessrios para que posteriormente o servidor se torne um controlador de
domnio. No entanto, adicionar a funo no configura nem habilita o servidor
como controlador de domnio. Essa etapa realizada com a execuo do Assistente
de Instalao dos Servios de Domnio Active Directory. O Assistente de Instalao
do AD DS, tambm chamado DCPromo, uma vez que pode ser iniciado atravs do
comando dcpromo.exe, orienta voc no processo de selecionar a configurao de
implantao, adicionar outros recursos de controlador de domnio, como a funo
DNS, especificar a localizao dos arquivos do Active Directory e configurar a
Senha do Administrador do Modo de Restaurao dos Servios de Diretrio, uma
senha que usada para restaurar o Active Directory de um backup, conforme voc
aprender no Mdulo 13.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Introduo ao AD DS (Servios de Domnio Active Directory) 1-57
Cenrio
Voc foi contratado para melhorar o gerenciamento de identidades e acesso na
Contoso, Ltd. No momento, a empresa tem um servidor em uma configurao de
grupo de trabalho. Os funcionrios conectam-se ao servidor usando seus PCs
cliente. Com a previso de crescimento a curto prazo, voc recebeu a tarefa de
aprimorar o gerenciamento e a segurana dos recursos da empresa. Voc decidiu
implementar um domnio e uma floresta do AD DS promovendo o servidor a
controlador de domnio. Voc acabou de instalar o Windows Server 2008 usando
o DVD de instalao.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
1-58 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Resultados: aps esse exerccio, voc ter um servidor chamado HQDC01 no fuso
horrio correto, com a resoluo de vdeo de pelo menos 1024 x 768 e a configurao
de IP especificada na Tarefa 4.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Introduo ao AD DS (Servios de Domnio Active Directory) 1-61
Resultados: aps esse exerccio, voc ter uma floresta de um nico domnio
chamada contoso.com com um nico controlador de domnio chamado HQDC01.
Reviso do laboratrio
Aps este laboratrio, voc ter:
Executado tarefas posteriores instalao ao nomear um servidor como
HQDC01, configurar o fuso horrio correto, com a resoluo de vdeo de pelo
menos 1024 x 768 e especificar as informaes de endereo IP.
Configurado uma floresta de um nico domnio chamada contoso.com com
um nico controlador de domnio (HQDC01).
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
1-66 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Lio 4
Extenso de IDA com Servios do Active
Directory
Objetivos
Aps concluir esta lio, voc ser capaz de:
Identificar as funes do AD DS, AD LDS, AD RMS, AD FS e AD CS e as
relaes entre eles.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Introduo ao AD DS (Servios de Domnio Active Directory) 1-67
Pontos principais
Basicamente o AD LDS uma verso autnoma do Active Directory, acessada por
aplicativos que usam o protocolo LDAP.
O AD LDS o substituto do ADAM (Active Directory Application Mode) O nome
da verso anterior da ferramenta indica sua finalidade: o objetivo do AD LDS dar
suporte para aplicativos habilitados para diretrio. Ele pode ser usado para
aplicativos que exigem um armazenamento de identidades mas no precisam do
tipo de infraestrutura fornecida por um domnio do Active Directory.
Cada instncia do AD LDS pode ter sua prpria partio de esquema, configurao
e aplicativos. Isso permite criar um armazenamento de diretrios altamente
personalizado sem afetar a infraestrutura de IDA, baseada no AD DS. Embora o AD
LDS no seja dependente do AD DS, em um ambiente de domnio, ele pode usar a
autenticao AD DS das entidades de segurana do Windows (usurios,
computadores e grupos).
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
1-68 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
O AD CS estende o conceito de relao de confiana para que um usurio, um
computador, uma organizao ou um servio possa provar sua identidade fora ou
dentro da floresta do Active Directory.
Os certificados so emitidos por uma autoridade de certificao. Quando um
usurio, computador ou servio usa um certificado para provar sua identidade, o
cliente na transao deve confiar na autoridade de certificao emissora. Uma lista
de autoridades de certificao raiz confiveis, que inclui, por exemplo, VeriSign e
Thawte, mantida pelo Windows e atualizada como parte do Windows Update.
Se voc pensar na ltima vez que fez uma compra em um site de intranet, ir se
lembrar de que provavelmente o site usava SSL, com um endereo HTTPS://. O
servidor prova sua identidade para o cliente, seu navegador, representando um
certificado emitido por uma autoridade de certificao em que o navegador confia,
como VeriSign ou Thawte.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
1-70 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
O AD RMS cria uma estrutura com a qual voc pode assegurar a integridade das
informaes, dentro e fora da organizao.
Em um modelo tradicional de proteo das informaes, so usadas ACLs para
definir como ser o acesso s informaes. Por exemplo, um usurio pode receber
permisso de leitura em um documento. Entretanto, no h nada que o impea de
executar qualquer ao uma vez que o documento tenha sido aberto. O usurio
pode fazer alteraes no documento e salv-lo em qualquer lugar, pode imprimir o
documento, encaminh-lo por email a um usurio que, de outro modo, no teria
permisso para l-lo, e assim por diante.
O AD RMS atende a esses e a outros cenrios impondo diretivas de uso de
informao. Isso tudo feito usando licenas e criptografia para proteger as
informaes e tendo aplicativos habilitados para gerenciamento de direitos, que
podem consumir as licenas, criar diretivas de uso, abrir contedo protegido e
impor diretivas de uso.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
1-72 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
O AD FS permite que uma organizao estenda a autoridade do servio de
diretrio para autenticar usurios entre diferentes organizaes, plataformas e
ambientes de rede.
A tradicional relao de confiana entre domnios do Windows cria uma relao de
confiana em que o domnio de confiana permite que o domnio confivel
autentique usurios, mas o resultado que todos os usurios do domnio confivel
so confiveis. Alm disso, para manter uma relao de confiana, devem ser
criadas vrias excees que no so agradveis para muitas organizaes, e
certamente no servem para dar suporte a aplicativos baseados na Web.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
1-74 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Mdulo 2
Administrao segura e eficiente do Active
Directory
Sumrio:
Lio 1: Trabalho com snap-ins do Active Directory 2-4
Lio 2: Consoles personalizados e privilgio mnimo 2-14
Laboratrio A: Criao e execuo de um console administrativo
personalizado 2-25
Lio 3: Localizao de objetos no Active Directory 2-36
Laboratrio B: Localizao de objetos no Active Directory 2-53
Lio 4: Uso de comandos DS para administrar o Active Directory 2-62
Laboratrio C: Uso de comandos DS para administrar o Active Directory 2-81
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
2-2 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Instalar, localizar e descrever os snap-ins usados para administrar o AD DS.
Executar tarefas administrativas bsicas com o snap-in Usurios e
Computadores do Active Directory.
Criar um console do MMC personalizado para administrao.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao segura e eficiente do Active Directory 2-3
Lio 1
Trabalho com snap-ins do Active Directory
Objetivos
Aps concluir esta lio, voc ser capaz de:
Identificar os snap-ins no Gerenciador de Servidores e os consoles nativos
usados para administrar o AD DS.
Instalar as Ferramentas de Administrao de Servidor Remoto (RSAT).
Executar tarefas administrativas bsicas com o snap-in Usurios e
Computadores do Active Directory.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao segura e eficiente do Active Directory 2-5
O console do MMC
Pontos principais
As ferramentas administrativas do Windows compartilham uma estrutura em
comum chamada MMC (Console de Gerenciamento Microsoft). O MMC exibe as
ferramentas administrativas, chamadas snap-ins, em uma janela personalizvel com
um painel esquerdo que mostra a rvore de console (semelhante rvore do
Windows Explorer) e um painel central que exibe os detalhes. Um painel Aes,
direita, expe os comandos, chamados de aes no MMC.
O slide acima mostra os principais componentes do MMC:
A rvore de console. O painel esquerdo que exibe a rvore de console,
tambm chamado de painel de escopo
O boto Mostrar/Ocultar rvore de Console. Ativa e desativa o painel da
rvore de console
Snap-ins. Ferramentas que fornecem funcionalidade administrativa
O painel de detalhes. Exibe os detalhes do escopo selecionado na rvore de
console
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
2-6 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pergunta: Que consoles administrativos voc usa que possuem mais de um snap-in?
Leitura adicional
Console de Gerenciamento Microsoft 3.0:
http://technet.microsoft.com/pt-br/library/cc709659.aspx
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao segura e eficiente do Active Directory 2-7
Pontos principais
A maior parte da administrao do Active Directory feita com os seguintes snap-
ins e consoles:
Usurios e Computadores do Active Directory. Este snap-in gerencia os
recursos mais comuns do dia a dia, como usurios, grupos, computadores,
impressoras e pastas compartilhadas. Provavelmente o snap-in mais utilizado
por administradores do Active Directory.
Sites e Servios do Active Directory. Gerencia replicao, topologia de rede e
servios relacionados.
Domnios e Relaes de Confiana do Active Directory. Configura e mantm
relaes de confiana e o nvel funcional do domnio e da floresta.
Esquema do Active Directory. Este esquema examina e modifica a definio
de atributos e classes de objeto do Active Directory. Trata-se do "plano grfico"
do Active Directory. visto raras vezes e ainda mais raramente alterado. Por
isso, o snap-in Esquema do Active Directory no est instalado por padro.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
2-8 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Leitura adicional
Servios de Domnio Active Directory (em ingls):
http://technet.microsoft.com/en-us/library/cc753910.aspx
Gerenciando o Active Directory do MMC:
http://technet.microsoft.com/pt-br/library/cc757197(WS.10).aspx
Instalar o snap-in Esquema do Active Directory:
http://technet.microsoft.com/pt-br/library/cc755885(WS.10).aspx
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao segura e eficiente do Active Directory 2-9
Pontos principais
Os snap-ins e consoles do Active Directory so instalados quando voc adiciona a
funo do AD DS a um servidor. Duas ferramentas administrativas bastante usadas
do Active Directory so adicionadas ao Gerenciador de Servidores quando voc
instala a funo do AD DS: os snap-ins Usurios e Computadores do Active
Directory e Sites e Servios do Active Directory.
Para administrar o Active Directory de um sistema que no um controlador de
domnio, voc deve instalar as RSAT. RSAT um recurso que pode ser instalado do
n Recursos do Gerenciador de Servidores no Windows Server 2008.
Tambm possvel instalar RSAT em clientes Windows, como Windows Vista
Service Pack 1 (ou posterior) e Windows 7. Voc s precisa baixar os arquivos de
instalao das RSAT, que esto disponveis em www.microsoft.com/downloads. O
Assistente de Instalao orientar voc no processo de instalao. Depois de
instalar as RSAT, ative tambm as ferramentas que voc deseja que fiquem visveis.
Para fazer isso, use o comando Ativar ou Desativar Recursos do Windows, no
aplicativo Programas e Recursos do Painel de Controle.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
2-10 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Leitura adicional
Pacote de Ferramentas de Administrao de Servidor Remoto:
http://technet.microsoft.com/pt-br/library/cc753798.aspx
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao segura e eficiente do Active Directory 2-11
Pontos principais
Exibio de objetos
O snap-in Usurios e Computadores do Active Directory exibe os objetos
existentes no continer (domnio, unidade organizacional ou continer)
selecionado na rvore de console.
Atualizao da exibio
A exibio no atualizada automaticamente. Para ver as alteraes mais recentes
feitas na exibio de objetos, selecione o continer na rvore de console e clique no
boto Atualizar da barra de ferramentas do snap-in ou pressione F5.
Voc deve selecionar o continer na rvore de console antes de clicar em Atualizar
(ou de pressionar F5) clicar em uma rea vazia do painel de detalhes no
suficiente. Esta uma peculiaridade do snap-in Usurios e Computadores do
Active Directory.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
2-12 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Criao de objetos
Para criar um objeto em Usurios e Computadores do Active Directory, clique com
o boto direito do mouse no domnio, em um continer (como Usurios ou
Computadores) ou em uma unidade organizacional. Em seguida, aponte para
Novo e clique no tipo de objeto que voc deseja criar.
Quando cria um objeto, voc solicitado a configurar algumas de suas
propriedades mais bsicas, como as propriedades consideradas necessrias para o
tipo de objeto em questo.
Configurao de atributos do objeto
Depois que um objeto criado, voc pode acessar suas propriedades. Clique com o
boto direito do mouse no objeto e clique em Propriedades.
A caixa de dilogo Propriedades que exibida mostra muitas das propriedades
mais comuns do objeto. As propriedades so agrupadas em guias, que facilitam a
localizao de uma propriedade especfica.
Voc pode configurar tantas propriedades quantas quiser, em quantas guias quiser,
e clicar em Aplicar ou OK para salvar todas as alteraes. A diferena entre Aplicar
e OK que o boto OK fecha a caixa de dilogo Propriedades, enquanto Aplicar
salva as alteraes e mantm a caixa de dilogo aberta para que voc possa fazer
outras alteraes.
Exibio de todos os atributos do objeto
Um objeto de usurio tem ainda mais propriedades do que as que podem ser
vistas na caixa de dilogo Propriedades. Algumas das propriedades ditas ocultas
podem ser bastante teis para a sua empresa. Para exibir esses atributos de usurio
"ocultos", voc deve ativar o Editor de Atributos, um novo recurso do Windows
Server 2008.
Para ativar o Editor de Atributos no snap-in Usurios e Computadores do Active
Directory:
Clique no menu Exibir e selecione a opo Recursos avanados.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao segura e eficiente do Active Directory 2-13
Lio 2
Consoles personalizados e privilgios mnimos
Nesta lio, voc ir alm da pasta Ferramentas Administrativas para trabalhar com
mais segurana e eficincia. Voc aprender a criar consoles administrativos
personalizados e a trabalhar em um ambiente com privilgios mnimos, ao qual se
conecta como usurio no administrativo, mas realiza tarefas administrativas como
administrador.
Objetivos
Aps concluir esta lio, voc ser capaz de:
Criar um console do MMC personalizado para administrao.
Executar tarefas administrativas enquanto estiver conectado como usurio.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao segura e eficiente do Active Directory 2-15
Pontos principais
mais fcil administrar o Windows quando as ferramentas de que voc precisa
esto em um nico lugar e podem ser personalizadas de acordo com as suas
necessidades. Isso feito criando-se um console administrativo MMC
personalizado contendo os snap-ins necessrios para as tarefas administrativas. Ao
criar um console do MMC personalizado, voc pode:
Adicionar vrios snap-ins para no precisar alternar entre consoles a fim de
executar suas tarefas de trabalho; dessa forma, voc s precisa iniciar um
console para executar qualquer tarefa administrativa.
Salvar o console para us-lo regularmente.
Distribuir o console para outros administradores.
Salvar o console, e outros consoles, em um local compartilhado para fins de
administrao personalizada unificada.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
2-16 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Leitura adicional
Adicionar, remover e reorganizar snap-ins e extenses no MMC 3.0:
http://technet.microsoft.com/pt-br/library/cc722035.aspx
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao segura e eficiente do Active Directory 2-17
Pontos principais
Muitos administradores fazem logon no computador usando suas contas
administrativas. Esta prtica perigosa porque uma conta administrativa tem mais
privilgios e acesso a mais recursos da rede do que uma conta de usurio padro.
Por isso, malwares iniciados com credenciais administrativas podem causar danos
considerveis.
Para evitar esse problema, no faa logon como administrador. Em vez disso,
conecte-se como usurio padro e use o recurso Executar como Administrador
para iniciar ferramentas administrativas no contexto de segurana de uma conta
administrativa.
1. Clique com o boto direito do mouse no atalho de um executvel, de um
miniaplicativo do Painel de Controle ou de um console do MMC que voc
deseja iniciar e clique em Executar como administrador. Se voc no vir o
comando, tente manter a tecla SHIFT pressionada enquanto clica com o boto
direito do mouse.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
2-18 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Dica: se voc for executar um aplicativo regularmente como administrador, dever criar
um novo atalho que pr-configure Executar como Administrador. Crie um atalho e abra
a caixa de dilogo Propriedades do atalho. Clique no boto Avanado e selecione
Executar como Administrador. Quando voc iniciar o atalho, a caixa de dilogo UAC ser
exibida.
Leitura adicional
Usando Executar como:
http://technet.microsoft.com/pt-br/library/cc780931(WS.10).aspx
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao segura e eficiente do Active Directory 2-19
Pontos principais
Quando voc inicia um processo como administrador, a conta administrativa pode
no ter acesso aos mesmos locais que sua conta de usurio. Por isso,
recomendvel salvar os consoles personalizados em um local que possa ser
acessado pelas suas contas de usurio e de administrador.
Para executar como administrador:
1. Clique com o boto direito do mouse no atalho de um executvel, de um
miniaplicativo do Painel de Controle ou de um console do MMC que voc
deseja iniciar e clique em Executar como administrador. Se voc no vir o
comando, tente manter a tecla SHIFT pressionada enquanto clica com o boto
direito do mouse.
Ser exibida a caixa de dilogo Controle de Conta de Usurio, que solicita
credenciais administrativas.
2. Clique em Usar outra conta.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
2-20 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Leitura adicional
Usando Executar como:
http://technet.microsoft.com/pt-br/library/cc780931(WS.10).aspx
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao segura e eficiente do Active Directory 2-21
Demonstrao: "Superconsoles"
Pontos principais
possvel estender seu console do MMC administrativo personalizado para
executar tarefas de administrao usando credenciais privilegiadas, que, de outro
modo, so difceis ou impossveis de obter.
Cenrio 1: Voc precisa dar suporte a uma pasta compartilhada (para atribuir
permisses, etc.). Sua conta administrativa (secundria) tem amplas permisses de
administrao em pastas compartilhadas. Sua conta padro (logon interativo) no
tem.
possvel mapear uma unidade de rede usando credenciais alternativas, mas o
Windows no deixa voc fazer isso se estiver conectado ao mesmo servidor com as
credenciais padro. O Windows Explorer no aceita vrias conexes com o mesmo
servidor usando credenciais diferentes. Entretanto, no console do MMC, o controle
ActiveX exposto pelo snap-in Link para Endereo da Web se conectar usando as
credenciais do prprio console.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
2-22 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Para usar o snap-in, o servidor desejado deve estar na zona de segurana Intranet
Local ou Sites Confiveis do Internet Explorer. Isso deve ser configurado para as
credenciais administrativas, pois so elas que so utilizadas pelo processo mmc.exe
e pelo snap-in.
1. Faa logon no computador usando suas credenciais administrativas.
2. Clique no boto Iniciar e em Painel de Controle.
3. Clique duas vezes em Opes da Internet.
4. Clique na guia Segurana.
5. Clique em Intranet local ou em Sites confiveis.
6. Clique no boto Sites.
7. Digite \\NomedoServidor, clique no boto Adicionar e, depois, em OK.
Para criar um "Painel Inicial para Administradores" do qual voc possa abrir outras
ferramentas:
1. Clique no menu Arquivo e clique em Adicionar/Remover Snap-in.
2. Na lista Snap-ins Disponveis, clique em Pasta, clique no boto Adicionar e
em OK.
3. Na rvore de console, clique com o boto direito do mouse no n Pasta que
voc acabou de adicionar e clique em Renomear.
4. Digite um nome (por exemplo, Painel Inicial para Administradores e
pressione ENTER.
5. Clique na pasta com o boto direito do mouse e selecione Nova Exibio do
Painel de Tarefas.
O Assistente para Exibir Novo Painel de Tarefas ser exibido.
6. Clique em Avanar.
7. Na pgina Estilo do Painel de Tarefas, clique em Sem Lista e em Avanar.
8. Na pgina Reutilizao do painel de tarefas, clique em Item da rvore
selecionado e em Avanar.
9. Na pgina Nome e Descrio, aceite o nome padro e clique em Avanar.
10. Desmarque a caixa de seleo Adicionar novas tarefas a este painel de
tarefas aps fechar o assistente e clique em Concluir.
Cenrio
Neste exerccio, voc Pat Coleman, administrador do Active Directory na
Contoso, Ltd. Voc responsvel por vrias tarefas de suporte do Active Directory
e sempre precisa abrir diversos consoles da pasta Ferramentas Administrativas, no
Painel de Controle. Voc decidiu criar um nico console que contenha todos os
snap-ins de que precisa para trabalhar. Alm disso, a poltica de segurana de TI da
Contoso est mudando, e voc no poder mais fazer logon em um sistema
usando credenciais com privilgios administrativos, exceto em casos de
emergncia. Em vez disso, voc dever fazer logon usando credenciais sem
privilgios.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
2-26 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Resultados: aps esse exerccio, voc ter um console do MMC personalizado com os
snap-ins Usurios e Computadores do Active Directory, Sites e Servios do Active
Directory, Domnios e Relaes de Confiana do Active Directory e Esquema do Active
Directory.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
2-30 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Resultados: aps esse exerccio, voc ter aprendido que ter um nico console
administrativo personalizado ajuda a trabalhar com segurana. Voc pode fazer logon
no computador com credenciais de usurio (no administrativas) e executar esse
console como administrador.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
2-34 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pergunta: Que snap-in provavelmente voc usar no dia a dia para administrar o
Active Directory?
Lio 3
Localizao de objetos no Active Directory
medida que o Active Directory vai sendo preenchido com objetos de usurio,
grupo, computador e outros, torna-se mais difcil localizar determinado(s)
objeto(s) que voc deseja modificar. Nesta lio, voc aprender vrias formas de
localizar objetos no Active Directory.
Objetivos
Aps concluir esta lio, voc ser capaz de:
Controlar a exibio de objetos no snap-in Usurios e Computadores do Active
Directory.
Localizar objetos no Active Directory.
Trabalhar com consultas salvas.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao segura e eficiente do Active Directory 2-37
Voc aprendeu a criar objetos no Active Directory. Mas para que serve uma
informao de um servio de diretrio se voc no consegue obt-la tambm no
diretrio? H muitas ocasies em que voc precisar localizar objetos no Active
Directory:
Conceder permisses. Ao configurar permisses para um arquivo ou uma
pasta, voc deve selecionar o grupo (ou usurio) para o qual elas sero
concedidas.
Adicionar membros a um grupo. Um grupo pode ser formado por usurios,
computadores, grupos ou qualquer combinao desses trs. Quando voc
adiciona um objeto como membro de um grupo, deve selecionar o objeto.
Criar links. Propriedades vinculadas so propriedades de um objeto que se
referem a outro objeto. Na verdade, uma associao de grupo uma
propriedade vinculada. Existem outras propriedades vinculadas, como o
atributo Gerenciado Por, que tambm so links. Quando voc especifica o
nome Gerenciado Por, deve selecionar o usurio ou grupo apropriado.
Pesquisar um objeto. possvel procurar qualquer objeto no domnio do
Active Directory.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
2-38 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Alm disso, a caixa de dilogo Selecionar, apesar de seu nome completo Selecionar
Usurios, Contatos, Computadores ou Grupos, raramente pesquisa em todos esses
quatro tipos de objeto. Quando voc adiciona membros a um grupo, por exemplo,
por padro os computadores no so pesquisados. Se inserir um nome de
computador, ele no ser resolvido corretamente. Quando voc especifica o nome
na guia Gerenciado Por, os grupos no so pesquisados por padro. Certifique-se
de que o escopo da caixa de dilogo Selecionar est definido para resolver os tipos
de objetos que voc deseja selecionar. Clique no boto Tipos de objeto, use a caixa
de dilogo Tipos de objeto mostrada abaixo para selecionar os tipos corretos e
clique em OK.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao segura e eficiente do Active Directory 2-43
Pontos principais
Apesar de poder navegar pelo Active Directory para procurar um objeto, muitas
vezes voc encontrar o objeto de que precisa mais rapidamente usando
classificao ou pesquisa.
Leitura adicional
Pesquisar no Active Directory:
http://technet.microsoft.com/pt-br/library/cc776693(WS.10).aspx
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao segura e eficiente do Active Directory 2-45
Pontos principais
O painel de detalhes do snap-in Usurios e Computadores do Active Directory
pode ser personalizado para ajudar voc a trabalhar com os objetos do seu
diretrio de modo mais eficiente. Use o comando Adicionar/Remover Colunas do
menu Exibir para adicionar colunas ao painel de detalhes. Nem todo atributo fica
disponvel para ser exibido como coluna, mas certamente voc encontrar colunas
que sero teis para exibio, como Nome de Logon do Usurio. Talvez voc
tambm encontre colunas desnecessrias. Caso as suas UOs tenham apenas um
tipo de objeto (usurio ou computador, por exemplo), talvez a coluna Tipo no
seja til.
Quando uma coluna est visvel, voc pode alterar a ordem das colunas arrastando
os cabealhos para a esquerda ou para a direita. Tambm possvel classificar a
exibio no painel de detalhes clicando na coluna o primeiro clique classificar
em ordem crescente, o segundo em ordem decrescente, como no Windows
Explorer.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
2-46 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Use a lista suspensa Localizar para especificar o(s) tipo(s) de objeto que voc
deseja consultar ou selecione Consultas comuns ou Pesquisa personalizada. A lista
suspensa Em especifica o escopo da pesquisa. Sempre que possvel,
recomendvel limitar o escopo da pesquisa para evitar que o desempenho seja
afetado devido a pesquisas grandes feitas no domnio inteiro. Juntas, as listas
Localizar e Em definem o escopo da pesquisa.
Em seguida, configure os critrios da pesquisa. Os campos mais comumente
usados esto disponveis como critrios considerando-se o tipo de consulta
realizada. Quando voc terminar de especificar o escopo e os critrios da pesquisa,
clique em Localizar Agora. Os resultados sero exibidos.
Clique com o boto direito do mouse em qualquer item da lista de resultados e
escolha comandos administrativos, como Mover, Excluir e Propriedades.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao segura e eficiente do Active Directory 2-49
Pontos principais
s vezes, voc deseja localizar um objeto usando o comando Localizar, pois no
sabe onde o objeto est.
Para determinar onde um objeto est localizado:
1. Clique no menu Exibir e selecione Recursos avanados.
2. Clique no boto Localizar e procure o objeto.
3. Clique no objeto com o boto direito do mouse, clique em Propriedades e,
depois, na guia Objeto.
4. O Nome de objeto cannico mostra o caminho para o objeto, iniciando no
domnio.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
2-50 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Se preferir, na caixa de dilogo Localizar, voc pode exibir a coluna Publicado em.
1. Na caixa de dilogo Localizar, clique no menu Exibir e clique em Escolher
Colunas.
2. Na lista Colunas disponveis, clique em Publicado em e clique em Adicionar.
3. Clique em OK.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao segura e eficiente do Active Directory 2-51
Pontos principais
O Windows Server 2003 introduziu o n Consultas salvas do snap-in Usurios e
Computadores do Active Directory. Essa funo avanada permite criar exibies
do seu domnio baseadas em regras, mostrando os objetos de uma ou mais UOs.
Para criar uma consulta salva:
1. Abra o snap-in Usurios e Computadores do Active Directory.
As consultas salvas no ficam disponveis no snap-in Usurios e
Computadores do Active Directory que faz parte do Gerenciador de
Servidores. Voc deve usar o console Usurios e Computadores do Active
Directory ou um console personalizado com o snap-in.
2. Clique com o boto direito do mouse em Consultas salvas, aponte para Nova
e clique em Consulta.
3. Insira um nome para a consulta.
4. Opcionalmente, insira uma descrio.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
2-52 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Cenrio
Agora a Contoso abrange cinco localidades geogrficas no mundo inteiro, com
mais de 1000 funcionrios. medida que o domnio vai sendo preenchido com
tantos objetos, cada vez mais difcil localizar objetos usando a funo Procurar.
Voc tem a tarefa de estabelecer prticas recomendadas de localizao de objetos
no Active Directory para o restante da equipe de administradores. Voc tambm
precisa monitorar a integridade de certos tipos de contas.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
2-54 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
5. Clique em Adicionar.
6. Na caixa de dilogo Selecionar, digite o nome Especial.
7. Clique em OK. O nome resolvido como Projeto Especial.
8. Clique em OK novamente para fechar a caixa de dilogo Propriedades.
9. Na rvore de console, expanda a UO Grupos e clique na UO Funo.
10. No painel de detalhes, clique com o boto direito do mouse no grupo Projeto
Especial e clique em Propriedades.
11. Clique na guia Membros.
12. Clique em Adicionar.
A caixa de dilogo Selecionar Usurios, Contatos, Computadores ou Grupos
ser exibida.
13. Digite linda;joan e clique no boto Verificar nomes.
A caixa de dilogo Selecionar resolve os nomes como Linda Mitchell e Joanna
Rybka e sublinha os nomes para indicar que foram resolvidos.
14. Clique em OK.
15. Clique em Adicionar.
16. Digite carole e clique em OK.
A caixa de dilogo Selecionar resolve o nome como Carole Poland e fecha.
Carole Poland aparece na lista Membros.
Quando voc clica no boto OK, uma operao "Verificar nomes" executada
antes de fechar a caixa de dilogo. No necessrio clicar no boto Verificar
nomes, a menos que voc queira verificar nomes e permanecer na caixa de
dilogo Selecionar.
17. Clique em Adicionar.
18. Digite tony;jeff e clique em OK.
Como existem vrios usurios que correspondem a tony", a caixa Diversos
nomes encontrados ser exibida.
19. Clique em Tony Krijnen e em OK.
Como existem vrios usurios que correspondem a jeff, a caixa Diversos
nomes encontrados ser exibida.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
2-56 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
20. Clique em Jeff Ford e em OK. Clique em OK para fechar a caixa de dilogo
Propriedades de Projeto Especial.
Sempre que houver mais de um objeto que corresponda s informaes
inseridas, a operao de verificao de nomes dar a oportunidade de voc
escolher o objeto correto.
21. Na rvore de console, clique na UO Aplicativo, sob a UO Grupos.
22. No painel de detalhes, clique com o boto direito do mouse no
grupoEscritrio_APP e clique em Propriedades.
23. Clique na guia Membros.
24. Clique em Adicionar.
25. Na caixa de dilogo Selecionar, digite DESKTOP101.
26. Clique em Verificar nomes.
A caixa de dilogo Nome no encontrado ser exibida, indicando que no foi
possvel resolver o objeto especificado.
27. Clique em Cancelar para fechar a caixa de dilogo Nome no encontrado.
28. Na caixa Selecionar, clique em Tipos de objeto.
29. Marque a caixa de seleo ao lado de Computadores e clique em OK.
30. Clique em Verificar nomes.
Agora o nome ser resolvido porque a caixa Selecionar est incluindo
computadores em sua resoluo.
31. Clique em OK.
32. Clique em OK para fechar a caixa de dilogo Propriedades de
Escritrio_APP.
Resultados: aps esse exerccio, voc ter aprendido que h vrias interfaces para
executar pesquisas no Active Directory e saber como controlar a exibio do snap-in
Usurios e Computadores do Active Directory.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao segura e eficiente do Active Directory 2-59
Tarefa 1: Criar uma consulta salva que exiba todas as contas de usurio
do domnio
Crie uma consulta salva chamada Todos os Objetos de Usurio que mostre
todos os usurios do domnio.
Resultados: aps esse exerccio, voc ter duas consultas salvas. A primeira, Todos os
Objetos de Usurio, demonstra que uma consulta salva pode criar uma exibio
virtualizada do domnio, permitindo que voc veja os objetos que atendem a um
conjunto de critrios, independentemente das UOs em que esses objetos esto. A
segunda consulta, Senhas que no expiram, demonstra que possvel usar consultas
salvas para monitorar a integridade do ambiente.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao segura e eficiente do Active Directory 2-61
Pergunta: No seu trabalho, que cenrios exigem que voc pesquise no Active
Directory?
Pergunta: Que tipos de consultas salvas voc poderia criar para ajudar a executar
as tarefas administrativas com mais eficincia?
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
2-62 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Lio 4
Uso de comandos DS para administrar o Active
Directory
Os comandos DS
Pontos principais
O Windows oferece utilitrios de linha de comando que executam funcionalidade
semelhante do snap-in Usurios e Computadores do Active Directory. Muitos
desses comandos comeam com as letras DS, por isso so chamados de comandos
DS.
Os seguintes comandos DS tm suporte no Windows Server 2008:
DSQuery. Executa uma consulta baseada em parmetros fornecidos na linha
de comando e retorna uma lista de objetos correspondentes
DSGet. Retorna atributos especificados de um objeto
DSMod. Modifica atributos especificados de um objeto
DSMove. Move um objeto para um novo continer ou UO
DSAdd. Cria um objeto no diretrio
DSRm. Remove um objeto, todos os objetos da subrvore abaixo de um objeto
de continer ou ambos
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
2-66 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
DSQuery localiza objetos no Active Directory.
Digite dsquery.exe /? para conhecer a sintaxe e o uso.
Voc usa a maioria dos comandos DS especificando o tipo de objeto que o
comando deve localizar. Por exemplo, dsquery user usado para procurar um
usurio, enquanto dsquery computer, dsquery group e dsquery ou procuram os
respectivos tipos de objeto.
