10 Gerenciando Arvores e Florestas

Módulo 10: Criando e Gerenciando Árvores e Florestas

Visão Geral
Introdução a Árvores e Florestas

Criando Árvores e Florestas
Relacionamentos de Confiança em Árvores e Florestas
O Catálogo Global
Estratégias para Usar Grupos em Árvores e Florestas
Resolvendo Problemas Ao Criar e Gerenciar Árvores e Florestas
Práticas Recomendadas
Criar um domínio único no serviço de diretório do Active Directory é uma das mais fáceis e
eficientes formas de administrar a infra-estrutura do Active Directory. Entretanto, ao
implementar a infra-estrutura do Active Directory, você pode querer considerar a criação de
outros domínios para conseguir funcionalidades adicionais. Alguns exemplos destas
funcionalidades adicionais são as configurações de segurança, tais como diretivas de grupo
de contas e senhas, que devem ser aplicadas em nível de domínio para que configurações de
segurança distintas se apliquem aos usuários em cada domínio. Múltiplos domínios também
permitem a você descentralizar a administração para reter o controle administrativo
completo dos controladores de domínio no seu respectivo domínio. Outro benefício de
múltiplos domínios é que eles permitem a você reduzir o tráfego de replicação para que os
únicos dados replicados entre os domínios sejam as alterações do servidor de catálogo
global, informações de configuração e esquemas.
Dependendo das suas exigências, você pode criar domínios adicionais, chamados domínios
filhos, na mesma árvore de domínio. Alternativamente, você pode criar uma floresta. Uma
floresta consiste de múltiplas árvores do domínio. Todos domínios que têm um domínio raiz
comum são ditos para formar um espaço de nome contínuo. As árvores de domínio em uma
floresta não formam um nome de espaço contínuo.
No final deste módulo, você será capaz de:

Identificar o propósito de árvores e florestas no Microsoft Windows Server 2003 .
Criar e gerenciar árvores e florestas no Windows Server 2003 .
Usar relação de confiança em árvores e domínios.
Usar o catálogo global para efetuar logon em uma rede Windows Server 2003 .
Implementar as estratégias de grupo mais efetivas para obter acesso aos recursos através
de árvores e domínios.
Resolver problemas comuns que podem ocorrer ao criar e gerenciar árvores e florestas
no Windows Server 2003 .
Aplicar as práticas recomendadas para criar e gerenciar árvores e florestas no Active
Directory.
-286-
Introdução a Árvores e Florestas
O Que É uma Árvore?

O Que é uma Floresta?
Qual é o Domínio Raiz da Floresta?
Características de Múltiplos Domínios
Usando árvores e florestas de domínio, você pode usar convenções de nomes contínuas e
não contínuas. Árvores e Florestas são úteis para organizações com divisões independentes
que devem manter cada uma seus próprios nomes DNS.
O Que é uma Árvore?
Tree Root Domain
Parent
Parent
Parent Domain
contoso.msft
Child
Child
Child Domain
sales.contoso.msft
Contiguous Namespace
sales.contoso.msft New
Domain
Uma árvore é um arranjo hierárquico dos domínios Windows Server 2003 que
compartilham um nome de espaço contínuo. Uma árvore consiste de um ou mais domínios.
Um domínio deve existir em uma árvore.
Quando você adicionar um novo domínio para uma árvore, o novo domínio é chamado de
domínio filho. O nome do domínio acima do domínio filho é chamado de domínio pai. O
nome do domínio filho é a combinação do nome do domínio filho e o nome do domínio pai
separado por um ponto, para formar o seu nome DNS. Este nome DNS forma uma
hierarquia de espaço de nomes contínuo. O domínio de nível superior em uma árvore de
domínios é algumas vezes chamado de domínio raiz da árvore.
Por exemplo, um domínio filho chamado vendas que tem o domínio pai chamado
contoso.msft, deve formar um nome DNS totalmente qualificado de vendas.contoso.msft.
Qualquer novo domínio adicionado ao domínio vendas.contoso.msft se torna seu domínio
filho.
-287-
O que é uma Floresta?
A Forest Is One or More Trees

Trees in a Forest Do Not Share a
Contiguous Namespace
contoso.msft
contoso.msft
Forest
Tree
sales.
sales.
nwtraders.msft
nwtraders.msft
contoso.msft
contoso.msft
Tree All of The Domains in a

