Você está na página 1de 265

“Formação MCSA –

Windows Server 2016”


70-742 Identidade com Windows
Server 2016

Itaipu
Foz do Iguaçu

1
Sumário
Capítulo 1 Instalação e configuração do Active Directory Domain Services.................... 5
Objetivo 1.1: Instalar e configurar controladores de domínio ......................................... 6
Fundamentos do AD DS .................................................................................................. 6
Instale uma nova floresta ............................................................................................... 8
Adicione ou remova um controlador de domínio .......................................................... 11
Instale AD DS em uma instalação Server Core .............................................................. 17
Instale um controlador de domínio usando Install from Media ................................... 18
Instale e configure um controlador de domínio somente leitura ................................ 20
Configure um servidor de catálogo global.................................................................... 23
Configure a clonagem de controlador de domínio ...................................................... 26
Migre controladores de domínio ................................................................................. 30
Transfira e execute seize de funções de mestre de operações ................................... 32
Solucione problemas de gravação de registros SRV no DNS........................................ 37
Objetivo 1.2: Criar e gerenciar usuários e computadores do Active Directory
..................................................................................................................................... 38
Crie, copie, configure e exclua usuários e computadores ........................................... 39

Implemente ingresso no domínio offline ..................................................................... 50


Configure direitos de usuário ....................................................................................... 51
Execute operações de Active Directory em massa ....................................................... 53
Objetivo 1.3: Criar e gerenciar grupos e unidades organizacionais do Active
Directory........................................................................................................................ 54
Crie e gerencie grupos .................................................................................................. 56
Crie e gerencie OUs ...................................................................................................... 61
Delegue o gerenciamento do Active Directory usando grupos e OUs ......................... 63
Capítulo 2 Gerenciamento e manutenção de AD DS..................................................... 67
Objetivo 2.1: Configurar autenticação de serviço e políticas de conta ......................... 68
Crie e configure MSAs e gMSAs ..................................................................................... 68
Gerencie SPNs ............................................................................................................... 70
Configure delegação restrita de Kerberos ..................................................................... 71

2
Configure contas virtuais............................................................................................... 72
Configure políticas de conta ......................................................................................... 73
Configure e aplique PSOs ............................................................................................. 77
Delegue o gerenciamento de configurações de senha ................................................ 81
Objetivo 2.2: Manter o Active Directory ...................................................................... 82
Gerencie offline o Active Directory .............................................................................. 82
Faça backup e recupere o Active Directory .................................................................. 87

Gerencie controladores de domínio somente leitura .................................................. 93


Gerencie a replicação do AD DS................................................................................... 96
Objetivo 2.3: Configurar o Active Directory em um ambiente corporativo complexo
.................................................................................................................................... 101
Configure uma infraestrutura de AD DS com vários domínios e várias florestas
.................................................................................................................................... 102
Implante controladores de domínio Windows Server 2016 dentro de um ambiente de
AD DS já existente ........................................................................................................103
Migre domínios e florestas existentes ......................................................................... 103
Configure níveis funcionais de domínio e floresta ...................................................... 103
Configure vários sufixos de nome principal do usuário ............................................... 104
Configure relações de confiança .................................................................................. 106
Configure sites e sub-redes no AD DS .......................................................................... 114
Capítulo 3 Criação e gerenciamento de Group Policy................................................... 123
Objetivo 3.1: Criar e gerenciar Group Policy Objects .................................................. 124
Configure várias políticas de grupo locais ................................................................... 124
Visão geral das GPOs baseadas em domínio ............................................................... 128
Gerencie GPOs de início ............................................................................................... 133
Configure vínculos de GPO .......................................................................................... 135
Faça backup, restaure, importe e copie GPOs ............................................................. 137
Crie e configure uma tabela de migração .................................................................... 140
Redefina GPOs padrão................................................................................................ 143
Delegue o gerenciamento de Group Policy ................................................................ 144

3
Detecte problemas de integridade usando o painel Group Policy Infrastructure Status
.................................................................................................................................. 147
Objetivo 3.2: Configurar processamento de Group Policy ...................................... 147
Configure herança ................................................................................................... 150
Configure filtragem de segurança e filtragem de WMI ........................................... 153
Configure processamento de loopback ................................................................... 158
Configure e gerencie processamento de Group Policy em link lento e uso de cache
................................................................................................................................. 160
Configure o comportamento de extensão do lado do cliente ................................. 162
Imponha uma atualização de Group Policy ............................................................. 163
Objetivo 3.3: Configurar ajustes de Group Policy .................................................... 164
Configure a instalação de software .......................................................................... 164
Configure scripts ....................................................................................................... 170
Importe modelos de segurança ................................................................................ 171
Configure redirecionamento de pasta ...................................................................... 173
Configure modelos administrativos .......................................................................... 180
Objetivo 3.4: Configurar Preferências em Group Policy ........................................... 183
Configure Preferências em Group Policy .................................................................. 183
Configure direcionamento de nível de item...............................................................192
Capítulo 4 Implementação de Active Directory Certificate Services......................... 194
Objetivo 4.1: Instalar e configurar AD CS ................................................................. 195
Escolha entre uma CA autônoma e uma corporativa ............................................... 196
Instale CAs autônomas ............................................................................................. 197
Instale uma CA corporativa integrada ao AD DS....................................................... 201
Instale CAs raiz e subordinadas offline ..................................................................... 202
Instale e configure um respondente online .............................................................. 213
Implemente separação de função administrativa .................................................... 215
Configure backup e recuperação de CA ................................................................... 217
Objetivo 4.2: Gerenciar certificados ........................................................................ 219
Gerencie modelos de certificado ............................................................................. 219

4
Implemente e gerencie implantação, validação e revogação de certificados
.................................................................................................................................... 225
Configure e gerencie arquivamento e recuperação de chaves ................................. 228
Capítulo 5 Implementação de Identity Federation e soluções de acesso ..................232
Objetivo 5.1: Instalar e configurar AD FS ................................................................... 233
Examine os requisitos do AD FS ................................................................................. 233
Instale a função de servidor AD FS ............................................................................ 236

Configure a função de servidor AD FS ....................................................................... 236


Implemente autenticação baseada em declarações, incluindo relações de confiança da
terceira parte confiável ............................................................................................. 238
Configure políticas de autenticação .......................................................................... 242
Implemente e configure registro de dispositivo ........................................................ 245
Configure para uso com Microsoft Azure e Microsoft Office 365............................. 246
Configure o AD FS para permitir autenticação de usuários armazenados em diretórios
LDAP .......................................................................................................................... 247
Atualize e migre cargas de trabalho de AD FS anteriores para o Windows Server 2016
.................................................................................................................................... 248
Objetivo 5.2: Implementar Web Application Proxy ................................................... 249
Instale e configure Web Application Proxy................................................................. 249
Integre Web Application Proxy com AD FS ................................................................ 250
Implemente Web Application Proxy no modo pass-through .................................... 253
Publique aplicativos Remote Desktop Gateway ........................................................ 254
Objetivo 5.3: Instalar e configurar AD RMS ............................................................... 255
Visão geral do AD RMS .............................................................................................. 255
Implante um servidor de AD RMS ............................................................................. 257
Gerencie modelos de política de direitos .................................................................. 261
Configure políticas de exclusão ................................................................................. 263
Faça backup e restaure AD RMS ................................................................................ 264

5
70-742 Identidade com Windows
Server 2016

Capítulo 1:
Instalação e configuração do
Active Directory Domain Services

6
Objetivo 1.1: Instalar e configurar controladores de domínio
Fundamentos do AD DS
O AD DS é composto de componentes lógicos e físicos. Um componente físico é algo
tangível, como um controlador de domínio, enquanto uma floresta de AD DS é um
componente lógico, intangível. O AD DS consiste nos seguintes componentes lógicos:

• Floresta É um conjunto de domínios do AD DS que compartilham um mesmo


esquema e são ligados por relações de confiança recíprocas criadas
automaticamente. A maioria das organizações implementa o AD DS com apenas
uma floresta. Motivos para usar várias florestas incluem a necessidade de:
• Fornecer total separação administrativa entre partes diferentes de sua
organização.
• Suportar diferentes tipos de objetos e atributos no esquema do AD DS, em
diferentes partes de sua organização.
• Domínio É uma unidade administrativa lógica que contém usuários, grupos,
computadores e outros objetos. Vários domínios podem fazer parte de uma ou
de várias florestas, dependendo das necessidades organizacionais. Relações pai-
filho e de confiança definem a estrutura do domínio.
• Árvore É um conjunto de domínios do AD DS que compartilham um domínio raiz
comum e têm namespace contíguo. Por exemplo, sales.adatum.com e
marketing. adatum.com compartilham uma raiz comum adatum.com, e também
um namespace contíguo, adatum.com. É possível construir sua floresta do AD DS
usando uma ou várias árvores. Razões para usar várias árvores incluem o
requisito de suportar vários namespaces lógicos dentro de sua organização,
talvez por causa de fusões ou aquisições.
• Esquema O esquema do AD DS é o conjunto de tipos de objetos e suas
propriedades, também conhecidas como atributos, que definem os tipos de
objetos que podem ser criados, armazenados e gerenciados dentro da floresta
do AD DS. Por exemplo, um usuário é um tipo de objeto lógico, tendo várias
propriedades, incluindo um nome completo, um departamento e uma senha. A
relação entre objetos e seus atributos é mantida no esquema, sendo que todos
os controladores de domínio de uma floresta contêm uma cópia do esquema.
• OU É um contêiner dentro de um domínio que contém usuários, grupos,
computadores e outras OUs. Elas são usadas para oferecer simplificação
administrativa. Com OUs, você pode facilmente delegar direitos administrativos
para uma coleção de objetos, agrupando-os em uma OU e atribuindo o direito
nessa OU. Também é possível usar Group Policy Objects (GPOs, Objetos de
Política de Grupo) para definir configurações de usuário e computador e vincular
essas configurações da GPO a uma OU, otimizando o processo de configuração.
Uma OU é criada por padrão quando você instala o AD DS e cria um domínio:
Domain Controllers.
• Contêiner Além das OUs, também é possível usar contêineres para agrupar
coleções de objetos. Estão disponíveis vários contêineres internos, incluindo:

7
Computers, Builtin e Managed Service Accounts. Não é possível vincular GPOs
aos contêineres.
• Site É a representação lógica de uma localização física dentro de sua organização.
Ele pode representar uma área física grande, como uma cidade, ou uma área
física menor, como um conjunto de sub-redes definido pelos limites de seu
datacenter. Os sites do AD DS ajudam a permitir que dispositivos de rede
determinem onde estão em relação aos serviços que querem conectar. Por
exemplo, quando um computador com Windows 10 inicializa, ele usa sua
informação de site para tentar encontrar um controlador de domínio próximo
para autenticar a conexão do usuário. Os sites também permitem controlar a
replicação do AD DS, através da configuração de uma agenda e um intervalo para
a replicação entre sites.
• Sub-rede É a representação lógica de uma sub-rede física em sua rede. Com a
definição de sub-redes, um computador em sua floresta do AD DS pode
determinar sua localização física em relação aos serviços oferecidos na floresta.
Não existem sub-redes por padrão. Depois de criar sub-redes, você as associa a
sites. Um site pode conter mais de uma sub-rede.
• Partição Seu AD DS é fisicamente armazenado em um banco de dados em todos
os controladores de domínio. Como algumas partes do AD DS raramente
mudam, enquanto outras mudam frequentemente, algumas partições
separadas estão armazenadas no banco de dados AD DS.
As partições separadas são:

• Esquema Partição em nível de floresta, a qual raramente muda. Contém o


esquema da floresta do AD DS.
• Configuração Partição em nível de floresta que raramente muda, contendo
dados de configuração da floresta.
• Domínio Partição em nível de domínio. Esta partição muda frequentemente,
sendo que uma cópia gravável dela é armazenada em todos os controladores de
domínio. Ela contém os objetos reais existentes em sua floresta, como usuários
e computadores.
• Relações de confiança Às vezes também referida só como confiança, é um
acordo de segurança entre dois domínios em uma floresta do AD DS, entre duas
florestas ou entre uma floresta e um território (realm) externo de segurança.
Esse acordo de segurança permite a um usuário em um lado da confiança acessar
recursos no outro lado da confiança. Em uma relação de confiança, diz-se que
uma parte é confiante e a outra é confiável. O lado que contém o recurso é
confiante, enquanto o que contém o usuário é confiável. Para ajudar a entender
isso, considere quem é confiável e quem é confiante quando você empresta a
chave de seu carro a alguém.

Instale uma nova floresta

8
Para instalar uma nova floresta do AD DS, implante nela o primeiro controlador de
domínio. Isso significa implantar a função de servidor AD DS em um computador
servidor com Windows Server 2016 e, então, promover o servidor a controlador de
domínio e escolher a opção Add A New Forest.
Para criar uma floresta, comece instalando a função AD DS com o procedimento a seguir:
1. No computador Windows Server 2016, efetue logon como administrador local.
2. Inicie o Server Manager e, então, no Dashboard, clique em Add Roles And
Features.
3. Clique no Add Roles And Features Wizard e, então, como mostrado na Figura 1-
1, na página Server Roles, marque a caixa de seleção Active Directory Domain
Services, clique em Add Features e depois em Next.

4. Clique no restante do assistente e, quando solicitado, clique em Install.


5. Quando a instalação terminar, clique em Close.
Depois de instalar os binários do AD DS é preciso criar uma floresta, promovendo o
primeiro controlador de domínio nela. Para isso, use o seguinte procedimento:
1. No Server Manager, clique no triângulo de aviso amarelo em Notifications e
clique em Promote This Server To A Domain Controller.
2. Na página Deployment Configuration do Active Directory Domain Services
Configuration Wizard, sob Select The Deployment Operation, clique em Add A
New Forest e digite o nome do domínio raiz da floresta, como mostrado na Figura
1-2. Clique em Next.

9
3. Na página Domain Controller Options, mostrada na Figura 1-3, configure as
opções a seguir e, então, clique em Next:
• Forest Functional Level O nível funcional da floresta determina os recursos
disponíveis nela. O nível funcional da floresta também define o nível funcional
mínimo para domínios em sua floresta. Assim, escolher Windows Server 2012
nesse nível significa que o nível funcional mínimo para domínios também é o
Windows Server 2012. Escolha entre:
• Windows Server 2008
• Windows Server 2008 R2
• Windows Server 2012
• Windows Server 2012 R2
• Windows Server 2016
• Domain Functional Level Determina os recursos em nível de domínio disponíveis
nesse domínio. Escolha entre:
• Windows Server 2008
• Windows Server 2008 R2
• Windows Server 2012 J Windows Server 2012 R2
• Windows Server 2016
• Domain Name System (DNS) Server DNS fornece resolução de nomes e é um
serviço importante para o AD DS. Esta opção é selecionada por padrão e, a não
ser que você já tenha uma infraestrutura de DNS configurada, não a desmarque.
• Global Catalog (GC) Servidores de catálogo global fornecem serviços para toda
a floresta. Essa opção está selecionada por padrão e não pode ser desmarcada.
O primeiro (e único) controlador de domínio deve ser um servidor de catálogo
global. Quando tiver adicionado outros controladores de domínio, você poderá
rever esta configuração.
• Read Only Domain Controller (RODC) Determina se esse controlador de domínio
é somente leitura. Esta opção não é selecionada por padrão e fica indisponível
para o primeiro (e atualmente o único) controlador de domínio de sua floresta.

10
• Directory Services Restore Mode (DSRM) Password Usada ao se iniciar o
controlador de domínio em um modo de recuperação.

4. Na página Additional Options, defina o nome de domínio NetBIOS. O protocolo


NetBIOS é pouco usado atualmente, e é baseado em uma estrutura de atribuição
de nomes não hierárquica. O nome NetBIOS padrão é a primeira parte do nome
da floresta do AD DS. Por exemplo, se sua floresta se chama Contoso.com, o
nome Net-BIOS padrão é CONTOSO. Geralmente, não é necessário mudar isso.
Clique em Next.
5. Como mostrado na Figura 1-4, defina o local para armazenar o banco de dados
do AD DS, arquivos de log e o conteúdo de SYSVOL, e clique em Next. Os padrões
são:
• Pasta do banco de dados: C:\Windows\NTDS
• Pasta dos arquivos de log: C:\Windows\NTDS
• Pasta SYSVOL: C:\Windows\SYSVOL

11
6. Examine as opções de configuração e depois clique em Next para realizar
verificações de pré-requisito.
7. Quando solicitado, clique em Install. Seu computador servidor reinicia durante o
processo de instalação.
8. Efetue logon em seu computador servidor usando a conta de administrador do
domínio.
Adicione ou remova um controlador de domínio

Depois de implantar o primeiro controlador de domínio em sua floresta do AD DS, você


pode adicionar outros controladores de domínio para fornecer resiliência e aumentar o
desempenho. O processo de implantação de mais controladores de domínio é
praticamente o mesmo do primeiro: instalar a função de servidor AD DS (usando Server
Manager ou Windows PowerShell) e promover o controlador de domínio (novamente,
usando Server Manager ou Windows PowerShell).
Contudo, as opções específicas selecionadas durante o processo de promoção variam
de acordo com os detalhes da implantação. Por exemplo, adicionar um novo controlador
de domínio em um domínio já existente é um pouco diferente de adicionar um novo
controlador de domínio em um novo domínio.
Existem dois cenários básicos para a adição de um novo controlador de domínio:

• Adicionar um novo controlador de domínio em um domínio já existente Para


completar esse processo, você precisa efetuar logon como membro do grupo
global de segurança Domain Admins do domínio de destino.
• Adicionar um novo controlador de domínio em um novo domínio Para
completar esse processo, você precisa efetuar logon como membro do grupo
universal de segurança Enterprise Admins, contido no domínio raiz da floresta.
Isso fornece a você privilégio suficiente para modificar a partição de
configuração do AD DS e criar o novo domínio, ou como parte da árvore de
domínios existente ou como parte de uma nova árvore de domínios.
Um motivo comum para adicionar um novo domínio é a criação de um limite de
replicação. Como a maioria das alterações feitas no banco de dados do AD DS ocorre na
partição de domínio, é essa partição que gera a maior parte do tráfego de replicação do
AD DS. Dividindo sua floresta do AD DS em vários domínios, você pode dividir o volume
de alterações e, assim, reduzir a replicação entre sites. Por exemplo, se A. Datum tivesse
uma grande implantação de computadores na Europa e no Canadá, dois domínios
separados poderiam ser criados a partir do domínio raiz da floresta Adatum.com:
Europe. Adatum.com e Canada.Adatum.com. As alterações feitas no domínio
Europe.Adatum.com não são replicadas nos controladores de domínio de
Canada.Adatum.com e vice-versa.

12
Adicione um novo controlador de domínio em um domínio já existente
Para adicionar um novo controlador de domínio em um domínio já existente, efetue
logon como administrador do domínio e complete o procedimento a seguir.
1. Adicione a função de servidor Active Directory Domain Services.
2. No Server Manager, clique em Notifications e em Promote This Server To A
Domain Controller.
3. Na página Deployment Configuration do Active Directory Domain Services
Configuration Wizard, mostrada na Figura 1-5, clique em Add A Domain
Controller To An Existing Domain.

4. Especifique o nome do domínio. O nome padrão é o mesmo do domínio ao qual


o computador servidor pertence. Contudo, é possível escolher outro domínio
disponível na floresta.
5. Especifique as credenciais de uma conta de usuário com privilégio apropriado
para executar o processo de promoção. O padrão é a conta de usuário atual.
Clique em Next.
6. Na página Domain Controller Options, configure as opções Domain Name System
(DNS) server (habilitada por padrão), Global Catalog (GC) (habilitada por padrão)
e Read Only Domain Controller (RODC) (não habilitada por padrão). Diferente da
promoção do primeiro controlador de domínio de uma floresta, é possível
habilitar Read Only Domain Controller (RODC) para tornar esse um controlador
de domínio somente leitura.
7. Na lista suspensa Site name, mostrada na Figura 1-6, selecione o site em que
esse controlador de domínio está fisicamente posicionado. O padrão é Default-
First-Site-Name. Até a criação de mais sites do AD DS, esse é o único disponível.
Após a implantação, o controlador de domínio pode ser movido.

13
8. Digite a senha para Directory Services Restore Mode (DSRM) e clique em Next.
9. Na página Additional Options, configure como esse controlador de domínio irá
receber o banco de dados do AD DS. É possível configurar a replicação inicial a
partir de um controlador de domínio online, selecionando Any Domain
Controller, como mostrado na Figura 1-7, ou especificar um controlador de
domínio em particular. Como alternativa, você pode usar a opção Install from
Media (IFM). Clique em Next.

10. Configure os caminhos (Paths), como antes, e siga clicando para continuar o
assistente de configuração.
11. Quando solicitado, clique em Install. Seu computador servidor reinicia durante o
processo de promoção. Depois de concluir o processo de promoção, efetue
logon usando uma conta de administrador do domínio.

14
Adicione um novo controlador de domínio em um novo domínio
Para adicionar um novo controlador de domínio a um novo domínio em uma floresta
existente, efetue logon com uma conta que seja membro do grupo universal de
segurança Enterprise Admins da floresta e complete o procedimento a seguir.
1. Adicione a função de servidor Active Directory Domain Services.
2. No Server Manager, clique em Notifications e em Promote This Server To A
Domain Controller.
3. Na página Deployment Configuration do Active Directory Domain Services
Configuration Wizard, mostrada na Figura 1-8, clique em Add A New Domain To
An Existing Forest.

4. Então, você pode escolher como o novo domínio será adicionado. É possível
selecionar:
• Child Domain Esta opção cria um subdomínio do domínio pai especificado. Em
outras palavras, o novo domínio é criado na árvore de domínios existente.
• Tree Domain Selecione esta opção se quiser criar uma nova árvore na mesma
floresta. A nova árvore compartilha o mesmo esquema da floresta e tem o
mesmo domínio raiz, mas é possível definir um namespace não contíguo. Isso é
útil quando se quer criar vários nomes de domínio DNS na infraestrutura de
floresta do AD DS para suportar as necessidades organizacionais, mas não
precisa ou não quer separar funções administrativas, como é possível em uma
floresta separada. Se escolher Tree Domain, você deverá definir o nome da
floresta em que a árvore será adicionada. O padrão é a floresta em que você está
logado.
5. Digite o nome do novo domínio. No caso de um domínio filho, o nome inclui o
domínio pai como sufixo. Por exemplo, adicionar o domínio Europe como filho
do domínio Adatum.com cria o domínio Europe.Adatum.com. Se você criar uma
nova árvore, poderá digitar qualquer nome de domínio DNS válido e ele não
conterá o domínio raiz da floresta. Clique em Next.

15
6. Na página Domain Controller Options, selecione o nível funcional do domínio e
configure os ajustes DNS, GC e RODC. Selecione o nome de site apropriado e, por
fim, digite a senha DSRM e clique em Next.
7. Na página DNS Options, mostrada na Figura 1-9, marque a caixa de seleção
Create DNS Delegation. Isso cria uma delegação de DNS para o subdomínio em
seu namespace do DNS. Clique em Next.

8. Especifique o nome de domínio NetBIOS e clique para continuar o assistente.


Quando solicitado, clique em Install.
9. Seu controlador de domínio reinicia durante o processo de promoção. Após a
conclusão do processo, efetue logon como administrador do domínio.

Removendo controladores de domínio


De tempos em tempos pode ser necessário desativar e remover um controlador de
domínio. Esse é um processo muito simples, e o Server Manager pode ser usado para
cumprir a tarefa.
1. Efetue logon usando uma conta que tenha privilégio suficiente. Para remover um
controlador de domínio de um domínio, efetue logon como administrador do
domínio. Para remover um domínio inteiro, efetue logon com um membro do
grupo universal de segurança Enterprise Admins.
2. Abra o Server Manager e, no menu Manage, clique em Remove Roles And
Features.
3. Na página Before You Begin do Remove Roles And Features Wizard, clique em
Next.
4. Selecione o servidor apropriado na página Select Destination Server e clique em
Next.
5. Na página Remove Server Roles, desmarque a caixa de seleção Active Directory
Domain Services, clique em Remove Features e em Next.
6. Na caixa de diálogo pop-up Validation Results, mostrada na Figura 1-10, clique
em Demote This Domain Controller.

16
7. O Active Directory Domain Services Configuration Wizard é carregado, como
mostrado na Figura 1-11. Na página Credentials, se necessário, especifique
credenciais de usuário com privilégio suficiente para fazer a remoção. Não
marque a caixa de seleção Force The Removal Of This Domain Controller, a não
ser que o controlador de domínio tenha falhado e não puder fazer contato.
Clique em Next.

8. A página Warnings, mostrada na Figura 1-12, solicita confirmação da remoção


das funções DNS e GC. Marque a caixa de seleção Proceed With Removal e clique
em Next.

17
9. Em New Administrator Password, digite e confirme a senha do administrador
local e clique em Next.
10. Revise suas escolhas e, então, clique em Demote.
11. Seu servidor é rebaixado e, então, reiniciado. Efetue logon usando a conta do
administrador local.
Agora é possível verificar o rebaixamento e a remoção de função. Em um controlador
de domínio:
1. Em um controlador de domínio, abra Active Directory Users And Computers.
Verifique se o controlador de domínio rebaixado não está mais listado na OU
Domain Controllers.
2. Clique no contêiner Computers. Você deverá ver o computador servidor
rebaixado.
3. Abra Active Directory Sites And Services. Expanda Sites, expanda o site Default-
First-Site-Name e, em Servers, exclua o objeto que representa o servidor
rebaixado.
Também é possível completar o processo de rebaixamento usando o Windows
PowerShell. Use os dois cmdlets a seguir para completar o processo a partir do prompt
de comando do Windows PowerShell:
Uninstall-addsdomaincontroller
Uninstall-windowsfeature AD-Domain_Services

Instale AD DS em uma instalação Server Core


A função de servidor AD DS pode ser implantada em uma instalação Server Core. O
Server Manager pode ser usado para instalar a função remotamente ou use o cmdlet
Install-WindowsFeature AD-Domain-Services do Windows PowerShell.

18
Depois de instalar os arquivos exigidos, você pode ativar o Active Directory Domain
Services Configuration Wizard a partir do Server Manager, para configurar a instalação
Server Core remotamente, ou usar o cmdlet InstallADDSDomainController do Windows
PowerShell para concluir o processo de promoção. Em outras palavras, o processo para
instalar AD DS em uma instalação Server Core do Windows Server 2016 é o mesmo
usado para um servidor com Desktop Experience.

Instale um controlador de domínio usando Install from Media


Durante o processo de implantação de um controlador de domínio, o conteúdo do
banco de dados AD DS é replicado para o novo controlador. Essa replicação inclui as
partições do esquema e de configuração em nível de floresta e a partição de domínio
apropriada. Após esse sincronismo inicial, a replicação ocorre normalmente entre os
controladores de domínio.
Em algumas circunstâncias, o sincronismo inicial pode apresentar um desafio. Por
exemplo, isso pode ser desafiador quando se está implantando um controlador de
domínio em um local que está conectado à infraestrutura de rede de sua organização
por meio de uma conexão de baixa largura de banda. Nessa situação, o sincronismo
inicial pode demorar um longo tempo ou usar uma proporção excessiva da largura de
banda disponível.
Para minimizar isso, implante um controlador de domínio e faça o sincronismo do AD DS
inicial usando uma cópia local, ou snapshot, do banco de dados do AD DS. Isso é
conhecido como fazer uma implantação usando Install from Media (IFM). Há muitos
passos envolvidos nesse processo.
1. Em um controlador de domínio já existente, usando o Explorador de Arquivos,
crie uma pasta, por exemplo C:\ IFM, para armazenar o snapshot do AD DS.
2. Abra um prompt de comando elevado e execute o comando ntdsutil.exe.
3. No prompt ntdsutil:, digite Activate instance ntds e pressione Enter.
4. No prompt ntdsutil:, digite ifm e pressione Enter.
5. No prompt ifm:, como mostrado na Figura 1-13, digite create SYSVOL full C:\IFM
e pressione Enter.

19
6. No prompt ifm:, digite quit e pressione Enter.
7. No prompt ntdsutil:, digite quit e pressione Enter.
8. Feche o prompt de comando.
9. Usando o Explorador de Arquivos, copie o conteúdo da pasta C:\IFM, como
mostrado na Figura 1-14, para um armazenamento removível, como um cartão
de memória USB.

10. No computador servidor a ser promovido a controlador de domínio, instale a


função de servidor Active Directory Domain Services normalmente, usando o
Server Manager ou o Windows PowerShell.
11. Insira o cartão de memória que contém o snapshot do AD DS ou copie os
arquivos de snapshot para que fiquem acessíveis no computador servidor de
destino. Em seguida, ative o Active Directory Domain Services Configuration
Wizard a partir do Server Manager e clique para dar continuidade no assistente.
12. Na página Additional Options, mostrada na Figura 1-15, marque a caixa de
seleção Install from Media. Na caixa Path, digite o caminho para a cópia local do
snapshot do AD DS, clique em Verify e em Next.

20
13. Clique para dar continuidade no assistente, revise suas seleções e, quando
solicitado, clique em Install. Seu servidor reinicia durante o processo de
promoção.
14. Efetue logon como administrador do domínio.

Instale e configure um controlador de domínio somente leitura


RODC é um controlador de domínio que contém uma cópia somente leitura do AD DS.
RODCs podem ser usados para a implantação de controladores de domínio em
escritórios onde a segurança física não pode ser garantida. Por exemplo, em uma filial
pode ser necessário um controlador de domínio local, mas não haver uma sala de
computadores fisicamente segura para instalá-lo.
Embora RODCs ofereçam diversas vantagens administrativas, antes de implantá-los, os
seguintes fatores devem ser considerados:

• Apenas um RODC deve ser implantado por site e por domínio. Se vários RODCs
forem implantados por site, o uso do cache será inconsistente, resultando em
possíveis problemas de logon de usuário e computador.
• A função de servidor DNS pode ser instalada junto com a função RODC. Clientes
locais podem usar a função DNS instalada, assim como qualquer outra instância
de DNS dentro de sua organização, com uma exceção: atualizações dinâmicas.
Como as informações da zona do DNS são somente leitura, os clientes não
podem fazer atualizações dinâmicas na instância de uma zona do DNS em um
RODC. Nessa situação, o RODC fornece aos clientes o nome de um controlador
de domínio gravável que eles podem usar para atualizar seus registros.
• RODCs não podem executar as seguintes funções do AD DS:
• Funções de mestre de operações As funções de mestre de operações precisam
gravar no banco de dados do AD DS. Consequentemente, RODCs não podem
conter nenhuma das cinco funções de mestre de operações. As funções de
mestre de operações são discutidas mais adiante neste objetivo.

21
• Bridgeheads de replicação do AD DS Como os bridgeheads são responsáveis pela
replicação do AD DS, devem suportar replicação do AD DS de entrada e saída.
RODCs suportam apenas replicação de entrada e, portanto, não podem
funcionar como bridgeheads de replicação do AD DS.
• RODCs não podem:
• Autenticar através de relação de confiança quando uma conexão de rede
remota está indisponível Se uma filial contém usuários de vários domínios da
floresta do AD DS, usuários e computadores do domínio do qual o RODC não é
membro não podem ser autenticados quando um link está indisponível. Isso
porque o RODC coloca em cache somente as credenciais das contas do domínio
do qual é membro.
• Suportar aplicativos que exigem interação constante com o AD DS Alguns
aplicativos, como o Microsoft Exchange Server, exigem interação com o AD DS.
RODC não suporta a interatividade exigida e, portanto, deve-se implantar
controladores de domínio graváveis nos sites que também contêm Exchange
Servers.

Implantando um RODC
Antes de implantar um RODC é preciso garantir que haja pelo menos um controlador de
domínio gravável em sua organização. Os RODCs são implantados da mesma forma que
todos os outros controladores de domínio:
1. Instale a função de servidor Active Directory Domain Services no computador a
ser implantado como RODC.
2. Ative o Active Directory Domain Services Configuration Wizard e clique para dar
continuidade no assistente.
3. Na página Domain Controller Options, mostrada na Figura 1-16, marque a caixa
de seleção Read Only Domain Controller (RODC) e quaisquer outras opções
exigidas. Então, clique em Next.

22
4. Na página RODC Options, mostrada na Figura 1-17, configure as opções a seguir
e depois clique em Next.

• Delegated administrator account O administrador (ou administradores)


delegado pode fazer a administração local do RODC sem ter direitos e privilégios
de administrador de domínio equivalentes. Normalmente, um administrador de
RODC delegado pode executar as seguintes tarefas:
• Instalar e gerenciar dispositivos e drivers, discos rígidos e atualizações
• Gerenciar o serviço AD DS
• Gerenciar funções e recursos de servidor
• Ver logs de evento
• Gerenciar pastas compartilhadas, aplicativos e serviços
• Accounts that are allowed to replicate passwords to the RODC Por padrão, os
RODCs não armazenam informações sigilosas relacionadas a senhas. Quando um
usuário efetua logon, o RODC encaminha o pedido de logon para um controlador
de domínio gravável em outro lugar na organização.
Contudo, para melhorar a utilização, é possível definir que certas contas de usuário e
computador podem ser colocadas em cache no RODC, permitindo autenticação local.
Isso é feito pela definição de uma política de replicação de senha para RODC.
Geralmente, você só adicionaria na política de replicação usuários e computadores que
estivessem no mesmo local do RODC.
Como mostrado na Figura 1-17, Allowed RODC Password Replication Group é habilitado
por padrão. Depois de implantar o RODC, você pode adicionar usuários e computadores
a esse grupo.

• Accounts that are denied from replicating passwords to the RODC O grupo
Denied RODC Password Replication Group é selecionado por padrão. Depois de

23
implantar o RODC, você pode adicionar usuários e computadores a esse grupo.
Além disso, os seguintes grupos locais também não podem replicar senhas:
Administrators, Server Operators, Backup Operators e Account Operators.
5. Clique para dar continuidade no assistente, examine suas seleções e, quando
solicitado, clique em Install. Seu servidor reinicia durante o processo de
promoção.
Depois de implantar o RODC, configure os membros de Allowed RODC Password
Replication Group e Denied RODC Password Replication Group para gerenciar a política
de replicação de senhas para o RODC.

Configure um servidor de catálogo global


Em uma floresta do AD DS de apenas um domínio, qualquer controlador de domínio
contém uma cópia de todos os objetos da floresta. Contudo, em florestas com vários
domínios, isso não acontece. Embora todos os controladores de domínio contenham
uma cópia das partições do esquema e de configuração, eles só armazenam a partição
de domínio local. Assim, se um aplicativo consulta um controlador de domínio em seu
domínio local a respeito dos atributos de um objeto em outro domínio, não há como o
controlador de domínio local satisfazer essa consulta.

É aí que entra o catálogo global. O catálogo global é uma cópia parcial, somente leitura,
de todos os objetos da floresta e contém um subconjunto dos atributos destas contas
do AD DS. Todos os controladores de domínio configurados como servidores de catálogo
global armazenam uma cópia dessas informações localmente. Isso permite que
satisfaçam consultas por atributos de objetos que residem em outros domínios da
floresta – sem a necessidade de solicitar a um controlador de domínio nesse outro
domínio.
Um controlador de domínio pode ser configurado como servidor de catálogo global
durante a implantação. Ao executar o Active Directory Domain Services Configuration
Wizard, marque a caixa de seleção Global Catalog (GC) na página Domain Controller Op-
tions, como mostrado na Figura 1-16.
Como alternativa, após a instalação, use a ferramenta Active Directory Sites And
Services:
1. Em um controlador de domínio, abra o Server Manager, clique em Tools e depois
em Active Directory Sites And Services.
2. Expanda o nó Sites, expanda o site desejado, expanda a pasta Server e, então,
expanda o nó do controlador de domínio a ser modificado.
3. Clique no objeto NTDS Settings, como mostrado na Figura 1-18.

24
4. Clique com o botão direito do mouse no nó NTDS Settings e, na guia General,
marque a caixa de seleção Global Catalog, como mostrado na Figura 1-19, e
clique em OK.

Também é possível usar o Windows PowerShell para transformar um controlador de


domínio em servidor de catálogo global.
1. Abra o Windows PowerShell (Admin).
2. Execute o comando getADDomainController | select-object property
Name,IsGlobalCatalog para consultar uma lista de controladores de domínio e
verificar seus status de catálogo global atual, como mostrado na Figura 1-20.

3. Para o controlador de domínio apropriado, execute o comando a seguir,


substituin-do LONSVR3 pelo nome de seu controlador de domínio:

25
Set-ADObject -Identity (Get-ADDomainController -Identity LON-SVR3).
NTDSSettingsObjectDN -Replace @{options=’1’}
4. Execute o comando getADDomainController | selectobject property
Name,IsGlobalCatalog novamente, para verificar a alteração, como mostrado na
Figura 1-21.

Adicionando atributos ao catálogo global


É importante observar que o catálogo global não contém todos os atributos de todos os
objetos. Em vez disso, contém um subconjunto dos atributos mais úteis, conhecidos no
Windows Server 2016 como Partial Attribute Set (conjunto parcial de atributos).
Contudo, é possível modificar quais atributos de objeto são armazenados no catálogo
global. Às vezes isso é referido como extensão do conjunto parcial de atributos. Isso
pode ser feito com o seguinte procedimento:
1. No controlador de domínio que tem acesso online à função de mestre de
operações de esquema, execute o comando regsvr32 schmmgmt.dll em um
prompt de comando elevado. Esse comando permite que o Active Directory
Schema possa ser acessado por meio do console de gerenciamento.
2. Abra o console de gerenciamento executando mmc.exe em um prompt de
comando elevado.
3. Na janela Console1 – [Console Root], clique em File e depois em Add/Remove
Snap-in.
4. Na caixa de diálogo Add Or Remove Snap-ins, na lista Snap-in, clique em Active
Directory Schema, em Add e em OK.
5. Sob Console Root no painel de navegação, expanda Active Directory Schema e
clique em Attributes. Aparece uma longa lista de atributos.
6. É preciso conhecer o nome do atributo específico para poder modificar suas
propriedades. Localize o atributo, clique nele com o botão direito do mouse e,
então, clique em Properties.
7. Na caixa de diálogo Properties do atributo (como a caixa de diálogo Properties
de accountExpires mostrada na Figura 1-22), marque a caixa de seleção Replicate
This Attribute To The Global Catalog e clique em OK.

26
8. Feche o console de gerenciamento.

Configure a clonagem de controlador de domínio


É relativamente rápido e simples implantar controladores de domínio com os
procedimentos descritos anteriormente neste capítulo. Mas se você tem muitos
servidores basicamente idênticos que deseja configurar como controladores de
domínio, uma estratégia mais rápida é clonar esses controladores. Isso é especialmente
relevante quando os controladores de domínio são virtualizados.
Nas versões do Windows Server anteriores ao Windows Server 2012 era proibido clonar
controladores de domínio virtuais. Contudo, o Windows Server 2012 e o Windows
Server 2016 suportam clonagem de controlador de domínio virtual. Se você decidir
implantar controladores de domínio usando clonagem, há as seguintes vantagens em
potencial:

• Implantação rápida de controladores de domínio Isso não apenas torna a


implantação inicial menos demorada, como também oferece a oportunidade de
responder rapidamente a interrupções de controlador de domínio, implantando
um novo clone.
• Responder à maior demanda Seja um aumento na demanda em uma filial ou em
outro lugar, é possível implantar clones rapidamente, de acordo com a
necessidade.

Criando um clone
Antes de clonar um controlador de domínio virtual é preciso garantir que a
infraestrutura satisfaça os seguintes requisitos:

• Windows Server 2012 ou posterior As máquinas virtuais convidadas do


controlador de domínio devem executar Windows Server 2012 ou posterior.
• Mestre de operações de emulador PDC O mestre de operações de emulador PDC
(Primary Domain Controller, controlador de domínio primário) deve estar

27
executando em um controlador de domínio instalado com Windows Server 2012
ou posterior. Além disso, a função de emulador PDC deve estar online na
primeira vez que os controladores de domínio clonados forem iniciados.
• Identificadores de geração de máquina virtual Deve-se usar um hipervisor, como
o Hyper-V no Windows Server 2012 ou posterior, que suporte identificadores de
geração da máquina virtual (generation_id).
Depois de ter verificado esses pré-requisitos, use o procedimento a seguir para clonar
um controlador de domínio virtual. São dois estágios: preparar o controlador de domínio
de origem e preparar um ou mais clones do controlador de domínio de destino.

PREPARE O COMPUTADOR DE ORIGEM


1. Efetue logon no controlador de domínio com um membro do grupo global de
segurança Domain Admins.
2. Abra o console Active Directory Users And Computers, vá até a pasta Users e
adicione o computador de origem ao grupo global de segurança Cloneable
Domain Controllers, como mostrado na Figura 1-23.

3. Execute o cmdlet Get-ADDCCloneingExcludedApplicationList do Windows


Power-Shell para verificar se todos os aplicativos e serviços do controlador de
domínio de origem suportam clonagem. Remova quaisquer aplicativos não
suportados.
4. Execute o cmdlet Get-ADDCCloneingExcludedApplicationList -GenerateXML do
Windows PowerShell.
5. Execute o cmdlet New-ADDCCloneConfigFile do Windows PowerShell, como
mostrado na Figura 1-24, para gerar um arquivo DCCloneConfig.xml. Esse
arquivo é usado para configurar os clones. Especifique um nome de computador,
a configuração de IP e um nome de site para o clone. Essas informações são
gravadas no arquivo DCCloneConfig.xml. Se você pretende criar vários clones,
normalmente cada um deve ter um arquivo DCCloneConfig.xml diferente.

28
6. Encerre o controlador de domínio virtual de origem.
7. Exporte o controlador de domínio virtual de origem:
• Clique com o botão direito do mouse na máquina virtual controladora de
domínio de origem no painel de navegação e clique em Export.
• Na caixa de diálogo Export Virtual Machine, na caixa de texto Location,
especifique a pasta onde deseja armazenar a máquina virtual exportada e clique
em Export.
8. Se estiver implantando vários clones, você deve agora modificar o arquivo DCClo-
neConfig.xml de cada um. Faça isso montando o VHD do clone controlador de
domínio de destino e executando o cmdlet New-ADDCCloneConfigFile, definindo
as informações exclusivas exigidas para o clone. Se estiver implantando apenas
um clone, pule este passo.

CRIE CLONE(S)
1. Certifique-se de que o emulador de PDC e um servidor de catálogo global
estejam online e visíveis para seus clones de destino.
2. No Hyper-V Manager, importe a máquina virtual:
A. No painel Actions, clique em Import Virtual Machine.
B. Na página Locate Folder do Import Virtual Machine Wizard, na caixa de texto
Folder, digite o caminho para os arquivos exportados de sua máquina virtual e
clique em Next.
C. Na página Select Virtual Machine, mostrada na Figura 1-25, se necessário,
selecione a máquina virtual na lista e clique em Next.

29
3. Na página Choose Import Type, mostrada na Figura 1-26, clique em Copy The
Virtual Machine (Create A New Unique ID) e depois em Next.

4. Na página Choose Folders For Virtual Machine Files, mostrada na Figura 1-27,
marque a caixa de seleção Store The Virtual Machine In A Different Location e,
para cada local de pasta, especifique um caminho de pasta conveniente e clique
em Next.

30
5. Na página Choose Folders To Store Virtual Hard Disks, mostrada na Figura 1-28,
especifique um caminho de pasta conveniente e clique em Next.
6. Na página Completing Import Wizard, clique em Finish. A máquina virtual é
importada, o que pode demorar uns 20 minutos.
7. Após a importação, no Hyper-V Manager, no painel de navegação, renomeie a
máquina virtual importada.
8. No Hyper-V Manager, no painel Actions, clique na máquina virtual recentemente
importada, clique em Start e depois em Connect para ver a máquina virtual
inicializar. A mensagem “Domain Controller cloning is at x% completion” aparece
durante a conclusão do processo de clonagem.
Quando o controlador de domínio clonado inicia, o seguinte processo ocorre:

1. O clone verifica a presença de um identificador de geração de máquina virtual.


Isso é obrigatório e, se não existir, o computador iniciará normalmente, como se
não existisse nenhum arquivo DCCloneConfig.xml, ou renomeará
DCCloneConfig.xml e reiniciará no DSRM. Então, o administrador deve tentar
saber por que não existe nenhum identificador de geração de máquina virtual.
2. Supondo a presença do identificador de geração de máquina virtual, o clone
determina se esse identificador mudou:
• Se não mudou, esse é o controlador de domínio de origem original. Qualquer
arquivo DCCloneConfig.xml é renomeado e ocorre uma inicialização normal.
• Se mudou, o processo de clonagem continua. Se o arquivo DCCloneConfig.xml
existe, o computador recebe as novas configurações de nome e endereço IP do
arquivo e a inicialização continua, criando um controlador de domínio.

Migre controladores de domínio


Se você está usando uma versão anterior do Windows Server e quer migrar seus
controladores de domínio para o Windows Server 2016, pode fazer uma migração local
(in-pla-ce). Contudo, esse processo apresenta alguns riscos. Geralmente é mais seguro

31
adicionar um (ou mais) novo(s) controlador(es) de domínio Windows Server 2016 na
infraestrutura existente e, então, migrar funções para o(s) controlador(es) de domínio
recentemente implantado(s).
Antes de implantar o primeiro controlador de domínio Windows Server 2016 na
infraestrutura existente, é preciso determinar se os níveis funcionais de floresta e
domínio atuais são pelo menos Windows Server 2008. Isso pode ser feito com o seguinte
procedimento:

1. No console Active Directory Domains And Trusts, no painel de navegação, clique


com o botão direito do mouse no nó Active Directory Domains And Trusts e,
então, clique em Raise Forest Functional Level.
2. O nível funcional de floresta atual aparece na caixa de diálogo Raise Forest
Functional Level, como mostrado na Figura 1-29.
3. Se necessário, na lista Select An Available Forest Functional Level, clique em um
nível maior que Windows Server 2008 e, então, clique em Raise.

4. No painel de navegação, localize e clique com o botão direito do mouse no


domínio do AD DS apropriado e, então, clique em Raise Domain Functional Level.
5. O nível funcional de domínio atual aparece na caixa de diálogo Raise Domain
Functional Level, como mostrado na Figura 1-30.
6. Se necessário, na lista de Select An Available Domain Functional Level, clique em
um nível maior que Windows Server 2008 e, então, clique em Raise.

32
Depois de verificar e (se necessário) elevar os níveis funcionais de floresta e domínio, e
se a infraestrutura existente é baseada no Windows Server 2008 ou no Windows Server
2008 R2, execute as seguintes tarefas:

• Prepare sua floresta do AD DS Em um controlador de domínio de sua floresta


existente, execute adprep /forestprep.
• Prepare seu domínio do AD DS Em um controlador de domínio de sua floresta
existente, execute adprep /domainprep.
Se sua infraestrutura atual é baseada em Windows Server 2012 ou posterior, o Active
Directory Domain Services Configuration Wizard executa esses passos
automaticamente. Contudo, ainda é possível optar por executá-los como etapas
independentes.
Depois de elevar os níveis funcionais de floresta e domínio, se necessário, e preparar a
floresta e o domínio do AD DS, você pode implantar o primeiro controlador de domínio
Windows Server 2016. Para executar essa tarefa, use os procedimentos discutidos
anteriormente neste capítulo. Então, pode transferir as funções de mestre de operações
para o(s) novo(s) controlador(es) de domínio Windows Server 2016, como descrito na
próxima seção. Por fim, rebaixe e remova os controladores de domínio antigos.