Se voc usar o comando dsquery objectType sozinho, ele retornar os nomes
distintos de todos os usurios do domnio.
Para evitar uma consulta descontrolada, DSQuery limita-se a 100 resultados. Use a
opo -limit para especificar quantos resultados devem ser retornados. Use -limit 0
para retornar todos os objetos.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
2-68 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Aps o especificador objectType, voc pode usar opes para indicar os critrios da
consulta. Por exemplo, cada objeto pode ser localizado pelo nome com a opo
-name. A maioria dos objetos pode ser consultada com base na descrio (desc).
possvel localizar entidades de segurana com base no nome de logon anterior ao
Windows 2000 (samid), Para saber quais propriedades podem ser consultadas,
digite dsquery objecttype /?; por exemplo, dsquery user /?.
Por exemplo, para localizar todos os usurios cujos nomes comeam com Ton,
insira este comando: dsquery user -name ton*. Aps a opo de propriedade (nesse
caso, name), voc pode inserir os critrios, que no diferenciam maisculas de
minsculas e podem incluir curingas como o asterisco, que representa zero ou
mais caracteres. Por padro, o comando DSQuery retorna os objetos
correspondentes e os respectivos DNs, como vemos abaixo:
Por fim, voc pode limitar o escopo da pesquisa realizada por DSQuery
adicionando o DN de uma UO ou continer aps o elemento objectType do
comando. Por exemplo, este comando procura usurios cujos nomes comeam
com Dan, mas apenas na UO Administradores:
Por padro, a pesquisa inclui todas as sub-UOs da base. Use o parmetro -base
para limitar ainda mais a pesquisa -- por exemplo, para somente a UO especificada
sem as respectivas sub-UOs.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
2-70 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
O comando DSGet retorna atributos de um ou mais objetos. Por exemplo, o
seguinte comando retorna o endereo de email de Jeff Ford:
Este comando ilustra um tema comum para a maioria dos comandos DS. A maior
parte dos comandos DS usam dois modificadores aps o comando propriamente
dito: o tipo de objeto e o DN do objeto. No exemplo acima, o tipo de objeto, user,
vem logo aps o comando. Depois do tipo de objeto est o DN do objeto. Quando
o DN do objeto inclui um espao, coloque o DN entre aspas.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao segura e eficiente do Active Directory 2-71
Pontos principais
No tpico anterior, voc aprendeu que este comando retorna o endereo de email
de Jeff Ford:
Importante: DSGet pode retornar um ou mais DNs quando recupera certos atributos,
como member e memberof. Quando um comando DSGet produz DNs, voc pode fazer
piping dos resultados para outro comando DS.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
2-74 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
O comando DSMod modifica atributos especificados de um ou mais objetos. A
sintaxe bsica :
Por exemplo, este comando altera o atributo department de Jeff Ford para
Tecnologia da Informao:
Os resultados de DSQuery podem ser enviados por pipe a DSMod. Voc pode
alterar o atributo department de todos os usurios da UO Administradores com
este comando:
Pontos principais
O comando DSRm remove (exclui) um objeto do Active Directory. Como DSRm
exclui objetos sem prompts de confirmao, seja cauteloso ao inserir o comando. A
sintaxe do comando simples:
dsrm objectDN
Pontos principais
O comando DSMove move um objeto para um novo continer ou UO. A sintaxe
muito simples:
Pontos principais
DSAdd cria um objeto no diretrio. A sintaxe bsica :
dsadd ou "ou=Lab,dc=contoso,dc=com"
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao segura e eficiente do Active Directory 2-79
Pontos principais
Existem outras ferramentas que voc pode usar para administrar o AD DS sem as
ferramentas administrativas baseadas em interface grfica do usurio. Voc
experimentar muitas delas nos prximos mdulos.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao segura e eficiente do Active Directory 2-81
Cenrio
A Contoso est crescendo, e preciso fazer alteraes em objetos no Active
Directory. Voc administrador do AD DS e sabe que pode ser mais fcil criar,
excluir e modificar objetos usando o prompt de comando em vez de Usurios e
Computadores do Active Directory.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
2-82 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Tarefa 5 (Avanada opcional): Enviar DNs por pipe de DSGet para DSMod
Os exerccios Avanados opcionais apresentam desafios adicionais para os alunos
que terminam os exerccios de laboratrio rapidamente. No h respostas nas
Respostas do laboratrio.
A Contoso est realocando e centralizando a liderana executiva dos escritrios
regionais para a filial de Seattle.
Usando um nico comando, altere o atributo office de todos os membros do
grupo Executivos para Sede. Faa isso sem digitar o DN do grupo Executivos.
Pergunta: O que voc pode fazer para no ter que digitar DNs de usurios, grupos
ou computadores no DSGet e em outros comandos DS?
Mdulo 3
Gerenciamento de usurios
Sumrio:
Lio 1: Criao e administrao de contas de usurio 3-4
Laboratrio A: Criao e administrao de contas de usurio 3-29
Lio 2: Configurao de atributos do objeto de usurio 3-35
Laboratrio B: Configurao de atributos do objeto de usurio 3-51
Lio 3: Automatizao da criao de contas de usurio 3-61
Laboratrio C: Automatizao da criao de contas de usurio 3-70
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
3-2 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Neste mdulo, voc aprender a criar e dar suporte a contas de usurio. As contas
de usurio armazenadas no diretrio so o componente fundamental da
identidade. Devido sua importncia, o conhecimento de contas de usurio e das
tarefas relacionadas ao suporte essencial para o xito de um administrador em
uma empresa baseada no Windows.
Em uma rede corporativa, cada dia traz consigo desafios nicos relacionados ao
gerenciamento de usurios. Funcionrios so contratados, migrados, se casam e se
divorciam e, s vezes, saem da organizao. Como seres humanos, eles cometem
erros (por exemplo, esquecem senhas ou bloqueiam suas contas ao fazer logon
incorretamente).
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de usurios 3-3
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Criar e configurar as propriedades de conta de um objeto de usurio.
Identificar a finalidade e os requisitos dos atributos de conta de usurio.
Executar tarefas administrativas comuns para dar suporte a contas de usurio,
como redefinio de senha e desbloqueio de conta.
Habilitar e desabilitar contas de usurio.
Excluir, migrar e renomear contas de usurio.
Exibir e modificar atributos ocultos de objetos de usurio.
Identificar a finalidade e os requisitos dos atributos de objeto de usurio.
Criar usurios com base em modelos de conta de usurio.
Modificar atributos de diversos usurios simultaneamente.
Exportar atributos de usurio com CSVDE.
Importar usurios com CSVDE.
Importar usurios com LDIFDE.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
3-4 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Lio 1
Criao e administrao de contas de usurio
Objetivos
Aps concluir esta lio, voc ser capaz de:
Criar e configurar as propriedades de conta de um objeto de usurio.
Identificar a finalidade e os requisitos dos atributos de conta de usurio.
Executar tarefas administrativas comuns para dar suporte a contas de usurio,
como redefinio de senha e desbloqueio de conta.
Habilitar e desabilitar contas de usurio.
Excluir, migrar e renomear contas de usurio.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de usurios 3-5
Conta de usurio
Pontos principais
Muitas vezes, os objetos de usurio so chamados de contas de usurio. Mas quando
observamos de perto, o que voc considera uma "conta" (o nome de usurio, a
senha e talvez o identificador de segurana ou SID) simplesmente um subconjunto
de atributos de um objeto de usurio. Os objetos de usurio do Active Directory
incluem inmeros atributos que so apenas relacionados indiretamente conta
(como a propriedade de caminho do perfil) ou so atributos da pessoa que a conta
representa (como o endereo de email, o telefone e as propriedades do gerente).
As contas de usurio os atributos da conta do objeto de usurio fazem duas
coisas. Elas possibilitam a autenticao o processo de logon durante o qual a
identidade do usurio validada pela comparao do nome de logon e da senha
do usurio. Assim, uma vez que o usurio tenha feito logon, o SID da conta
comparado com as permisses sobre os recursos que o usurio tenta acessar. O
Mdulo 1 descreveu o processo de logon, a gerao do token de segurana que
inclui o SID do usurio e o mecanismo atravs do qual as permisses de uma ACL
so comparadas com os SIDs no token para determinar o nvel de acesso a um
recurso.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
3-6 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
possvel criar e armazenar uma conta de usurio no Active Directory. Uma conta
de usurio do domnio permite fazer logon em qualquer mquina do domnio e
acessar recursos disponveis nele. Certamente os dois conjuntos de atividades
esto sujeitos a direitos, privilgios e permisses de logon atribudos conta.
Alm disso, embora as contas do Active Directory sejam o foco deste curso,
tambm possvel armazenar contas no banco de dados do SAM (gerenciador de
contas de segurana), o que possibilita o logon local e o acesso a recursos locais.
Em sua maioria, as contas de usurios locais vo alm do escopo deste curso.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de usurios 3-7
Pontos principais
Um objeto de usurio, muitas vezes chamado de conta de usurio, inclui o nome de
usurio e a senha, que funcionam como as credenciais de logon de um usurio.
Um objeto de usurio tambm inclui vrios outros atributos que descrevem e
gerenciam o usurio.
Para criar um objeto de usurio:
1. Clique com o boto direito do mouse na unidade organizacional em que voc
deseja criar o usurio, aponte para Novo e clique em Usurio.
2. Na caixa Nome, digite o nome do usurio.
3. Na caixa Iniciais, digite as iniciais do segundo nome do usurio.
Na verdade, esta propriedade representa as iniciais do segundo nome de um
usurio, e no as iniciais do nome e do sobrenome dele.
4. Na caixa Sobrenome, digite o sobrenome do usurio.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
3-8 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Leitura adicional
Ajuda de Usurios e Computadores do Active Directory: Gerenciando usurios:
http://technet.microsoft.com/pt-br/library/cc754661.aspx
Criar uma nova conta de computador:
http://technet.microsoft.com/pt-br/library/cc732336.aspx
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
3-10 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Use o comando DSAdd para criar objetos no Active Directory. O comando DSAdd
User cria um objeto de usurio e aceita parmetros que especificam propriedades
do usurio. O seguinte comando mostra os parmetros bsicos necessrios para
criar uma conta de usurio:
O parmetro -pwd especifica a senha. Se for definido como um asterisco (*), voc
ser solicitado a informar uma senha de usurio. O parmetro -mustchpwd
especifica que o usurio deve alterar a senha no prximo logon.
DSAdd User aceita diversos parmetros que especificam propriedades do objeto de
usurio.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de usurios 3-11
O seguinte comando cria um usurio com alguns dos campos mais importantes
preenchidos:
-hmdir \\server01\users\$username$\documents
Leitura adicional
DSAdd: http://technet.microsoft.com/pt-br/library/cc755811(WS.10).aspx
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
3-12 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Atributos de nome
Pontos principais
Existem vrios atributos relacionados ao nome de um objeto de usurio e a uma
conta. importante entender as diferenas entre eles.
O Nome de logon do usurio (anterior ao Windows 2000) de um usurio ,
na verdade, o atributo sAMAccountName. Ele tambm chamado de samid.
Deve ser exclusivo no domnio inteiro.
O Nome de logon do usurio o atributo userPrincipalName, abreviado
como UPN. O UPN consiste em um nome de logon e um sufixo UPN que, por
padro, o nome DNS do domnio no qual voc est criando o objeto. O UPN
deve ser exclusivo na floresta inteira. Endereos de email, que devem ser
exclusivos no mundo todo, certamente atendem a esse requisito. Considere
usar endereos de email como UPNs. Se o nome do domnio do Active
Directory no for igual ao nome do domnio de email, adicione o nome do
domnio de email como sufixo UPN disponvel. Para isso, abra o snap-in
Domnios e Relaes de Confiana do Active Directory, clique com o boto
direito do mouse na raiz do snap-in e clique em Propriedades.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de usurios 3-13
Pergunta: O que voc faz na sua organizao para assegurar a exclusividade dos
atributos de nome e quais convenes de nomenclatura voc usa?
Leitura adicional
Nomes de objeto:
http://technet.microsoft.com/pt-br/library/cc776019(WS.10).aspx
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
3-14 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Quando preciso renomear uma conta de usurio, pode haver um ou mais
atributos que voc deve alterar.
Para renomear um usurio no snap-in Usurios e Computadores do Active
Directory:
1. Clique no usurio com o boto direito do mouse e clique em Renomear.
2. Digite o novo CN do usurio e pressione ENTER.
exibida a caixa de dilogo Renomear Usurio, que pede para voc inserir
atributos de nome adicionais.
3. Digite o Nome Completo (que mapeado para os atributos cn e name)
4. Digite o Nome e o Sobrenome.
5. Digite o Nome para Exibio.
6. Digite o Nome de Logon do Usurio e o Nome de Logon do Usurio
(Anterior ao Windows 2000).
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de usurios 3-15
Atributos de conta
Pontos principais
Na guia Conta da caixa de dilogo Propriedades de um usurio, voc encontra os
atributos que esto diretamente relacionados ao fato de um usurio ser uma
entidade de segurana, o que significa que se trata de uma identidade para a qual
possvel atribuir direitos e permisses.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de usurios 3-17
Propriedade Descrio
O Usurio Deve Alterar a Senha Marque esta caixa de seleo para que o usurio
no Prximo Logon altere a senha que voc atribuiu a ele na primeira
vez que fizer logon. No selecione esta opo se
voc tiver selecionado A Senha Nunca Expira. Do
contrrio, a opo mutuamente exclusiva O Usurio
No Pode Alterar a Senha ser desmarcada
automaticamente.
(continuao)
Propriedade Descrio
A Conta Confivel para Esta opo permite que uma conta de servio
Delegao represente um usurio para acessar recursos de
rede em nome dele. Normalmente ela no
selecionada, certamente no para um objeto de
usurio que representa uma pessoa. Ela usada
com mais frequncia para contas de servio em
infraestruturas de aplicativo de trs camadas (ou
vrias camadas).
Leitura adicional
Propriedades do Usurio - guia Conta:
http://technet.microsoft.com/pt-br/library/dd145547.aspx
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de usurios 3-19
Pontos principais
Se o usurio esquecer a senha e tentar fazer logon, receber uma mensagem de
logon.
Para que o usurio possa fazer logon com xito, voc ter de redefinir a senha. No
preciso saber a antiga senha do usurio para fazer isso.
Para redefinir a senha de um usurio no snap-in Usurios e Computadores do
Active Directory:
1. Clique com o boto direito do mouse no objeto de usurio e clique em
Redefinir senha.
A caixa de dilogo Redefinir senha ser exibida.
2. Insira a nova senha nas caixas Nova senha e Confirmar senha.
uma prtica recomendvel atribuir uma senha forte exclusiva temporria
para o usurio.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
3-20 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pergunta: Quem deve poder redefinir a senha dos usurios padro? E das contas
com privilgios administrativos? E das contas de servio?
Leitura adicional
Redefinir uma senha de usurio:
http://technet.microsoft.com/pt-br/library/cc754395.aspx
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de usurios 3-21
Pontos principais
Um domnio do Active Directory d suporte a diretivas de bloqueio de contas.
Uma diretiva de bloqueio visa impedir que um invasor tente penetrar na rede
corporativa fazendo logon repetidas vezes com vrias senhas at encontrar a senha
correta. Quando um usurio tenta fazer logon usando uma senha incorreta,
gerada uma falha de logon. Quando ocorrem muitas falhas de logon em um
determinado perodo, definido pela diretiva de bloqueio, a conta bloqueada. Na
prxima vez que o usurio tenta fazer logon, uma notificao informa claramente
sobre o bloqueio da conta. Voc aprender a configurar diretivas de bloqueio de
contas no Mdulo 9.
A diretiva de bloqueio pode definir um perodo aps o qual uma conta bloqueada
automaticamente desbloqueada. No entanto, quando o usurio tentar fazer logon e
descobrir que est bloqueado, provavelmente entrar em contato com a assistncia
tcnica para obter suporte.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
3-22 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
O Windows Server 2008 tambm adiciona a opo para desbloquear uma conta de
usurio quando voc escolhe o comando Redefinir Senha.
Para desbloquear uma conta de usurio ao redefinir uma senha de usurio:
Na caixa de dilogo Redefinir Senha, marque a caixa de seleo Desbloquear
a conta do usurio.
Pergunta: Alm de senhas esquecidas, voc j passou por outras situaes que
levaram a um bloqueio de conta?
Leitura adicional
O Mdulo 9 aborda as diretivas de bloqueio de contas detalhadamente.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de usurios 3-23
Pontos principais
As contas de usurio so entidades de segurana - identidades que podem receber
acesso a recursos de rede. Como cada usurio um membro de Usurios do
Domnio e da identidade especial Usurios Autenticados, cada conta de usurio
tem no mnimo acesso de leitura a uma infinidade de informaes no Active
Directory e nos seus sistemas de arquivos, a menos que voc esteja treinado e seja
muito bem-sucedido em bloquear ACLs (listas de controle de acesso).
Assim, importante no deixar contas de usurio abertas. Isso significa que voc
deve configurar diretivas de senha e auditoria (ambas so discutidas em outros
mdulos), alm de procedimentos para assegurar que as contas estejam sendo
utilizadas corretamente.
Se uma conta de usurio foi provisionada antes do necessrio, ou se um
funcionrio estar ausente por um perodo maior, desabilite a conta.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
3-24 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Leitura adicional
Desabilitar ou habilitar uma conta de usurio:
http://technet.microsoft.com/pt-br/library/cc753390.aspx
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de usurios 3-25
Pontos principais
Quando uma conta no mais necessria, voc pode exclu-la do diretrio.
Para excluir uma conta de usurio em Usurios e Computadores do Active Directory:
1. Selecione o usurio e pressione Excluir ou clique no usurio com o boto
direito do mouse e clique em Excluir.
Voc solicitado a confirmar sua escolha devido s srias implicaes da
excluso de uma entidade de segurana.
2. Confirme o prompt.
dsrm UserDN
Leitura adicional
Excluir uma conta de usurio:
http://technet.microsoft.com/pt-br/library/cc753730.aspx
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de usurios 3-27
Pontos principais
Para mover um objeto de usurio no snap-in Usurios e Computadores do Active
Directory:
1. Clique no usurio com o boto direito do mouse e clique em Mover.
2. Clique na pasta para a qual voc deseja mover a conta de usurio. Em seguida,
clique em OK.
Para mover um usurio com uma ferramenta de linha de comando, use DSMove.
DSMove usa a seguinte sintaxe:
Leitura adicional
Mover uma conta de usurio:
http://technet.microsoft.com/pt-br/library/cc754404.aspx
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de usurios 3-29
Cenrio
Voc o administrador da Contoso, Ltd., uma universidade online de ensino para
adultos. Foram contratados dois novos funcionrios: Chris Mayo e Amy Strande.
Voc deve criar contas para esses usurios. Com o passar do tempo, Chris Mayo sai
da organizao, e sua conta deve ser administrada conforme a poltica da empresa
sobre gerenciamento do ciclo de vida de contas de usurio.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
3-30 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Resultados: aps esse exerccio, voc ter contas de usurio chamadas Chris Mayo e
Amy Strande na UO Employees.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
3-32 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Resultados: aps esse exerccio, a conta de Chris Mayo ter sido excluda.
Pergunta: O que acontece quando voc cria uma conta de usurio cuja senha no
atende aos requisitos do domnio?
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de usurios 3-35
Lio 2
Configurao de atributos do objeto de usurio
Pontos principais
No Active Directory, um objeto de usurio bem mais do que apenas um conjunto
de propriedades relacionadas identidade de segurana ou conta do usurio. Um
objeto de usurio inclui atributos que descrevem a pessoa e seu relacionamento
com a organizao, bem como informaes de contato e configurao da
experincia do usurio no respectivo computador. Nesta lio, voc ir explorar
muitos dos atributos de objeto de usurio mais teis e aprender a administrar os
atributos de um ou mais usurios.
Objetivos
Aps concluir esta lio, voc ser capaz de:
Exibir e modificar atributos ocultos de objetos de usurio.
Identificar a finalidade e os requisitos dos atributos de objeto de usurio.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
3-36 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Quando voc cria um usurio com o Assistente Novo Objeto - Usurio do snap-in
Usurios e Computadores do Active Directory, deve inserir algumas propriedades
comuns, incluindo nomes de logon, senhas e nome e sobrenome do usurio.
Porm, no Active Directory, um objeto de usurio d suporte a vrias outras
propriedades que podem ser configuradas a qualquer momento atravs do snap-in
Usurios e Computadores do Active Directory.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
3-38 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
O Editor de Atributos permite exibir e editar todos os atributos de um objeto de
usurio. A guia Editor de Atributos s fica visvel depois que voc habilita Recursos
Avanados no menu Exibir do MMC (Console de Gerenciamento Microsoft).
O Editor de Atributos exibe todos os atributos de sistema do objeto selecionado. O
boto Filtrar permite ver ainda mais atributos, inclusive vnculos regressivos e
atributos construdos.
Vnculos regressivos so atributos que resultam de referncias ao objeto a partir de
outros objetos. A maneira mais fcil de entender os vnculos regressivos vendo
um exemplo: o atributo memberOf. Quando um usurio adicionado a um grupo,
o atributo de membro do grupo que alterado: o nome distinto do usurio
adicionado a esse atributo de vrios valores. Por isso, o atributo de membro de um
grupo chamado de atributo de vnculo progressivo. O atributo memberOf de um
usurio atualizado automaticamente pelo Active Directory quando o usurio
referenciado por um atributo de membro de um grupo. Voc nunca escreve o
atributo memberOf do usurio diretamente - ele mantido dinamicamente pelo
Active Directory.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de usurios 3-41
Pergunta: Voc est usando algum dos atributos ocultos na sua organizao?
Nesse caso, como voc interage com eles (ler e modificar os atributos)?
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
3-42 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
O snap-in Usurios e Computadores do Active Directory permite modificar as
propriedades de vrios objetos de usurio simultaneamente.
Para modificar os atributos de diversos usurios no snap-in Usurios e
Computadores do Active Directory:
1. Selecione vrios objetos de usurio mantendo a tecla CTRL pressionada
medida que voc clica em cada nome de usurio ou utilize outra tcnica de
seleo mltipla.
Selecione apenas objetos de uma classe, como usurios.
2. Depois de ter selecionado os vrios objetos, clique em qualquer um deles com
o boto direito do mouse e clique em Propriedades.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de usurios 3-43
Pontos principais
Os comandos DSMod e DSGet so duas ferramentas de linha de comando do
Active Directory, que tambm so chamadas de comandos DS.
DSMod
DSMod modifica os atributos de um ou mais objetos existentes. A sintaxe bsica de
DSMod :
Pontos principais
Os usurios de um domnio com frequncia compartilham muitas propriedades
semelhantes. Por exemplo, todos os representantes de vendas podem pertencer
aos mesmos grupos de segurana, fazer logon na rede em horrios parecidos e ter
pastas base e perfis mveis armazenados no mesmo servidor. Quando voc cria
um novo usurio, pode simplesmente copiar uma conta j existente em vez de criar
uma conta vazia e preencher cada propriedade.
Desde o Windows NT 4.0, o Windows tem apoiado o conceito de modelos de
conta de usurio. Um modelo de conta de usurio consiste em uma conta de
usurio genrica j preenchida com propriedades comuns. Por exemplo, possvel
criar uma conta de modelo para representantes de vendas que seja pr-configurado
com associaes de grupo, horrios de logon, uma pasta base e o caminho do perfil
mvel.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
3-48 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Dica: use um padro de nomenclatura que facilite a localizao dos modelos. Por
exemplo, defina o nome completo para que inicie com sublinhado (_), como em _Sales
User. O sublinhado far com que todos os modelos sejam exibidos no incio da lista de
usurios em uma UO.
Leitura adicional
Copiar uma conta de usurio:
http://technet.microsoft.com/pt-br/library/cc771231.aspx
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de usurios 3-49
Pontos principais
importante compreender que nem todos os atributos so copiados. A lista a
seguir resume os atributos que so copiados. No proveitoso configurar outros
atributos do modelo, uma vez que eles no sero copiados.
Guia Geral. Nenhuma propriedade copiada da guia Geral.
Guia Endereo. Caixa postal, cidade, estado, CEP e pas ou regio so
copiados. O endereo propriamente dito no copiado.
Guia Conta. Horrios de logon, estaes de trabalho para logon e vencimento
da conta so copiados.
Guia Perfil. Caminho do perfil, script de logon, unidade inicial e caminho da
pasta base so copiados.
Guia Organizao. Departamento, empresa e gerente so copiados.
Guia Membro de. Associaes de grupo e grupo primrio so copiados.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
3-50 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Observao: existem outros atributos copiados que nem mesmo ficam visveis na caixa
de dilogo Propriedades do usurio. Esses atributos incluem assistente, diviso e tipo de
funcionrio.
Pergunta: Que outros mtodos voc utiliza para criar novas contas de usurio com
atributos comuns?
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de usurios 3-51
Cenrio
Voc o administrador da Contoso, Ltd., uma universidade online de ensino para
adultos. Mudanas ocorridas no departamento de Vendas exigem que voc
modifique atributos de usurios de Vendas. Alm disso, voc decidiu simplificar a
criao de novas contas de vendedores e preparou um modelo de conta de usurio.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
3-52 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Geral Sobrenome
Geral Descrio
Geral Escritrio
Geral Email
Endereo Rua
Endereo Cidade
Endereo CEP
Endereo Pas
Organizao Cargo
Organizao Departamento
Organizao Empresa
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
3-54 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Perguntas:
1. Use a guia Editor de Atributos para responder as perguntas a seguir.
O atributo employeeID, mostrado na guia Editor de Atributos, exibido
em uma guia normal da caixa de dilogo Propriedades? Em caso
afirmativo, em qual guia? E o atributo carLicense?
Observando a guia Editor de Atributos, qual o DN do objeto de Tony
Krijnen?
Observando a guia Editor de Atributos, qual o UPN de Tony? Em que
outra guia o atributo aparece e como ele identificado e exibido?
2. Perguntas para reflexo: tente responder as perguntas a seguir. No entanto,
possvel que voc no encontre uma resposta. Tudo bem. Depois de pensar em
uma resposta, voc poder consultar as Respostas do laboratrio.
Por que o atributo sn deve ser nomeado como sn?
Para que serve o atributo c?
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de usurios 3-55
Senha: Pa$$w0rd.
A conta est habilitada.
Resultados: aps esse exerccio, voc ter uma conta de usurio chamada Rob Young
na UO Employees. A conta ter todos os atributos que voc configurou para o modelo
_Usurio de Vendas.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de usurios 3-59
Dica: quando voc executa um script em lotes com parmetros, o script pode fazer
referncia ao primeiro parmetro como %1 e ao segundo parmetro como %2.
Pergunta: Que opes voc aprendeu para modificar atributos de usurios novos e
j existentes?
Lio 3
Automatizao da criao de contas de usurio
Pontos principais
CSVDE uma ferramenta de linha de comando que exporta ou importa objetos do
Active Directory para/de um arquivo de texto delimitado por vrgulas (tambm
conhecido como arquivo de texto com valores separados por vrgula ou arquivo
.csv). Esses arquivos podem ser criados, modificados e abertos com ferramentas
conhecidas, como o Bloco de Notas e o Microsoft Office Excel.
A sintaxe bsica do comando CSVDE para exportao :
csvde -f filename
DN,objectClass,sn,givenName,sAMAccountName,userPrincipalName
"CN=David Jones,OU=Employees,OU=User
Accounts,DC=contoso,DC=com",user,Jones,David,david.jones,david.jones@c
ontoso.com
"CN=Lisa Andrews,OU=Employees,OU=User
Accounts,DC=contoso,DC=com",user,Andrews,Lisa,lisa.andrews,lisa.andrew
s@contoso.com
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
3-64 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
CSVDE tambm pode criar contas de usurio importando um arquivo .csv. Se voc
tiver informaes de usurio em bancos de dados existentes do Excel ou do
Microsoft Office Access, ver que CSVDE uma forma avanada de aproveitar
essas informaes para automatizar a criao de contas de usurio.
A sintaxe bsica do comando CSVDE para importao :
csvde -i -f filename -k
DN,objectClass,sn,givenName,sAMAccountName,userPrincipalName
"CN=David Jones,OU=Employees,OU=User
Accounts,DC=contoso,DC=com",user,Jones,David,david.jones,david.jones@c
ontoso.com
"CN=Lisa Andrews,OU=Employees,OU=User
Accounts,DC=contoso,DC=com",user,Andrews,Lisa,lisa.andrews,lisa.andrew
s@contoso.com
Pontos principais
Voc tambm pode usar LDIFDE.exe para importar ou exportar objetos do Active
Directory, inclusive usurios. LDIF um esboo de padro de Internet para
formato de arquivo que pode ser utilizado para executar operaes em lotes em
diretrios que esto em conformidade com os padres LDAP. LDIF d suporte a
operaes de importao e exportao e a operaes em lotes que modificam
objetos no diretrio. O comando LDIFDE implementa essas operaes em lotes
usando arquivos LDIF.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de usurios 3-67
ldifde i f newusers.ldf
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de usurios 3-69
Comando Uso
Parmetros gerais
-? Ajuda
Cenrio
Voc o administrador da Contoso, Ltd., uma universidade online de ensino para
adultos. Voc est contratando vrios funcionrios novos. O departamento de
Recursos Humanos forneceu resumos do banco de dados nos formatos LDIF e de
texto delimitado por vrgula. Voc deseja importar esses arquivos de dados para
criar contas de usurio para os novos contratados.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de usurios 3-71
e pressione ENTER.
Abra D:\Labfiles\Lab03c\UsersNamedApril.csv no Bloco de Notas.
Examine o arquivo e feche-o em seguida.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
3-72 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
csvde -i -f D:\Labfiles\Lab03c\NewUsers.csv -k
e pressione ENTER.
Os dois usurios so importados.
Execute Usurios e Computadores do Active Directory com credenciais
administrativas. Use a conta Pat.Coleman_Admin com a senha Pa$$w0rd.
Verifique se os usurios foram criados com xito.
Se o snap-in Usurios e Computadores do Active Directory ficou aberto
durante o exerccio, talvez voc precise atualizar a exibio para ver as
contas recm-criadas.
Examine as contas para confirmar que o nome, o sobrenome, o UPN e o nome
de logon anterior ao Windows 2000 foram preenchidos de acordo com as
instrues contidas em NewUsers.txt.
Redefina as senhas das duas contas como Pa$$w0rd.
Habilite as duas contas.
Feche NewUsers.csv.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de usurios 3-73
ldifde -i -f D:\Labfiles\Lab03c\NewUsers.ldf -k
e pressione ENTER.
Os dois usurios so importados.
Em Usurios e Computadores do Active Directory, verifique se os usurios
foram criados com xito.
Se o snap-in Usurios e Computadores do Active Directory ficou aberto
durante o exerccio, talvez voc precise atualizar a exibio para ver as
contas recm-criadas.
Examine as contas para confirmar que as propriedades de usurio foram
preenchidas segundo as instrues do arquivo NewUsers.ldf.
Redefina as senhas das duas contas como Pa$$w0rd.
Habilite as duas contas.
Feche NewUsers.ldf.
Saia de HQDC01.
Resultados: aps esse exerccio, voc ter importado contas para Lisa Andres, David
Jones, Bobby Moore e Bonnie Kearney.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
3-74 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pergunta: Que cenrios servem para importar usurios com CSVDE e LDIFDE?
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de grupos 4-1
Mdulo 4
Gerenciamento de grupos
Sumrio:
Lio 1: Gerenciamento de uma empresa com grupos 4-4
Lio 2: Administrao de grupos 4-46
Laboratrio A: Administrao de grupos 4-67
Lio 3: Prticas recomendadas para gerenciamento de grupos 4-75
Laboratrio B: Prticas recomendadas para gerenciamento de grupos 4-91
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
4-2 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Compreender a funo dos grupos no gerenciamento de uma empresa.
Criar grupos delegados, seguros e bem documentados.
Compreender os tipos, o escopo e o aninhamento de grupos.
Compreender a prtica recomendada para o aninhamento de grupos a fim de
obter o gerenciamento baseado em funes.
Criar, excluir e gerenciar grupos com o CSVDE e o LDIFDE.
Enumerar e copiar os membros do grupo.
Compreender os grupos (Builtin) padro.
Compreender as identidades especiais.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
4-4 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Lio 1
Gerenciamento de uma empresa com grupos
Voc certamente j sabe qual a finalidade dos grupos: coletar e gerenciar itens
como uma pessoa jurdica. A implementao do gerenciamento de grupos no
Active Directory no intuitiva. O Active Directory foi projetado para oferecer
suporte a ambientes grandes e distribudos. Portanto, ele contm sete tipos de
grupos diferentes: dois tipos de grupos de domnio com trs escopos cada um,
mais os grupos de segurana locais. Nesta lio, voc saber a funo que cada um
desses grupos desempenha e aprender a alinhar seus requisitos de negcios s
opes potencialmente complexas fornecidas pelo Active Directory.
Objetivos
Aps concluir esta lio, voc ser capaz de:
Compreender a funo dos grupos no gerenciamento de uma empresa.