Forest Share a Common
marketing.
marketing. sales.
sales. Configuration, Schema, and
nwtraders.msft
nwtraders.msft nwtraders.msft
nwtraders.msft Global Catalog
Uma floresta á uma coleção de uma ou mais árvores. As árvores em uma floresta não
compartilham um espaço de nome contínuo. Os domínios em uma floresta compartilham
uma configuração, esquema e catálogo global comum.
Por exemplo, a empresa Contoso, Ltda. cria uma organização separada chamada Northwind
Traders. A Contoso Ltda decide criar um novo domínio no Active Directory para a
Northwind Traders, chamado nwtraders.msft. Como mostra a figura, as duas organizações
não compartilham um nome de espaço comum; entretanto, adicionando os novos domínios
do Active Directory como uma nova árvore em uma floresta existente, as duas organizações
são capazes de compartilhar recursos e funções administrativas.
O que Domínio Raiz da Floresta?
The Forest Root Domain Is Forest Root Domain

the First Domain Created
in a Forest Global Catalog
Forest
Configuration
Tree Root Domain and Schema
contoso.msft
contoso.msft
nwtraders.msft
nwtraders.msft
Tree
Tree Enterprise Admins
marketing.nwtraders.msft Schema Admins sales.contoso.msft
O domínio raiz é o primeiro domínio criado em uma floresta. O nome do domínio raiz da
floresta é usado para se referir a uma floresta. O domínio de nível superior de cada árvore,
que é o domínio raiz da árvore, tem uma relação de confiança com o domínio raiz da
floresta. Assim, o nome do domínio raiz da floresta não deve ser alterado.
-288-
O primeiro controlador de domínio na floresta é configurado para armazenar as informações
de catálogo global. O domínio raiz da floresta também contém a configuração e as
informações de esquema para a floresta.
O domínio raiz da floresta contém dois grandes grupos no nível de floresta pré-definidos,
Administradores de Empresa (Administradores de Empresa) e Administradores de Esquema
(Schema Admins). Estes grupos existem somente no domínio raiz em uma floresta do
Active Directory. Você adiciona usuários que executam tarefas administrativas para a
floresta inteira nestes grupos. Quando o domínio é trocado para o modo nativo a partir do
modo misto, estes dois grupos globais predefinidos se alteram automaticamente para grupos
universais. As regras destes grupos são as mesmas no modo misto e no modo nativo, altera-
se somente o escopo do grupo.
A seguinte tabela descreve estes grupos e as regras predefinidas que são dadas a eles quando
um domínio raiz de floresta é criado.
Nome de grupo Descrição

Predefinido
Administradores É um grupo universal se o domínio estiver no modo nativo, ou um
de Empresa grupo global se o domínio estiver no modo misto. O grupo é
autorizado a fazer alterações para a floresta inteira no Active
Directory, assim como adicionar domínio filhos. Por padrão , o único
membro do grupo é a conta de administrador para o domínio raiz da
floresta.
Administradores É um grupo universal se o domínio estiver no modo nativo, um grupo
de Esquema global se o domínio estiver no modo misto. O grupo é autorizado a
fazer alterações no esquema do Active Directory. Por padrão, o único
membro do grupo é a conta de administrador para o domínio raiz da
floresta.
Características de Múltiplos Domínios
Considere ter múltiplos domínios na sua organização para:

Reduzir o tráfego de replicação. Implementar múltiplos domínios, em vez de um único e
grande domínio, permite a você otimizar o tráfego de replicação. Em múltiplos
domínios, somente as alterações para o servidor de catálogo global, informações de
configurações e esquemas são replicados. Nem todos os objetos e atributos para todos os
controladores de domínio são replicados. Por exemplo, se a rede usar um link WAN
lento, a replicação de todos os objetos na floresta usará largura de banda desnecessária
pelo motivo dos objetos estarem sendo replicados para as localizações onde eles são
raramente usados. Criar um domínio separado para as localizações diferentes reduz o
tráfego de replicação e mantém o desempenho da rede porque a replicação ocorre
somente nas localizações que precisam dos objetos.
Manter configurações de segurança separadas e distintas para os domínios diferentes.
Para ser capaz de aplicar configurações de segurança de nível de domínio diferentes para
os grupos de usuários, você deve ter múltiplos domínios. Por exemplo, você pode usar
um domínio separado para os administradores e outros usuários se você quiser ter uma
-289-
Diretiva de Grupo de senhas mais restrita, assim como um intervalo mais curto de
alterações de senhas para os administradores.
Preservar a estrutura do domínio para versões anteriores do Microsoft Windows NT.
Para evitar ou prorrogar a reestruturação dos domínios do Windows NT existentes, você
pode atualizar cada domínio para o Windows Server 2003 enquanto preserva a estrutura
de domínio existente.
Controle administrativo separado. Os membros do grupo Administradores do Domínio
em um domínio têm controle completo sobre todos os objetos naquele domínio. Se você
tiver uma subdivisão na sua organização que não permite que administradores de fora da
subdivisão tenham controle sobre seus objetos, coloque estes objetos em um domínio
separado. Por exemplo, por razões legais, pode não ser prudente para uma subdivisão de
uma organização que trabalha em projetos de alto nível aceitar supervisão de domínio a
partir de um grupo de tecnologia de informação (IT) de nível mais alto.
Criando Árvores e Florestas
Criando um Novo Domínio Filho