Transfira e execute seize de funções de mestre de operações


O banco de dados do AD DS suporta atualizações de múltiplos mestres. Em linhas gerais,
isso significa que uma alteração pode ser feita em qualquer instância, ou réplica, do
banco de dados. Então, essa alteração é replicada em todas as outras instâncias do
banco de dados, em todos os controladores de domínio por toda a floresta.
Contudo, existem certas operações que não são convenientes para uma estratégia de
múltiplos mestres. Por exemplo, a manipulação de alterações de senha de usuário é
mais segura quando feitas por apenas um controlador de domínio e, então, replicadas
em todos os outros controladores de domínio.

Quais são as funções de mestre de operações?


Para manipular os tipos de operações convenientes para atualizações por apenas um
mestre, o Windows Server AD DS suporta a ideia de mestres de operações.
Especificamente, existem cinco proprietários de função de mestre de operações, às
vezes também chamadas de funções FSMO (flexible single master operations). Dois
deles são mestres de operações em nível de floresta:

• Mestre de esquema O mestre de esquema mantém o esquema e é responsável


por propagar quaisquer alterações feitas nele para as outras cópias dessa
partição do AD DS em todos os outros controladores de domínio da floresta.
Como o esquema raramente muda, a ausência temporária desse mestre de
operações pode passar despercebida facilmente. Contudo, ele deve estar online
quando você fizer mudanças no esquema, por exemplo, quando instalar um

33
aplicativo, como o Exchange Server, que exige tipos de objeto e atributos
adicionais em relação aos tipos de objeto existentes.
• Mestre de nomeação de domínio O mestre de nomeação de domínio manipula
a adição ou a remoção de domínios na floresta do AD DS. Como esses tipos de
alterações não são frequentes, se o mestre de nomeação de domínio ficar
indisponível temporariamente, você pode não perceber isso imediatamente.
Para recuperar informações sobre os proprietários atuais da função de mestre de
esquema e de nomeação de domínio, use o cmdlet get-ADForest do Windows
PowerShell, como mostrado na Figura 1-31.

Os mestres de operações restantes são em nível de domínio. Isso significa que cada
domínio contém essas três funções de mestre de operações e que elas são específicas
do domínio. São eles:

• Emulador PDC Executa várias operações importantes em nível de domínio:


• Atua como fonte de sincronização de hora para o domínio
• Propaga alterações de senha
• Fornece uma fonte primária para GPOs para propósitos de edição
• Mestre de infraestrutura Mantém referências entre domínios e,
consequentemente, essa função só é relevante em florestas com vários
domínios. Por exemplo, o mestre de infraestrutura mantém a integridade da lista
de controle de acesso de segurança de um objeto, quando essa lista contém
entidades de segurança (security principals) de outro domínio.
• Mestre RID Fornece blocos de identificações para cada um dos controladores de
domínio em seu domínio. Cada objeto em um domínio exige um identificador
única.
Para recuperar informações sobre os proprietários atuais da função de mestre de
infraestrutura, RID e emulador PDC, use o cmdlet Get-AdDomain do Windows
PowerShell, como mostrado na Figura 1-32.

34
Geralmente, se um desses mestres de operações em nível de floresta ou de domínio
estiver indisponível por um curto período, isso provavelmente não afetará as operações
diárias de sua infraestrutura AD DS. Contudo, períodos de indisponibilidade estendidos
podem apresentar desafios significativos e resultar em problemas.

Transferindo funções
Se você prevê a necessidade de desligar o controlador de domínio que contém uma
função de mestre de operações por um período estendido, pense em transferir essa
função. Para transferir uma função, use o procedimento adequado a seguir.
Para o mestre de esquema:
1. No controlador de domínio para o qual a função vai ser transferida, abra o
console Active Directory Schema.
2. Clique com o botão direito do mouse no nó Active Directory Schema, no painel
de navegação, e clique em Change Active Directory Domain Controller. Selecione
o controlador de domínio para o qual a função vai ser transferida e clique em OK.
3. Clique com o botão direito do mouse no nó Active Directory Schema, no painel
de navegação, e clique em Operations Master.
4. Na caixa de diálogo Change Schema Master, mostrada na Figura 1-33, verifique
se o controlador de domínio de destino aparece na caixa de texto Change e,
então, clique em Change, em Yes, em OK e em Close.

35
Para o mestre de nomeação do domínio:
1. No controlador de domínio de destino, abra o console Active Directory Domains
And Trusts.
2. Clique com o botão direito do mouse no nó Active Directory Domains And Trusts,
no painel de navegação, e clique em Change Active Directory Domain Controller.
Selecione o controlador de domínio para o qual a função vai ser transferida e
clique em OK.
3. Clique com o botão direito do mouse no nó Active Directory Domains And Trusts,
no painel de navegação, e clique em Operations Master.
4. Na caixa de diálogo Operations Master, verifique se o controlador de domínio de
destino aparece na caixa de texto Change e, então, clique em Change, em Yes,
em OK e em Close. Para qualquer um dos três mestres de operações em nível de
domínio:
1. No controlador de domínio de destino, abra o console Active Directory Users And
Computers.
2. Clique com o botão direito do mouse no domínio apropriado, no painel de
navegação, e clique em Operations Masters.
3. Na caixa de diálogo Operations Masters, mostrada na Figura 1-34, na guia RID,
PDC ou Infrastructure, verifique se o controlador de domínio de destino aparece
na caixa de texto Change e, então, clique em Change, em Yes, em OK e em Close.

36
Também é possível mover essas funções com o cmdlet MoveADDirectoryServerO-
perationMasterRole do Windows PowerShell. Por exemplo, para transferir o mestre
emulador de PDC para LON-SVR3, use o comando a seguir:
Move-ADDirectoryServerOperationMasterRole -Identity “LON-SVR3” -
OperationMasterRole PDCEmulator

Executando seize de funções


Nem sempre é possível antecipar a remoção de um proprietário de função de mestre de
operações. Consequentemente, se um controlador de domínio contendo uma das
funções de mestre de operações se tornar indisponível e não puder voltar a operar
novamente de forma rápida e fácil, pense em tomar controle (seize) das funções
mantidas por esse controlador.
Se for necessário executar seize de uma função, não é possível usar o console de
gerenciamento para essa tarefa. Em vez disso, use o cmdlet
MoveADDirectoryServerOpera-tionMasterRole force. Cada função recebe um
identificador numérico, conforme descrito na Tabela 1-1.

37
Por exemplo, para executar seize das funções de emulador PDC, mestre RID e mestre de
infraestrutura, atribuindo-as a LON-SVR3, use o comando a seguir:
Move-ADDirectoryServerOperationMasterRole -Identity "LON-SVR3" -
OperationMasterRole 0,1,2 -Force
Também é possível usar a ferramenta de linha de comando Ntdsutil.exe para transferir
ou executar seize de funções de mestre de operações.

Solucione problemas de gravação de registros SRV no DNS


Para localizar serviços fornecidos pelo AD DS, os controladores de domínio registram a
localização do serviço (SRV) no DNS. Esses registros SRV, mostrados na Figura 1-35,
permitem que os clientes DNS localizem os serviços apropriados. Por exemplo, quando
um usuário efetua logon a partir de um computador Windows 10, o Windows 10 usa
DNS para obter uma lista de controladores de domínio próximos que podem fornecer
serviços de autenticação.

Um registro SVR consiste em vários elementos que identificam o serviço do AD DS. São
eles o serviço, o protocolo, a prioridade e o peso, o número de porta do protocolo e o
FQDN do host que oferece o serviço, como mostrado na Figura 1-36.

38
Por exemplo, se um computador com Microsoft Exchange Server está tentando localizar
um controlador de domínio que executa o serviço Catálogo Global no domínio
Adatum.com, ele consulta o DNS em busca de _gc._tcp.Adatum.com.
Para ajudar os clientes a ter acesso a instâncias geograficamente próximas de serviços
do AD DS, informações sobre sites são fornecidas nos registros SRV do DNS. Por
exemplo, quando um computador Windows 10 inicia, ele procura registros SRV
específicos do site no DNS. Uma resposta típica do DNS para a consulta do cliente inclui:

• Uma lista dos controladores de domínio no mesmo site do cliente


• Uma lista dos controladores de domínio no site mais próximo
Uma lista aleatória de controladores de domínio disponíveis no domínio, se não houver
nenhum controlador de domínio no site mais próximo seguinte

Solucionando problemas de registro


Cada controlador de domínio executa o serviço NETLOGON. Dentre outras coisas, esse
serviço é responsável por gravar os registros SRV do controlador de domínio no DNS. Se
os registros SRV de um controlador de domínio não aparecerem corretamente no DNS,
reinicie o serviço NETLOGON. Isso deve forçar a correta gravação dos registros.
Também é possível usar a ferramenta de linha de comando de teste de DNS, ns-
lookup.exe, para verificar a correta gravação de registros SRV. Por exemplo, para
garantir que sejam gravados os registros corretos do domínio Adatum.com, execute o
procedimento a seguir a partir de um prompt de comando:
1. Digite nslookup e pressione Enter.
2. Digite set type=all e pressione Enter.
3. Digite _ldap._tcp.dc._msdcs.Adatum.com e pressione Enter. A saída retornada
deve ser parecida com a da Figura 1-37.

Objetivo 1.2: Criar e gerenciar usuários e computadores do Active Directory


Depois de instalar e implantar controladores de domínio, você pode começar a popular
o AD DS com objetos, incluindo usuários e computadores. Para executar essas tarefas

39
administrativas, é possível usar várias ferramentas gráficas, acessíveis a partir do Server
Manager, ou o Windows PowerShell, para ajudar a automatizar essas tarefas.

Crie, copie, configure e exclua usuários e computadores


Para cada usuário de sua organização é preciso criar uma conta no AD DS. Isso os
identificará como indivíduos, quando tentarem executar tarefas (direitos) ou acessar
recursos (permissões).
Essa conta de usuário pode ser preenchida com propriedades (atributos) que descrevem
o usuário. Isso poderia incluir o nome completo, detalhes de contato, a função na
organização, o departamento e muitas configurações que definem a abrangência de
suas habilidades dentro de sua rede.
Antes de iniciar esse processo, é importante pensar um pouco sobre um padrão de
nomenclatura para as contas de usuário. O nome da conta de usuário deve identificar
claramente o usuário e deve ser único dentro da organização. Normalmente, as
organizações usam uma combinação do sobrenome e das iniciais do usuário para gerar
um nome exclusivo. Se sua organização é grande, isso pode exigir consideração
cuidadosa, pois muitos usuários podem ter o mesmo sobrenome e alguns podem ter
nomes e sobrenomes iguais.

No AD DS não são apenas os usuários que precisam ter uma conta. Os computadores
que se conectam aos recursos da rede de sua organização também precisam ser
identificados. Sob certos aspectos isso é mais simples, pois você toma a decisão sobre o
nome da conta do computador ao implantá-lo e nomeá-lo, durante o processo de
instalação. Portanto, é fundamental que, ao implantar os computadores de seus
usuários, você considere o nome do dispositivo cuidadosamente.

Adicionando contas de usuário


Várias ferramentas podem ser usadas para criar e gerenciar contas de usuário, incluindo
o Windows PowerShell, a ferramenta de linha de comando dsadd.exe, Active Directory
Users and Computers (Usuários e Computadores do Active Directory), mostrado na
Figura 1-38, e o Active Directory Administrative Center (Central Administrativa do Active
Directory), mostrado na Figura 1-39. Para os propósitos dos procedimentos deste
capítulo, vamos usar Active Directory Users and Computers e Windows PowerShell.

40
Depois de definir o padrão de nomenclatura de contas de usuário, use o procedimento
a seguir para adicionar uma conta de usuário:
1. Efetue logon com um membro do grupo global de segurança Domain Admins.
2. Abra o console Active Directory Users And Computers e selecione a OU em que
deseja criar sua conta de usuário.
3. Clique com o botão direito do mouse na OU, aponte para New e clique em User.
4. Na caixa de diálogo New Object – User, mostrada na Figura 1-40, digite as
informações a seguir e clique em Next:
• First name, Initials e Last name Devem identificar o usuário exclusivamente.
Esses elementos combinados criam o nome completo do usuário, o qual deve
ser único dentro do contêiner do AD DS onde é criado. Contudo, é aconselhável
tentar garantir que o nome seja único dentro da floresta.
• User logon name Esse nome é combinado com o sufixo mostrado ao lado (@
Adatum.com na Figura 1-40), para criar um nome principal do usuário (UPN, user
principal name), por exemplo, BurkeB@Adatum.com. Esse UPN deve ser único
dentro da floresta do AD DS. O sufixo UPN geralmente é o nome do domínio
onde a conta está sendo adicionada. Contudo, é possível definir mais sufixos

41
UPN, usando o console Active Directory Domains and Trusts (Domínios e
Relações de Confiança do Active Directory).
• User logon name (pre-Windows 2000) Esse nome às vezes também é referido
como nome de conta SAM (SAM Account Name). Ele deve ser único dentro do
domínio atual.

5. Em seguida, digite uma senha e confirme, como mostrado na Figura 1-41. O que
for digitado precisa satisfazer as regras de complexidade de senha atuais de seu
domínio. Configure os ajustes restantes e clique em Next:
• User must change password at next logon É considerada boa prática forçar o
usuário a escolher uma nova senha na primeira vez que efetuar logon.
• User cannot change password Selecione esta opção se a conta de usuário é
especializada, como uma usada por um aplicativo ou serviço, não por uma
pessoa. Esta opção é mutuamente exclusiva com User Must Change Password At
Next Logon.
• Password never expires Do mesmo modo, escolha esta opção se a conta de
usuário for especializada, como uma usada por um aplicativo ou serviço. Esta
opção também é mutuamente exclusiva com User Must Change Password At
Next Logon.
• Account is disabled É considerada boa prática desabilitar todas as contas de
usuário, até que o usuário esteja pronto para efetuar logon pela primeira vez.
Muitas organizações adicionam contas de usuário e criam contas de e-mail para
funcionários novos, antes de seu primeiro dia no emprego. Contudo, não é
seguro deixar uma conta de usuário habilitada e não usada, com sua senha
inicial.

42
6. Quando solicitado, clique em Finish.
Depois de criar a conta, modifique suas propriedades para configurar participações
como membro de grupos, detalhes organizacionais e propriedades de conta mais
avançadas. Para isso, use o seguinte procedimento:
1. No Active Directory Users And Computers, localize a OU que contém a nova
conta de usuário.
2. Clique com o botão direito do mouse na conta e clique em Properties. Há um
número enorme de propriedades de conta de usuário que podem ser
configuradas, mas as seguintes são as mais importantes.
3. Na caixa de diálogo User Properties, clique na guia Account, mostrada na Figura
1-42, e configure os seguintes ajustes:

43
• Logon Hours Especifica os dias e horas da semana em que a conta pode ser
usada. O padrão é Always (sempre).
• Log On To Define quais computadores a conta de usuário pode usar para efetuar
logon. O padrão é All Computers (todos os computadores).
• Unlock account Esta opção só pode ser selecionada quando a conta estiver
bloqueada. Isso ocorre quando um usuário tenta fazer logon usando uma senha
incorreta e excede o limite de tentativas de logon incorretas.
• Account options Fora as opções definidas ao criar a conta (o usuário deve mudar
a senha no próximo logon, etc.), podem ser habilitadas algumas opções mais
avançadas para contas usadas em situações sigilosas que exigem mais segurança.
As configurações incluem: Smart Card Is Required For Interactive Logon, Account
Is Sensitive And Cannot Be Delegated e This Account Supports Kerberos AES 256
Bit Encryption.
• Account expires É possível configurar uma data de expiração para uma conta.
Muitas vezes isso é útil para contas usadas por estagiários ou pessoal
temporário. Depois que a conta expira, pode-se atribuí-la ao próximo estagiário
e reconfigurar a data de expiração.
4. Na guia Profile, mostrada na Figura 1-43, existem as seguintes configurações.

• Profile path Se você define o caminho para o perfil apontando para uma pasta
compartilhada, as configurações de área de trabalho e aplicativo do usuário
acompanham sua conta. Quando um usuário se desconecta, essas configurações
são salvas nesse local. Defina um caminho UNC e use a variável %username%
para determinar uma subpasta da pasta compartilhada. Por exemplo, como
mostrado na Figura 1-43, o caminho UNC aponta para a pasta compartilhada

44
Users no servidor LONDC1. Quando você clicar em Apply, será criada
automaticamente uma subpasta para esse usuário, com nome de acordo com a
conta de usuário, como mostrado na Figura 1-44. Debaixo dela será criada
automaticamente uma subpasta para o perfil do usuário.
• Logon script Especifica o nome de um arquivo de lote para usar como script de
logon para esse usuário. Não se deve especificar o caminho para esse arquivo.
Todos os scripts devem ser armazenados na pasta compartilhada NETLOGON
(parte de SYSVOL), para que possam ser replicados em todos os controladores
de domínio. Em geral, esse campo raramente é usado. A maioria dos
administradores prefere aplicar scripts de logon usando GPOs.
• Home folder É considerada boa prática criar uma área de armazenamento
pessoal para cada usuário em sua rede. Ela é referida como pasta base. Se você
usar a variável %username% para definir uma subpasta de uma pasta
compartilhada válida, a pasta base do usuário será criada automaticamente e
seu nome de usuário será usado para nomear esta pasta. Especifique uma letra
da unidade de disco para mapear a pasta base do usuário.

5. Na guia Member Of, mostrada na Figura 1-45, adicione o usuário aos grupos
necessários e clique em OK. Os grupos são discutidos no próximo objetivo.

45
Configure modelos
Se existem muitas contas de usuário semelhantes para adicionar, considere usar
modelos para acelerar o processo. Um modelo de conta de usuário é uma conta de
usuário normal, preenchida com propriedades e configurações comuns. Você copia a
conta em Active Directory Users And Computers e, então, configura apenas os ajustes
individuais exclusivos:

• First Name e Last Name


• Full Name
• User Logon Name
• Password
As seguintes propriedades de conta de usuário são copiadas quando um modelo de
conta é criado e depois copiado:

• Group Memberships
• Home Directories
• Profile Settings
• Logon Scripts
• Logon Hours
• Password Settings
• Department Name
• Manager

Gerenciando contas de usuário


Uma vez criadas as contas de usuário, prepare-se para gerenciá-las. Use Active Directory
Users and Computers ou o Windows PowerShell para executar as tarefas de
gerenciamento típicas a seguir:

• Redefinir senhas Clique com o botão direito do mouse na conta de usuário


desejada e, então, clique em Reset Password. No Windows PowerShell, use o
cmdlet Set-ADAccountPassword. Por exemplo, para redefinir a senha de Beth
Burke, use o comando a seguir:
Set-ADAccountPassword ‘CN=Beth Burke,OU=IT,DC=Adatum,DC=com’ -Reset -
NewPassword (ConvertTo-SecureString -AsPlainText “Pa55w.rd” -Force)

• Desbloquear contas Clique com o botão direito do mouse na conta de usuário


desejada e, então, clique em Unlock. No Windows PowerShell, use o cmdlet
Unlock--ADAccount.
• Renomear contas Clique com o botão direito do mouse na conta de usuário
desejada e, então, clique em Rename. Digite o novo nome completo e pressione
Enter. Na caixa de diálogo Rename User, mostrada na Figura 1-46, digite as
informações desejadas e clique em OK. No Windows PowerShell, use o cmdlet
Rename-ADObject.

46
• Mover usuários Clique com o botão direito do mouse na conta de usuário
desejada e, então, clique em Move. Na caixa de diálogo Move, clique no novo
local e depois em OK. No Windows PowerShell, use o cmdlet Move-ADObject.
Por exemplo, para mover Beth Burke de IT para Marketing no domínio
Adatum.com, use o comando a seguir:
Move-ADObject -Identity ‘CN=Beth Burke,OU=IT,DC=Adatum,DC=com’ -TargetPath
‘OU=Marketing,DC=Adatum,DC=com’
Podemos usar cmdlets do Windows PowerShell para executar todas as tarefas comuns
de gerenciamento de usuário. A Tabela 1-2 lista os cmdlets importantes e explica seu
uso.

Gerencie contas inativas e desabilitadas


Existem muitos motivos para contas se tornarem inativas, incluindo:

• Um funcionário sai de sua organização


• Um estagiário ou membro temporário da equipe sai
• Um membro da equipe está em período sabático ou doente por um período
prolongado
• Uma funcionária está em licença maternidade

47
Qualquer que seja o motivo, é considerada boa prática desabilitar as contas inativas para
ajudar a garantir a segurança de sua rede. Para desabilitar uma conta não usada, em
Active Directory Users And Computers, clique com o botão direito do mouse na conta
de usuário e, então, clique em Disable Account. Para habilitar uma conta desabilitada,
localize a conta de usuário, clique nela com o botão direito do mouse e, então, clique
em Enable Account.

Adicione e gerencie contas de computador


Você deve criar uma conta no AD DS para os computadores pertencentes à sua
organização. Isso ajuda a tornar a infraestrutura de rede de sua organização segura, pois
os computadores podem se identificar no domínio do AD DS do qual são membros.
Por padrão, as contas de computador são criadas e armazenadas no contêiner
Computers. Isso não é uma OU e, portanto, não é possível delegar administração a elas
nem aplicar GPOs. Em organizações maiores, pense em colocar os computadores em
OUs, em vez de usar o contêiner Computers.
Para adicionar um computador ao domínio, você deve efetuar logon com uma conta que
tenha privilégio suficiente. Na verdade, são necessárias permissões para adicionar um
objeto computador dentro do domínio. Além disso, é necessário privilégio
administrativo local no computador em si. Por padrão, os seguintes grupos têm
permissões para criar objetos computador em qualquer OU:

• Enterprise Admins
• Domain Admins
• Administrators
• Account Operators

Você pode então adicionar a conta de computador usando uma de duas estratégias:

• Adicionar a conta de computador em uma etapa Quando um computador


ingressa em um domínio, é possível fornecer credenciais para criar a conta de
computador exigida ao mesmo tempo em que se altera as configurações do
computador cliente. Esse é um processo simples, de uma etapa.
• Criar a conta de computador previamente É possível criar uma conta de
computador no AD DS primeiro e, então, a partir do computador cliente,
adicionar o computador ao domínio. Essa estratégia de duas etapas permite
separar as tarefas administrativas de adicionar computadores ao domínio e
gerenciar contas de computador. Além disso, quaisquer GPOs configuradas no
contêiner do AD DS onde está a conta do computador são aplicados mais
rapidamente.
Para adicionar um computador Windows 10 a um domínio em uma só etapa, use o
procedimento a seguir:
1. No computador Windows 10, efetue logon como administrador local.
2. Clique com o botão direito do mouse em Iniciar e depois clique em System.

48
3. Em System, clique em Advanced System Settings.
4. Na guia Computer name da caixa de diálogo System Properties, clique em
Change.
5. Na caixa de diálogo Computer Name/Domain Changes, mostrada na Figura 1-47,
selecione Domain e, então, digite o nome do domínio.

6. Clique em OK e, na caixa de diálogo Windows Security, digite o nome de usuário


e a senha de uma conta de usuário do domínio que tenha privilégio suficiente
para adicionar uma conta de computador e, então, clique em OK.
7. Na caixa de diálogo pop-up Computer Name/Domain Changes, mostrada na
Figura 1-48, clique em OK.
8. Clique em OK no aviso de que seu computador deve ser reiniciado.
9. Na caixa de diálogo System Properties, clique em Close e, quando solicitado,
clique em Restart Now.
10. Efetue logon em seu computador usando uma conta de domínio.
11. Em seu controlador de domínio, abra Active Directory Users And Computers.
12. Navegue até o contêiner Computers e localize a nova conta de computador.
13. Se necessário, clique com o botão direito do mouse na nova conta e, então,
clique em Move, como mostrado na Figura 1-49.

49
14. Selecione a nova OU para o computador e clique em OK.
Geralmente, as contas de computador não exigem muito gerenciamento. Talvez seja
preciso adicionar um computador a um grupo de segurança, que é um processo quase
idêntico a adicionar um usuário a um grupo. Para gerenciar computadores pode ser
usado Active Directory Users and Computers ou Active Directory Administrative Center.
Você também pode usar o Windows PowerShell A Tabela 1-3 lista os cmdlets comuns
para gerenciamento de computador do Windows PowerShell.

REDEFINA O CANAL DE SEGURANÇA


Ocasionalmente pode ser necessário redefinir o canal de segurança do computador.
Quando um computador se registra no domínio do AD DS, ele estabelece um canal de
segurança com o controlador de domínio. Às vezes, o canal de segurança é referido
como confiança. Sob algumas circunstâncias, essa confiança se torna indisponível e o
computador não pode estabelecer o canal de segurança. Isso pode resultar na
incapacidade dos usuários de efetuarem logon no computador e na falha da aplicação
de GPOs na máquina.
Frequentemente, quando ocorre uma falha de canal de segurança, os usuários recebem
a seguinte mensagem ao tentarem efetuar logon:
“The trust relationship between the workstation and the primary domain failed.”
(A relação de confiança entre a estação de trabalho e o domínio principal falhou.)
Alguns administradores retiram o computador do domínio, adicionando-o
temporariamente a um grupo de trabalho, e então, após reiniciar o computador, o

50
adicionam novamente ao domínio. Normalmente isso funciona. Contudo, isso remove o
objeto computador do AD DS e cria um novo, embora com o mesmo nome. Como o
objeto é novo e tem um novo SID (security identity, identidade de segurança), toda
associação como membro de grupo do computador é perdida.
Isso pode não ser uma preocupação, mas se você usa associação de grupo
extensivamente, é melhor redefinir o canal de segurança, em vez de retirar o
computador do domínio. O canal pode ser redefinido com Active Directory Users and
Computers, Windows PowerShell ou com a ferramenta de linha de comando
Dsmod.exe. A redefinição do canal garante que o SID do computador permaneça o
mesmo, significando que as associações de grupo são mantidas.
No Active Directory Users and Computers, para redefinir o canal de segurança:
1. Clique com o botão direito do mouse no computador, clique em Reset Account
e em Yes, como mostrado na Figura 1-50.
2. Reingresse o computador no domínio e, então, o reinicie.

Para usar o Windows PowerShell, no computador, execute o comando a seguir em um


prompt elevado do Windows PowerShell:
Test-ComputerSecureChannel -Repair
Para a ferramenta de linha de comando Dsmod.exe, use o comando a seguir no
computador e, então, reingresse a máquina no domínio:
Test-ComputerSecureChannel -Repair

Implemente ingresso no domínio offline


Normalmente, quando um computador é adicionado a um domínio do AD DS, os
controladores do domínio estão online e acessíveis a partir do computador que se quer
adicionar. Contudo, às vezes não é possível realizar um ingresso no domínio online, por
exemplo, quando o computador a ser adicionado está conectado a um controlador de
domínio por meio de uma conexão remota intermitente.

51
No Windows Server 2016, para computadores clientes executando Windows 7 ou mais
recente, é possível usar um recurso conhecido como ingresso no domínio offline para
contornar esse problema. Para fazer um ingresso no domínio offline, use a ferramenta
de linha de comando Djoin.exe. Djoin.exe gera um blob de metadados semelhante a um
arquivo de configuração, o qual é usado no computador cliente para completar o
processo de ingresso. Ao executar Djoin.exe, especifique o nome do domínio a ingressar,
o nome do computador a ser adicionado ao domínio e o nome e local do arquivo que
vai armazenar essas informações.
Para fazer um ingresso no domínio offline, use o procedimento a seguir:
1. Em um controlador de domínio, abra um prompt de comando elevado e execute
djoin.exe /provision. O formato desse comando é:
djoin.exe /Provision /Domain /Machine /SaveFile
Por exemplo, para adicionar LON-CL4 ao domínio Adatum.com, use o comando a seguir:
djoin.exe /provision /domain adatum.com /machine LON-CL4 /savefile c:\cl4.txt
2. Em seguida, copie o arquivo de ingresso no computador de destino e use o
comando djoin.exe /requestODJ. O formato do comando é:
djoin.exe /requestODJ /LoadFile /WindowsPath %systemroot% /Localos
Por exemplo, para adicionar LON-CL4, execute o comando a seguir:
djoin.exe /requestODJ /loadfile c:\LON-CL4.txt /windowspath C:\Windows /Localos
3. Reinicie o computador de destino.

Configure direitos de usuário


Direitos de usuário são diferentes das permissões. As permissões oferecem a capacidade
de acessar algo, como uma pasta ou impressora, enquanto os direitos são a capacidade
de fazer algo, como gerenciar uma impressora.
Às vezes, os direitos são descritos como a atribuição de habilidades de gerenciamento.
Muitas vezes isso é verdade, pois muitos direitos permitem aos usuários executar
tarefas de gerenciamento. Contudo, nem todos os direitos são administrativos. Alguns
servem para tarefas simples, voltadas ao usuário, como o direito de permitir logon local
ou mudar a hora do sistema.
É típico atribuir direitos adicionando usuário a grupos que já os têm. Por exemplo, os
membros do grupo Administrators local podem executar muitas tarefas de
gerenciamento por meio da atribuição de direitos a esse grupo. Se um usuário é
adicionado ao grupo Administrators, esse usuário usufrui desses direitos.
Contudo, se você quiser conceder um direito diretamente a um usuário ou mesmo
atribuir um direito a um grupo, é importante saber como fazer isso. A ferramenta mais
frequentemente usada para atribuir direitos em um ambiente sem domínios é a Local

52
Security Policy. Em uma floresta de AD DS, os administradores usam GPOs para atribuí-
los.
Para modificar direitos de usuário, use o procedimento a seguir:
1. Abra o console Group Policy Management.
2. Navegue até o contêiner Group Policy Objects.
3. No painel de detalhes, clique com o botão direito do mouse em Default Domain
Policy e, então, clique em Edit.
4. No Group Policy Management Editor (Editor de Gerenciamento de Política de
Grupo), no painel de navegação, expanda Computer Configuration, Policies,
Windows Settings, Security Settings, Local Policies e, então, como mostrado na
Figura 1-51, clique em User Rights Assignment.

5. No painel de detalhes, selecione o direito a ser atribuído, clicando duas vezes


nele.
6. Na caixa de diálogo Right Properties, mostrada na Figura 1-52, selecione Define
These Policy Settings, clique em Add User Or Group, selecione o usuário ou grupo
apropriado e clique em OK.

53
7. Na caixa de diálogo Right Properties, clique em OK.

Execute operações de Active Directory em massa


Operações em massa acontecem quando um administrador executa uma única tarefa
para completar várias atividades, podendo incluir as seguintes tarefas administrativas
comuns:

• Automatizar a criação de contas de Active Directory


• Automatizar o desbloqueio de contas desabilitadas usando o Windows
PowerShell
• Automatizar redefinições de senha usando o Windows PowerShell
• Alterar as propriedades de muitos usuários em um único passo, como nome do
departamento ou endereço
Em uma organização pequena, a necessidade de executar operações em massa é menos
provável. Contudo, em organizações grandes, provavelmente existirá a necessidade de
adicionar e configurar blocos de usuários regularmente. Exemplos podem ser a criação
de contas ou o gerenciamento dessas, como alteração das propriedades das contas.
Existem vários métodos que podem ser empregados para gerenciar contas em massa,
incluindo o uso de arquivos CSV (Comma Separated Value) e de scripts do Windows
PowerShell. Usar arquivos CSV pode tornar o trabalho com vários objetos do AD DS mais
rápido e fácil.
Um exemplo de arquivo CSV poderia ser o seguinte:
FullName, Department
Abbie Parsons, Sales

Allan Yoo, Sales


Erin Bull, Sales
Depois de criar um arquivo CSV corretamente formatado, você pode usá-lo com um
script do Windows PowerShell para efetuar sua operação em massa.
Por exemplo, para criar contas com Windows PowerShell e um arquivo CSV, você
poderia usar o seguinte script básico.
$users=Import-CSV –LiteralPath "C:\new-users.csv"
foreach ($user in $users)
{
New-ADUser $user.FullName -AccountPassword (Read-Host -AsSecureString
"Enter password") -Department $user.Department
}

54
Usando Windows PowerShell para modificar objetos do AD DS
Para efetuar operações em massa em objetos usuário ou computador, ou em objetos
grupo, passe uma lista dos objetos desejados para um cmdlet do Windows PowerShell
que, então, fará a modificação exigida. Frequentemente, o cmdlet que faz essa
modificação é um dos seguintes:

• Set-ADUser
• Set-ADComputer
• Set-ADGroup
• Set-ADOrganizationalUnit
Por exemplo, se você quisesse modificar o nome da empresa de todos os usuários após
uma fusão, poderia usar o seguinte comando:
Get-ADUser -Filter {company -like "A Datum"} | Set-ADUser -Company "Contoso"
Para desabilitar todas as contas de usuário no departamento Sales, poderia usar o
seguinte comando:
Get-ADUser -Filter {Department -like "Sales"} | Disable-ADAccount
Para redefinir a senha de todos os usuários no departamento Marketing, poderia usar o
seguinte comando:
Get-ADUser -Filter {Department -like "Marketing"} | Set-ADAccountPassword -Reset -
NewPassword (ConvertTo-SecureString -AsPlainText "Pa55w.rd" -Force)

Objetivo 1.3: Criar e gerenciar grupos e unidades organizacionais do Active


Directory
Além de usuários e computadores, todas as florestas de AD DS contêm grupos e OUs.
Ferramentas gráficas podem ser usadas para criar e gerenciar grupos e OUs ou, como
alternativa, cmdlets do Windows PowerShell.
De certo modo, grupos e OUs são semelhantes, já que ambos contêm objetos, como
usuários, computadores e até outros OUs ou grupos. Contudo, a rigor, os grupos têm
membros e as OUs contêm objetos.
Além disso, OUs e grupos são usados de maneiras diferentes. Normalmente, grupos são
implementados no AD DS para atribuir direitos ou permissões, enquanto OUs são usadas
para otimizar o gerenciamento por meio da aplicação de GPOs ou de delegação.
Por padrão, um controlador de domínio Windows Server 2016 contém várias contas de
grupo internas (ou padrão), incluindo as listadas na Tabela 1-4.

55
Além desses grupos, o Windows Server também suporta a noção de identidades
especiais. Elas são tratadas como grupos dentro do sistema operacional, visto que é
possível conceder permissões e direitos a elas, como qualquer outro grupo. Contudo, a
lista de membros não pode ser editada, ou seja, não é possível associar uma identidade
especial a um usuário (ou outro grupo). Em vez disso, os membros de grupo são
associados de forma implícita, com base nas características de um usuário em
determinada situação. As identidades especiais são:

• Everyone Esta identidade representa todo mundo e inclui tanto usuários com
conta como convidados sem conta – supondo que contas de convidado estejam
habilitadas.
• Authenticated Users Esta identidade é mais específica e inclui todos, exceto os
convidados.

56
• Anonymous Logon Esta identidade é usada pelos recursos que não exigem nome
de usuário nem senha para permitir o acesso. Ela não inclui convidados.
• Interactive Um usuário que está tentando acessar um recurso no computador
local possui a identidade Interactive.
• Network Um usuário que está tentando acessar um recurso em um computador
remoto possui a identidade Network.
• Creator Owner Qualquer indivíduo que cria um objeto, como um arquivo, possui
a identidade Creator Owner desse objeto. Um usuário associado a essa
identidade tem total controle sobre o objeto.

Crie e gerencie grupos


Com relação aos grupos, é importante determinar quando é adequado usar os grupos
padrão internos ou as identidades especiais e quando é necessário criar e configurar
grupos adicionais, convenientes às necessidades específicas de sua organização.

Configure aninhamento de grupos


No Windows Server 2016 é possível configurar aninhamento de grupos. Trata-se do
processo de adicionar um grupo como membro de outro. O objetivo por trás do
aninhamento de grupos é o escalonamento. Às vezes faz sentido agrupar usuários e
atribuir permissões (ou direitos) em grupo, em vez de aos indivíduos que constituem o
grupo, e às vezes faz sentido agrupar grupos. Isso é particularmente relevante em
florestas de AD DS grandes, com vários domínios.
Para facilitar o aninhamento de grupos, no Windows Server 2016 o AD DS suporta três
escopos de grupo e dois tipos de grupo. São eles:

• Escopos Definem o escopo (ou intervalo) de habilidades:


• Domain local Só podem ser concedidos direitos e permissões dentro da
autoridade de segurança local. Ou seja, uma conta de domínio local só pode
receber direitos e permissões nos recursos do domínio local. Um grupo de
domínio local pode conter:
• Usuários de qualquer domínio da floresta
• Grupos globais de qualquer domínio da floresta
• Grupos universais de qualquer domínio da floresta
• Global Pode receber direitos e permissões para qualquer recurso de qualquer
domínio da floresta. Um grupo global pode conter:
• Usuários do mesmo domínio
• Grupos globais do mesmo domínio
• Universal Usado para operações em nível de floresta, permitindo a atribuição de
permissões e direitos em qualquer domínio da floresta. Grupos universais
podem conter:
• Contas de usuário, grupos globais e outros grupos universais de qualquer
domínio da floresta inteira
• Tipos Definem a finalidade do grupo:

57
• Segurança Usado para atribuir permissões ou direitos. Também pode ser usado
para os propósitos de listas de distribuição de e-mail.
• Distribuição Usado para os propósitos de listas de distribuição de e-mail.
No Windows Server 2016 há uma estratégia recomendada para aninhar grupos, referida
como IGDLA, que é a abreviatura do seguinte:

• Identidades Contas de usuário e computador que representam funções


corporativas dentro de sua organização.
• Grupos globais Contêm identidades e pertencem aos grupos de domínio local.
Geralmente seus nomes definem os objetos que são membros. Por exemplo,
Vendas, Marketing, Usuários europeus.
• Grupos de domínio local Recebem permissões e direitos nos objetos.
Geralmente seus nomes definem as funções que os membros desempenham.
Por exemplo, Administradores, Operadores de Impressão.
• Acesso O acesso concedido a um recurso para o grupo de domínio local. Em uma
floresta grande, com vários domínios, também é possível usar grupos universais
para ajudar a gerenciar o aninhamento. Isso é referido como IGUDLA:
• Identidades Contas de usuário e computador.
• Grupos globais Contêm identidades e pertencem a grupos universais.
• Universal Consolida vários grupos globais de diversos domínios em uma única
entidade.
• Grupos de domínio local Contêm grupos universais e têm permissões e direitos
configurados nos objetos.
• Acesso O acesso concedido a um recurso.
Não é preciso implementar nenhuma dessas estratégias. Na verdade, em uma floresta
de um só domínio há pouca diferença entre os grupos, pois o escopo de todos os grupos
é o mesmo, assim como os possíveis membros de qualquer grupo. Contudo, recomenda-
se pelo menos considerar o uso de IGDLA em uma floresta de um único domínio, para o
caso de você adicionar mais domínios posteriormente.

Converta grupos, inclusive de segurança, distribuição, universal, global e


domínio local
Se você cria um grupo, define seu escopo e tipo e, posteriormente, quer mudar o escopo
e/ou tipo, isso é possível em certas circunstâncias, resumidas na lista a seguir:

• Global para universal Permitido somente se o grupo que vai mudar de escopo
não é membro de outro grupo global. Isso porque um grupo universal não pode
pertencer a um grupo global.
• Domínio local para universal Permitido somente se o grupo que vai mudar de
escopo não contém outro grupo de domínio local. Isso porque um grupo
universal não pode conter um grupo de domínio local.

58
• Universal para global Permitido somente se o grupo que vai mudar de escopo
não tem outro grupo universal como membro. Isso porque um grupo universal
não pode pertencer a um grupo global.
• Universal para domínio local Sempre permitido.
Se quiser mudar o tipo do grupo, isso é sempre permitido, mas com as seguintes
advertências:

• Distribuição para segurança Sempre permitido.


• Segurança para distribuição Sempre permitido, mas todos os direitos e as
permissões atribuídos ao grupo são perdidos pois os grupos de distribuição não
podem receber permissões nem direitos.

Crie, configure e exclua grupos


O processo de criação e gerenciamento de grupos é simples. Assim como no caso de
usuários e computadores, é possível usar Active Directory Users and Computers, Active
Directory Administrative Center ou Windows PowerShell para executar todas as tarefas
de gerenciamento de grupos.
Para criar um grupo com Active Directory Users and Computers, use o procedimento a
seguir:
1. Localize a OU apropriada. Clique nela com o botão direito do mouse, aponte para
New e clique em Group.
2. Na caixa de diálogo New Object – Group, mostrada na Figura 1-53, digite, em
Group name, o nome do grupo. Group name (pre-Windows 2000) é preenchido
automaticamente.

3. Especifique o escopo e o tipo do grupo. O padrão é global, de segurança. Clique


em OK.
Depois de adicionar o grupo, no painel de detalhes do Active Directory Users and
Computers, clique duas vezes no grupo para configurar suas propriedades, incluindo os
membros. Para adicionar um membro, clique na guia Members, como mostrado na
Figura 1-54, clique em Add, acesse e selecione seu usuário ou grupo e clique em OK.

59
É possível configurar gerentes para um grupo. Isso permite delegar a responsabilidade
pelo gerenciamento do grupo, como mostrado na Figura 1-55.

Um grupo pode ser excluído facilmente com o Active Directory Users and Computers.
Clique com o botão direito do mouse no grupo e, então, clique em Delete. No prompt
de confirmação, clique em Yes.
Todas as tarefas de gerenciamento de grupo podem ser executadas com o Windows
PowerShell. A Tabela 1-5 mostra os cmdlets de gerenciamento de grupo.

60
Por exemplo, para criar um grupo chamado IT Managers na OU IT do domínio
Adatum.com, use o seguinte comando:
New-ADGroup -Name “IT Managers” -SamAccountName ITManagers -GroupCategory
Security -GroupScope Global -DisplayName “ IT Managers” -Path
“OU=IT,DC=Adatum,DC=Com” -Description “Members of this group are RODC
Administrators”
Para adicionar membros, use o seguinte comando:
Add-ADGroupMember “IT Managers” “Beth”, “Ida”
Para enumerar os membros do grupo atual, use o seguinte comando:
Get-ADGroupMember “IT Managers”

Gerencie membros de grupo usando Group Policy


Embora seja possível manter membros de grupo manualmente, usando o Windows
PowerShell ou as ferramentas gráficas, como Active Directory Users and Computers, isso
pode ser demorado, especialmente em uma organização grande.
No AD DS do Windows Server 2016 é possível usar GPOs para manter membros de
grupo. Isso significa que você pode gerenciar membros de grupo automaticamente, a
partir de um único ponto. Isso se chama Grupos Restritos.
Usando Grupos Restritos é possível configurar a associação como membro de um grupo
específico e também se determinado grupo deve ser membro de outro. Ou então, você
pode configurar ambos, para criar um aninhamento de grupos. Para implementar
Grupos Restritos, em seu controlador de domínio, abra o console Group Policy
Management.
1. Navegue até o contêiner Group Policy Objects.
2. No painel de detalhes, clique com o botão direito do mouse em Default Domain
Policy e, então, clique em Edit. Você pode, é claro, criar sua própria GPO e
vinculá-la à OU apropriada.

61
3. No Group Policy Management Editor, no painel de navegação, expanda
Computer Configuration, Policies, Windows Settings, Security Settings e, então,
clique no nó Restricted Groups.
4. Clique com o botão direito do mouse em Restricted Groups e, então, clique em
Add Group.
5. Na caixa de diálogo Add Group, localize o grupo a ser gerenciado e clique em OK.
6. Então, na caixa de diálogo Group Properties, mostrada na Figura 1-56, para
restringir a associação como membro do grupo, sob o cabeçalho Configure
Membership For Group, clique em Add e adicione os usuários ou grupos que
devem pertencer ao grupo.
7. Opcionalmente, sob o cabeçalho This Group Is A Member Of, localize os grupos
dos quais esse grupo deve ser membro. Clique em OK.

Crie e gerencie OUs


As OUs permitem gerenciar o domínio do AD DS mais facilmente, agrupando usuários,
grupos e computadores em um contêiner e, então, aplicando ajustes de configuração a
esse contêiner, usando GPOs. Além disso, é possível configurar ajustes de segurança nas
OUs, de modo que um subconjunto das permissões de gerenciamento seja atribuído a
um usuário ou grupo nessa OU e, portanto, aos objetos dentro dela. Isso é conhecido
como delegação.
Antes de começar a criar OUs e populá-las com usuários, grupos e computadores, é
interessante gastar algum tempo pensando sobre o que se deseja obter com elas. A
maioria das organizações consolida seus objetos do AD DS em OUs com base em uma
das seguintes estratégias:

• Unidades corporativas Podem representar o departamento, como Vendas ou


Pesquisa. Podem representar uma linha de produtos, como Aviação ou Pinturas.
• Localização geográfica Dependendo do tamanho de sua organização, pode ser o
local do escritório, a cidade ou mesmo o país ou continente. Lembre-se de que é

62
possível usar objetos de sites do AD DS para controlar o comportamento físico
da rede, de modo que usar OUs geográficas deve significar algo em termos de
delegação ou configuração.
• Mista Uma combinação dessas duas estratégias. É provável que isso seja
conveniente apenas para organizações maiores. Também é provável que suas
OUs sejam aninhadas, talvez primeiro por região e depois por departamento ou
vice-versa, dependendo da estrutura de gerenciamento de sua organização.
Depois de considerar como melhor implementar OUs, você pode começar a criá-las e
então mover objetos para elas, como usuários e computadores. Em geral, a maior parte
do gerenciamento de OUs é realizada com ferramentas gráficas, como Active Directory
Users and Computers. Contudo, é possível usar o Windows PowerShell. A Tabela 1-6 lista
os cmdlets comuns para gerenciamento de OU do Windows PowerShell.

Para criar uma OU no AD DS, abra o console Active Directory Users and Computers.
Navegue até o objeto do domínio e, então, use o seguinte procedimento:
1. Clique com o botão direito do mouse no domínio (ou na OU, se estiver criando
OUs aninhadas), aponte para New e clique em Organizational Unit.
2. Na caixa de diálogo New Object – Organizational Unit, mostrada na Figura 1-57,
na caixa Name, digite o nome de sua OU e clique em OK.

Depois de criar sua OU, você pode começar a criar, ou mover, objetos nela. Uma vez
concluída essa tarefa, crie e vincule GPOs às OUs para configurar ajustes de usuário e
computador para os objetos dentro da OU. As GPOs são discutidas em detalhes mais
adiante, no Capítulo 3: Criação e gerenciamento de Group Policy.

63
Delegue o gerenciamento do Active Directory usando grupos e OUs
Tendo criado suas OUs e preenchido com os objetos necessários, opcionalmente é
possível delegar sua administração para grupos dentro do AD DS.
Tarefas podem ser delegadas usando-se o Delegation Of Control Wizard no Active
Directory Users and Computers. Como alternativa, você pode atribuir manualmente
permissões específicas de AD DS em nível de objeto, usando a guia Security nos objetos
do AD DS. Contudo, esse processo pode ser demorado e trabalhoso.
Para delegar controle usando o Delegation Of Control Wizard, use o procedimento a
seguir:
1. No Active Directory Users and Computers, localize e clique com o botão direito
do mouse em sua OU e então clique em Delegate Control.
2. Na página Welcome do Delegation Of Control Wizard, clique em Next.
3. Na página Users or Groups, clique em Add e localize o usuário ou grupo ao qual
deseja delegar a tarefa específica que está sendo configurada. Clique em OK e
depois em Next.
4. Na página Tasks To Delegate, mostrada na Figura 1-58, na lista de Delegate The
Following Common Tasks, marque a caixa de seleção da tarefa (ou tarefas) que
deseja delegar e clique em Next.