Definir convenes de nomenclatura de grupos.
Compreender os tipos de grupo.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de grupos 4-5
Pontos principais
Os grupos so uma classe de objeto importante, pois eles so usados para coletar
usurios, computadores e outros grupos a fim de criar um ponto nico de
gerenciamento. O uso mais direto e comum de um grupo a concesso de
permisses a uma pasta compartilhada. Se um grupo tiver recebido o acesso Ler a
uma pasta, por exemplo, qualquer membro do grupo poder ler a pasta. Voc no
precisa conceder o acesso Ler diretamente a cada membro; voc pode gerenciar o
acesso pasta simplesmente adicionando e removendo membros do grupo.
Para criar um grupo:
1. Abra o snap-in Usurios e Computadores do Active Directory.
2. Na rvore de console, expanda o n que representa o seu domnio (por
exemplo, contoso.com) e navegue at a UO (unidade organizacional) ou
continer (por exemplo, Usurios) em que deseja criar o grupo.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de grupos 4-7
Leitura adicional
Criar um novo grupo:
http://technet.microsoft.com/pt-br/library/cc733146.aspx
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
4-10 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Imagine que os 100 usurios do departamento de venda precisam do acesso Ler
em uma pasta compartilhada chamada Sales em um servidor. Ela no pode ser
gerenciada de modo a atribuir permisses a cada usurio individualmente. Quando
novos vendedores forem contratados, voc precisar adicionar as novas contas
ACL (lista de controle de acesso) da pasta. Quando as contas forem excludas, voc
precisar remover as permisses da ACL ou ficar sem uma entrada de conta na
ACL, conforme mostrado a seguir, o que resultar em um SID na ACL referente a
uma conta que no pode ser resolvida.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de grupos 4-11
Pontos principais
O exemplo apresentado no tpico anterior pode parecer exagerado, porque voc
no tem dvida de que, embora seja possvel atribuir permisses a um recurso para
uma identidade individual usurio ou computador a prtica recomendada
atribuir uma nica permisso a um grupo e, em seguida, gerenciar o acesso ao
recurso alterando os membros do grupo.
Portanto, para continuar o exemplo, voc poder criar um grupo chamado Sales e
atribuir a ele a permisso Permitir Leitura na pasta Sales. Agora voc tem um nico
ponto de gerenciamento. O grupo Sales gerencia, com eficincia, o acesso pasta
compartilhada. possvel adicionar novos usurios de vendas ao grupo, e eles
recebero acesso pasta compartilhada. Quando voc excluir uma conta, ela ser
automaticamente excluda do grupo; portanto, voc no ter SIDs no resolvidos
na ACL.
Tambm mais fcil responder pergunta "Quem pode ler a pasta Sales?" Voc
pode simplesmente enumerar os membros do grupo Sales.
O grupo Vendas se tornou o foco das tarefas de gerenciamento de acesso.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de grupos 4-13
Pontos principais
Se os usurios de vendas precisarem do acesso Ler nas trs pastas nos trs
servidores separados, voc poder atribuir ao grupo Sales a permisso Permitir
Leitura em cada uma das trs pastas. Aps atribuir as trs permisses, o grupo
Vendas fornecer um nico ponto de gerenciamento para o acesso a recursos. O
grupo Sales gerencia, com eficincia, o acesso s trs pastas compartilhadas.
possvel adicionar novos usurios de vendas ao grupo, e eles recebero acesso s
trs pastas compartilhadas nos trs servidores. Quando voc excluir uma conta, ela
ser automaticamente excluda do grupo; portanto, voc no ter SIDs no
resolvidos nas ACLs.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de grupos 4-15
Pontos principais
Imagine agora que no so apenas os vendedores que precisam do acesso Ler nas
pastas. Os executivos, os funcionrios do departamento de marketing e os
consultores de vendas contratados pela sua organizao tambm precisam da
permisso Ler nas mesmas pastas.
Voc poder adicionar esses grupos ACL das pastas, concedendo a cada um deles
a permisso Permitir Leitura; mas, voc logo acabar tendo uma ACL com vrias
permisses, dessa vez atribuindo a permisso Permitir Leitura a vrios grupos, e
no a vrios usurios. Para atribuir os trs grupos e uma permisso de usurio s
trs pastas nos trs servidores, voc precisar adicionar doze permisses! O grupo
a seguir que precisar de acesso exigir mais trs alteraes para conceder
permisses s ACLs das trs pastas compartilhadas.
O que fazer se oito usurios que no so vendedores, funcionrios de marketing
ou executivos precisarem do acesso Ler nas trs pastas? Adicionar as contas de
usurio individuais s ACLs? Se fizer isso, haver mais 24 permisses para
adicionar e gerenciar!
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
4-16 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Voc percebe que o uso de apenas um tipo de grupo, um grupo de funes que
define as funes corporativas dos usurios, rapidamente se torna uma forma
ineficaz de habilitar o gerenciamento do acesso s trs pastas. Se a regra de
gerenciamento sugerir que essas trs funes e nove usurios adicionais precisam
de acesso ao recurso, voc estar atribuindo um total de 36 permisses nas ACLs.
Torna-se muito difcil manter a conformidade e realizar uma auditoria. At mesmo
perguntas simples como "Voc pode me informar quais usurios podem ler as
pastas Sales?" tornam-se difceis de responder.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de grupos 4-17
Pontos principais
A soluo reconhecer que h dois tipos de gerenciamento que devem ser
realizados para gerenciar com eficincia este cenrio. Voc deve gerenciar os
usurios como conjuntos, com base em suas funes corporativas. E,
separadamente, voc deve gerenciar o acesso s trs pastas.
As trs pastas so tambm um conjunto de itens: elas so um recurso nico, um
conjunto de pastas Vendas, que simplesmente so distribudas entre as trs pastas
nos trs servidores. Voc est tentando gerenciar o acesso Ler a esse recurso.
necessrio ter um nico ponto de gerenciamento com o qual o acesso ao recurso
ser gerenciado.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
4-18 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Isso requer outro grupo, um grupo que representa o acesso Ler nas trs pastas dos
trs servidores. Imagine que voc esteja criando um grupo chamado ACL_Sales
Folders_Read. Esse grupo receber a permisso Permitir Leitura nas trs pastas. Os
grupos Sales, Marketing e Executives, juntamente com os usurios individuais,
sero todos membros do grupo ACL_Sales Folders_Read. Voc atribui somente
trs permisses: uma em cada pasta, concedendo o acesso Ler ao grupo ACL_Sales
Folders_Read.
O grupo ACL_Sales Folders_Read se torna o foco do gerenciamento de acesso.
Como os grupos ou usurios adicionais precisam de acesso s pastas, eles sero
adicionados a esse grupo. Isso tambm tornar muito mais fcil reportar quem tem
acesso s pastas. Em vez de precisar examinar as ACLs em cada uma das dez
pastas, voc simplesmente examinar os membros do grupo ACL_Sales
Folders_Read.
Para gerenciar com eficincia at mesmo uma empresa um pouco complexa, ser
necessrio ter dois "tipos" de grupos que desempenham papis distintos.
Grupos que definem funes. Estes grupos, denominados grupos de funes,
contm usurios, computadores e outros grupos de funes baseados em
caractersticas corporativas comuns, como local, tipo de funo etc.
Grupos que definem regras de gerenciamento. Estes grupos, denominados
grupos de regras, definem como um recurso corporativo est sendo gerenciado.
Leitura adicional
Para obter mais informaes sobre o gerenciamento baseado em funes,
consulte Windows Administration Resource Kit: Productivity Solutions for IT
Professionals por Dan Holme (Microsoft Press, 2008).
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
4-20 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Anteriormente nesta lio, voc aprendeu a criar um grupo atravs do snap-in
Usurios e Computadores do Active Directory, clicando com o boto direito do
mouse na UO em que deseja criar um grupo, apontando para Novo e, em seguida,
clicando em Grupo. A caixa de dilogo Novo objeto - Grupo, exibida a seguir,
permite que voc especifique propriedades fundamentais do novo grupo.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de grupos 4-21
Tenha em mente que os grupos de funes que definem funes de usurio sero
frequentemente usados por usurios no-tcnicos. Por exemplo, voc pode
habilitar por email o grupo Vendas para que ele possa ser usado como uma lista de
distribuio de emails. Portanto, recomendvel que sua conveno de
nomenclatura para grupos de funes os mantenha simples e diretos. Em outras
palavras, sua conveno de nomenclatura para grupos de funes no usar
prefixos, sufixos ou delimitadores, mas apenas um nome descritivo amigvel.
Leitura adicional
Para obter mais informaes sobre como gerenciar grupos com eficincia,
consulte Windows Administration Resource Kit: Productivity Solutions for IT
Professionals por Dan Holme (Microsoft Press, 2008).
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
4-24 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Tipo de grupo
Pontos principais
Existem dois tipos de grupos: segurana e distribuio. Ao criar um grupo, voc faz
a seleo do tipo de grupo na caixa de dilogo Novo objeto Grupo.
Os grupos de distribuio so usados basicamente por aplicativos de email. Esses
grupos no so habilitados para segurana, ou seja, eles no tm SIDs; portanto,
eles no podem receber permisses para recursos. O envio de uma mensagem para
um grupo de distribuio envia a mensagem para todos os membros do grupo.
Os grupos de segurana so entidades de segurana com SIDs. Esses grupos
podem, portanto, ser usados em entradas de permisso nas ACLs para controlar a
segurana para acesso a recursos. Os grupos de segurana tambm podem ser
usados como grupos de distribuio por aplicativos de email. Se um grupo for
usado para gerenciar a segurana, ele dever ser um grupo de segurana.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de grupos 4-25
Escopo do grupo
Pontos principais
Os grupos possuem membros: usurios, computador e outros grupos; os grupos
podem ser membros de outros grupos e podem ser mencionados pelas ACLs,
pelos filtros de GPO (objeto de Diretiva de Grupo) e por outros componentes de
gerenciamento. O escopo do grupo impacta cada uma destas caractersticas de um
grupo: o que ele pode conter, a qual grupo ele pode pertencer e onde ele pode ser
usado. H quatro escopos de grupo: global, domnio local, local e universal.
As caractersticas que definem cada escopo se enquadram nas seguintes categorias:
Replicao. Onde o grupo definido e em quais sistemas o grupo replicado?
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de grupos 4-27
Grupos locais
Pontos principais
Os grupos locais so definidos localmente e esto disponveis em um nico
computador. Os grupos locais so criados no banco de dados SAM (gerenciador de
contas de segurana) de um computador membro de domnio; as estaes de
trabalho e os servidores possuem grupos locais. Os grupos locais tm as seguintes
caractersticas:
Replicao. Um grupo local definido apenas no banco de dados SAM local
de um membro do domnio. O grupo e seus membros no so replicados para
nenhum outro sistema.
Membros. Um grupo local pode incluir com membros:
Qualquer entidade de segurana do domnio: usurios, computadores,
grupos globais ou grupos de domnio local
Usurios, computadores e grupos globais de qualquer domnio na floresta
Usurios, computadores e grupos globais de qualquer domnio confivel
Grupos universais definidos em qualquer domnio da floresta
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de grupos 4-29
Prtica recomendada
Em um grupo de trabalho, voc usa grupos locais para gerenciar a segurana dos
recursos em um sistema. Em um domnio, no entanto, o gerenciamento dos grupos
locais dos computadores individuais se torna difcil e, na maioria das vezes,
desnecessrio. No recomendvel criar grupos locais personalizados nos
membros de domnio. H muito poucos cenrios em um ambiente de domnio que
so tratados atravs do uso de grupos locais. Na maioria dos casos, os grupos
locais Users e Admins so os nicos grupos locais com os quais voc deve se
preocupar em gerenciar em um ambiente de domnio.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
4-30 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Os grupos de domnio local so usados basicamente para gerenciar permisses
para recursos. Por exemplo, o grupo ACL_Sales Folders_Read abordado
anteriormente na lio ser criado como um grupo de domnio local. Os grupos de
domnio local tm as seguintes caractersticas:
Replicao. Um grupo de domnio local definido no contexto de
nomenclatura do domnio. O objeto de grupo e seus membros (o atributo
member) so replicados para cada controlador do domnio.
Membros. Um grupo de domnio local pode incluir como membros:
Qualquer entidade de segurana do domnio: usurios, computadores,
grupos globais ou outros grupos de domnio local.
Usurios, computadores e grupos globais de qualquer domnio na floresta.
Usurios, computadores e grupos globais de qualquer domnio confivel.
Grupos universais definidos em qualquer domnio da floresta.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de grupos 4-31
Grupos globais
Pontos principais
Os grupos globais so usados basicamente para definir conjuntos de objetos de
domnio baseados em funes corporativas. Os grupos de funes, como Sales e
Marketing mencionados anteriormente, bem como funes de computadores,
como o grupo Sales Laptops, sero criados como grupos globais. Os grupos
globais tm as seguintes caractersticas:
Replicao. Um grupo global definido no contexto de nomenclatura do
domnio. O objeto de grupo, incluindo o atributo member, replicado para
todos os controladores do domnio.
Membros. Um grupo global pode incluir como membros somente os usurios,
computadores e outros grupos globais do mesmo domnio.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de grupos 4-33
Disponibilidade. Um grupo global est disponvel para ser usado por todos
os membros do domnio, bem como por todos os outros domnios da floresta
e todos os domnios externos de confiana. Um grupo global pode ser um
membro de qualquer domnio local ou grupo universal do domnio ou da
floresta. Ele tambm pode ser um membro de qualquer grupo de domnio
local em um domnio de confiana. Por fim, um grupo global pode ser
adicionado s ACLs do domnio, da floresta ou dos domnios de confiana.
Como voc pode ver, os grupos globais tm os membros mais limitados (somente
usurios, computadores e grupos globais do mesmo domnio), mas a
disponibilidade mais ampla em todo o domnio, floresta e domnios de confiana.
Prtica recomendada
Os grupos globais so adequados para definir funes, pois as funes so geralmente
conjuntos de objetos do mesmo diretrio.
Por exemplo, os grupos de segurana globais denominados Consultants e Sales
podem ser usados para definir os usurios que so consultores e vendedores,
respectivamente.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
4-34 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Grupos universais
Pontos principais
Os grupos universais tm as seguintes caractersticas:
Replicao. Um grupo universal definido em um nico domnio da floresta,
mas replicado para o catlogo global. Voc aprender mais sobre o catlogo
global no Mdulo 12. Os objetos do catlogo global estaro prontamente
acessveis em toda a floresta.
Membros. Um grupo universal pode incluir como usurios membros grupos
globais e outros grupos universais de qualquer domnio da floresta.
Disponibilidade. Um grupo universal pode ser um membro de um grupo
universal ou grupo de domnio local de qualquer lugar da floresta. Alm disso,
um grupo universal pode ser usado para gerenciar recursos; por exemplo, para
atribuir permisses, em qualquer lugar da floresta.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de grupos 4-35
Pontos principais
Tanto nos exames de certificao como na administrao diria, importante que
voc esteja completamente familiarizado com as caractersticas de membro de cada
escopo de grupo.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de grupos 4-37
A tabela a seguir resume os objetos que podem ser membros de cada escopo de
grupo.
Membros de outro Membros de um
Escopo do Membros do mesmo domnio da mesma domnio externo
grupo domnio floresta confivel
Local Usurios Usurios Usurios
Computadores Computadores Computadores
Grupos globais Grupos globais Grupos globais
Grupos universais Grupos universais
Grupos de domnio
local
Alm disso, os
usurios locais
definidos no mesmo
computador do
grupo local
Domnio Usurios Usurios Usurios
Local Computadores Computadores Computadores
Grupos globais Grupos globais Grupos globais
Grupos de domnio Grupos universais
local
Grupos universais
Universal Usurios Usurios N/D
Computadores Computadores
Grupos globais Grupos globais
Grupos universais Grupos universais
Global Usurios N/D N/D
grupos globais
Pontos principais
Quando voc precisa adicionar ou remover membros de um grupo, tem sua
disposio vrios mtodos.
A guia Membros
Para gerenciar membros de grupo usando a guia Membros do grupo:
1. Abra a caixa de dilogo Propriedades do grupo.
2. Clique na guia Membros.
3. Para remover um membro, basta selecionar o membro e clicar em Remover.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de grupos 4-39
A guia Membro de
Para gerenciar membros de grupo usando a guia Membro de do objeto membro:
1. Abra as propriedades do objeto membro e clique na guia Membro de.
2. Para remover o objeto de um grupo, selecione o grupo e clique no boto
Remover.
3. Para adicionar o objeto a um grupo, clique no boto Adicionar e selecione o
grupo.
Pontos principais
A adio de grupo a outros grupos, um processo chamado aninhamento, pode
criar uma hierarquia de grupos que oferecem suporte a funes corporativas e
regras de gerenciamento. Agora que voc j conheceu os objetivos comerciais e as
caractersticas tcnicas dos grupos, j pode alinhar os dois aspectos em uma
estratgia de gerenciamento de grupos.
Anteriormente nesta lio, voc aprendeu quais tipos de objetos podem ser
membros de cada escopo de grupo. Agora hora de identificar quais tipos de
objetos devem ser membros de cada escopo de grupo. Isso resultar na prtica
recomendada de aninhamento de grupos, conhecida como IGDLA:
Identidades (contas de usurio e computador) so membros de.
Grupos globais que representam funes corporativas. Esses grupos de
funes (grupos globais) so membros de.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de grupos 4-43
Em uma floresta com vrios domnios, existem grupos universais tambm, que
esto entre os grupos globais e os grupos de domnio local. Os grupos globais de
vrios domnios so membros de um nico grupo universal. Esse grupo universal
membro dos grupos de domnio local em vrios domnios. Voc pode considerar o
aninhamento um IGUDLA.
Essa prtica recomendada para a implementao do aninhamento de grupos se
aplica bem at mesmo em cenrios de vrios domnios. Considere a figura a seguir:
Pontos principais
O gerenciamento baseado em funes um conceito usado em toda a tecnologia
da informao e proteo de informaes. Ele pode ser obtido com os recursos
predefinidos do Active Directory. O IGDLA a implementao do gerenciamento
baseado em funes atravs dos grupos do Active Directory.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
4-46 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Lio 2
Administrao de grupos
Pontos principais
O comando DSAdd permite que voc adicione objetos ao Active Directory.
Para adicionar um grupo, digite o comando:
Qualquer uma dessas trs opes permite gerar vrios grupos de uma s vez com o
DSAdd.
O comando DSAdd tambm pode configurar atributos dos grupos criados com os
parmetros opcionais a seguir:
-secgrp { yes | no }. Este parmetro especifica o tipo de grupo: segurana (yes)
ou distribuio (no).
-scope { l | g | u }. Determina o escopo do grupo: domnio local (l), global (g)
ou universal (u).
-samid Name. Este parmetro especifica o sAMAccountName do grupo. Se ele
no for especificado, o nome do grupo de seu DN ser usado. recomendvel
que o sAMAccountName e o nome do grupo sejam idnticos, para que voc no
precise incluir este parmetro ao usar o DSAdd.
-desc Description. Configura a descrio do grupo.
-members MemberDN . Este parmetro adiciona membros ao grupo. Os
membros so especificados por seus respectivos DNs em uma lista separada
por espaos.
-memberof GroupDN . Torna o novo grupo um membro de um ou mais
grupos existentes. Os grupos so especificados por seus respectivos DNs em
uma lista separada por espaos.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de grupos 4-49
Pontos principais
O CSVDE importa dados de arquivos .csv (valores separados por vrgula). Ele
tambm capaz de exportar dados para um arquivo .csv. O exemplo a seguir
mostra um arquivo .csv que criar um grupo, Marketing, e preencher o grupo com
dois membros iniciais: Linda Mitchell e Scott Mitchell.
objectClass,sAMAccountName,DN,member
group,Marketing,"CN=Marketing,OU=Role,OU=Groups,
DC=contoso,DC=com","CN=Linda Mitchell,OU=Employees,
OU=User Accounts,DC=contoso,DC=com;
CN=Scott Mitchell,OU=Employees,OU=User Accounts,
DC=contoso,DC=com"
Pontos principais
O LDIFDE uma ferramenta que importa e exporta arquivos no formato LDIF. Os
arquivos LDIF so arquivos de texto nos quais as operaes so especificadas por
um bloco de linhas separadas por uma linha em branco. Cada operao comea
com o atributo DN do objeto que o destino da operao. A linha a seguir,
changeType, especifica o tipo de operao: adicionar, modificar ou excluir.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
4-52 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
DN: CN=Finance,OU=Role,OU=Groups,DC=contoso,DC=com
changeType: add
CN: Finance
description: Finance Users
objectClass: group
sAMAccountName: Finance
DN: CN=Research,OU=Role,OU=Groups,DC=contoso,DC=com
changeType: add
CN: Research
description: Research Users
objectClass: group
sAMAccountName: Research
ldifde i f groups.ldf
Pontos principais
Se, aps criar um grupo, voc decidir que precisa modificar o escopo ou tipo do
grupo, poder fazer isso. Abra as propriedades de um grupo existente e, na guia
Geral, mostrada a seguir, voc ver o escopo e o tipo existentes. Pelo menos mais
um escopo e tipo estaro disponveis para ser selecionado.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
4-54 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
A nica alterao de escopo que voc no pode fazer diretamente de global para
domnio local ou de domnio local para global. No entanto, voc pode fazer essas
alteraes indiretamente, realizando primeiro a converso em escopo universal e,
depois, no escopo desejado. Portanto, todas as alteraes de escopo so possveis.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de grupos 4-55
O comando DSMod pode ser usado para alterar o tipo e o escopo do grupo usando
a seguinte sintaxe:
Pontos principais
A sintaxe bsica do comando DSMod :
Voc pode usar opes como -samid e -desc para modificar os atributos
sAMAccountName e description do grupo. O que mais til, no entanto, so as
opes que permitem modificar os membros de um grupo:
Pontos principais
O LDIFDE tambm pode ser usado para modificar objetos existentes no Active
Directory por meio de operaes LDIF com um changeType modify. Para adicionar
dois membros ao grupo Finanas, o arquivo LDIF ser:
dn: CN=Finance,OU=Role,OU=Groups,DC=contoso,DC=com
changetype: modify
add: member
member: CN=April Stewart,OU=Employees,OU=User
Accounts,dc=contoso,dc=com
member: CN=Mike Fitzmaurice,OU=Employees,OU=User
Accounts,dc=contoso,dc=com
-
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de grupos 4-59
delete: member
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
4-60 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Os comandos DSGet e DSMod so particularmente teis para gerenciar os
membros dos grupos. Como voc j deve saber, no h nenhuma opo no snap-in
Usurios e Computadores do Active Directory que liste todos os membros de um
grupo, incluindo os membros aninhados. Voc s poder ver os membros diretos
de um grupo na guia Membros do grupo. Da mesma forma, no h nenhuma
maneira de listar todos os grupos ao qual um usurio ou computador pertence,
incluindo os grupos aninhados. Voc s poder ver os membros diretos na guia
Membro de do usurio ou computador.
O comando DSGet permite recuperar uma lista completa dos membros de um
grupo, incluindo os membros aninhados, com a seguinte sintaxe:
Da mesma forma, o comando DSGet pode ser usado para recuperar uma lista
completa dos grupos aos quais um usurio ou computador pertencem, novamente
usando a opo expand nos seguintes comandos:
Pontos principais
Voc pode usar o DSGet em conjunto com o DSMod para copiar membros de
grupo. No exemplo a seguir, o comando DSGet usado para obter informaes
sobre todos os membros do grupo Vendas e, em seguida, redirecionando essa lista
para o DSMod, adicionar esses usurios ao grupo Marketing:
Pontos principais
Voc pode mover e renomear grupos de Usurios e Computadores do Active
Directory clicando com o boto direito do mouse no grupo e, em seguida, clicando
no comando Mover ou Renomear.
O comando DSMove permite mover ou renomear um objeto em um domnio. Voc
no pode us-lo para mover objetos entre domnios. Sua sintaxe bsica :
Por exemplo, para alterar o nome do grupo Marketing para Relaes Pblicas,
digite:
dsmove "CN=Marketing,OU=Role,OU=Groups,DC=contoso,DC=com"
newname "Public Relations"
Excluso de grupos
Pontos principais
Voc pode excluir um grupo no snap-in Usurios e Computadores do Active
Directory clicando com o boto direito do mouse no grupo e escolhendo o
comando Excluir.
Alm disso, o DSRm pode ser usado para excluir um grupo ou qualquer outro
objeto do Active Directory. A sintaxe bsica do DSRm :
Cenrio
Para melhorar a capacidade de gerenciamento de acesso a recursos na Contoso,
Ltd., voc decidiu implementar o gerenciamento baseado em funes. A primeira
aplicao do gerenciamento baseado em funes ser gerenciar quem pode acessar
as pastas que contm informaes sobre Sales. Voc deve criar grupos que
gerenciam o acesso a essas informaes confidenciais. As regras de negcios
exigem que os funcionrios de Sales e Marketing, bem como uma equipe de
Consultores, devem ser capazes de ler as pastas Sales. Alm disso, Bobby Moore
requer o acesso Ler. Por fim, voc foi solicitado a descobrir uma forma de produzir
uma lista de membros de grupo, incluindo os que esto nos grupos aninhados, e
uma lista de membros de grupo de um usurio, incluindo os membros indiretos
ou aninhados.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
4-68 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pergunta: Quais tipos de objetos podem ser membros dos grupos globais?
Pergunta: Quais tipos de objetos podem ser membros dos grupos de domnio local?
Lio 3
Prticas recomendadas para gerenciamento de
grupos
Pontos principais
A criao de um grupo no Active Directory fcil. No fcil assegurar que o
grupo foi usado corretamente ao longo do tempo. Voc pode facilitar o
gerenciamento correto e o uso de um grupo documentando sua finalidade, a fim
de ajudar os administradores a compreender como e quando usar o grupo.
Existem vrias prticas recomendadas que, embora apresentem pouca
probabilidade de serem abordadas pelo exame de certificao, demonstraro ser
imensamente teis para a administrao empresarial de grupos.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de grupos 4-77
Ao tentar localizar um grupo a ser usado para atribuir permisses a uma pasta,
voc pode digitar o prefixo ACL_ na caixa de dilogo Selecionar e clicar em OK. A
caixa de dilogo Diversos nomes encontrados ser exibida, mostrando somente os
grupos ACL_ do diretrio, assegurando, portanto, que as permisses sero
atribudas a um grupo que foi projetado para gerenciar o acesso a recursos.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
4-78 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Proteja-se contra os resultados potencialmente devastadores da excluso de um
grupo, protegendo cada grupo criado contra excluso. O Windows Server 2008
facilita a proteo de qualquer objeto contra a excluso acidental.
Para proteger um objeto, siga estas etapas:
1. No snap-in Usurios e Computadores do Active Directory, clique no menu
Exibir e verifique se a opo Recursos avanados est selecionada.
2. Abra a caixa de dilogo Propriedades para um grupo.
3. Na guia Objeto, marque a caixa de seleo Proteger objeto contra excluso
acidental.
4. Clique em OK.
Esse um dos poucos lugares do Windows em que voc precisa clicar no boto
OK. Clicar em Aplicar no modifica a ACL baseada na sua seleo.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
4-80 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
A opo Proteger Objeto Contra Excluso Acidental aplica uma ACE (entrada de
controle de acesso) ACL do objeto que nega explicitamente ao grupo Todos as
permisses Excluir e Excluir Subrvore. Se voc realmente no deseja excluir o
grupo, retorne guia Objeto da caixa de dilogo Propriedades e desmarque a caixa
de seleo Proteger Objeto Contra Excluso Acidental.
A excluso de um grupo exerce alto impacto sobre os administradores e,
potencialmente, sobre a segurana. recomendvel utilizar um grupo que j venha
sendo usado para gerenciar o acesso a recursos. Se o grupo for excludo, o acesso a
esse recurso ser alterado. Os usurios com capacidade para acessar o recurso so
inesperadamente impedidos de acessar, criando um cenrio de negao de servio,
ou se voc utilizou o grupo para negar o acesso a um recurso com a permisso
Negar, o acesso inapropriado ao recurso se torna possvel.
Alm disso, se voc recriar o grupo, o novo objeto de grupo ter um novo SID
(identificador de segurana), que no corresponder aos SIDs nas ACLs dos
recursos. Portanto, em vez disso, voc deve executar a recuperao do objeto para
reanimar o grupo antes que o intervalo de marcao para excluso seja atingido.
Quando um grupo for excludo para o intervalo de marcao para excluso 60
dias por padro o grupo e seu SID sero excludos definitivamente do Active
Directory. Quando voc reanimar um objeto marcado para excluso, dever recriar
a maioria de seus atributos, incluindo o atributo membro dos objetos de grupo,
que o mais importante. Isso significa que voc deve recriar os membros de grupo
aps restaurar o objeto excludo. Se desejar, voc pode executar uma restaurao
autoritativa ou, no Windows Server 2008, usar os instantneos do Active Directory
para recuperar o grupo e seus membros. A restaurao autoritativa e os
instantneos sero abordados no Mdulo 13.
Obtenha mais informaes sobre como recuperar grupos excludos e seus
membros no artigo 840001 (em ingls) da Base de Dados de Conhecimento, em
http://support.microsoft.com/kb/840001/en-us.
Em qualquer circunstncia, seguro dizer que a recuperao de um grupo
excludo uma habilidade que voc deve usar apenas em treinamentos de
incndio para recuperao de desastres, e no em um ambiente de produo.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de grupos 4-81
Pontos principais
Depois que um grupo for criado, talvez seja necessrio delegar o gerenciamento
dos membros do grupo a uma equipe ou pessoa que tenha responsabilidade
corporativa sobre o recurso que o grupo gerencia. Por exemplo, suponhamos que
seu gerente financeiro seja responsvel pela criao do oramento no prximo ano.
Voc cria uma pasta compartilhada para o oramento e atribui a permisso Gravar
a um grupo chamado ACL_Budget_Edit. Se algum precisar acessar a pasta de
oramentos, esse gerente contatar a assistncia tcnica para fazer uma solicitao,
a assistncia tcnica contatar o gerente financeiro para aprovao e, por fim, a
assistncia tcnica adicionar o usurio ao grupo ACL_Budget_Edit. Voc pode
melhorar a capacidade de resposta e responsabilidade do processo permitindo que
o gerente financeiro altere os membros do grupo. Em seguida, os usurios que
precisam de acesso podem solicitar o acesso diretamente ao gerente financeiro, que
pode fazer a alterao, removendo a etapa intermediria de contato assistncia
tcnica. Para delegar o gerenciamento dos membros de um grupo, voc deve
atribuir ao gerente financeiro a permisso Permitir Gravao no grupo. O atributo
membro o atributo de valores mltiplos que constitui os membros do grupo.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
4-82 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
A guia Gerenciado por tem duas finalidades. Primeiro, ela fornece as informaes
de contato relacionadas ao gerente de um grupo. Voc pode usar essas
informaes para contatar o proprietrio de negcios de um grupo, a fim de obter
aprovao antes de adicionar um usurio ao grupo.
A segunda finalidade da guia Gerenciado por gerenciar a delegao do atributo
membro. Observa a caixa de seleo exibida anteriormente. Ela rotulada como O
gerente pode atualizar a lista de membros. Quando marcada, o usurio ou grupo
mostrado na caixa Nome recebe a permisso Permitir Gravao. Se voc alterar ou
desmarcar o gerente, a alterao apropriada ser feita na ACL do grupo.
Dica: voc deve realmente clicar em OK para implementar a alterao. Clicar em Aplicar
no altera a ACL no grupo.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de grupos 4-83
Grupos padro
Pontos principais
Existem diversos grupos que so criados automaticamente em um servidor do
Windows Server 2008. Eles so chamados grupos locais padro e incluem grupos
conhecidos, como Admins, Backup Operators e Remote Desktop Users. H grupos
adicionais que so criados em um domnio, nos contineres BUILTIN e Usurios,
incluindo Administradores do Domnio, Administrao de Empresa e
Administradores de Esquemas. A lista a seguir fornece um resumo de recursos do
subconjunto de grupos padro que tm permisses significativas e direitos de
usurio relacionados ao gerenciamento do Active Directory.
Enterprise Admins (continer Usurios do domnio raiz da floresta)
Este grupo um membro do grupo Administradores de cada domnio da floresta,
conferindo a ele acesso completo configurao de todos os controladores de
domnio. Ele tambm tem a partio Configurao do diretrio e possui controle
total sobre o contexto de nomenclatura de domnio em todos os domnios da
floresta.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
4-86 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Identidades especiais
Pontos principais
O Windows e o Active Directory tambm oferece suporte a identidades especiais,
grupos cujos membros so controlados pelo sistema operacional. Voc no pode
exibir os grupos em qualquer lista (no snap-in Usurios e Computadores do Active
Directory, por exemplo), no pode exibir ou modificar os membros dessas
identidades especiais, e no pode adicion-los a outros grupos. No entanto, voc
pode usar esses grupos para atribuir direitos e permisses. As identidades especiais
mais importantes, geralmente conhecidas como grupos para fins de praticidade, so
descritas na lista a seguir:
Logon Annimo. Esta identidade representa as conexes a um computador e
seus recursos que so feitas sem fornecer um nome de usurio e uma senha.