Criando uma Nova Árvore
Criando uma Nova Floresta
Depois de você ter instalado o Active Directory e criado um domínio único, você pode usar
o Assistente para Instalação do Active Directory, Dcpromo.exe, para guiá-lo através do
processo de adicionar domínios criando árvores e florestas. A informação que você deve
fornecer quando for instalar o Active Directory depende se você está criando um domínio
filho em uma árvore existente ou criando uma nova árvore em uma floresta existente.
Criando um Novo Domínio Filho
The Active Directory Installation Wizard:

z Creates a new domain
z Promotes the computer to a new domain controller
z Establishes a trust relationship with the parent domain
Existing
Forest
contoso.msft
contoso.msft
Parent Domain
(Forest Root Domain) New Child
sales. Domain Controller
sales.
contoso.msft
contoso.msft
New Child Domain
Depois de você estabelecer o domínio raiz, você pode criar domínios adicionais dentro de
árvores se a sua rede planeja exigir domínios múltiplos. Cada novo domínio dentro da
árvore será um domínio filho de um domínio raiz, ou um domínio filho de um outro
domínio filho.
-290-
Por exemplo, você cria um domínio chamado vendas.contoso.msft, que é um domínio filho
do domínio raiz, contoso.msft. O próximo domínio que você criar dentro daquela árvore
pode ser um filho do contoso.msft ou um filho de vendas.contoso.msft.
Para criar um domínio filho, execute os seguintes passos:

1. Na caixa Executar, digite dcpromo.exe e pressione ENTER.
2. No Assistente para Instalação do Active Directory, complete a instalação usando as
informações na tabela abaixo.
Nesta página assistente Faça isto

Tipo de Controlador de Clique em Controlador de Domínio para um novo domínio.
Domínio
Criar árvore ou domínio Clique em Criar um novo domínio filho em uma árvore
filho existente.
Credenciais de Rede Especifique o nome do usuário, senha, e nome do domínio de
uma conta de usuário no Grupo Administradores de Empresa,
que existe em um domínio raiz da floresta.
Instalação de domínio Especifique o nome DNS do domínio pai e o nome do novo
filho domínio filho.
Nome Netbios do Especifique o nome NetBIOS para o novo domínio.
Domínio
Localização do banco de Especifique as localizações para o banco de do Active
dados e arquivos de log Directory e arquivos de Log.
Volume de Sistema Especifique a localização para o volume de sistema
Compartilhado compartilhado.
Permissões Especifique se irá configurar as permissões padrão nos objetos
de grupo e usuário para serem compatíveis com os
computadores executando versões anteriores do Windows, ou
somente com servidores baseados no Windows Server 2003 .
Permitir permissões compatíveis com o Windows Server 2003
adiciona o grupo Todos ao Grupo de Acesso compatível com o
Pre- Windows Server 2003 . Este grupo tem acesso de leitura
para os atributos de objeto usuário e grupo que existem no
Windows NT 4.0. Você deve selecionar esta opção somente
depois de considerar o impacto que as permissões têm na
segurança do Active Directory.
Senha do Administrador Especifique uma senha para usar quando iniciar o computador
para o Modo de no Modo de Restauração de Serviços de Diretório.
Restauração do Active
Directory
Depois de você especificar as informações de instalação, o Assistente para Instalação do

Active Directory executa as seguintes tarefas:
Cria um novo domínio.
Promove o computador no novo domínio filho a controlador de domínio.
Estabelece relação de confiança entre o domínio filho e o domínio pai.
-291-
Criando uma Nova Árvore
z Creates the root domain of a new tree
z Establishes a trust relationship with the forest root domain
z Replicates schema and configuration directory partitions
contoso.msft
contoso.msft
Forest Root
Domain New
Domain Controller
nwtraders.msft
nwtraders.msft
New Tree
Depois de você estabelecer o domínio raiz, você pode adicionar uma nova árvore à floresta
existente se a sua rede exigir múltiplas árvores.
Para criar uma nova árvore em uma floresta existente, execute os seguintes passos:
1. Na caixa Executar, digite dcpromo.exe e então pressione ENTER.
2. No Assistente para Instalação do Active Directory, complete a instalação usando a
informação na tabela abaixo.

Tipo de Controlador de Domínio Clique em Controlador de Domínio para um
novo domínio.
Criar árvore ou domínio filho Clique em Criar uma Nova Árvore de
Domínio.
Create or Join Forest Clique em Place this new Domain tree in an
existing forest.
Credenciais de Rede Especifique o nome do usuário, senha, e
nome de domínio de uma conta de usuário
no grupo Administradores de Empresa, que
existe no domínio raiz da floresta.
New Domain Tree Especifique o nome DNS para a nova
árvore.
As opções restantes no Assistente para Instalação do Active Directory são idênticas às

opções usadas para criar o novo domínio filho. Depois de você terminar de especificar as
informações, o Assistente para Instalação do Active Directory executa os seguintes passos:
Cria o domínio raiz de uma nova árvore
Promove o computador na nova árvore para um controlador de domínio.
Estabelece relação de confiança para o domínio raiz da floresta.
Replica esquemas e partições de configuração de diretório.
-292-
Criando uma Nova Floresta

z Creates the root domain of a new forest
z Creates the root domain of a new tree
z Configures a global catalog server
z Starts with the default schema and configuration directory
partitions
New Forest
New
Domain Controller
contoso.msft
contoso.msft
Forest Root Domain
Quando você criar uma nova floresta, os domínios raízes de todas as árvores do domínio na
floresta estabelecem relação de confiança transitiva com o domínio raiz da floresta.
Para criar uma nova floresta, execute os seguintes passos:

1. Na caixa Executar, digite dcpromo.exe e então pressione ENTER.
2. No Assistente para Instalação do Active Directory, complete a instalação usando as
informações na seguinte tabela.

Tipo de Controlador de Domínio Clique em Controlador de domínio para um
novo domínio.
Criar árvore ou domínio filho Clique em Criar uma Nova Árvore de
Domínio.
Criar uma nova floresta ou juntar-se a uma Clique em Criar uma nova floresta.
floresta existente
As opções restantes no Assistente para Instalação do Active Directory são idênticas às

opções usadas para criar uma nova árvore.
Depois de você terminar de especificar as informações de instalação, o Assistente para
Instalação do Active Directory executa os seguintes passos:
Cria a raiz de uma nova floresta
Cria a raiz de uma nova árvore
Promove o computador na nova floresta a controlador de domínio.
Configura o servidor de catálogo global.
Inicia as informações padrão da partição de diretório de configuração e de esquema
-293-
Relação de Confiança em Árvores e Florestas
Confiança Transitiva no Windows Server 2003

Como a Confiança Funciona
Como o Kerberos V5 Trabalha
Atalhos de Confiança no Windows Server 2003
Confianças Não Transitivas no Windows Server 2003
Verificando e Revogando Confianças
O Active Directory fornece segurança em múltiplos domínios através das relações de

confiança do domínio baseado no protocolo Kerberos versão 5. Uma confiança de domínio
é um relacionamento entre domínios que permite a um controlador em um domínio
autenticar usuários em outros domínios. A autenticação exige seguir um caminho de
confiança.
Uma série de relações de confiança para passagem de solicitações de autenticação entre dois
domínios define um caminho confiável. Os caminhos de confiança são criados
automaticamente quando você adiciona domínios a uma rede Windows Server 2003 . Você
também pode criar confianças manualmente quando você quer compartilhar recursos através
de domínios que não são confiáveis ou quando você quer encurtar o caminho de confiança.
Confiança Transitiva no Windows Server 2003

Forest Root Domain
Tree Two Tree One
Tree-Root Trust
Domain
Domain11
Domain
DomainAA Forest
Domain Trusts
Parent-Child Trust
z Created by default
z Transitive
Domain z Two-Way
DomainBB
Parent-Child Trust
Domain
DomainCC
Cada vez que você cria uma nova árvore de domínio em uma floresta, um caminho de
confiança é automaticamente criado entre o domínio raiz da floresta e a nova árvore do
domínio. O caminho de confiança permite às relações de confiança fluírem através de todos
os domínios na floresta. A autenticação exigida segue estes caminhos de segurança, assim
contas de um domínio podem ser autenticadas por qualquer outro domínio na floresta. Estas
relações algumas vezes são chamadas de confianças de domínio padrão.
-294-
Tipos de Confiança de Domínio
Abaixo são os dois tipos de domínio de confiança no Windows Server 2003 :
Confiança Transitiva: Uma confiança transitiva significa que a relação de confiança
estendida para um domínio é automaticamente estendida para todos os outros domínios
que confiam naquele domínio. Por exemplo, o domínio A confia diretamente no domínio
B. O domínio B confia diretamente no domínio C. Pelo motivo de ambas as relações
serem transitivas, o domínio A confia indiretamente no domínio C.
Confiança bidirecional: A confiança bidirecional significa que existem dois caminhos de
confiança indo a ambas as direções entre os dois domínios. Por exemplo, o domínio A
confia no domínio B em uma direção, e o domínio B confia no domínio A em outra
direção.
Tipos de Confiança Transitivas