5. As permissões de AD DS são configuradas. Clique em Finish.


Podemos executar o Delegation of Control Wizard quantas vezes for necessário para
atribuir as permissões exigidas. Contudo, para tarefas mais avançadas ou permissões
especialistas, deve-se usar tarefas personalizadas. Por exemplo, para delegar a
capacidade de criar e excluir objetos computador, use a opção de tarefa personalizada.

64
1. Ative o Delegation of Control Wizard, especifique o usuário ou grupo ao qual
deseja delegar a tarefa personalizada e, então, na página Tasks To Delegate,
clique em Cre-ate A Custom Task To Delegate e em Next.
2. Na página Active Directory Object Type, mostrada na Figura 1-59, selecione This
Folder, Existing Objects In This Folder, And Creation Of New Objects In This
Folder. Essa opção permite que o administrador delegado gerencie todos os
aspectos dos tipos de objeto selecionados. Clique em Next.

3. Na página Permissions, selecione Creation/Deletion Of Specific Child Objects,


como mostrado na Figura 1-60, e marque as caixas de seleção Create Computer
objects e Delete Computer objects. Clique em Next.

4. Clique em Finish. As permissões de AD DS são configuradas.


Chega um ponto em que usar o Delegation of Control Wizard é demorado demais.
Embora seja relativamente simples, ter de percorrer o assistente para atribuir outra
tarefa personalizada e depois outra seria mais demorado do que apenas configurar as
permissões de AD DS diretamente. Para ver e editar as permissões de AD DS em um
objeto, use o seguinte procedimento.
1. No Active Directory Users and Computers, clique no menu View e depois em
Advanced Features. Isso habilita a guia Security em todos os objetos.

65
2. Clique com o botão direito do mouse na OU e clique em Properties.
3. Na caixa de diálogo OU Properties, na guia Security, mostrada na Figura 1-61, é
possível ver as permissões da OU. Isso incluirá as permissões recentemente
delegadas.

4. Se quiser ver permissões delegadas de forma específica, clique em Advanced,


como mostrado na Figura 1-62. Você pode ver as permissões delegadas.

5. Agora você pode usar o botão Add para configurar permissões específicas, sem
a necessidade de usar o Delegation Of Control Wizard, como mostrado na Figura
1-63.

66
6. Clique em OK três vezes para concluir o processo.

67
Capítulo 2:
Gerenciamento e manutenção de
AD DS

68
Objetivo 2.1: Configurar autenticação de serviço e políticas de conta
Muitos aplicativos e serviços instalados no Windows Server são executados no contexto
de segurança de uma conta de usuário, conhecida como conta de serviço. Assim como
todas as contas de usuário, é importante que essas contas de serviço não sejam
comprometidas. O Windows Server 2016 fornece contas de serviço gerenciado (MSAs,
Managed Service Accounts) e contas de serviço gerenciado de grupo (gMSAs, Group
Managed Ser-vice Accounts) para facilitar o gerenciamento de contas de serviço.
Políticas de conta permitem controlar recursos de segurança fundamentais, como
complexidade, comprimento, expiração e bloqueio de senha. Esses recursos podem ser
usados para ajudar a tornar seguros sua rede, os aplicativos e os serviços executados
dentro dela.

Crie e configure MSAs e gMSAs


Nas versões anteriores do Windows Server era comum criar contas de usuário padrão
para executar aplicativos ou serviços. Por exemplo, você podia criar uma conta de
usuário chamada Email e configurar o programa de e-mail instalado para executar no
contexto dessa conta.
Usar contas de usuário padrão dessa maneira dá margem a algumas considerações,
incluindo:

• Gerenciamento de senha da conta A senha dessas contas de usuário padrão


deve ser alterada periodicamente para ajudar a manter a segurança de seus
aplicativos e serviços. A não alteração da senha da conta resulta na falha de seus
aplicativos ou serviços.
• Nomes da entidade de serviço Nomes da entidade de serviço (SPNs, service
principal names) são identificadores exclusivos para uma instância de serviço
específica, usados para associar uma instância de serviço a uma conta de serviço.
Se for usada uma conta de usuário padrão com SPNs, isso pode resultar em mais
esforço administrativo e causar problemas de autenticação, os quais podem
resultar em falha de aplicativo.
Uma possível solução é usar as contas de sistema local (NT AUTHORITY\SYSTEM), de
serviço local (NT AUTHORITY\LOCAL SERVICE) ou de serviço de rede (NT AUTHORITY\
NETWORK SERVICE) para configurar o aplicativo. Contudo, para muitas situações, essas
três contas podem não fornecer segurança suficiente nem ter privilégio suficiente.
O Windows Server 2016 fornece MSAs e gMSAs para ajudar a reduzir esses problemas:

• MSAs Ao contrário das contas de usuário padrão, as MSAs herdam parte de sua
estrutura de objetos computador, incluindo a manipulação de alterações de
senha. Isso oferece as seguintes vantagens:
• Gerenciamento de senha automático
• Gerenciamento de SPN simplificado

69
• gMSAs Permitem ampliar a função das MSAs para vários servidores no domínio
do AD DS. Isso é útil quando se está usando balanceamento de carga. Para usar
gM-SAs, seu ambiente de AD DS deve satisfazer os seguintes requisitos:
• Os computadores clientes devem executar no mínimo Windows 8
• Você deve criar uma chave KDS (key distribution services) raiz para seu domínio
• Pelo menos um controlador de domínio deve executar Windows Server 2012 ou
posterior
Ao criar uma gMSA, você deve definir o conjunto de computadores que podem
recuperar informações de senha do AD DS. Pode ser uma lista de objetos computador
ou um grupo do AD DS que contenha os objetos computador desejados.
No Windows Server 2016 os mesmos cmdlets do Windows PowerShell são usados para
criar e gerenciar gMSAs e MSAs. Isso significa que, no Windows Server 2016, todas as
MSAs são gerenciadas como gMSAs. Para criar gMSAs, comece criando a chave KDS raiz.
Em um controlador de domínio, use o seguinte cmdlet do Windows PowerShell para
essa tarefa:
Add-KdsRootKey –EffectiveImmediately
Depois de criar a chave KDS raiz, use o cmdlet new-ADServiceAccount do módulo do
Active Directory do Windows PowerShell, a partir de qualquer controlador de domínio,
para criar suas gMSAs. Por exemplo:
New-ADServiceAccount –Name LON-IIS-GMSA –DNSHostname LON-DC1.Adatum.com –
PrincipalsAllowedToRetrieveManagedPassword LON-DC1$, LON-DC2$, LON-IIS$
Use o parâmetro PrincipalsAllowedToRetrieveManagedPassword para definir quais
computadores ou grupos podem acessar as propriedades de senha da gMSA.
Quando tiver criado sua nova gMSA, você deve associá-la aos computadores servidores
nos quais ela vai ser usada. Para essa tarefa, use o cmdlet AddADComputerServiceAc-
count do módulo do Active Directory do Windows PowerShell. Por exemplo:
Add-ADComputerServiceAccount –identity LON-DC1 –ServiceAccount LON-IIS-GMSA
Em seguida, instale a gMSA nos servidores onde vai ser usada. Use o cmdlet Install-
ADServiceAccount. Por exemplo:
Install-ADServiceAccount -Identity LON-IIS-GMSA
Por fim, configure o serviço ou aplicativo exigido para usar a gMSA configurada. Use o
seguinte procedimento para completar a tarefa:
1. No(s) servidor(es) de destino, no Server Manager, clique em Tools e depois em
Services.
2. Localize o serviço apropriado, clique duas vezes nele e, então, na guia Log On,
mostrada na Figura 2-1, clique em This Account e digite o nome de sua conta.
Por exemplo, digite ADATUM\LON-IIS-GMSA.

70
3. Desmarque as caixas de seleção Password e Confirm Password e clique em OK.

Gerencie SPNs
SPNs são conceitualmente semelhantes aos registros de alias Domain Name System
(DNS), os CNAMEs, mas em vez de serem ponteiros para um registro de computador em
uma zona DNS, os SPNs apontam para contas de domínio. SPNs são usados pelo
Kerberos, o protocolo de autenticação dos controladores de domínio do AD DS no
Windows Server 2016. Eles associam um serviço a uma conta de logon de serviço,
permitindo a um aplicativo no computador cliente pedir para que o serviço autentique
uma conta, mesmo que o aplicativo cliente não saiba o nome da conta. Antes que o
Kerberos possa usar SPNs, os serviços devem registrar seus SPNs no AD DS.
Os SPNs consistem em vários elementos e devem ser exclusivos dentro da floresta do
AD DS. Os elementos são:

• Classe do serviço Identifica a classe de um serviço. Por exemplo, www para um


servidor web. Existem várias classes de serviço conhecidas.
• Host O nome do computador em que o serviço executa. Normalmente é um Fully
Qualified Domain Name (FQDN, Nome de Domínio Totalmente Qualificado),
como LON-SVR2.Adatum.com.
• Porta Usada opcionalmente para identificar o número da porta utilizada por um
serviço. Permite diferenciar entre várias instâncias dos mesmos serviços
instalados em determinado computador. Por exemplo, um site seguro usa a
porta TCP 443.
• Nome do serviço Elemento opcional, baseado no nome DNS do domínio, de um
localizador de serviço (SRV) ou do registro Mail Exchanger (MX) dentro do
domínio. Esse elemento identifica serviços que abrangem todo o domínio.
Isso cria um SPN composto desses elementos:
<classe do serviço>/<host>:<porta>/<nome do serviço>

71
Por exemplo:
WebService/LON-SVR2.Adatum.com:443
Geralmente é necessário pouco serviço de gerenciamento de SPNs. Mas, às vezes, pode
ser necessário forçar o registro. Para registrar SPNs, use a ferramenta de linha de
comando Setspn.exe.
Por exemplo, para registrar um SPN para IIS em LON-SVR2 no domínio Adatum. com,
usando a MSA de grupo LON-IIS-GMSA, use o comando a seguir, como mostrado na
Figura 2--2.
setspn -A WebService/lon-svr2.adatum.com:433 lon-iis-gmsa

Configure delegação restrita de Kerberos


Em algumas situações os aplicativos ou serviços podem estabelecer conexões com
aplicativos ou serviços remotos instalados em outros computadores servidores.
Basicamente, essas conexões são feitas em nome de computadores clientes que se
conectam ao aplicativo ou serviço original.
Normalmente, esse cenário ocorre quando um serviço front-end se comunica com um
serviço back-end em nome de usuários nos computadores clientes, usando o aplicativo
back-end. Para suportar esse cenário é necessário usar delegação de autenticação.
Trata-se do processo em que a autoridade de autenticação (no Windows Server 2016 é
um controlador de domínio) permite a um serviço atuar em nome de outro. O problema
é que nas versões anteriores do Windows Server não havia como evitar que a delegação
se estendesse a um terceiro ou mesmo quarto serviço. A delegação restrita de Kerberos
do Windows Server 2016 impede isso.
Para configurar delegação restrita, a fim de permitir que um aplicativo front-end acesse
um serviço back-end em nome de usuários, use um dos cmdlets a seguir para a entidade
de segurança que executa seu serviço front-end:

• Get-ADUser
• Get-ADComputer

72
• Get-ADServiceAccount
Em seguida, passe o objeto da entidade de segurança como argumento, usando o
parâmetro PrincipalsAllowedToDelegateToAccount com um dos seguintes cmdlets do
Windows PowerShell:
Set-ADUser
Set-ADComputer
Set-ADServiceAccount
Por exemplo:
$computer = Get-ADComputer -Identity WEBSVR1
Set-ADComputer LON-SVR2 -PrincipalsAllowedToDelegateToAccount $computer

Configure contas virtuais


Não é possível criar, excluir ou gerenciar senhas de contas virtuais. Elas existem
automaticamente e são uma representação da conta de computador local, quando
usadas para acessar aplicativos ou recursos.
Para configurar um serviço para usar uma conta virtual, use o procedimento a seguir:
1. No Server Manager, clique em Tools e em Services.
2. Localize o serviço apropriado, clique duas vezes nele e, então, na guia Log On,
mostrada na Figura 2-3, clique em This Account e digite o nome de sua conta.
Por exemplo, digite NT SERVICE\LON-SVR2$.

3. Desmarque as caixas de seleção Password e Confirm Password e clique em OK.

73
Configure políticas de conta
Políticas de conta permitem configurar ajustes relacionados a senha, incluindo a política
de senha, ajustes de bloqueio de conta e ajustes de política de Kerberos. Esses ajustes
são acessados por meio da Default Domain Policy no Group Policy Management Editor.
Para ver e configurar esses ajustes, use o procedimento a seguir:
1. No Server Manager, clique em Tools e em Group Policy Management.
2. Em Group Policy Management, expanda sua floresta, a pasta Domains e o
domínio a ser configurado.
3. Clique na pasta Group Policy Objects e, no painel de detalhes, mostrado na
Figura 2-4, clique com o botão direito do mouse em Default Domain Policy e,
então, clique em Edit.

4. No Group Policy Management Editor, sob o nó Default Domain Policy, expanda


Computer Configuration, Policies, Windows Settings, Security Settings e, então,
clique em Account Policies, como mostrado na Figura 2-5.

74
Configure ajustes de política de senha de usuário local e de domínio
Políticas de senha permitem definir configurações que controlam o gerenciamento das
senhas dos usuários de seu domínio. Para ajustes da política de senha do domínio, no
Group Policy Management Editor, sob a pasta Account Policies, na pasta Password
Policy, mostrada na Figura 2-6, é possível configurar o seguinte:

• Enforce Password History Impede que os usuários reutilizem senhas. O valor


padrão é 24.
• Maximum Password Age Garante que os usuários mudem suas senhas dentro
do período definido. O padrão é 42 dias.
• Minimum Password Age Impede que os usuários alterem suas senhas até que
esse período tenha expirado. Ajuda a evitar que os usuários circulem por um
intervalo de senhas, até chegar às suas senhas favoritas, alterando a senha 24
vezes muito rapidamente. O padrão é um dia.
• Minimum Password Length Garante que as senhas não sejam curtas demais.
Senhas longas são mais difíceis de adivinhar, especialmente se também forem
impostas senhas complexas. O padrão é sete caracteres.
• Password Must Meet Complexity Requirements Ajuda a garantir que as senhas
sejam mais difíceis de adivinhar. Habilitado por padrão. Quando habilitado, as
senhas devem satisfazer vários requisitos de complexidade:
• Não podem conter o nome do usuário nem o nome de sua conta
• Devem conter pelo menos seis caracteres
• Devem conter caracteres de pelo menos três dos quatro grupos a seguir:
• Letras maiúsculas [A–Z]
• Letras minúsculas [a–z]
• Numerais [0–9]
• Caracteres não alfanuméricos especiais, como !@#)(*&^%
• Store Passwords Using Reversible Encryption Fornece suporte para aplicativos
mais antigos que exigem saber a senha do usuário. Em muitos casos, armazenar
senhas usando criptografia reversível é o mesmo que armazenar senhas em
texto puro, devendo ser evitado, a não ser que seja absolutamente necessário.
Isso é desabilitado por padrão.

75
Para computadores em um grupo de trabalho pode ser configurada uma política de
conta local. Para configurar políticas de senha locais, no computador de destino, no
Server Manager, clique em Tools e em Local Security Policy. Expanda Account Policies e,
como mostrado na Figura 2-7, clique em Password Policy. Também é possível configurar
uma política de bloqueio de conta local.

Configure ajustes de política de bloqueio de conta


Os ajustes de bloqueio de conta definem o que acontece quando um usuário digita uma
senha incorreta. Se a conta de um usuário é bloqueada, ele não pode efetuar logon até
que a conta seja desbloqueada. Na pasta Lockout Policy, mostrada na Figura 2-8, é
possível configurar os seguintes ajustes de bloqueio:

• Account Lockout Duration Define a duração do bloqueio, em minutos. Depois


que uma conta é bloqueada, uma vez decorrido esse período ela é desbloqueada
automaticamente. Um administrador pode desbloquear a conta manualmente,
a qualquer momento. Para sempre usar desbloqueio manual, configure a
duração do bloqueio como 0. Esta configuração não é habilitada por padrão.
• Account Lockout Threshold Determina quantas tentativas de logon incorretas
um usuário pode fazer antes que sua conta seja bloqueada. O valor 0 é atribuído
por padrão, o que desativa o bloqueio de conta.
• Reset Account Lockout Counter After Determina quantos minutos devem passar
antes que o limite de bloqueio de conta seja redefinido. Usado em conjunto com
o valor de limite de bloqueio de conta, é possível configurar a sensibilidade de
um sistema a senhas incorretas. Por exemplo, configurar o valor 5, em conjunto
com um limite de bloqueio de conta igual a 2, significa que quaisquer duas
senhas incorretas em um período de cinco minutos bloqueia a conta. Mudar esse
valor para 30 torna o sistema mais sensível, pois a conta é bloqueada após duas
tentativas de registro incorretas em um período de 30 minutos. Essa
configuração não é habilitada por padrão.

76
Para desbloquear uma conta manualmente, abra as propriedades da conta do usuário
no Active Directory Users and Computers. Na guia Account, mostrada na Figura 2-9,
marque a caixa de seleção Unlock Account e clique em OK.

Configure ajustes de política de Kerberos


Kerberos fornece a arquitetura de autenticação do Windows Server 2016. Quando os
usuários efetuam logon, recebem um tíquete de concessão de tíquete de Kerberos de
um controlador de domínio. Quando um usuário tenta se conectar a um servidor, recebe
um tíquete de serviço. Os ajustes de política de Kerberos permitem controlar aspectos
da manipulação e da renovação de tíquetes.
Na pasta Kerberos Policy, mostrada na Figura 2-10, é possível configurar os seguintes
ajustes de Kerberos:

77
• Enforce User Logon Restrictions Força os controladores de domínio a fazer
validação adicional na política de direitos do usuário, ajudando a aumentar a
segurança. O padrão é Enabled (habilitado).
• Maximum Lifetime For Service Ticket Define o tempo de vida máximo do tíquete
de serviço de um usuário. Deve ser de pelo menos 10 minutos e não maior que
o tempo de vida máximo de um tíquete de usuário. O padrão é 600 minutos.
• Maximum Lifetime For User Ticket Determina o tempo de vida máximo do
tíquete de concessão de tíquete de um usuário. O padrão é 10 horas.
• Maximum Lifetime For User Ticket Renewal Determina por quanto tempo um
usuário pode renovar seu tíquete de concessão de tíquete. O padrão é 7 dias.
• Maximum Tolerance For Computer Clock Synchronization Determina a
tolerância a uma disparidade entre a hora do computador cliente e a do
controlador de domínio. O padrão é cinco minutos.

Configure e aplique PSOs


Só é possível configurar políticas de conta para seu domínio. Você não pode configurar
uma política separada para unidades organizacionais (OUs) dentro do domínio. Nas
versões anteriores do Windows Server, a necessidade de configurar uma política de
conta diferente para grupos empresariais ou localizações geográficas muitas vezes
significava ter de configurar vários domínios dentro da floresta do AD DS.
Contudo, no Windows Server 2016 é possível implementar várias políticas de conta,
usando objetos de configuração de senha (PSOs, password settings objects). Com PSOs
pode-se implementar e configurar políticas de conta que afetam usuários e grupos, em
vez de apenas contêineres, significando que você tem controle administrativo mais
específico.
Além dos PSOs, o Windows Server 2016 cria um contêiner chamado Password Settings
Container, que armazena os PSOs que você cria e aplica em seu domínio.

78
Para implementar PSOs, crie o PSO e vincule-o ao objeto usuário ou grupo apropriado.
Por exemplo, para configurar uma política de senha mais rigorosa para contas de
administrador, use o seguinte procedimento de alto nível:
1. Crie um grupo de segurança global chamado Secure Admins.
2. Adicione ao grupo as contas de usuário necessárias.
3. Crie um PSO e vincule-o ao grupo Secure Admins.
Se vários PSOs são vinculados a um objeto, as seguintes regras de precedência se
aplicam:

• Se não houver PSOs vinculados a um usuário, o AD DS do Windows Server


aplicará as configurações de Default Domain Policy Account Policy.
• Se um PSO estiver vinculado diretamente a um objeto usuário, esse PSO terá
precedência em relação a quaisquer PSOs vinculados a grupos dos quais o
usuário é membro.
• Se PSOs estiverem vinculados a grupos, o AD DS comparará os PSOs de todos os
grupos de segurança globais dos quais o objeto usuário é membro.
Embora os ajustes de um PSO sejam idênticos às políticas de senha aplicadas em Default
Domain Policy, o Group Policy Management Editor não é usado para configurá-los ou
aplicá-los. Em vez disso, usa-se o Windows PowerShell ou o console Active Directory
Administrative Center.

Criando PSOs com Windows PowerShell


Para criar e aplicar PSOs com o Windows PowerShell, use os dois cmdlets a seguir:

• New-ADFineGrainedPasswordPolicy Cria o PSO e atribui as propriedades


definidas usando os parâmetros do cmdlet, mostrados na Tabela 2-1.
• Add-FineGrainedPasswordPolicySubject Vincula o PSO ao usuário ou grupo
definido usando os parâmetros do cmdlet.
Por exemplo, como mostrado na Figura 2-11, os comandos a seguir criam e vinculam um
novo PSO chamado Admins ao grupo global de segurança Secure Admins:

New-ADFineGrainedPasswordPolicy Admins -ComplexityEnabled:$true -


LockoutDuration:”00:45:00” -LockoutObservationWindow:”00:45:00” -
LockoutThreshold:”0” -MaxPasswordAge:”24.00:00:00” -
MinPasswordAge:”2.00:00:00” -MinPasswordLength:”8” -PasswordHistoryCount:”30” -
Precedence:”1” -ReversibleEncryptionEnabled:$false -Protecte
dFromAccidentalDeletion:$true

79
Criando PSOs com o Active Directory Administrative Center
Para criar e vincular PSOs com o console Active Directory Administrative Center, use o
procedimento a seguir:
1. No Active Directory Administrative Center, clique em Manage, em Add
Navigation Nodes, na caixa de diálogo Add Navigation Node, selecione o domínio

80
de destino apropriado, clique no botão >> e em OK, como mostrado na Figura 2-
12.

2. No painel de navegação, expanda seu domínio, clique no contêiner System e em


Password Settings Container, como mostrado na Figura 2-13. Pressione Enter.

3. No painel Tasks, clique em New e depois em Password Settings.


4. Na caixa de diálogo Create Password Settings, configure os ajustes exigidos para
o novo PSO, como mostrado na Figura 2-14.

5. Sob o cabeçalho Directly Applies To, clique em Add e, na caixa de diálogo Select
Users Or Groups, digite o nome do usuário ou grupo apropriado, como mostrado
na Figura 2-15, e clique em OK.

81
6. Clique em OK.

Delegue o gerenciamento de configurações de senha


Para delegar o gerenciamento de configurações de senha, use o Delegate Control Wizard
no Active Directory Users and Computers, como descrito no procedimento a seguir:
1. No Active Directory Users and Computers, localize e clique com o botão direito
do mouse na OU apropriada e, então, clique em Delegate Control.
2. Na página Welcome do Delegation Of Control Wizard, clique em Next.
3. Na página Users Or Groups, clique em Add e localize o usuário ou grupo para o
qual deseja delegar o gerenciamento de configurações de senha. Clique em OK
e depois em Next.
4. Na página Tasks To Delegate, mostrada na Figura 2-16, na lista de Delegate The
Following Common Tasks, marque a caixa de seleção Reset User Passwords And
Force Password Change At Next Logon e clique em Next. Quando solicitado,
clique em Finish.

A delegação de funções administrativas é abordada em detalhes no Capítulo 1:


Instalação e configuração de Active Directory Domain Services, Objetivo 1.3: Criar e
gerenciar grupos e unidades organizacionais do Active Directory, na seção Delegue o
gerenciamento do Active Directory usando grupos e OUs.

82
Objetivo 2.2: Manter o Active Directory
De modo geral, o AD DS é um serviço de diretório muito robusto e confiável, exigindo
pouca manutenção. Contudo, de tempos em tempos pode ser necessário desfragmentar
o banco de dados para otimizar o AD DS. Para ajudar na proteção contra perda de dados
ou corrupção do banco de dados, também é preciso saber como fazer backup e restaurar
o AD DS.
Você pode implantar controladores de domínio somente leitura (RODCs) em filiais ou
outros locais onde a segurança física do servidor não pode ser garantida. Como o RODC
mantém uma cópia somente leitura do AD DS, é importante saber como configurar e
gerenciar replicação no RODC e como gerenciar uma política de replicação de senha nos
RODCs de suas filiais.

Gerencie offline o Active Directory


O AD DS é armazenado em controladores de domínio, em um banco de dados e em um
conjunto de arquivos de log relacionados.
A maioria das operações de banco de dados do AD DS é executada online, isto é, o
serviço AD DS está funcionando e acessível na rede. Contudo, algumas operações, como
a manutenção do banco de dados, devem ser executadas offline. Muitas vezes, isso
significa que é preciso reiniciar o controlador de domínio no DSRM (Directory Services
Restore Mode). Enquanto o servidor está no DSRM, não pode atender pedidos de logon
de clientes nem executar quaisquer outras tarefas do AD DS. Para permitir que sua rede
continue a operar corretamente, é preciso ter controladores de domínio adicionais que
possam continuar a fornecer serviços relacionados ao diretório.
No Windows Server 2016, para algumas tarefas relacionadas a banco de dados também
é possível parar o serviço AD DS, em vez de reiniciar o controlador de domínio no DSRM.
Usar AD DS reiniciável para executar tarefas de manutenção pode ajudar você a
completar essas tarefas mais rapidamente, reduzindo o tempo de parada de seu
controlador de domínio.

Faça a desfragmentação offline de um banco de dados AD DS


Ao fazer a desfragmentação offline do banco de dados AD DS, você permite que espaço
não usado nele se torne disponível para o sistema de arquivos. Ao término da
desfragmentação você tem um banco de dados AD DS compactado. Para fazer a
manutenção offline do banco de dados AD DS, use a ferramenta de linha de comando
NtdsUtil.exe.
Para compactar seu AD DS, use o seguinte procedimento:
1. No controlador de domínio, no Server Manager, clique em Tools e depois em
Services para abrir o console Services.
2. Pare o serviço Active Directory Domain Services, como mostrado na Figura 2-17.

83
3. É solicitado para que você pare serviços relacionados, como DNS Server,
Kerberos Key Distribution Center, Intersite Messaging e DFS Replication. Clique
em Yes para pará-los.
4. Abra um prompt de comando elevado.
5. Execute o comando NtdsUtil.exe.
6. Execute os seguintes comandos, como mostrado na Figura 2-18:
• Activate instance NTDS J Files
• Compact to C:\
• Integrity

7. Complete a manutenção do banco de dados, executando os comandos a seguir


no prompt de comando elevado:
• Quit
• Quit
• Copy C:\ntds.dit C:\Windows\NTDS\ntds.dit

84
• Del C:\Windows\NTDS\*.log
• Exit
8. No console Services, inicie o Active Directory Domain Services. Os serviços
relacionados também iniciam.

Faça a limpeza de metadados


Limpar metadados é uma tarefa que deve ser realizada depois de se ter removido um
controlador de domínio da floresta do AD DS, provavelmente após uma falha do
servidor. Os metadados identificam o controlador de domínio no AD DS. Se eles não
forem limpos, podem afetar a replicação do AD DS e do Distributed File System (DFS,
Sistema de Arquivos Distribuído).
A limpeza dos metadados pode ser feita com Active Directory Users and Computers e
com Active Directory Sites and Services. Você também pode usar a ferramenta de linha
de comando NtdsUtil.exe.

USANDO FERRAMENTAS GRÁFICAS


Use o procedimento a seguir para fazer a limpeza de metadados do AD DS com
ferramentas gráficas:
1. Em um controlador de domínio, no Server Manager, clique em Tools e depois em
Active Directory Users And Computers.
2. Navegue até a pasta Domain Controllers, clique com o botão direito do mouse
no controlador de domínio removido anteriormente do domínio e clique em
Delete. Clique em Yes para confirmar a operação.
3. Na caixa de diálogo Deleting Domain Controller, mostrada na Figura 2-19,
marque a caixa de seleção Delete this Domain Controller anyway e clique em
Delete.

4. Se o controlador de domínio é um servidor de catálogo global, clique em Yes para


confirmar a exclusão.

85
5. Se o controlador de domínio removido contém uma ou mais funções de mestre
de operações, é preciso mover as funções para um controlador de domínio
online. Clique em OK a fim de mover as funções para o controlador de domínio
sugerido. Você não pode usar um controlador de domínio diferente do sugerido
pelo processo de exclusão. Se quiser usar outro controlador de domínio para
conter as funções de mestre de operações, mova-as depois de concluir o
processo de limpeza de metadados. Mais informações sobre a transferência de
funções de mestre de operações se encontram no Objetivo 1.1: Instalar e
configurar controladores de domínio, na seção Transfira e execute seize de
funções de mestre de operações.
6. No Server Manager, clique em Tools e depois em Active Directory Sites And
Services.
7. Navegue até o objeto Site que contém o controlador de domínio removido.
Expanda a pasta Servers e localize o servidor removido.
8. Selecione NTDS Settings. Clique com o botão direito do mouse no nó NTDS
Settings e, então, clique em Delete, como mostrado na Figura 2-20.

9. Na caixa de diálogo Active Directory Domain Services, clique em Yes para


confirmar a exclusão.
10. Na caixa de diálogo Deleting Domain Controller, marque a caixa de seleção
Delete This Domain Controller Anyway e clique em Delete.
11. Se o controlador de domínio é um servidor de catálogo global, clique em Yes na
caixa de diálogo Delete Domain Controller.
12. Se o controlador de domínio removido contém uma ou mais funções de mestre
de operações, é preciso mover as funções para um controlador de domínio
online. Clique em OK a fim de mover as funções para o controlador de domínio
sugerido. Você não pode usar um controlador de domínio diferente do sugerido
pelo processo de exclusão. Se quiser usar outro controlador de domínio para
conter as funções de mestre de operações, mova-as depois de concluir o
processo de limpeza de metadados.

86
13. Por fim, no console de navegação, clique com o botão direito do mouse no
controlador de domínio removido e, então, clique em Delete. Clique em Yes para
confirmar a operação.

USANDO NTDSUTIL.EXE
Para executar a tarefa anterior, também é possível usar a ferramenta de linha de
comando NtdsUtil.exe em um prompt de comando elevado. Durante esse processo você
deve selecionar o controlador de domínio de destino, primeiramente selecionando seu
domínio e site. Use o seguinte procedimento para executar a tarefa:
1. Execute o comando NtdsUtil.exe.
2. Execute os comandos a seguir, em ordem, como mostrado na Figura 2-21:
• Metadata cleanup
• Connections
• Connect to server
• (onde <nome-servidor> é um controlador de domínio online)
• Quit
• Select Operation Target
• List domains
• Select Domain X
• (onde X é o domínio que contém o controlador de domínio removido)
• List sites
• Select Site Y
• (onde Y é o site que contém o controlador de domínio removido)
• List servers in site
• Select Server Z
• (onde Z é o controlador de domínio offline a ser removido)
• Quit
• Remove selected server
• Na janela Server Remove Confirmation Dialog, clique em Yes para concluir o
processo.
• Quit

87
Faça backup e recupere o Active Directory
AD DS é um serviço crítico e, como tal, é importante saber como protegê-lo contra perda
de dados e corrupção. Você pode ajudar a proteger o AD DS implementando Active
Directory Recycle Bin (Lixeira do Active Directory) e um procedimento adequado de
backup e recuperação.

Configure e restaure objetos usando Active Directory Recycle Bin


A primeira linha de proteção contra perda de dados no AD DS é a Active Directory
Recycle Bin. Para ativar a Active Directory Recycle Bin, no Active Directory
Administrative Centre (Central Administrativa do Active Directory), mostrado na Figura
2-22, na lista Tasks, clique em Enable Recycle Bin. Também é possível usar o cmdlet
Enable-ADOptionalFeature do Windows PowerShell.

Depois de ativar a Active Directory Recycle Bin, o contêiner Deleted Objects aparece no
Active Directory Administrative Center. Quando objetos do AD DS são excluídos, eles
são armazenados na pasta Deleted Objects, mostrada na Figura 2-23.

88
FAÇA A RECUPERAÇÃO DE OBJETO E DE CONTÊINER
Para recuperar um objeto excluído, na pasta Deleted Objects, clique nele com o botão
direito do mouse e, então, clique em Restore ou em Restore To. Escolher Restore
permite recuperar o objeto em seu local original no AD DS. A opção Restore To permite
especificar um local alternativo para o objeto. Quando um objeto excluído é recuperado
da Active Directory Recycle Bin, todos os seus atributos são restaurados, inclusive as
associações como membro de grupo e direitos de acesso.
Por padrão, objetos excluídos podem ser recuperados até 180 dias após a exclusão.
Contudo, esse valor pode ser reconfigurado, alterando-se os valores de tombstoneLifeti-
me e msDSDeletedObjectLifetime com o Windows PowerShell. Por exemplo, para
mudar o período de recuperação para 30 dias no domínio Adatum.com, execute os dois
comandos a seguir:
Set-ADObject -Identity “CN=Directory Service,CN=Windows
NT,CN=Services,CN=Configuration,DC=Adatum,DC=com” –Partition
“CN=Configuration,DC=Adatum,DC=com” –Replace:@ {“tombstoneLifetime” = 30}
Set-ADObject -Identity “CN=Directory Service,CN=Windows
NT,CN=Services,CN=Configuration,DC=Adatum,DC=com” –Partition
“CN=Configuration,DC=Adatum,DC=com” –Replace:@ {“msDSDeletedObjectLifetime” =
30}

Configure snapshots do Active Directory


Um snapshot do Active Directory é uma cópia do estado do AD DS em determinado
ponto. Os snapshots podem ser criados com a ferramenta de linha de comando
NtdsUtil.exe, usando-se o procedimento a seguir:
1. Abra um prompt de comando elevado em um controlador de domínio.
2. Execute NtdsUtil.exe e, então, execute os comandos a seguir, nesta ordem, para
completar o processo:
• Activate instance NTDS
• Snapshot
• Create

89
• List all
• Quit

Depois de criado, um snapshot pode ser examinado, usando-se NtdsUtil.exe para


montá-lo. Uma vez montado, use Active Directory Users and Computers para ver o snap-
shot. Para montar um snapshot, use o procedimento a seguir:
1. Abra um prompt de comando elevado em um controlador de domínio.
2. Execute NtdsUtil.exe e, então, execute os comandos a seguir, nesta ordem, para
completar o processo:
• Activate instance NTDS
• Snapshot
• List all
• Mount
• (onde é a identidade exclusiva do snapshot a ser montado)
• Quit
• Quit
3. Em um prompt de comando elevado, execute o comando a seguir:
• dsamain -dbpath c:\$snap_datetime_volumec$\windows\ntds\ntds.dit -
ldapport 50000
Para ver um snapshot, deixe o comando dsamain.exe em execução e complete o
próximo procedimento:
1. A partir do Server Manager, abra Active Directory Users And Computers.
2. Clique com o botão direito do mouse no nó-raiz e, então, clique em Change
Domain Controller.
3. Na caixa de diálogo Change Directory Server, clique em .
4. Digite o nome do controlador de domínio, seguido do número de porta
especificado anteriormente. Por exemplo, digite LON-DC1:50000, pressione
Enter e, então, clique em OK. Agora você pode ver o snapshot montado. Quando
acabar de examinar o snapshot, use o comando NtdsUtil.exe para desmontá-lo:
1. Em NtdsUtil.exe, execute os seguintes comandos:
• Activate instance NTDS
• Snapshot
• Unmount
• Quit
• Quit

Faça backup do Active Directory e do SYSVOL


Embora sejam úteis, não se pode contar com a Active Directory Recycle Bin ou com snap-
shots do AD DS para recuperar o AD DS. Além disso, nenhum desses métodos pode
ajudar a proteger os dados armazenados em SYSVOL.

90
Para fornecer proteção contra perda de dados ou corrupção do AD DS, considere a
possibilidade de implementar uma solução de backup e recuperação. É possível usar o
recurso Windows Server Backup para fornecer essa solução.
O Windows Server Backup consiste em uma ferramenta de linha de comando,
Wbadmin.exe, e um console gráfico, o qual pode ser usado para fazer backup e, se
necessário, restaurar o AD DS.
Para instalar o recurso Windows Server Backup, use o Server Manager, como mostrado
na Figura 2-24.

O Windows Server Backup permite fazer os seguintes tipos de backup:

• Bare Metal Recovery Em caso de falha total do servidor, talvez após a perda de
um disco rígido físico, um backup de Recuperação bare-metal pode ser usado
para recuperar completamente um servidor, no ponto em que o backup foi feito.
• System State O estado do sistema (system state) consiste na configuração do
servidor, incluindo as funções e os recursos instalados. Isso inclui o banco de
dados do AD DS e o conteúdo de SYSVOL.
• Selected Volumes Permite fazer backup de pastas (ou mesmo arquivos)
específicas. Depois de instalar o recurso Windows Server Backup, você pode usá-
lo para fazer backup do AD DS, com o procedimento a seguir.
1. Em seu controlador de domínio, clique em Iniciar, aponte para Windows
Accessories e clique em Windows Server Backup.
2. No Windows Server Backup, no painel de navegação, clique com o botão direito
do mouse em Local Backup e, então, clique em Backup Once.
3. Na página Backup Options do Backup Once Wizard, clique em Different Options
e em Next.
4. Na página Select Backup Configuration, clique em Custom e em Next.
5. Na página Select Items For Backup, clique em Add Items.
6. Na caixa de diálogo Select Items, marque a caixa de seleção System State, como
mostrado na Figura 2-25, e clique em OK.

91
7. Na página Select Items For Backup, mostrada na Figura 2-26, clique em Next.

8. Na página Specify Destination Type, selecione o destino. Escolha entre Local


drives e Remote Shared folder. Clique em Next.
9. Se você selecionou uma pasta remota, na página Specify Remote Folder, na caixa
Location, digite o caminho UNC para a pasta compartilhada que deseja usar
como destino do backup, como mostrado na Figura 2-27.

92
10. Na seção Access Control, clique em Do Not Inherit ou em Inherit. Essa
configuração controla quem tem acesso aos arquivos de backup de destino. Se
quiser limitar o acesso ao usuário que faz o backup, clique em Do Not Inherit e
depois em Next. Caso contrário, para permitir que o backup esteja acessível a
todos que tenham permissões na pasta remota, clique em Inherit e depois em
Next.
11. Na página Confirmation, clique em Backup.

Faça a restauração do Active Directory


Dependendo da situação, o modo de recuperar o AD DS varia. Por exemplo, se um
controlador de domínio se torna indisponível, mas ainda existe um ou mais
controladores para o mesmo domínio, pode-se simplesmente remover o controlador de
domínio, limpar os metadados e implantar um novo controlador para substituir o que
falhou.
Contudo, você pode decidir que prefere restaurar o AD DS em um controlador de
domínio, em vez de substituir o servidor, talvez porque ele contenha outros aplicativos,
serviços ou dados que não podem ser substituídos facilmente. Ou talvez porque você
precisa apenas recuperar alguns objetos excluídos. Nessa situação, execute uma
operação de restauração do AD DS.
Quando o AD DS é restaurado, é importante considerar a natureza do banco de dados.
Ele tem vários mestres, o que significa que, mesmo enquanto o controlador de domínio
está offline, ainda podem ocorrer alterações em outras instâncias do banco de dados
em outros controladores de domínio. Se o banco de dados do AD DS for simplesmente
restaurado no ponto no tempo em que foi feito o último backup, então esse ponto será
sobrescrito pela replicação do AD DS de outros controladores de domínio, quando a
operação de restauração estiver concluída. Isso pode ser desejável, afinal, se houve
alterações desde o último backup, normalmente se quer incluí-las.

93
No entanto, se você estiver tentando restaurar apenas uma parte do AD DS, não vai
querer sobrescrevê-lo com alterações replicadas. Por exemplo, em vez de lidar com um
controlador de domínio defeituoso, você tenta recuperar objetos que foram excluídos
acidentalmente. Se fosse executada uma operação de backup e, depois, um objeto do
AD DS fosse excluído de forma não intencional, essa exclusão seria replicada após a
operação de restauração.
Para ajudar a atenuar esse problema, você pode executar operações de restauração não
autoritativas ou autoritativas. Restauração autoritativa significa que os dados
restaurados não serão sobrescritos pelas alterações replicadas.
Para executar uma operação de restauração de AD DS não autoritativa, inicie seu
controlador de domínio no DSRM. Então, abra o console Windows Server Backup e use
o Restore Wizard para restaurar dados do estado do sistema de um backup anterior.
Esse é um procedimento simples. Então, reinicie seu controlador de domínio
normalmente. Neste momento, as alterações feitas desde o último backup serão
replicadas para este controlador de domínio.
Para executar uma operação de restauração de AD DS autoritativa, inicie o controlador
de domínio no DSRM, restaure o estado do sistema e, então, abra um prompt de
comando elevado. No prompt, execute o comando NtdsUtil.exe. Em seguida, execute os
comandos a seguir:

• Authoritative restore
• Restore object
O DN do objeto será algo como o seguinte: CN=Adam,OU=Sales,DC=adatum,DC= com.
Reinicie seu controlador de domínio normalmente. Se quiser marcar uma OU inteira
como autoritativa, no prompt do NtdsUtil.exe, execute os seguintes comandos:

• Authoritative restore
• Restore subtree
O objeto marcado como autoritativo não é sobrescrito e é replicado por toda a floresta,
a partir do controlador de domínio restaurado.

Gerencie controladores de domínio somente leitura


RODC é um controlador de domínio que contém uma cópia somente leitura do AD DS.
Os RODCs podem ser usados para a implantação de controladores de domínio em
escritórios onde a segurança física não pode ser garantida.
A implantação de RODCs é abordada no Capítulo 1: Instalação e configuração de Active
Directory Domain Services, Objetivo 1.1: Instalar e configurar controladores de domínio,
na seção Instale e configure um controlador de domínio somente leitura.

94
Configure política de replicação de senha para RODC
Por padrão, os RODCs não armazenam informações sigilosas relacionadas a senhas.
Consequentemente, quando um usuário efetua logon, o RODC encaminha o pedido de
logon para um controlador de domínio gravável dentro de sua organização.
Contudo, para melhorar a utilização, é possível definir que contas de usuário e
computador específicas podem ser colocadas em cache no RODC, permitindo
autenticação local. Isso é feito definindo-se uma política de replicação de senha RODC.
Geralmente, você só adicionaria na política de replicação usuários e computadores que
estivessem no mesmo local do RODC.
Para configurar uma política de replicação para um RODC, use dois grupos domínio local
de segurança:

• Allowed RODC Password Replication Group Adicione usuários ou computadores


a esse grupo para permitir que suas senhas sejam colocadas na cache do RODC.
• Denied RODC Password Replication Group Adicione usuários ou computadores
a esse grupo para impedir que suas senhas sejam colocadas na cache do RODC.
Esses grupos são criados automaticamente quando um RODC é implantado e permitem
configurar a política de replicação de senha em todos os RODCs. Mas se houver várias
filiais e, portanto, vários RODCs, é mais seguro configurar um grupo separado de
replicação de senha permitida para cada RODC. Nesse caso, remova o grupo Allowed
RODC Password Replication Group, adicione um grupo criado manualmente e, então,
adicione os membros necessários para essa filial. Use o seguinte procedimento para
executar essa tarefa:
1. Em Active Directory Users and Computers, crie um grupo global de segurança
que contenha usuários e computadores com permissões.
2. Localize a OU Domain Controllers.
3. Clique com o botão direito do mouse no RODC e clique em Properties.
4. Na caixa de diálogo Properties, na guia Password Replication Policy, mostrada na
Figura 2-28, remova Allowed RODC Password Replication Group.

95
5. Clique em Add e, como mostrado na Figura 2-29, clique em Allow Passwords For
The Account To Replicate To This RODC para a conta que está sendo adicionada
para a política de replicação de senha e, então, clique em OK.

6. Na caixa de diálogo Select Users, Computers, Service Accounts, or Groups, digite


o nome do grupo cujas senhas dos membros devem ser replicadas nesse RODC
e, então, clique em OK duas vezes.
7. Adicione os usuários e computadores necessários ao grupo que você acabou de
adicionar.
Um procedimento semelhante pode ser usado para modificar a política de negação de
replicação específica do servidor. Remova Denied RODC Password Replication Group da
política de replicação de senha e adicione seu próprio grupo, com membros cujas senhas
não serão replicadas no RODC de destino.
Use o modo de exibição Advanced da guia Password Replication Policy para ver quais
senhas de usuário e computador são replicadas no RODC. Também é possível
determinar a política efetiva para um usuário ou computador selecionado. Use o
procedimento a seguir:
1. Em Active Directory Users and Computers, na OU Domain Controllers, clique com
o botão direito do mouse em seu RODC e clique em Properties.
2. Na guia Password Replication Policy, clique em Advanced.
3. Na caixa de diálogo Advanced Password Replication Policy, na guia Policy Usage,
mostrada na Figura 2-30, na lista de Display Users And Computers That Meet The
Following Criteria, clique em:
• Accounts Whose Passwords Are Stored On This Read-Only Domain Controller
Permite ver quais usuários e computadores tiveram suas senhas colocadas em
cache no RODC.
• Accounts That Have Been Authenticated To This Read-Only Domain Controller
Permite ver quais usuários e computadores se registraram usando o RODC.

96
4. Use o botão Prepopulate Passwords para recuperar as senhas dos usuários
listados. Isso pode ajudar a reduzir o tempo de logon para os usuários
configurados.
5. Na guia Resultant Policy, adicione usuários ou computadores para determinar
qual é a política de senha resultante para os objetos selecionados. Isso é útil
quando existem vários grupos Allow ou Deny configurados na guia Password
Replication Policy.