Antes do Windows Server 2003, este grupo era membro do grupo Todos. A
partir do Windows Server 2003, este grupo no mais um membro padro do
grupo Todos.
Usurios Autenticados. Representa identidades que foram autenticadas. Este
grupo no inclui a conta Convidado, mesmo que ela tenha uma senha.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
4-90 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
A importncia dessas identidades especiais que elas permitem que voc fornea
acesso aos recursos com base no tipo de autenticao ou conexo, e no com base
na conta do usurio. Por exemplo, voc pode criar uma pasta em um sistema que
permita que os usurios exibam seu contedo quando estiverem conectados
localmente ao sistema, mas que no permita que os mesmos usurios exibam o
contedo a partir de uma unidade mapeada pela rede. Para fazer isso, atribua
permisses identidade especial Interativo.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento de grupos 4-91
Cenrio
Sua implementao do gerenciamento baseado em funes na Contoso foi um
tremendo sucesso. medida que o nmero de grupos no domnio aumentou, voc
percebeu como importante documentar todos os grupos e evitar que os
administradores excluam um grupo acidentalmente. Por fim, voc deseja permitir
que os proprietrios de negcios dos recursos gerenciem o acesso a esses recursos,
delegando a esses proprietrios o direito de modificar os membros dos grupos
apropriados.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
4-92 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Mdulo 5
Suporte a contas de computador
Sumrio:
Lio 1: Criao de computadores e ingresso no domnio 5-4
Laboratrio A: Criao de computadores e ingresso no domnio 5-35
Lio 2: Administrao de contas e objetos do computador 5-43
Laboratrio B: Administrao de contas e objetos do computador 5-63
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
5-2 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Compreender a relao entre um membro do domnio e o domnio, em termos
de identidade e acesso.
Identificar os requisitos para ingressar um computador no domnio.
Implementar processos de prticas recomendadas para ingressos de
computador.
Proteger o AD DS para impedir a criao de contas de computador no
gerenciadas
Gerenciar objetos de computador e seus atributos usando a interface do
Windows e ferramentas de linha de comando.
Administrar contas de computador durante seu ciclo de vida.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
5-4 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Lio 1
Criao de computadores e ingresso no
domnio
Objetivos
Aps concluir esta lio, voc ser capaz de:
Compreender a relao entre um membro do domnio e o domnio, em termos
de identidade e acesso.
Identificar os requisitos para ingressar um computador no domnio.
Pr-testar uma conta de computador.
Ingressar um computador em um domnio.
Redirecionar o continer padro do computador.
Impedir que usurios no administrativos criem computadores e ingressem no
domnio.
Usar ferramentas de linha de comando para importar, criar e ingressar
computadores.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
5-6 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Em um grupo de trabalho, cada sistema mantm um armazenamento de
identidades de contas de usurio e grupo de acordo com o qual os usurios podem
ser autenticados e o acesso tem incio. O armazenamento de identidades local em
cada computador chamado de banco de dados SAM (Gerenciador de Contas de
Segurana). Se um usurio fizer logon em um computador do grupo de trabalho, o
sistema autentica o usurio no banco de dados SAM local. Se um usurio se
conectar a outro sistema, para acessar um arquivo, por exemplo, ele ser
autenticado novamente no armazenamento de identidades do sistema remoto. De
uma perspectiva de segurana, um computador de grupo de trabalho , para todos
os fins, um sistema autnomo.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Suporte a contas de computador 5-7
Pontos principais
Trs coisas so necessrias para que voc ingresse um computador em um
domnio do Active Directory:
Um objeto de computador deve ser criado no servio de diretrio.
Voc deve ter permisses apropriadas para o objeto de computador. As
permisses permitem que voc ingresse um computador com o mesmo nome
que o objeto no domnio.
Voc deve ser um membro do grupo Administradores local no computador
para alterar sua participao no domnio ou no grupo de trabalho.
Pontos principais
Antes de criar um objeto do computador no servio de diretrio - o primeiro de
trs requisitos para ingressar um computador no domnio - voc precisa ter um
lugar para coloc-lo.
O continer padro de computadores
Quando um domnio criado, o continer Computadores criado por padro
(CN=Computadores). Este continer no uma unidade organizacional, um
objeto de continer de classe. H algumas diferenas sutis, mas importantes, entre
um continer e uma unidade organizacional: No possvel criar uma unidade
organizacional em um continer. Assim, no possvel subdividir a UO
Computers; tambm no possvel vincular um objeto Diretiva de Grupo a um
continer. Portanto, altamente recomendvel que voc crie unidades
organizacionais personalizadas para hospedar objetos de computador em vez de
usar o continer Computadores.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
5-10 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Em vez disso, voc deve delegar a permisso para criar objetos de computador
para administradores apropriados ou a equipe de suporte. A permisso necessria
para criar um objeto de computador Criar Objetos de Computador. Esta
permisso, designada a um grupo de uma unidade organizacional, permite que os
membros do grupo criem objetos de computador nessa unidade organizacional.
Por exemplo, voc pode permitir que a equipe de suporte a desktop crie objetos de
computador na unidade organizacional de clientes e permitir que os
administradores de servidor de arquivo criem objetos de computador na unidade
organizacional de servidores de arquivo.
As permisses necessrias para realizar tarefas de gerenciamento de computador
so listadas no tpico "Proteger a criao e as associaes de computador". O
mdulo 8 detalha o processo de delegao.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
5-14 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Voc pode e deve criar uma conta de computador na unidade organizacional
correta antes de ingressar o computador no domnio. Este processo de criao de
uma conta de computador antecipadamente chamado de pr-teste de um
computador.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Suporte a contas de computador 5-15
Depois de ter recebido permisso para criar objetos de computador, voc pode
fazer isso clicando com o boto direito do mouse na unidade organizacional e
escolhendo Computador do menu Novo. A caixa de dilogo Novo Objeto -
Computador, mostrada abaixo, ser exibida:
Pontos principais
Ao pr-testar o objeto do computador, voc cumpre os primeiros dois requisitos
para ingressar um computador em um domnio: o objeto do computador existe, e
voc especificou quem possui permisses para ingressar um computador com o
mesmo nome no domnio. Agora, um administrador local do computador pode
alterar a participao no domnio do computador e inserir as credenciais de
domnio especficas para concluir com xito o processo.
Para ingressar um computador no domnio, siga estas etapas:
1. Faa logon no computador com as credenciais que pertencem ao grupo local
Administradores.
Somente os administradores locais podem alterar a participao de um
computador no domnio ou no grupo de trabalho.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
5-18 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Observao: use o nome DNS completo do domnio. Alm de ser mais preciso, a
possibilidade de xito maior. No entanto, caso no d certo, deve haver algum
problema com a resoluo de nome DNS que deve ser resolvido antes do ingresso da
mquina no domnio.
7. Clique em OK.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Suporte a contas de computador 5-19
Pontos principais
Pr-testar objetos do computador
A prtica recomendada pr-testar uma conta de computador antes de ingressar a
mquina no domnio. Infelizmente, o Windows permite que voc ingresse um
computador em um domnio sem seguir a prtica recomendada. Voc pode fazer
logon em uma mquina de grupo de trabalho como um administrador local e
alterar a associao da mquina no domnio. O Windows cria, por demanda, um
objeto do computador no continer padro do computador, d permisso para que
voc ingresse um computador nesse objeto e prossegue para ingressar o sistema
no domnio.
Este comportamento do Windows acarreta trs problemas:
Primeiro, a conta de computador criada automaticamente pelo Windows
colocada no continer padro do computador, que no o local ao qual o objeto
de computador pertence na maioria das empresas.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Suporte a contas de computador 5-21
Segundo, para reduzir o impacto dos sistemas que ingressam no domnio sem uma
conta pr-testada, voc deve alterar o continer padro do computador para que
no seja o prprio continer Computadores, mas uma unidade organizacional
sujeita delegao e configurao apropriadas. Por exemplo, se voc tiver uma
unidade organizacional chamada Clientes, poder instruir o Windows a usar essa
unidade organizacional como o continer padro do computador, de forma que se
os computadores ingressarem no domnio sem contas pr-testadas, os objetos
sejam criados na UO Clients.
O comando redircmp.exe usado para redirecionar o continer padro do
computador com a seguinte sintaxe:
Depois de eliminar esta escapatria, voc deve se certificar de ter fornecido aos
administradores apropriados a permisso explcita para criar objetos de
computador nas unidades organizacionais corretas, conforme descrito na seo
"Delegar permisso para criar computadores". Do contrrio, a mensagem de erro
mostrada aqui aparecer.
Excluir um computador:
Movimento de um computador
Requer as permisses para excluir computadores na unidade organizacional
de origem e criar computadores na unidade organizacional de destino. Apesar
de uma movimentao na realidade no excluir/criar a conta, esta a
permisso usada pela verificao de acesso.
Pergunta: Quais so as duas coisas que determinam se voc pode ingressar uma
conta de computador no domnio?
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
5-26 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
As etapas que voc aprendeu para criar uma conta de computador tornam-se
trabalhosas se voc precisar criar dezenas ou at mesmo centenas de contas de
computador ao mesmo tempo. Comandos como CSVDE, LDIFDE e DSAdd podem
importar e automatizar a criao de objetos de computador. Os scripts tambm
podem permitir o provisionamento de objetos de computador. Ou seja, para
realizar lgica comercial, como a imposio de convenes de nomenclatura de
computador.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Suporte a contas de computador 5-27
Pontos principais
O CSVDE uma ferramenta de linha de comando que importa ou exporta objetos
do Active Directory de um arquivo de texto delimitado por vrgula (tambm
conhecido como arquivo de texto de valores separados por vrgula ou arquivo .csv)
ou para ele. A sintaxe bsica do comando CSVDE :
Pontos principais
O LDIFDE.exe importa dados de arquivos no formato LDIF. Arquivos LDIF so
arquivos de texto nos quais as operaes so especificadas por um bloco de linhas
separadas por uma linha em branco. Cada operao comea com o atributo DN do
objeto que o alvo da operao. A prxima linha, changeType, especifica o tipo de
operao: adicionar, modificar ou excluir.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
5-30 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
dn: CN=FILE25,OU=File,OU=Servers,DC=contoso,DC=com
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
objectClass: computer
cn: FILE25
userAccountControl: 4096
sAMAccountName: FILE25$
Pontos principais
O comando DSAdd usado para criar objetos no Active Directory. Para criar
objetos de computador, basta digitar:
O comando DSAdd Computer pode ter as seguintes opes extras depois da opo
DN:
-samid Nome_do_computador
-desc Descrio
-loc Local
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Suporte a contas de computador 5-33
Pontos principais
O comando NetDom tambm pode realizar vrias tarefas de segurana e conta de
domnio do prompt de comando. Voc tambm pode usar o NetDom para criar
uma conta de computador, digitando o seguinte comando:
Usar o NetDom.exe
O comando NetDom.exe permite que voc ingresse um computador no domnio a
partir do prompt de comando. A sintaxe bsica do comando :
Cenrio
Voc um administrador da Contoso, Ltd. Durante uma auditoria de segurana,
foi identificado que no h controle sobre a criao de novas contas de
computador: os clientes e os servidores esto sendo adicionados ao domnio sem
garantia de que o processo est sendo seguido. Na verdade, vrias contas de
computador foram descobertas no continer Computadores. Estes objetos de
computador eram para contas de computador ativas, mas os computadores no
foram criados nas unidades organizacionais corretas, ou movidos para elas, dentro
das unidades organizacionais de computadores clientes ou servidores de acordo
com os procedimentos padro. Voc recebeu a tarefa de melhorar os
procedimentos.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
5-36 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pergunta: Por que a associao daria certo se voc tivesse usado o nome de
domnio contoso em vez de contoso.com? O que poderia dar errado aps o
ingresso com xito no domnio com DNS, mas com a configurao incorreta?
Resultados: aps esse exerccio, voc estar familiarizado com as prticas comuns de
herana usadas para ingressar computadores em um domnio.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Suporte a contas de computador 5-39
Resultados: aps esse exerccio, o continer para criar contas de computador ser
redirecionado para a UO New Computers, e os usurios no podero ingressar
computadores no domnio sem permisses explcitas para fazer isso.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Suporte a contas de computador 5-41
Observao: SERVER01 possui portas configuradas para excees de firewall, 135, 139, e
para Descoberta de Rede (NB-Name-In). Estas excees permitem que NetDom Join seja
usado para ingressar SERVER01 remotamente no domnio.
4. O servidor reiniciado.
Resultados: aps esse exerccio, SERVER01 ter ingressado no domnio com uma
conta na UO Servers\File.
Pergunta: O que voc aprendeu sobre os prs e contras das vrias abordagens de
criao de contas de computador em um domnio do AD DS?
Lio 2
Administrao de contas e objetos do
computador
Uma conta de computador comea seu ciclo de vida quando criada e quando o
computador ingressa no domnio. As tarefas administrativas dirias incluem a
configurao de propriedades do computador; a movimentao do computador
entre unidades organizacionais; o gerenciamento do prprio computador; e a
renomeao, reconfigurao, desabilitao e habilitao e eventual excluso do
objeto do computador. Esta lio avalia detalhadamente as propriedades do
computador e os procedimentos envolvidos nestas tarefas e o preparar para
administrar os computadores em um domnio.
Objetivos
Aps concluir esta lio, voc ser capaz de:
Configurar as propriedades da conta do computador.
Mover um computador entre as unidades organizacionais.
Reconhecer problemas da conta do computador.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
5-44 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Ao criar um objeto de computador usando Usurios e Computadores do Active
Directory, voc solicitado a configurar somente os atributos mais fundamentais,
incluindo o nome do computador e a delegao para ingressar o computador no
domnio. Os computadores possuem vrias propriedades que no esto visveis
quando voc cria o objeto do computador. Voc deve configurar essas
propriedades como parte do processo de pr-teste da conta do computador.
Abra a caixa de dilogo Propriedades do objeto do computador para definir seu
local e sua descrio; configure suas participaes em grupos e permisses de
discagem e vincule-o ao objeto do usurio a quem o computador est designado. A
guia Sistema Operacional somente leitura. As informaes ficaro em branco at
que um computador ingresse no domnio usando esta conta. Nesse momento, o
cliente publicar as informaes nesta conta.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
5-46 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Mover um computador
Pontos principais
Muitas organizaes possuem vrias unidades organizacionais para objetos de
computador. Alguns domnios, por exemplo, possuem unidades organizacionais
de computador baseadas em sites geogrficos, conforme mostrado anteriormente
neste mdulo. Se voc tiver mais de uma unidade organizacional para
computadores, provvel que algum dia voc precisar mover um computador
entre unidades organizacionais.
Para mover um computador usando o snap-in Usurios e Computadores do Active
Directory:
Arraste e solte ou
Clique com o boto direito do mouse no computador e clique em Mover.
Pontos principais
Cada computador membro de um domnio do Active Directory mantm uma conta
de computador com um nome de usurio (sAMAccountName) e senha, assim
como uma conta de usurio. O computador armazena a senha na forma de um
segredo de LSA (autoridade de segurana local) e altera a senha do domnio a cada
30 dias aproximadamente. O servio NetLogon usa as credenciais para fazer logon
no domnio, o que estabelece o canal seguro com um controlador de domnio.
As contas de computador e as relaes seguras entre computadores e seu domnio
so robustas. Entretanto, podem ocorrer cenrios nos quais um computador no
possa mais autenticar no domnio. Alguns exemplos destes cenrios so os
seguintes:
Aps a reinstalao do sistema operacional em uma estao de trabalho, a
estao de trabalho no pode ser autenticada, mesmo que o tcnico tenha
usado o mesmo nome de computador. Como a nova instalao gerou um novo
SID e o novo computador no conhece a senha da conta do computador no
domnio, ele no pertence ao domnio e no pode ser autenticado no mesmo.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
5-50 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Os sinais mais comuns de problemas de conta de computador so os seguintes:
As mensagens no logon indicam que um controlador de domnio no pode ser
contatado, que a conta do computador pode estar faltando, que a senha na
conta do computador est incorreta, ou que a relao de confiana (outra
maneira de dizer a relao segura) entre o computador e o domnio foi
perdida. Um exemplo mostrado aqui.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
5-52 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Quando houver falha no canal seguro, voc deve redefini-lo. Muitos
administradores fazem isso removendo o computador do domnio, colocando-o
em um grupo de trabalho e depois reingressando-o no domnio. Isso no um
procedimento adequado, porque existe a possibilidade de excluir a conta do
computador junto, causando a perda do SID do computador e, mais importante,
das participaes no grupo. Quando voc ingressar novamente no domnio,
mesmo que o computador tenha o mesmo nome, a conta ter um novo SID e todas
as participaes em grupo do objeto de computador anterior devero ser recriadas.
No remova um computador do domnio e o ingresse novamente
Se a confiana no domnio tiver sido perdida, no remova um computador do
domnio e o ingresse novamente. Em vez disso, redefina o canal seguro.
Para redefinir o canal seguro entre um membro do domnio e o domnio, use o
snap-in Usurios e Computadores do Active Directory, DSMod.exe, NetDom.exe
ou NLTest.exe. Se voc redefinir a conta, o SID do computador permanecer o
mesmo e ele manter suas participaes em grupo.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
5-54 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Para redefinir o canal seguro usando NLTest, no computador que perdeu sua
confiana, digite o comando:
Por exemplo:
Este comando, como o NetDom, tenta redefinir o canal seguro redefinindo a senha
no computador e no domnio, para que no seja necessrio reingressar ou
reinicializar.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Suporte a contas de computador 5-55
Renomeao de um computador
Pontos principais
Ao renomear um computador, voc deve ter cuidado para fazer isso corretamente.
Lembre-se que o computador usa o prprio nome para autenticao no domnio.
Assim, se voc renomear somente o objeto do domnio, ou somente o computador,
eles ficaro fora de sincronia. Voc deve renomear o computador de tal forma que
o computador e o objeto do domnio sejam alterados.
Voc pode renomear um computador corretamente fazendo logon no prprio
computador, localmente ou com uma sesso de rea de trabalho remota.
1. Abra Propriedades do Sistema do Painel de Controle.
2. Na seo Nome do computador, domnio e configuraes de grupo de
trabalho, clique em Alterar Configuraes.
3. Se voc receber um aviso do Controle de Conta de Usurio, clique em
Continuar.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Suporte a contas de computador 5-57
Pontos principais
Se um computador for colocado offline, ou no for usado por um longo perodo de
tempo, a desabilitao da conta deve ser considerada. Esta recomendao reflete o
princpio de segurana de que um armazenamento de identidades deve permitir a
autenticao somente do nmero mnimo de contas necessrias para alcanar as
metas de uma organizao. A desabilitao da conta no modifica o SID do
computador ou sua participao em grupo. Assim, quando o computador ficar
online novamente, a conta poder ser habilitada.
Para desabilitar um computador no snap-in Usurios e Computadores do Active
Directory, clique com o boto direito do mouse no computador e clique em
Desabilitar Conta.
Uma conta desabilitada aparece com um cone de seta para baixo no snap-in
Usurios e Computadores do Active Directory, como mostrado aqui:
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
5-60 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Voc aprendeu que cada conta de computador, como cada conta de usurio,
mantm um SID exclusivo, que permite que um administrador conceda
permisses aos computadores. Assim como as contas de usurio, os computadores
tambm podem pertencer a grupos. Por isso, como as contas de usurio,
importante entender o efeito da excluso de uma conta de computador. Quando
uma conta de computador excluda, as participaes em grupo e o SID so
perdidos. Se a excluso for acidental, e outra conta de computador for criada com
o mesmo nome, ela ser, de qualquer forma, uma nova conta, com um novo SID.
As participaes em grupo devem ser restabelecidas e quaisquer permisses
atribudas para o computador excludo devem ser reatribudas para a nova conta.
Exclua objetos de computador somente quando tiver certeza de que no precisa
mais dos atributos relacionados segurana do objeto.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
5-62 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
dsrm ObjectDN
Cenrio
Voc um administrador da Contoso, Ltd. Durante uma auditoria de segurana,
vrias contas de computador foram descobertas. Estes computadores no existem
mais no domnio. Sua tarefa melhorar o gerenciamento de contas de computador
e identificar as prticas recomendadas para administrar todo o ciclo de vida de
uma conta de computador.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
5-64 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Resultados: aps esse exerccio, voc ter uma conta de usurio chamada Chris Mayo
na UO Employees.
Mdulo 6
Implementao de uma infraestrutura de
Diretiva de Grupo
Sumrio:
Lio 1: Compreenso da Diretiva de Grupo 6-4
Lio 2: Implementao de GPOs 6-22
Laboratrio A: Implementao da Diretiva de Grupo 6-39
Lio 3: Uma anlise mais detalhada das configuraes e dos GPOs 6-43
Laboratrio B: Gerenciamento de configuraes e GPOs 6-66
Lio 4: Gerenciamento do escopo da Diretiva de Grupo 6-73
Laboratrio C: Gerenciamento do escopo da Diretiva de Grupo 6-104
Lio 5:Processamento de Diretiva de Grupo 6-112
Lio 6: Soluo de problemas de aplicao de diretiva 6-122
Laboratrio D: Soluo de problemas de aplicao de diretiva 6-134
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-2 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Objetivos
Aps concluir este mdulo, voc ser capaz de:
Identificar os fatores comerciais para o gerenciamento de configurao.
Compreender os componentes e as tecnologias que compem a estrutura da
Diretiva de Grupo.
Gerenciar GPOs.
Configurar e compreender vrios tipos de configurao de diretiva.
Criar escopo de GPOs usando links, grupos de segurana, filtros WMI,
processamento de loopback e direcionamento de preferncias.
Explicar o armazenamento, a replicao e o controle de verso de GPOs.
Administrar uma infraestrutura de Diretiva de Grupo.
Avaliar precedncia, herana de GPO e RSoP.
Localizar os logs de eventos contendo eventos relacionados Diretiva de
Grupo.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-4 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Lio 1
Compreenso da Diretiva de Grupo
Objetivos
Aps concluir esta lio, voc ser capaz de:
Identificar os fatores comerciais para o gerenciamento de configurao.
Compreender os principais componentes e a terminologia da Diretiva de
Grupo.
Explicar os fundamentos do processamento da Diretiva de Grupo.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Implementao de uma infraestrutura de Diretiva de Grupo 6-5
Pontos principais
Se voc tiver apenas um computador no seu ambiente - em casa, por exemplo - e
quiser fazer uma alterao - modificar o plano de fundo da rea de trabalho, por
exemplo - h vrias maneiras de fazer isso. A maioria das pessoas provavelmente
abriria Personalizao do Painel de Controle e faria a alterao usando a interface
do Windows. Isso funciona bem para um usurio, mas torna-se entediante se voc
desejar fazer a alterao em vrios usurios. Digamos, por exemplo, que voc
queira o mesmo plano de fundo para voc e sua famlia. Voc ter que fazer a
alterao vrias vezes, e, se mudar de ideia e quiser alterar o plano de fundo
novamente, ter que voltar ao perfil de cada usurio e fazer a alterao. A
implementao da alterao e a manuteno de um ambiente consistente, tornam-
se ainda mais difceis em vrios computadores.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-6 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
O componente mais granular da Diretiva de Grupo uma configurao de diretiva
individual, tambm conhecida simplesmente como diretiva, que define uma
alterao de configurao especfica a ser aplicada. Por exemplo, existe uma
configurao de diretiva que impede que um usurio acesse ferramentas de edio
do Registro. Se voc definir essa configurao de diretiva e aplic-la ao usurio, ele
no poder executar ferramentas como Regedit.exe. H outra configurao de
diretiva disponvel que permite que voc renomeie a conta local Administrador.
Voc pode usar essa configurao de diretiva para renomear a conta Administrador
em todos os desktops e laptops do usurio, por exemplo.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-8 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
As configuraes de diretiva so definidas e existem em um Objeto de Diretiva de
Grupo (GPO). Um GPO um objeto que contm uma ou mais configuraes de
diretiva, aplicando-se, assim, a uma ou mais definies de configurao de um
usurio ou computador.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Implementao de uma infraestrutura de Diretiva de Grupo 6-11
Escopo do GPO
Pontos principais
A configurao definida por configuraes de diretiva em GPOs. Entretanto, as
alteraes na configurao de um GPO no afetam computadores ou usurios na
sua empresa at que voc tenha especificado os computadores ou usurios aos
quais o GPO se aplica. Isso chamado de escopo de um GPO. O escopo de um GPO
o conjunto de usurios e computadores que aplicaro as configuraes no GPO.
Voc pode usar vrios mtodos para gerenciar o escopo dos GPOs. O primeiro o
link de GPO. Os GPOs podem ser vinculados a sites, domnios e UOs no Active
Directory. O site, domnio ou UO torna-se o escopo mximo do GPO. Todos os
computadores e usurios no site, domnio ou UO - incluindo os de UOs filho -
sero afetados pelas configuraes de diretiva no GPO. Um nico GPO pode ser
vinculado a mais de um site ou UO.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-14 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Voc pode restringir ainda mais o escopo do GPO com um de dois tipos de filtros:
filtros de segurana que especificam os grupos de segurana global aos quais o GPO
deve ou no ser aplicado e filtros WMI (Instrumentao de Gerenciamento do
Windows) que especificam um escopo usando caractersticas de um sistema como a
verso do sistema operacional ou espao livre em disco. Use filtros de segurana e
filtros WMI para restringir ou especificar o escopo dentro do escopo inicial criado
pelo link de GPO.
No Windows Server 2008, foi introduzido um novo componente de Diretiva de
Grupo: Preferncias de Diretiva de Grupo. As configuraes determinadas pelas
Preferncias de Diretiva de Grupo em um GPO podem ser filtradas, ou
direcionadas, com base em alguns critrios. As preferncias direcionadas permitem
que voc aprimore ainda mais o escopo das Preferncias em um nico GPO.
O escopo dos GPOs detalhado na Lio 4.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Implementao de uma infraestrutura de Diretiva de Grupo 6-15
Pontos principais
Como, exatamente, as configuraes de diretiva so aplicadas? Quando a
atualizao da Diretiva de Grupo iniciada, um servio em execuo em todos os
sistemas Windows (chamado de Cliente da Diretiva de Grupo no Windows Vista e
no Windows Server 2008) determina quais GPOs devem ser aplicados ao
computador ou usurio. Ele baixa os GPOs que ainda no estejam em cache. Em
seguida, vrios processos chamados extenses do lado do cliente (CSEs) interpretam
as configuraes em um GPO e fazem as alteraes apropriadas no computador
local ou no usurio conectado no momento. Existem CSEs para cada categoria
principal de configurao de diretiva. Por exemplo: h uma CSE de segurana que
aplica alteraes de segurana, uma CSE que executa scripts de logon e
inicializao, uma CSE que instala software e uma CSE que faz alteraes em
valores e chaves do Registro. Cada verso do Windows possui CSEs adicionais
para ampliar o alcance funcional da Diretiva de Grupo. H vrias CSEs agora no
Windows.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-16 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Quando as diretivas so aplicadas? As configuraes de diretiva no n
Configurao do Computador so aplicadas na inicializao do sistema e depois a
cada 90 a 120 minutos. As configuraes de diretiva em Configurao do Usurio
so aplicadas no logon e depois a cada 90 a 120 minutos. A aplicao de diretivas
chamada de atualizao da Diretiva de Grupo.
Voc tambm pode forar uma atualizao de diretiva usando o comando
GPUpdate.
Voc aprender mais sobre atualizao de Diretiva de Grupo na Lio 5.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Implementao de uma infraestrutura de Diretiva de Grupo 6-19
Pontos principais
Os computadores e usurios no escopo de um GPO aplicaro as configuraes de
diretiva especificadas no GPO. Um usurio ou computador provavelmente estar
no escopo de vrios GPOs vinculados aos sites, ao domnio, ou UO na qual o
usurio ou computador existe. Isso possibilita que as configuraes de diretiva
sejam definidas de forma diferente em vrios GPOs. Voc deve ser capaz de
compreender e avaliar o RSoP (Conjunto de Diretivas Resultante), que determina as
configuraes aplicadas por um cliente quando as configuraes so definidas de
forma divergente em mais de um GPO.
O RSoP ser analisado na Lio 6.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-20 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Analisar os principais componentes da Diretiva de Grupo.
Leitura adicional
O TechNet contm guias tcnicos e operacionais detalhados sobre a Diretiva de
Grupo, incluindo os seguintes itens:
Windows Server - Vdeos sobre a Diretiva de Grupo
http://technet.microsoft.com/pt-br/windowsserver/bb310732.aspx
Como funciona a Diretiva de Grupo principal (em ingls)
http://technet.microsoft.com/pt-br/library/cc784268(WS.10).aspx
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Implementao de uma infraestrutura de Diretiva de Grupo 6-21
Lio 2
Implementao de GPOs
Objetivos
Aps concluir esta lio, voc ser capaz de:
Criar, editar e vincular objetos de Diretiva de Grupo.
Identificar as possibilidades de gerenciamento de configurao e alterao da
Diretiva de Grupo.
Definir as configuraes da diretiva.
Explicar o armazenamento, a replicao e o controle de verso de GPOs.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Implementao de uma infraestrutura de Diretiva de Grupo 6-23
GPOs locais
Pontos principais
Para gerenciar a configurao para usurios e computadores, crie GPOs que
contenham as configuraes de diretiva necessrias. Cada computador possui
vrios GPOs armazenados localmente no sistema - os GPOs locais - e podem estar
no escopo de qualquer nmero de GPOs baseados em domnio.
Cada computador que executa o Windows 2000, Windows XP e o Windows
Server 2003 possui um GPO local, que pode gerenciar a configurao nesse
sistema. O GPO local existe, mesmo que o computador no seja parte de um
domnio, um grupo de trabalho ou um ambiente em rede. Ele est armazenado em
%SystemRoot%\System32\GroupPolicy. As diretivas no GPO local afetam
somente o computador no qual o GPO est armazenado. Por padro, somente as
diretivas de Configuraes de Segurana so configuradas em um GPO local do
sistema. Todas as outras diretivas so definidas em No Configurada.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-24 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Leitura adicional
Vrios objetos de Diretiva de Grupo Local
http://technet.microsoft.com/pt-br/library/cc749477(WS.10).aspx
Guia passo a passo para o gerenciamento de vrios Objetos de Diretiva de
Grupo Local (em ingls)
http://technet.microsoft.com/pt-br/library/cc766291(WS.10).aspx
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-26 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Os GPOs baseados em domnio so criados no Active Directory e armazenados em
controladores de domnio. Eles so usados para gerenciar a configurao
centralmente para usurios e computadores no domnio. O restante deste curso se
refere a GPOs baseados em domnio, no mais a GPOs locais, a menos que
especificado do contrrio.
Quando o AD DS instalado, dois GPOs padro so criados:
Diretiva de domnio padro
Este GPO vinculado ao domnio e no possui grupo de segurana ou filtros WMI.
Assim, ele afeta todos os usurios e computadores no domnio (incluindo
computadores que sejam controladores de domnio). Este GPO contm
configuraes de diretiva que especificam diretivas de senha, bloqueio de conta e
Kerberos. Como abordado no Mdulo 9, voc modificar as configuraes padro
neste GPO para alinhamento com a senha de sua empresa e as diretivas de
bloqueio de contas. Voc no deve adicionar configuraes de diretiva no
relacionadas nesse GPO. Se voc precisar definir outras configuraes para aplicar
amplamente no seu domnio, crie GPOs adicionais vinculados ao domnio.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Implementao de uma infraestrutura de Diretiva de Grupo 6-27
Pontos principais
Para criar um GPO, clique com o boto direito do mouse no continer Objetos de
Diretiva de Grupo e escolha Novo.
Voc deve ter permisso para o continer Objetos de Diretiva de Grupo para criar
um GPO. Por padro, o grupo Administradores do Domnio e o grupo
Proprietrios Criadores de Diretiva de Grupo podem criar GPOs.
Para permitir que outros grupos criem GPOs, selecione o continer Objetos de
Diretiva de Grupo na rvore de console do GPMC e clique na guia Delegao no
painel de detalhes do console.
Aps criar um GPO, voc pode criar o escopo inicial do GPO vinculando-o a um
site, domnio ou UO.
Para vincular um GPO, clique com o boto direito do mouse no site, domnio ou
UO e clique em Vincular um GPO Existente.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Implementao de uma infraestrutura de Diretiva de Grupo 6-29
Voc tambm pode criar e vincular um GPO com uma nica etapa: clique com o
boto direito do mouse em um site, domnio ou UO e clique em Criar um GPO
Neste Domnio e Fornecer um Link Para Ele Aqui.
Observe que voc no ver os seus sites no n Sites do GPMC, at que voc clique
com o boto direito do mouse em Sites, escolha Mostrar Sites, e selecione os Sites
que deseja gerenciar.