A vantagem da confiança transitiva nos domínios do Windows Server 2003 é que existe
confiança completa entre todos os domínios em uma floresta do Active Directory. Pelo
motivo de todos os domínios filhos terem uma relação de confiança transitiva com seus
domínios pais, e todos os domínios raiz de árvores terem uma relação de confiança
transitiva com o domínio raiz floresta, todos os domínios na floresta confiam no outro. Os
seguintes tipos de relação de confiança transitiva podem ser estabelecidos nos domínios do
Windows Server 2003 .
Confiança de raiz de árvores: Uma relação de confiança raiz de árvores é a relação de
confiança que é estabelecida quando você adiciona uma nova árvore para uma floresta.
Instalar o Active Directory automaticamente cria uma relação de confiança entre o
domínio que você está criando e o domínio raiz da floresta que também é o novo
domínio raiz da árvore. Uma relação de confiança de raiz de árvores tem as seguintes
restrições:
• Ela pode ser configurada somente entre as raízes de duas árvores na mesma floresta.
• Ela deve ser uma confiança transitiva e bidirecional.
Confiança Pai-filho. Uma relação de confiança Pai-filho é estabelecida quando você cria
um novo domínio em uma árvore. Instalar o Active Directory automaticamente cria
dentro da hierarquia de espaço de nomes uma relação de confiança entre o novo
domínio, que é o domínio filho, e o domínio que o precede imediatamente, que é o
domínio pai. A relação de confiança Pai-filho tem as seguintes características:
• Ela pode existir somente entre dois domínios na mesma árvore e espaço de nomes.
• O domínio filho confia no domínio pai.
• O domínio pai confia no domínio filho.
• A confiança entre os domínios pai e filho é transitiva.
Como as Confianças Trabalham
Quando um usuário tenta obter acesso a um recurso em outro domínio, o protocolo

Kerberos V5 deve determinar se o domínio confiante, que é o domínio contendo o recurso
para o qual o usuário está tentando obter acesso, tem uma relação de confiança com o
domínio confiado, que é o domínio para o qual o usuário está efetuando logon. Para
determinar esta relação, o protocolo de segurança Kerberos V5 viaja pelo caminho de
-295-
confiança entre o controlador de domínio no domínio confiante até o controlador do
domínio no domínio confiado.
Forest Root
Domain
Domain 1 Tree One

Tree Root
Domain Forest
Domain
DomainAA
User Domain 2
Trusting Domain
Tree Two
Domain
DomainBB Domain C
Trusted Domain Trusting Domain
Quando um usuário no domínio confiado tenta obter acesso a um recurso em outro domínio,
o computador do usuário primeiro contata o controlador do domínio neste domínio para
obter a autenticação para o recurso. Se o recurso não estiver no domínio do usuário, o
controlador de domínio usa a relação de confiança com seu pai e transfere o computador do
usuário para um controlador de domínio no seu domínio pai. Esta tentativa de localizar um
recurso continua pela hierarquia de confiança, possivelmente até o domínio raiz da floresta,
e desce na hierarquia de confiança até contatar um controlador de domínio no domínio onde
o recurso está localizado. O caminho que é obtido de domínio a domínio é o caminho de
confiança. O caminho que é obtido é o caminho mais curto seguindo a hierarquia de
confiança.
Como o Kerberos V5 Trabalha

Forest Root
Kerberos Authentication KDC Domain
contoso.msft
contoso.msft
KDC
nwtraders.msft
nwtraders.msft 3 KDC
2
KDC 4
Server
1
5
Session marketing.contoso.msft
Ticket
Client
sales.nwtraders.msft
O protocolo Kerberos V5é o principal protocolo de autenticação no Windows Server 2003 ;

ele verifica a identidade do usuário e a integridade dos serviços de rede. Os principais
componentes do protocolo Kerberos V5 são um cliente, um servidor, e um terceiro de
confiança deles. O intermediário confiado no protocolo é conhecido como Key distribution
Center (KDC). No Windows Server 2003 , o controlador de domínio funciona como KDC.
-296-
O KDC é executado em cada controlador de domínio como parte do Active Directory, que
armazena todas as senhas de clientes e outras informações de conta.
Os serviços do Kerberos V5 são instalados em cada controlador de domínio, e um cliente
Kerberos V5 é instalado em cada estação de trabalho e servidor do Windows Server 2003 .
A autenticação Kerberos inicial do usuário fornece a ele um logon único para os recursos da
empresa.
O mecanismo de autenticação do Kerberos V5 distribui tickets de sessão para acessar os
serviços de rede. Estes tickets contêm dados criptografados, incluindo uma chave
criptografada, que confirma a identidade do usuário para o serviço solicitado.
Quando for acessar recursos através de uma floresta, o cliente segue o caminho de confiança
do protocolo Kerberos V5. Como exemplo para ilustrar o caminho de autenticação,
considere uma árvore, contoso.msft, em uma floresta e seu domínio filho,
vendas.contoso.msft. A outra árvore, nwtraders.msft, na floresta consiste do domínio filho
marketing.nwtraders.msft.
Se um usuário em sales.nwtraders.msft precisar obter acesso aos recursos em
marketing.contoso.msft, o seguinte processo de autenticação do protocolo Kerberos V5
ocorre:
1. O usuário pede um ticket de sessão para o servidor em marketing.contoso.msft. O
usuário recebe uma autorização chamada de ticket de sessão a partir do KDC no
domínio sales.nwtraders.msft.
2. O usuário apresenta o ticket de sessão de nwtraders.msft para o KDC em
nwtraders.msft. O KDC no nwtraders.msft fornece um ticket de sessão para
contoso.msft.
3. O usuário apresenta o ticket de sessão contoso.msft para o KDC em contoso.msft. O
KDC em contoso.msft fornece um ticket de sessão para o KDC em
marketing.contoso.msft.
4. O usuário apresenta o ticket de sessão marketing.contoso.msft para o KDC em
marketing.contoso.msft. O KDC em marketing.contoso.msft fornece um ticket de sessão
para o servidor desejado.
5. O usuário apresenta o ticket de sessão do servidor ao servidor para obter acesso aos
recursos no servidor em marketing.contoso.msft.
Atalhos de Confiança no Windows Server 2003
Forest Root
Domain
Domain 1 Tree One