Gerencie a replicação do AD DS
AD DS é um banco de dados que reside em controladores de domínio Windows Server
e consiste em várias partições. São elas:

• Esquema Partição em nível de floresta que raramente muda e contém o


esquema da floresta.
• Configuração Partição em nível de floresta que também muda raramente e
contém os dados de configuração da floresta.
• Domínio Partição em nível de domínio que muda frequentemente, sendo que
uma cópia gravável dela é armazenada em todos os controladores de domínio.
São raras as alterações nas partições de esquema e configuração. Consequentemente,
a maior parte do tráfego de replicação de AD DS é constituído de alterações na partição
de domínio, como a criação de objetos (usuários, grupos, computadores) e a atualização
de seus atributos (propriedades como senhas, associações a grupos, etc.). Como
administrador de AD DS, uma de suas funções é monitorar e gerenciar a topologia e o
tráfego de replicação.
Replicação do AD DS é o processo de sincronizar as várias cópias do banco de dados do
AD DS por toda sua floresta. Essa replicação tem as seguintes características:

• Vários mestres Com exceção de certos elementos específicos, o AD DS é um


banco de dados de vários mestres. Basicamente, isso significa que todas as

97
cópias são graváveis e podem ser atualizadas. Isso oferece a vantagem da
remoção de pontos de falha únicos e também pode melhorar o desempenho.
• Baseada em pull Os controladores de domínio buscam as alterações em seus
parceiros de replicação, em vez de recebê-las.
• Refinada Para evitar conflitos, a replicação é baseada nos atributos dos objetos
e não nos objetos inteiros. Isso reduz as chances de conflito, que de outra forma
poderia ocorrer caso o mesmo objeto fosse alterado em dois controladores de
domínio quase ao mesmo tempo.
• Reconhece o site Como a maioria das alterações ocorre na partição de domínio,
todos os controladores de domínio dentro de um domínio solicitam essas
alterações. Para ajudar a gerenciar links de rede mais lentos entre sites, você
pode configurar sites no AD DS e, então, definir o modo como a replicação do AD
DS é tratada entre sites. Isso é conhecido como replicação entre sites.
• Topologia gerada automaticamente O Windows Server gera a topologia de
replicação de AD DS automaticamente, criando uma infraestrutura resiliente e
eficiente. Em muitas circunstâncias, talvez não seja necessário reconfigurar a
topologia manualmente.
Ao se discutir replicação de AD DS é útil ter em mente que existem dois tipos de
replicação:

• Dentro dos sites (Intrassite) Isso ocorre entre controladores de domínio no


mesmo site de AD DS. O Windows Server gerencia a replicação de AD DS supondo
que redes persistentes de alta velocidade conectam controladores de domínio
dentro de um site. Normalmente, a replicação dentro dos sites exige pouca
intervenção manual, pois o Windows Server a gerencia eficientemente de forma
automática. Contudo, você deve projetar e implementar uma infraestrutura de
site conveniente no AD DS e colocar controladores de domínio no site
apropriado.
• Entre sites (Intersite) Isso ocorre entre controladores de domínio em sites de AD
DS diferentes. O Windows Server gerencia a replicação supondo que
controladores de domínio podem não estar conectados por redes persistentes
de alta velocidade. Você tem mais controle manual sobre o processo de
replicação, incluindo o intervalo e a agenda.

Monitore e gerencie replicação


A replicação intrassite consiste em uma rede de objetos de conexão entre controladores
de domínio, os quais são parceiros de replicação. Os objetos de conexão são caminhos
de replicação unilaterais, baseados em pull, entre um controlador de domínio e seu
parceiro de replicação.
Um componente chamado Knowledge Consistency Checker (KCC) gera uma topologia
otimizada para replicação, criando esses objetos de conexão automaticamente. Essa
topologia contém objetos de conexão suficientes para criar no máximo três saltos (hops)

98
entre quaisquer dois controladores de domínio, reduzindo assim os atrasos na
propagação de dados de replicação.
Se mais um controlador de domínio é implantado em um site ou, inversamente, um é
removido, o Knowledge Consistency Checker gera a topologia de replicação novamente,
para levar em conta a alteração.
A Figura 2-31 mostra os objetos de conexão no site Default-First-Site-Name, no domínio
Adatum.com.

Embora seja possível criar objetos de conexão persistentes manualmente dentro de um


site, normalmente isso não é necessário nem recomendado, pois o Knowledge Con-
sistency Checker não avalia objetos de conexão criados manualmente. É mais provável
ser necessário criar e configurar objetos de conexão para gerenciar replicação entre
sites. Isso está discutido no Objetivo 2.3: Configurar o Active Directory em um ambiente
corporativo complexo, na seção Configure sites e sub-redes no AD DS.
É possível ver e gerenciar replicação de AD DS usando a ferramenta Active Directory
Sites and Services (Serviços e Sites do Active Directory), como mostrado na Figura 2-31.
Por exemplo, você pode forçar a replicação em um objeto de conexão entre dois
controladores de domínio, usando o seguinte procedimento:
1. No Active Directory Sites and Services, navegue até o objeto servidor a ser
atualizado.
2. Sob o objeto servidor, clique no nó NTDS Settings e, no painel de detalhes, clique
com o botão direito do mouse no objeto .
3. No menu de contexto, clique em Replicate Now. Isso extrai as alterações do
parceiro de replicação designado.
Também é possível usar as ferramentas de linha de comando Repadmin.exe e
DcDiag.exe:

• Repadmin Use essa ferramenta para verificar o status da replicação em seus


controladores de domínio ou para reconfigurar a topologia de replicação:

99
• Exiba os parceiros de replicação de um controlador de domínio usando repadmin
/showrepl DC_LIST, como mostrado na Figura 2-32. Substitua DC_LIST pelo nome
de seu(s) controlador(es) de domínio. Um asterisco pode ser usado como
curinga.

• Exiba os objetos de conexão de um controlador de domínio usando repadmin /


showconn DC_LIST.
• Exiba metadados sobre um objeto usando repadmin /showobjmeta DC_LIST
Object. Substitua object pelo nome distinto ou pelo GUID de seu objeto.
• Inicie o Knowledge Consistency Checker usando repadmin /kcc.
• Force a replicação entre os parceiros usando repadmin /replicate
Destination_DC_ LIST Source_DC_Name Naming_Context.
• Sincronize um controlador de domínio com todos os parceiros de replicação
usando repadmin /syncall DC/A /e.
• DcDiag Use Dcdiag.exe para fazer testes em sua topologia de replicação do AD
DS, como mostrado na Figura 2-33. Também é possível usar vários parâmetros
para executar testes específicos, incluindo: FrsEvent, DFSREvent, Intersite,
KccEvent, Replications, Topology e VerifyReplicas.
• Use com os parâmetros a seguir para executar.

100
Para monitorar e gerenciar replicação no Windows Server 2016, também é possível usar
vários cmdlets do Windows PowerShell, como mostrado na Tabela 2-2.

Configure replicação para RODCs


Por sua natureza, os RODCs existem em localizações físicas distintas das de
controladores de domínio graváveis. Normalmente, isso deve significar que eles existem
em um site de AD DS diferente. Portanto, qualquer configuração de replicação de RODC
é entre sites, em vez de intrassite. Isso exige que se tenha configurado os objetos de site
corretamente no AD DS e movido os controladores de domínio para o site (ou sites)
apropriado.

O Knowledge Consistency Checker cria objetos de conexão para RODCs


automaticamente. Mas, se houver problemas, use a ferramenta de linha de comando
Repadmin. exe para forçar o Knowledge Consistency Checker a gerar a topologia
novamente. Use o procedimento de alto nível a seguir:
1. Adicione o site com RODC a um link de site e certifique-se de que o link
selecionado também contenha um site com um controlador de domínio
gravável.
2. Force a replicação da partição de configuração no RODC, usando Repadmin.exe.
3. Gere novamente a topologia de replicação, usando repadmin /kcc no RODC.

Migre replicação de SYSVOL no Distributed File System Replication


As pastas SYSVOL residem na pasta %SystemRoot%\SYSVOL em todos os controladores
de domínio e contêm scripts de logon e modelos de Group Policy. Nas versões anteriores
do Windows Server, o AD DS usa File Replication Service (FRS, Serviço de Replicação de
Arquivos) para sincronizar o conteúdo da pasta SYSVOL entre os controladores de
domínio.
No Windows Server 2008 e mais recentes, DFS Replication (DFSR, Replicação de Sistema
de Arquivos Distribuído) é usado para gerenciar a replicação de SYSVOL, substituindo a
infraestrutura de replicação FRS. O DFSR fornece um modo mais eficiente e confiável de
replicar o SYSVOL.

101
Se você migrou seus controladores de domínio do Windows Server 2003, é possível que
eles ainda estejam usando FRS para replicar SYSVOL. Isso pode ser verificado com a
ferramenta de linha de comando Dfsrmig.exe, como segue:
1. Abra um prompt de comando elevado.
2. Execute o comando Dfsrmig.exe /GetGlobalState.
Se a mensagem retornada for Current DFSR global status: ‘Eliminated’, sua replicação
de SYSVOL já está usando DFSR. Se você receber a mensagem DFSR migration has not
yet initialized, então deve migrar para o DFSR. Durante a migração, a configuração passa
por quatro fases ou estados:

• Estado 0 Estado inicial. O FRS está sendo usado para replicar SYSVOL.
• Estado 1 Estado preparado. O FRS continua a replicar SYSVOL, contudo, o serviço
FRS local cria uma cópia replicada de SYSVOL.
• Estado 2 Estado redirecionado. O DFSR começa a replicar SYSVOL e o FRS
mantém apenas uma réplica local de SYSVOL.
• Estado 3 Estado eliminado. O FRS não é mais usado e o DFSR fornece toda
replicação de SYSVOL.
Use o procedimento a seguir para migrar a replicação de SYSVOL para DFSR:
1. No prompt de comando, execute dfsrmig /setglobalstate 1. Então, execute o
comando Dfsrmig.exe /GetMigrationState para verificar se todos os
controladores de domínio chegaram ao estado preparado.
2. No prompt de comando, execute dfsrmig /setglobalstate 2. Então, execute o
comando Dfsrmig.exe /GetMigrationState para verificar se todos os
controladores de domínio chegaram ao estado redirecionado. 3. No prompt de
comando, execute dfsrmig /setglobalstate
3. Então, execute o comando Dfsrmig.exe /GetMigrationState para verificar se
todos os controladores de domínio chegaram ao estado eliminado.
4. Em cada controlador de domínio, abra o console Services e verifique se File
Replication Service está desabilitado.

Objetivo 2.3: Configurar o Active Directory em um ambiente corporativo


complexo
Em grandes ambientes de rede é possível que o uso de apenas um domínio de AD DS
seja indesejável. Também é possível que apenas uma floresta de AD DS não seja
adequada. Como resultado, é importante saber como e quando configurar várias
florestas e domínios de AD DS e, quando necessário, criar as relações de confiança
exigidas entre eles.
À medida que sua rede cresce e abrange vários lugares, é necessário configurar sites de
AD DS para ajudar a otimizar serviços de rede, incluindo a replicação do AD DS. Antes de
criar sites, também é necessário criar objetos de sub-rede que mapeiam as sub-redes IP
(Internet Protocol) físicas de sua rede.

102
Configure uma infraestrutura de AD DS com vários domínios e várias florestas
Embora florestas e domínios sejam discutidos no Capítulo 1, talvez um rápido lembrete
seja útil.

• Floresta Conjunto de domínios que compartilham um esquema comum, ligados


por relações de confiança recíprocas geradas automaticamente. Geralmente,
para a maioria das organizações usar apenas uma floresta é desejável, pois isso
simplifica a administração. Contudo, os motivos para considerar o uso de várias
florestas incluem o requisito de:
• Fornecer total separação administrativa entre partes diferentes de sua
organização.
• Suportar diferentes tipos de objeto e atributos no esquema do AD DS, em
diferentes partes de sua organização.
• Domínio Unidade administrativa lógica que contém usuários, grupos,
computadores e outros objetos. Relações pai-filho e de confiança definem a
estrutura do domínio. Um domínio não oferece separação administrativa, pois
todos os domínios de uma floresta têm um mesmo administrador: o grupo
universal de segurança Enterprise Admins.
• Árvore Conjunto de domínios do AD DS que compartilham um domínio raiz
comum e têm namespace adjacente. Razões para usar várias árvores incluem o
requisito de suportar vários namespaces lógicos dentro de sua organização,
talvez como resultado de fusões ou aquisições.

Adicionando uma floresta


Quando se quer implantar uma nova floresta em um ambiente de AD DS já existente,
inicia-se o processo implantando o primeiro controlador de domínio nessa floresta. O
computador servidor no qual a nova floresta é implantada quase certamente é membro
de um grupo de trabalho. Portanto, você precisa efetuar logon como um membro do
grupo de segurança Administrators local.
Basicamente, o processo para implantar mais uma floresta é idêntico à criação da
primeira floresta. Esse procedimento está discutido na seção Instale uma nova floresta,
no Capítulo 1: Instalação e configuração de Active Directory Domain Services.
Depois de implantar a nova floresta, configure as relações de confiança exigidas entre
as florestas para atender às suas necessidades administrativas e empresariais.

Adicione um novo domínio


Analogamente, quando se quer criar um domínio dentro de uma floresta de AD DS,
inicia-se implantando o primeiro controlador de domínio nesse domínio e, então,
escolhe-se a opção Add A New Domain Controller In A New Domain no Deployment
Wizard. Para executar esse processo é preciso efetuar logon como um membro do grupo
universal de segurança Enterprise Admins raiz da floresta.
Ao se adicionar um novo domínio, existem duas escolhas:

103
• Child Domain Cria um subdomínio do domínio pai especificado. Em outras
palavras, o novo domínio é criado na árvore de domínios existente.
• Tree Domain Cria uma árvore na mesma floresta. Esta opção é útil quando você
quer criar vários nomes de domínio DNS na infraestrutura de floresta do AD DS
para suportar as necessidades organizacionais, mas não precisa ou não quer
separar funções administrativas, como é possível com uma floresta separada.
Esses procedimentos são abordados no Capítulo 1: Instalação e configuração de Active
Directory Domain Services, Objetivo 1.1: Instalar e configurar controladores de domínio,
na seção Adicione um novo controlador de domínio em um novo domínio. Depois de
implantar o novo domínio, não é preciso configurar relações de confiança adicionais.

Implante controladores de domínio Windows Server 2016 dentro de um


ambiente de AD DS já existente
Esses procedimentos são abordados no Capítulo 1: Instalação e configuração de Active
Directory Domain Services, Objetivo 1.1: Instalar e configurar controladores de domínio,
na seção Adicione ou remova um controlador de domínio.

Migre domínios e florestas existentes


A migração de domínios e florestas existentes é abordada no Capítulo 1: Instalação e
configuração do Active Directory Domain Services, Objetivo 1.1: Instalar e configurar
controladores de domínio, na seção Migre controladores de domínio.

Configure níveis funcionais de domínio e floresta


Os níveis funcionais de domínio e floresta oferecem novos recursos dentro da
infraestrutura de AD DS, ao passo que fornecem compatibilidade com recursos
importantes de versões anteriores do Windows Server. Ao implantar AD DS, você pode
selecionar um nível funcional de floresta e domínio conveniente, de acordo com seus
requisitos. Também é possível mudar esses níveis funcionais depois da implantação.
Existem os seguintes níveis funcionais de floresta e domínio:

• Nível Funcional de Floresta Determina quais recursos em nível de floresta estão


disponíveis. Além disso, define o nível funcional mínimo para domínios em sua
floresta. Selecione entre:
• Windows Server 2008
• Windows Server 2008 R2
• Windows Server 2012
• Windows Server 2012 R2
• Windows Server 2016
• Nível Funcional de Domínio Determina os recursos em nível de domínio
disponíveis no domínio. Selecione entre:
• Windows Server 2008
• Windows Server 2008 R2
• Windows Server 2012

104
• Windows Server 2012 R2
• Windows Server 2016

É possível elevar o nível funcional de floresta usando o seguinte procedimento:


1. No console Active Directory Domains And Trusts, no painel de navegação, clique
com o botão direito do mouse no nó Active Directory Domains And Trusts e,
então, clique em Raise Forest Functional Level.
2. O nível funcional de floresta atual aparece na caixa de diálogo Raise Forest
Functional Level, como mostrado na Figura 2-34.
3. Na lista de Select An Available Forest Functional Level, clique no nível desejado
e depois em Raise.

Para elevar o nível funcional de domínio de um domínio, use o seguinte procedimento:


1. No console Active Directory Domains And Trusts, no painel de navegação,
localize e clique com o botão direito do mouse no domínio do AD DS apropriado
e, então, clique em Raise Domain Functional Level.
2. O nível funcional de domínio atual aparece na caixa de diálogo Raise Domain
Functional Level.
3. Na lista de Select An Available Domain Functional Level, clique no nível
apropriado e depois em Raise.

Configure vários sufixos de nome principal do usuário


Os sufixos de nome principal do usuário (UPN, user principal name) permitem definir
um nome único em toda a floresta para um objeto, como um usuário. Por exemplo, ao
criar uma conta de usuário, você define o nome de logon do usuário. Esse nome é
combinado com o sufixo mostrado ao lado (@Adatum.com, na Figura 2-35) para criar o

105
user principal name (UPN), por exemplo, BurkeB@Adatum.com. Esse UPN deve ser
único dentro da floresta AD DS.

O sufixo UPN geralmente é o nome do domínio onde a conta está sendo adicionada.
Contudo, é possível definir sufixos UPN alternativos com o console Active Directory
Domains and Trusts (Domínios e Relações de Confiança do Active Directory). Para isso,
use o seguinte procedimento:
1. A partir do Server Manager, abra o console Active Directory Domains And Trusts.
2. No console, clique com o botão direito do mouse no nó Active Directory Domains
And Trusts no painel de navegação e, então, clique em Properties.
3. Na caixa de diálogo Active Directory Domains And Trusts [nome do servidor], na
guia UPN Suffixes, mostrada na Figura 2-36, na caixa Alternative UPN suffixes,
digite um novo sufixo e clique em Add.

4. Depois de adicionar todos os sufixos necessários, clique em OK.


Em seguida, modifique as contas de usuário em que quiser utilizar o novo sufixo. Você
pode fazer isso com o seguinte procedimento:
1. Abra Active Directory Users And Computers e localize as contas a serem
modificadas.
2. Clique com o botão direito do mouse nas contas e clique em Properties.

106
3. Na caixa de diálogo Properties For Multiple Items, mostrada na Figura 2-37, na
guia Account, marque a caixa de seleção UPN suffix.

4. Na lista de UPN suffix, clique no novo sufixo e depois em OK.


Também é possível usar o Windows PowerShell para reconfigurar o sufixo UPN de várias
contas, com os cmdlets get-ADUser e Set-ADUser. Por exemplo, para mudar o sufixo
UPN de todos os usuários da OU Sales no domínio Adatum.com para Sales.Contoso.com,
use o seguinte procedimento:
1. Abra o Windows PowerShell em um controlador de domínio.
2. Execute o script a seguir:

$new_suffix = “Sales.Contoso.com”

$users = Get-ADUser -Filter {UserPrincipalName -like ‘*’} -SearchBase


“OU=Sales,DC=Adatum,DC=Com”
foreach ($user in $users) {
$userName = $user.UserPrincipalName.Split(‘@’)[0]
$UPN = $userName + “@” + $new_suffix
Write-Host $user.Name $user.UserPrincipalName $UPN
$user | Set-ADUser -UserPrincipalName $UPN }

Configure relações de confiança


Relação de confiança é um acordo de segurança entre dois domínios em uma floresta
de AD DS, entre duas florestas ou entre uma floresta e uma área (realm) de segurança
externa. As relações de confiança permitem que uma entidade de segurança (security
principal) de um domínio, como um usuário ou computador, tenha a possibilidade de
acessar um recurso em outro domínio. Tenha a possibilidade porque, além de uma
confiança, o objeto de segurança deve receber, do administrador do domínio que

107
contém o recurso, permissões sobre o recurso. Em uma relação de confiança
unidirecional, diz-se que uma parte é confiante e a outra é confiável. O domínio que
contém o recurso é confiante, enquanto o que contém o usuário é confiável. Em uma
relação de confiança bidirecional, as duas partes são confiantes (contêm recurso) e
confiáveis (contêm usuário).
No Windows Server 2016, os domínios da mesma floresta são configurados
automaticamente com confianças transitivas bidirecionais, para que, em princípio, um
usuário de qualquer domínio da floresta tenha a possibilidade de acessar um recurso
em qualquer parte da floresta. Por padrão, em uma floresta com vários domínios
existem os seguintes tipos de confiança:

• Pai/filho Confiança transitiva bidirecional entre um domínio pai e seu domínio


filho.
• Raiz de árvore Confiança transitiva bidirecional entre uma nova árvore de
domínios de AD DS e o domínio raiz da floresta de AD DS existente.
Mas também é possível criar relações de confiança manualmente, para satisfazer certos
requisitos técnicos ou administrativos. São elas:

• Floresta Uma confiança transitiva unidirecional ou bidirecional, dependendo da


configuração, entre duas florestas de AD DS. Permite que os usuários de uma
floresta (ou das duas florestas) acessem recursos em outra.
• Externa Uma confiança unidirecional ou recíproca não bidirecional, dependendo
da configuração, entre a floresta AD DS e outro domínio de AD DS, como um
domínio Windows NT 4.0 mais antigo. Permite que os usuários de sua floresta
acessem recursos de outro domínio e que usuários da floresta remota acessem
seus recursos.
• Realm Uma confiança unidirecional ou bidirecional, transitiva ou não transitiva,
dependendo da configuração, que permite autenticação entre sua floresta de AD
DS do Windows Server e uma solução realm de Kerberos v5 baseada em um
serviço de diretório não-Windows.
• Atalho Uma confiança unidirecional ou bidirecional, não transitiva, dependendo
da configuração, entre domínios de sua floresta de AD DS que podem ajudar a
melhorar o desempenho da autenticação. Use atalhos de confiança para
domínios dentro da mesma floresta, mas em diferentes árvores de domínio de
AD DS.
Para criar relações de confiança, use a ferramenta Active Directory Domains and Trusts.
É importante notar que, para configurar qualquer uma dessas relações de confiança, as
duas partes da relação precisam resolver os nomes uma das outras, o que exige
configuração de DNS. Por exemplo, para configurar uma confiança de floresta, cada
controlador de domínio usado na configuração deve ser capaz de resolver os registros
SRV da floresta remota.

108
Configure confianças de floresta
Para configurar uma confiança de floresta, execute o procedimento a seguir:
1. Configure o DNS de modo que os controladores de domínio de cada floresta
possam resolver os nomes e registros SRV uns dos outros. Crie uma zona DNS
stub (ou configure encaminhamento condicional) para a zona DNS remota.
2. Abra o console Active Directory Domains And Trusts em um controlador de
domínio na primeira floresta de AD DS.
3. Clique com o botão direito do mouse no domínio raiz da floresta no painel de
navegação e clique em Properties
4. Na caixa de diálogo Domain Properties, clique na guia Trusts, mostrada na Figura
2-38, e depois em New Trust.

5. No New Trust Wizard, clique em Next e, então, na página Trust Name, na caixa
Name, digite o FQDN da floresta remota, como mostrado na Figura 2-39, e clique
em Next.

6. Na página Trust Type, mostrada na Figura 2-40, clique em Forest trust e depois
em Next.

109
7. Na página Direction Of Trust, mostrada na Figura 2-41, selecione a direção
apropriada. Escolha entre Two-Way, One-Way Incoming e One-Way Outgoing.
Por exemplo, clique em TwoWay e depois em Next.

8. Na página Sides Of Trust, mostrada na Figura 2-42, clique em Both This Domain
And The Specified Domain e depois em Next.

9. Na página User Name And Password, digite as credenciais exigidas para


configurar a confiança na floresta remota e clique em Next.

110
10. Na página Outgoing Trust Authentication Level-Local Forest, escolha entre as
duas opções disponíveis e, então, clique em Next.
• Forest-Wide Authentication O Windows Server autentica automaticamente os
usuários da floresta remota, para todos os recursos da floresta local. Selecione
esta opção se as duas florestas são gerenciadas pela mesma organização.
• Selective Authentication O Windows Server não autentica automaticamente os
usuários da floresta remota para os recursos da floresta local. Esta é a opção
apropriada se suas duas florestas são gerenciadas por organizações distintas.
Para mais detalhes, consulte a seção a seguir: Filtragem de SID e escopo de
autentica-ção de confiança.
11. Na página Outgoing Trust Authentication Level-Specified Forest, escolha entre as
duas opções disponíveis e clique em Next:
• Forest-Wide Authentication O Windows Server autentica automaticamente os
usuários da floresta local, para todos os recursos da floresta remota. Selecione
se as duas florestas são gerenciadas pela mesma organização.
• Selective Authentication O Windows Server não autentica automaticamente os
usuários da floresta local para os recursos da floresta remota. Selecione se suas
duas florestas são gerenciadas por organizações distintas. Para mais deta-lhes,
consulte a seção a seguir: Filtragem de SID e escopo de autenticação de
confiança.
12. Clique em Next duas vezes e, então, na página Confirm Outgoing Trust, clique
em Yes, confirm the outgoing trust. Isso permite verificar se a relação de
confiança está funcionando. Clique em Next.
13. Na página Confirm Incoming Trust, clique em Yes, confirm the incoming trust.
Isso permite verificar se a relação de confiança está funcionando. Clique em
Next.
14. Clique em Finish e, então, na caixa de diálogo Domain Properties, mostrada na
Figura 2-43, clique em OK.

111
Após configurar a relação de confiança, é possível então atribuir acesso aos recursos.
Um modo comum de conseguir isso é selecionar usuários e grupos remotos por meio da
confiança, usando a opção Locations ao procurar usuários e grupos, como mostrado na
Figura 2-44.

Configure confianças externas


Para configurar uma confiança externa, use o procedimento a seguir:
1. Configure o DNS de modo que os controladores de domínio de cada floresta
possam resolver os nomes e registros SRV uns dos outros.
2. No console Active Directory Domains And Trusts de um controlador de domínio
da primeira floresta de AD DS, clique com o botão direito do mouse no domínio
raiz da floresta no painel de navegação e, então, clique em Properties.
3. Na caixa de diálogo Domain Properties, clique na guia Trusts e depois em New
Trust.
4. No New Trust Wizard, clique em Next e, então, na página Trust Name, na caixa
Name, digite o FQDN da floresta remota e clique em Next.
5. Na página Trust Type, clique em External Trust e depois em Next.
6. Na página Direction Of Trust, selecione a direção apropriada. Escolha entre
TwoWay, OneWay Incoming e One-Way outgoing. Por exemplo, clique em
TwoWay e depois em Next.
7. Na página Side Of Trust, clique em Both This Domain And The Specified Domain
e depois em Next.
8. Na página User Name And Password, digite as credenciais exigidas para
configurar a confiança na floresta remota e clique em Next.
9. Na página Outgoing Trust Authentication Level-Local Domain, escolha entre
Domain-Wide Authentication e Selective Authentication e clique em Next. Para
mais detalhes, consulte a seção a seguir: Filtragem de SID e escopo de
autenticação de confiança.
10. Na página Outgoing Trust Authentication Level-Specified Domain, escolha entre
DomainWide Authentication e Selective Authentication e clique em Next. Para
mais detalhes, consulte a seção: Filtragem de SID e escopo de autenticação de
confiança.
11. Na página Trust Selections Complete, clique em Next.

112
12. Na página Trust Creation Complete, clique em Next.
13. Na página Confirm Outgoing Trust, clique em Yes, confirm the outgoing trust.
Isso permite verificar se a relação de confiança está funcionando. Clique em
Next.
14. Na caixa de diálogo Active Directory Domain Services, mostrada na Figura 2-45,
leia a mensagem sobre filtragem de SID e clique em OK. Para mais detalhes,
consulte a seção: Filtragem de SID e escopo de autenticação de confiança.

15. Na caixa de diálogo Domain Properties, clique em OK.

Configure confianças realm


Para configurar uma confiança realm, execute o procedimento a seguir:
1. Configure o DNS de modo que os controladores de domínio de cada autoridade
de segurança possam resolver os nomes uns dos outros.
2. No Active Directory Domains And Trusts, no painel de navegação, clique com o
botão direito do mouse no nó do domínio com o qual deseja estabelecer a
relação de confiança e, então, clique em Properties.
3. Na caixa de diálogo Domain Properties, na guia Trusts, clique em New Trust e
depois em Next.
4. Na página Trust Name, digite o FQDN do domínio e clique em Next.
5. Na página Trust Type, clique em Realm trust, como mostrado na Figura 2-46, e
clique em Next.

113
6. Complete o assistente usando as orientações fornecidas para confianças de
floresta ou externas.

Configure atalhos de confiança


Para configurar um atalho de confiança, use o procedimento a seguir:
1. No Active Directory Domains And Trusts, no painel de navegação, clique com o
botão direito do mouse no nó do domínio com o qual deseja estabelecer um
atalho de confiança e, então, clique em Properties.
2. Na caixa de diálogo Domain Properties, na guia Trusts, clique em New Trust e
depois em Next.
3. Na página Trust Name, digite o FQDN do domínio e clique em Next.
4. Na página Trust Type, clique em Shortcut trust e depois em Next.
5. Complete o assistente usando as orientações fornecidas para confianças de
floresta ou externas.

Filtragem de SID e escopo de autenticação de confiança


Por sua própria natureza, as relações de confiança oferecem aos usuários de outro
domínio a possibilidade de acessar recursos em seu domínio. Isso pode apresentar riscos
à segurança. Existem vários recursos no Windows Server 2016 que podem ser usados
para ajudar a reduzir esses riscos à segurança em potencial. São eles:

• Filtragem de SID Depois de configurar uma floresta de confiança externa, você é


avisado de que a filtragem de SID foi habilitada. A filtragem de SID controla o
modo como os SIDs são usados durante a autenticação em recursos de um
domínio confiante. Se um usuário pertence a grupos, os SIDs desses grupos são
apresentados para os servidores que contêm o recurso por meio da relação de
confiança, quando o usuário tenta a autenticação. Se um usuário pertencente ao
grupo Domain Admins se registra em um domínio confiável, o histórico de SID
desse usuário contém uma entrada para um grupo, Domain Admins, que
também existe no domínio que contém o recurso. Isso possivelmente dá ao
usuário remoto mais acesso do que o desejável. A filtragem de SID ajuda a evitar
isso, instruindo o domínio que contém o recurso a filtrar SIDs que não sejam os
da entidade (principal) de segurança.
• Escopo de autenticação Quando uma confiança de floresta ou externa é criada,
você é solicitado a configurar o escopo de autenticação. Isso ocorre nas páginas
Outgoing Trust Authentication Level do New Trust Wizard, tanto para florestas
ou domínios locais como remotos, dependendo de se estar configurando uma
confiança de floresta ou externa. Você escolhe entre autenticação em nível de
floresta (ou em nível de domínio) e autenticação seletiva. Escolher em nível de
floresta (ou em nível de domínio) significa efetivamente que todos os usuários
da floresta (ou domínio) remota são considerados autenticados. Isso limita ou
simplifica seu controle administrativo, dependendo de seu ponto de vista.
Contudo, se for escolhida autenticação seletiva, embora todos os usuários da

114
floresta (ou domínio) remota sejam considerados confiáveis, é preciso conceder
explicitamente a eles permissões para se autenticarem em recursos de servidor
na floresta (ou domínio) local. Isso oferece mais controle, mas pode ser
demorado para configurar. Se a floresta (ou domínio) remota faz parte de sua
organização, normalmente é aceitável escolher autenticação em nível de floresta
(ou domínio) durante a configuração da relação de confiança. Entretanto, se a
floresta (ou domínio) remota faz parte de uma organização diferente, escolha
autenticação seletiva, quando solicitado.

Configure roteamento de sufixo de nome


Um sufixo de nome exclusivo é um sufixo UPN ou nome DNS da floresta, como Adatum.
com ou Contoso.com, não subordinado a nenhum outro sufixo de nome. Para ajudar a
simplificar a autenticação por meio de confianças de floresta, por padrão, o Windows
Server faz o roteamento de todos os sufixos de nome exclusivos para o domínio
confiante.
Para simplificar ainda mais a administração, todos os sufixos de nome filhos também
são roteados. Assim, usuários com o sufixo Sales.Contoso.com, que é subordinado de
Contoso.com, têm um sufixo que é filho de Contoso.com.

Se, por qualquer motivo, você quiser desativar o roteamento de sufixos de nome por
meio de uma confiança de floresta, pode fazer isso usando o console Active Directory
Domains and Trusts, selecionando o domínio apropriado no painel de navegação. Então,
use o procedimento a seguir:
1. No console Active Directory Domains And Trusts, no painel de navegação, clique
com o botão direito do mouse no domínio apropriado e, então, clique em
Properties.
2. Na guia Trusts da caixa de diálogo Domain Properties, sob Domains Trusted By
This Domain (Outgoing Trusts) ou sob Domains That Trust This Domain (Incoming
Trusts), clique na confiança de floresta apropriada e depois em Properties.
3. Clique na guia Name Suffix Routing e, sob Name Suffixes In The <nome do
domínio> Forest, escolha uma das opções:
• Clique no sufixo a ser habilitado e, então, em Enable.
• Clique no sufixo a ser desabilitado e, então, em Disable.
4. Clique em OK duas vezes.

Configure sites e sub-redes no AD DS


Sites e sub-redes do AD DS permitem criar objetos lógicos na partição de configuração
do AD DS, que mapeiam entidades físicas da rede de sua organização, a saber, sub-redes
IP físicas e localizações geográficas de sua organização. Com a criação de objetos de sub-
rede no AD DS, os computadores membros de sua infraestrutura de AD DS podem
determinar em qual sub-rede física se encontram. Associando-se sub-redes a sites de
AD DS, os computadores podem determinar em qual localização geográfica residem.

115
A informação sobre onde um computador está pode ser usada por ele para localizar
serviços adjacentes, em vez de distantes. Por exemplo, usar um controlador de domínio
local para tentar efetuar logon, em vez de um que está fisicamente distante, pode
acelerar os tempos de logon.

Crie sites no AD DS
Existem vários motivos para se criar sites. São eles:

• Gerenciamento de Replicação É possível exercer mais controle sobre a replicação


entre sites do que com a replicação dentro dos sites (intrassite).
• Aplicação de Group Policy É possível criar Group Policy Objects (GPOs) e vinculá-
los a objetos de site. Isso aplica as configurações da política aos usuários e
computadores que estão em uma localização específica.
• Localização de Serviço É possível usar as informações armazenadas no registro
de recurso de localização de serviço (SRV) de um computador para determinar
em qual site ele está.
Quando o AD DS é implantado, é criado um site padrão, chamado Default-First-Site-
Name. Todos os controladores de domínio são configurados como membros desse site,
até que sejam criados sites adicionais e controladores de domínio sejam movidos para
eles.
Para criar um site no AD DS, use o seguinte procedimento:
1. No Server Manager, clique em Tools e depois em Active Directory Sites And
Services.
2. No Active Directory Sites And Services, no painel de navegação, clique em Sites.
3. Clique com o botão direito do mouse em Sites e depois clique em New Subnet.
4. Na caixa de diálogo New Object – Site, mostrada na Figura 2-47, na caixa Name,
digite o nome de seu site. Por exemplo, digite London.

5. Na lista de Link Name, clique no objeto de link de site apropriado. É provável que
nesse estágio exista apenas o objeto DEFAULTIPSITELINK. Esse é o objeto de
cone-xão padrão, criado para suportar a topologia de replicação entre sites do

116
AD DS. Você pode criar e configurar seus próprios links de site posteriormente.
Por enquanto, clique em DEFAULTIPSITELINK e em OK.
6. Na caixa de diálogo pop-up Active Directory Domain Services, clique em OK para
ler a mensagem sobre os próximos passos.
7. Crie seus sites adicionais. Inicialmente, selecione para cada site o objeto
DEFAULTIP-SITELINK como o link desejado.
Também é possível usar o cmdlet New-ADReplicationSite do Windows PowerShell. Por
exemplo, para criar um site chamado London, use o seguinte comando:
New-ADReplicationSite -Name “London”

Crie sub-redes no AD DS
Agora, faça um mapa lógico de sua infraestrutura física, criando sub-redes IP. Elas devem
mapear exatamente as sub-redes físicas de sua rede, caso contrário, isso pode levar a
de-sempenho ruim e a possíveis problemas de disponibilidade de serviço.
Para criar uma sub-rede no AD DS, use o seguinte procedimento:
1. No Server Manager, clique em Tools e depois em Active Directory Sites And
Services.
2. No Active Directory Sites And Services, no painel de navegação, expanda Sites e
clique em Subnets.
3. Clique com o botão direito do mouse em Subnets e depois clique em New
Subnet.
4. Na caixa de diálogo New Object – Subnet, mostrada na Figura 2-48, na caixa
Prefix, digite o prefixo de sua sub-rede IP. Por exemplo, digite 172.16.0.0/16.

5. Em Select A Site Object For This Prefix, selecione o site apropriado. Por exemplo,
clique em London e depois em OK.

117
6. Crie quaisquer sub-redes adicionais de sua organização e ligue cada uma ao site
apropriado. Lembre-se de que um site pode conter várias sub-redes, mas uma
sub-rede só pode ser associada a um site.
Também é possível usar o cmdlet New-ADReplicationSubnet do Windows PowerShell.
Por exemplo, para criar uma sub-rede chamada 172.16.0.0/16, use o seguinte comando:
New-ADReplicationSubnet -Name “172.16.0.0/16”
Para criar a mesma sub-rede, mas vinculá-la a um site chamado London, use o seguinte
comando:
New-ADReplicationSubnet -Name “172.16.0.0/16” -Site London

Crie e configure links de site


O passo seguinte no estabelecimento de sua configuração de replicação entre sites é
criar e configurar links de site. Inicialmente, todos os seus sites são conectados pelo
objeto DE-FAULTIPSITELINK criado automaticamente, mas você pode criar seus próprios
links de site.
Para criar um link de site, use o procedimento a seguir:
1. No Active Directory Sites And Services, no painel de navegação, expanda Sites,
expanda Inter-Site Transports e clique em IP.
2. Clique com o botão direito do mouse em IP e depois clique em New Site Link.
3. Na caixa de diálogo New Object – Site Link, mostrada na Figura 2-49, na caixa
Name, digite um nome descritivo e significativo sobre o que o link de site
conecta. Por exemplo, digite London <> Wincanton.

4. Na lista de Sites Not In This Site Link, clique nos sites (pelo menos dois) que são
interligados por esse link de site e clique em Add>>.
5. Clique em OK.

118
Também é possível usar o cmdlet New-ADReplicationSiteLink do Windows Power-Shell.
Por exemplo, para criar um link de site entre os sites London e NewYork, use o comando
a seguir:
New-ADReplicationSiteLink -Name “London-NewYork” -SitesIncluded London,NewYork
Em seguida, é preciso configurar o link de site:
1. No painel de detalhes, clique com o botão direito do mouse no link de site e,
então, clique em Properties.
2. Na caixa de diálogo Site Link Properties, mostrada na Figura 2-50, configure as
propriedades a seguir e clique em OK.
• Cost Este é um número arbitrário que deve representar uma preferência quanto
a se o link deve ser usado se houver vários caminhos disponíveis. Por exemplo,
se houver dois caminhos possíveis entre dois sites em sua infraestrutura, mas
um tiver custo mais alto de ponta a ponta, o caminho de custo mais baixo será
usado, a não ser que esteja indisponível. O valor padrão é 100.
• Replicate Every Este é intervalo de replicação e tem como padrão 180 minutos.
Reduza isso para ajudar a garantir que quaisquer mudanças sejam propagadas
mais rapidamente por todos os controladores de domínio de sua organização. O
menor valor que pode ser configurado é 15 minutos.
• Schedule A agenda é a janela de disponibilidade da replicação. Durante o tempo
configurado, a replicação pode ocorrer no intervalo ‘Replicate every’
especificado. Se quiser impedir que ocorra replicação durante o horário de
expediente, por exemplo, use a propriedade Schedule para configurar isso.

Depois de criar todos os links de site necessários e mover todos os controladores de


domínio para os sites corretos, se não precisar mais do objeto DEFAULTIPSITELINK, pode
excluí-lo.

119
Quando usar pontes de link de site
Geralmente, criar e configurar links de site é suficiente para permitir uma topologia de
replicação entre sites totalmente roteável e tolerante a falhas. Isso porque todos os links
de site são ligados por pontes (bridges) automaticamente, por padrão, significando que
todos eles são transitivos.
Pontes de link de site permitem criar links transitivos entre sites, quando links de site
não podem fornecer o comportamento exigido. Existem duas situações em que pontes
de link de site podem ser exigidas:

• Sua rede IP não é totalmente roteada Você pode habilitar pontes de link de site
para permitir links transitivos onde sua rede IP não é capaz de fazer isso
automaticamente.
• Você quer mais controle sobre o fluxo de replicação É possível controlar o fluxo
da replicação de AD DS em seus sites, desabilitando a opção Bridge All Site Links
e criando pontes de link de site. O tráfego de replicação flui transitivamente
pelos sites vinculados por pontes de link de site, mas não há roteamento além
da ponte.

Mova controladores de domínio entre locais


Depois de configurar as sub-redes e os sites para espelhar a topologia física de sua rede,
você deve mover os controladores de domínio para os sites apropriados. Isso presume
que os controladores de domínio já tenham a configuração de IP apropriada, de modo
que estão fisicamente na sub-rede correta.
Para mover um controlador de domínio entre sites, após a implantação, use o
procedimento a seguir:
1. No Active Directory Sites And Services, no painel de navegação, expanda o objeto
Default-First-Site-Name.
2. Expanda a pasta Servers e, então, clique no servidor a ser movido.
3. Clique com o botão direito do mouse no servidor e depois clique em Move.
4. Na caixa de diálogo Move Server, mostrada na Figura 2-51, clique no site para o
qual deseja mover o controlador de domínio e depois em OK.

120
Também é possível usar o cmdlet Move-ADDirectoryServer do Windows PowerShell
para mover controladores de domínio entre sites.
Não é preciso mover servidores ou computadores clientes. Esses dispositivos
determinam seus próprios sites, usando sua configuração de IP para determinar suas
sub-redes. Então, a partir do AD DS, eles determinam seus sites.
Depois de concluir o processo de criação e configuração de suas sub-redes, sites e links
de site, e depois de mover seus controladores de domínio para os sites apropriados,
como mostrado na Figura 2-52, é uma boa ideia executar o Knowledge Consistency
Check para reconstruir a topologia de replicação. Isso pode ser feito a partir de Active
Directory Sites and Services, localizando-se o objeto NTDS Settings sob o objeto servidor
em deter-minado site. Clique com o botão direito do mouse no objeto NTDS Settings,
aponte para All Tasks e clique em Check Replication Topology.

Gerencie a gravação de registros SRV


Quando controladores de domínio são implantados, eles gravam registros importantes
na zona DNS apropriada no servidor DNS. Esses registros, conhecidos como registros de
recurso SRV, permitem que computadores e usuários localizem serviços do controlador
de domínio. Serviços do AD DS, como o serviço de autenticação de Kerberos, usam
registros SRV para se anunciarem aos clientes em uma rede de AD DS.
Um registro SRV típico consiste em vários elementos:

• Nome do Serviço e Porta Identifica o serviço e a porta TCP (Transmission Control


Protocol) ou UDP (User Datagram Protocol) associada. Por exemplo, registros
SRV comuns incluem LDAP (Lightweight Directory Access Protocol) sobre a porta
TCP 389, Kerberos sobre a porta 88, o protocolo de autenticação Kerberos V5
(KPAS-SWD) na porta 464 e o serviço de catálogo global na porta 3268.
• Protocolo Indica se é usado TCP ou UDP. Um serviço pode usar ambos, mas é
obrigado a gravar registros SRV separados que indiquem isso.
• Nome de host Fornece o nome do host que oferece o serviço. Então, os
computadores clientes devem usar registros de host no DNS para determinar o
endereço IP que está sendo usado pelo host especificado.

121
• Opções Aos registros SRV também são atribuídos valores de preferência, peso e
prioridade. Eles são usados quando existem vários registros apontando para o
mesmo serviço ou servidor e você quer controlar quais servidores são usados
primeiro. Por exemplo, um controlador de domínio do AD DS registra seus
registros de recurso DNS de serviço de autenticação Kerberos com valor de
prioridade 0 e peso 100, como mostrado na Figura 2-53. Esses valores iniciais
podem ser alterados para determinar qual host que oferece o serviço de
autenticação de Kerberos é usado pelos clientes. Os clientes DNS tentam usar o
servidor com valor de prioridade mais baixo. Se vários servidores têm o mesmo
valor de prioridade, os clientes usam o servidor na proporção de seus valores de
peso.

Os registros SRV são armazenados no DNS em uma hierarquia que inclui não somente
as informações de protocolo, mas também as de site. Isso permite que os computadores
localizem serviços com base no site do AD DS em que o serviço é oferecido.
Geralmente não é necessário gravar ou manter registros SRV manualmente. Supondo
que seus servidores DNS estejam configurados com zonas DNS que suportam
atualizações dinâmicas, quando controladores de domínio são adicionados ou movidos
para sites diferentes, eles atualizam seus registros DNS automaticamente.
Gerencie cobertura de site
É importante todos os sites físicos terem acesso a um controlador de domínio. Se, depois
de concluída a configuração de replicação entre sites, houver sites sem controladores
de domínio, existem várias soluções possíveis:

• Adicionar a sub-rede a um site Se em uma filial houver apenas poucos


computadores que não necessitam um controlador de domínio, para garantir
que os computadores clientes possam localizar serviços do domínio, adicione a
sub-rede dessa localização a um site adjacente.

122
• Implantar um RODC Se houver computadores suficientes para merecerem um
controlador de domínio local, implante um RODC.
• Contar com cobertura de site automática Um controlador de domínio de um
site adjacente também grava seus registros SRV para o site menor, permitindo
que os computadores clientes localizem esse controlador.

123
70-742 Identidade com Windows
Server 2016

Capítulo 3:
Criação e gerenciamento de
Group Policy

124
Objetivo 3.1: Criar e gerenciar Group Policy Objects
Com GPOs vinculadas aos seus sites, domínios e unidades organizacionais (OUs), é
possível gerenciar, rápida e facilmente, grandes números de usuários e computadores
que exigem as mesmas configurações. Exemplos incluem: computadores no mesmo
lugar físico, usuários no mesmo departamento ou computadores com uma configuração
básica específica que exige configurações em particular.
Depois de planejar e implementar a infraestrutura de OU de sua organização, e mover
os objetos usuário e computador para as OUs relevantes, você pode criar GPOs, ajustar
as configurações desejadas e, então, vinculá-las à OU apropriada.
O uso de GPOs permite mais facilidade no gerenciamento de muitos aspectos da
infraestrutura AD DS, incluindo:

• Configurações do Windows e de aplicativos Use GPOs para fornecer uma


interface consistente para o Windows e os aplicativos instalados. Padronizando
as configurações, você pode dar suporte às necessidades de seus usuários mais
facilmente.
• Implantação de software GPOs podem ser usadas para implantar, atualizar e
remover aplicativos de área de trabalho dos computadores de sua organização.
• Redirecionamento de pasta O Windows permite aos usuários configurar o menu
Iniciar para personalizar a aparência de suas áreas de trabalho e armazenar
arquivos em uma área de armazenamento pessoal, às vezes referida como pasta
base. Com redirecionamento de pasta através de GPOs é possível redirecionar
essas pastas locais para um lugar na rede. Isso pode facilitar o backup de dados
do usuário e permitir que o usuário alterne entre dispositivos de computação,
mantendo suas configurações personalizadas.
• Configurações de segurança Muitas configurações que podem ser ajustadas em
GPOs se relacionam à segurança do sistema operacional. GPOs podem ser usadas
para aplicar configurações de segurança padrão a conjuntos de usuários e
compu-tadores.
• Configurações de infraestrutura GPOs também contêm ajustes configuráveis
para itens como perfis de rede sem fio e regras e configurações do Windows
Firewall.