Voc deve ter permisso para vincular GPOs a um site, domnio ou UO. No GPMC,
selecione o continer na rvore de console e clique na guia Delegao no painel de
detalhes do console. Da lista suspensa Permisso, selecione Vincular GPOs. Os
usurios e grupos exibidos possuem a permisso para a UO selecionada. Clique
nos botes Adicionar ou Remover para modificar a delegao.
Para editar um GPO, clique com o boto direito do mouse no GPO no continer
Objetos de Diretiva de Grupo e escolha Editar.
O GPO ser aberto no GPME. Voc deve ter, pelo menos, permisso de leitura para
abrir o GPO desta maneira.
Para fazer alteraes em um GPO, voc deve ter permisso de Gravao no GPO.
Selecione o GPO no continer Objetos de Diretiva de Grupo e clique na guia
Delegao no painel de detalhes para definir as permisses do GPO.
O GPME exibir o nome do GPO como o n raiz. O GPME tambm exibe o
domnio no qual o GPO definido e o servidor do qual o GPO foi aberto e no qual
as alteraes sero salvas. O n raiz possui o formato Nome_do_GPO
[Nome_do_servidor]. Na captura de tela do GPME em uma pgina anterior deste
mdulo, o n raiz Diretiva Padres CONTOSO [SERVER01.contoso.com]. O
nome do GPO Padres CONTOSO, e ele foi aberto de SERVER01.contoso.com, o
que significa que o GPO definido no domnio contoso.com.
Por padro, o console do GPMC e do GPME conectam-se a um controlador de
domnio especfico no seu ambiente: o controlador de domnio agindo como o
Emulador PDC. Em um mdulo posterior, voc aprender a identificar e gerenciar
qual controlador de domnio possui esta funo.
Isso feito para reduzir a possibilidade de que um nico GPO possa ser alterado
em dois controladores de domnio diferentes, pois, durante a replicao, no
haveria maneira de reconciliar as alteraes e somente uma verso de todo o GPO
"ganharia" e seria replicada. Focalizar nas ferramentas administrativas em um
controlador de domnio ajuda a garantir que as alteraes sejam feitas em um
lugar.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-30 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Vincular um GPO
1. Na rvore de console do GPMC, clique com o boto direito do mouse no
domnio contoso.com e clique em Vincular um GPO Existente.
2. Selecione Padres CONTOSO e clique em OK.
Excluir um GPO
1. Na rvore de console do GPMC, no continer Objetos de Diretiva de Grupo,
clique com o boto direito do mouse no GPO Padres CONTOSO e clique em
Excluir.
2. Clique em No.
Armazenamento no GPO
Pontos principais
As configuraes de Diretiva de Grupo so apresentadas como GPOs nas
ferramentas da interface do usurio do Active Directory, mas um GPO na verdade
composto de dois componentes: um GPC (Continer de Diretiva de Grupo) e um
GPT (Modelo de Diretiva de Grupo).
O GPC um objeto do Active Directory armazenado no continer Objetos de
Diretiva de Grupo no contexto de nomeao de domnio do diretrio. Como todos
os objetos do Active Directory, cada GPC inclui um atributo GUID (identificador
global exclusivo) que identifica exclusivamente o objeto no Active Directory. O GPC
define atributos bsicos do GPO, mas ele no contm nenhuma das configuraes.
As configuraes so contidas no GPT, um conjunto de arquivos armazenados no
SYSVOL de cada controlador de domnio no caminho %SystemRoot%\
SYSVOL\Domain\Policies\GPOGUID, onde GPOGUID o GUID do GPC.
Quando voc fizer alteraes nas configuraes de um GPO, as alteraes sero
salvas no GPT do servidor do qual o GPO foi aberto.
Por padro, quando ocorre a atualizao da Diretiva de Grupo, as CSEs aplicam
configuraes em um GPO somente se o GPO tiver sido atualizado.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Implementao de uma infraestrutura de Diretiva de Grupo 6-33
Pontos principais
As configuraes de Diretiva de Grupo, tambm conhecidas simplesmente como
diretivas, esto contidas em um GPO e so exibidas e modificadas com o uso do
GPME. Nesta demonstrao, voc analisar mais profundamente as categorias e
configuraes disponveis em um GPO.
Configurao do computador e configurao do usurio
H duas divises principais das configuraes de diretiva: configuraes de
computador, contidas no n Configurao do Computador, e configuraes do
usurio, contidas no n Configurao do Usurio.
O n Configurao do Computador contm as configuraes que so aplicadas a
computadores, independentemente de quem faa logon neles. As configuraes de
computador so aplicadas quando o sistema operacional iniciado e durante a
atualizao em segundo plano e, depois, a cada 90-120 minutos.
O n Configurao do Usurio contm configuraes que so aplicadas quando
um usurio faz logon no computador e durante a atualizao em segundo
plano e, depois, a cada 90120 minutos.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Implementao de uma infraestrutura de Diretiva de Grupo 6-35
N Preferncias
Abaixo de Configurao do Computador e Configurao do Usurio est o n
Preferncias. Novo no Windows Server 2008, esse n oferece mais de 20 CSEs
para ajud-lo a gerenciar um grande nmero de configuraes adicionais,
incluindo:
Aplicativos como o Microsoft Office 2003 e Office 2007
Unidades mapeadas
Configuraes do Registro
Opes de energia
Opes de pasta
Opes regionais
Opes do menu Iniciar
Etapas da demonstrao
1. Alterne para HQDC01.
2. Clique com o boto direito do mouse no GPO Padres CONTOSO e clique
em Editar.
3. Explore as configuraes disponveis em um GPO. No faa nenhuma
alterao.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Implementao de uma infraestrutura de Diretiva de Grupo 6-39
Cenrio
Voc responsvel por gerenciar as alteraes e a configurao na Contoso, Ltd. As
diretivas de segurana de TI corporativa da Contoso especificam que os
computadores no podem ficar sem superviso e conectados por mais de 10
minutos. Por isso, voc definir as configuraes de diretiva de proteo de tela
protegida por senha e tempo limite de proteo de tela. Alm disso, voc bloquear
o acesso s ferramentas de edio do Registro.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-40 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Resultados: aps esse exerccio, voc ter um GPO chamado Padres CONTOSO que
configura restries de proteo de tela protegida por senha, tempo limite da
proteo de tela e a ferramenta de edio do Registro.
Lio 3
Uma anlise mais detalhada das configuraes
e dos GPOs
Objetivos
Aps concluir esta lio, voc ser capaz de:
Compreender as diferenas entre diretivas, preferncias e configuraes
gerenciadas e no gerenciadas.
Criar o armazenamento central para modelos administrativos.
Documentar as configuraes de diretiva e GPO usando comentrios.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-44 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
No n Modelos Administrativos, voc encontrar milhares de configuraes que
permitem que voc controle muitos aspectos do Windows.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-46 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Observao: Para impedir que os usurios usem outras ferramentas administrativas, use
a configurao Executar Apenas Aplicativos do Windows Especificados, ou use
Diretivas de Restrio de Software, que esto alm do escopo deste curso.
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Disable
RegeditMode
Se voc optar por restringir a execuo silenciosa do Regedit, defina esse valor
como 2. Se voc optar por restringir somente a ferramenta da IU do Editor do
Registro, defina como 1.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-48 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
H uma pequena diferena nas configuraes de diretiva do Registro definidas pelo
n Modelos Administrativos que deve ser compreendida: a diferena entre
configuraes de diretiva gerenciadas e no gerenciadas.
Uma configurao de diretiva gerenciada possui as seguintes caractersticas:
A interface do usurio est bloqueada para que um usurio no possa
alterar a configurao. As configuraes de diretiva gerenciadas resultam na
desabilitao da IU apropriada. Por exemplo, se voc definir a configurao de
diretiva Tempo Limite de Proteo de Tela, um usurio no poder alterar o
atraso de tempo limite na interface do usurio.
As alteraes so feitas em uma das quatro chaves no Registro reservadas
para configuraes de diretiva gerenciadas:
HKLM\Software\Policies (configuraes do computador)
HKCU\Software\Policies (configuraes do usurio)
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Implementao de uma infraestrutura de Diretiva de Grupo 6-49
HKLM\Software\Microsoft\Windows\Current Version\Policies
(configuraes do computador)
HKCU\Software\Microsoft\Windows\Current Version\Policies
(configuraes do usurio)
Estas chaves so protegidas de forma que somente os administradores possam
fazer uma alterao. Junto com o bloqueio de IU, isso significa que usurios
no administrativos recebero a alterao especificada pela configurao de
diretiva e no podero modificar a configurao em seu computador.
As alteraes feitas por uma configurao de Diretiva de Grupo, e o
bloqueio de IU, so "liberados" se o usurio ou computador estiver fora do
escopo do GPO. Por exemplo, se voc excluir um GPO, as configuraes de
diretiva gerenciadas que tenham sido aplicadas a um usurio sero liberadas.
Isso significa que, geralmente, a configurao retorna ao seu estado anterior.
Alm disso, a interface do usurio da configurao habilitada.
Para controlar a exibio das configuraes de diretiva, clique com o boto direito
do mouse em Modelos Administrativos e clique em Opes de filtragem e faa uma
seleo da lista suspensa Gerenciadas.
Posteriormente neste mdulo, voc ir trabalhar com preferncias de Diretiva de
Grupo. Quando uma alterao feita por uma preferncia, a alterao tatua o
sistema. Entretanto, algumas preferncias incluem uma opo para remover a
preferncia quando ela no se aplicar mais ao usurio ou computador. Isso no o
mesmo que uma configurao de diretiva gerenciada, que liberada e geralmente
retornada ao seu valor original. Em vez disso, quando uma preferncia removida,
a configurao excluda totalmente.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Implementao de uma infraestrutura de Diretiva de Grupo 6-51
Modelos Administrativos
Pontos principais
Por que os ns Modelos Administrativos so chamados Modelos Administrativos?
Porque as configuraes que os ns contm so derivadas de arquivos chamados
modelos administrativos.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-52 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
O fato de que a configurao existe, e de que ela fornece uma lista suspensa com a
qual desabilitar a execuo silenciosa de Regedit.exe, determinado em um
modelo administrativo. A configurao do Registro feita com base na forma como
voc configura a diretiva tambm definida no modelo administrativo.
Alguns fornecedores de software oferecem modelos administrativos como um
mecanismo para gerenciar a configurao do seu aplicativo centralmente. Por
exemplo, voc pode obter modelos administrativos para todas as verses recentes
do Microsoft Office da Central de Downloads da Microsoft. Voc tambm pode
criar seus prprios modelos administrativos personalizados. Um tutorial sobre a
criao de modelos administrativos personalizados est alm do escopo deste
curso.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Implementao de uma infraestrutura de Diretiva de Grupo 6-53
Arquivos .ADM
Em verses do Windows anteriores ao Windows Vista, um modelo administrativo
tinha uma extenso .ADM. Os arquivos .ADM possuem vrias desvantagens.
Primeiro, toda a localizao deve ser realizada no arquivo .ADM. Ou seja, se voc
desejar criar um arquivo .ADM para ajudar a implantar a configurao em uma
organizao multilngue, voc precisar de arquivos .ADM separados para cada
idioma para fornecer uma interface de usurio para administradores que falem esse
idioma. Se, mais tarde, voc decidir fazer uma modificao relacionada s
configuraes do Registro gerenciadas pelos modelos, voc ter que fazer a
alterao em cada arquivo .ADM.
O segundo problema com os arquivos .ADM a maneira como eles so
armazenados. Um arquivo .ADM armazenado como parte do GPT no SYSVOL.
Se um arquivo .ADM for usado em vrios GPOs, ele ser armazenado vrias vezes,
contribuindo para o "inchao" do SYSVOL. Houve tambm desafios para manter o
controle de verso em arquivos .ADM.
Para adicionar modelos administrativos clssicos no GPME, clique com o boto
direito do mouse no n Modelos Administrativos e clique em Adicionar/Remover
Modelos.
Arquivos .ADMX/.ADML
No Windows Vista e no Windows Server 2008, um modelo administrativo um
par de arquivos XML, um como uma extenso .ADMX que especifica as alteraes
a serem feitas no Registro, e o outro com uma extenso .ADML que fornece uma
interface de usurio especfica do idioma no GPME. Quando for preciso fazer
alteraes nas configuraes gerenciadas pelo modelo administrativo, elas podero
ser feitas somente no arquivo .ADMX. Qualquer administrador que modifique um
GPO que use o modelo acessa o mesmo arquivo .ADMX e chama o arquivo .ADML
apropriado para preencher a interface do usurio.
Para adicionar os modelos administrativos .ADMX/.ADML ao GPME, copie o
arquivo .ADMX para a pasta %SystemRoot%\PolicyDefinitions no cliente ou no
armazenamento central. Copie o arquivo .ADML para a subpasta especfica de
idioma e da regio, como pt-br, de %SystemRoot%\PolicyDefinitions no cliente ou
no armazenamento central. O armazenamento central ser abordado no prximo
tpico.
No preciso optar por um deles
Os modelos administrativos .ADM e .ADMX/.ADML podem coexistir. As
configuraes geradas por arquivos .ADM aparecero no n Modelos
Administrativos em um n chamado ADM (Modelos Administrativos Clssicos).
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-54 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
O Armazenamento Central
Pontos principais
Como foi mencionado anteriormente, os arquivos .ADM so armazenados como
parte do prprio GPO, no GPT. Quando voc edita um GPO que use modelos
administrativos no formato .ADM, o GPME carrega o .ADM do GPT para produzir
a interface do usurio. Quando os arquivos .ADMX/.ADML so usados como
modelos administrativos, o GPO contm somente os dados que o cliente precisa
para processar a Diretiva de Grupo e, quando voc edita o GPO, o GPME obtm os
arquivos .ADMX e .ADML da estao de trabalho local.
Isso funciona bem para organizaes pequenas, mas para ambientes complexos
que incluam modelos administrativos personalizados ou requeiram um controle
mais centralizado, o Windows Server 2008 introduz o Armazenamento Central. O
Armazenamento Central uma pasta nica no SYSVOL que possui os arquivos
.ADMX e .ADML necessrios. Depois que voc configura o Armazenamento
Central, o GPME o reconhece e carrega todos os modelos administrativos do
Armazenamento Central em vez de da mquina local.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-56 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
\\contoso.com\SYSVOL\contoso.com\Policies\PolicyDefinitions
%SystemRoot%\SYSVOL\domnio\Policies\PolicyDefinitions
Pontos principais
Filtrar configuraes de diretiva de modelo administrativo
Uma vulnerabilidade das ferramentas de edio da Diretiva de Grupo em verses
anteriores do Windows a incapacidade de pesquisar uma configurao de
diretiva especfica. Com milhares de diretivas dentre as quais escolher, pode ser
difcil localizar exatamente a configurao que voc deseja definir. O novo GPME
no Windows Server 2008 resolve esse problema para as configuraes do Modelo
Administrativo: voc agora pode criar filtros para localizar configuraes de
diretivas especficas.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-58 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Etapas da demonstrao
Usar Opes de filtragem para localizar diretivas em Modelos Administrativos
1. Alterne para HQDC01.
2. Execute Gerenciamento de Diretiva de Grupo com credenciais
administrativas. Use a conta Pat.Coleman_Admin com a senha Pa$$w0rd.
3. Na rvore de console, expanda Floresta: contoso.com, Domnios e
contoso.com e clique no continer Objetos de Diretiva de Grupo.
4. No painel de detalhes, clique com o boto direito do mouse no GPO Padres
CONTOSO e clique em Editar.
O GPME ser exibido.
5. Na rvore de console, expanda Configurao do Usurio e Diretivas e clique
em Modelos Administrativos.
6. Clique com o boto direito do mouse em Modelos Administrativos e em
Opes de filtragem.
7. Marque a caixa de seleo Habilitar Filtros de Palavra-Chave.
8. Na caixa de texto Filtro para palavra(s), digite proteo de tela.
9. Na lista suspensa ao lado da caixa de texto, selecione Exato e clique em OK.
As configuraes de diretiva de Modelos Administrativos so filtradas para
mostrar apenas as que contm o termo proteo de tela.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Implementao de uma infraestrutura de Diretiva de Grupo 6-61
10. Dedique algum tempo para analisar as configuraes que voc encontrou.
11. Na rvore de console, clique com o boto direito do mouse em Modelos
Administrativos em Configurao do Usurio e clique em Opes de
filtragem.
12. Desmarque a caixa de seleo Habilitar Filtros de Palavra-Chave.
13. Na lista suspensa Configurado, selecione Sim e clique em OK.
As configuraes de diretiva de Modelo Administrativo so filtradas para
mostrar apenas as que foram configuradas (habilitadas ou desabilitadas).
14. Dedique algum tempo para analisar essas configuraes.
15. Na rvore de console, clique com o boto direito do mouse em Modelos
Administrativos em Configurao do Usurio e desmarque a opo Filtro
Ativado.
Criar um novo GPO importando configuraes que foram exportadas de outro GPO
1. Na rvore de console do GPMC, expanda o continer Objetos de Diretiva de
Grupo, clique com o boto direito do mouse no GPO rea de Trabalho
CONTOSO e clique em Backup.
2. Em Local: digite D:\Labfiles\Lab06b e clique em Backup.
3. Quando o backup terminar, clique em OK.
4. Na rvore de console do GPMC, clique com o boto direito do mouse no
continer Objetos de Diretiva de Grupo e clique em Novo.
5. Em Nome: digite Importao CONTOSO e clique em OK.
6. Na rvore de console do GPMC, clique com o boto direito do mouse no GPO
Importao CONTOSO e clique em Importar configuraes.
O Assistente para Importar Configuraes ser exibido.
7. Clique em Prximo trs vezes.
8. Selecione o GPO rea de Trabalho CONTOSO e clique em Prximo duas
vezes.
9. Clique em Concluir e em OK.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-64 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Quando voc clica com o boto direito do mouse em um GPO no GPMC, exibido
um menu de comandos de gerenciamento teis:
Copiar. Voc pode copiar um GPO e depois clicar com o boto direito do
mouse no continer Objetos de Diretiva de Grupo e escolher Colar para criar
uma cpia do GPO. Isso til quando voc deseja criar um novo GPO no
mesmo domnio e iniciar com as mesmas configuraes de um GPO existente.
Esse processo tambm til para copiar um GPO para outro domnio, por
exemplo, entre um domnio de teste e um domnio de produo. Para copiar
um GPO entre domnios, adicione o domnio confivel de destino no GPMC.
Voc deve ter permisso para criar GPOs no domnio de destino. Ao colar um
GPO, voc tem a opo de copiar a ACL do GPO original, o que preserva a
filtragem de segurana, ou de usar a ACL padro para novos GPOs no domnio
de destino.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Implementao de uma infraestrutura de Diretiva de Grupo 6-65
Backup. Assim como quaisquer dados crticos, importante fazer backup dos
GPOs. Como um GPO consiste em vrios arquivos, objetos, permisses e
links, o gerenciamento do backup e a restaurao dos GPOs pode ser bastante
difcil. Por sorte, o comando de backup coloca todas essas partes em um nico
lugar e facilita bastante o trabalho de restaurao.
Restaurar Usando Backup. Restaure um GPO inteiro, incluindo seus
arquivos, objetos, permisses e links no mesmo domnio no qual o GPO
existia originalmente.
Importar configuraes. Importe somente as configuraes de um GPO com
backup. Essa operao no importa permisses ou links, ela pode ser til para
transferir GPOs entre domnios no confiveis que no possam usar, copiar e
colar. Se um GPO incluir configuraes especficas de domnio, incluindo os
caminhos UNC ou nomes de grupos de segurana, voc ser perguntado se
deseja importar essas configuraes exatamente como foi feito seu backup, ou
usar uma tabela de migrao que mapeie a origem para os nomes de destino.
Salvar Relatrio. Use esta opo para salvar um relatrio HTML das
configuraes do GPO.
Excluir.
Renomear.
Leitura adicional
Operaes do GPO (em ingls):
http://technet.microsoft.com/pt-br/library/cc739955(WS.10).aspx
Como fazer backup, restaurar, migrar e copiar GPOs (em ingls):
http://technet.microsoft.com/pt-br/library/cc781458(WS.10).aspx
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-66 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Laboratrio B: Gerenciamento de
configuraes e GPOs
Cenrio
Voc foi contratado recentemente como administrador de domnio da Contoso,
Ltd., para substituir o administrador anterior, que se aposentou. Voc no tem
certeza sobre quais configuraes de diretiva foram definidas. Por isso, voc decide
localizar e documentar os GPOs e as configuraes de diretiva. Voc tambm
descobre que a empresa no aproveitou a funcionalidade ou a capacidade de
gerenciamento dos modelos administrativos.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Implementao de uma infraestrutura de Diretiva de Grupo 6-67
Resultados: aps esse exerccio, voc ter adicionado comentrios nas configuraes
e no Objeto Diretiva de Grupo.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Implementao de uma infraestrutura de Diretiva de Grupo 6-69
Lio 4
Gerenciamento do escopo de Diretiva de
Grupo
Objetivos
Aps concluir esta lio, voc ser capaz de:
Gerenciar links de GPO.
Identificar a relao entre a estrutura da UO e a aplicao do GPO.
Avaliar a herana e a precedncia do GPO.
Compreender as opes de vnculo Bloquear Herana e Impor.
Aplicar filtragem de segurana para restringir o escopo de um GPO.
Aplicar um filtro WMI a um GPO.
Direcionar as preferncias da Diretiva de Grupo.
Identificar as prticas recomendadas para o escopo da Diretiva de Grupo.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Implementao de uma infraestrutura de Diretiva de Grupo 6-75
Links de GPO
Pontos principais
Um GPO pode ser vinculado a um ou mais sites, domnios ou UOs do Active
Directory. Depois que uma diretiva for vinculada a um site, domnio ou UO, os
usurios ou computadores e usurios nesse continer estaro no escopo do GPO,
incluindo os computadores e usurios em UOs filho.
Como voc aprendeu na Lio 1, possvel vincular um GPO ao domnio ou a uma
UO.
Para vincular um GPO, clique com o boto direito do mouse no domnio ou na UO
na rvore de console do GPMC e clique em Vincular um GPO Existente. Se voc
ainda no tiver criado um GPO, clique em Criar um GPO Neste {Domnio | UO |
Site} e Fornecer um Link Para Ele Aqui.
Voc pode escolher os mesmos comandos para vincular um GPO a um site. No
entanto, por padro, os sites do Active Directory no esto visveis no GPMC.
Para mostrar sites no GPMC, clique com o boto direito do mouse em Sites na
rvore de console do GPMC e escolha Mostrar Sites.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-76 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Como resultado dos links de GPO, o Cliente de Diretiva de Grupo baixar o GPO
se os objetos do computador ou do usurio estiverem no escopo do link. O GPO
ser baixado somente se for novo ou atualizado. O Cliente de Diretiva de Grupo
armazena o GPO em cache para tornar mais eficiente a atualizao da diretiva.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Implementao de uma infraestrutura de Diretiva de Grupo 6-77
Para excluir um link de GPO, clique com o boto direito no link na rvore de
console do GPMC e clique em Excluir.
A excluso de um link de GPO no exclui o prprio GPO, que permanece nesse
continer de GPO. A excluso do link altera o escopo do GPO para que ele no se
aplique mais aos computadores e usurios de um site, domnio ou UO ao qual ele
estava vinculado anteriormente.
Voc tambm pode modificar o link de um GPO desabilitando-o.
Para desabilitar um link de GPO, clique com o boto direito do mouse no link na
rvore de console do GPMC e desmarque a opo Link Habilitado.
Quando o link desabilitado, o escopo do GPO tambm alterado, e ele no se
aplica mais aos computadores e usurios desse continer. Entretanto, o link
permanece, podendo ser facilmente reabilitado.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-78 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Uma configurao de diretiva pode ser definida em mais de um GPO, e os GPOs
podem ficar conflitantes. Por exemplo, uma configurao de diretiva pode ser
habilitada em um GPO, desabilitada em outro, e no ser definida em um terceiro
GPO. Nesse caso, a precedncia dos GPOs determina qual configurao de diretiva
o cliente aplica. Um GPO com precedncia mais elevada prevalecer sobre um
GPO com precedncia inferior. A precedncia mostrada como um nmero no
GPMC. Quanto menor o nmero, ou seja, mais prximo de 1, maior a precedncia,
assim, um GPO com a precedncia 1 prevalecer sobre os outros. Selecione o
domnio ou a UO e clique na guia Herana da Diretiva de Grupo para exibir a
precedncia de cada GPO.
Quando uma configurao de diretiva est habilitada ou desabilitada em um GPO
com precedncia mais elevada, a configurao definida entra em vigor. Entretanto,
lembre-se de que as configuraes de diretiva esto definidas como No
Configurada por padro. Se uma configurao de diretiva no estiver definida em
um GPO com precedncia mais elevada, a configurao da diretiva (habilitada ou
desabilitada) em um GPO com precedncia inferior entrar em vigor.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Implementao de uma infraestrutura de Diretiva de Grupo 6-79
Um site, domnio ou UO pode ter mais de um GPO vinculado. A ordem dos links
de GPOs determina a precedncia dos GPOs em tal cenrio. Os GPOs com ordem
de link superior tm precedncia sobre os GPOs com ordem de link inferior.
Quando voc seleciona uma UO no GPMC, a guia Objetos de Diretiva de Grupo
Vinculados mostra a ordem dos GPOs vinculados a essa UO.
O comportamento padro da Diretiva de Grupo que os GPOs vinculados a um
continer de nvel superior sejam herdados por contineres de nvel inferior.
Quando um computador iniciado ou um usurio faz logon, o Cliente de Diretiva
de Grupo examina o local do objeto de computador ou usurio no Active Directory
e avalia os GPOs com escopos que incluem o computador ou usurio. Em seguida,
as extenses do cliente aplicam configuraes de diretiva desses GPOs. As diretivas
so aplicadas em sequncia, comeando pelas diretivas vinculadas ao site, depois
pelas vinculadas ao domnio e, em seguida, pelas vinculadas a UOs: da de nvel
superior at a UO na qual o objeto de usurio ou computador est. Essa uma
aplicao em camadas de configuraes. Assim, um GPO que seja aplicado
posteriormente no processo, devido sua precedncia superior, substituir as
configuraes aplicadas anteriormente no processo. Essa ordem padro da
aplicao de GPOs ilustrada abaixo:
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-80 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
O objeto mais elevado na lista, com uma ordem de link 1, tem a precedncia mais
elevada. Portanto, as configuraes habilitadas ou desabilitadas no GPO
Configurao do Usurio Avanado tero precedncia sobre essas mesmas
configuraes no GPO Configurao do Usurio Padro.
Para alterar a precedncia de um link de GPO:
1. Selecione a UO, o site ou domnio na rvore de console do GPMC.
2. Clique na guia Objetos de Diretiva de Grupo Vinculados no painel de detalhes.
3. Selecione o GPO.
4. Use as setas Para Cima, Para Baixo, Mover para Cima e Mover para Baixo
para alterar a ordem do link de GPO selecionado.
Bloquear herana
Um domnio ou UO pode ser configurado para evitar a herana das configuraes
de diretiva.
Para bloquear a herana, clique com o boto direito do mouse no domnio ou na
UO na rvore de console do GPMC e escolha Bloquear Herana.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-82 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
A opo Bloquear Herana deve ser usada com moderao, se for preciso usar. O
bloqueio de herana dificulta a avaliao da precedncia e da herana da Diretiva
de Grupo. Em um tpico posterior, voc aprender a criar escopo de um GPO para
que ele se aplique somente a um subconjunto de objetos ou para que ele no seja
aplicado a um determinado subconjunto de objetos. Com a filtragem do grupo de
segurana, voc pode criar com cautela um escopo para o GPO para que se aplique
somente aos usurios e computadores corretos em primeiro lugar, tornando
desnecessrio o uso da opo Bloquear Herana.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Implementao de uma infraestrutura de Diretiva de Grupo 6-83
Quando voc configura um GPO que define a configurao determinada pelas suas
diretivas de uso e segurana da TI corporativa, voc quer se certificar de que essas
configuraes no sejam substitudas por outros GPOs. Voc pode fazer isso
impondo o link de GPO. Esta figura mostra este cenrio:
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Implementao de uma infraestrutura de Diretiva de Grupo 6-85
Pontos principais
At o momento, voc aprendeu que possvel vincular um GPO a um site, domnio
ou UO. Entretanto, talvez seja necessrio aplicar GPOs somente a determinados
grupos de usurios ou computadores, em vez de a todos os usurios ou computadores
no escopo do GPO. Embora voc no possa vincular diretamente um GPO a um
grupo de segurana, h uma maneira de aplicar GPOs a grupos de segurana
especficos. As diretivas em um GPO aplicam-se somente a usurios que possuam
as permisses Permitir Leitura e Permitir Aplicar Diretiva de Grupo no GPO.
Cada GPO possui uma ACL que define as permisses no GPO. Duas permisses,
Permitir Leitura e Permitir Aplicar Diretiva de Grupo, so necessrias para que um
GPO seja aplicado a um usurio ou computador. Se um computador estiver no
escopo de um GPO, por exemplo, atravs do seu vnculo com a UO do
computador, mas o computador no tiver as permisses Ler e Aplicar Diretiva de
Grupo, o GPO no ser baixado e aplicado. Portanto, ao definir as permisses
apropriadas para grupos de segurana, voc pode filtrar um GPO para que suas
configuraes apliquem-se somente aos computadores e usurios que voc
especificar.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Implementao de uma infraestrutura de Diretiva de Grupo 6-87
Observao: use grupos de segurana globais para filtrar GPOs. Os GPOs s podem
ser filtrados com grupos de segurana globais, e no com grupos de segurana locais de
domnio.
O resultado ter uma aparncia similar figura mostrada aqui: o grupo Usurios
Autenticados no listado, e o grupo especfico ao qual a diretiva deve se aplicar
listado.
6. Clique em OK.
O grupo selecionado recebe a permisso Permitir Leitura por padro.
7. Desmarque a caixa de seleo Permisso Permitir Leitura.
8. Marque a caixa de seleo Negar Aplicar Diretiva de Grupo.
A figura aqui mostra um exemplo que nega ao grupo Suporte Tcnico a
permisso Aplicar Diretiva de Grupo e, portanto, exclui o grupo do escopo do
GPO.
9. Clique em OK.
Voc avisado que as permisses negadas substituem outras permisses.
Como as permisses negadas substituem as permisses permitidas,
recomendvel que voc use as permisses negadas com moderao. O
Microsoft Windows lembra desta prtica recomendada com uma mensagem
de aviso e atravs do processo bem mais complexo para excluir grupos com a
permisso Negar Aplicar Diretiva de Grupo do que para incluir grupos na
seo Filtros de Segurana da guia Escopo.
10. Confirme que deseja prosseguir.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-90 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Filtros WMI
Pontos principais
A WMI (Instrumentao de Gerenciamento do Windows) uma tecnologia de
infraestrutura de gerenciamento que permite que os administradores monitorem e
controlem objetos gerenciados na rede. Uma consulta WMI capaz de filtrar
sistemas com base em caractersticas, incluindo RAM, velocidade do processador,
capacidade do disco, endereo IP, verso do sistema operacional e nvel do pacote
de servios, aplicativos instalados e propriedades da impressora. Como a WMI
expe quase todas as propriedades de cada objeto em um computador, a lista de
atributos que podem ser usados em uma consulta WMI virtualmente ilimitada.
As consultas WMI so criadas na WQL (Linguagem de Consulta WMI).
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-92 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Voc pode usar uma consulta WMI para criar um filtro WMI, com o qual um GPO
pode ser filtrado. Os exemplos so uma boa forma de compreender a finalidade de
um filtro WMI, tanto para os exames de certificao, como para implementao na
vida real. A Diretiva de Grupo pode ser usada para implantar aplicativos de
software e pacotes de servios. Uma capacidade abordada no Mdulo 7. Voc pode
criar um GPO para implantar um aplicativo e usar um filtro WMI para especificar
que a diretiva deve ser aplicada somente em computadores com determinado
sistema operacional e pacote de servios; Windows XP SP3, por exemplo. A
consulta WMI para identificar tais sistemas :
Um GPO pode ser filtrado por somente um filtro WMI, mas esse filtro WMI pode
ser uma consulta complexa, com o uso de vrios critrios. Um nico filtro WMI
pode ser vinculado a um ou mais GPOs, e, portanto, usado para filtr-los. A guia
Geral de um filtro WMI, mostrada na figura aqui, exibe os GPOs que usam o filtro
WMI:
H trs dicas importantes sobre os filtros WMI. Primeiro, a sintaxe WQL das
consultas WMI pode ser difcil de entender. Voc pode frequentemente encontrar
exemplos na Internet quando pesquisar usando as palavras-chave filtro WMI e
consulta WMI junto com uma descrio da consulta que deseja criar.
Voc pode encontrar exemplos de filtros WMI em (em ingls)
http://technet.microsoft.com/pt-br/library/cc781936(WS.10).aspx.