Tree Root
Domain Forest
Tree Two
Shortcut Trust
Domain
DomainAA
Domain 2
Trusting Domain
Domain
DomainBB Domain C
Trusted Domain Trusting Domain
-297-
Atalho de confiança é um caminho de confiança transitiva unidirecional que você pode usar
para otimizar o desempenho encurtando o caminho de confiança para propósitos de
autenticação. Você cria manualmente um atalho de confiança unidirecional entre os
domínios do Windows Server 2003 a partir do domínio confiante para o domínio confiado
na mesma floresta. Mesmo que os atalhos de confiança sejam unidirecionais, você também
pode criar relação bidirecional criando manualmente duas relações de confiança, uma em
cada direção.
Atalhos de confiança reduzem o caminho de confiança permitindo uma conexão mais direta
entre dois domínios que de outra forma exigem um caminho para viajar pela hierarquia,
possivelmente até o domínio raiz da floresta, antes de chegar a outros domínios. O uso mais
efetivo de atalhos de confiança é quando existe um número de usuários acessando com
freqüência recursos em outro domínio na floresta e o número de domínios no caminho de
confiança que o cliente precisa se conectar é grande.
Para ilustrar um exemplo de um atalho de confiança na mesma árvore, assuma que os
usuários no domínio B freqüentemente precisam obter acesso aos recursos no domínio C.
Você pode criar um link direto do domínio confiante C para o domínio confiado B usando
um atalho de relação de confiança para que o domínio A possa ser ignorado no caminho de
confiança.
Para ilustrar um exemplo de um atalho de confiança entre duas árvores, assuma que os
usuários no domínio B precisam freqüentemente obter acesso aos recursos no domínio 2.
Você pode criar um link direto do domínio confiante 2 para o domínio confiado B através
de um atalho de relação de confiança para que os dados não tenham que viajar através da
raiz da floresta de uma árvore de domínio até a outra.
Confianças Não Transitivas no Windows Server 2003
Nontransitive Trusts Nontransitive Trust Exists Between

z Manually created z A Windows 2000 domain and a
z One-way Windows NT domain

z Two Windows 2000 domains in two
forests
z A Windows 2000 domain and a
Forest Kerberos V5 realm
contoso.msft
contoso.msft
Nontransitive
Trust
Domain
Domain
marketing.contoso.msft sales.contoso.msft
Uma relação de confiança não transitiva pode ser criada entre os domínios Windows Server
2003 se uma relação de confiança transitiva não for fornecida automaticamente.
-298-
O Que é uma Confiança Não Transitiva
Você deve criar explicitamente uma confiança não transitiva. Uma confiança não transitiva
é um caminho unidirecional. Para criar uma confiança não transitiva bidirecional, você pode
criar manualmente duas confianças unidirecionais, uma em cada direção.
Confianças não transitivas são as relações de confiança que são possíveis somente entre o
seguinte:
Um domínio do Windows Server 2003 e um domínio Windows NT. Se um destes
domínios é em um domínio de contas e o outro é em um domínio de recursos, a relação
de confiança é geralmente criada como unidirecional.
Um domínio Windows Server 2003 em uma floresta e um domínio Windows Server
2003 em outra floresta. A relação entre estes dois domínios é freqüentemente chamada
de relação externa.
Um domínio Windows Server 2003 e um domínio (realm) de segurança do protocolo
Kerberos V5.
Nota: Um domínio (realm) Kerberos V5 é um limite de segurança igual a um domínio

Criando uma Confiança Não Transitiva

Para criar uma confiança não transitiva, você deve conhecer os nomes de domínio a serem
incluídos na relação e ter uma conta de usuário com permissão para criar confiança em cada
domínio. Cada confiança é assinada com uma senha que os administradores de ambos os
domínios na relação devem conhecer.
Para criar uma confiança não transitiva, execute os seguintes passos:

1. No console Domínios e Confianças do Active Directory, na árvore de console, clique
com o botão direito no domínio que você quer administrar, e então clique em
Propriedades.
2. Na guia Confianças, dependendo de qual domínio você está, clique em Domínios
confiados por este domínio ou Domínios que confiam neste domínio, e depois clique em
Adicionar.
3. Dependendo do tipo de domínio, execute uma das seguintes tarefas:
• Se o domínio adicionado for um domínio Windows Server 2003 , digite o nome
DNS completo de domínio.
• Se o domínio estiver executando uma versão anterior do Windows, digite o nome do
domínio.
4. Digite a senha para esta confiança, e então confirme a senha.
5. Repita os passos 1 até 4 no domínio que forma outra parte da relação de confiança não
transitiva.
Verificando e Revogando Confiança
Se você criar confianças não transitivas, você algumas vezes precisará verificar e excluir, ou
revogar, os caminhos de confiança que você criou. Você verifica uma confiança para
certificar-se que ele está trabalhando corretamente e pode validar solicitações de
autenticação de outros domínios. Você revoga uma confiança para evitar que o caminho de
-299-
autenticação esteja sendo usado durante a autenticação. Você pode usar o Domínios e
Confianças do Active Directory ou o comando netdom para verificar e revogar caminhos de
confiança.
contoso.msft Properties
nwtraders.msft Properties
General
General Trusts Managed By
Domains trusted by this domain:
Domain Name Relationship Tran… To verify and if necessary reset this trust Verify
sales.contoso.msft Shortcut Yes relationship, click Verify. This is useful as
Add…
marketing.contoso.msShortcut Yes a troubleshooting tool.
contoso.msft Tree Root Yes Edit…
Remove Verify
Verify aa trust
trust
OK Cancel Apply
Domains that trust this domain:

Domain Name Relationship Tran…
sales.contoso.msft Shortcut Yes Add…
contoso.msft Tree Root Yes
Edit…
Remove Revoke
Revoke aa trust
trust
Netdom Command Line

NETDOM TRUST trusting_domain_name /Domain:trusted_domain_name /Verify
NETDOM TRUST trusting_domain_name /Domain:trusted_domain_name /Remove
Verificando Confiança
Para verificar uma confiança usando o Active Directory Domains and Trsuts, execute os
seguintes passos:
1. No Domínios e Confianças do Active Directory, na árvore de console, clique com o
botão direito em um dos domínios envolvidos na confiança que você quer verificar, e
então clique em Propriedades.
2. Na guia Confianças, dependendo de qual domínio você está, você usa a opção Domínios
confiados por este domínio ou o Domínios que confiam neste domínio para selecionar a
confiança a ser verificada.
3. Clique na confiança, e então clique em Editar.
4. Clique em Verificar/Redefinir.
5. Repita os passos 1 até 4 para verificar a confiança para o outro domínio envolvido na
relação.
Revogando Confiança
Para revogar uma confiança usando o Active Directory Domains and Trsuts, execute os
seguintes passos:
1. No Domínios e Confianças do Active Directory, na árvore de console, clique com o
botão direito em um dos domínios envolvidos na confiança que você quer revogar, e
2. Na guia Trusts, dependendo de qual domínio você está, use Domínios confiados por este
domínio ou Domínios que confiam neste domínio para selecionar a confiança a ser
revogada.
3. Selecione a confiança e então clique em Remover.
-300-
4. Repita os passos de 1 a 3 para revogar a confiança para outro domínio envolvido na
relação.
Verificando e Revogando Confiança Usando o Comando Netdom

O Netdom é um utilitário de linha de comando que você pode usar para gerenciar os
domínios do Windows Server 2003 e as relações de confiança a partir de uma janela de
prompt de comando.
Use o netdom para executar as seguintes tarefas:
Visualizar relações de confiança.
Enumerar relações de confiança direta.
Enumerar todas as relações de confiança (direta e indireta).
Para verificar uma confiança usando o netdom, execute os seguintes passos:

1. abra uma janela de prompt de comando.
2. Digite: NETDOM TRUST nome_domínio_confiante /Domain:nome_domínio_confiado
/Verify e pressione ENTER.
Para revogar uma confiança usando o netdom, execute os seguintes passos:

1. Abra uma janela de prompt de comando.
2. Digite: NETDOM TRUST nome_domínio_confiante /Domain:nome_domínio_confiado
/Remove e pressione ENTER.
Laboratório A: Criando Árvores de Domínio e Estabelecendo Confiança
Objetivos
Depois de completar este laboratório, você será capaz de:

Criar domínios filhos em uma floresta existentes.
Remover uma floresta existente.
Examinar e verificar confiança entre os domínios.
Pré-requisitos
Antes de trabalhar neste laboratório, você deve ter conhecimento e experiência em instalar e
remover o Active Directory.
Configuração do Laboratório
Para completar este laboratório, você precisa do CD do Windows Server 2003 Server para a
instalação das ferramentas de suporte durante o laboratório.
Informações de FQDN, Domínio, endereço IP do Computador do

Estudante
-301-
Durante este laboratório, você será perguntado sobre seu endereço IP, domínio e FQDN.
Use as informações da tabela abaixo para determinar o que informar para estes valores. Seu
instrutor atribuirá a você um número de aluno e para ser usado no lugar do x no endereço IP.
Número do Endereço IP Domínio FQDN