Configure várias políticas de grupo locais


Embora este capítulo se concentre em GPOs baseadas em domínio, o Windows Server
2016 e o Windows 10 suportam políticas de grupo locais. O uso de GPOs locais permite
a aplicação de configurações a um computador e a suas contas de usuário locais. Isso
pode ser útil se o computador não faz parte de sua floresta de AD DS.
É possível criar várias GPOs locais. São elas:

• Group Policy local Essa GPO contém as configurações que são aplicadas ao
computador local, independente do usuário logado. Essa política contém um nó

125
Configuração do Computador (computer) e um nó Configuração do Usuário
(user).
• Group Policy Administrators e Non-Administrators locais Essas políticas se
aplicam especificamente a usuários, com base em se pertencem ou não ao grupo
de administradores local. Isso permite personalizar configurações para
administradores. Essas duas políticas contêm apenas um nó Configuração do
Usuário.
• Group Policy local específica do usuário O Windows 8, o Windows Server 2012
e os mais recentes dão suporte para políticas de grupo locais específicas do
usuário. Elas contêm apenas um nó Configuração do Usuário. Se várias GPOs
locais são implementadas, elas são processadas na seguinte ordem:
1. Group Policy local
2. Group Policy para administradores e não administradores
3. Group Policy local específica do usuário
Para criar várias GPOs locais, use o procedimento a seguir:
1. Efetue logon como administrador local.
2. Clique em Iniciar, digite mmc.exe e pressione Enter.
3. No console de gerenciamento, clique em File e depois em Add/Remove Snap-In.
4. Na caixa de diálogo Add Or Remove Snap-ins, mostrada na Figura 3-1, na lista de
snap-ins, clique em Group Policy Object Editor e depois em Add.

5. Na página Welcome To The Group Policy Wizard da caixa de diálogo Select Group
Policy Object, mostrada na Figura 3-2, clique em Browse.

126
6. Na caixa de diálogo Browse For A Group Policy Object, na guia Computers, clique
em This Computer, como mostrado na Figura 3-3, e depois em Finish.

7. Na caixa de diálogo Add Or Remove Snap-ins, clique em Group Policy Object


Editor e depois em Add.
8. Na página Welcome To The Group Policy Wizard da caixa de diálogo Select Group
Policy Object, clique em Browse.
9. Na caixa de diálogo Browse For A Group Policy Object, na guia Users, mostrada
na Figura 3-4, clique em Administrators, em OK e em Finish.

127
10. Na caixa de diálogo Add Or Remove Snap-ins, clique em Group Policy Object
Editor e depois em Add.
11. Na página Welcome To The Group Policy Wizard da caixa de diálogo Select Group
Policy Object, clique em Browse.
12. Na caixa de diálogo Browse For A Group Policy Object, na guia Users, clique em
Non-Administrators, em OK e em Finish.
13. Se quiser configurar GPOs locais para usuários específicos, na caixa de diálogo
Add Or Remove Snap-Ins, clique em Group Policy Object Editor e em Add.
14. Na página Welcome To The Group Policy Wizard da caixa de diálogo Select Group
Policy Object, clique em Browse.
15. Na caixa de diálogo Browse For A Group Policy Object, na guia Users, clique na
conta de usuário específica para a qual deseja criar uma GPO, em OK e em Finish.
16. Na caixa de diálogo Add Or Remove Snap-ins, mostrada na Figura 3-5, clique em
OK.

17. Na caixa de diálogo Console 1 – [Console Root], mostrada na Figura 3-6, expanda
a política relevante e ajuste as configurações necessárias.

Para configurar uma das políticas locais, como Local Computer Policy, use o seguinte
procedimento:

128
1. Na caixa de diálogo Console 1 – [Console Root], no painel de navegação, expanda
Local Computer Policy e clique em Computer Configuration.
2. Sob o nó Computer Configuration, expanda a pasta necessária. Por exemplo,
expanda Windows Settings e localize a configuração apropriada, como mostrado
na Figura 3-7.

3. No painel de detalhes, clique duas vezes na configuração desejada, configure o


valor necessário e clique em OK.
4. Sob o nó User Configuration, expanda a(s) pasta(s) necessária(s), localize a
configuração (ou configurações) desejada e ajuste o valor conforme necessário.
5. Quando tiver configurado todos os GPOs locais, feche o console. Se você vai
reconfigurar as políticas, pense na possibilidade de salvar o console de
gerenciamento com os snap-ins configurados.
Embora a capacidade de configurar várias GPOs locais seja uma melhoria significativa
em relação à capacidade de configurar apenas uma, o processo ainda não tem a
flexibilidade e a centralização oferecidas pelo uso de GPOs baseadas em domínio. Além
disso, lembre-se de que quaisquer configurações ajustadas através de GPOs locais
podem ser sobrescritas por GPOs baseadas em domínio.

Visão geral das GPOs baseadas em domínio


As GPOs baseadas em domínio se aplicam a objetos computador e usuário que fazem
parte de um domínio de AD DS. O uso de GPOs baseadas em domínio permite gerenciar
mais facilmente os objetos usuário e computador em sua infraestrutura de AD DS.

Estrutura das GPOs


As GPOs consistem em dois componentes, armazenados em dois lugares diferentes. São
eles:

• Group Policy Container Esse objeto é armazenado no banco de dados do AD DS.


Ele é replicado nos outros controladores de domínio usando a agenda de
replicação de AD DS dentro de sites ou entre sites, conforme for apropriado. Esse
objeto define os atributos fundamentais da GPO. Cada GPO recebe um
identificador global exclusivo (GUID) do AD DS.

129
• Group Policy Template Conjunto de arquivos e pastas armazenado na pasta
compartilhada SYSVOL em todos os controladores de domínio. Esses arquivos
contêm as configurações da GPO. As configurações de uma GPO específica são
armazenadas em:
%SystemRoot%\SYSVOL\Domain\Policies\{GUID}
{GUID} é o identificador global exclusivo da GPO. O conteúdo da pasta SYSVOL, incluindo
as pastas de Group Policy Template (modelo de Group Policy), é replicado entre os
controladores de domínio usando agente de replicação diferente. No Windows Server
2008 e anteriores, SYSVOL é replicado pelo File Replication Service (FRS). Nas versões
mais recentes do Windows Server, a replicação de SYSVOL é feita pelo agente
Distributed File System Replication (DFSR).

Ferramentas de gerenciamento de GPO disponíveis


GPOs podem ser criadas e gerenciadas em seu domínio por meio de várias ferramentas
diferentes. São elas:

• Group Policy Management Esse console de gerenciamento, mostrado na Figura


3-8, permite executar todas as tarefas de gerenciamento relacionadas a GPO,
incluindo criação, vínculo, filtragem, modelagem e solução de problemas.

• Group Policy Management Editor Esse console pode ser iniciado de dentro de
Group Policy Management, selecionando-se uma GPO e depois Edit. Com esse
console, mostrado na Figura 3-9, é possível ver e ajustar configurações
disponíveis na GPO.

130
• Windows PowerShell Também é possível usar vários cmdlets do Windows
Power-Shell para criar, vincular e configurar GPOs. Por exemplo, o cmdlet new-
gpo é usado para criar uma GPO, como mostrado na Figura 3-10.

Ajustando configurações específicas


Depois de criar suas GPOs, você precisa ajustar as configurações disponíveis. Para isso,
use o Group Policy Management Editor.
Como mostrado na Figura 3-9, uma GPO consiste em vários nós, cada um contendo
pastas e subpastas. Essas pastas contêm conjuntos de configurações relacionadas. Essa
estrutura facilita para o administrador localizar a configuração desejada.
Uma política consiste em dois nós de nível superior:

• Computer Configuration Contém as configurações a serem aplicadas a objetos


do tipo computador em um contêiner, ao qual a GPO está vinculada. Essas
configurações são aplicadas aos computadores afetados, durante e depois da
inicialização, e são atualizadas automaticamente a cada 90 a 120 minutos.

131
• User Configuration Contém as configurações relacionadas a usuários. Elas são
aplicadas quando um usuário efetua logon e logo depois, e são atualizadas
automaticamente a cada 90 a 120 minutos.
Sob cada um desses nós existem algumas pastas e muitas subpastas que agrupam
configurações, incluindo:

• Software Settings Permite implantar, atualizar e remover software em


computadores de seu domínio. Contém uma subpasta:
• Software Installation Permite adicionar pacotes para implantação em sua
organização.
• Windows Settings Permite ajustar as configurações básicas para seus
computadores ou usuários. Contém várias subpastas, incluindo:
• Scripts É possível configurar scripts de inicialização e desligamento ou logon e
logoff, processados quando um computador inicia ou um usuário efetua logon.
• Security Settings Consolida as várias configurações de segurança que podem ser
aplicadas, incluindo: políticas de conta e direitos de usuário; ajustes de log de
eventos; grupos restritos; serviços do sistema; permissões de registro e sistema
de arquivos; regras e configurações do Windows Firewall; ajustes de controle de
software e aplicativos e muitos outros.
• Folder Redirection Você pode redirecionar pastas de Área de trabalho, menu
Iniciar e pessoais do usuário, dentre outras.
• Administrative Templates Contém ajustes de registro que controlam o
comportamento e configurações de usuário, computador e aplicativo. Existem
milhares de ajustes, mas estes foram agrupados logicamente em pastas para
ajudar a tornar sua finalidade mais evidente. Isso inclui:
• Control Panel
• Desktop
• Network
• Shared Folders
• Start Menu e Taskbar
• System
• Windows Components
• All Settings

Quando você começa a ajustar configurações específicas, vê que elas se enquadram em


vários tipos diferentes. Alguns exigem configurar um ou mais valores, como mostrado
na Figura 3-11.

132
Outros exigem ativar ou desativar uma configuração, habilitando-a ou desabilitando-a,
como mostrado na Figura 3-12. Esses ajustes têm três valores possíveis: Enabled,
Disabled e Not Configured (normalmente, o padrão). O último dos três é bem
interessante, pois o valor resultante em um computador cliente (ou usuário logado)
depende de o mesmo ajuste estar configurado em outro lugar, isto é, em outra GPO que
também afete esse computador ou usuário. Vamos aprender sobre esse
comportamento com mais detalhes posteriormente.

Vínculando GPOs
Depois de criar uma GPO e ajustar suas configurações é preciso vinculá-la (link) a um
objeto contêiner no AD DS, para que ela seja aplicada a objetos. É possível vincular GPOs
a:

• Sites
• Domínios
• OUs

133
Vincular uma GPO a um objeto contêiner é conhecido como delimitar o escopo. O
escopo determina quais computadores e usuários são afetados pelos ajustes de uma
GPO. Por exemplo, se uma GPO é vinculada ao contêiner do domínio, todos os objetos
computador e usuário dentro do domínio são afetados pelos ajustes dessa GPO. Se a
GPO é vinculado a uma OU, somente os objetos dentro dessa OU (e quaisquer sub-OUs)
são afetados.
Antes de começar a criar, configurar e vincular GPOs, é importante entender que é
exigido um planejamento de OU adequado.

Extensões do lado do cliente


Embora os controladores de domínio armazenem e tornem disponíveis as várias GPOs
que você cria e configura, é responsabilidade do computador cliente conectar-se no
controlador de domínio, solicitar e aplicar as GPOs necessárias. Um serviço chamado
Group Policy Client conecta e baixa as GPOs exigidas. Então, uma série de componentes
no cliente, conhecidos como extensões do lado do cliente, processam as configurações
recebidas através de GPO.
Em um computador Windows existem várias extensões do lado do cliente que
processam diferentes configurações da GPO. Isso inclui:

• Política de registro
• Política de manutenção do Internet Explorer
• Política de instalação de software
• Política de redirecionamento de pasta
• Política de scripts
• Política de segurança
• Política de IPsec (Internet Protocol security)
• Política de wireless
• Política de recuperação de Encrypting File System
• Política de quota de discos

Gerencie GPOs de início


Em organizações maiores pode ser necessário criar muitas GPOs, algumas das quais
compartilhando muitos ajustes. Nesse caso, considere o uso de GPOs de início. Uma
GPO de início é um modelo que pode ser usado na criação de uma GPO.
Se a GPO de início for preenchida com os ajustes mais comuns, será possível criar mais
GPOs contendo esses ajustes rapidamente. Para criar GPOs de início, use o
procedimento a seguir:
1. Abra o console Group Policy Management e navegue até o nó Starter GPOs, sob
o nó de seu domínio, como mostrado na Figura 3-13.

134
2. No painel de detalhes, clique em Create Starter GPOs Folder. A pasta Starter
GPOs é criada e preenchida com duas GPOs de início padrão:
• Group Policy Remote Update Firewall Ports
• Group Policy Reporting Firewall Ports Agora você precisa criar e configurar as
GPOs de início exigidas:
1. Clique com o botão direito do mouse no nó Starter GPOs no painel de navegação
e, então, clique em New.
2. Na caixa de diálogo New Starter GPO, digite o nome da sua GPO de início e clique
em OK.
3. Na pasta Starter GPOs, mostrada na Figura 3-14, clique com o botão direito do
mouse na nova GPO de início e, então, clique em Edit.

4. No Group Policy Starter GPO Editor, mostrado na Figura 3-15, ajuste as


configurações desejadas.

135
5. Feche o Group Policy Starter GPO Editor. Para criar uma GPO baseada em uma
GPO de início:
1. Na pasta Starter GPOs, clique com o botão direito do mouse na GPO de início
apro-priada e, então, clique em New GPO from Starter GPO.
2. Na caixa de diálogo New GPO, digite o nome da GPO e clique em OK.
3. No painel de navegação, clique no nó Group Policy Objects, mostrado na Figura
3-16, e sua nova política é listada, junto com as GPOs padrão e quaisquer outras
criadas anteriormente.

Configure vínculos de GPO


Para tornar uma GPO efetiva, vincule-a a um contêiner. Para fazer isso, use o console
Group Policy Management ou o cmdlet New-GPLink do Windows PowerShell.
Como já mencionado, é possível vincular GPOs aos seguintes contêineres do AD DS:

• Sites Use GPOs vinculadas a sites para configurações que se aplicam a


computadores ou usuários, com base em sua localização específica. Obviamente,
é preciso ter definido objetos do tipo sub-rede e site no AD DS e movido seus
controladores de domínio para os sites apropriados.

136
• Domínios Use GPOs vinculadas a domínios para configurações que se aplicam à
maioria ou a todos os usuários e computadores de seu domínio. Se as mesmas
configurações se aplicam a vários domínios de sua floresta, você deve copiar as
GPOs de um domínio para outro e vinculá-las ao outro domínio.
• OUs Para configurações mais específicas, considere vincular suas GPOs a uma
OU. Então, coloque os usuários e computadores apropriados na OU. Observe que
todos os objetos da OU recebem configurações da GPO vinculada por padrão, a
não ser que você opte por configurar alguma forma de filtragem na GPO.
O procedimento para vincular uma GPO existente a um contêiner é o seguinte:
1. No console Group Policy Management, clique com o botão direito do mouse no
contêiner apropriado e, então, clique em Link An Existing GPO.
2. Na caixa de diálogo Select GPO, mostrada na Figura 3-17, na lista de Look In This
Domain, selecione o domínio atual e, então, na lista de Group Policy objects,
clique na GPO apropriada e em OK.

O cmdlet New-GPLink do Windows PowerShell pode ser usado para vincular uma GPO a
um contêiner. Por exemplo, para vincular a GPO chamada IT Managers à OU IT do
domínio Adatum.com, use o seguinte comando:
New-GPLink -Name "IT Managers" -target "ou=IT, dc=Adatum,dc=com"
Para criar a mesma GPO e vinculá-la em um só passo, use o seguinte comando:
New-GPO -Name "IT Managers" | New-GPLink -target "ou=IT,dc=Adatum,dc=com" -
LinkEnabled Yes
Se várias GPOs são vinculadas ao mesmo contêiner, é preciso configurar a ordem de
vínculo. A ordem dos vínculos determina em que sequência as GPOs são aplicadas. Isso
se torna importante se a mesma configuração é ajustada em várias GPOs diferentes,
pois determina qual configuração é aplicada. A ordem dos vínculos está discutida no
Objetivo 3.2: Configurar o processamento de Group Policy.

137
Faça backup, restaure, importe e copie GPOs
É importante fazer backup de suas GPOs quando houver mudanças significativas nelas
ou quando você estiver para fazê-las. Também é preciso saber como restaurar suas
GPOs, caso surja a necessidade, talvez devido a corrupção ou erro humano ao fazer
mudanças de configuração.

Faça backup de GPOs


Todas as operações de backup e restauração podem ser feitas com o console Group
Policy Management ou com cmdlets do Windows PowerShell. Para fazer backup de
todas as GPOs de seu domínio, execute o procedimento a seguir:
1. Abra o console Group Policy Management e navegue até o nó Group Policy
Objects.
2. Clique com o botão direito do mouse no nó Group Policy Objects e, então, clique
em Back Up All.
3. Na caixa de diálogo Back Up Group Policy Object, na caixa Location, digite um
caminho válido para uma pasta onde queira armazenar seus backups, como
mostrado na Figura 3-18. Opcionalmente, digite uma descrição e clique em Back
Up.

4. Na página Backup progress, clique em OK.


Para fazer backup de todas as GPOs em uma pasta compartilhada chamada \\LON-
DC1\Backup, usando o Windows PowerShell, execute o seguinte comando:
Backup-Gpo -All -Path \\LON-DC1\Backup
Para fazer backup de uma GPO específica, clique no nó Group Policy Objects e depois
clique com o botão direito do mouse na GPO que deseja fazer backup e, então, clique
em Back Up. O processo é igual ao backup de todas as GPOs. Para usar o Windows
PowerShell a fim de fazer backup de uma GPO específica, neste caso, chamado Sales
Managers, use o comando a seguir:

138
Backup-Gpo -Name "Sales Manager" -Path C:\Users\Administrator -Comment "Weekly
Backup"

Restaure GPOs
Para restaurar uma GPO, use o procedimento a seguir:
1. Clique com o botão direito do mouse na GPO apropriada no nó Group Policy
Objects e, então, clique em Restore from Backup.
2. Na página Welcome do Restore Group Policy Object Wizard, clique em Next.
3. Na página Backup Location, digite o local onde o backup das GPOs foi salvo e
clique em Next.
4. Na página Source GPO, mostrada na Figura 3-19, selecione a versão apropriada
do backup da GPO. Clique em Next.

5. Na página Completing The Restore Group Policy Object Wizard, clique em Finish
e, quando solicitado, clique em OK.
Também é possível usar o cmdlet restore-gpo do Windows PowerShell. Para restau-rar
a GPO Sales Managers da pasta \\LON-DC1\Backup, use o comando a seguir:
Restore-GPO -Name "Sales Managers" -Path \\LON-DC1\Backup

Gerencie backups
Também é possível gerenciar backups no console Group Policy Management. A opção
Manage Backups pode ser usada para ver as configurações em um backup, para excluir
e para restaurar um backup.
Para acessar a ferramenta Manage Backups, no console Group Policy Management:
1. Clique com o botão direito do mouse no nó Group Policy Objects e, então, clique
em Manage Backups.

139
2. Na caixa de diálogo Manage Backups, mostrada na Figura 3-20, selecione o
backup a ser gerenciado e clique em Restore, em Delete ou em View Settings,
conforme for necessário.

Importe uma GPO


Embora seja possível vincular a mesma GPO a vários contêineres, incluindo domínios,
isso nem sempre é aconselhável. Normalmente, é melhor importar uma GPO que exista
em outro domínio. O processo de importação exige restaurar as configurações de outra
GPO em uma GPO vazia, recentemente criada. Portanto, o processo começa com a
criação de um backup da GPO de origem, como descrito anteriormente.

Então, para importar as configurações, use o seguinte procedimento:


1. No console Group Policy Management do domínio de destino, crie uma GPO no
nó Group Policy Objects.
2. Clique com o botão direito do mouse na nova GPO e depois clique em Import
Settings.
3. Na página Backup GPO do Import Settings Wizard, clique em Next. Não é preciso
fazer backup de sua GPO, porque no momento ele não contém nenhuma
configuração.
4. Na página Backup location, selecione a pasta onde foi feito o backup de sua GPO
de origem e clique em Next.
5. Na página Source GPO, selecione a GPO apropriada na lista de Backed Up GPOs
e clique em Next.
6. Clique para prosseguir o assistente a fim de concluir o processo de importação.
Quando solicitado, clique em Finish. Também é possível usar o cmdlet import-gpo do
Windows PowerShell. Por exemplo, para importar a GPO IT Managers da pasta \\LON-
DC1\Backup para uma nova GPO chamada Sales Managers, use o comando a seguir:
Import-GPO -BackupGpoName "IT Managers" -TargetName "Sales Managers" -Path
\\LON-DC1\ Backup

140
Copie uma GPO
As configurações de uma GPO podem ser duplicadas para uso em outra. Um modo
conveniente de fazer isso é copiar uma GPO. O procedimento é o seguinte:
1. No console Group Policy Management, no nó Group Policy Objects, clique com
o botão direito do mouse na GPO de origem e, então, clique em Copy.
2. Clique com o botão direito do mouse no nó Group Policy Objects e, então, clique
em Paste.
3. Na caixa de diálogo Copy GPO, mostrada na Figura 3-21, escolha Use The Default
Permissions For New GPOs ou Preserve The Existing Permissions. Clique em OK.

4. Quando solicitado, clique em OK.


5. No nó Group Policy Objects, renomeie a GPO recentemente criada. El tem o
mesmo nome d GPO de origem, com o prefixo Copy Of.
Também é possível usar o cmdlet copy-gpo do Windows PowerShell. Por
exemplo, para copiar a GPO IT Manager para a GPO Sales Manager, use o
seguinte comando:
Copy-GPO -SourceName "IT Managers" -TargetName "Sales Managers"

Crie e configure uma tabela de migração


Tabelas de migração podem ajudar quando se quer usar a mesma GPO em vários
domínios. Algumas GPOs podem conter configurações de redirecionamento de pasta,
as quais muitas vezes contêm nomes de pasta UNC (Universal Naming Convention),
como \\LON--SVR1\Users\Start-Menu. Outras configurações podem conter entidades
de segurança (security principals), como nomes de computador.
Se uma GPO é importada de outro domínio, esses nomes UNC podem não ser válidos no
domínio de destino. Com tabelas de migração é mais fácil manter a precisão das
configurações da GPO ao se fazer cópias entre domínios. Com elas é possível referenciar
e atualizar os seguintes tipos de objetos:

• Usuários
• Grupos
• Computadores
• Caminhos UNC

Para criar uma tabela de migração, use o procedimento a seguir:

141
1. No console Group Policy Management, clique com o botão direito do mouse no
nó Domains e, então, clique em Open Migration Table Editor.
2. Na caixa de diálogo Migration Table Editor – New, mostrada na Figura 3-22,
clique em Tools e em Populate From GPO.

3. Na caixa de diálogo Select GPO, mostrada na Figura 3-23, na lista de Look In This
Domain, selecione o domínio de origem. Na lista de Group Policy objects, clique
na GPO de origem. Selecione During Scan, Include Security Principals From The
DACL On The GPO. Clique em OK.

4. Na caixa de diálogo Migration Table Editor – New, mostrada na Figura 3-24, na


coluna Destination Name, digite o caminho (ou caminhos) UNC substituto,
conforme for necessário.

5. Quando tiver feito todas as alterações exigidas, clique em File e depois em Save.
6. Na caixa de diálogo Save As, digite um caminho válido, o nome do arquivo e
clique em Save. Certifique-se de salvar a tabela de migração em um local
acessível na rede.
7. Feche o Migration Table Editor.
A tabela de migração pode ser usada ao se importar uma GPO para um domínio
diferente. Use o procedimento a seguir:

142
1. Primeiro, faça backup da GPO de origem referenciada na tabela de migração.
Para detalhes sobre esse processo, consulte a seção deste capítulo intitulada
“Faça backup, restaure, importe e copie GPOs”. Coloque os arquivos de backup
em uma pasta acessível na rede.
2. No domínio de destino, abra o console Group Policy Management, navegue até
o nó Group Policy Objects e crie uma GPO. Use um nome significativo, não
precisa ser o mesmo da GPO de origem.
3. Clique com o botão direito do mouse na nova GPO e depois em Import Settings.
4. Na página Welcome do Import Settings Wizard, clique em Next.
5. Em Backup GPO, clique em Next. Não é preciso fazer backup de sua GPO, porque
agora ela não contém nenhuma configuração.
6. Na página Backup Location, na caixa Backup folder, digite o caminho UNC da
pasta compartilhada que contém o backup da GPO de origem e clique em Next.
7. Na página Source GPO, mostrada na Figura 3-25, na lista de Backed Up GPOs,
clique na GPO apropriada e depois em Next.

8. Na página Scanning Backup, observe a mensagem dizendo que o backup contém


entidades de segurança e/ou caminhos UNC, como mostrado na Figura 3-26, e
clique em Next.

143
9. Na página Migrating References, mostrada na Figura 3-27, clique em Using This
Migration Table To Map Them In The Destination GPO e, então, procure e
selecione a tabela de migração na pasta compartilhada onde foi salva. Clique em
Next.

10. Na página Completing The Import Settings Wizard, clique em Finish.


11. Na página Import Progress, quando a mensagem Succeeded aparecer, clique em
OK.

Redefina GPOs padrão


Em um domínio AD DS existem duas GPOs padrão. São elas:

• Default Domain Policy Esta política é vinculada ao objeto domínio.


• Default Domain Controllers Policy Esta política é vinculada à OU Domain Con-
trollers.
Em geral, na maioria dos ambientes do AD DS, frequentemente é aconselhável criar e
personalizar GPOs de acordo com seus requisitos comerciais, em vez de editar as duas
GPOs padrão. Contudo, nada o impede de editá-las. Na verdade, em algumas
circunstâncias faz sentido usar as GPOs padrão. Contudo, se você decidir que quer
reverter suas GPOs padrão para seus estados iniciais, talvez porque seja mais rápido que
editá-las manualmente ou porque há um problema ou uma corrupção nas GPOs, pode
redefinir uma delas ou ambas.
Para redefinir as GPOs padrão, abra um prompt de comando elevado e execute o
comando DCGPOFix. Como mostrado na Figura 3-28, você precisa confirmar a operação.

144
Se quiser restaurar apenas uma das GPO padrão, execute o comando DCGPOFix com os
seguintes parâmetros:

• /target:Domain Redefine apenas Default Domain Policy.


• /target:DC Redefine apenas Default Domain Controllers Policy.

Delegue o gerenciamento de Group Policy


Em organizações menores é provável que a mesma pessoa que cria GPOs seja
responsável por configurar os ajustes dentro delas e por vinculá-las aos objetos
contêiner apropriados em um domínio. Por padrão, no Windows Server 2016, os
membros dos grupos a seguir têm total controle sobre todas as tarefas de
gerenciamento de GPO:

• Enterprise Admins
• Domain Admins
• Group Policy Creator Owners
• Local System
Contudo, em organizações maiores, a capacidade de dividir as tarefas administrativas
associadas ao gerenciamento de GPOs é útil. Essa divisão do trabalho administrativo é
conhecida como delegação de controle. No Windows Server 2016 é possível delegar o
controle das seguintes tarefas administrativas e de gerenciamento de GPOs:

• Criar GPOs As permissões exigidas para executar essa tarefa podem ser dadas
usando-se o console Group Policy Management.
• Editar GPOs Para editar as configurações nas GPOs, os usuários precisam das
permissões Read e Write. Para atribuir essas permissões, use o console Group
Policy Management.
• Gerenciar vínculos de GPO para sites, domínios ou OUs O vínculo permite
habilitar as configurações de uma GPO em um objeto contêiner especificado. No
Group Policy Management, use a guia Delegation do contêiner desejado para
atribuir essas permissões. Como alternativa, use o Delegation Of Control Wizard
no Active Directory Users and Computers, como descrito no Capítulo 1.

145
• Fazer análises de modelagem de GPO para domínio ou OU especificado A
modelagem permite a um administrador fazer análises ‘e se’, para a aplicação e
processamento de GPOs dentro da infraestrutura do AD DS. Em um contêiner
específico, use a guia Delegation do Group Policy Management para atribuir
essas permissões. Também é possível usar o Delegation Of Control Wizard no
Active Directory Users and Computers.
• Ler dados de resultados de GPO para objetos em um domínio ou OU
especificado A análise de resultados de GPO permite gerar relatórios sobre o
efeito dos ajustes do GPO nos objetos de destino dentro do ambiente do AD DS.
Como antes, para atribuir essas permissões, use a guia Delegation em um
contêiner específico ou use o Delegation Of Control Wizard.
• Criar filtros de WMI Os filtros de Windows Management Instrumentation (WMI,
Instrumentação de Gerenciamento do Windows) permitem determinar se uma
GPO se aplica a um objeto de uma OU com base nas características desse objeto.
Por exemplo, a GPO é aplicada se o objeto computador está executando
Windows 10 e tem 8GB de memória física. No Group Policy Management, use a
guia Delegation do contêiner para atribuir essas permissões. Também é possível
usar o Delegation Of Control Wizard.
Para usar o console Group Policy Management a fim de delegar permissões para
gerenciar GPOs, empregue o seguinte procedimento:
1. No console Group Policy Management, selecione o objeto contêiner no qual
deseja delegar controle. Por exemplo, no painel de navegação, clique no
domínio.
2. No painel de detalhes, clique na guia Delegation, como mostrado na Figura 3-29.

3. Na lista de Permission, clique na permissão a ser delegada. Escolha entre: Link


GPOs, Perform Group Policy Modeling Analyses e Read Group Policy Results
Data.
4. Clique em Add e, na caixa de diálogo Select User, Computer, or Group, na caixa
Enter The Object Name To Select Text, digite o nome do grupo ou usuário para
o qual deseja delegar a permissão e clique em OK.

146
5. Na caixa de diálogo Add Group Or User, mostrada na Figura 3-30, na lista de
Permissions, selecione a herança exigida. Escolha entre: This Container Only e
This Container And All Child Containers. Clique em OK.

6. Examine as alterações, como mostrado na Figura 3-31. O botão Advanced pode


ser usado para ajustar as permissões exigidas.

Para usar o Delegation Of Control Wizard a fim de delegar permissões para geren-ciar
vínculos de GPO, use o procedimento a seguir:
1. No Active Directory Users and Computers, localize e clique com o botão direito
do mouse no contêiner de destino e, então, clique em Delegate Control.
2. Na página Welcome do Delegation Of Control Wizard, clique em Next.
3. Na página Users Or Groups, clique em Add e localize o usuário ou grupo para o
qual deseja delegar a tarefa específica que está sendo configurada. Clique em OK
e depois em Next.
4. Na página Tasks To Delegate, mostrada na Figura 3-32, na lista de Delegate The
Following Common Tasks, marque a caixa de seleção de Manage Group Policy
links e clique em Next.

147
5. As permissões no AD DS são configuradas. Clique em Finish.
Delegar as outras permissões, como criar filtros de WMI, é um processo bastante
semelhante.

Detecte problemas de integridade usando o painel Group Policy Infrastructure


Status
O AD DS do Windows Server 2016 fornece a página GPO Infrastructure Status. Ela é
acessada no console Group Policy Management. Para ver o status, use o procedimento
a seguir:
1. Selecione o objeto domínio e clique na guia Status.
2. Para ver o status atual, clique em Detect Now.
3. Examine as informações no painel de detalhes, como mostrado na Figura 3-33.

Objetivo 3.2: Configurar processamento de Group Policy


Quando você começar a pensar em usar GPOs para ajustar configurações de usuário e
computador, deve considerar a implementação de uma estrutura de OU significativa.
Isso porque é à OUs (e, em menor grau, a domínios e sites) que GPOs são vinculadas.
Por padrão, isso significa que todos os objetos colocados na OU (ou domínio ou site) são
afetados pelas GPOs vinculadas.

148
Já dissemos que, como cada política vinculada a um contêiner pode conter
configurações conflitantes (isto é, na GPO1, a configuração da política X é Enabled,
enquanto na GPO2, é Disabled), devemos considerar fatores que determinam a ordem
em que as GPOs são aplicadas. Na verdade, também devemos considerar fatores como
herança, precedên-cia e filtragem de WMI e de segurança, para fazer a determinação
correta.
Um dos motivos pelos quais se decide agrupar objetos em OUs pode ser porque se quer
delegar permissões de gerenciamento a esses objetos ou porque se quer ajustar
configurações comuns a eles. A Figura 3-34 mostra uma representação da floresta
Adatum. com e várias OUs e as GPOs vinculadas.

Na Figura 3-35, o console Group Policy Management mostra a mesma estrutura.


Discutimos essa infraestrutura por todo este objetivo.

Configure a ordem de processamento e de precedência


Por padrão, se várias GPOs são aplicadas a objetos de uma OU, as configurações da GPO
que tem a menor ordem de vínculo (sendo 1 a mais baixa) têm precedência. Isso não

149
quer dizer que a GPO inteira sobrescreve todas as configurações aplicadas
anteriormente. O que acontece depende de como as configurações são ajustadas.
Por exemplo, suponha que seja criada uma GPO que configura apenas Security Settings
no nó Computer Configuration. Então, suponha que seja criada outra GPO, vinculada ao
mesmo contêiner, a qual configura apenas Windows Components sob a pasta
Administrative Templates. Nenhum desses ajustes entra em conflito um com o outro.
Portanto, não importa qual tem a ordem de vínculo mais baixa.

Contudo, vamos supor que sejam configuradas as mesmas duas GPOs, vinculadas ao
mesmo contêiner. Desta vez, as duas GPOs ajustam as mesmas configurações, por
exemplo, em Windows Components na pasta Administrative Templates, sob o nó
Computer Configuration. Nesse caso, o ajuste aplicado aos objetos da OU é determinado
pela ordem de vínculo.
Também é preciso considerar o fato de que os ajustes são, por padrão, herdados dos
contêineres de nível mais alto aos quais as GPOs são vinculadas. Assim, em nosso
exemplo, as configurações aplicados por intermédio de Default Domain Policy também
se aplicam aos objetos da OU Sales. Do mesmo modo, os objetos da OU Europe recebem
suas configurações, por padrão, de Default Domain Policy, assim como da GPO1 SALES
e da GPO2 SALES. Além disso, essas configurações são aplicadas junto com a GPO
EUROPE, que está vinculada à OU Europe. No caso de quaisquer configurações
conflitantes (e somente nesse caso), a GPO aplicada por último tem precedência, e seus
ajustes são aplicados. Nesse cenário, a GPO aplicada por último seria a vinculado à OU
Europe.
Portanto, para configurar a precedência, deve-se vincular as GPOs à OU correta. As que
estão nos níveis mais baixos em nosso diagrama têm precedência mais alta. Para
configurar a ordem de vínculo, abra o console Group Policy Management, como
mostrado na Figura 3-36, e use os botões de seta para mudar a ordem de vínculo nas
OUs com várias GPOs vinculadas.

150
Configure herança
Por padrão, as GPOs criadas e vinculadas a objetos de nível mais alto em sua árvore de
OUs também se aplicam a todos os objetos abaixo desse vínculo. Por exemplo, em nosso
cenário na Figura 3-34, Default Domain Policy (vinculada ao domínio) é aplicada a todos
os objetos de todas as OUs abaixo desse ponto.
Novamente, em nosso exemplo, os computadores e usuários da OU Europe, sob a OU
Sales, recebem ajustes não apenas da GPO EUROPE vinculada diretamente, mas
também herdam ajustes de Default Domain Policy e da GPO1 SALES e da GPO2 SALES.
Na verdade, é vantajoso essa herança ocorrer, pois isso permite vincular GPOs em níveis
mais altos da árvore de OUs, com configurações que se quer aplicar a todos os
computadores (ou usuários), sabendo que esses ajustes se aplicam aos objetos
subordinados. Portanto, a melhor prática é tirar proveito desse comportamento de
herança e ajustar as configurações nas GPOs de nível mais alto que devam ser aplicadas
a todos os objetos. Então, à medida que se desce na árvore de OUs, até as sub-OUs, cria-
se e vincula-se GPOs específicas, com ajustes que afetam apenas os objetos desse
contêiner.

Bloqueie herança
Ocasionalmente, no entanto, apesar da estrutura de OUs ter sido bem planejada, você
quer impedir que a herança de configurações de GPO desça pela árvore de OUs. Isso é
fei-to com base no contêiner. Ou seja, é possível bloquear a herança em uma OU
específica.
Quando se opta por bloquear a herança, bloqueia-se as configurações de todas as GPOs
vinculadas a contêineres acima da OU que está sendo bloqueada. Por exemplo, como
mostrado na Figura 3-37, a herança é bloqueada na OU SALES. Embora DEFAULT
DOMAIN POLICY tenha sido aplicada uma vez aos objetos da OU SALES, assim como da
OU EUROPE e da OU USA, agora os ajustes de DEFAULT DOMAIN POLICY não se aplicam
à OU SALES e abaixo desta.

151
Para configurar esse comportamento, complete o procedimento a seguir:
1. Abra o console Group Policy Management.
2. No painel de navegação, mostrado na Figura 3-38, clique com o botão direito do
mouse na OU desejada e, então, clique em Block Inheritance.

3. Em Group Policy Management, mostrado na Figura 3-39, o ponto de exclamação


azul indica que a herança está bloqueada.

É possível verificar quais configurações de GPOs são herdadas, selecionando a GPO


apropriada no console Group Policy Management e, então, clicando na guia Group
Policy Inheritance no painel de detalhes. Só aparecem as políticas que estão sendo
aplicadas, como mostrado na Figura 3-40.

152
Configure políticas impostas
Dado que um administrador de uma OU pode bloquear a herança nessa OU,
efetivamente impedindo todas as configurações ajustadas em GPOs vinculadas mais alto
na árvore de OUs, isso pode não ser sempre desejável. Por exemplo, como
administrador a nível de domínio, talvez você queira garantir que as configurações da
GPO vinculada ao domínio sejam aplicadas a todos os computadores (ou usuários),
independentemente de qualquer bloqueio de configurações definido por
administradores de nível mais baixo.
É aí que a imposição é útil. As GPOs podem ser impostas, significando que o uso de
bloqueio de herança não pode bloqueá-las.
Para configurar imposição de GPO, use o procedimento a seguir:
1. Abra Group Policy Management.
2. Localize a GPO a ser imposta e clique nela com o botão direito do mouse, como
mostrado na Figura 3-41.

3. Clique em Enforced.
Como mostrado na Figura 3-42, o cadeado na GPO indica imposição. No painel de
detalhes, a coluna Enforced está definida como Yes.

É possível ver o efeito da imposição nas OUs de nível mais baixo. Na OU Sales há um
bloqueio configurado. Mas, devido à imposição de Default Domain Policy, essa política
aparece, como mostrado na Figura 3-43, na guia Group Policy Inheritance do painel de
detalhes da OU Sales. Isso significa que a imposição supera o bloqueio.

153
Configure filtragem de segurança e filtragem de WMI
Até agora, supomos que todos os ajustes configurados em um ou mais GPOs devem ser
aplicados a todos os objetos de uma OU, ou diretamente, por meio de um vínculo, ou
indiretamente, por meio de herança. Usando Block Inheritance e Enforced é possível
controlar o comportamento padrão, mas isso ainda acontece no nível do contêiner
inteiro.
E se você quiser aplicar os ajustes de um GPO à maioria dos computadores de uma OU,
mas não em todos? Ou talvez queira aplicar um GPO de segurança restritivo à maioria
dos usuários de um departamento, mas não a todos. Talvez você crie um GPO para
distribuir atualizações de software, mas não queira aplicar aos computadores que não
satisfazem aos requisitos de hardware mínimo do software. Todos esses são exemplos
de situações nas quais a filtragem de segurança ou filtragem de WMI para GPO pode ser
útil.

Configurando filtragem de segurança


Um filtro de segurança para um GPO funciona de acordo com a premissa simples de que,
para uma política ser aplicada a um objeto, esse objeto precisa ter no mínimo
permissões Read e Apply Group Policy na GPO. Essas permissões são aplicadas por
padrão, é claro, a todos os GPOs. As permissões atribuídas ao grupo Authenticated Users
podem ser vistas na Figura 3-44.

154
A filtragem de segurança pode ser usada para implementar duas estratégias:

• Applies To Everyone But (aplicar para todos menos) Neste cenário, você quer os
ajustes de seu GPO aplicados a todos os usuários (ou computadores), exceto um
(ou alguns). Para conseguir isso, você concede a permissão Deny Apply Group
Policy ao usuário (ou computador) específico. Isso impede que o usuário (ou
computador) aplique a política.
• Applies To Only (aplicar apenas para) Neste cenário, você quer aplicar a política
apenas a um usuário ou computador específico. Isso levanta a questão de se o
usuário ou computador deve mesmo estar na OU. Supondo que haja motivos
válidos para a presença do objeto na OU, você pode remover a permissão Allow
Apply Group Policy do grupo Authenticated Users. Em seguida, conceda ao
usuário ou computador as permissões Allow Read e Allow Apply de Group Policy
no GPO.
Cuidado para não remover a permissão Allow Read do grupo Authenticated Users. Isso
porque, a não ser que esse grupo também receba a permissões Read, a política não é
processada pelo cliente.

IMPLEMENTE A ESTRATÉGIA ‘APPLIES TO EVERYONE BUT’


Para implementar essa estratégia, negue a um usuário ou grupo a permissão Apply
Group Policy. Para fazer isso, use a guia Delegation.
1. No console Group Policy Management, no nó Group Policy Objects, selecione o
GPO apropriado.
2. No painel de detalhes, clique na guia Delegation, como mostrado na Figura 3-45.

3. Clique em Advanced e, na caixa de diálogo GPO Security Settings, clique em Add.


4. Na caixa de diálogo Select Users, Computers, Service Accounts, Or Groups, digite
o nome do usuário ou grupo a ser excluído e clique em OK.
5. O usuário ou grupo selecionado recebe a permissão Allow Read
automaticamente. Desmarque a caixa de seleção da permissão Allow Read,
marque a caixa de seleção Deny de Apply Group Policy, como mostrado na Figura
3-46, e clique em OK.

155
6. Você recebe um aviso de segurança dizendo que permissões Deny anulam outras
permissões. Clique em Yes para continuar.
7. O usuário ou grupo especificado é listado na guia Delegation com permissões
Custom, como mostrado na Figura 3-47.

IMPLEMENTE A ESTRATÉGIA ‘APPLIES TO ONLY’


Para implementar essa estratégia, remova a permissão de segurança de Authenticated
Users e conceda a permissão Allow Apply Group Policy a um grupo de segurança
específico. Use o procedimento a seguir:
1. No console Group Policy Management, no nó Group Policy Objects, selecione a
GPO apropriada.
2. Na guia Scope, na seção Security Filtering, selecione o grupo Authenticated
Users, como mostrado na Figura 3-48, clique em Remove e depois em OK.

156
3. Clique em Add e, na caixa de diálogo Select User, Computer, Or Group, digite o
nome do usuário ou grupo para o qual a GPO deve ser aplicada e, então, clique
em OK. A lista Security Filtering contém apenas o objeto ao qual a GPO será
aplicado, como mostrado na Figura 3-49.

As permissões configuradas podem ser vistas na guia Delegation, como mostrado na


Figura 3-50, selecionando-se a entidade de segurança apropriada.

Configurando filtragem de WMI


A filtragem de segurança funciona bem quando é possível selecionar uma entidade de
segurança que identifique prontamente o conjunto de usuários, grupos ou
computadores que se deseja configurar. Às vezes, contudo, não existe tal entidade de
segurança. É aí que a filtragem de WMI pode ser útil. Para que uma GPO seja aplicada a
um computador, ela pode precisar satisfazer as condições de um filtro de WMI.
Um filtro de WMI é baseado em uma consulta de WMI que define as propriedades dos
objetos que estão sendo procurados. Por exemplo, talvez você queira selecionar apenas
os computadores instalados com Windows 10 ou Windows Server 2016. O filtro de WMI
é como segue:
SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "10.%"
Para criar um filtro de WMI, use o procedimento a seguir:

157
1. No painel de navegação do console Group Policy Management, clique no nó WMI
Filters.
2. Clique com o botão direito do mouse em WMI Filters e, então, clique em New.
3. Na caixa de diálogo New WMI Filter, na caixa Name, digite o nome para o seu
filtro de WMI, digite uma descrição e clique em Add.
4. Na caixa de diálogo WMI Query, mostrada na Figura 3-51, na caixa Query, digite
a consulta (query) de WMI e clique em OK.

5. Na caixa de diálogo WMI Filter, mostrada na Figura 3-52, clique em Save.

6. Seu filtro de WMI recentemente definido é listado no console Group Policy


Manage-ment, no nó WMI Filters, como mostrado na Figura 3-53.

158
Depois de criar o filtro, aplique-o a GPO usando o procedimento a seguir:
1. No console Group Policy Management, no nó Group Policy Objects, selecione a
GPO apropriada.
2. Na seção WMI Filtering da guia Scope, na lista de This GPO Is Linked To The
Following WMI Filter, clique em seu filtro de WMI.
3. Na caixa de diálogo pop-up Group Policy Management, clique em Yes.
4. No Group Policy Management, WMI Filtering está configurado, como mostrado
na Figura 3-54.

Nesse exemplo, criamos um filtro de WMI com apenas uma consulta de WMI. Contudo,
é fácil construir consultas complexas, com várias condições, para situações mais
complicadas. Além disso, uma vez criados os filtros de WMI, eles podem ser aplicados a
várias GPOs e não é preciso criá-los separadamente para cada GPO.

Configure processamento de loopback


Em algumas organizações os usuários efetuam logon em mais de um computador. Se
GPOs estão sendo usadas para ajustar as configurações de área de trabalho desses
usuários, é importante saber como os GPOs são aplicados quando um usuário de uma
OU efetua logon em um computador de outra OU. Quando GPOs são usados para
configurar ajustes de área de trabalho, por padrão, os ajustes de um usuário são
aplicados a partir dos GPOs vinculados ao objeto usuário no AD DS. Em outras palavras,
os ajustes aplicados são determinados pela OU em que o objeto usuário está
armazenado.

Contudo, podem existir situações nas quais se quer que certos computadores
apresentem uma área de trabalho padrão, independente de quem efetua logon. Por
exemplo, pode haver computadores em um quiosque, em uma área pública dentro de
sua organização, e ser desejável que esses computadores tenham uma área de trabalho
padrão obrigatória.
O processamento de loopback permite mudar o comportamento padrão, de modo que,
em vez dos ajustes de área de trabalho serem aplicados com base na OU do usuário, os
ajustes aplicados são determinados pela localização do objeto computador no AD DS.

159
Para habilitar o processamento de loopback em GPO, edite a seguinte localização na
pasta Administrative Templates do GPO apropriado:
1. Abra o GPO apropriado para edição.
2. No Group Policy Management Editor, sob o nó Computer Configuration, navegue
até Policies\Administrative Templates\System e selecione a pasta Group Policy,
como mostrado na Figura 3-55.

3. No painel de detalhes, clique duas vezes no ajuste de política Configure User


Group Policy Loopback Processing Mode.
4. Na caixa de diálogo Configure User Group Policy Loopback Processing Mode,
mostrada na Figura 3-56, clique em Enabled e selecione o modo em Mode. É
possível escolher entre:
• Replace Substitui a lista de GPOs do usuário inteiramente pela lista de GPOs
obtida para o computador durante a inicialização. Somente os ajustes de User
Configuration dos GPOs do computador são aplicados ao usuário. Use este modo
para aplicar configurações padrão, como em um computador de quiosque, por
exemplo, em uma biblioteca ou sala de aula.
• Merge Em vez de sobrescrever, anexa as configurações do nó User Configuration
da lista de GPOs obtida para o computador durante a inicialização, à lista de
GPOs do usuário, obtida para ele durante o logon. As configurações do
computador têm precedência, pois são aplicados por último. Use este modo para
aplicar ajustes adicionais às configurações de área de trabalho dos usuários. Por
exemplo, quando um usuário efetua logon em um computador na sala de confe-
rências, recebe seus ajustes de área de trabalho normais, mas as GPOs do
computador configuram certas restrições ou ajustes de aparência.