Voc tambm pode fazer referncia ao SDK da WMI, localizado em (em ingls)
http://msdn2.microsoft.com/en-us/library/aa394582.aspx.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-94 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Voc pode impedir que as configuraes nos ns Configurao do Computador ou
Configurao do Usurio sejam processadas durante a atualizao da diretiva
alterando o Status do GPO.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-96 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Observao: use GPOs desabilitados para se preparar contra desastres. Voc pode
definir uma configurao que entre em vigor no caso de uma emergncia, um incidente
de segurana ou outros desastres em um GPO e vincular o GPO para incluir usurios e
computadores apropriados no seu escopo. Depois, desabilite o GPO. Caso voc precise
que a configurao seja implantada, simplesmente habilite o GPO.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-98 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Direcionar preferncias
Pontos principais
As preferncias, que so novas no Windows Server 2008, possuem um mecanismo
de escopo incorporado chamado direcionamento no nvel do item. Voc pode ter
vrios itens de preferncia em um nico GPO e cada item de preferncia pode ser
direcionado ou filtrado. Assim, por exemplo, voc pode ter um nico GPO com
uma preferncia que especifique opes de pasta para engenheiros e outro item
que especifique opes de pasta para vendedores. Voc pode direcionar os itens
usando um grupo de segurana ou UO. H vrios outros critrios que podem ser
usados, incluindo caractersticas de hardware e rede, data e hora, consultas LDAP e
mais.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Implementao de uma infraestrutura de Diretiva de Grupo 6-99
Pontos principais
Por padro, as configuraes de um usurio vm dos GPOs com escopo no objeto
do usurio no Active Directory. Independentemente de qual computador o usurio
faa logon, o conjunto resultante de diretivas que determina o ambiente do usurio
ser o mesmo. Entretanto, h situaes nas quais voc talvez queira configurar um
usurio de forma diferente, independentemente do computador em uso. Por
exemplo, talvez seja necessrio bloquear e padronizar reas de trabalho quando os
usurios fizerem logon em computadores em ambientes gerenciados de perto
como salas de reunio, recepes, laboratrios, salas de aula e quiosques. Isso
tambm importante em cenrios de VDI (virtualizao de rea de trabalho),
incluindo mquinas virtuais remotas e Servios de rea de Trabalho Remota
(Servios de Terminal).
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Implementao de uma infraestrutura de Diretiva de Grupo 6-101
Imagine um cenrio no qual voc deseje impor uma aparncia corporativa padro
para a rea de trabalho do Windows em todos os computadores em salas de
reunio e outras reas pblicas do seu escritrio. Como voc gerenciaria essa
configurao centralmente, usando a Diretiva de Grupo? As configuraes de
diretiva que definem a aparncia da rea de trabalho esto localizadas no n
Configurao do Usurio de um GPO. Assim, por padro, as configuraes se
aplicam aos usurios, independentemente do computador em que eles fizerem
logon. O processamento de diretiva padro no uma forma de criar um escopo
para as configuraes do usurio serem aplicadas em computadores,
independentemente de qual usurio faa logon. Essa a funo do processamento
da diretiva loopback.
O processamento da diretiva loopback altera o algoritmo padro usado pelo cliente
de Diretiva de Grupo para obter a lista ordenada de GPOs que deve ser aplicada na
configurao de um usurio. Em vez da configurao do usurio ser determinada
pelo n Configurao do Usurio dos GPOs com escopo no objeto do usurio, a
configurao do usurio pode ser determinada pelas diretivas do n Configurao
do Usurio dos GPOs com escopo no objeto do computador.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-102 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Cenrio
Voc um administrador do domnio contoso.com. O GPO Padres CONTOSO,
vinculado ao domnio, define uma configurao de diretiva que requer um tempo
limite de proteo de tela de dez minutos. Um engenheiro relata que um aplicativo
crtico que realiza clculos longos trava quando a proteo de tela inicia, e o
engenheiro precisa impedir que a configurao seja aplicada para a equipe de
engenheiros que usa o aplicativo diariamente. Voc tambm foi solicitado a
configurar os computadores da sala de reunio para usar um tempo limite de 45
minutos, para que a proteo de tela no seja iniciada durante uma reunio.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Implementao de uma infraestrutura de Diretiva de Grupo 6-105
Resultados: aps esse exerccio, voc ter criado um GPO chamado Substituio de
Aplicativo de Engenharia e o ter vinculado UO Engineers. Voc tambm saber o
que herana, precedncia, e conhecer os efeitos de um link Imposto e de Bloquear
Herana.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-108 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Resultados: aps esse exerccio, voc ter criado um GPO Diretivas de Sala de Reunio
que aplica um tempo limite de proteo de tela de 45 minutos aos usurios quando
eles fazem logon em computadores na sala de reunio.
Pergunta: Por que pode ser til criar um grupo de iseno (um grupo para o qual
a permisso Aplicar Diretiva de Grupo negada) para cada GPO criado?
Lio 5
Processamento de Diretiva de Grupo
Objetivos
Aps concluir esta lio, voc ser capaz de:
Compreender, aprimorar e disparar manualmente a atualizao da diretiva.
Implementar o processamento da diretiva loopback.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Implementao de uma infraestrutura de Diretiva de Grupo 6-113
Pontos principais
Este tpico analisa detalhadamente o processamento da Diretiva de Grupo.
medida que voc for lendo, tenha em mente que a Diretiva de Grupo consiste na
aplicao das configuraes definidas pelos GPOs, que os GPOs so aplicados em
uma ordem (site, domnio e UO) e que os GPOs aplicados posteriormente
possuem precedncia mais elevada; suas configuraes, quando aplicadas,
substituem as configuraes aplicadas anteriormente. A sequncia a seguir detalha
o processo atravs do qual as configuraes em um GPO baseado em domnio so
aplicadas para afetar um computador ou usurio:
1. O computador e a rede so iniciados. O RPCSS (Servio de Sistema de
Chamadas de Procedimento Remoto) e o MUP (Provedor Mltiplo de
Conveno de Nomenclatura Universal) so iniciados. O Cliente de Diretiva
de Grupo iniciado.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-114 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Uma das tarefas que podem ser automatizadas e gerenciadas com a Diretiva de
Grupo a instalao de software. No Mdulo 7, voc aprender sobre a GPSI
(Diretiva de Grupo de Instalao de Software), que fornecida pela CSE de
instalao de software. Voc pode configurar um GPO para instalar um ou mais
pacotes de software.
Imagine, entretanto, se um usurio precisar se conectar sua rede atravs de uma
conexo lenta. Voc no gostaria que pacotes de software grandes fossem
transferidos atravs de uma conexo lenta porque o desempenho seria
problemtico.
O Cliente de Diretiva de Grupo resolve este problema detectando a velocidade da
conexo com o domnio e determinando se a conexo deve ser considerada lenta.
Essa determinao ento usada por cada CSE para decidir se as configuraes
devem ser aplicadas. A extenso de software, por exemplo, configurada para
renunciar o processamento da diretiva para que o software no seja instalado se
uma conexo lenta for detectada. Por padro, uma conexo considerada lenta se
for de menos de 500 kilobits por segundo (kbps).
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-118 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Leitura adicional
Como funciona a Diretiva de Grupo principal (em ingls):
http://technet.microsoft.com/pt-br/library/cc784268(WS.10).aspx
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Implementao de uma infraestrutura de Diretiva de Grupo 6-119
Pontos principais
Compreender as seguintes configuraes de GPO:
A replicao de GPO deve acontecer
Antes que um GPO possa entrar em vigor, o GPC (continer da Diretiva de Grupo)
no Active Directory deve ser replicado no controlador de domnio do qual o
Cliente de Diretiva de Grupo obtm a lista ordenada de GPOs. Alm disso, o GPT
(Modelo de Diretiva de Grupo) no SYSVOL deve replicar no mesmo controlador
de domnio.
As alteraes de grupo devem ser incorporadas
Finalmente, se voc tiver adicionado um novo grupo, ou alterado a participao de
um grupo usado para filtrar o GPO, essa alterao tambm deve ter sido replicada
e ela deve estar no token de segurana do computador e do usurio, o que requer
uma reinicializao (para que o computador atualize sua participao no grupo) ou
um logoff e logon (para que o usurio atualize sua participao no grupo).
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-120 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Observao: uma mdia de 45-60 minutos. Tenha em mente que o impacto prtico
do intervalo de atualizao da Diretiva de Grupo que quando voc faz uma alterao
no seu ambiente, demora em mdia meia hora, ou 45 a 60 minutos antes que a alterao
comece a entrar em vigor.
Lio 6
Soluo de problemas de aplicao de diretiva
Objetivos
Aps concluir esta lio, voc ser capaz de:
Analisar o conjunto de GPOs e configuraes de diretiva que foram aplicados
em um usurio ou computador.
Antever o impacto de alteraes da Diretiva de Grupo ou do Active Directory
na RSOP.
Localizar os logs de eventos contendo eventos relacionados Diretiva de
Grupo.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-124 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Na Lio 4, voc aprendeu que um usurio ou computador pode estar no escopo
de vrios GPOs. Filtros, excees e herana de Diretiva de Grupo so complexos e
geralmente difcil determinar quais configuraes de diretiva sero aplicadas.
A RSoP o efeito lquido dos GPOs aplicados a um usurio ou computador,
levando em considerao os links de GPO, as excees como Imposto e Bloquear
Herana e a aplicao de filtros de segurana e WMI.
A RSoP tambm um conjunto de ferramentas que ajudam a avaliar, modelar e
solucionar problemas de aplicao de configuraes de Diretiva de Grupo. A RSoP
pode consultar um computador local ou remoto e reportar as configuraes exatas
que foram aplicadas no computador e em qualquer usurio que tenha feito logon
no computador. A RSoP tambm pode modelar as configuraes de diretiva
previstas para serem aplicadas a um usurio ou computador em uma srie de
cenrios, inclusive movendo o objeto entre UOs ou sites ou alterando a
participao em grupo do objeto. Com esses recursos, a RSoP pode ajud-lo a
gerenciar e solucionar problemas de diretivas conflitantes.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Implementao de uma infraestrutura de Diretiva de Grupo 6-125
O Windows Server 2008 fornece as seguintes ferramentas para realizar uma anlise
de RSoP:
O Assistente de Resultados de Diretiva de Grupo
O Assistente para Modelagem de Diretiva de Grupo
GPResult.exe
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-126 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Para ajud-lo a analisar o efeito cumulativo dos GPOs e das configuraes de
diretiva em um usurio ou computador na sua organizao, o GPMC inclui o
Assistente de Resultados de Diretiva de Grupo. Se voc quiser entender exatamente
quais configuraes de diretiva foram aplicadas a um usurio ou computador, e
por que, o Assistente de Resultados de Diretiva de Grupo a ferramenta a ser
usada.
O Assistente de Resultados de Diretiva de Grupo capaz de alcanar o provedor
WMI em um computador local ou remoto que execute o Windows Vista, Windows
XP, Windows Server 2003 ou Windows Server 2008. O provedor WMI pode
reportar tudo que necessrio saber sobre a maneira como a Diretiva de Grupo foi
aplicada no sistema. Ele sabe quando o processamento ocorreu, quais GPOs foram
aplicados, quais no foram e por que, os erros que foram encontrados e as
configuraes de diretiva exatas que tiveram precedncia e o GPO de origem.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Implementao de uma infraestrutura de Diretiva de Grupo 6-127
/s nome_do_computador
/user nome_do_usurio
Isto especifica o nome do usurio para o qual os dados RSoP sero exibidos.
/r
/v
/z
/u domnio\usurio /p senha
Pontos principais
Se voc mover um computador ou usurio entre sites, domnios ou UOs, ou alterar
sua participao no grupo de segurana, os GPOs com escopo nesse usurio ou
computador sero alterados e, portanto, a RSoP do computador ou usurio ser
diferente. A RSoP tambm ser alterada se um processamento de loopback ou
conexo lenta ocorrer ou se houver uma alterao em uma caracterstica do
sistema que seja direcionada por um filtro WMI.
Antes de voc fazer qualquer uma destas alteraes, deve avaliar o impacto em
potencial na RSoP do usurio ou computador. O Assistente de Resultados de
Diretiva de Grupo pode realizar anlise RSoP somente no que realmente
aconteceu. Para prever o futuro e realizar anlises what-if, voc pode usar o
Assistente para Modelagem de Diretiva de Grupo.
Para realizar a Modelagem da Diretiva de Grupo, clique com o boto direito do
mouse no n Modelagem da Diretiva de Grupo na rvore de console do GPMC,
clique em Assistente de Modelagem da Diretiva de Grupo e siga as etapas no
assistente.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-132 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
O Windows Vista e o Windows Server 2008 ampliam a sua capacidade de
solucionar problemas de Diretiva de Grupo, no somente com ferramentas RSoP,
mas tambm com o registro aprimorado de eventos de Diretiva de Grupo.
No log Sistema, voc encontrar informaes de nvel superior sobre a Diretiva
de Grupo, incluindo os erros criados pelo cliente da Diretiva de Grupo quando
no for possvel conectar a um controlador de domnio ou localizar GPOs.
O log do Aplicativo captura os eventos registrados por CSEs.
Um novo log, chamado de Log Operacional da Diretiva de Grupo, fornece
informaes detalhadas sobre o processamento da Diretiva de Grupo.
Cenrio
Voc responsvel por administrar e solucionar problemas de infraestrutura de
Diretiva de Grupo na Contoso, Ltd. Voc deseja avaliar o conjunto de diretivas
resultante para usurios no seu ambiente para garantir que essa infraestrutura est
ntegra e que todas as diretivas so aplicadas como o esperado.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Implementao de uma infraestrutura de Diretiva de Grupo 6-135
Resultados: aps esse exerccio, voc ter aprendido como fazer um conjunto de
diretivas resultante de duas maneiras: usando um assistente e a partir da linha de
comando.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-138 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Resultados: aps esse exerccio, voc ter usado o Assistente para Modelagem de
Diretiva de Grupo para confirmar se o GPO Diretivas de Sala de Reunio realmente
aplicar suas configuraes aos usurios que faam logon em computadores de sala
de reunio.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Implementao de uma infraestrutura de Diretiva de Grupo 6-141
Mdulo 7
Gerenciamento da segurana e da configurao
da empresa com as configuraes da Diretiva de
Grupo
Sumrio:
Lio 1: Delegao do suporte de computadores 7-4
Laboratrio A: Delegao do suporte de computadores 7-16
Lio 2: Gerenciamento de configuraes de segurana 7-20
Laboratrio B: Gerenciamento de configuraes de segurana 7-49
Lio 3: Gerenciamento de software com GPSI 7-62
Laboratrio C: Gerenciamento de software com GPSI 7-81
Lio 4: Auditoria 7-87
Laboratrio D: Auditoria do acesso ao sistema de arquivos 7-101
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-2 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
A Diretiva de Grupo pode ser usada para gerenciar a configuraes de uma enorme
variedade de componentes e recursos do Windows. No mdulo anterior, voc
aprendeu a configurar a infraestrutura de uma Diretiva de Grupo. Neste mdulo,
voc aprender a aplicar essa infraestrutura para gerenciar vrios tipos de
configurao relacionadas segurana e instalao do software. Voc tambm
conhecer ferramentas, como o Assistente de Configurao de Segurana, que
facilita a identificao de quais configuraes devem ser definidas com base nas
funes de um servidor. Por fim, voc aprender a configurar a auditoria de
arquivos e pastas.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento da segurana e da configurao da empresa com as configuraes da Diretiva de Grupo 7-3
Objetivos
Aps concluir este mdulo, voc ser capaz de:
Delegar o suporte dos computadores.
Usar as diretivas de Grupos Restritos para modificar ou impor os membros
dos grupos.
Usar as Preferncias da Diretiva de Grupo para modificar os membros dos
grupos.
Definir as configuraes de segurana usando a diretiva de Segurana Local.
Criar e aplicar modelos de segurana para gerenciar informaes de segurana.
Analisar a configurao de segurana com base nos modelos de segurana.
Criar, editar e aplicar diretivas de segurana usando o Assistente de
Configurao de Segurana.
Implantar a configurao de segurana com a Diretiva de Grupo.
Implantar o software usando o GPSI.
Remover o software instalado originalmente com o GPSI.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-4 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Lio 1
Delegao do suporte de computadores
Objetivos
Aps concluir esta lio, voc ser capaz de:
Delegar a administrao dos computadores.
Usar as diretivas de Grupos Restritos para modificar ou impor os membros
dos grupos.
Usar as Preferncias da Diretiva de Grupo para modificar os membros dos
grupos.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-6 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Ao editar o GPO (Objeto de Diretiva de Grupo) e expandir os ns Configurao do
Computador, Diretivas, Configuraes do Windows e Configuraes de Segurana,
voc encontrar o n da diretiva de Grupos Restritos, mostrado na captura de tela
a seguir.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento da segurana e da configurao da empresa com as configuraes da Diretiva de Grupo 7-7
Como voc pode ver, as diretivas de grupos restritos que usam a configurao
Membro de so cumulativas. O segundo tipo de configurao de diretiva de grupos
restritos a configurao Membros, que especifica todos os membros do grupo
especificado pela diretiva. A caixa de dilogo direita das caixas de dilogo lado a
lado mostradas anteriormente um exemplo tpico: a lista Membros do grupo
Administradores especificada como CONTOSO\Suporte Tcnico. Quando um
computador aplica essa configurao de diretiva, ele assegura que os membros do
grupo Administradores local consiste apenas em CONTOSO\Suporte Tcnico.
Quaisquer membros no especificados na diretiva sero removidos, incluindo
Administradores do Domnio. A configurao Membros a diretiva autoritativa; ela
define a lista final de membros. Se houver mais de um GPO com diretivas de grupo
restrito, o GPO com a prioridade mais alta prevalecer. Por exemplo, se o GPO
vinculado UO Client Computers especificar os membros do grupo
Administradores como CONTOSO\Suporte Tcnico e outro GPO vinculado UO
SEA especificar os membros do grupo Administradores como CONTOSO\Suporte
SEA, os computadores da UO SEA tero apenas o grupo Suporte SEA em seu
grupo Administradores. Esse exemplo ilustrado na captura de tela a seguir.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento da segurana e da configurao da empresa com as configuraes da Diretiva de Grupo 7-9
Pontos principais
Voc pode usar diretivas de grupos restritos com a configurao Membro de para
gerenciar a delegao de privilgios administrativos para computadores
executando as seguintes etapas:
Etapas da demonstrao
1. Inicie 10222A-HQDC01-A e faa logon como Pat.Coleman com a senha
Pa$$w0rd.
2. Em HQDC01, clique em Iniciar >Ferramentas Administrativas e execute
Gerenciamento de Diretiva de Grupo com credenciais administrativas. Use a
conta Pat.Coleman_Admin com a senha Pa$$w0rd.
3. Na rvore de console, expanda Forest:contoso.com, Domnios e
contoso.com e, em seguida, clique no continer Objetos de Diretiva de
Grupo.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento da segurana e da configurao da empresa com as configuraes da Diretiva de Grupo 7-11
Para assumir o controle completo sobre o grupo Administradores local, siga estas
etapas:
Etapas da demonstrao
1. No Editor de Gerenciamento da Diretiva de Grupo, navegue at
Configurao do Computador\Configuraes do Windows\Configuraes
de Segurana\Grupos Restritos.
2. Clique com o boto direito do mouse em Grupos Restritos e escolha
Adicionar Grupo.
3. Digite Administradores e clique em OK.
A caixa de dilogo Propriedades ser exibida.
4. Clique no boto Adicionar ao lado da seo Membros deste Grupo.
5. Clique no boto Procurar, digite o nome do grupo que voc deseja tornar o
nico membro do grupo Administradores, por exemplo, CONTOSO\Suporte
Tcnico, e clique em OK.
6. Clique em OK novamente para fechar a caixa de dilogo Adicionar membro.
As propriedades da configurao de diretiva de grupo devem ser semelhantes
caixa de dilogo esquerda das caixas de dilogo lado a lado exibidas
anteriormente.
7. Clique em OK novamente para fechar a caixa de dilogo Propriedades.
Pontos principais
As Preferncias da Diretiva de Grupo tambm podem ser usadas para definir
membros de grupos.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-14 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Perguntas da discusso
1. Em quais cenrios ou por que motivos voc talvez queira excluir todos os
usurios ou grupos membros?
Leitura adicional
Ajuda do Console de Gerenciamento de Diretiva de Grupo, "Extenso de
Usurios Locais e Grupos"
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-16 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Cenrio
Voc foi solicitado pela equipe de segurana corporativa a bloquear os membros
do grupo Administradores nos computadores cliente. No entanto, necessrio
capacitar o suporte tcnico centralizado a executar tarefas de suporte para os
usurios de toda a organizao. Alm disso, voc deve capacitar a equipe de
suporte tcnico do site local a executar tarefas administrativas para computadores
cliente nesse site.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento da segurana e da configurao da empresa com as configuraes da Diretiva de Grupo 7-17
Resultados: aps esse exerccio, voc ter criado um GPO Suporte Tcnico
Corporativo que assegurar que o grupo Suporte Tcnico seja membro do grupo
Administradores local em todos os computadores da UO Client Computers. Alm
disso, voc ter criado um GPO Suporte Seattle que adiciona o grupo Suporte Seattle
ao grupo Administradores local em todos os computadores cliente da UO SEA.
Lio 2
Gerenciamento das configuraes de
segurana
Objetivos
Aps concluir esta lio, voc ser capaz de:
Definir as configuraes de segurana em um computador usando a diretiva
de Segurana Local.
Criar e aplicar modelos de segurana para gerenciar informaes de segurana.
Analisar a configurao de segurana com base nos modelos de segurana.
Criar, editar e aplicar diretivas de segurana usando o Assistente de
Configurao de Segurana.
Implantar a configurao de segurana com a Diretiva de Grupo.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-22 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
O gerenciamento de diretivas de segurana envolve a criao, a implantao, o
gerenciamento, a anlise e a reviso das configuraes de segurana de uma ou
mais configuraes dos sistemas Windows. Provavelmente, h vrias configuraes
em uma empresa normal: desktops e laptops, servidores e controladores de
domnio. A maioria das empresas acaba definindo at mais configuraes; por
exemplo, delineando vrios tipos ou funes de servidores.
As primeiras palavras so chave: diretiva de segurana. Antes mesmo de entrar em
contato com a tecnologia, voc precisa compreender o que a diretiva de segurana
da sua empresa exige e, caso ainda no tenha uma diretiva de segurana escrita,
comece a criar uma. Depois que souber qual rumo tomar, estar ponto para
comear a jornada.
Sua diretiva de segurana e os requisitos que ela contm provavelmente exigiro
vrias personalizaes para a configurao de segurana padro predefinida do
cliente do Windows e dos sistemas operacionais de servidor.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento da segurana e da configurao da empresa com as configuraes da Diretiva de Grupo 7-23
Pontos principais
Cada servidor com o Windows Server 2008 mantm um conjunto de
configuraes de segurana que pode ser gerenciado por meio do GPO local. Voc
pode configurar o GPO local usando o snap-in Editor de Objeto de Diretiva de
Grupo ou o console da Diretiva de Segurana Local. As categorias de configurao
de diretiva disponveis so mostradas na prxima pgina.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento da segurana e da configurao da empresa com as configuraes da Diretiva de Grupo 7-25
Esta lio enfoca os mecanismos que sero usados para configurar e gerenciar as
configuraes de segurana, e no os detalhes das configuraes propriamente
ditas. Vrias configuraes, incluindo diretivas de conta, diretiva de auditoria e
atribuio de direitos de usurio, sero abordadas em outros momentos neste
curso.
Como os DCs (controladores de domnio) no tm contas de usurio locais, mas
somente contas de domnio, as diretivas do continer Diretivas de Conta do GPO
local nos DCs no podem ser configuradas. Em vez disso, as diretivas de conta do
domnio devem ser configuradas como parte de um GPO vinculado ao domnio,
como o GPO de Diretiva de Domnio Padro. As diretivas de conta sero abordadas
no Mdulo 8.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-26 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Leitura adicional
Configuraes de Diretiva de Segurana do Servidor (em ingls):
http://technet.microsoft.com/pt-br/library/cc730853(WS.10).aspx
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento da segurana e da configurao da empresa com as configuraes da Diretiva de Grupo 7-27
Pontos principais
O segundo mecanismo de gerenciamento de configuraes de segurana o
modelo de segurana. Um modelo de segurana um conjunto de configuraes
armazenadas como um arquivo de texto com a extenso .inf. Como voc pode ver
na captura de tela da pgina seguinte, um modelo de segurana contm
configuraes que so um subconjunto das configuraes disponveis em um GPO
baseado em domnio, mas um subconjunto um pouco diferente daqueles
gerenciados pelo GPO local.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-28 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Usando o snap-in Modelos de Segurana
Para trabalhar com modelos de segurana, use o snap-in Modelos de Segurana. O
Windows Server 2008 no inclui um console com o snap-in Modelos de Segurana;
portanto, voc precisa criar um usando o comando Adicionar/Remover Snap-in do
MMC. O snap-in cria uma pasta chamada Security e uma subpasta chamada
Templates na pasta Documents, e a pasta Documents\Security\Templates se torna o
caminho de pesquisa de modelo, no qual voc poder armazenar um ou mais
modelos de segurana.
Para criar um novo modelo de segurana:
Clique com o boto direito do mouse no n que representa o caminho de
pesquisa de modelo, por exemplo, C:\Users\Documents\Administrator
\Security\Templates, e escolha Novo Modelo.
Voc tambm pode criar um modelo que reflita a configurao atual de um
servidor; voc aprender a fazer isso posteriormente nesta lio.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento da segurana e da configurao da empresa com as configuraes da Diretiva de Grupo 7-31
Na caixa de dilogo Importar Diretiva de, se voc marcar a caixa de seleo Limpar
Banco de Dados Antes de Importar, todas as configuraes de segurana do GPO
sero apagadas antes da importao das configuraes de modelo. Portanto, as
configuraes de segurana do GPO correspondero s configuraes do modelo.
Se voc deixar a caixa de seleo Limpar Banco de Dados Antes de Importar
apagada, as configuraes de diretiva de segurana do GPO permanecero e as
configuraes do modelo sero importadas. Quaisquer configuraes definidas no
GPO que tambm so definidas no modelo sero substitudas pela configurao do
modelo.
Etapas da demonstrao
1. Inicie 10222A-HQDC01-A.
2. Faa logon em HQDC01 como Pat.Coleman com a senha Pa$$w0rd.
3. Clique em Iniciar e, na caixa de pesquisa, digite mmc.exe e pressione ENTER,
quando solicitado a fornecer credenciais administrativas. Use a conta
Pat.Coleman_Admin com a senha Pa$$w0rd.
4. Clique em Arquivo e em Adicionar/Remover Snap-in.
5. Na lista Snap-ins disponveis, selecione Modelos de Segurana e clique em
Adicionar.
6. Clique em OK.
7. Clique em Arquivo e, em seguida, clique em Salvar.
A caixa de dilogo Salvar como ser exibida.
8. Digite D:\Security Management e pressione ENTER.
9. Na rvore de console, expanda Modelos de segurana.
10. Clique com o boto direito do mouse em C:\Users\Pat.Coleman_Admin
\Documents\Security\Templates, e, em seguida, clique em Novo Modelo.
11. Digite rea de Trabalho Remota do DC e clique em OK.
12. Clique em Iniciar>Ferramentas Administrativas e execute Gerenciamento
de Diretiva de Grupo com credenciais administrativas. Use a conta
Pat.Coleman_Admin com a senha Pa$$w0rd.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento da segurana e da configurao da empresa com as configuraes da Diretiva de Grupo 7-33
Pontos principais
Configurao e Anlise de Segurana
Voc pode usar o snap-in Configurao e Anlise de Segurana para aplicar um
modelo de segurana a um computador de modo interativo. O snap-in tambm
permite analisar a configurao atual de segurana do sistema e compar-la a uma
linha de base salva como um modelo de segurana. Isso permitir a voc descobrir
rapidamente se algum alterou as configuraes de segurana de um computador e
se o sistema est de acordo com as diretivas de segurana da sua organizao.
Como acontece com o snap-in Modelos de Segurana, o Windows Server 2008 no
inclui um console com o snap-in Configurao e Anlise de Segurana; portanto,
voc deve adicionar o snap-in a um console por sua prpria conta.
Criando um banco de dados
Para usar o snap-in Configurao e Anlise de Segurana, primeiro crie um banco
de dados que conter um conjunto de configuraes de segurana. O banco de
dados a interface entre as configuraes de segurana reais no computador e as
configuraes armazenadas nos modelos de segurana.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento da segurana e da configurao da empresa com as configuraes da Diretiva de Grupo 7-35
Voc ser solicitado a fornecer um caminho para um log de erros que ser gerado
durante a aplicao das configuraes. Aps aplicar as configuraes, examine o
log de erros para saber se h algum problema.
Analisando a configurao de segurana de um computador
Antes de aplicar as configuraes do banco de dados a um computador, talvez seja
necessrio analisar a configurao atual do computador para identificar as
discrepncias.
Para analisar a configurao de segurana de um computador
Clique com o boto direito do mouse em Configurao e Anlise de
Segurana e escolha Analisar Computador Agora.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-36 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Leitura adicional
Para obter detalhes completos sobre o Secedit.exe e suas opes, consulte
http://technet.microsoft.com/pt-br/library/cc742472(WS.10).aspx
Pergunta da discusso
Pontos principais
O Assistente de Configurao de Segurana pode ser usado para aprimorar a
segurana de um servidor fechando portas e desabilitando os servios no
necessrios s funes do servidor.
O Assistente de Configurao de Segurana pode ser iniciado na seo de
informaes sobre segurana da home page do Gerenciador de Servidores ou na
pasta Ferramentas Administrativas.
Existe tambm uma verso de linha de comando da ferramenta, o scwcmd.exe.
Digite scwcmd.exe /? no prompt de comando para obter ajuda sobre o comando
ou consulte http://technet.microsoft.com/pt-br/library/cc731515(WS.10).aspx.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento da segurana e da configurao da empresa com as configuraes da Diretiva de Grupo 7-41
A diretiva de segurana
Voc pode ignorar qualquer uma das trs ltimas sees que no queira incluir na
diretiva de segurana.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-44 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Leitura adicional
Assistente de Configurao de Segurana:
http://technet.microsoft.com/pt-br/library/cc731515(WS.10).aspx
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento da segurana e da configurao da empresa com as configuraes da Diretiva de Grupo 7-47
Pontos principais
Conforme sugerido na introduo lio, h diversos mecanismos que ajudam a
gerenciar as configuraes de segurana. Voc pode usar ferramentas como o
console da Diretiva de Segurana Local para modificar configuraes em um
sistema. possvel usar os modelos de segurana, que existem desde o Windows
2000, para gerenciar configuraes em um ou mais sistemas e comparar o estado
atual da configurao de um sistema com base na configurao desejada definida
pelo modelo. As diretivas de segurana geradas pelo Assistente de Configurao de
Segurana so a incluso mais recente feita no conjunto de ferramentas de
gerenciamento de configuraes de segurana. Elas so arquivos .xml baseados em
funo que definem modos de inicializao de servio, regras de firewall, diretivas
de auditoria e algumas configuraes do Registro. As diretivas de segurana podem
incorporar os modelos de segurana. Os modelos de segurana e as diretivas de
segurana podem ser implantados por meio da Diretiva de Grupo.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-48 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Cenrio
Voc um administrador do domnio contoso.com. Como parte da sua iniciativa
em proteger o servio de diretrio, voc deseja estabelecer uma configurao de
segurana a ser aplicada aos controladores de domnio que, entre outras coisas,
especifica quem pode fazer logon nos controladores de domnio usando a rea de
Trabalho Remota para executar tarefas administrativas.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-50 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Resultados: aps esse exerccio, voc dever ter definido cada uma das configuraes
locais necessrias para permitir que SYS_rea de Trabalho Remota do DC faa logon
em HQDC01 usando a rea de trabalho remota.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento da segurana e da configurao da empresa com as configuraes da Diretiva de Grupo 7-53
Resultados: aps esse exerccio, voc ter criado e aplicado um modelo de segurana,
que concede ao SYS_rea de Trabalho Remota do DC o direito de fazer logon pelos
Servios de Terminal e adiciona o grupo como membro do grupo Usurios da rea de
Trabalho Remota.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-58 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Lio 3
Gerenciamento do software com o GPSI
Voc talvez esteja ciente das diversas ferramentas que podem ser usadas para
implantar software em uma organizao, incluindo o Microsoft SCCM (System
Center Configuration Manager ou, simplesmente, Gerenciador de Configuraes) e
seu predecessor Microsoft SMS (Systems Management Server). Embora essas
ferramentas ofeream excelentes benefcios, inclusive recursos para avaliar o uso
do software e os sistemas de inventrio, voc pode implantar a maioria dos
software sem essas ferramentas, usando apenas o GPSI (Instalao de Software de
Diretiva de Grupo).
Objetivos
Aps concluir esta lio, voc ser capaz de:
Implantar o software usando o GPSI.
Remover o software instalado originalmente com o GPSI.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento da segurana e da configurao da empresa com as configuraes da Diretiva de Grupo 7-63
Pontos principais
O GPSI (Instalao de Software de Diretiva de Grupo) usado para criar um
ambiente de software gerenciado com as seguintes caractersticas:
Usurios com acesso aos aplicativos de que precisam para realizar suas tarefas,
independentemente do computador em que fazem logon.
Computadores que tm os aplicativos necessrios, sem a interveno de um
representante do suporte tcnico.
Aplicativos que possam ser atualizados, mantidos ou removidos para atender
s necessidades da organizao.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-64 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Publicando aplicativos
Quando voc publica um aplicativo para os usurios, o aplicativo no aparece
como se estivesse instalado nos computadores dos usurios. Nenhum atalho fica
visvel na rea de trabalho ou no menu Iniciar. Em vez disso, o aplicativo aparece
como disponvel para o usurio instalar por meio do comando Adicionar ou
Remover Programas no Painel de Controle do Windows XP ou por meio de
Programas e Recursos em um sistema Windows Server 2008, Windows Vista ou
Windows 7. Alm disso, o aplicativo pode ser instalado quando um usurio abre
um tipo de arquivo associado ao aplicativo. Por exemplo, se o Acrobat Reader for
anunciado para os usurios, ele ser instalado se um usurio abrir um arquivo .pdf.
Depois que for determinado se os aplicativos podem ser atribudos ou publicados
e direcionados aos usurios ou computadores, ser possvel estabelecer uma
combinao vivel que atenda s suas metas de gerenciamento de software. A
tabela a seguir especifica detalhadamente as diferentes opes de implantao de
software.
Opes de implantao de software
Publicar (somente
usurio) Atribuir (usurio) Atribuir (computador)
(continuao)
Publicar (somente
usurio) Atribuir (usurio) Atribuir (computador)
O usurio pode Sim. Alm disso, o Sim. Alm disso, o No. Somente um
remover o usurio pode optar software estar administrador local
software usando por instal-lo disponvel para pode remover o
o Painel de novamente pelo instalao software; um usurio
Controle? Painel de Controle. novamente nos pode executar um
atalhos do menu reparo no software.
Iniciar ou nas
associaes de
arquivo.
Leitura adicional
Viso geral sobre a Instalao do Software de Diretiva de Grupo:
http://technet.microsoft.com/pt-br/library/cc738858(WS.10).aspx
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento da segurana e da configurao da empresa com as configuraes da Diretiva de Grupo 7-69
Pontos principais
Agora que voc j conhece um pouco do GPSI, est pronto para preparar o SDP. O
SDP simplesmente uma pasta compartilhada na qual os usurios e computadores
podem instalar aplicativos. Crie uma pasta compartilhada e crie uma pasta
separada para cada aplicativo. Em seguida, copie o pacote de software, as
modificaes e todos os outros arquivos necessrios para as pastas de aplicativo.
Defina as permisses apropriadas nas pastas de modo a conceder aos usurios e
computadores a permisso Ler e Executar, a permisso mnima necessria para
instalar um aplicativo no SDP. Os administradores do SDP devem ser capazes de
alterar e excluir arquivos para manter o SDP ao longo do tempo.
Etapas da demonstrao
1. Inicie 10222A-HQDC01-A e faa logon como Pat.Coleman com a senha
Pa$$w0rd.
2. Inicie 10222A-SERVER01-A, mas no faa logon.
3. Alterne para HQDC01.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-70 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Para criar um GPO de implantao de software:
1. Use o console de Gerenciamento de Diretiva de Grupo para criar um novo
GPO ou selecionar um GPO existente.
2. Edite o GPO usando Editor de Gerenciamento da Diretiva de Grupo.
3. Expanda os ns de console Configurao do Computador\Diretivas
\Configuraes de Software\Instalao de Software. Se desejar, selecione o
n Instalao de Software na ramificao Configurao do Usurio.
4. Clique com o boto direito do mouse em Instalao de Software, escolha
Novo e selecione Pacote.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-74 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Depois que um computador instalar um aplicativo usando o pacote do Windows
Installer especificado por um GPO, o computador no tentar reinstalar o
aplicativo a cada atualizao da Diretiva de Grupo. Talvez haja cenrios em que
voc precise forar os sistemas a reinstalar o aplicativo. Por exemplo, pequenas
alteraes possivelmente foram feitas no pacote original do Windows Installer.
Para reimplantar um aplicativo implantado com a Diretiva de Grupo:
Clique com o boto direito do mouse no pacote no GPO, clique em Todas as
Tarefas e selecione Reimplantar aplicativo.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento da segurana e da configurao da empresa com as configuraes da Diretiva de Grupo 7-77
Voc tambm pode atualizar um aplicativo que tenha sido implantado com o GPSI.
1. Crie um pacote para a nova verso do aplicativo no n Instalao de Software
do GPO.
O pacote pode estar no mesmo GPO que o pacote da verso anterior ou em
qualquer outro GPO.
2. Clique com o boto direito do mouse no pacote e escolha Propriedades.
3. Clique na guia Atualizaes e, em seguida, clique no boto Adicionar.
A caixa de dilogo Adicionar Pacote de Atualizao ser exibida.
Voc tambm pode remover um aplicativo que tenha sido implantado com o GPSI.
1. Clique com o boto direito do mouse no pacote, clique em Todas as Tarefas e
selecione Remover.
2. Na caixa de dilogo Remover Software, escolha uma das opes a seguir:
Desinstalar imediatamente o software dos usurios e computadores.
Esta opo, conhecida como remoo forada, faz com que os
computadores removam o aplicativo. A extenso de instalao do software
remover um aplicativo quando o computador for reiniciado caso o
aplicativo tenha sido implantado com um pacote na parte Configurao
do Computador do GPO. Se o pacote estiver na parte Configurao do
Usurio, o aplicativo ser desinstalado na prxima vez que o usurio fizer
logon.
Permitir Que Os Usurios Continuem a Usar o Software, Mas Impedir
Novas Instalaes Esta configurao, conhecida como remoo opcional,
faz com que a extenso de instalao do software evite adicionar o pacote
aos sistemas que ainda no tm o pacote instalado. Os computadores que
j tinham instalado o aplicativo no foram a desinstalao do mesmo;
portanto, os usurios podem continuar a utiliz-lo.
Se voc usar uma dessas duas opes para remover o software por meio do GPSI,
importante permitir que as configuraes no GPO sejam propagadas para todos os
computadores dentro do escopo do GPO antes de excluir, desabilitar ou
desvincular o GPO. Os clientes precisam receber essa configurao, que especifica
a remoo forada ou opcional. Se o GPO for excludo ou no for mais aplicado at
que todos os clientes tenham recebido essa configurao, o software no ser
removido de acordo com as suas instrues. Isso particularmente importante nos
ambientes com usurios mveis em laptops que no podem se conectar rede
regularmente.
Se, ao criar o pacote de software, voc escolher a opo Desinstalar Este Aplicativo
Quando Ele Ficar Fora do Escopo de Gerenciamento, poder simplesmente
excluir, desabilitar ou desvincular o GPO e o aplicativo ser removido
forosamente por todos os clientes que instalaram o pacote com essa configurao.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento da segurana e da configurao da empresa com as configuraes da Diretiva de Grupo 7-79
Pontos principais
Quando um cliente executar uma atualizao de Diretiva de Grupo, ele testar o
desempenho da rede para determinar se ela est conectada por meio de um link
lento definido, por padro, como 500 quilobits por segundo (kbps). Cada
extenso do lado do cliente configurado para processar a Diretiva de Grupo ou
ignorar a aplicao das configuraes em um link lento. Por padro, o GPSI no
processa as configuraes de Diretiva de Grupo em um link lento porque a
instalao do software em um link lento pode ocasionar atrasos significativos.
Voc pode alterar o comportamento do processamento da diretiva em link lento de
cada extenso do lado do cliente, usando as configuraes de diretiva localizadas
em Configurao do Computador\Diretivas\Modelos Administrativos\Sistema
\Diretiva de Grupo. Por exemplo, voc poderia modificar o comportamento da
extenso de instalao do software de modo que ele processe diretivas em um link
lento.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-80 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Voc tambm pode alterar o limite de velocidade da conexo que constitui um link
lento. Configurando um limite baixo para a velocidade da conexo, possvel
convencer a extenso do lado do cliente de que uma conexo no um link lento,
mesmo que ela realmente seja. Existem configuraes de diretiva separadas para
deteco de link lento de Diretiva de Grupo para o processamento de diretivas de
computador e de diretivas de usurio. As diretivas esto nas pastas Modelos
Administrativos\Sistema\Diretiva de Grupo em Configurao do Computador e
Configurao do Usurio.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento da segurana e da configurao da empresa com as configuraes da Diretiva de Grupo 7-81
Cenrio
Voc administrador na Contoso, Ltd. Seus desenvolvedores precisam do Bloco
de Notas XML para editar arquivos XML e voc quer automatizar a implantao e o
gerenciamento do ciclo de vida do aplicativo. Voc decide usar a Diretiva de Grupo
de Instalao de Software. A maioria dos aplicativos so licenciados por
computador; portanto, voc implantar o Bloco de Notas XML nos computadores
dos desenvolvedores, em vez de associar o aplicativo s contas de usurio.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-82 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Resultados: aps esse exerccio, voc ter implantado o Bloco de Notas XML em
DESKTOP101.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento da segurana e da configurao da empresa com as configuraes da Diretiva de Grupo 7-85
Resultados: aps esse exerccio, voc ter simulado a atualizao do Bloco de Notas
XML usando o GPSI.
Lio 4
Auditoria
Objetivos
Aps concluir esta lio, voc ser capaz de:
Configurar a diretiva de auditoria.
Definir as configuraes de auditoria nos objetos do sistema de arquivos.
Exibir o log Segurana usando o snap-in Visualizar Eventos.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-88 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
A Diretiva de Auditoria configura um sistema para fazer a auditoria das categorias
de atividades. Se a Diretiva de Auditoria no estiver habilitada, um servidor no
far a auditoria dessas atividades. A captura de tela da pgina seguinte mostra o n
Diretiva de Auditoria de um GPO expandido:
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento da segurana e da configurao da empresa com as configuraes da Diretiva de Grupo 7-89
(continuao)
Configurao padro
para controladores de
Configurao da domnio do Windows
diretiva de auditoria Explicao Server 2008
(continuao)
Configurao padro
para controladores de
Configurao da domnio do Windows
diretiva de auditoria Explicao Server 2008
(continuao)
Configurao padro
para controladores de
Configurao da domnio do Windows
diretiva de auditoria Explicao Server 2008
Como voc pode ver, a maioria dos eventos do Active Directory j foi auditorada
pelos controladores de domnio, assumindo que os eventos obtiveram xito.
Portanto, a criao de um usurio, a redefinio da senha de um usurio, o logon
no domnio e a recuperao dos scripts de logon de um usurio so todos
registrados.
No entanto, por padro, nem todos os eventos com falha passam por auditoria.
Talvez seja necessrio implementar uma auditoria de falha adicional com base nos
requisitos e nas diretivas de segurana de TI da organizao. A auditoria dos
eventos de logon de conta com falha, por exemplo, exporo as tentativas mal-
intencionadas de acesso ao domnio tentando fazer logon vrias vezes em uma
conta de usurio do domnio sem saber a senha da conta. A auditoria dos eventos
de gerenciamento de conta com falha podem revelar a algum a tentativa de
manipular os membros de um grupo sensvel segurana.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento da segurana e da configurao da empresa com as configuraes da Diretiva de Grupo 7-93
Uma das tarefas mais importantes que voc deve executar balancear e alinhar a
diretiva de auditoria com suas diretivas corporativas e a realidade. A diretiva
corporativa pode declarar que todos os logons com falha e alteraes bem-
sucedidas feitas nos usurios e grupos do Active Directory devem passar por
auditoria. fcil fazer isso no Active Directory. Mas como exatamente voc usar
essas informaes? Os logs de auditoria detalhados no sero teis se voc no
souber como gerenciar esses logs ou no tiver as ferramentas para faz-lo. Para
implementar a auditoria, voc deve estar a par dos requisitos comerciais para
realizar a auditoria, alm de ter uma diretiva de auditoria corretamente configurada
e as ferramentas com as quais gerenciar os eventos que passaram por auditoria.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-94 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
A maioria das organizaes prefere fazer a auditoria do acesso ao sistema de
arquivos para obter informaes sobre o uso dos recursos e os problemas de
segurana potenciais. O Windows Server 2008 oferece suporte auditoria granular
com base em contas de usurio ou grupo e s aes executadas por essas contas.
Para configurar a auditoria, voc deve concluir trs etapas: especificar
configuraes de auditoria, habilitar a diretiva de auditoria e avaliar eventos no log
de segurana.
Voc pode fazer a auditoria do acesso a um arquivo ou a uma pasta adicionando
entradas de auditoria SACL (lista de controle de acesso do sistema).
1. Abra a caixa de dilogo de propriedades do arquivou ou da pasta e, em
seguida, clique na guia Segurana.
2. Clique no boto Avanadas.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento da segurana e da configurao da empresa com as configuraes da Diretiva de Grupo 7-95
4. Para adicionar uma entrada, clique no boto Editar para abrir a guia Auditoria
no modo Editar.
5. Clique no boto Adicionar para selecionar o usurio, grupo ou computador
que passar pela auditoria.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-96 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Voc pode fazer a auditoria de eventos com xito, de eventos com falha ou de
ambos quando o usurio, grupo ou computador tenta acessar o recurso usando
um ou mais nveis de acesso granular.
Voc pode fazer a auditoria dos eventos com xito:
Para registrar em log o acesso a recursos para fins de gerao de relatrios e
cobrana
Para monitorar o acesso que sugere que os usurios estejam executando aes
maiores do que voc havia planejado, indicando permisses muito amplas
Para identificar o acesso que est fora do escopo de uma conta especfica, o
que pode ser indcio de que uma conta de usurio foi violada por um hacker
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento da segurana e da configurao da empresa com as configuraes da Diretiva de Grupo 7-97
A auditoria das entradas instrui o Windows a fazer a auditoria das atividades com
xito e com falha de uma entidade de segurana (usurio, grupo ou computador)
para usar uma permisso especfica. O exemplo na captura de tela da caixa de
dilogo Entrada de auditoria exibida anteriormente faz a auditoria das tentativas
malsucedidas dos usurios do grupo Consultores de acessar os dados da pasta
Dados Confidenciais em qualquer nvel. Isso feito por meio da configurao de
uma entrada de auditoria para o acesso de Controle Total. O Controle Total inclui
todos os nveis de acesso; portanto, essa entrada abrange qualquer tipo de acesso.
Se um membro do grupo Consultores tentar um acesso de qualquer tipo e no
obtiver xito, a atividade ser registrada.
Geralmente, as entradas de auditoria refletem as entradas de permisso do objeto.
Em outras palavras, voc configurar a pasta Dados Confidenciais com permisses
que impedem os Consultores de acessar seu contedo. Em seguida, voc usar a
auditoria para monitorar os Consultores que, entretanto, tentam acessar a pasta.
Tenha em mente, claro, que um membro do grupo Consultores tambm pode
pertencer a outro grupo que no tenha permisso para acessar a pasta. Como esse
acesso ser bem-sucedido, a atividade no ser registrada. Portanto, se voc
realmente est preocupado em manter os usurios fora de uma pasta e em
assegurar que eles no tenham acesso a ela de modo algum, monitore as tentativas
de acesso com falha. No entanto, faa a auditoria tambm do acesso bem-sucedido
para identificar situaes em que um usurio esteja acessando a pasta por meio de
outros membros de grupo que so potencialmente incorretos.
Pontos principais
A configurao de entradas de auditoria no descritor de segurana de um arquivo
ou de uma pasta habilita a auditoria. A auditoria deve ser habilitada por meio da
configurao Auditoria de Acesso a Objetos mostrada na pgina a seguir:
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento da segurana e da configurao da empresa com as configuraes da Diretiva de Grupo 7-99
Pontos principais
Depois que voc tiver habilitado a configurao da diretiva Auditoria de Acesso a
Objetos e especificado o acesso que passar por auditoria, usando as SACLs do
objeto, o sistema comear a registrar o acesso de acordo com as entradas de
auditoria. Voc pode exibir os eventos resultantes no log Segurana do servidor.
Abra o console do Visualizar Eventos no menu Ferramentas Administrativas.
Expanda Logs do Windows\Segurana.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento da segurana e da configurao da empresa com as configuraes da Diretiva de Grupo 7-101
Cenrio
Neste laboratrio, voc definir as configuraes de auditoria, habilitar as
diretivas de auditoria para acesso a objetos e filtrar eventos especficos no log de
segurana. O objetivo corporativo monitorar uma pasta com dados confidenciais
que no deve ser acessada pelos usurios do grupo Consultores.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-102 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Resultados: aps esse exerccio, voc ter configurado a auditoria do acesso com
falha a objetos do sistema de arquivos em servidores da UO Servers\File.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Gerenciamento da segurana e da configurao da empresa com as configuraes da Diretiva de Grupo 7-105
Resultados: aps esse exerccio, voc ter validado a auditoria do acesso com falha
pasta Dados Confidenciais pelos membros do grupo Consultores.
Pergunta: Quais sistemas devem ter a auditoria configurada? Existe algum motivo
para no realizar a auditoria de todos os sistemas da empresa? Quais tipos de
acesso devem passar por auditoria e por quem eles devem ser auditorados? Existe
algum motivo para no realizar a auditoria de todos os acessos realizados por
todos os usurios?
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao segura 8-1
Mdulo 8
Administrao segura
Sumrio:
Lio 1: Delegao de permisses administrativas 8-4
Laboratrio A: Delegao de administrao 8-26
Lio 2: Auditoria de alteraes no Active Directory 8-34
Laboratrio B: Auditoria de alteraes do Active Directory 8-40
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
8-2 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
"A segurana a tarefa nmero 1" na maioria das empresas hoje, e, da mesma
forma que as organizaes esto trabalhando para remover privilgios
administrativos desnecessrios que, no passado, eram atribudos a usurios em
suas estaes de trabalho, elas tambm esto se esforando para bloquear e
gerenciar os privilgios dados aos prprios administradores. Para gerenciar a
segurana de administrao do Active Directory, voc deve entender como delegar
tarefas administrativas especficas e como auditar as alteraes que so feitas no
diretrio.
Objetivos
Aps concluir este mdulo, voc ser capaz de:
Descrever a finalidade comercial da delegao.
Atribuir permisses a objetos do Active Directory usando as interfaces do
usurio do editor de segurana e o Assistente para delegao de controle.
Exibir e relatar permisses sobre objetos do Active Directory usando
ferramentas de linha de comando e interface do usurio.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao segura 8-3
Lio 1
Delegao de permisses administrativas
Objetivos
Aps concluir esta lio, voc ser capaz de:
Descrever a finalidade comercial da delegao.
Atribuir permisses a objetos do Active Directory usando as interfaces de
usurio do editor de segurana e o Assistente para delegao de controle.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao segura 8-5
Compreenso da delegao
Pontos principais
Na maioria das organizaes, existe mais de um administrador, e, medida que
elas crescem, muitas vezes as tarefas administrativas so distribudas para vrios
administradores ou organizaes de suporte. Por exemplo, em muitas
organizaes, o suporte tcnico pode redefinir senhas de usurio e desbloquear as
contas de usurios que esto bloqueados. Essa capacidade do suporte tcnico
uma tarefa administrativa delegada.
O suporte tcnico normalmente no pode criar novas contas de usurio, mas pode
fazer alteraes especficas em contas j existentes. A capacidade delegada
especfica ou granular.
Continuando com o exemplo, na maioria das organizaes, a capacidade do
suporte tcnico de redefinir senhas se aplicaria a contas de usurio normais, mas
no a contas usadas para administrao nem a contas de servio. Por isso, dizemos
que a delegao restrita a contas de usurio padro.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao segura 8-7
Pontos principais
Para exibir a ACL em um objeto:
1. Abra o snap-in Usurios e Computadores do Active Directory.
2. Clique no menu Exibir e selecione Recursos Avanados.
3. Clique com o boto direito do mouse no objeto e escolha Propriedades.
4. Clique na guia Segurana.
Se os Recursos Avanados no estiverem habilitados, voc no ver a guia
Segurana na caixa de dilogo Propriedades de um objeto.
5. Clique no boto Avanadas.
A guia Segurana mostra uma viso geral de nvel muito superior das
entidades de segurana que receberam permisses sobre o objeto; contudo, no
caso de ACLs do Active Directory, a guia Segurana raramente detalhada o
suficiente para fornecer as informaes de que voc precisa para interpretar ou
gerenciar a ACL. Sempre clique em Avanadas para abrir a caixa de dilogo
Configuraes de segurana avanadas.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao segura 8-9
Pontos principais
A DACL de um objeto permite atribuir permisses a propriedades especficas de
um objeto. Por exemplo, voc pode conceder (ou negar) permisso para alterar
opes de telefone e email. Na verdade, no se trata de apenas uma propriedade,
mas de um conjunto de propriedades que inclui vrias propriedades especficas.
Os conjuntos de propriedades facilitam o gerenciamento de permisses a colees
de propriedades comumente usadas. Mas possvel detalhar ainda mais e permitir
ou negar permisso para alterar somente o nmero do telefone celular ou apenas o
endereo residencial.
Tambm possvel atribuir permisses para gerenciar direitos de acesso de
controle, que so aes como alterar ou redefinir uma senha. importante
entender a diferena entre esses dois direitos de acesso de controle. Se voc possui
o direito de alterar uma senha, deve saber e inserir a senha atual antes de fazer a
alterao. Se voc possui o direito de redefinir uma senha, no precisa saber a
senha anterior.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
8-12 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Imagine um cenrio em que voc deseja permitir que o suporte tcnico altere a
senha da conta de usurio de Jeff Ford e somente da conta de Jeff Ford. Nesta seo,
voc aprender a fazer isso primeiro da forma mais complicada: atribuindo a ACE
na DACL do objeto de usurio. Depois, voc aprender a executar a delegao
usando o Assistente para delegao de controle em toda a unidade organizacional
de usurios e ver por que essa ltima prtica recomendada.
Etapas da demonstrao
1. Inicie 10222A-HQDC01-A e faa logon como Pat.Coleman usando a senha
Pa$$w0rd.
2. Clique em Iniciar>Ferramentas Administrativas e execute Usurios e
Computadores do Active Directory com credenciais administrativas. Use a
conta Pat.Coleman_Admin com a senha Pa$$w0rd.
3. Clique no menu Exibir e selecione Recursos avanados.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
8-14 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Voc pode imaginar que atribuir permisses para o suporte tcnico redefinir
senhas de cada objeto de usurio individual seria um pesadelo. Por sorte, voc no
precisa fazer isso; na verdade, atribuir permisses a objetos individuais no Active
Directory uma prtica terrvel. Em vez disso, voc atribuir permisses a
unidades organizacionais. As permisses atribudas a uma unidade organizacional
sero herdadas por todos os objetos da unidade organizacional. Portanto, se voc
conceder ao suporte tcnico permisso para redefinir senhas de objetos de usurio
e anexar essa permisso unidade organizacional que contm os usurios
desejados, todos os objetos de usurio da unidade organizacional herdaro essa
permisso. Com uma nica etapa, voc ter delegado essa tarefa administrativa.
Herana um conceito fcil de entender. Os objetos filho herdam as permisses do
continer ou unidade organizacional pai. Por sua vez, tal continer ou unidade
organizacional herda as permisses do continer ou unidade organizacional pai ou,
no caso de um continer ou unidade organizacional de primeiro nvel, do prprio
domnio. O motivo pelo qual os objetos filho herdam permisses de seus pais
que, por padro, cada novo objeto criado com a opo Incluir permisses
herdveis provenientes do pai deste objeto habilitada.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
8-16 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Voc viu a complexidade da DACL e provavelmente j percebeu que gerenciar
permisses usando a caixa de dilogo Entrada de Permisso no uma tarefa
simples. Felizmente, a prtica recomendada no gerenciar permisses usando as
interfaces de segurana, mas sim o Assistente para delegao de controle. O
procedimento a seguir detalha o uso do assistente.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
8-18 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Etapas da demonstrao
1. Em HQDC01, clique em Iniciar > Ferramentas Administrativas e execute
Usurios e Computadores do Active Directory com credenciais
administrativas. Use a conta Pat.Coleman_Admin com a senha Pa$$w0rd.
2. Clique com o boto direito do mouse no n (domnio ou unidade
organizacional) para o qual voc deseja delegar tarefas ou controle
administrativo e escolha Delegar Controle.
Em nosso exemplo, voc selecionaria a unidade organizacional que contm os
seus usurios.
Ser exibido o Assistente para delegao de controle, que o orientar nas
etapas necessrias.
3. Clique em Prximo.
Primeiro voc selecionar o grupo administrativo para o qual conceder
privilgios.
4. Na pgina Usurios ou Grupos, clique no boto Adicionar.
5. Use a caixa de dilogo Selecionar para selecionar o grupo e clique em OK.
6. Clique em Prximo.
Em seguida, voc especificar a tarefa que deseja atribuir a esse grupo.
7. Na pgina Tarefas a delegar, selecione a tarefa.
Em nosso exemplo, voc selecionaria Redefinir senhas de usurio e Forar
Alterao no Prximo Logon.
8. Clique em Prximo.
9. Examine o resumo das aes executadas e clique em Concluir.
O Assistente para delegao de controle aplica as ACEs que so necessrias
para o grupo selecionado executar a tarefa especificada.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao segura 8-19
Pontos principais
Existem vrias outras maneiras de exibir e relatar permisses quando voc precisa
saber quem pode fazer o qu. Voc j aprendeu que pode exibir permisses na
DACL usando as caixas de dilogo Configuraes de segurana avanadas e
Entrada de Permisso.
O DSACLs (dsacls.exe) tambm est disponvel como ferramenta de linha de
comando que fornece informaes sobre objetos de servio de diretrio. Se voc
digitar o comando seguido pelo nome distinto de um objeto, ver um relatrio das
permisses do objeto. Por exemplo, este comando produzir um relatrio das
permisses associadas UO User Accounts:
Pontos principais
Como voc remove ou redefine permisses que foram delegadas? Infelizmente, no
existe um comando undelegate. necessrio executar um dos seguintes
procedimentos:
Abra as caixas de dilogo Configuraes de segurana avanadas e Entrada de
Permisso para remover permisses.
Para restaurar o padro das permisses sobre o objeto, abra a caixa de dilogo
Configuraes de segurana avanadas e clique em Restaurar padres. As
permisses padro so definidas pelo esquema do Active Directory referente
classe do objeto. Depois de restaurar os padres, voc poder reconfigurar as
permisses explcitas que deseja adicionar DACL.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao segura 8-21
Pontos principais
Permisses efetivas so as permisses resultantes de uma entidade de segurana,
como um usurio ou grupo, com base no efeito cumulativo de cada ACE herdada e
explcita. Sua capacidade de redefinir a senha de um usurio, por exemplo, pode
ser devido associao em um grupo que concedeu a permisso Redefinir senha
em uma unidade organizacional vrios nveis acima do objeto de usurio. A
permisso herdada atribuda a um grupo ao qual voc pertence resultou em uma
permisso efetiva de Permitir: Redefinir senha. Suas permisses efetivas podem ser
complicadas quando voc considera permisses Permitir e Negar, ACEs explcitas
e herdadas e o fato de que voc pode pertencer a vrios grupos, cada um com
permisses diferentes.
As permisses, sejam elas atribudas sua conta de usurio ou a um grupo ao qual
voc pertence, so equivalentes. No final, uma ACE aplica-se a voc, o usurio. A
prtica recomendada gerenciar permisses atribuindo-as a grupos, mas tambm
possvel atribuir ACEs a usurios ou computadores individuais. Uma permisso
que foi atribuda diretamente a voc, o usurio, no nem mais nem menos
importante do que uma permisso atribuda a um grupo ao qual voc pertence.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao segura 8-23
Leitura adicional
A melhor maneira de gerenciar a delegao no Active Directory por meio do
controle de acesso baseado em funo. Embora esta abordagem no esteja
includa no exame de certificao, vale a pena conhec-la para fins de
implementao real de delegao. Consulte Windows Administration Resource
Kit: Productivity Solutions for IT Professionals, de Dan Holme (Microsoft Press,
2008), para obter mais informaes.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
8-24 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Como voc j sabe, as unidades organizacionais so contineres administrativos.
Elas contm objetos que compartilham requisitos semelhantes de administrao,
configurao e visibilidade. Agora voc conhece o primeiro desses requisitos:
administrao. Os objetos que sero administrados da mesma forma, pelos
mesmos administradores, devem estar contidos em uma nica unidade
organizacional. Ao colocar seus usurios em uma mesma unidade organizacional,
talvez chamada Contas de Usurio, voc poderia delegar ao suporte tcnico a
permisso de alterar as senhas de todos os usurios atribuindo uma permisso
para uma unidade organizacional. Quaisquer outras permisses que afetam o que
um administrador pode fazer em um objeto de usurio seriam atribudas UO
User Accounts. Por exemplo, voc pode permitir que os gerentes de Recursos
Humanos desabilitem contas de usurio quando um funcionrio se desligar da
empresa. Novamente, voc delegaria essa permisso para a UO User Accounts.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao segura 8-25
Leitura adicional
Consulte Windows Administration Resource Kit: Productivity Solutions for IT
Professionals, de Dan Holme (Microsoft Press, 2008), para obter mais detalhes
sobre o design de unidade organizacionais.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
8-26 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Cenrio
A equipe de segurana corporativa da Contoso pediu para voc bloquear as
permisses administrativas delegadas para a equipe de suporte.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao segura 8-27
Resultados: aps esse exerccio, voc ter delegado ao suporte tcnico permisso
para desbloquear contas de usurio, redefinir senhas e forar usurios a alterar a senha
no prximo logon por meio da associao do suporte tcnico no grupo AD_Contas de
Usurio_Suporte. Voc tambm delegou controle total dos objetos de usurio a
Administradores de Conta de Usurio por meio da associao no grupo AD_Contas de
Usurio_Controle Total e testou as duas delegaes para validar a funcionalidade.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
8-30 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
e pressione ENTER.
Resultados: aps esse exerccio, voc ter confirmado que as permisses atribudas no
exerccio anterior foram aplicadas com xito.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
8-32 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pergunta: O que acontece quando voc clica em Redefinir como padro? Que
permisses so mantidas?
Lio 2
Auditoria de administrao do Active Directory
Objetivos
Aps concluir esta lio, voc ser capaz de:
Configurar a diretiva de auditoria para habilitar a auditoria Alteraes no
servio de diretrio.
Especificar configuraes de auditoria em objetos do Active Directory.
Identificar entradas do log de eventos criadas pela auditoria de Acesso ao
diretrio e pela auditoria de Alteraes no servio de diretrio.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao segura 8-35
Pontos principais
Assim como a diretiva Auditoria de acesso a objetos permite registrar em log as
tentativas de acesso a objetos como arquivos e pastas, a diretiva Auditoria de
acesso ao servio de diretrio permite registrar em log as tentativas de acesso a
objetos do Active Directory. So aplicveis os mesmos princpios bsicos. Voc
configura a diretiva para auditar xito ou Falha. Em seguida, voc configura a
SACL do objeto do Active Directory para especificar os tipos de acesso que deseja
auditar.
Por exemplo, se voc deseja monitorar as alteraes feitas na associao de um
grupo de segurana sigiloso, como Administradores do domnio, pode habilitar a
diretiva Auditoria de acesso ao servio de diretrio para auditar eventos de xito.
Em seguida, abra a SACL do grupo Administradores do domnio e configure uma
entrada de auditoria para modificaes bem-sucedidas do atributo Membros do
grupo. Na verdade, no Windows Server 2008, a configurao padro auditar
eventos de xito de Acesso ao servio de diretrio e todas as alteraes feitas no
grupo Administradores de Domnio.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
8-36 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
No Windows Server 2003 e no Windows 2000 Server, voc podia auditar o acesso
ao servio de diretrio e era notificado de que um objeto ou sua propriedade
haviam sido alterados, mas no era possvel identificar os valores anteriores e
novos do atributo que foi alterado. Por exemplo, era possvel registrar em log um
evento que indicava que um determinado usurio alterou um atributo do
Administradores do domnio, mas voc no conseguia identificar facilmente qual
atributo foi alterado e no havia como determinar exatamente, com base no log de
auditoria, que alterao foi feita no atributo.
O Windows Server 2008 adiciona uma categoria de auditoria chamada Alteraes
no servio de diretrio. A diferena importante entre Alteraes no servio de
diretrio e Acesso ao servio de diretrio que, com a primeira, voc identifica os
valores anteriores e atuais de um atributo alterado.