160
5. Clique em OK.
Os computadores clientes devem receber essa atualização de GPO antes que o modo de
processamento de loopback seja efetivado no computador local. Isso pode exigir uma
reinicialização.

Configure e gerencie processamento de Group Policy em link lento e uso de


cache
Se seus usuários trabalham em casa ou em filiais conectadas por links lentos, talvez seja
preciso configurar o processamento de GPO para levar em conta esses links. As duas
opções a seguir podem ser configuradas:

• Slow Link Detection Se um link entre o cliente e o controlador de domínio que


serve as GPOs é mais lento que 500 kilobits por segundo, e o ajuste de detecção
de link lento de Configure Group Policy está habilitado, o cliente processa GPOs
de forma diferente. Especificamente, algumas extensões do lado do cliente são
desabilitadas e não processam os ajustes de política relacionados. Isso ajuda a
otimizar a largura de banda disponível. Quando um link lento é detectado, as
seguintes extensões do lado do cliente são desabilitadas:
• Manutenção do Internet Explorer
• Política de instalação de software
• Política de redirecionamento de pasta
• Política de scripts
• Política de IPsec (Internet Protocol security)
• Política de wireless
• Política de quota de disco
• Caching Quando um cliente detecta um link lento e o uso de cache está
habilitado, uma versão das GPOs aplicáveis, colocadas em cache, é aplicada pelas
extensões no lado do cliente. Dois valores são usados para determinar se um link
é lento e, portanto, se o cache vai ser usado. São eles:

161
• Slow Link Value O padrão é 500 milissegundos. Se o cliente da GPO não rece-be
uma resposta de um controlador de domínio nesse intervalo, o link é consi-
derado lento.
• Timeout Value O padrão é 5000 milissegundos. Após esse período, o cliente
presume que não há conectividade de rede e o cache é usado.
Para habilitar e configurar detecção de link lento, use o procedimento a seguir:
1. Abra a GPO apropriada para edição.
2. No Group Policy Management Editor, sob o nó Computer Configuration, navegue
até Policies\Administrative Templates\System e selecione a pasta Group Policy,
como mostrado na Figura 3-55.
3. No painel de detalhes, clique duas vezes no item Configure Group Policy slow
link detection.
4. Na caixa de diálogo Configure Group Policy slow link detection, mostrada na
Figura 3-57, clique em Enabled e, então, configure a velocidade da conexão.
Lembre-se de que o padrão é 500 kbps. Clique em OK.

Para habilitar e configurar o emprego de cache, use o procedimento a seguir:


1. No painel de detalhes, clique duas vezes no ajuste Configure Group Policy
Caching policy.
2. Na caixa de diálogo Configure Group Policy Caching, mostrada na Figura 3-58,
clique em Enabled e, então, configure Slow link value e Timeout value. Clique em
OK.

162
Os computadores clientes devem receber essas atualizações de GPO antes que os
ajustes de link lento e uso de cache sejam efetivados no computador local. Isso pode
exigir uma reinicialização.

Configure o comportamento de extensão do lado do cliente


Já mencionamos as extensões do lado do cliente, mas vale a pena explorar um pouco
mais as opções de configuração existentes para controlá-las e como elas processam as
configurações vindas de GPOs.
Geralmente, as extensões no lado do cliente só aplicam ajustes de GPO se esses ajustes
foram alterados desde sua última aplicação. Isso melhora o desempenho. Contudo, é
possível controlar esse comportamento com o valor de Process Even If The Group Policy
Objects Have Not Changed na configuração de extensão no lado do cliente apropriada
em uma GPO.
Por exemplo, use o procedimento a seguir para impor a aplicação de ajustes de GPO
para a extensão de segurança no lado do cliente:
1. Abra a GPO apropriada para edição.
2. No Group Policy Management Editor, sob o nó Computer Configuration, navegue
até Policies\Administrative Templates\System e selecione a pasta Group Policy.
3. No painel de detalhes, clique duas vezes na configuração Configure Security
Policy Processing.
4. Como mostrado na Figura 3-59, clique em Enabled e, então, marque a caixa de
seleção Process Even If The Group Policy Objects Have Changed.

163
5. Também é possível determinar se o ajuste é atualizado enquanto o computador
está em uso, durante os intervalos de atualização automática de GPOs. O
comportamento padrão é a extensão no lado do cliente processar atualizações.
Se quiser mudar isso, marque a caixa de seleção Do Not Apply During Periodic
Background Processing. Clique em OK.
Para configurar todas as extensões no lado do cliente, localize o ajuste apropriado na
pasta Group Policy e configure os dois valores descritos anteriormente. Os ajustes
exigidos são mostrados na Figura 3-60.

Imponha uma atualização de Group Policy


Quando você está alterando GPOs e quer verificar a aplicação desses ajustes,
provavelmente não deseja esperar que eles sejam atualizados automaticamente. Caso
não queira esperar, você pode reiniciar um computador ou, para muitos ajustes de
usuário, se desconectar e se conectar novamente.
Contudo, também é possível usar a ferramenta de linha de comando GPUpdate. exe, a
partir de um prompt de comando, para forçar a aplicação das atualizações. Para
atualizar configurações de GPO, use o procedimento a seguir:
1. Abra um prompt de comando.
2. Execute o comando gpupdate /force, como mostrado na Figura 3-61.

164
3. Talvez seja preciso desconectar-se ou até reiniciar seu computador, dependendo
do ajuste.

Objetivo 3.3: Configurar ajustes de Group Policy


Até aqui, vimos como criar e vincular GPOs a objetos do tipo contêiner do AD DS, como
sites, domínios e OUs. Mas para gerenciar os usuários e dispositivos de sua organização
corretamente, é preciso saber também como configurar ajustes comuns usando GPOs.
Neste objetivo você aprende a usar GPOs para implantar software, a criar e configurar
scripts de inicialização e logon, a impor ajustes de segurança e quando usar modelos
administrativos para controlar outros ajustes.

Configure a instalação de software


Uma das tarefas mais comuns de qualquer administrador de rede é implantar e manter
software. O Windows Server 2016 oferece diversas maneiras para fazer isso, incluindo
o uso de GPOs.
Com implantação de software baseada em GPO é possível implantar software para
computadores, independente de quem estiver usando o computador, ou para usuários,
independente do computador que estejam usando. Isso acontece por causa da
existência da pasta Software Settings sob os nós Computer Configuration e User
Configuration no Group Policy Management Editor, como mostrado na Figura 3-62.

Usar GPOs para implantar software tem diversas vantagens:

165
• É relativamente simples e certamente rápido de configurar.
• Não é necessária nenhuma infraestrutura adicional, porque as GPOs fazem parte
do AD DS.
• Não é preciso nenhum software agente no lado do cliente, pois as extensões do
lado do cliente internas da GPO manipulam a implantação.
Contudo, antes de decidir se vai usar GPOs para implantar software, considere
as seguintes desvantagens em potencial:
• Usando GPOs, só é possível implantar certos tipos de pacote. Especificamente,
precisam ser usados pacotes de instalação .msi.
• Não há controle sobre quando a implantação de software ocorre.
• Se vários pacotes estão sendo implantados, não há controle sobre qual deles é
implantado primeiro.
• Não existem recursos de produção de relatórios na implantação de software
através de GPO, tornando difícil determinar se a implantação foi bem-sucedida.
Dadas essas considerações, é provável que usar GPOs para implantar e manter
software aplicativo é conveniente apenas para organizações que dão suporte
para relativamente poucos computadores em suas florestas de AD DS.

Preparação
O primeiro estágio no uso de GPOs para implantar software é armazenar os aplicativos
a serem implantados em um lugar acessível. Lembre-se de que seus aplicativos devem
estar na forma de arquivos do Windows Installer, isto é, arquivos .msi. Coloque os
arquivos .msi em uma pasta compartilhada em um servidor de rede. De preferência,
essa pasta deve fazer parte de uma estrutura de pastas DFSR, para garantir a alta
disponibilidade dos arquivos de instalação. Se estiver usando a mesma pasta
compartilhada para implantação de software, configure a localização padrão de pacote.
Para isso, use o seguinte procedimento:
1. Abra a GPO apropriada para edição e, no Group Policy Management Editor,
navegue até a pasta Computer Configuration, Policies, Software Settings. Em
seguida, clique em Software Installation.
2. Clique com o botão direito do mouse em Software Installation e, então, clique
em Properties.
3. Na caixa de diálogo Software Installation Properties, mostrada na Figura 3-63, na
caixa Default Package Location, digite o caminho para os arquivos .msi dos
softwares e clique em OK.
4. Se quiser, repita esses passos para User Configuration, Policies, Software
Settings e Software Installation Properties.

166
Implantação
Em seguida, decida como quer implantar o software. Você tem duas escolhas, que são:

• Atribuir Software atribuído é instalado automaticamente, sem intervenção do


usuário.
• Publicar Software publicado só estará disponível se o usuário optar por instalá-
lo.
É possível atribuir software a usuários e a computadores. Contudo, só é possível publicar
software para usuários. Para atribuir um aplicativo de software a um computador, use
o procedimento a seguir:
1. Abra o GPO apropriado para edição e, no Group Policy Management Editor,
nave-gue até a pasta Computer Configuration, Policies, Software Settings. Em
seguida, clique em Software Installation.
2. Clique com o botão direito do mouse em Software Installation, aponte para New
e clique em Package.
3. Na caixa de diálogo Open, localize seu pacote de instalação do software, como
mostrado na Figura 3-64.

167
4. Clique em Open e, então, na caixa de diálogo Deploy Software, mostrada na
Figura 3-65, clique em Assigned e depois em OK.

Agora seu pacote de software está pronto para a implantação e está listado na pasta
Software Installation. Quando os clientes atualizam a GPO, o novo ajuste é aplicado.
Neste caso, como você está implantando um pacote por meio de atribuição a um
computador, o pacote é implantado depois da próxima reinicialização da máquina, após
a atualização das GPOs. O processo de atribuição a um usuário é praticamente o mesmo.
Para implantar um pacote, publicando para um usuário, use o procedimento a seguir:
1. Abra a GPO apropriada para edição e, no Group Policy Management Editor,
navegue até a pasta User Configuration, Policies, Software Settings. Em seguida,
clique em Software installation.
2. Clique com o botão direito do mouse em Software installation, aponte para New
e clique em Package.
3. Na caixa de diálogo Open, localize seu pacote de instalação de software e clique
em Open.
4. Na caixa de diálogo Deploy Software, mostrada na Figura 3-66, clique em
Published e depois em OK.

Agora seu pacote de software está pronto para a implantação e está listado na pasta
Software Installation. Quando os clientes atualizam a GPO, o novo ajuste é aplicado.
Neste caso, como você está implantando um pacote por meio da publicação para um
usuário, o pacote está disponível para implantação usando-se o Painel de Controle, uma
vez atualizadas as GPOs, como mostrado na Figura 3-67.

168
Além de implantar software usando atribuição ou publicação, também é possível tornar
software disponível usando implantação por extensão de arquivo. Isso funciona quando
um usuário tenta abrir um arquivo de um tipo específico, ele clica duas vezes em um
arquivo, por exemplo, .doc. É possível configurar instalação de software por GPO para
implantar um aplicativo específico quando um usuário ativa determinado tipo de
arquivo. Para fazer isso, configure a guia File Extensions do nó Software Installation.

Manutenção
Depois de configurar e implantar o software necessário, deve-se estar pronto para
mantê-lo. Isso pode envolver a atualização ou a reimplantação do software.
Para reimplantar um pacote de software:
1. No Group Policy Management Editor, na pasta Software Installation, clique com
o botão direito do mouse no pacote de software apropriado e, então, clique em
Rede-ploy Application.
2. No prompt de confirmação, clique em Yes. Para atualizar (upgrade) um pacote,
use o procedimento a seguir:
1. Clique com o botão direito do mouse em Software Installation, aponte para New
e clique em Package.
2. Na caixa de diálogo Open, localize seu pacote de instalação de software.
3. Na caixa de diálogo Deploy Software, clique em Advanced e depois em OK.
4. Clique na guia Upgrades.
5. Clique em Add e selecione o pacote de software que será atualizado.
6. Como mostrado na Figura 3-68, na caixa de diálogo Add Upgrade Package,
escolha se o pacote existente deve ser removido antes da instalação do novo
pacote ou se o novo pacote pode ser atualizado sobre o já existente. Clique em
OK.

169
7. Na caixa de diálogo New Package Properties, mostrada na Figura 3-69, clique em
OK.

Remoção
Quando um pacote atinge o fim da vida útil em sua organização, é preciso removê-lo.
Isso pode ser feito usando instalação de software através de GPO. Use o procedimento
a seguir para remover de sua organização qualquer pacote indesejado:
1. No Group Policy Management Editor, na pasta Software Installation, clique com
o botão direito do mouse no pacote de software apropriado e, então, clique em
Remove.
2. Na caixa de diálogo Remove Software, mostrada na Figura 3-70, selecione uma
das opções a seguir e clique em OK:
• Immediately uninstall the software from users and computers.
• Allows users to continue to use the software, but prevent new installations.

170
Configure scripts
Frequentemente é muito útil executar um script durante o logon ou quando um
computador inicializa. Talvez você queira usar o script para definir o ambiente do
usuário, mapear unidades de rede ou instalar atualizações de software.
O Windows Server 2016 permite usar GPOs a fim de configurar scripts para executar
durante a inicialização ou o desligamento de computadores, e durante o logon ou logoff
de usuários. O procedimento para configurar esses vários scripts é basicamente o
mesmo. Por exemplo, para configurar a execução de um script de logon, use o seguinte
procedimento de alto nível:
1. Abra o Group Policy Management Editor para o GPO apropriado.
2. Para configurar scripts de logon e logoff, expanda o nó User Configuration e
navegue até Policies, Windows Settings, Scripts (Logon/Logoff), como mostrado
na Figura 3-71.

3. No painel de detalhes, clique duas vezes no nó apropriado. Por exemplo, para


configurar um script que executa no logon, clique duas vezes em Logon.
4. Na caixa de diálogo Logon Properties, para usar um script do Windows
PowerShell, clique na guia PowerShell Scripts.
5. Clique em Add.
6. Na caixa de diálogo Add A Script, clique em Browse, localize o script do Windows
PowerShell e, então, clique em OK.
7. Veja a caixa de diálogo Logon Properties na guia PowerShell Scripts, mostrada na
Figura 3-72. Na lista de For This GPO, Run Scripts In The Following Order,

171
especifique se deseja executar o script do Windows PowerShell primeiro ou por
último. Caso contrário, clique em Not Configured.

8. Caso tenha mais scripts para executar, adicione-os à lista de PowerShell Scripts
e, então, clique em OK.
9. Atualize as GPOs nos computadores de destino e, então, efetue logon para testar
se o script executa corretamente.
O processo de criação e configuração de scripts para logoff, e também para inicialização
e desligamento, é quase idêntico. Além de usar o Windows PowerShell, você também
pode usar outras linguagens de script, incluindo VBScript.

Importe modelos de segurança


Uma das responsabilidades mais importantes dos administradores de rede é manter a
segurança da infraestrutura de rede de suas organizações. Para facilitar essa tarefa, use
GPOs para tornar sua rede segura. Contudo, mesmo usar GPOs para tornar a rede e
ajustes relacionados seguros pode ser um processo maçante e demorado,
especialmente se você quer aplicar os mesmos ajustes a outras partes de sua
organização. Por exemplo, se, tendo tornado um domínio de sua floresta seguro com
ajustes de segurança baseados em GPO, for necessário repetir o processo com ajustes
iguais ou muito semelhantes. Para ajudar a diminuir esse problema, use modelos de
segurança.
Com o console Security Templates, mostrado na Figura 3-73, é possível configurar os
seguintes ajustes de segurança:

• Account Policies Inclui políticas de senha, bloqueio de conta e Kerberos.


• Local Policies Inclui políticas de auditoria, direitos do usuário e opções de
segurança.
• Event Log Permite definir ajustes no log de eventos.
• Restricted Groups Permite definir e configurar grupos restritos.
• System Services Permite definir o comportamento inicial para serviços do
sistema.

172
• Registry Permite definir ajustes de segurança do registro.
• File System Permite definir permissões de arquivo e pasta de forma centralizada.

Para criar e usar modelos de segurança com GPOs, use o procedimento a seguir:
1. Abra o console de gerenciamento e adicione o snap-in Security Templates.
2. Expanda o nó Security Templates no painel de navegação e, então, clique na
pasta de nível superior debaixo desse nó. Clique com o botão direito do mouse
na pasta e, então, clique em New Template.
3. Na caixa de diálogo não rotulada, na caixa de texto Template Name, digite o
nome. Por exemplo, digite High Security Settings e clique em OK.
4. Clique no nó High Security Settings ou qualquer que seja o nome dado ao seu
modelo.
5. Configure os ajustes de segurança exigidos para ajudar a tornar sua organização
segura.
Depois de criar seu modelo e configurar os ajustes de segurança necessários, salve o
modelo. Para isso, clique nele com o botão direito do mouse e, então, clique em Save.
Agora o modelo pode ser aplicado a sua GPO (ou GPOs). Para isso, use o seguinte
procedimento:
1. Abra a GPO desejada para edição.
2. No Group Policy Management Editor, selecione a pasta Security Settings no nó
Computer Configuration\Policies\Windows Settings, no painel de navegação.
3. Clique com o botão direito do mouse na pasta Security Settings e, então, clique
em Import Policy, como mostrado na Figura 3-74.

173
4. Na caixa de diálogo Import Policy From, mostrada na Figura 3-75, clique duas
vezes na política criada anteriormente.

5. Seus ajustes são aplicados.


O Security Compliance Manager pode ser usado para escolher e configurar os ajustes de
segurança apropriados para sua organização. Ele é atualizado regularmente com
parâmetros de segurança, ajudando a tornar mais fácil escolher e implementar ajustes
de segurança adequados em sua organização.

Configure redirecionamento de pasta


Há tempos os administradores têm procurado centralizar e, às vezes, padronizar as
áreas de trabalho de seus usuários. Todas as versões do Windows Server têm suportado
a noção de perfis de área de trabalho móveis (roaming desktop profiles). Esses perfis
permitem aos usuários efetuarem logon em qualquer computador na floresta do AD DS
e aplicar seus ajustes automaticamente. Os administradores também podem atribuir
uma pasta base para seus usuários em um servidor de rede, o que permite aos usuários
armazenar seus dados pessoais em um servidor de arquivos, tornando-os acessíveis a
partir de outros computadores nos quais podem efetuar logon.
Embora você ainda possa usar perfis móveis e pastas base, no Windows Server 2016 é
possível usar Folder Redirection (Redirecionamento de Pasta) para ajudar a centralizar

174
e, se desejado, padronizar os ajustes de área de trabalho e aplicativo dos usuários.
Folder Redirection é implementado como um recurso de GPOs.
O nome Folder Redirection foi escolhido porque várias pastas locais, armazenadas como
parte dos dados e ajustes pessoais de um usuário, podem ser armazenadas em pastas
compartilhadas no servidor de arquivos, por meio de redirecionamento. As seguintes
pastas locais podem ser redirecionadas dessa maneira:

• AppData\Roaming
• Desktop
• Start Menu
• Documents
• Pictures
• Music
• Videos
• Favorites
• Contacts
• Downloads
• Links
• Searches
• Saved Games

Preparação da pasta
Antes de redirecionar pastas é preciso criar a estrutura de pasta compartilhada
necessária. É normal redirecionar as pastas dos usuários para uma pasta compartilhada
comum, referida como pasta-raiz.
Geralmente são atribuídas permissões a grupos de segurança que contêm os usuários
relevantes nas pastas exigidas. Por exemplo, se você redireciona pastas por
departamento, pode atribuir ao grupo de segurança global Vendas as permissões
exigidas na pasta-raiz para usuários de vendas, e fazer o mesmo para o grupo de
segurança Marketing, para usuários desse departamento, e assim por diante.
A Tabela 3-1 mostra as permissões de pasta NTFS corretas.

Como seus usuários vão acessar a pasta-raiz e suas subpastas por meio de uma pasta
compartilhada do Windows Server, você deve atribuir permissões de pasta
compartilhada. A Tabela 3-2 mostra as permissões de pasta compartilhada apropriadas.

175
Daí em diante, cada usuário precisa de sua própria subpasta abaixo da pasta-raiz. Se a
pasta-raiz é criada com as permissões corretas, o Windows Server cria as pastas para o
usuário automaticamente, durante a configuração do redirecionamento de pasta, e
aplica as permissões corretas. Contudo, a Tabela 3-3 mostra as permissões exigidas nas
pastas individuais dos usuários.-

Opções de redirecionamento disponíveis


Quando o redirecionamento de pasta está habilitado, é possível configurar seu compor-
tamento de vários modos diferentes, dependendo do que se quer obter. As opções dis-
poníveis são:

• None Quando esse ajuste, que é o valor padrão, é selecionado, o


redirecionamento de pasta é desabilitado.
• Basic Usada quando se quer:
• Redirecionar as pastas dos usuários para uma área comum. Isto é, você não quer
redirecionar as pastas dos usuários para uma pasta diferente, com base em sua
participação como membro de um departamento. Nesse caso, as pastas de todos
os usuários são redirecionadas para uma única pasta raiz. Cada usuário tem uma
pasta exclusiva abaixo da raiz.
• Garantir a privacidade dos dados do usuário. Como cada usuário tem sua própria
pasta, e como o Windows Server atribui as permissões apropriadas (consulte a
Tabela 3-3), cada usuário pode acessar apenas o conteúdo de sua própria pasta.
• Advanced Usada quando se quer redirecionar grupos de usuários para uma pasta
compartilhada comum.
• Follow The Documents Folder Se você optar por redirecionar a pasta Documents
dos usuários, como parte de sua implementação de redirecionamento de pasta,
pode redirecionar as seguintes pastas para o mesmo local, sem precisar
configurá-las individualmente: Pictures, Music e Videos.

176
Habilitando e configurando redirecionamento de pasta básico
O Group Policy Management Editor é usado para habilitar e configurar
redirecionamento de pasta. Para habilitar e configurar redirecionamento de pasta
básico, use o procedimento a seguir:
1. No console Group Policy Management, localize o GPO apropriado e abra para
edição.
2. No Group Policy Management Editor, navegue até o nó User Configuration e
selecione a pasta Policies.
3. Expanda Windows Settings e, em seguida, expanda Folder Redirection.
4. Selecione a pasta apropriada na lista, como mostrado na Figura 3-76.

5. Clique com o botão direito do mouse na pasta selecionada e, então, clique em


Properties.
6. Na caixa de diálogo Folder Properties, mostrada na Figura 3-77, na guia Target,
na lista Setting, clique em Basic. As pastas de seus usuários são redirecionadas
para o mesmo lugar.

177
7. Na seção Target folder location, escolha uma das opções a seguir.
• Create A Folder For Each User Under The Root Path Se esta opção é selecionada,
o Windows Server cria uma pasta na forma \\server\share\%Username%\
Folder, em que %Username% é o nome da conta de usuário e Folder é o nome
da pasta que está sendo redirecionada. Por exemplo: \\LON-SVR1\Redirected\
Claire\Documents.
• Redirect To The Following Location Se esta opção é selecionada, o Windows
Server cria apenas uma pasta para vários usuários e todos eles usam o mesmo
caminho para a pasta redirecionada.
• Redirect To The Local Userprofile Location Se esta opção é selecionada, o
Windows Server muda o local da pasta redirecionada para o perfil local do
usuário, abaixo da pasta Users local.
• Redirect To The User’s Home Directory Esta opção só está disponível para a
pasta Documents. O Windows Server redireciona a pasta para a pasta base do
usuário.
8. Digite o UNC da pasta-raiz.
9. Clique em OK e, na caixa de diálogo Warning, clique em Yes.
Quando um usuário que é afetado por sua GPO efetua logon, sua pasta é redirecionada
para o lugar desejado e o Windows Server cria a pasta de usuário exigida sob a pasta-
raiz especificada, supondo que ela foi criada com as permissões corretas.

Habilitando e configurando redirecionamento de pasta avançado


Para habilitar e configurar redirecionamento de pasta avançado, use o procedimento a
seguir:
1. No GPO selecionado, no Group Policy Management Editor, navegue até a pasta
Folder Redirection sob o nó User Configuration.
2. Selecione a pasta apropriada na lista.
3. Clique com o botão direito do mouse na pasta selecionada e, então, clique em
Properties.
4. Na guia Target da caixa de diálogo Folder Properties, na lista Setting, clique em
Advanced, como mostrado na Figura 3-78.

178
5. Sob o cabeçalho Security Group Membership, clique em Add.
6. Na caixa de diálogo Specify Group And Location, mostrada na Figura 3-79, na
caixa de texto Security Group Membership, digite o nome do grupo de
segurança.

7. Na seção Target Folder Location, escolha uma das opções a seguir.


• Create A Folder For Each User Under The Root Path
• Redirect To The Following Location
• Redirect To The Local Userprofile Location
• Redirect To The User’s Home Directory
8. Digite o UNC da pasta-raiz e clique em OK.
9. Na caixa de diálogo Folder Properties, repita este procedimento para outros
grupos que queira configurar.
10. Quando todos os grupos estiverem configurados, na caixa de diálogo Folder
Properties, mostrada na Figura 3-80, clique em OK e, no aviso (Warning), clique
em Yes.

179
A guia Settings
Tanto para redirecionamento básico como para avançado, ao se selecionar e configurar
os destinos do redirecionamento, como mostrado, por exemplo, na Figura 3-80,
também é possível configurar opções na guia Settings, como se vê na Figura 3-81:

• Grant The User Exclusive Rights To Folder Garante que cada usuário tenha
permissões exclusivas em sua própria pasta. Habilitada por padrão.
• Move The Contents Of Folder To The New Location Se o perfil de usuário local
possui conteúdo na pasta que está sendo redirecionada, esse conteúdo é movido
para a pasta redirecionada. Habilitada por padrão.
• Also Apply Redirection Policy To Windows 2000, Windows 2000 Server, Win-
dows XP, And Windows Server 2003 Operating Systems Permite suporte para
sistemas operacionais mais antigos, o que não está habilitado por padrão.
• Policy Removal Se o ajuste (ou ajustes) de redirecionamento de pasta é
removido da GPO, esta opção determina o que acontece com o conteúdo da
pasta (ou pastas) redirecionada.
• Leave the folder in the new location when policy is removed. (Manter os arquivos
no novo local quando a política for removida.)
• Redirect the folder back to the local userprofile location when policy is removed.
(Recolocar pasta no local do perfil de usuário local ao remover política).

180
Configure modelos administrativos
Grande parte da configuração conseguida com GPOs se torna disponível com o uso de
modelos administrativos. Todas as alterações feitas nos nós Administrative Templates
de uma GPO resultam em mudanças em configurações de registro dos computadores
afetados.
Assim como em todos os outros ajustes de GPO, essas mudanças são agrupadas em
ajustes relacionados a computador, que modificam os elementos de sistema do registro,
e a usuário, que modificam os elementos do usuário no registro. Contudo, alguns ajustes
feitos em Administrative Templates têm configurações duplicadas nos nós Computer
Configuration e User Configuration.
Como editar o registro diretamente pode ser complexo e propenso a erros, os nós
Administrative Templates são representados em uma estrutura mais lógica, do tipo
pasta, mais simples de navegar, como mostrado na Figura 3-82.

Essa estrutura agrupa os elementos relacionados:

• Computer Configuration:
• Control Panel

181
• Network
• Printers
• Server
• Start Menu and Taskbar
• System
• Windows Components
• All Settings
• User Configuration:
• Control Panel
• Desktop
• Network
• Shared Folders
• Start Menu and Taskbar
• System
• Windows Components
• All Setting

Arquivos de modelo administrativo


Embora os modelos administrativos sejam representados como pastas no Group Policy
Management Editor, na verdade são armazenados como arquivos no sistema de
arquivos do controlador de domínio. Nas versões anteriores do Windows Server, esses
nomes de arquivo tinham a extensão .adm. No Windows Server 2016, eles têm a
extensão .admx.
Os arquivos .admx são neutros quanto ao idioma e, em organizações com muitos
idiomas, são associados aos arquivos .adml que contêm os elementos específicos do
idioma exigidos para configurar ajustes. Por exemplo, os arquivos .admx são
armazenados na pasta Windows\PolicyDefinitions e os arquivos .adml são armazenados
em subpastas sob a pasta Windows\PolicyDefinitions, como en-US para o inglês dos
EUA.

Configure um armazenamento central


Entender a estrutura dos arquivos .admx permite a você criar seus próprios modelos
administrativos, se necessário, para configurar ajustes específicos para seus usuários,
computadores e aplicativos instalados. Contudo, em vez de criar os arquivos .admx em
um controlador de domínio e copiá-los manualmente em todos os controladores de
domínio de sua floresta, você pode implementar um armazenamento central dos
arquivos de modelos administrativos (Administrative Templates). Usar um
armazenamento central ajuda a garantir que:

• Todos os modelos administrativos serão iguais em todos os controladores de do-


mínio.

182
• Será mais fácil atualizar seus modelos administrativos, pois só é preciso atualizar
um arquivo .admx (no armazenamento central), quando forem necessárias
alterações.
O armazenamento central deve ficar localizado na pasta compartilhada SYSVOL.
Especificamente para o domínio Adatum.com:
1. Na pasta \\Adatum.com\SYSVOL\Adatum.com\Policies, crie uma subpasta
PolicyDefinitions.
2. Popule essa nova pasta PolicyDefinitions com o conteúdo existente na pasta
Windows\PolicyDefinitions de um controlador de domínio.
3. Adicione arquivos .admx e .adml novos ou alterados na versão de
PolicyDefinitions contida em SYSVOL.

Importe um arquivo de modelo administrativo personalizado


Se quiser usar seus próprios arquivos .admx ou simplesmente adicionar novos que
baixou, você precisa saber como torná-los disponíveis no console Group Policy
Management Editor. Esse processo é conhecido como importar um modelo
personalizado.
1. Baixe ou crie seu arquivo .admx de modelo administrativo.
2. Copie-o no armazenamento central.
3. No Group Policy Management Editor, ajuste as configurações de Administrative
Template para a GPO (ou GPOs) apropriada.
4. Vincule as GPOs aos contêineres do AD DS exigidos, como uma OU relevante.

Configure filtros de propriedade para modelos administrativos


O número de ajustes que podem ser configurados com modelos administrativos é
enorme. Por padrão, o Group Policy Management Editor mostra todos os ajustes de
política, sejam gerenciados ou não, configurados ou não e comentados.
Percorrer dezenas de ajustes não gerenciados para localizar o ajuste gerenciado que se
quer alterar é demorado. Do mesmo modo, procurar um ajuste configurado específico,
dentre milhares de ajustes não configurados, também é demorado. Felizmente é
possível alterar o modo como o Group Policy Management Editor mostra os ajustes de
política de Administrative Templates, usando filtros de propriedade. Para configurar um
filtro, selecione a pasta Administrative Templates sob o nó Computer Configuration ou
User Configura-tion, conforme for necessário. Então, execute o procedimento a seguir:
1. Clique com o botão direito do mouse em Administrative Templates e, então,
clique em Filter Options.
2. Na caixa de diálogo Filter Options, mostrada na Figura 3-83, configure as opções
a seguir e clique em OK:
• Managed Yes, No ou Any.
• Configured Yes, No ou Any.
• Commented Yes, No ou Any.

183
• Keyword Filter(s) Digite a palavra-chave a filtrar. Especifique se a palavra aparece
no título do item de configuração da política, no texto de ajuda da política e/ou
no comentário. Então, escolha entre procurar pela correspondência exata, todas
as palavras ou quaisquer palavras.
• Requirements Filter(s) Configure requisitos específicos para a plataforma ou
aplicativo a ser filtrado. Depois de selecionar os filtros apropriados, escolha se
todos ou qualquer um deve corresponder.
3. O filtro é aplicado imediatamente ao modo de exibição atual.

Objetivo 3.4: Configurar Preferências em Group Policy


Como já vimos, é possível usar scripts de logon para preparar o ambiente da área de
trabalho de seus usuários, talvez mapeando unidades de rede ou conectando
periféricos, como impressoras. É possível até atribuir esses scripts para os computadores
de seus usuários, usando GPOs.
Contudo, manter scripts pode ser uma tarefa de gerenciamento complexa e demorada.
Isso também exige conhecer linguagens de script, as quais podem não estar disponíveis
em sua organização. No Windows Server 2016 é possível usar Preferências em Group
Policy para distribuir ajustes normalmente disponíveis por meio de scripts.
Existem muitas semelhanças entre os itens de configuração de uma GPO e itens de
preferências de uma Group Policy, mas há algumas diferenças notáveis e importantes.
São elas:

• Os itens de configuração de uma GPO são impostos estritamente, enquanto as


preferências, não. É possível, por exemplo, um usuário alterar ajustes de Start
Menu configurados por preferências através de Group Policy.

Configure Preferências em Group Policy


Os itens de preferências da Group Policy, mostradas na Figura 3-84, podem ser usadas
para configurar os seguintes ajustes:

• Aplicativos

184
• Configurações de ambiente
• Arquivos e pastas
• Mapas (Mapeamentos) de unidade e compartilhamentos de rede
• Configurações de registro
• Atalhos
• Diversas configurações do Painel de Controle, incluindo:
• Fontes de dados
• Dispositivos
• Opções de pasta
• Configurações da Internet
• Usuários e grupos locais
• Opções de rede
• Impressoras
• Opções regionais
• Tarefas agendadas
• Serviços
• Menu Iniciar

Para configurar uma preferência através de Group Policy, use o procedimento de alto
nível a seguir:
1. Abra o Group Policy Management Editor para a GPO apropriada, selecione o nó
User Configuration ou Computer Configuration, abra a pasta Preferences e
selecione um dos itens da lista mostrada anteriormente.
2. Execute uma das tarefas a seguir:
• Crie um ajuste de preferência.
• Substitua um ajuste de preferência existente.
• Atualize um ajuste de preferência existente.
• Exclua um ajuste de preferência existente.

Defina mapeamentos de unidade de rede


Mapeamentos de unidade são configurados no nó User Configuration. Para adicionar
um mapeamento de unidade, complete o procedimento a seguir:

185
1. Selecione a pasta Preferences e então, sob Windows Settings, clique com o botão
direito do mouse em Drive Maps, aponte para New e clique em Mapped Drive.
2. Então, na caixa de diálogo New Drive Properties, na guia General, mostrada na
Figura 3-85, na lista de Action, clique em Create.
3. Na caixa de texto de Location, digite o caminho UNC para a pasta compartilhada.
4. Opcionalmente, marque a caixa de seleção Reconnect para garantir que o
mapeamento de unidade seja reconectado sempre que o usuário efetuar logon.
5. Sob Drive Letter, selecione a letra de unidade apropriada na lista Use.
6. Se necessário, use a seção Connect As (Optional) para definir as credenciais a
serem usadas para mapear a unidade.

7. Clique na guia Common, mostrada na Figura 3-86.

8. Configure as opções disponíveis e clique em OK:


• Stop Processing Items In This Extension If An Error Occurs Se um erro ocorre,
nenhuma das outras preferências configuradas em uma GPO é processada.
• Run In Logged-On User’s Security Context As preferências são executadas no
contexto da conta System ou do usuário conectado. Este ajuste é útil ao se
configurar mapeamentos de unidade.

186
• Remove This Item When It Is No Longer Applied As preferências continuam a
ser aplicadas, mesmo após o item da preferência ser removido. Esta opção muda
esse comportamento.
• Apply Once And Do Not Reapply Este ajuste anula o comportamento de
atualização de GPO padrão.
• Item-Level Targeting Isto é discutido no final deste objetivo.
Se quiser modificar o mapeamento de unidade, abra suas propriedades e, então, na guia
General, na lista de Action, clique em Replace e preencha os ajustes novamente. O item
é excluído dos clientes e substituído pelo novo item. Caso queira modificar um ajuste,
escolha Update. Por fim, se o item da preferência não é mais necessário, escolha Delete.

Configure Preferências de impressora


Nos itens de preferências da Group Policy, impressoras podem ser configuradas nos nós
Computer Configuration e User Configuration. Para configurar uma preferência de im-
pressora, complete o procedimento a seguir:
1. No Group Policy Management Editor, navegue até o nó User Configuration e ex-
panda a pasta Preferences, expanda a pasta Control Panel Settings e clique no
nó Printers.
2. Clique com o botão direito do mouse em Printers, aponte para New e clique em
Shared Printer, TCP/IP Printer ou Local Printer, dependendo de como quer se
conectar, como mostrado na Figura 3-87.

3. Por exemplo, clique em Shared Printer e, então, na caixa de diálogo New Shared
Printer Properties, na guia General, na lista de Action, clique em Create.
4. Na seção Shared printer, em Share path, localize a impressora compartilhada.
5. Opcionalmente, marque a caixa de seleção Set This Printer As The Default
Printer, como mostrado na Figura 3-88.
6. Clique na guia Common, configure as opções comuns e, então, clique em OK.

187
Configure opções de energia
A configuração de opções de energia através de Preferências de Group Policy é
praticamente igual à de impressoras e mapeamentos de unidade. Para implantar opções
de energia, use o procedimento a seguir:
1. Selecione a pasta Power Options no nó Control Panel Settings.
2. Clique com o botão direito do mouse na pasta Power Options, aponte para New
e clique em Power Plan (At least Windows 7).
3. Na caixa de diálogo New Power Plan (At least Windows 7) Properties, mostrada
na Figura 3-89, selecione o plano apropriado e configure os ajustes de energia
exigidos.
4. Clique na guia Common, configure as opções necessárias e, então, clique em OK.

Configure implantação de atalhos


É conveniente colocar atalhos para arquivos, pastas ou outros objetos nas áreas de
trabalho dos usuários. Isso pode ser feito usando Preferências de Group Policy, tanto no
nó Computer Configuration quanto no nó User Configuration. Para criar um atalho, use
o procedimento a seguir:

188
1. Na pasta Windows Settings do nó Computer Configuration ou User
Configuration, clique com o botão direito do mouse na pasta Shortcuts, aponte
para New e clique em Shortcut.
2. Na caixa de diálogo New Shortcut Properties, mostrada na Figura 3-90, na guia
General, selecione Create na lista Action.
3. Na caixa Name, digite um nome para o atalho.
4. Na lista Target type, selecione o tipo de objeto para o qual o atalho aponta.
Escolha entre File System Object, URL ou Shell Object.
5. Na lista Location, escolha onde o atalho deve aparecer. Por exemplo, Desktop,
Start Menu.
6. Na caixa Target path, digite o caminho para o objeto.
7. Configure as opções restantes, conforme for necessário, e clique na guia
Common.
8. Configure as opções de Common e clique em OK:

Configure implantação de arquivo e pasta


Nos itens de Preferências da Group Policy também é possível configurar a
implantação de arquivos e pastas. Novamente, pode ser usado o nó Computer
Configuration ou o nó User Configuration.
Com as preferências de arquivos e pastas, Group Policy pode ser usado para
implantar pastas ou arquivos específicos para usuários ou computadores,
dependendo do nó da GPO selecionado. Para adicionar um arquivo na área de
trabalho de um usuário, use o procedimento a seguir:
1. Na pasta Windows Settings do nó User Configuration, clique com o botão direito
do mouse na pasta Files, aponte para New e clique em File.
2. Na caixa de diálogo New File Properties, mostrada na Figura 3-91, na guia
General, selecione Create na lista de Action.
3. Na caixa Source file(s), digite o caminho e o nome do arquivo a ser usado como
origem.
4. Na caixa Destination File, digite o caminho e o nome do arquivo a ser criado.
5. Opcionalmente, configure os atributos Read-only, Hidden e Archive.

189
6. Clique na guia Common e configure as opções comuns.
7. Clique em OK.

Criar pastas é praticamente igual. Contudo, quando se está substituindo ou excluindo


uma pasta existem mais algumas opções, relacionadas a como a pasta deve ser
gerenciada, como mostrado na Figura 3-92. São elas:

• Delete This Folder (If Emptied)


• Recursively Delete All Subfolders (If Emptied)
• Delete All Files In The Folder(s)
• Allow Deletion Of Read-Only Files/Folders
• Ignore Errors For Files/Folders That Cannot Be Deleted

Configure ajustes de registro personalizados


Usando Preferências é possível executar as seguintes tarefas de gerenciamento para o
registro:

190
• Adicionar um item do registro Permite adicionar uma entrada específica na seção
e chave de registro apropriadas.
• Adicionar um item de coleção Permite agrupar um conjunto de itens de registro.
Isso é útil se você quer adicionar várias entradas de registro para usuários ou
computadores.
• Executar o Assistente do registro Permite usar um assistente nos computadores
de destino para ajustar várias configurações de usuário ou computador no
registro dos computadores de destino.
O procedimento específico para criar ajustes personalizados no registro é muito
parecido com todos os outros procedimentos baseados em preferência.
Configure ajustes do Painel de Controle Preferências podem ser usadas para configurar
os seguintes itens do Painel de Controle sob o nó User Configuration:

• Data Sources Adiciona ou configura fontes de dados.


• Devices Adiciona ou configura dispositivos de hardware.
• Folder Options Configura o modo como arquivos e pastas são apresentados no
File Explorer, incluindo opções como Show Hidden Files And Folders e Hide
Extensions For Known File Types, como mostrado na Figura 3-93.

• Internet Settings É possível configurar padrões e ajustes para o Internet


Explorer, como mostrado na Figura 3-94.

191
• Local Users And Groups Preferências podem ser usadas para gerenciar usuários
locais ou grupos locais, como mostrado na Figura 3-95.

• Network Options Usando Network Options é possível adicionar e configurar


conexões VPN (Virtual Private Network).
• Power Options Permite adicionar e configurar planos de energia.
• Printers Permite adicionar e configurar conexões de impressora.
• Regional Options Permite configurar ajustes regionais.
• Start Menu Permite configurar alguns aspectos do menu Iniciar.

Preferências podem ser usadas para configurar os seguintes itens do Painel de Controle
sob o nó Computer Configuration:

• Scheduled Tasks Adiciona, configura e mantém tarefas agendadas.

192
• Services Configura comportamento de inicialização de serviço.

Configure direcionamento de nível de item


Quando GPOs são usados, é possível direcionar grupos ou usuários específicos
implementando filtragem de segurança. É possível direcionar computadores específicos
com filtros de WMI. Esses filtros determinam se o GPO inteiro é aplicado a determinado
usuário ou computador.
Quando Preferências da Group Policy são implementadas, é possível usar
direcionamento de nível de item para estipular se determinada preferência se aplica.
Isso proporciona bem mais controle sobre a aplicação de ajustes específicos.
Por toda esta seção, ao examinar uma preferência em particular, depois de configurar
as propriedades de General, opcionalmente você pode configurar os ajustes da guia
Common, incluindo a opção Item-level targeting, mostrada na Figura 3-96.

Depois de habilitar essa opção, você pode configurar o direcionamento da preferência


usando o seguinte procedimento:
1. Na caixa de diálogo Targeting Editor, clique em New Item e, na lista de objetos,
selecione como deseja direcionar a preferência. Por exemplo, é possível
selecionar Battery Present, Domain ou RAM, ou mesmo usar uma consulta de
WMI. Por exemplo, clique em RAM:
2. Em seguida, defina a condição. Por exemplo, se você selecionou RAM,
especifique a quantidade de memória RAM exigida para que a condição seja
satisfeita a fim de que a preferência seja aplicada, como mostrado na Figura 3-
97. Use a lista Item Options para definir operadores. Por exemplo, é possível
definir que the total RAM is greater than 2GB, ou que the total RAM is not
greater than 2GB.

193
3. Adicione quaisquer itens necessários. Observe que todas as condições devem ser
satisfeitas para que a preferência seja aplicada. Defina a relação entre as
condições usando a lista Item Options. O padrão é o operador AND, como
mostrado na Figura 3-98.

4. Quando tiver definido todas as condições, clique em OK.


5. Na caixa de diálogo Preference Properties, clique em OK.
Existem 27 categorias para direcionar sua preferência. São elas: Battery Present,
Computer Name, CPU Speed, Date Match, Disk Space, Domain, Environment Variable,
File Match, IP Address Range, Language, LDAP Query, MAC Address Range, MSI Query,
Network Connection, Operating System, Organizational Unit, PCMCIA Present, Portable
Computer, Processing Mode, RAM, Registry Match, Security Group, Site, Terminal
Session, Time Range, User e WMI Query.

194
70-742 Identidade com Windows
Server 2016

Capítulo 4:
Implementação de Active
Directory Certificate Services

195
Objetivo 4.1: Instalar e configurar AD CS
O Windows Server 2016 permite implementar uma PKI por meio da implantação da
função de servidor AD CS. Essa função consiste nos seguintes serviços:

• Certification Authority As autoridades de certificação (CAs, certification


authorities) são responsáveis por gerenciar a emissão e a revogação de
certificados. Em organizações pequenas apenas uma CA pode ser suficiente.
Contudo, em organi-zações maiores é vantajoso criar uma hierarquia de CAs. Isso
permite fornecer alta disponibilidade de serviços de certificado e ajuda a
distribuir a carga de trabalho de gerenciar certificados em várias CAs.
• Certificate Enrollment Web Service O Certificate Enrollment Web Service (CES)
permite que computadores executando pelo menos Windows 7 se conectem a
uma CA por meio de serviços web. O CES age como um proxy para a CA e permite
aos computadores baixar certificados-raiz, solicitar e instalar certificados,
renovar certificados (inclusive renovação automática para computadores que
não são membros de domínio ou computadores pertencentes a domínios de AD
DS não confiáveis) e recuperar listas de certificados revogados (CRLs, certificate
revocation lists).
• Certification Authority Web Enrollment Fornece um método para emitir e re-
novar certificados para usuários, computadores e dispositivos que:
• Estão executando sistemas operacionais que não o Windows.
• Não são membros de domínio de AD DS.
• Não estão conectados diretamente em sua rede.
• Network Device Enrollment Service Permite que dispositivos, como roteadores
e switches, obtenham certificados do AD CS.
• Online Responder Permite gerenciar a verificação de validação e revogação de
Online Certificate Status Protocol (OCSP).
Add Roles and Features, do Server Manager, pode ser usado para instalar os serviços de
função de AD CS exigidos, como mostrado mais adiante, na Figura 4-2. Também é
possível usar os seguintes cmdlets do Windows PowerShell para instalar os serviços de
função de AD CS exigidos:

• Install-AdcsCertificationAuthority Instala e configura o serviço de função


Certification Authority.
• Install-AdcsEnrollmentWebService Instala e configura o serviço de função
Certificate Enrollment Web.
• Install-AdcsEnrollmentPolicyWebService Instala e configura o serviço de função
Certificate Enrollment Policy Web.
• Install-AdcsWebEnrollment Instala e configura o serviço de função Certification
Authority Web Enrollment.
• Install-AdcsNetworkDeviceEnrollmentService Instala e configura o serviço de
função Network Device Enrollment.

196
• Install-AdcsOnlineResponder Instala e configura o serviço de função Online
Responder.

Por exemplo, para instalar uma CA raiz corporativa com ferramentas de gerenciamento
associadas, use o comando a seguir:
Install-AdcsCertificationAuthority -CAType EnterpriseRootCa -IncludeManagementTools

Escolha entre uma CA autônoma e uma corporativa


O Windows Server 2016 tem duas opções para implantação de CA. São elas:

• Autônoma É possível implantar uma CA autônoma, sem AD DS. As CAs


autônomas muitas vezes são implantadas como CAs raiz offline e têm as
seguintes características adicionais:
• Os usuários precisam solicitar certificados usando solicitações (registros) via web
ou outro processo manual.
• Um administrador precisa aprovar todos as solicitações de certificado.
• Corporativa Para implantar uma CA corporativa é preciso o AD DS. As CAs
corporativas não podem ser implantadas como CAs raiz offline e têm as
seguintes características adicionais:
• As informações de configuração e registro da CA são armazenadas no AD DS.
• Os usuários podem solicitar certificados usando registro via web ou outro
processo manual, mas também podem usar registro automático e serviços web.
• Não é preciso um administrador aprovar as solicitações de certificado
manualmente. Em vez disso, as solicitações podem ser manipuladas
automaticamente, com base nos ajustes configurados.
Geralmente, a decisão de implantar uma CA corporativa ou autônoma está relacionada
à decisão de implantar uma arquitetura de CA com uma ou várias camadas, com base
em uma CA raiz e em CAs subordinadas.
Se você pretende implantar uma arquitetura de CA de apenas uma camada em um
ambiente com AD DS, a escolha de implantação usual é a CA corporativa. Contudo, se
pretende implantar uma arquitetura de CAs de várias camadas, isto é, uma que conta
com CAs subordinadas, é normal escolher uma CA autônoma para a CA raiz.

Instalando o serviço de função Certification Authority


Antes de configurar a CA é preciso instalar o serviço de função Certification Authority.
No Server Manager, use o seguinte procedimento para executar essa tarefa:
1. Efetue logon como administrador local.
2. Abra o Server Manager e, então, no Dashboard, clique em Add Roles And
Features.
3. Clique em Next duas vezes, selecione o servidor local na página Select
Destination Server e clique em Next.

197
4. Na página Select Server Roles, mostrada na Figura 4-1, na lista de Roles, marque
a caixa de seleção Active Directory Certificate Services, clique em Next, em Add
Features e depois em Next.

5. Na página Select Features, clique em Next.


6. Na página Active Directory Certificate Services, clique em Next.
7. Na página Select Role Services, marque a caixa de seleção Certification Authority,
como mostrado na Figura 4-2, e clique em Next.

8. Na página Confirm Installation Selections, clique em Install.


9. Depois de instalado o serviço de função, clique em Close.
Depois de instalado o serviço de função Certification Authority, deve-se configurar a CA
como autônoma ou corporativa. As seções a seguir descrevem esses procedimentos.

Instale CAs autônomas


Depois de instalar o serviço de função Certification Authority (Autoridade de
Certificação), é preciso configurá-lo. No Server Manager, use o procedimento a seguir
para instalar uma CA autônoma:
1. No Server Manager, no Dashboard, clique no link Notifications na barra de
ferramentas.

198
2. Clique em Configure Active Directory Certificate Services no servidor de destino.
3. Na página Credentials, digite as credenciais de uma conta de usuário com no
mínimo participação como membro do grupo Administrators local, como
mostrado na Figura 4-3, e clique em Next.

4. Na página Role Services, selecione as funções a serem configuradas. Neste caso,


marque a caixa de seleção Certification Authority, como mostrado na Figura 4-4,
e clique em Configure.

5. Na página Setup Type, mostrada na Figura 4-5, selecione Standalone CA e clique


em Next.

199
6. Na página CA Type, se for a primeira CA, clique em Root CA, como mostrado na
Figura 4-6, e depois em Next.

7. Na página Private Key, se for uma implantação nova, como mostrado na Figura
4-7, clique em Create A New Private Key e em Next. Se já houver uma chave que
você queira usar, clique em Use Existing Private Key. Isso pode acontecer se você
estiver reinstalando uma CA e quiser manter a continuidade com certificados
emitidos anteriormente.

8. Na página Cryptography For CA, selecione o provedor do serviço de criptografia


apropriado, o comprimento da chave e o algoritmo de hash, como mostrado na
Figura 4-8, e clique em Next. Observe que os valores padrão provavelmente são
convenientes para muitas implantações.

200
9. Na página CA Name, digite um nome comum e um nome distinto para a CA, como
mostrado na Figura 4-9, e clique em Next.

10. Na página Validity Period, mostrada na Figura 4-10, selecione o período de


validade apropriado para o certificado que vai ser gerado para a CA. Isso deve
exceder o período de validade dos certificados a serem emitidos pela CA. Clique
em Next.

201
11. Na página CA Database, especifique o local do banco de dados de certificados e
dos arquivos de log relacionados, como mostrado na Figura 4-11. Clique em
Next.

12. Na página Confirmation, mostrada na Figura 4-12, verifique suas escolhas de


configuração e, então, clique em Configure.

13. Após a conclusão da configuração, quando solicitado, clique em Close.

Instale uma CA corporativa integrada ao AD DS


O procedimento para implantar e configurar uma CA corporativa é quase idêntico ao
usado para instalar uma CA autônoma. Use o seguinte procedimento para completar o
processo:
1. Instale a função de servidor Certification Authority e, então, no Server Manager,
no Dashboard, clique no link Notifications na barra de ferramentas e, depois,
clique em Configure Active Directory Certificate Services no servidor de destino.
2. Na página Credentials, digite as credenciais de uma conta de usuário que seja
membro do grupo Enterprise Admins e clique em Next.
3. Na página Role Services, selecione as funções a serem configuradas. Neste caso,
marque a caixa de seleção Certification Authority e clique em Next.

202
4. Na página Setup Type, selecione Enterprise CA, como mostrado na Figura 4-13,
e clique em Next.

O restante da configuração é igual ao procedimento usado para implantar uma CA


autônoma.

Instale CAs raiz e subordinadas offline


Se sua CA raiz é comprometida, todos os certificados emitidos por ela, incluindo os
emitidos para CAs subordinadas, também são comprometidos. Basicamente, isso
significa que tudo em sua organização que conta com certificados digitais para
segurança agora está em risco. Contudo, como já mencionado, se você implanta uma
CA autônoma, tem a opção de colocá-la offline. Colocar uma CA raiz offline ajuda a
tornar sua PKI segura, reduzindo a possibilidade de que seja comprometida.

Considerações para uma CA raiz offline


Antes de colocar sua CA raiz em offline, existem várias coisas a considerar e várias
tarefas a executar. São elas:

• Definir um ponto de distribuição da lista de certificados revogados (CDP,


Certificate revocation list Distribution Point) Por padrão, o CDP reside na CA raiz
autônoma. Se essa CA está offline, o CDP não pode ser acessado. Defina um local
alternativo e copie manualmente as informações da CRL (Certificate Revocation
List, Lista de Revogação de Certificados) no local do novo CDP.
• Definir o período de validade da CRL Quando uma CRL expira é preciso publicar
uma nova e distribuí-la para os CDPs configurados. Se o período de validade é
curto, a CA raiz que está offline precisa ficar online para criar e publicar uma CRL
atualizada. Se é configurado um período de validade da CRL mais longo, por
exemplo, um ano, é necessário colocar online a CA raiz que está offline apenas
uma vez por ano, para atualizar e publicar as CRLs de sua organização.
• Definir um ponto de acesso à informações da autoridade (AIA, authority
information access) Por padrão, AIA também reside na CA raiz. Novamente, se a

203
CA está offline, as informações sobre AIA não podem ser acessadas. Defina um
local alternativo e copie manualmente as informações de AIA no novo local.
• Exportar o certificado da CA raiz As CAs subordinadas precisam desse
certificado. É preciso exportar o certificado da CA raiz e, subsequentemente,
instalá-lo em todas as CAs subordinadas.
• Publicar o certificado da CA raiz Use Group Policy para publicar o certificado da
CA raiz para todos os computadores clientes e servidores. Uma CA raiz
corporativa executa essa tarefa automaticamente, mas uma CA raiz autônoma,
não.
• CAs subordinadas É preciso implantar CAs subordinadas, responsáveis por
emitir, revogar e gerenciar certificados em sua organização. As CAs subordinadas
exigem um certificado adequado da CA raiz (além do certificado da CA raiz). Faz
sentido implantar as CAs subordinadas enquanto a CA raiz está acessível, para
que possam obter o certificado adequado dela.

Configuração de distribuição de CRL e pontos AIA


Antes de implantar CAs subordinadas é preciso configurar os locais de CDP e de AIA.
Esses locais são importantes pelos seguintes motivos:

• Um certificado revogado não deve ser usado para fornecer serviços de segu-
rança e identidade Os CDPs permitem que aplicativos e serviços que contam
com certificados estabeleçam o status da revogação de um certificado,
possibilitando que o aplicativo ou serviço encontre a CRL mantida pelas CAs de
sua organização.
• Os aplicativos e serviços devem confiar nas CAs emissoras Se um aplicativo ou
serviço não confia explicitamente em uma CA que emite um certificado, ele usa
endereços AIA para determinar a validade da CA emissora do certificado.
Endereços AIA são URLs que definem a localização do certificado da CA emissora.
É possível configurar localizações de CDP e AIA usando o seguinte procedimento em sua
CA raiz:
1. Efetue logon como administrador local (ou administrador de domínio, se o
servidor for membro de um domínio) em sua CA raiz, abra o Server Manager,
clique em Tools e depois em Certification Authority.
2. No console certsrv – [Certification Authority (Local)], mostrado na Figura 4-14,
clique com o botão direito do mouse na CA raiz e clique em Properties.

204
3. Na guia Extensions da caixa de diálogo Root CA Properties, na lista de Select
Extension, clique em CRL Distribution Point (CDP), como mostrado na Figura 4-
15, e depois em Add.

4. Na caixa de diálogo Add Location, na caixa de texto Location, digite a URL do site
que contém a CRL. Por exemplo, digite http://lon-svr2.adatum.com/Cert/.
5. Na lista Variable, clique em , como mostrado na Figura 4-16, e depois em Insert.
A variável é anexada a URL na caixa de texto Location.

205
6. Na lista Variable, clique em e depois em Insert.
7. Na lista Variable, clique em e depois em Insert.
8. Na caixa Location, no final da URL, digite .crl, como mostrado na Figura 4-17, e
clique em OK.

9. Na guia Extensions, mostrada na Figura 4-18, marque as seguintes caixas de


seleção e clique em Apply:
• Include in CRLs. Clients use this to find Delta CRL locations.
• Include in the CDP extension of issued certificates.

10. Não reinicie o AD CS quando solicitado. Na guia Extensions, na lista de Select


Exten-sion, clique em Authority Information Access (AIA) e depois em Add.
11. Na caixa Location, digite a URL do site que contém informações de AIA. Por
exemplo, digite http://lon-svr2.adatum.com/Cert/.
12. Na lista Variable, clique em e depois em Insert. Essa variável é anexada ao final
da URL digitado na caixa de texto Location.
13. Na caixa Location, digite um sublinhado (_) no final da URL e, então, na lista
Variable, clique em e depois em Insert.

206
14. Na caixa Location, clique no final da URL e, então, na lista Variable, clique em e
depois em Insert.
15. Na caixa Location, no final da URL, digite .crt, como mostrado na Figura 4-19, e
clique em OK.

16. Como mostrado na Figura 4-20, marque a caixa de seleção Include In The AIA
Extension Of Issued Certificates e clique em OK. Quando solicitado, reinicie o
serviço Certification Authority.

17. No console Certification Authority, expanda sua CA raiz, clique com o botão
direito do mouse em Revoked Certificates, aponte para All Tasks e clique em
Publish.
18. Na janela Publish CRL, mostrada na Figura 4-21, clique em OK. Isso cria a CRL e
as informações de AIA exigidas e as armazena no sistema de arquivos local.

207
19. Certifique-se de que o site que contém as informações de CDP e AIA esteja onli-
ne. Copie o conteúdo, mostrado na Figura 4-22, da pasta C:\Windows\System32\
CertSrv\CertEnroll de sua CA raiz para o site que contém os dados de CDP e AIA.
Por exemplo, copie para http://lon-svr2.adatum.com/Cert/.

Exporte o certificado da CA raiz


É comum implementar uma CA raiz autônoma como parte de um grupo de trabalho. Isso
significa que as subordinadas não confiam no certificado usado ao se implantar o serviço
de função Certification Authority. Consequentemente, é preciso exportar esse
certificado da CA raiz e, posteriormente, instalá-lo em todas as CAs subordinadas. Para
isso, complete o seguinte procedimento:
1. Na CA raiz, no console Certification Authority, clique com o botão direito do
mouse na CA root (raiz) no painel de navegação e depois clique em Properties.
2. Na caixa de diálogo Root CA Properties, clique em View Certificate.
3. Na guia Details da caixa de diálogo Certificate, clique em Copy To File.
4. No Certificate Export Wizard, na página Export File Format, mostrada na Figura
4-23, clique em DER Encoded Binary X.509 (.CER) e depois em Next.

5. Na página File To Export, clique em Browse.

208
6. Na caixa File name, digite uma localização que vai estar acessível para as CAs
subordinadas. Pode ser uma pasta compartilhada ou mesmo um cartão de
memória USB.
7. Na caixa File name, digite um nome significativo para o certificado exportado
(por exemplo, RootCA), clique em Save e depois em Next.
8. Clique em Finish e depois clique em OK três vezes.

Instale o certificado da CA raiz


Nos servidores que você pretende usar como CAs subordinadas, instale o certificado da
CA raiz no armazenamento Trusted Root Certification Authorities. Para isso, complete o
seguinte procedimento:
1. Na CA subordinada de destino, efetue logon como administrador local e, então,
navegue até o local onde você colocou o certificado da CA raiz.
2. Clique com o botão direito do mouse no certificado, o qual tem a extensão de
arquivo .cer, e clique em Install Certificate.
3. No Certificate Import Wizard, clique em Local Machine e depois em Next.
4. Na página Certificate Store, clique em Place All Certificates In The Following Store
e depois em Browse.
5. Selecione Trusted Root Certification Authorities, clique em OK e, então, como
mostrado na Figura 4-24, clique em Next e em Finish.

6. Quando a janela do Certificate Import Wizard aparecer, clique em OK.

Implante CAs subordinadas


Depois de implantar e configurar sua CA raiz, você pode implantar CAs subordinadas.
Existem vários cenários para a implantação de CAs subordinadas, como mostrado na Fi-
gura 4-25. São eles:

• Pela finalidade do certificado Os certificados podem ser usados para muitas


finalidades, incluindo criptografia de arquivos, para ajudar a tornar e-mail
seguro, ajudar a tornar seguro um cliente de acesso remoto, como os que usam

209
conexões VPN (Virtual Private Network). Como talvez você queira implementar
diferentes políticas de emissão de certificados para cada uma dessas finalidades,
pode implantar CAs subordinadas, cada uma com certificados de finalidades
distintas. Então, poderia configurar uma separação administrativa com base na
finalidade do certificado.
• Por localização Se sua organização abrange várias localizações geográficas, você
poderia optar por implantar CAs subordinadas de acordo com essas localizações.
Cada subordinada atenderia às necessidades de certificado dos computadores
clien-tes e servidores dentro dessa região. Essa estratégia permitiria separar a
administração com base na região.
• Por divisões corporativas Suas políticas de certificado podem variar de acordo
com a divisão corporativo. Nesse caso, implante as CAs subordinadas de acordo
com as divisões ou departamentos de sua organização. Esse cenário permite
separar a administração com base no departamento.
• Para balanceamento de carga ou alta disponibilidade Implantar várias CAs
subordinadas ajuda a garantir a disponibilidade de serviços de certificado.
Permite também distribuir a carga de trabalho, para ajudar a garantir respostas
rápidas dos servidores de CA de sua infraestrutura.

Depois de implantar sua CA raiz e escolher o cenário apropriado, para implantar uma CA
subordinada, use o procedimento a seguir:
1. Instale o serviço de função Certification Authority.
2. Configure Active Directory Certificate Services no servidor de destino, como
descrito anteriormente, e na página Setup Type, clique em Enterprise CA e
depois em Next.
3. Na página CA Type, clique em Subordinate CA e depois em Next.
4. Complete a configuração usando a diretriz fornecida anteriormente, mas na
página Certificate Request, clique em Save A Certificate Request To File On The
Target Machine e depois em Next, como mostrado na Figura 4-26. Mais adiante,
neste procedimento, é preciso tornar esse arquivo disponível para a CA raiz.

210
Coloque-o em uma pasta compartilhada, acessível a partir da CA raiz, ou copie-
o em um cartão de memória.

5. Na página CA Database, clique em Next.


6. Na página Confirmation, clique em Configure.
7. Na página Results, leia a mensagem de aviso, mostrada na Figura 4-27, e clique
em Close.

8. No servidor instalado como CA raiz, no console Certificate Authority, clique com


o botão direito do mouse no servidor CA raiz, aponte para All Tasks e, então,
clique em Submit New Request.
9. Na caixa de diálogo Open Request File, navegue até o arquivo .req criado no
passo 4 e clique em Open. Você pode ter colocado esse arquivo em uma pasta
compartilhada, como mostrado na Figura 4-28, ou ele pode estar acessível em
um cartão de memória ou em outra mídia removível.

211
10. No console Certification Authority, clique no contêiner Pending Requests, clique
com o botão direito do mouse em Pending Requests e, então, clique em Refresh.
Você deverá ver uma solicitação, que é o resultado da ação de abertura da
solicitação que acabou de executar. No painel de detalhes, clique com o botão
direito do mouse na solicitação (cuja identificação é 2), aponte para All Tasks e
clique em Issue.
11. Agora é preciso exportar a solicitação emitida e importá-la para sua CA
subordinada. No console Certification Authority, clique no contêiner Issued
Certificates.
12. No painel de detalhes, clique duas vezes no certificado, clique na guia Details e,
então, clique em Copy To File.
13. Na página Export File Format do Certificate Export Wizard, clique em
Cryptographic Message Syntax Standard – PKCS #7 Certificates (.P7B), marque a
caixa de seleção Include All Certificates In The Certification Path If Possible e
clique em Next.
14. Na página File To Export, insira um local que seja acessível a partir da CA
subordinada, digite um nome significativo para o arquivo e, então, clique em
Next e conclua o processo de exportação.
15. Alterne para a CA subordinada e, no Server Manager, clique em Tools e depois
em Certification Authority.
16. No console Certification Authority, clique com o botão direito do mouse no
servidor local, aponte para All Tasks e clique em Install CA Certificate.
17. Na caixa de diálogo Select File To Complete CA Installation, navegue até o local
do certificado que acabou de ser exportado no passo 13. Clique duas vezes no
arquivo PKCS #7 Certificates, como mostrado na Figura 4-29. Agora a CA pode
ser iniciada no servidor CA subordinado.

212
Após concluir a implantação de suas CAs subordinadas, pode desligar a CA raiz.

Publique a CA raiz no AD DS
Se você configurou suas subordinadas em um ambiente de AD DS, deve publicar o
certificado da CA raiz para todos os computadores clientes e servidores de seu domínio,
usando Group Policy. Use o seguinte procedimento para executar essa última tarefa:
1. Em um controlador de domínio, abra Group Policy Management.
2. No console Group Policy Management, abra Default Domain Policy para edição.
3. No nó Computer Configuration, navegue até Policies, Windows Settings, Security
Settings, Public Key Policies, Trusted Root Certification Authorities, como
mostrado na Figura 4-30.

4. Clique com o botão direito do mouse em Trusted Root Certification Authorities,


clique em Import e depois em Next.
5. Navegue até o lugar onde você armazenou a CA raiz exportada e clique duas
vezes no arquivo de certificado. Ele tem a extensãocer.
6. Clique em Next duas vezes e depois em Finish.
7. Na caixa de diálogo Certificate Import Wizard, clique em OK.

213
8. Feche o Group Policy Management Editor e o console Group Policy
Management.

Instale e configure um respondente online


Os respondentes online podem fornecer informações de revogação de certificados e
apresentam uma alternativa ao uso de CRLs. Como fornecem status de revogação sobre
um certificado específico e não sobre todos os certificados, eles têm diversas vantagens
em relação às CRLs, como segue:

• Oferecem melhor suporte para clientes remotos Os computadores que se


conectam remotamente, por exemplo, por meio de uma VPN, podem não ter
largura de banda para baixar a CRL inteira, a fim de verificar um certificado.
• Evitam atividade de rede excessiva Durante certas horas do dia, por exemplo,
quando os usuários efetuam logon, sua rede manipula picos de verificação de
revogação de certificados.
• Melhoram o rendimento da verificação de revogações Em vez de fornecer uma
CRL inteira para verificar um único certificado, colocando carga desnecessária
em sua PKI, o uso de um respondente online permite fornecer apenas os dados
de verificação de revogação exigidos.

Instale o serviço de função


Online Responder O serviço de função Online Responder pode ser instalado para
fornecer a função de respondente online no Windows Server 2016. Para adicionar o
serviço de função Online Responder, use o seguinte procedimento:
1. Efetue logon como administrador local em seu servidor de CA e abra o Server
Manager.
2. Clique em Manage e em Add Roles And Features.
3. Avance pelo assistente e, na página Server Roles, expanda Active Directory
Certificate Services e marque a caixa de seleção Online Responder.
4. Como OCSP usa HTTP para manipular solicitações de revogação, é preciso
instalar vários componentes de Web Server. Na caixa de diálogo Add Roles And
Features Wizard, na lista de Add Features That Are Required For Online
Responder, clique em Add Features e depois em Next.
5. Complete o assistente para instalar o serviço de função Online Responder.

Configure o serviço de função Online Responder


Depois de instalado o serviço de função Online Responder, use o procedimento a seguir
para configurá-lo:
1. No Server Manager, em Notifications, clique em Configure Active Directory
Certificate Services no servidor de destino.
2. Na página Credentials do AD CS Configuration Wizard, digite as credenciais
exigidas para fazer a configuração. É necessário ser, no mínimo, um
administrador local. Clique em Next.

214
3. Na página Role Services, marque a caixa de seleção Online Responder e clique
em Next.
4. Clique em Configure e, quando solicitado, clique em Close.
Também é preciso emitir o modelo de certificado OCSP Response Signing. Para isso,
complete os passos a seguir:
1. No console Certification Authority, clique com o botão direito do mouse no nó
Certificate Templates.
2. Aponte para New e clique em New Certificate Template To Issue.
3. Na caixa de diálogo Enable Certificate Templates, localize OCSP Response Signing
Certificate e clique em OK.
Por fim, crie uma configuração de revogação para o respondente online:
1. No Server Manager, clique em Tools e em Online Responder Management.
2. No painel de navegação, clique com o botão direito do mouse no nó Revocation
Configuration e, então, clique em Add Revocation Configuration.
3. No Add Revocation Configuration Wizard, clique em Next.
4. Na página Name The Revocation Configuration, digite um nome para a
configuração e clique em Next.
5. Na página Select CA Certificate Location, clique na opção para a localização de
seu certificado de CA e depois em Next. Escolha entre:
• Select A Certificate For An Existing Enterprise CA (padrão)
• Select A Certificate From The Local Certificate Store
• Import Certificate From A File
6. Na página Choose CA Certificate, selecione o certificado que deseja usar e clique
em Next.
7. Na página Select Signing Certificate, mostrada na Figura 4-31, escolha uma das
opções a seguir e clique em Next:
• Automatically Select A Signing Certificate (padrão)
• Manually Select A Signing Certificate
• Use The CA Certificate For The Revocation Configuration

215
8. Na página Revocation Provider, clique em Provider e, na caixa de diálogo
Revocation Provider Properties, digite a localização das CRLs. Por exemplo,
clique em Add, digite http://lon-svr2.adatum.com/cert/Adatum-NYC-1-CA.crl e
clique em OK duas vezes.
9. Clique em Finish.

Implemente separação de função administrativa


Embora seja comum em organizações pequenas um único grupo de administradores
executar todas as tarefas administrativas em uma rede, à medida que a organização
cresce essa estratégia se torna menos conveniente. Por isso, é preciso pensar na
possibilidade de separar a administração de sua arquitetura AD CS em funções distintas,
cada uma responsável por diferentes aspectos do gerenciamento de AD CS. Por
exemplo: administração de CA, gerenciamento de certificados, gerenciamento de
backup e auditoria.
O Windows Server 2016 não fornece funções internas para administração de AD CS,
você mesmo precisa criá-las. Recomenda-se criar grupos de segurança com nomes
apropriados no AD DS e atribuir as funções administrativas exigidas aos respectivos
grupos, usando permissões de AD CS. Use as informações da Tabela 4-1 para ajudar a
planejar os grupos necessários.

Para configurar as permissões exigidas para quaisquer grupos que criar, use o console
Certification Authority, como descrito no procedimento a seguir:
1. No console Certification Authority, clique com o botão direito do mouse em sua
CA e, então, clique em Properties.
2. Na caixa de diálogo CA Properties, clique na guia Security.
3. Adicione os grupos necessários e, então, na lista Permissions abaixo, configure
as permissões desejadas para cada grupo.

216
Os grupos exatos que você estabelece e as funções que atribui a eles variam,
dependendo de sua implantação de AD CS e do que deseja obter em termos de
separação administrativa. Por exemplo, considere o seguinte cenário.
Você implantou uma CA raiz autônoma que é membro de um domínio de AD DS e duas
CAs corporativas subordinadas, uma das quais emite certificados de usuário, enquanto
a outra emite certificados de computador. Você quer que um grupo tenha permissões
de administração da CA e gerenciamento de certificados em todas as CAs de sua
organização, e que o outro grupo tenha permissões de administração da CA e
gerenciamento de certificados somente nas duas CAs subordinadas.
Para configurar a administração baseada em função a fim de suportar esse cenário,
execute os passos a seguir:
1. Usando Active Directory Users And Computers, crie os seguintes grupos de
segurança no AD DS:
• Enterprise CA Admins
• Subordinate CA Admins
• User Cert Managers
• Computer Cert Managers
2. Em todas as CAs, atribua ao grupo Enterprise CA Admins as permissões Manage
CA e Issue and Manage Certificates, como descrito anteriormente.
3. Nas duas CAs subordinadas, atribua ao grupo Subordinate CA Admins as
permissões Manage CA e Issue and Manage Certificates.
4. Na CA subordinada para certificados de usuário, atribua ao grupo User Cert
Managers a permissão Issue And Manage Certificates, como mostrado na Figura
4-32.

5. Então, na guia Certificate Managers das propriedades da CA, mostrada na Figura


4-33, restrinja o grupo User Certificate Managers apenas ao modelo de
certificado de usuário:
A. Clique em Restrict Certificate Managers. Os grupos de segurança configurados
aparecem na lista Certificate Managers: (configured on the Security tab).

217
B. Clique em Add e, na caixa de diálogo Enabled Certificate Templates, selecione o
certificado de usuário e clique em OK.
C. Na lista de Certificate Templates, clique em All e em Remove.
D. Clique em OK.

6. Na CA subordinada para certificados de computador, atribua ao grupo Computer


Cert Managers a permissão Issue And Manage Certificates. Então, restrinja o
grupo Computer Cert Managers apenas ao modelo de certificado de
computador.

Configure backup e recuperação de CA


Dada a importância dos certificados para ajudar a tornar os aplicativos e serviços de sua
organização seguros, é vital saber como fazer backup e restaurar suas CAs. Para executar
operações de backup e restauração, pode-se usar o console Certification Authority, o
Windows PowerShell e a ferramenta de linha de comando Certutil.exe.

Fazendo backup da CA
Para fazer backup de sua CA com o console Certification Authority, use o procedimento
a seguir:
1. No painel de navegação, clique com o botão direito do mouse na CA, aponte para
All Tasks e clique em Back Up CA, como mostrado na Figura 4-34.

218
2. No Certification Authority Backup Wizard, clique em Next e, então, na página
Items To Back Up, mostrada na Figura 4-35, marque as caixas de seleção Private
Key And CA Certificate e Certificate Database And Certificate Database Log.

3. Caso já tenha feito backups, pode escolher a opção Perform Incremental Backup.
4. Defina um local para seu backup ser armazenado e clique em Next.
5. Na página Select A Password, digite uma senha para proteger a segurança de
seus arquivos de backup e clique em Next.
6. Clique em Finish. Para fazer backup de sua CA a partir da linha de comando, use
o seguinte comando:
Certutil -Backup c:\Backup
Para fazer backup de sua CA com o Windows PowerShell, use o cmdlet Backup-
CARoleService.

Restaurando sua CA
Para restaurar sua CA com o console Certification Authority, use o procedimento a
seguir:
1. No painel de navegação, clique com o botão direito do mouse na CA, aponte para
All Tasks e clique em Restore CA.

219
2. Quando solicitado, clique em OK para interromper os serviços de AD CS em
execução em seu servidor.
3. No Certification Authority Restore Wizard, clique em Next e, então, na página
Items To Restore, marque as caixas de seleção Private Key And CA Certificate e
Certificate Database And Certificate Database Log.
4. Especifique o local de seus arquivos de backup e clique em Next.
5. Digite a senha usada para proteger os arquivos de backup e clique em Next.
6. Clique em Finish para concluir o procedimento.
Para restaurar sua CA a partir da linha de comando, use o seguinte comando:
Certutil -Restore c:\Backup
Para restaurar sua CA com o Windows PowerShell, use o cmdlet Restore-CARole-Service.

Objetivo 4.2: Gerenciar certificados


Implantar e configurar CAs como parte de sua PKI é apenas um trecho da história.
Também é necessário configurar e gerenciar modelos de certificado, certificados,
registro automático e arquivamento e recuperação de chaves.

Gerencie modelos de certificado


Os certificados digitais podem ser usados para muitas finalidades diferentes. Os
modelos de certificado permitem definir essas finalidades e também como usuários ou
computadores podem solicitar certificados específicos. Modelos de certificado podem
ser criados rápida e facilmente com ferramentas gráficas e de linha de comando.

Versões de modelo
O Windows Server 2016 suporta quatro diferentes versões de modelo. Essas versões
têm recursos e características distintas, como descrito a seguir:

• Versão 1 Criada por padrão quando o serviço de função Certification Authority é


instalado. Nos modelos da versão 1 só é possível fazer alterações limitadas,
especificamente, nas permissões de certificado.
• Versão 2 Vários modelos da versão 2 são criados automaticamente quando a
função Certification Authority é instalada. É possível modificar esses modelos ou
criar seus próprios modelos da versão 2, conforme a necessidade.
• Versão 3 Suporta recursos mais avançados, incluindo CNG (Cryptography Next
Generation).
• Versão 4 Disponível desde o Windows Server 2012, fornece recursos mais recen-
tes, incluindo suporte para provedores de serviço de criptografia (CSPs,
cryptographic service providers) e para provedores de armazenamento de
chaves.

220
Gerenciando a segurança de modelos
A segurança do modelo pode ser usada para determinar quais usuários têm qual nível
de acesso aos modelos. O acesso é definido na guia Security da caixa de diálogo
Template Properties e inclui as seguintes permissões:

• Read Permite a um usuário ou computador ler as propriedades de um modelo


ao registrar um certificado.
• Write Permite que um usuário ou computador modifique as propriedades do
modelo.
• Full control Permite que os usuários modifiquem todas as propriedades do
modelo, inclusive seus ajustes de segurança.
• Enroll Supondo que o usuário ou computador tenha a permissão Read, a
permissão Enroll permite a ele registrar um certificado com base em um modelo.
• Autoenroll Se o usuário ou computador tem as permissões Read e Enroll, a
permissão Autoenroll permite a ele registrar um certificado usando registro
automático.

Gerenciando outras propriedades de modelo


Além dos ajustes de segurança que determinam se um usuário ou computador pode ler,
modificar e registrar um certificado com base em um modelo, também é possível
configurar a finalidade desejada para o certificado, modificando um modelo. Por padrão,
quando a função de servidor CA é implantada, o Windows Server 2016 instala vários
modelos, a maioria com finalidades múltiplas, como mostrado na Figura 4-36.

Ao se planejar a criação ou modificação de modelos é preciso considerar vários fatores,


incluindo os seguintes:

• Para que é o certificado


• Quais métodos são exigidos para usuários ou computadores submeterem uma
solicitação de certificado válida
• O comprimento da chave e o período de validade dos certificados

221
• O processo de registro e os requisitos

Criando e gerenciando um modelo


Para criar e gerenciar modelos de certificado, no console Certification Authority, clique
com o botão direito do mouse no nó Certificate Templates e, então, clique em Manage.
Por exemplo, para criar um modelo baseado no modelo User existente, use o seguinte
procedimento:
1. No Certificate Templates Console, mostrado na Figura 4-36, clique com o botão
direito do mouse no modelo User e, então, clique em Duplicate Template.
2. Na caixa de diálogo Properties Of New Template, na guia General, mostrada na
Figura 4-37, na caixa Template Display Name, digite um nome significativo para
seu novo modelo. Por exemplo, digite Standard A Datum User Template.

3. Configure os períodos de validade (validity) e renovação (renewal).


4. Na guia Request Handling, mostrada na Figura 4-38, configure a finalidade
pretendida na lista Purpose e, então, configure os ajustes de registro. Escolha
entre:
• Enroll Subject Without Requiring Any User Input (padrão)
• Prompt The User During Enrollment
• Prompt The User During Enrollment And Require User Input When The Private
Key Is Used

222
5. Clique na guia Security. Adicione os grupos que precisam de permissões no
modelo e configure as permissões exigidas. Por exemplo, para permitir que
todos os usuários registrem certificados de forma normal e automática para esse
modelo, clique em Authenticated Users e, então, na seção Permissions For
Authenticated Users, habilite as caixas de seleção Allow para Enroll e Autoenroll,
como mostrado na Figura 4-39.

6. Na guia Issuance Requirements, mostrada na Figura 4-40, configure os


requisitos. Por exemplo, se for necessária aprovação do gerente da CA, marque
a caixa de seleção CA Manager Approval.

223
7. Na guia Extensions, mostrada na Figura 4-41, se quiser modificar a finalidade (ou
finalidades) pretendida para o modelo, clique em Application Policies na lista
Extensions Included In This Template e, então, clique em Edit.

8. Na caixa de diálogo Edit Application Policies Extension, mostrada na Figura 4-42,


clique em Add.

224
9. Selecione quaisquer finalidades adicionais na lista de Application Policies. Clique
em OK duas vezes.
10. Na caixa de diálogo Properties Of New Template, clique em OK.
Para tornar o modelo disponível, troque para o console Certification Authority e use o
procedimento a seguir:
1. Clique com o botão direito do mouse no nó Certificate.
2. Aponte para New e clique em New Certificate Template To Issue.
3. Na caixa de diálogo Enable Certificate Templates, localize o modelo que você
criou e clique em OK.

Modificar ou substituir?
Para modificar um modelo, duplique um já existente que mais corresponda aos seus
requisitos e, então, modifique a(s) finalidade(s) pretendida(s) ou outras propriedades da
sua cópia, conforme descrito anteriormente. Certifique-se de dar à cópia um nome
significativo que melhor descreva sua(s) finalidade(s).
Ao atualizar um modelo de certificado é possível modificar o modelo original ou
substituir modelos existentes.

• Modificar A modificação é usada quando se quer mudar o modelo de certificado


original, talvez para adicionar uma nova finalidade ou mudar ajustes de
segurança. Após a modificação, todos os novos certificados emitidos com base
no modelo refletem as alterações feitas.
• Substituir Pode-se optar por substituir modelos de certificado, no caso em que
se tem vários modelos com finalidades semelhantes (ou idênticas). Nesse
cenário, depois de substituídos os vários modelos antigos, o novo modelo é
colocado no lugar deles. São emitidos novos certificados aos usuários que
tiverem certificados mais antigos.

225
Implemente e gerencie implantação, validação e revogação de certificados
Depois de planejar e criar seus modelos de certificado, você pode iniciar o processo de
implantação e gerenciamento de certificados para dar suporte às necessidades de
segurança de sua organização. Parte desse processo é considerar a melhor forma de
tornar os certificados disponíveis para seus usuários (e seus computadores).
Quando um usuário ou computador obtém um certificado, isso é referido como registro.
Existem vários métodos de registro de certificado:

• Manual Como o nome sugere, quando um usuário solicita um certificado,


executa um procedimento manual para obtê-lo. Normalmente, o usuário gera a
solicitação localmente em seu computador e, então, transfere o arquivo da
solicitação para a CA processar. Supondo que a solicitação seja válida, a CA emite
o certificado apropriado, o qual deve então ser transferido de volta para o
usuário solicitante, para instalação. Para fazer o registro manual, os usuários
podem usar o console Certificates ou a ferramenta de linha de comando
Certreq.exe.
• Registro automático Talvez essa seja a forma mais conveniente de registro, pois
não exige intervenção do usuário. Depois de configurado o registro automático
do certificado por meio de Group Policy, os computadores membros do domínio
de AD DS podem usar esse método para solicitar, recuperar e renovar seus
certificados. Quando possível, esse é o método de registro preferido.
• Registro via web Os usuários podem solicitar e recuperar seus certificados
usando um site de web que está localizado na CA. O usuário se registra no site e
seleciona o modelo apropriado. Supondo que todas as condições de registro
sejam satisfeitas, a CA emite o certificado. Para possibilitar esse método de
registro é preciso instalar o serviço de função Certification Authority Web
Enrollment em suas CAs. Se você não é capaz de usar registro automático, o
registro via web é uma boa alternativa.
• Em nome de Nem todos os usuários são capazes de usar as ferramentas exigidas
para solicitar e instalar certificados. Por isso, você pode usar o método do
registro em nome de. Isso pode ser adequado quando um gerente está
instalando certifica-dos para usuários a fim de habilitar autenticação de cartões
inteligentes. Para usar registro em nome de, crie um agente de registro: trata-se
de uma conta de usuário utilizada para solicitar certificados em nome de outros
usuários.
O método escolhido depende de seus requisitos organizacionais e dos componentes
existentes na PKI.

Gerencie e renove certificados para computadores e usuários usando políticas


de grupo
O registro automático oferece muitas vantagens para o administrador da CA, sendo a
principal delas a relativa simplicidade do estabelecimento da infraestrutura de

226
certificados. O registro automático permite que os usuários (e computadores)
obtenham e renovem certificados sem precisarem intervir.
Considere a implementação de registro baseada em Group Policy nas situações em que
todos os usuários e computadores exigem o mesmo certificado (ou certificados), por
exemplo, para fornecer autenticação de usuário ou computador.
Para permitir o registro automático é preciso registrar-se em sua CA corporativa como
membro do grupo global de segurança Domain Admins ou do grupo universal de
segurança Enterprise Admins. Quaisquer certificados que se queira registrar
automaticamente devem ser baseados em um modelo de certificado ao qual foi
atribuída a permissão Autoenroll. Por fim, é preciso configurar os ajustes de GPO (Group
Policy Object) necessários para permitir o registro automático.
Para este último passo, use o seguinte procedimento:
1. Em um controlador de domínio, efetue logon como membro de Domain Admins.
2. No Server Manager, clique em Tools e em Group Policy Management.
3. Localize a Default Domain Policy e abra-a para edição.
4. Na caixa de diálogo Group Policy Management Editor, navegue até Computer
Configuration, Policies, Windows Settings, Security Settings, Public Key Policies,
como mostrado na Figura 4-43.

5. No painel de detalhes, clique duas vezes em Certificate Services Client – Auto-


Enrollment. A caixa de diálogo Properties se abre, como mostrado na Figura 4-
44.
6. Configure os itens a seguir e clique em OK:
• Na lista Configuration Model, clique em Enabled.
• Marque as caixas de seleção Renew Expired Certificates, Update Pending
Certificates, And Remove Revoked Certificates e Update Certificates That Use
Certificate Templates.

227
Também é possível configurar a política de registro de certificado no mesmo nó da GPO.
Para executar essa tarefa, no Group Policy Management Editor:
1. No painel de detalhes, clique duas vezes no valor Certificate Services Client –
Certificate Enrollment Policy.
2. Na caixa de diálogo Certificate Services Client – Certificate Enrollment Policy, na
lista Configuration Model, clique em Enabled, como mostrado na Figura 4-45.

3. Active Directory Enrollment Policy é habilitada automaticamente.


4. Se quiser configurar mais servidores de política de registro, clique em Add e, na
caixa de diálogo Certificate Enrollment Policy Server, mostrada na Figura 4-46,
digite a URI do servidor de política de registro e clique em Validate Server. Clique
em Add.

228
5. Clique em OK e feche o Group Policy Management Editor.

Revogação de certificados
A revogação de certificados permite indicar que um certificado não é mais válido.
Quando um certificado é revogado, a informação sobre a revogação é armazenada na
CRL. Os computadores clientes e servidores podem acessar a CRL publicada diretamente
ou por meio de um respondente online, como discutido anteriormente neste capítulo.
Razões típicas para revogar um certificado incluem:

• A chave do certificado foi comprometida.


• A CA emissora foi comprometida.
• O certificado não vale mais para a finalidade pretendida.
• O certificado foi substituído. Para revogar um certificado, no console
Certification Authority:
1. Na pasta Issued Certificates, no painel de detalhes, clique com o botão direito do
mouse no certificado a ser revogado.
2. Aponte para All Tasks e clique em Revoke Certificate.
É importante a informação de revogação de certificado ser mantida precisamente. As
mudanças devem ser publicadas na CRL e é possível configurar o intervalo de publicação
no console Certification Authority:
1. Clique com o botão direito do mouse na pasta Revoked Certificates e, então,
clique em Properties.
2. Na caixa de diálogo Revoked Certificates Properties, mostrada na Figura 4-47, na
guia CRL Publishing Parameters, configure os valores apropriados para CRL
Publica-tion Interval e Publish Delta CRLs Interval.
3. Clique em OK.

Configure e gerencie arquivamento e recuperação de chaves


É de fundamental importância os certificados digitais e suas chaves correspondentes
serem mantidas em segurança. Se você perder as chaves que foram usadas para
criptografar arquivos de dados, talvez não possa mais acessar esses arquivos.

229
As chaves podem ser comprometidas nas seguintes situações:

• Você reinstalou o sistema operacional.


• Um disco rígido foi corrompido.
• O computador de um usuário foi roubado ou perdido.
• O perfil de área de trabalho de um usuário foi corrompido ou excluído.
Para ajudar a se proteger contra perda de dados proveniente da perda de chaves, você
pode configurar agentes de arquivamento e de recuperação de chave. O arquivamento
de chaves deve ser habilitado na CA e nos modelos de certificado específicos. Para
habilitar o arquivamento de chaves é preciso habilitar também um agente de
recuperação de chave. Isso exige instalar um certificado de agente de recuperação de
chave no contexto da conta de usuário que se deseja habilitar como agente de
recuperação de chave.

Habilite e configure um agente de recuperação de chave


Para habilitar e configurar um agente de recuperação de chave, use o procedimento a
seguir. Comece habilitando o modelo de certificado Key Recovery Agent:
1. Abra o console Certificate Template e localize o modelo Key Recovery Agent.
2. Clique com o botão direito do mouse nesse modelo e, então, clique em
Properties.
3. Na guia Issuance Requirements, mostrada na Figura 4-48, desmarque a caixa de
seleção CA Certificate Manager Approval e clique em OK.

4. Troque para o console Certification Authority.


5. Clique com o botão direito do mouse em Certificate Templates, aponte para New
e clique em Certificate Template To Issue.
6. Na caixa de diálogo Enable Certificate Templates, selecione o modelo Key
Recovery Agent e clique em OK.
Em seguida, registre um certificado usando o modelo Key Recovery Agent. Abra o
console Certificates e registre um certificado Key Recovery Agent:

230
1. Execute mmc.exe, adicione o console Certificates e coloque o foco em Current
User.
2. Clique com o botão direito do mouse na pasta Personal e aponte para All Tasks.
3. Clique em Request New Certificate.
4. No Certificate Enrollment Wizard, na página Select Certificate Enrollment Policy,
clique em Active Directory Enrollment Policy e depois em Next.
5. Na página Request Certificates, mostrada na Figura 4-49, marque a caixa de
seleção Key Recovery Agent e clique em Enroll.

6. Feche o console.
Por fim, é preciso configurar a CA para permitir a recuperação de chaves:
1. No console Certification Authority, clique com o botão direito do mouse em sua
CA no painel de navegação e, então, clique em Properties.
2. Clique na guia Recovery Agents, mostrada na Figura 4-50.
3. Marque a caixa de seleção Archive The Key e clique em Add.
4. Na caixa de diálogo pop-up Windows Security, clique em OK para selecionar o
certificado Key Recovery Agent.

5. Clique em OK e reinicie a CA quando solicitado.

231
Habilitando e configurando arquivamento de chaves
Depois de habilitar o agente de recuperação de chave é preciso modificar os modelos
dos certificados para os quais se deseja habilitar o arquivamento de chaves. Use o
seguinte procedimento para completar esse processo:
1. No console Certificate Templates, clique com o botão direito do mouse em
qualquer modelo de certificado que você queira habilitar para arquivamento de
chaves e, então, clique em Duplicate Template.
2. Configure os ajustes gerais do modelo, incluindo, na guia General, o nome do
modelo.
3. Na guia Superseded Templates, clique em Add para selecionar os modelos que
esse modelo substitui.
4. Na guia Request Handling, mostrada na Figura 4-51, marque a caixa de seleção
Archive Subject’s Encryption Private Key.

5. Clique em OK.
6. Troque para o console Certification Authority.
7. Clique com o botão direito do mouse em Certificate Templates, aponte para New
e clique em Certificate Template To Issue.
8. Na caixa de diálogo Enable Certificate Templates, selecione o modelo que você
acabou de duplicar e configurar e clique em OK.

232
70-742 Identidade com Windows
Server 2016

Capítulo 5:
Implementação de Identity
Federation e soluções de acesso

233
Objetivo 5.1: Instalar e configurar AD FS
A implantação de AD FS permite que seus usuários utilizem SSO (single sign-on) para
autenticação em aplicativos e serviços localizados no Azure, em sua infraestrutura de
rede local ou na rede de uma organização parceira, dependendo da configuração.
O AD FS é baseado nas relações de confiança estabelecidas entre as organizações para
permitir o compartilhamento de recursos. Essas relações são conhecidas como
confianças federadas. É possível estabelecer confianças federadas nos limites da floresta
do Active Directory Domain Services (AD DS) e entre organizações, com base em
requisitos comerciais.
Assim como as relações de confiança de AD DS, em cada organização o administrador
define quais recursos podem ser acessados por meio da confiança e quem tem acesso a
eles.
Por exemplo, talvez uma equipe de teatro queira ver as vendas de ingressos para uma
apresentação, vendas essas feitas por uma organização externa. O administrador de
rede do teatro deve agrupar todas as contas de usuário que precisam acessar essa
informação. O administrador de rede da empresa que vende os ingressos deve garantir
ao grupo o acesso necessário ao banco de dados de vendas de ingressos, por meio da
relação de confiança. Contudo, administrador de rede da empresa que vende os
ingressos deve garantir que apenas o pessoal ligado à comercialização de bilhetes da
organização remota possa acessar os dados de vendas da peça e somente esses dados.
Ao se estabelecer uma confiança federada, é importante que cada parte da relação de
confiança saiba como as identidades de usuário devem ser usadas e, especificamente,
qual tipo de credencial é exigido e como essa informação é armazenada e usada.
Também é necessário que cada organização defina uma política que possa ajudar a
garantir a privacidade dos dados que não devem estar disponíveis através da relação de
confiança.