Alteraes no servio de diretrio no fica habilitada por padro no Windows
Server 2008. Em vez disso, Acesso ao servio de diretrio fica habilitada para
copiar a funcionalidade de auditoria de verses anteriores do Windows. Para
habilitar a auditoria Alteraes no servio de diretrio bem-sucedidas, abra um
prompt de comando em um controlador de domnio e insira este comando:
Embora voc possa usar o comando anterior para habilitar a auditoria Alteraes
no servio de diretrio em um laboratrio e explorar os eventos gerados, no
implemente isso em um domnio antes de ler a documentao do TechNet,
comeando com o guia passo a passo disponvel em:
http://technet.microsoft.com/pt-br/library/cc731607(WS.10).aspx.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao segura 8-37
Pontos principais
Voc deve ainda modificar a SACL de objetos para especificar quais atributos
devem ser auditados.
Para acessar a SACL e suas entradas de auditoria:
1. Abra a caixa de dilogo Propriedades do objeto que voc deseja auditar.
2. Clique na guia Segurana.
3. Clique no boto Avanadas.
4. Clique na guia Auditoria.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
8-38 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Depois de voc ter habilitado a configurao de diretiva de auditoria desejada e
especificado o acesso para auditoria usando SACLs de objeto, o sistema comea a
registrar o acesso em log de acordo com as entradas de auditoria. possvel exibir
os eventos resultantes no Log de segurana do servidor. Abra o console do
Visualizador de Eventos no menu Ferramentas administrativas. Expanda logs do
Windows e selecione Log de segurana.
Quando a auditoria Alteraes no servio de diretrio est habilitada e entradas de
auditoria esto configuradas na SACL de objetos do servio de diretrio, so
registrados eventos no Log de segurana que indicam claramente o atributo que foi
alterado e a alterao feita. Na maioria dos casos, as entradas do log de eventos
mostraro o valor anterior e o atual do atributo modificado.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
8-40 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Cenrio
A equipe de segurana corporativa da Contoso pediu para voc fornecer relatrios
detalhados sobre alteraes feitas na associao de grupos de segurana sigilosos,
inclusive Administradores do domnio. Os relatrios devem mostrar a alterao
que foi feita, quem a fez e quando.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao segura 8-41
Resultados: aps esse exerccio, voc ter gerado e examinado entradas da auditoria
Acesso ao servio de diretrio.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao segura 8-43
Pergunta: Quais so as IDs de Evento do evento registrado no log quando voc fez
as alteraes? Qual a Categoria da Tarefa?
Resultados: aps esse exerccio, voc ter gerado entradas de auditoria Alteraes nos
Servios de diretrio.
Mdulo 9
Aperfeioamento da segurana da autenticao
em um domnio do AD DS (Servios de Domnio
Active Directory)
Sumrio:
Lio 1: Configurao de diretivas de senha e de bloqueio 9-4
Laboratrio A: Configurao de diretivas de bloqueio de contas e senhas 9-25
Lio 2:Auditoria de autenticao 9-31
Laboratrio B:Auditoria de autenticao 9-41
Lio 3: Configurao de controladores de domnio somente leitura 9-45
Laboratrio C: Configurao de controladores de domnio somente
leitura 9-66
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
9-2 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Quando um usurio faz logon em um domnio do Active Directory, ele insere seu
nome de usurio e senha, e o cliente usa essas credenciais para autenticar o usurio
e assim validar a identidade do usurio em relao conta do Active Directory. No
Mdulo 3, voc aprendeu a criar e gerenciar contas de usurio e suas propriedades,
incluindo as senhas. Neste mdulo, voc explorar os componentes de domnio da
autenticao, incluindo as diretivas que especificam os requisitos de senha e a
auditoria de atividades relacionadas autenticao. Voc tambm descobrir dois
recursos apresentados pelo Windows Server 2008 que podem aprimorar
significativamente a segurana de autenticao em um domnio do AD DS: objetos
de configurao de senha (mais conhecidos como diretiva refinada de senha) e
controladores de domnio somente leitura.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Aperfeioamento da segurana da autenticao em um domnio do AD DS (Servios de Domnio Active Directory) 9-3
Objetivos
Aps concluir este mdulo, voc ser capaz de:
Implementar a diretiva de senha e bloqueio de conta do seu domnio.
Configurar e atribuir diretivas de senha refinada.
Configurar a auditoria de atividade relacionada autenticao.
Diferenciar entre logon de conta e eventos de logon.
Identificar eventos relacionados autenticao no log de segurana.
Identificar os requisitos de negcios para RODCs.
Instalar um RODC.
Configurar a diretiva de replicao de senha.
Monitorar o cache de credenciais em um RODC.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
9-4 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Lio 1
Configurao de diretivas de senha e de
bloqueio
Como voc sabe, toda regra tem exceo e, provavelmente, suas diretivas de senha
tambm tm. Para aumentar a segurana do seu domnio, possvel inserir
requisitos de senha mais restritivos para contas atribudas a administradores,
contas usadas por servios como o Microsoft SQL Server ou para um utilitrio
de backup. Nas verses anteriores do Windows, isso no era possvel: uma nica
diretiva de senha era aplicada a todas as contas no domnio. Nessa lio, voc
aprender a configurar diretivas de senha refinada, um novo recurso do Windows
Server 2008 que permite atribuir diferentes diretivas de senha a usurios e grupos
em seu domnio.
Objetivos
Aps concluir esta lio, voc ser capaz de:
Implementar a diretiva de senha e bloqueio de conta do seu domnio.
Configurar e atribuir diretivas de senha refinada.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
9-6 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
A diretiva de senha do domnio configurada por um GPO com escopo no
domnio. No GPO, em Configurao do Computador > Diretivas > Configuraes
do Windows > Configuraes de Segurana > Diretivas de conta > n Diretiva de
senha, possvel definir as configuraes de diretiva que determinam os requisitos
de senha. O n Diretiva de senha mostrado na captura de tela a seguir.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Aperfeioamento da segurana da autenticao em um domnio do AD DS (Servios de Domnio Active Directory) 9-7
Pontos principais
Um intruso pode obter acesso aos recursos do seu domnio determinando um
nome de usurio e senha vlidos. Os nomes de usurio costumam ser fceis de
identificar, visto que a maioria das organizaes cria nomes de usurio a partir de
endereos de email, iniciais, combinaes de nome e sobrenome ou IDs de um
funcionrio. Aps conhecer o nome de usurio, o intruso precisa determinar a
senha correta. Isso pode ser feito por adivinhao ou por repetidas tentativas de
logon com combinaes de caracteres ou palavras at se obter xito.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
9-10 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Esse tipo de ataque, denominado fora bruta, pode ser impedido limitando-se o
nmero de logons incorretos permitidos. exatamente isso o que a diretiva de
bloqueio de conta assegura. As diretivas de bloqueio de conta esto localizadas no
n do GPO, diretamente abaixo da Diretiva de senha. O n Diretiva de bloqueio de
conta mostrado na captura de tela a seguir.
Pontos principais
O Active Directory oferece suporte a um conjunto de diretivas de senha e de
bloqueio de um domnio. Essas diretivas so configuradas em um GPO com
escopo no domnio. Um novo domnio contm um GPO denominado Diretiva de
domnio padro, que vinculado ao domnio e inclui as configuraes de diretiva
padro para diretivas de senha, de bloqueio de senha e do Kerberos. possvel
alterar as configuraes editando a Diretiva de domnio padro.
A prtica recomendada editar o GPO de Diretiva de domnio padro para
especificar as configuraes de diretiva de senha da sua organizao. Voc tambm
deve usar o GPO de Diretiva de domnio padro para especificar diretivas de
bloqueio de conta e diretivas do Kerberos. No use o GPO de Diretiva de domnio
padro para implantar qualquer outra configurao de diretiva personalizada. Em
outras palavras, o GPO de Diretiva de domnio padro define as diretivas de senha,
de bloqueio de conta e do Kerberos para o domnio e nada mais. Alm disso, no
defina diretivas de senha, de bloqueio de conta ou do Kerberos para o domnio em
qualquer outro GPO.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
9-12 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Leitura adicional
Guia de Segurana do Windows Server 2003 Captulo 3: A diretiva de
domnio: http://technet.microsoft.com/pt-br/library/cc163113.aspx
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Aperfeioamento da segurana da autenticao em um domnio do AD DS (Servios de Domnio Active Directory) 9-13
Cenrio
Configure as diretivas de conta de domnio para atender aos seguintes requisitos
de senha:
Mnimo de 8 caracteres.
Atender aos requisitos de complexidade padro do Windows.
Os usurios devem alterar suas senhas a cada 90 dias.
Os usurios no podem alterar as prprias senhas mais de uma vez por
semana.
Um usurio no pode reutilizar uma senha no perodo de um ano.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
9-14 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Etapas da demonstrao
1. No console Gerenciamento de Diretiva de Grupo, executado com as
credenciais administrativas, na rvore de console, expanda
Forest:contoso.com, Domnios e contoso.com.
2. Clique com o boto direito do mouse na Diretiva de domnio padro, abaixo
do domnio contoso.com, e clique em Editar.
3. Na rvore de console Editor de Gerenciamento da Diretiva de Grupo, expanda
Configurao do Computador, Diretivas, Configuraes do Windows,
Configuraes de Segurana, Diretivas de conta e clique em Diretiva de
senha.
4. Clique duas vezes nas seguintes configuraes de diretiva, no painel de
detalhes do console, e defina as configuraes como indicado:
Aplicar histrico de senhas: 53 senhas memorizadas
Tempo de vida mximo da senha: 90 dias
Tempo de vida mnimo da senha: 7 dias
Comprimento mnimo da senha: 8 caracteres
A senha deve satisfazer a requisitos de complexidade: Habilitado
5. Feche a janela Editor de Gerenciamento da Diretiva de Grupo.
6. Feche a janela Gerenciamento de Diretiva de Grupo.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Aperfeioamento da segurana da autenticao em um domnio do AD DS (Servios de Domnio Active Directory) 9-15
Pontos principais
possvel substituir as diretivas de senha e bloqueio de domnio usando um novo
recurso do Windows Server 2008 denominado diretivas de senha e de bloqueio
refinadas, muitas vezes abreviada simplesmente como diretiva refinada de senha. A
diretiva refinada de senha permite que voc configure uma diretiva que se aplique
a um ou mais grupos ou usurios em seu domnio.
A diretiva refinada de senha uma adio ao Active Directory h muito tempo
esperada. H vrios cenrios em que a diretiva refinada de senha pode ser usada
para aumentar a segurana do seu domnio. As contas usadas por administradores
so privilgios delegados para modificar objetos no Active Directory; portanto, se
um intruso comprometer uma conta de administrador, mais danos podero
ocorrer no domnio do que ocorreriam se uma conta de um usurio padro fosse
comprometida. Por esse motivo, voc deve pensar em implementar requisitos de
senha mais restritos para contas administrativas. Por exemplo, voc pode exigir um
comprimento de senha maior e alteraes de senha mais frequentes.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
9-16 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Leitura adicional
AD DS: Diretivas de senha refinadas:
http://technet.microsoft.com/pt-br/library/cc770394(WS.10).aspx
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Aperfeioamento da segurana da autenticao em um domnio do AD DS (Servios de Domnio Active Directory) 9-17
Pontos principais
As configuraes gerenciadas pela diretiva refinada de senha so idnticas quelas
dos ns Diretiva de senha e Diretiva de contas de um GPO. No entanto, as diretivas
de senha refinadas no so implementadas como parte da Diretiva de Grupo nem
so aplicadas como parte do GPO. Em vez disso, h uma classe de objeto separada
no Active Directory que mantm as configuraes para diretivas refinadas de
senha: o PSO.
A maioria dos objetos do Active Directory pode ser gerenciada com ferramentas de
GUI (Interface Grfica do Usurio) amigveis, como o snap-in de Usurios e
Computadores do Active Directory. No entanto, possvel gerenciar PSOs com
ferramentas de nvel inferior, incluindo o ADSIEdit (Editor de Interface de Servio
do Active Directory).
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
9-18 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
possvel criar um ou mais PSOs em seu domnio. Cada PSO contm um conjunto
completo de configuraes de diretivas de senha e de bloqueio. Um PSO aplicado
vinculando-se o PSO a um ou mais usurios ou grupos de segurana global. Por
exemplo, para configurar uma diretiva de senha restrita para contas
administrativas, crie um grupo de segurana global, adicione as contas de usurio
de servio como membros e vincule um PSO ao grupo. Aplicar diretivas de senha
refinadas a um grupo dessa maneira mais gerencivel do que aplicar as diretivas a
cada conta de usurio individual. Se voc criar uma nova conta de servio, basta
adicion-la ao grupo e a conta passar a ser gerenciada pelo PSO.
Para usar uma diretiva refinada de senha, seu domnio deve estar no nvel
funcional do domnio do Windows Server 2008, o que significa que todos os seus
controladores de domnio executam o Windows Server 2008 no domnio e o nvel
funcional do domnio foi elevado ao do Windows Server 2008.
Para confirmar e modificar o nvel funcional do domnio:
1. Abra Domnios e relaes de confiana do Active Directory.
2. Na rvore de console, expanda Domnios e relaes de confiana do Active
Directory e expanda a rvore at que voc possa ver o domnio.
3. Clique com o boto direito do mouse no domnio e, em seguida, clique em
Aumentar nvel funcional do domnio.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Aperfeioamento da segurana da autenticao em um domnio do AD DS (Servios de Domnio Active Directory) 9-19
Etapas da demonstrao
1. Execute Usurios e Computadores do Active Directory com credenciais
administrativas e verifique se o Nvel funcional do domnio atual Windows
Server 2008.
2. Execute o ADSI Editar, com credenciais administrativas, nome de usurio
Pat.Coleman_Admin e senha Pa$$w0rd.
3. Clique com o boto direito do mouse em ADSI Editar e clique em Conectar a.
4. Aceite todos os padres. Clique em OK.
5. Na rvore de console, clique em Contexto de Nomenclatura Padro.
6. Na rvore de console, expanda Contexto de Nomenclatura Padro e clique
em DC=contoso,DC=com e CN=Sistema.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
9-20 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Leitura adicional
Guia passo a passo para configurao da diretiva de senha e de bloqueio de conta
refinada: http://technet.microsoft.com/pt-br/library/cc770842(WS.10).aspx
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Aperfeioamento da segurana da autenticao em um domnio do AD DS (Servios de Domnio Active Directory) 9-23
Pontos principais
Um PSO pode ser vinculado a mais de um grupo ou usurio, um grupo ou usurio
individual pode ter mais de um PSO vinculado a ele e um usurio pode pertencer a
vrios grupos. Assim, quais configuraes de diretiva de senha e de bloqueio
refinada se aplicam a um usurio? Somente um PSO determina as configuraes de
senha e de bloqueio para um usurio esse PSO denominado PSO resultante.
Cada PSO tem um atributo que determina a precedncia de PSOs. O valor da
precedncia qualquer nmero maior do que 0, em que o nmero 1 indica a maior
precedncia. Se vrios PSOs so aplicveis a um usurio, o PSO com maior
precedncia entrar em vigor. As regras que determinam a precedncia so as
seguintes:
Se vrios PSOs forem aplicveis a grupos aos quais o usurio pertence, o PSO
com maior precedncia vence.
Se um ou mais PSOs estiverem vinculados diretamente a um usurio, os PSOs
vinculados a grupos sero ignorados, seja qual for sua precedncia. O PSO
vinculado ao usurio com maior precedncia vence.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
9-24 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Cenrio
A equipe de segurana da Contoso solicitou que voc aumentasse a segurana e
monitoria das autenticaes relacionadas ao domnio do AD DS da empresa.
Especificamente, voc deve impor uma diretiva de senha especificada para todas as
contas de usurio e uma diretiva de senha mais rigorosa para contas
administrativas de segurana sigilosas.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
9-26 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Resultados: aps esse exerccio, voc ter definido novas configuraes para as
diretivas de conta de domnio.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Aperfeioamento da segurana da autenticao em um domnio do AD DS (Servios de Domnio Active Directory) 9-27
12. Clique em Avanar. Em seguida, ser solicitado que voc fornea o valor para
cada atributo de um PSO. Os atributos so similares aos encontrados nas
diretivas de conta de domnio.
13. Configure cada atributo conforme indicado abaixo. Clique em Avanar aps
cada atributo.
Common-Name: PSO Meu admin do domnio. Este o nome amigvel do
PSO.
msDS-PasswordSettingsPrecedence: 1. Esse PSO tem a maior precedncia
possvel.
msDS-PasswordReversibleEncryptionEnabled: Falso. A senha no
armazenada usando criptografia reversvel.
msDS-PasswordHistoryLength: 30. O usurio no pode reutilizar qualquer
uma das ltimas 30 senhas.
msDS-PasswordComplexityEnabled: Verdadeiro. As regras de complexidade
de senha so impostas.
msDS-MinimumPasswordLength: 15. As senhas devem ter 15 caracteres, no
mnimo.
msDS-MinimumPasswordAge: 1:00:00:00. O usurio s pode alterar sua
senha um dia aps uma alterao anterior. O formato d:hh:mm:ss (dias,
horas, minutos, segundos).
msDS-MaximumPasswordAge: 45:00:00:00. A senha deve ser alterada a
cada 45 dias.
msDS-LockoutThreshold: 5. Cinco logons invlidos no intervalo de tempo
especificado por XXX (o prximo atributo) resultar no bloqueio de conta.
msDS-LockoutObservationWindow: 0:01:00:00. Cinco logons invlidos
(especificados pelo atributo anterior) em uma hora resultar no bloqueio
de conta.
msDS-LockoutDuration: 1:00:00:00. Uma conta, se bloqueada,
permanecer bloqueada por um dia ou at que seja desbloqueada
manualmente. Um valor igual a zero resultar na permanncia do
bloqueio da conta at que um administrador a desbloqueie.
14. Clique em Concluir.
15. Feche o ADSI Editar.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Aperfeioamento da segurana da autenticao em um domnio do AD DS (Servios de Domnio Active Directory) 9-29
Resultados: aps esse exerccio, voc deve ter criado um PSO, aplicado o PSO ao
Administrador do domnio, confirmado sua aplicao e excludo o PSO.
Pergunta: Como voc pode definir uma diretiva de senha exclusiva para todas as
contas de servio na UO Service Accounts?
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Aperfeioamento da segurana da autenticao em um domnio do AD DS (Servios de Domnio Active Directory) 9-31
Lio 2
Auditoria de autenticao
O Windows Server 2008 tambm permite que voc faa auditoria na atividade de
logon dos usurios em um domnio. Ao fazer a auditoria de logons bem-sucedidos,
voc pode procurar pelas instncias em que uma conta est sendo usada em
momentos incomuns ou locais inesperados, o que pode indicar que um intruso
est fazendo logon na conta. As auditorias de logons sem xito podem revelar
tentativas de intrusos de comprometer uma conta. Nessa lio, voc aprender a
configurar a auditoria de autenticao de logon.
Objetivos
Aps concluir esta lio, voc ser capaz de:
Configurar a auditoria de atividade relacionada autenticao.
Diferenciar entre logon de conta e eventos de logon.
Identificar eventos relacionados autenticao no log de segurana.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
9-32 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Essa lio examina duas configuraes de diretiva especficas: Auditoria de eventos
de logon de conta e Auditoria de eventos de logon. importante que voc
compreenda a diferena entre essas duas configuraes de diretiva de nomes
semelhantes.
Quando um usurio faz logon em qualquer computador no domnio usando uma
conta de usurio de domnio, um controlador de domnio autentica a tentativa de
logon na conta do domnio. Isso gera um evento de logon de conta no controlador
de domnio.
O computador no qual o usurio fez logon por exemplo, o laptop do usurio
gera um evento de logon. O computador no autentica o usurio em relao a sua
conta ele passa a conta para um controlador de domnio para validao. O
computador, no entanto, permite que o usurio faa logon interativamente no
computador. Assim, o evento um evento de logon.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Aperfeioamento da segurana da autenticao em um domnio do AD DS (Servios de Domnio Active Directory) 9-33
Pontos principais
O logon de conta e os eventos de logon podem ser auditados pelo Windows Server
2008. Essas configuraes que gerenciam a auditoria esto localizadas em um GPO
em Configurao do computador > Diretivas > Configuraes do Windows >
Configuraes de segurana > Diretivas Locais > n Diretiva de auditoria. O n
Diretiva de auditoria e as duas configuraes so mostrados na captura de tela a
seguir.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Aperfeioamento da segurana da autenticao em um domnio do AD DS (Servios de Domnio Active Directory) 9-35
Para configurar uma diretiva de auditoria, clique duas vezes na diretiva e sua caixa
de dilogo de propriedades ser exibida. A caixa de dilogo Propriedades de
auditoria de eventos de logon de conta mostrada na captura de tela a seguir.
A configurao de diretiva pode ser definida como um dos quatro estados a seguir:
No Definida: Se a caixa de seleo Definir estas configuraes de diretiva
estiver desmarcada, as configuraes de diretiva no sero definidas. Nesse
caso, o servidor auditar o evento com base nas configuraes padro ou nas
configuraes especificadas em outro GPO.
Definidas como sem auditoria: Se a caixa de seleo Definir estas
configuraes de diretiva estiver marcada, mas as caixas de seleo xito e
Falha estiverem desmarcadas, o servidor no auditar o evento.
Auditoria de eventos bem-sucedidos: Se a caixa de seleo Definir estas
configuraes de diretiva e xito estiverem marcadas, o servidor registrar
eventos bem-sucedidos em seu log de segurana.
Auditoria de eventos malsucedidos: Se as caixas de seleo Definir estas
configuraes de diretiva e Falha estiverem marcadas, o servidor registrar
eventos malsucedidos em seu log de segurana.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
9-36 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Como acontece com todas as configuraes de auditoria, preciso ser cuidadoso
com o escopo das configuraes para que elas afetem os sistemas corretos. Por
exemplo, se voc deseja auditar as tentativas de conexo dos usurios com
servidores de rea de trabalho remota em sua empresa, possvel configurar
auditorias de evento de logon em um GPO vinculado UO que contenha seus
servidores de rea de trabalho remota. Por outro lado, se voc deseja auditar os
logons de usurios s reas de trabalho em seu departamento de recursos
humanos, possvel configurar auditorias de evento de logon em um GPO
vinculado UO contendo objetos de computador do departamento de recursos
humanos. Lembre-se de que os logons de usurio do domnio em um computador
cliente ou a conexo com um servidor gerar um evento de logon no um evento
de logon de conta nesse sistema.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
9-38 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Eventos de logon de conta e eventos de logon, se auditados, aparecem no log de
segurana do sistema que gerou o evento. Um exemplo mostrado na captura de
tela a seguir.
Cenrio
A equipe de segurana da Contoso solicitou que voc aumentasse a segurana e
monitoria das autenticaes relacionadas ao domnio do AD DS da empresa.
Especificamente, voc deve criar uma trilha de auditoria de logons.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
9-42 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Resultados: aps esse exerccio, voc ter estabelecido e revisto a auditoria para
logons bem-sucedidos e malsucedidos no domnio e em servidores na UO Important
Project.
Lio 3
Configurao de controladores de domnio
somente leitura
Objetivos
Aps concluir esta lio, voc ser capaz de:
Identificar os requisitos de negcios para RODCs.
Instalar um RODC.
Configurar a diretiva de replicao de senha.
Monitorar o cache de credenciais em um RODC.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Aperfeioamento da segurana da autenticao em um domnio do AD DS (Servios de Domnio Active Directory) 9-47
Pontos principais
Considere um cenrio em que uma empresa caracterizada por um site do hub e
vrias filiais. As filiais se conectam ao site do hub atravs de links de WAN que
podem ser congestionados, caros, lentos ou no confiveis. Os usurios da filial
devem ser autenticados pelo Active Directory para acessarem recursos no domnio.
Um controlador de domnio deve ser inserido na filial?
Em filiais, muitos servios de TI so centralizados no site do hub, que
cuidadosamente mantido pela equipe de TI. Em organizaes maiores, o site do
hub pode incluir um datacenter robusto. No entanto, as filiais muitas vezes so
locais menores em que no existem um datacenter. Na verdade, muitas filiais no
tm qualquer presena de TI significativa, alm de um punhado de servidores.
Pode no haver uma instalao fisicamente segura para abrigar servidores de filiais.
Pode haver uma pequena equipe de TI local, se houver, para oferecer suporte aos
servidores.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
9-48 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Estas questes segurana, integridade de servio de diretrio e administrao
deixavam muitas empresas com uma escolha difcil a ser feita, sem uma prtica
recomendada como resposta. O Windows Server 2008 apresenta o RODC, que foi
desenvolvido especificamente para atender ao cenrio das filiais. O RODC um
controlador de domnio, geralmente inserido na filial, que mantm uma cpia de
todos os objetos no domnio e de todos os atributos, com exceo de informaes
secretas como propriedades relacionadas senha. Quando um usurio faz logon
na filial, o RODC recebe a solicitao e a encaminha para um controlador de
domnio no site do hub para autenticao.
Voc pode especificar uma PRP (Diretiva de replicao de senha) para o RODC
que especifica as contas de usurio que o RODC pode armazenar em cache. Se o
logon do usurio estiver includo na PRP, o RODC armazenar em cache essas
credenciais de usurio para que, na prxima vez em que a autenticao for
solicitada, o RODC possa realizar a tarefa no local. Como usurios que esto
includos no logon da PRP, o RODC cria o cache de suas credenciais para que
possa realizar a autenticao no local para estes usurios.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
9-50 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Implantao de um RODC
Pontos principais
As etapas de nvel superior para implantar um RODC so:
1. Garantir que o nvel funcional da floresta seja o do Windows Server 2003 ou
superior.
2. Se a floresta tiver qualquer controlador de domnio executando o Windows
Server 2003, executar adprep /rodcprep.
3. Garantir que haja pelo menos um controlador de domnio gravvel
executando o Windows Server 2008.
4. Instalar o RODC.
Leitura adicional
Para obter mais detalhes sobre outras opes para instalao de um RODC,
incluindo instalao delegada, consulte http://technet.microsoft.com/pt-br
/library/cc772234(WS.10).aspx
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
9-56 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Abra as propriedades de BRANCHDC01-A na UO Domain Controllers. Clique na
guia Diretiva de replicao de senha.
A PRP (Diretiva de Replicao de Senha) determina qual credencial de usurio
pode ser armazenada em cache em um RODC especfico. Se uma PRP permitir que
um RODC armazene em cache uma credencial de usurio, as atividades de
autenticao e tquete de servio desse usurio podero ser processadas pelo
RODC. Se uma credencial de usurio no puder ser armazenada em cache no
RODC, as atividades de autenticao e tquete de servio sero indicadas pelo
RODC a um controlador de domnio gravvel.
Uma PRP do RODC determinada por dois atributos de mltiplos valores da
conta do computador do RODC. Esses atributos so normalmente conhecidos
como Lista permitida e Lista negada. Se uma conta do usurio estiver na Lista
permitida, as credenciais do usurio sero armazenadas em cache. possvel
incluir grupos na Lista permitida, em que todos os usurio pertencentes ao grupo
podem ter suas credenciais armazenadas em cache no RODC. Se o usurio estiver
na Lista permitida e na Lista negada, as credenciais do usurio no sero
armazenadas em cache a Lista negada tem prioridade.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Aperfeioamento da segurana da autenticao em um domnio do AD DS (Servios de Domnio Active Directory) 9-57
Etapas da demonstrao
1. Execute Usurios e Computadores do Active Directory com credenciais
administrativas. Use a conta Pat.Coleman_Admin com a senha Pa$$w0rd.
2. Na UO Domain Controllers, abra as propriedades de BRANCHDC01.
3. Clique na guia Diretiva de replicao de senha e exiba a diretiva padro.
4. Feche as propriedades de BRANCHDC01.
5. Na rvore de console Usurios e Computadores do Active Directory, clique
no continer Usurios.
6. Clique duas vezes no Grupo de replicao de senha de RODC permitida. V
para a guia Membros e examine a associao padro do Grupo de replicao
de senha de RODC permitida.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Aperfeioamento da segurana da autenticao em um domnio do AD DS (Servios de Domnio Active Directory) 9-59
7. Clique em OK.
8. Clique duas vezes no Grupo de replicao de senha de RODC negada e v
para a guia Membros.
9. Clique em Cancelar para fechar as propriedades do Grupo de replicao de
senha de RODC negada.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
9-60 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Pontos principais
Para essa demonstrao, use a mquina virtual BRANCHDC01 e abra Uso da
Diretiva.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Aperfeioamento da segurana da autenticao em um domnio do AD DS (Servios de Domnio Active Directory) 9-61
A lista suspensa na parte superior da guia Uso da Diretiva permite que voc
selecione um dos dois relatrios para o RODC:
Contas com senhas armazenadas neste controlador de domnio somente
leitura: exibe a lista de credenciais de usurio e computador que esto
armazenadas em cache no momento no RODC. Use essa lista para determinar
se h credenciais sendo armazenadas em cache que voc no deseja armazenar
em cache no RODC e modifique a PRP de acordo.
Contas que foram autenticadas para esse controlador de domnio somente
leitura: exibe a lista de credenciais de usurio e computador que foram
indicadas por um controlador de domnio gravvel para processamento de
autenticao ou tquete de servio. Use essa lista para identificar usurios ou
computadores que esto tentando autenticao com o RODC. Se nenhuma
dessas contas estiver sendo armazenada em cache, considere adicion-las
PRP.
Na mesma caixa de dilogo, a guia Diretiva resultante permite que voc avalie a
diretiva de cache efetiva para um usurio ou computador individual. Clique no
boto Adicionar para selecionar uma conta de usurio ou computador para
avaliao.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
9-62 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Etapas da demonstrao
1. Em HQDC01, na rvore de console Usurios e Computadores do Active
Directory, clique na UO Domain Controllers e abra as propriedades de
BRANCHDC01.
2. Clique na guia Diretiva de replicao de senha.
3. Clique no boto Avanadas.
A caixa de dilogo Diretiva de replicao de senha avanada para
BRANCHDC01 ser exibida.
A guia Uso da Diretiva exibe contas com senhas armazenadas nesse RODC.
4. Da lista suspensa, selecione Contas com senhas armazenadas neste
controlador de domnio somente leitura.
5. Da lista suspensa, selecione Contas que foram autenticadas para esse
controlador de domnio somente leitura.
6. Clique na guia Diretiva resultante e no boto Adicionar.
A caixa de dilogo Selecionar usurios ou computadores ser exibida.
7. Digite Chris.Gallagher e pressione ENTER.
8. Clique na guia Uso da Diretiva.
9. Clique no boto Pr-popular Senhas.
A caixa de dilogo Selecionar usurios ou computadores ser exibida.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Aperfeioamento da segurana da autenticao em um domnio do AD DS (Servios de Domnio Active Directory) 9-63
Pontos principais
Os RODCs nas filiais podem exigir manuteno, como um driver de dispositivo
atualizado. Alm disso, pequenas filiais podem combinar o RODC acumulado com
a funo de servidor de arquivos em um nico sistema; nesse caso, seria
importante possibilitar o backup do sistema. Os RODCs oferecem suporte para
administrao local por meio de um recurso denominado separao de funo
administrativa. Cada RODC mantm um banco de dados de grupos local para fins
administrativos especficos. possvel adicionar uma conta de usurio de domnio
a essas funes locais para permitir suporte para um RODC especfico.
Voc pode configurar a separao de funo administrativa usando o comando
dsmgmt.exe. Para adicionar um usurio funo Administradores em um RODC,
siga essas etapas:
1. Abra um prompt de comando no RODC.
2. Digite dsmgmt e pressione ENTER.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Aperfeioamento da segurana da autenticao em um domnio do AD DS (Servios de Domnio Active Directory) 9-65
possvel repetir esse processo para adicionar outros usurios s funes locais
variadas no RODC.
Leitura adicional
Os RODCs so novos e valiosos recursos para aprimorar a autenticao e a
segurana nas filiais. Leia a documentao detalhada no site da Microsoft em:
http://technet.microsoft.com/pt-br/library/cc772234(WS.10).aspx
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
9-66 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Cenrio
A equipe de segurana da Contoso solicitou que voc aumentasse a segurana e
monitoria das autenticaes relacionadas ao domnio do AD DS da empresa.
Especificamente, voc deve aprimorar a segurana dos controladores de domnio
nas filiais.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Aperfeioamento da segurana da autenticao em um domnio do AD DS (Servios de Domnio Active Directory) 9-67
Resultados: aps esse exerccio, voc ter um novo RODC denominado BRANCHDC01
no domnio contoso.com.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
9-70 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Resultados: aps esse exerccio, voc identificar as contas que foram armazenadas
em cache no BRANCHDC01 ou que foram encaminhadas para outro controlador de
domnio para autenticao. Voc tambm ter pr-populado as credenciais em cache
para Christa Geller.
Pergunta: Por que voc deve garantir que a PRP para um RODC de filial tenha, em
sua Lista de permisses, as contas para computadores na filial, bem como para
usurios?