Examine os requisitos do AD FS
O Windows Server 2016 fornece a função de servidor Active Directory Federation
Service para facilitar o estabelecimento de uma federação. Essa função de servidor
fornece os seguintes componentes:

• Servidor de Federação Cada parceiro precisa de pelo menos um servidor de


federação. Esse componente é o motor da implementação, sendo responsável
por emitir e validar declarações de identidade.
• Web Application Proxy Esse componente é opcional. Normalmente, o Web
Application Proxy (Proxy de Aplicativo Web) é implantado em sua rede de
perímetro, onde funciona como o proxy e o proxy reverso da sua implantação de
AD FS. Nessa função, ele é referido como proxy AD FS.
• Declarações A parte confiável de uma confiança federada faz uma declaração so-
bre um objeto de segurança, como um usuário utilizado para fornecer

234
autenticação através da relação de confiança. A declaração pode conter um ou
mais atributos do objeto como, por exemplo, o nome ou departamento do
usuário.
• Regras de Declarações A parte confiante (ou terceira parte confiável) usa regras
de declaração para determinar como vai processar as declarações. Por exemplo,
uma regra de declaração pode afirmar que o nome principal do usuário (UPN) de
um usuário é uma declaração válida.
• Provedores de Declarações A parte confiável contém o componente provedor
de declarações. Esse componente é responsável por gerenciar a autenticação de
usuários e emitir as declarações apresentadas por eles.
• Relação de Confiança do Provedor de Declarações Fornece as regras que
definem quando um cliente pode solicitar declarações de um provedor de
declarações, as quais o cliente envia para uma parte confiante.
• Repositório de Atributos Um repositório de atributos, como o AD DS, contém
valores das declarações. Resumindo, um serviço de diretório que contém objetos
usuário com propriedades apropriadas, como UPNs ou endereços de e-mail. AD
DS é uma escolha comum em implantações de AD FS, pois qualquer servidor do
AD FS deve ser membro de um domínio e, portanto, o AD DS é facilmente
acessível como repositório de atributos.
• Terceiras Partes Confiáveis A terceira parte confiável fica na extremidade que
contém o recurso da confiança federada. É fornecida por um serviço web que
tem Windows Identity Foundation (WIF) instalado. As terceiras partes confiáveis
podem usar o agente habilitado para declarações do AD FS 1.0 como alternativa
ao WIF.
• Relação de Confiança da Terceira Parte Confiável Consiste em regras e
identificadores e é usada para fornecer declarações para a terceira parte
confiável.
• Certificados Amplamente usados em toda a arquitetura do AD FS para oferecer
segurança. O servidor do AD FS pode usar:
• Certificados auto assinados
• Certificados de uma Autoridade de Certificação (CA) interna
• Certificado de uma CA externa
É importante que, independentemente do tipo de certificado usado, todas as partes que
se comunicam confiem nos certificados. Consequentemente, ao implementar uma
confiança federada entre duas organizações separadas, é muito provável que você
precise implementar uma infraestrutura de chave pública (PKI) para sua arquitetura do
AD FS, baseada em certificados públicos.
Para ajudar a entender o que cada componente faz, considere o cenário a seguir. Duas
organizações, A Datum e Contoso, querem compartilhar recursos. Especificamente, a
Contoso hospeda um aplicativo baseado na web, o qual os usuários da A Datum
precisam acessar. O departamento de TI implanta o AD FS e os componentes
relacionados para facilitar esse requisito. Nesse cenário, a Contoso é a entidade de

235
hospeda o recurso e a A Datum é a entidade que hospeda a conta. Em termos de
federação, a A Datum é o Provedor de Declarações e a Contoso é a Terceira Parte
Confiável. Como mostrado na Figura 5-1, quando um usuário da A Datum tenta acessar
o aplicativo baseado na web da Contoso, ocorre o seguinte processo de alto nível:
1. O usuário da A Datum utiliza o Internet Explorer para abrir uma conexão com o
servidor web da Contoso. O aplicativo baseado na web verifica que o usuário não
está autenticado e redireciona o cliente para o servidor de federação da Contoso.
2. O computador cliente envia um pedido para o servidor de federação da Contoso.
O servidor de federação verifica que a A Datum é o território de origem do
usuário. Então o servidor web redireciona o cliente para o servidor de federação
da A Datum.
3. O cliente envia uma solicitação para o servidor de federação da A Datum.
4. O controlador de domínio do AD DS da A Datum autentica o usuário e comunica
isso ao servidor de federação da A Datum.
5. O servidor de federação da A Datum cria uma declaração para o usuário, com
base nas regras definidas para o parceiro de federação (Contoso). O servidor de
federação envia as declarações para o computador cliente.
6. O cliente envia a declaração para o servidor de federação da Contoso.
7. O servidor de federação da Contoso valida a relação de confiança no token, cria
e assina um novo token, o qual envia para o computador cliente.
8. O computador cliente envia o novo token para o servidor web original.
9. O aplicativo no servidor web valida o token e dá acesso ao aplicativo com base
nas declarações presentes no token.

Requisitos do AD FS
Para a implantação de AD FS como parte da solução de federação, a infraestrutura de
rede deve satisfazer vários requisitos. São eles:

• AD DS Todos os servidores de federação em uma implantação de AD FS no


Windows Server 2016 devem ser membros do domínio.
• Repositório de Atributos Contém os atributos dos objetos de segurança.

236
• Resolução de Nomes A resolução de nomes é fornecida pelo DNS (Domain Name
System). Os computadores clientes internos devem ser capazes de resolver o
nome DNS para o servidor (ou farm) de federação. Os computadores clientes
externos devem ser capazes de resolver o nome do proxy da federação em sua
rede de perímetro.
• Rede Os computadores clientes devem ser capazes de estabelecer conexões de
rede com o servidor de federação ou com o proxy da federação. Os servidores
de federação devem ser capazes de estabelecer conexões de rede com
controladores de domínio. O proxy da federação também deve ser capaz de
estabelecer conexões com o servidor de federação.

Instale a função de servidor AD FS


Todas as implementações de AD FS contam com a implantação inicial da função de
servidor Active Directory Federation Services. Para implantar essa função, use o
procedimento a seguir:
1. Em um computador servidor membro do domínio, efetue logon como membro
do grupo global de segurança Domain Admins.
2. Abra o Server Manager, clique em Manage e em Add Roles And Features.
3. Na página Select Server Roles, na lista de Roles, marque a caixa de seleção Active
Directory Federation Services, como mostrado na Figura 5-2, e clique em Next.

4. Avance pelo assistente e, então, clique em Install.


5. Quando solicitado, clique em Close. Também é possível usar o cmdlet Install-
WindowsFeatures do Windows PowerShell para instalar a função de servidor
Active Directory Federation Services. Use o comando a seguir para instalar a
função e todas as ferramentas de gerenciamento:

Install-WindowsFeature -Name adfs-federation –IncludeManagementTools

Configure a função de servidor AD FS


Depois de implantada, a função de servidor deve ser configurada. Isso exige definir a
conta de serviço, o banco de dados de configuração, a configuração de certificado e o
serviço de diretório. Use o seguinte procedimento para executar essa tarefa:

237
1. No Server Manager, clique no ícone de notificações e, então, em Configure The
Federation Service On This Server.
2. Na página Welcome, clique em uma das opções a seguir e em Next:
• Create The First Federation Server In A Federation Server Farm
• Add A Federation Server To A Federation Server Farm
3. Na página Connect To Active Directory Domain Services, digite as credenciais
necessárias para executar a configuração. Normalmente, é um membro do grupo
Domain Admins. Clique em Next.
4. Na página Specify Service Properties, mostrada na Figura 5-3, selecione a opção
de SSL Certificate apropriada, verifique o Federation Service Name e digite o
Federation Service Display Name. Clique em Next.

5. Na página Specify Service Account, mostrada na Figura 5-4, selecione a conta de


serviço desejada. De preferência, crie uma MSA de grupo (group Managed
Service Account). Clique em Next.

6. Na página Specify Configuration Database, selecione Windows Internal Database


(o padrão) ou clique em Specify The Location Of A SQL Server Database e digite
o nome de host e da instância do banco de dados. Clique em Next.
7. Na página Review Options, verifique suas seleções e clique em Next.
8. Os pré-requisitos são verificados. Se forem bem-sucedidos, clique em Configure
e, então, avance pelo assistente para concluir a configuração.

238
Também é possível usar o cmdlet Install-ADFSFarm do Windows PowerShell para
configurar e gerenciar sua implantação de AD FS. Por exemplo, para implantar o
primeiro servidor em um farm do AD FS na organização Adatum.com, use o seguinte
comando:
Install-AdfsFarm -CertificateThumbprint
8d4ece8e4397923563868d3f61b944103573a248 -FederationServiceName
adfs.adatum.com -GroupServiceAccountIdentifier ADATUM\ADFS-SA

Você pode obter o valor da impressão digital (thumbprint value) do certificado vendo as
propriedades do certificado apropriado e copiando o valor no buffer de transferência.
Depois de implantar o servidor do AD FS, é possível configurá-lo para executar uma ou
as duas funções a seguir:

• Provedor de declarações
• Terceira parte confiável
Em cenários de business-to-business (relações de empresa para empresa), em que uma
organização contém as contas de usuários e a outra contém os recursos, configure o AD
FS para executar a função de provedor de declarações na organização que contém as
contas e a função de terceira parte confiável na organização que contém os recursos.
Mas também é possível implementar o AD FS dentro de uma única organização. Nesse
cená-rio, os usuários e os recursos estão na mesma empresa e, consequentemente, um
único servidor de AD FS pode atuar como provedor de declarações e terceira parte
confiável. Na próxima seção, vemos como configurar os componentes Provedor de
declarações e Terceira parte confiável no AD FS.

Implemente autenticação baseada em declarações, incluindo relações de


confiança da terceira parte confiável
Para implementar autenticação baseada em declarações, complete as seguintes tarefas:

• Configure uma relação de confiança do provedor de declarações


• Configure uma relação de confiança de terceira parte confiável

Configurando uma relação de confiança do provedor de declarações


Para configurar uma relação de confiança do provedor de declarações, complete o
procedimento a seguir no servidor do AD FS que está fornecendo a função de provedor
de declarações:
1. No Server Manager, clique em Tools e em AD FS Management.
2. No console AD FS Management, clique em Claims Provider Trusts. Você pode ver
o objeto Active Directory no painel de detalhes.
3. No painel Actions, sob Active Directory, clique em Edit Claim Rules.
4. Na caixa de diálogo Edit Claim Rules For Active Directory, mostrada na Figura 5-
5, na guia Acceptance Transform Rules, clique em Add Rule.

239
5. Na página Select Rule Template do Add Transform Claim Rule Wizard, mostrada
na Figura 5-6, na lista de Claim Rule Template, selecione uma das seguintes
opções:
• Send LDAP Attributes As Claims Use esse modelo para selecionar um ou mais
atributos LDAP (Lightweight Directory Access Protocol) de um repositório de
LDAP, por exemplo AD DS ou Active Directory Lightweight Directory Service (AD
LDS). A regra extrai um ou mais valores especificados do repositório designado e
os envia como uma ou mais declarações.
• Send Group Membership As A Claim Use esse modelo para enviar como
declaração a participação como membro (associação) de um grupo de segurança
do AD DS.
• Transform An Incoming Claim Use esse modelo para criar uma regra que
transforme as declarações recebidas, alterando os tipos das regras e,
opcionalmente, os valores.
• Pass through Or Filter An Incoming Claim Use esse modelo para filtrar as
declarações recebidas e deixar passar as que satisfazem os critérios
especificados. Por exemplo, você poderia criar uma regra que deixasse passar
apenas as declarações baseadas em UPN que terminassem com o sufixo
@Adatum.
• Send Claims Using A Custom Rule Use esse modelo se nenhum dos anteriores
atende suas necessidades específicas.
6. Por exemplo, clique em Send LDAP Attributes as Claims e depois em Next.

240
7. Na página Configure Rule, mostrada na Figura 5-6, digite um nome para a
declaração na caixa Claim Rule Name. Por exemplo, digite Outbound LDAP Rule.
8. Na lista de Attribute store, clique em Active Directory.
9. Sob o cabeçalho Mapping Of LDAP Attributes To Outgoing Claim Types, selecione
os valores apropriados para LDAP Attribute e para Outgoing Claim Type. Por
exemplo, selecione o seguinte, como mostrado na Figura 5-7.
• E-Mail-Addresses mapeado para E-Mail Address
• User-Principal-Name mapeado para UPN
10. Clique em Finish e depois em OK.

Configurando uma relação de confiança de terceira parte confiável


Depois de configurar as relações de confiança de provedor de declarações, deve-se criar
e configurar uma confiança de terceira parte confiável no servidor do AD FS usado como
terceira parte confiável. Em um cenário de organização única, esse pode ser o mesmo
servidor de AD FS, ou um servidor diferente em uma organização diferente, para uma
confiança federada de empresa-para-empresa. Para criar e configurar a relação de
confiança de terceira parte confiável, use o procedimento a seguir.
1. No servidor do AD FS, abra AD FS Management e clique em Relying Party Trusts.
2. Clique com o botão direito do mouse em Relying Party Trusts e, então, clique em
Add Relying Party Trust.
3. Na página Welcome do Add Relying Party Trust Wizard, clique em Claims Aware
e em Start.
4. Na página Select Data Source, mostrada na Figura 5-8, digite os dados para
permitir que o assistente de configuração localize informações sobre a terceira
parte confiável. Escolha entre:
• Import Data About The Relying Party Published Online Or On A Local Network
• Import Data About The Relying Party From A File
• Enter Data About The Relying Party Manually
5. Por exemplo, clique em Import Data About The Relying Party Published Online
Or On A Local Network e, na caixa de texto Federation Metadata Address (Host

241
Name Or URL), digite o caminho para o aplicativo que contém os metadados da
terceira parte confiável e clique em Next.

6. Na página Specify Display Name, na caixa Display Name, digite um nome para
sua relação de confiança e clique em Next.
7. Na página Choose Access Control Policy, escolha a política de controle de acesso
apropriada. Selecione entre:
• Permit Everyone
• Permit Everyone And Require MFA
• Permit Everyone And Require MFA For Specific Group
• Permit Everyone And Require MFA From Extranet Access
• Permit Everyone And Require MFA From Unauthenticated Devices
• Permit Everyone And Require MFA, Allow Automatic Device Registration
• Permit Everyone For Intranet Access
• Permit Specific Group
8. Por exemplo, clique em Permit Everyone e depois em Next.
9. Para concluir a configuração, na página Ready To Add Trust, clique em Next e,
quando solicitado, clique em Close.
Depois de criar a confiança de terceira parte confiável, deve-se configurar as regras da
política de emissão:
1. Na lista de Relying Party Trusts, clique com o botão direito do mouse na relação
de confiança apropriada e selecione Edit Claim Issuance Policy.
2. Na guia Issuance Transform Rules, clique em Add Rule.
3. Na caixa de diálogo Claim Rule Template, na lista de Claim Rule Template,
selecione o modelo apropriado. Escolha entre:
• Send LDAP Attributes As Claims
• Send Group Membership As A Claim
• Transform An Incoming Claim
• Pass Through Or Filter An Incoming Claim
• Send Claims Using A Custom Rule
4. Por exemplo, clique em Pass Through Or Filter An Incoming Claim e depois em
Next.

242
5. Na página Configure Rule, na caixa Claim Rule Name, digite o nome de sua regra
e, na lista de Incoming Claim Type, selecione o atributo desejado. Por exemplo,
clique em Windows Account Name, como mostrado na Figura 5-9.

6. Em seguida, escolha entre:


• Pass Through All Claim Values
• Pass Through Only A Specific Claim Value
• Pass Through Only Claim Values That Match A Specific Email Suffix Value
• Pass Through Only Claim Values That Start With A Specific Value
7. Clique em Finish.
8. Agora, defina quaisquer regras de transformação adicionais, repetindo esse
processo. Por exemplo, adicione uma regra para deixar passar declarações com
endereço de E-Mail ou UPN. Então, como mostrado na Figura 5-10, clique em OK
para concluir a configuração da política de emissão da relação de confiança.

Configure políticas de autenticação


Políticas de autenticação permitem definir mecanismos de autenticação aceitáveis para
ajudar a tornar seguro o acesso aos recursos por meio de uma confiança federada. Uma
política de autenticação é especificada em dois níveis:

243
• Globalmente É criada uma política de autenticação com escopo global, que se
aplica a todos os serviços e aplicativos que têm sua segurança garantida pelo AD
FS. A política de autenticação global é usada quando não existe nenhuma para
uma confiança de terceira parte confiável específica.
• Especificamente É criada uma política de autenticação para um serviço ou
aplicativo específico que tem sua segurança garantida pelo AD FS, por meio da
criação de uma política por confiança de terceira parte confiável. Se é criada uma
política de autenticação por confiança de terceira parte confiável, isso não anula
nenhuma política de autenticação global que tenha sido criada.
Para configurar uma política de autenticação global, use o procedimento a seguir:
1. No console AD FS, expanda o nó Service no painel de navegação.
2. Clique em Authentication Methods.
3. Como mostrado na Figura 5-11, sob o cabeçalho Primary Authentication
Methods, clique em Edit.

4. Na caixa de diálogo Edit Authentication Methods, mostrada na Figura 5-12, na


guia Primary, configure os métodos apropriados para sua organização. É possível
configurar ajustes que se aplicam a usuários da Intranet e da Extranet. Os
métodos disponíveis são:
• Forms Authentication
• Windows Authentication (Available For Intranet Only)
• Certificate Authentication
• Device Authentication
• Microsoft Passport Authentication

244
Configure MFA
A autenticação de computador tradicional é baseada na troca de nomes de usuário e
senha com uma autoridade de autenticação. Embora a autenticação baseada em senhas
seja aceitável em muitas circunstâncias, o AD FS do Windows Server 2016 oferece vários
métodos mais seguros para os usuários se autenticarem em seus dispositivos, incluindo
MFA.
A MFA tem como base o princípio de que os usuários que desejam autenticar devem ter
dois (ou mais) itens para se identificar. Especificamente, devem ter conhecimento de
algo, devem ter a posse de algo e devem ser algo. Por exemplo, um usuário poderia
saber a senha, possuir um token de segurança (em forma de certificado digital) e ser
capaz de provar quem é com biometria, como impressões digitais.
No AD FS do Windows Server 2016, para habilitar a MFA é preciso selecionar pelo menos
um método de autenticação adicional. Por padrão, estão disponíveis Certificate
Authentication e Azure MFA. Para habilitar e configurar MFA no AD FS, use o
procedimento a seguir:
1. No console AD FS, expanda o nó Service no painel de navegação.
2. Clique em Authentication Methods.
3. Na caixa de diálogo Edit Authentication Methods, na guia Multi-factor, mostrada
na Figura 5-13, configure os métodos de autenticação apropriados e clique em
OK. Selecione entre:
• Certificate Authentication
• Azure AD

245
Implemente e configure registro de dispositivo
Atualmente, muitos usuários querem acessar recursos corporativos a partir de seus
próprios dispositivos. No entanto, permitir que usuários conectem seus próprios
dispositivos na rede de sua organização apresenta riscos de segurança em potencial e
certamente envolve mais trabalho administrativo.
Usando registro de dispositivo com o AD FS é possível estender alguns dos recursos
disponíveis para dispositivos membros do domínio, a dispositivos que não ingressaram
nele. Essa facilidade pode ser fornecida, mantendo-se a segurança de sua organização.
Por exemplo, quando o registro de dispositivo é implementado, os usuários que estejam
utilizando seus próprios dispositivos podem fazer uso de SSO para acessar recursos e
aplicativos da empresa.
Para permitir registro local de dispositivo, configure o AD FS Device Registration Service.
Para completar essa tarefa, use o procedimento a seguir:
1. No console do AD FS, expanda o nó Service e clique em Device Registration.
2. No painel de detalhes, clique em Configure Device Registration e em OK.
Também é possível completar essa tarefa usando o cmdlet Initialize-ADDevice-
Registration do Windows PowerShell.

Integre AD FS com Microsoft Passport


Para evitar o uso de autenticação com senha, a Microsoft fornece um sistema de
autenticação chamado Microsoft Passport. Ele permite tornar a autenticação segura
sem o envio de uma senha para uma autoridade de autenticação, como um controlador
de domínio do AD DS. Microsoft Passport usa autenticação de dois fatores baseada em
autenticação biométrica do Windows Hello (ou um PIN), junto com a posse de um
dispositivo específico.
O uso de Microsoft Passport oferece dois benefícios para sua organização.

• Conveniência do usuário Depois que seus usuários configuram o Windows Hello,


podem acessar recursos corporativos sem precisarem lembrar de nomes de
usuário ou senhas.
• Segurança Como nenhuma senha é usada, o Microsoft Passport ajuda a proteger
a identidade e as credenciais dos usuários.

246
Para integrar o AD FS com Microsoft Passport, complete o processo descrito ante-
riormente, a fim de permitir registro de dispositivos, e então use o procedimento a
seguir para concluir a integração com Microsoft Passport:
1. Abra o console Group Policy Management.
2. Crie uma GPO e abra-a para edição.
3. No Group Policy Management Editor, navegue até Computer Configuration,
Policies, Administrative Templates, Windows Components, Device Registration.
4. No painel de detalhes, clique duas vezes em Register Domain Joined Computers
As Devices.
5. Na caixa de diálogo Register Domain Joined Computers As Devices, mostrada na
Figura 5-14, clique em Enabled e depois em OK.

6. No painel de navegação, localize Computer Configuration, Policies,


Administrative Templates, Windows Components, Windows Hello For Business.
7. No painel de detalhes, clique duas vezes em Use Windows Hello For Business.
8. Na caixa de diálogo Use Windows Hello For Business, clique em Enabled e depois
em OK.
9. Por fim, vincule a GPO ao contêiner apropriado. Por exemplo, para habilitar as
configurações para todos os dispositivos, vincule a GPO ao objeto domínio.

Configure para uso com Microsoft Azure e Microsoft Office 365


Muitas organizações estão movendo parte ou todos os seus aplicativos e serviços para
plataformas online, como Microsoft Azure ou Microsoft Office 365. É possível integrar o
AD FS com essas plataformas online da Microsoft, permitindo que os usuários utilizem
SSO para acessar aplicativos e serviços dentro de sua infraestrutura local e online.
Para configurar SSO do AD FS com serviços online da Microsoft, complete os passos de
alto nível a seguir:
1. Configure o acesso extranet ao AD FS. Isso exige implantar a função Web
Application Proxy em um servidor em sua rede de perímetro. Web Application
Proxy está discutido no Objetivo 5.2: Implementar Web Application Proxy.

247
2. Estabeleça uma relação de confiança entre o AD FS e o Azure AD, usando o
cmdlet NewMsolFederatedDomain no Windows PowerShell.
3. Configure o sincronismo de diretório com Azure AD, baixando e instalando o
Azure AD Connect para permitir o sincronismo de seu domínio de AD DS com o
Microsoft Azure.
4. Por fim, verifique se o SSO foi configurado corretamente:
• Em um computador membro do domínio, efetue logon no serviço de nuvem da
Microsoft apropriado. Use suas credenciais de domínio. Quando clicar dentro da
caixa de senha, se single sign-on estiver configurado, a caixa de senha ficará
sombreada e você verá a seguinte mensagem:
“You are now required to sign in at <sua empresa>.”

• Click no link Sign in at <sua empresa>. Se o registro for bem-sucedido, você


estabeleceu o SSO corretamente.

Configure o AD FS para permitir autenticação de usuários armazenados em


diretórios LDAP
O AD FS pode usar o suporte a autenticação de objetos armazenados em diretórios
LDAP, como o AD LDS. Para configurar um diretório compatível com LDAP como um
repositório de atributos no AD FS, use o procedimento a seguir:
1. Abra o console AD FS.
2. Sob o nó Service, clique em Attribute Stores. O repositório Active Directory
aparece no painel de detalhes.
3. Clique com o botão direito do mouse em Attribute Stores e, então, clique em
Add Attribute Store.
4. Na caixa de diálogo Add An Attribute Store, mostrada na Figura 5-15, na caixa
Display Name, digite um nome e, então, na lista de Attribute store type, clique
em LDAP.

5. Na caixa Connection String, digite a string de conexão e clique em OK. A string é


como segue: ldap://localhost:56000/cn=LdapUsers,o=Adatum,c=US. Os
detalhes específicos variam de acordo com o local em que o diretório LDAP está

248
hospedado. Nesse exemplo, o host local está executando a função de servidor
AD LDS e ela está disponível na porta 56000.
Depois de criar o repositório de atributos, cria-se uma relação de confiança de provedor
de declarações. Ao definir as regras de declaração para a confiança, você seleciona o
repositório de atributos recentemente criado.

Atualize e migre cargas de trabalho de AD FS anteriores para o Windows Server


2016
O Windows Server 2016 apresenta alguns recursos novos e melhorados no AD FS. Isso
inclui:

• Suporte para diretórios compatíveis com LDAP v3.


• Suporte para Azure MFA.
• A introdução de políticas de aplicativo e gerenciamento de serviço delegado.
• Melhorias no registro de dispositivos.

Consequentemente, se estiver implementando AD FS no Windows Server 2012 R2 ou


anterior, pense na possibilidade de atualizar ou migrar suas cargas de trabalho de AD FS
atuais para o AD FS no Windows Server 2016. Se um novo servidor do AD FS do Windows
Server 2016 é adicionado a um farm de AD FS do Windows Server 2012 R2 existente, o
farm continua a fornecer os mesmos recursos. Em outras palavras, ele opera no mesmo
nível de comportamento de farm (FBL, farm behavior level), neste caso, Windows Server
2012 R2.
Isso permite adicionar mais servidores do AD FS ao seu farm, sem alterar os recursos
dele. Você pode então desativar a função AD FS nos servidores Windows Server 2012 R2
restantes e ativar o FBL no Windows Server 2016 para tirar proveito dos recursos novos
e melhorados do AD FS.
Para atualizar ou migrar para o AD FS do Windows Server 2016, use o procedimento de
alto nível a seguir:
1. Implante o AD FS no Windows Server 2016 e escolha a opção Add A Federation
Server To A Federation Server Farm quando configurar a função AD FS.
2. Configure o servidor do AD FS do Windows Server 2016 como servidor de
federação primário. Use o cmdlet SetAdfsSyncProperties Role PrimaryComputer
do Windows PowerShell.
3. Em qualquer dos computadores Windows Server 2012 R2, execute o cmdlet
SetAdfsSyncProperties Role SecondaryComputer PrimaryComputerName
{FQDN}.
4. No computador servidor do AD FS do Windows Server 2016, abra um prompt de
comando elevado e execute os comandos adprep /forestprep e adprep
/domainprep a partir da pasta support\adprep do DVD do produto Windows
Server 2016. Isso prepara a floresta do AD DS e o domínio para a presença do AD
FS do Windows Server 2016.

249
5. No Windows PowerShell, execute o cmdlet InvokeAdfsFarmBehaviorLevelRaise
para ativar o FBL no Windows Server 2016.
6. Quando estiver pronto, pode desativar os servidores do AD FS do Windows
Server 2012 R2.

Objetivo 5.2: Implementar Web Application Proxy


A maioria das organizações quer fornecer aplicativos e serviços para usuários fora de
sua intranet. Isso normalmente significa habilitar conexões para usuários remotos pela
Internet. Se quiser estender quaisquer serviços e aplicativos para usuários remotos,
configure um servidor com o serviço de função Web Application Proxy e implante o
servidor em sua rede de perímetro. O Web Application Proxy permite publicar
aplicativos e serviços de sua rede interna para usuários em redes externas.

Instale e configure Web Application Proxy


Instalar e configurar o Web Application Proxy é muito simples. O Server Manager ou o
Windows PowerShell podem ser usados para implantar o serviço de função Web
Application Proxy. Para implantar o serviço de função, use o procedimento a seguir:
1. No Server Manager, no servidor de destino, clique em Manage e em Add Roles
And Features.
2. Na página Server Roles do Add Roles And Features Wizard, na lista de Roles,
marque a caixa de seleção Remote Access e clique em Next.
3. Na página Select Role Services, mostrada na Figura 5-16, marque a caixa de
seleção Web Application Proxy, clique em Add Features e depois em Next.

4. Clique em Install e, quando solicitado, clique em Close.


O comando InstallWindowsFeature WebApplicationProxy IncludeManagementTools
também pode ser usado para implantar o serviço de função Web Application Proxy.
Depois de instalar o serviço de função Web Application Proxy, no Server Manager, clique
no link Open The Web Application Proxy Wizard na área de notificações. Então, use o
seguinte procedimento para configurar o servidor:

250
1. Na página Welcome do Web Application Proxy Configuration Wizard, clique em
Next.
2. Na página Federation Server, na caixa Federation Service Name, digite o FQDN
do nome do serviço de federação. Esse nome foi definido quando você
configurou o AD FS. Por exemplo, como mostrado na Figura 5-17, digite
adfs.Adatum.com.
3. Digite um nome de usuário e uma senha para conectar com os servidores de
federação e, então, clique em Next.

4. Na página AD FS Proxy Certificate, mostrada na Figura 5-18, na lista de Select A


Certificate To Be Used By The AD FS Proxy, clique no certificado apropriado e
depois em Next.

5. Na página Confirmation, clique em Configure e, quando solicitado, clique em


Close.

Integre Web Application Proxy com AD FS


É possível integrar o AD FS com a função Web Application Proxy, habilitando com isso
SSO para aplicativos e serviços publicados. Isso permite que usuários remotos acessem
seus recursos internos sem que suas credenciais sejam solicitadas repetidamente.

251
Quando AD FS é usado com o Web Application Proxy, é possível optar por habilitar
autenticação pass-through (autenticação de passagem) para aplicativos web ou usar
pré-autenticação do AD FS para seus aplicativos com reconhecimento de declarações.

Configure requisitos de AD FS
Quando um usuário tenta conectar o AD FS de fora da rede corporativa, DNS é usado
para resolver o nome do computador que está executando a função AD FS na rede
interna. Contudo, o computador ao qual os usuários remotos se conectam realmente é
o Web Application Proxy, em vez do próprio servidor do AD FS.
Portanto, um requisito importante é garantir que o Web Application Proxy seja instalado
com um certificado adequado. O certificado deve conter o nome do requerente correto,
o qual deve corresponder ao nome DNS do servidor do AD FS, por exemplo, adfs.
adatum.com.
Para garantir que isso aconteça, no servidor do AD FS, exporte o certificado utilizado
para configurar o serviço AD FS. Isso é abordado no Objetivo 5.1: Instalar e configurar
AD FS, na seção Configure a função de servidor AD FS. Certifique-se de exportar a chave
privada. No Web Application Proxy, importe o certificado e guarde-o no repositório de
certificados pessoais do computador.

Para mais informações sobre exportação e importação de certificados, consulte a seção


Exporte o certificado da CA raiz, no Capítulo 4, Objetivo 4.1: Instalar e configurar AD CS.
Esta seção fornece diretrizes não específicas sobre o processo.

Implemente Web Application Proxy como proxy AD FS


Quando usuários remotos querem acessar aplicativos com reconhecimento de
declarações publicados, não é desejável permitir conectividade direta de usuários da
Internet com o servidor do AD FS. Por isso, é possível implementar Web Application
Proxy como um proxy de AD FS. Nesse cenário, os usuários se conectam com o Web
Application Proxy em sua rede de perímetro.
Para implementar o Web Application Proxy como um proxy de AD FS, complete o
processo de implantação e configuração descrito anteriormente. Então, para publicar
aplicativos com reconhecimento de declarações, use o procedimento a seguir no Web
Application Proxy:
1. No Server Manager, clique em Tools e em Remote Access Management.
2. No Remote Access Management Console, sob o nó Configuration, clique em Web
Application Proxy e, então, no painel Tasks, clique em Publish.
3. Na página Welcome do Publish New Application Wizard, clique em Next.
4. Na página Preauthentication, mostrada na Figura 5-19, clique em Active
Directory Federation Services (AD FS) e depois em Next.

252
5. Na página Supported Clients, escolha o método de pré-autenticação, como
mostrado na Figura 5-20, e clique em Next. Escolha entre:
• Web And MSOFBA Usado por aplicativo Microsoft Office
• HTTP Basic Usado por clientes Exchange ActiveSync
• OAuth2 Suportado pelo aplicativo Windows Store

6. Na página Relying Party, selecione a confiança de terceira parte confiável


apropriada, como mostrado na Figura 5-21, e clique em Next.

253
7. Na página Publishing Settings, mostrada na Figura 5-22, na caixa Name, digite o
nome do aplicativo a ser publicado.
8. Na caixa External URL, digite a URL externa e, então, na lista de External
Certificate, selecione o certificado cujo nome do requerente corresponde à URL
especificada. A URL do servidor de backend deve corresponder à URL externa.

9. Opcionalmente, marque a caixa de seleção Enable HTTP To HTTPS Redirection e


clique em Next.
10. Na página Confirmation, clique em Publish e, quando solicitado, clique em Close.

Implemente Web Application Proxy no modo pass-through


Ao publicar um aplicativo web é possível optar por usar pré-autenticação do AD FS,
como descrito na última seção. Como alternativa, é possível usar o modo pass-through.
Quando o modo pass-through é selecionado, o Web Application Proxy não usa AD FS
para fazer pré-autenticação, em vez disso, passa o pedido de autenticação para o
servidor de backend que contém o aplicativo publicado.
Para publicar um aplicativo usando o modo pass-through, use o seguinte procedi-
mento:
1. No Remote Access Management Console, na lista Tasks, clique em Publish.
2. Na página Welcome do Publish New Application Wizard, clique em Next.
3. Na página Preauthentication, mostrada na Figura 5-23, clique em Pass-through
e depois em Next.

254
4. Na página Publishing Settings, configure Name, External URL, External Certificate
e Backend Server URL.
5. Opcionalmente, marque a caixa de seleção Enable HTTP To HTTPS Redirection,
clique em Next e, então, em Publish.

Publique aplicativos Remote Desktop Gateway


Muitas organizações que fornecem aplicativos Remote Desktop Gateway para seus
usuários querem torná-los disponíveis de forma remota. Contudo, quando o serviço de
função Web Application Proxy é usado para publicar aplicativos Remote Desktop
Gateway, você ajuda a tornar sua infraestrutura mais segura, reduzindo a exposição do
servidor Remote Desktop Gateway.
Para publicar aplicativos Remote Desktop Gateway sem usar pré-autenticação,
empregue o mesmo procedimento descrito na seção anterior: Implemente Web
Application Proxy no modo pass-through. Na página Publish Settings, como External
URL, digite o FQDN raiz do servidor RD Web Access.
Para publicar aplicativos Remote Desktop Gateway usando pré-autenticação, use o
procedimento a seguir:
1. No servidor do AD FS, no console AD FS, crie uma Relying Party Trust:
A. Use o Add Relying Party Trust Wizard e escolha a opção Enter Data About The
Relying Party Manually, como mostrado na Figura 5-24.

B. Avance pelo assistente, aceitando os valores padrão.


C. Na página Configure Identifiers, na caixa Relying Party Trust Identifier, digite o
FQDN externo que quiser usar para acesso de Remote Desktop Gateway, como
mostrado na Figura 5-25. Clique em Add e, então, avance pelo restante do as-
sistente.

255
2. Troque para o Web Application Proxy e, no Remote Access Management
Console, sob Configuration, clique em Web Application Proxy.
3. Na lista Tasks, clique em Publish.
4. Na página Welcome do Publish New Application Wizard, clique em Next.
5. Na página Preauthentication, clique em Active Directory Federation Services (AD
FS) e depois em Next.
6. Na página Supported Clients, escolha o método de pré-autenticação e clique em
Next.
7. Na página Relying Party, selecione a confiança de terceira parte confiável que
você acabou de criar, como mostrado na Figura 5-26, e clique em Next.

8. Na página Publishing Settings, digite o nome do aplicativo que deseja publicar.


Na caixa External URL, digite a URL externa e, então, na lista de External
certificate, selecione o certificado que tem o nome do requerente
correspondente à URL especificada. A URL do servidor de backend deve
corresponder à URL externa. Opcionalmente, marque a caixa de seleção Enable
HTTP To HTTPS Redirection e clique em Next.
9. Na página Confirmation, clique em Publish e, quando solicitado, clique em Close.

Objetivo 5.3: Instalar e configurar AD RMS


Um dos problemas crônicos para administradores de rede é encontrar maneiras de
proteger os dados da sua organização contra acesso inapropriado. Permissões de
arquivo NTFS podem ser usadas para determinar quem tem acesso aos arquivos.
Recursos, como Encrypting File System (EFS) e BitLocker Drive Encryption, podem ser
implementados para controlar melhor a privacidade dos dados.

Visão geral do AD RMS


O AD RMS permite melhorar esses recursos citados e possibilita proteger arquivos de
dados, tanto em repouso em um sistema de arquivos como em trânsito, talvez por meio
de uma mensagem de e-mail. Com AD RMS é possível controlar quem tem acesso aos
dados, qual é o tipo de acesso e até definir a duração específica do acesso.

256
Cenários típicos para usar AD RMS para tornar dados seguros incluem os seguintes:

• Evitar propagação Você não quer que informações sigilosas sejam enviadas por
e-mail.
• Restringir ações Você quer restringir os usuários a verem um documento, mas
não o editar nem o imprimir.
• Proteger dados Você quer proteger dados em dispositivos de armazenamento
removíveis. Se um dispositivo de armazenamento contendo dados sigilosos é
perdido, você quer garantir que os dados não podem ser acessados por pessoas
não autorizadas.

Componentes
Antes de implementar o AD RMS para ajudar a proteger os dados de sua organização, é
preciso saber implementar e configurar a arquitetura do AD RMS e saber como ela
funciona. O AD RMS consiste nos seguintes componentes:

• Servidor de AD RMS Computador servidor membro do domínio e instalado com


a função Active Directory Rights Management Services. Os servidores publicam
sua capacidade de AD RMS usando um SCP (Service Connection Point) no AD DS,
permitindo que os clientes os localizem.
• Cliente AD RMS O Windows 7 e posteriores suportam AD RMS, e esse recurso é
incorporado ao sistema operacional cliente. Se um dispositivo não tem
capacidade para AD RMS, não pode acessar conteúdo protegido por AD RMS.
• Aplicativos habilitados para AD RMS Aplicativos, como o Microsoft Office
Outlook, têm suporte a AD RMS e podem interagir com conteúdo protegido por
AD RMS.
• Banco de dados O AD RMS armazena sua configuração em um banco de dados
– tanto pode ser um banco de dados do Microsoft SQL Server para implantações
grandes, ou o Windows Internal Database para implantações menores.
• PKI O AD RMS depende de certificados digitais. Consequentemente, é necessá-
ria uma PKI configurada corretamente. O AD RMS usa os seguintes certificados e
licenças:
• Licenciante para servidor Gerado quando é implantado um cluster de AD RMS
(grupo de servidores de AD RMS). Permite que o servidor de AD RMS emita:
• Certificados de licenciante para servidor adicionais para outros servidores de AD
RMS
• Certificados de contas de direitos para clientes
• Certificados de licenciante para cliente
• Licenças de publicação
• Licenças de uso
• Modelos de política de direitos
• Licenciante para Cliente Permite que um usuário publique conteúdo protegido.
• Certificado de Máquina Usado para identificar um computador ou dispositivo.
• Certificado de Conta de Direitos Identifica um usuário específico.

257
• Licenças de Publicação Determina os direitos aplicados a conteúdo protegido.
• Licença de Usuário Final Permite que um usuário acesse conteúdo protegido.

Implante um servidor de AD RMS


As seguintes habilidades testadas no exame também são abordadas nesta seção:
Instalação de um certificado de licenciante e gerenciamento de um SCP de AD RMS.
A função Active Directory Rights Management Services pode ser implementada e
configurada com o Server Manager. Para isso, use o seguinte procedimento:

1. No Server Manager, clique em Manage e em Add Roles And Features.


2. Avance e, na página Server Roles, marque a caixa de seleção Active Directory
Rights Management Services, clique em Add Features e em Next.
3. Na página Active Directory Rights Management Services, clique em Next e, na
página Role Services, marque a caixa de seleção Active Directory Rights
Management Server, como mostrado na Figura 5-27, e clique em Next. A caixa
de seleção Identify Federation Support é usada para habilitar a integração com
AD FS.

4. Clique em Install e, quando solicitado, clique em Close.


A função de servidor Active Directory Right Management Services também pode ser
instalada com o comando InstallWindowsFeature ADRMS IncludeManagementTools do
Windows PowerShell.
Depois de implantada, a função deve ser configurada. Use o procedimento a seguir:
1. No Server Manager, na área de notificações, clique em Perform Additional
Configuration. O AD RMS Configuration Wizard é iniciado.
2. Na página AD RMS do AD RMS Configuration Wizard, clique em Next.
3. Na página AD RMS Cluster, mostrada na Figura 5-28, clique em Create A New AD
RMS Root Cluster e depois em Next.

258
4. Na página Configuration Database, especifique o uso de um Windows Internal
Database no servidor local, como mostrado na Figura 5-29, ou insira os detalhes
para conectar a uma instância de banco de dados SQL Server. Clique em Next.

5. Na página Service Account, insira os detalhes de uma conta de usuário do


domínio a ser usada como conta de serviço, como mostrado na Figura 5-30.
Clique em Next. Certifique-se de que essa senha seja configurada com as opções
User Cannot Change Password e Password Never Expires.

259
6. Na página Cryptographic Mode, mostrada na Figura 5-31, selecione o modo
criptográfico e clique em Next. Recomenda-se Cryptographic Mode 2.

7. Na página Cluster Key Storage, mostrada na Figura 5-32, especifique o modo de


armazenamento de chave de cluster de AD RMS. Essa chave é usada em
recuperação de desastres ou quando servidores são adicionados ao cluster de
AD RMS. Escolha entre:
• AD RMS Centrally Managed Key Storage
• Cryptographic Service Provider (CSP) Key Storage

8. Na página Cluster Key Password, digite uma senha e confirme. Clique em Next.
Essa senha é usada para criptografar a chave de cluster. Para adicionar servidores
ao cluster é preciso especificá-la.
9. Na página Cluster Web Site, selecione o site apropriado no servidor local para
armazenar componentes do AD RMS. Default Web Site é usado por padrão,
como mostrado na Figura 5-33. Clique em Next.

260
10. Na página Cluster Address, mostrada na Figura 5-34, digite a URL do servidor do
cluster. Depois de configurado o servidor de AD RMS, essa informação não pode
ser alterada. Clique em Next. O FQDN digitado precisa ser resolvido no DNS.
Além disso, se você usar SSL, o que é recomendado, precisará de um certificado
com o nome do requerente (subject name) apropriado.

11. Na página Server Certificate, mostrada na Figura 5-35, especifique o certificado


a ser usado para SSL. Observe que devemos evitar certificados auto assinados
em ambientes de produção. Clique em Next.

12. Na página Licensor Certificate, mostrada na Figura 5-36, clique em Next.

261
13. Na página SCP Registration, mostrada na Figura 5-37, clique em Register The SCP
Now e depois em Next.

14. Na página Confirmation, clique em Install e, quando solicitado, clique em Close.

Gerencie modelos de política de direitos


Modelos de política de direitos do AD RMS podem ser usados para simplificar a
administração de direitos em sua organização. Por exemplo, é possível configurar
modelos que permitem direitos apenas para visualizar documentos do Word. Depois de
criados os modelos de política de direitos, os usuários podem aplicá-los ao conteúdo
usando aplicativos habilitados para AD RMS, como o Microsoft Office Word, por meio
da opção Protect Document.
Os modelos de política de direitos são armazenados no banco de dados do AD RMS,
podendo ser configurados no console AD RMS ou com cmdlets do Windows PowerShell.
Para criar políticas de direitos, no Server Manager, clique em Tools e depois em Active
Directory Rights Management Services. Então, use o procedimento a seguir:

1. No painel de navegação do console Active Directory Rights Management


Services, clique no nó Rights Policy Templates.
2. No painel de ação, clique em Create Distributed Rights Policy Template.
3. Na página Add Template Identification Information do Create Distributed Rights
Policy Template Wizard, clique em Add para especificar os idiomas para esse

262
modelo. Pelo menos um deve ser especificado, como mostrado na Figura 5-38.
Clique em Next.

4. Na página Add User Rights, mostrada na Figura 5-39, clique em Add para
selecionar os usuários ou grupos apropriados. Você pode usar o curinga Anyone.
Caso contrário, é preciso especificar usuários ou grupos usando seu endereço de
e-mail. Então, na lista Rights, selecione os direitos apropriados e clique em Next.

5. Opcionalmente, defina uma expiração para o modelo de direitos na página


Specify Expiration Policy, mostrada na Figura 5-40.

263
6. Na página Specify Extended Policy é possível definir as seguintes extensões,
como mostrado na Figura 5-41:
• Enable Users To View Protected Content Using A Browser Add-On
• Require A New Use License Every Time Content Is Consumed

7. Na página Specify Revocation Policy é possível configurar opções de revogação


para a política, como mostrado na Figura 5-42. Clique em Finish para criar o
modelo.

Configure políticas de exclusão


É possível criar e usar políticas de exclusão para impedir que usuários ou aplicativos
específicos utilizem AD RMS. Três tipos de políticas de exclusão podem ser configurados:

• Application Permite bloquear aplicativos específicos, como o Microsoft Office


Word.
• User Permite nomear usuários excluídos específicos.
• Lockbox Version Permite bloquear versões de cliente específicas, por exemplo,
Windows XP.

264
Para criar e gerenciar políticas de exclusão, use o console Active Directory Rights
Management Services. Por exemplo, para bloquear o Microsoft Word, use o seguinte
procedimento:
1. No painel de navegação, clique no nó Exclusion Policies, como mostrado na
Figura 5-43.

2. No painel de detalhes, clique em Manage Application Exclusion List.


3. No painel Actions, clique em Enable Application Exclusion.
4. No painel Actions, clique em Exclude Application. 5. Na caixa de diálogo Exclude
Application, digite as informações a seguir e, então, clique em Finish:
• Application File Name: Word.exe
• Minimum Version: 14.0.0.0
• Maximum Version: 16.0.0.0

Faça backup e restaure AD RMS


É importante saber como proteger sua implantação de AD RMS contra perda de dados.
Se AD RMS não estiver disponível, o conteúdo protegido não poderá ser acessado.
Os componentes mais importantes do AD RMS são:

• Chave privada e certificados O modo mais simples de proteger sua chave privada
de AD RMS e os certificados relacionados é exportar os certificados, com a chave
privada, para um local offline.
• O banco de dados do AD RMS O método empregado depende de o AD RMS estar
configurado para usar Windows Internal Database ou uma instância de banco de
dados SQL Server. Um backup completo do sistema inclui o Windows Internal
Database. Isso não acontecerá necessariamente se for usado o SQL Server, pois
o banco de dados poderá estar localizado em outro lugar. Use métodos
adequados para fazer o backup do banco de dados SQL.
• Modelos configurados Para fazer backup dos modelos, exporte-os para uma
pasta compartilhada e, então, faça o backup deles como arquivos.

265