Estudante
1 192.168.x.1 Namerica1 Vancouver.namerica1.Nwtraders.msft
2 192.168.x.2 Namerica1 Denver.namerica1.Nwtraders.msft
3 192.168.x.3 Spacific1 Perth.spacific1.Nwtraders.msft
4 192.168.x.4 Spacific1 Brisbane.spacific1.Nwtraders.msft
5 192.168.x.5 Europe1 Lisbon.europe1.Nwtraders.msft
6 192.168.x.6 Europe1 Bonn.europe1.Nwtraders.msft
7 192.168.x.7 Samerica1 Lima.samerica1.Nwtraders.msft
8 192.168.x.8 Samerica1 Santiago.samerica1.Nwtraders.msft
9 192.168.x.9 Asia1 Bagalore.Asia1.Nwtraders.msft
10 192.168.x.10 Asia1 Singapore.Asia1.Nwtraders.msft
11 192.168.x.11 Africa1 Casablanca.africa1.Nwtraders.msft
12 192.168.x.12 Africa1 Tunis.africa1.Nwtraders.msft
13 192.168.x.13 Namerica2 Acapulco.namerica2.Nwtraders.msft
14 192.168.x.14 Namerica2 Miami.namerica2.Nwtraders.msft
15 192.168.x.15 Spacific2 Auckland.spacific2.Nwtraders.msft
16 192.168.x.16 Spacific2 Suva.spacific2.Nwtraders.msft
17 192.168.x.17 Europe2 Stockholm.europe2.Nwtraders.msft
18 192.168.x.18 Europe2 Moscow.europe2.Nwtraders.msft
19 192.168.x.19 Samerica2 Caracas.samerica2.Nwtraders.msft
20 192.168.x.20 Samerica2 Montevideo.samerica2.Nwtraders.msft
21 192.168.x.21 Asia2 Manila.asia2.Nwtraders.msft
22 192.168.x.22 Asia2 Tokyo.asia2.Nwtraders.msft
23 192.168.x.23 Africa2 Khartoum.africa2.Nwtraders.msft
24 192.168.x.24 Africa2 Nairobi.africa2.Nwtraders.msft
Exercício 1: Removendo uma Floresta Existente
Cenário
Depois de testar os recursos no Active Directory e o hardware do computador, você criará a
floresta Northwind Traders. Antes de criar um novo domínio ,você deve remover o
ambiente existente de teste da floresta e preparar suas configurações de rede para o novo
domínio.
Objetivo
Neste exercício você usará o Assistente para Instalação do Active Directory para remover
seu domínio e floresta existente para que você se torne um controlador de domínio para um
domínio filho. Você configurará suas configurações de rede em preparação para o novo
domínio.
-302-
Tarefas Passos Detalhados
1. Remova seu domínio e floresta existente. a. Faça logon como Administrador no seu
Quando avisado, reinicie seu computador. domínio com a senha ‘senha’.
b. Execute dcpromo para iniciar o
Assistente para Instalação do Active
Directory.
c. Na página Bem-vindo ao Assistente
para Instalação do Active Directory,
clique em Avançar para continuar, e
então clique em Ok para fechar a
mensagem indicando que este
controlador de domínio também é um
servidor de catálogo global.
d. Na página Remover o Active Directory,
selecione a caixa de verificação Este
servidor é o último controlador de
domínio no domínio, e então clique em
Avançar.
e. Na página Credenciais de Rede, na
caixa Nome do Usuário, digite
Administrador.
f. Na caixa Senha, digite senha e então
clique em Avançar.
g. Na página Senha do Administrador, nas
caixas Senha e Confirmar senha, digite
senha e então clique em OK.
h. Na página Resumo, reveja as
informações de resumo, e então clique
em Avançar.
O assistente leva vários minutos para

completar a remoção do Active
Directory a partir deste computador.
i. Na página Concluindo o Assistente para

Instalação do Active Directory, clique
em Concluir, e então clique em
Reiniciar para reiniciar seu computador.
2. Remova o subcomponente DNS dos a. Faça logon como administrador com a
serviços de rede. senha ‘senha’.
b. Na área de trabalho, clique com o botão
direito em Meus Locais de Rede, e
c. Na janela Conexões dial-up e de rede,
no menu Avançado, clique em
Componentes de Rede Opcionais.
-303-
d. Na página Windows Components, sobre
components, limpe a caixa de
verificação Serviços de Rede, e então
clique em Avançar para completar a
remoção do serviço DNS.
O assistente termina removendo o

serviço DNS.
3. Configure as Propriedades do TCP/IP da a. Na janela Conexões dial-up e de rede,
sua conexão de Rede Local para usar o clique com o botão direito em Conexão
computador do instrutor, London de Rede Local e então clique em
192.168.x.200 (onde x é o código de rede Propriedades.
determinado para a sua sala de aula.), para o b. Clique em Protocolo Internet (TCP/IP),
seu servidor DNS preferencial. e então clique em Propriedades.
c. Na caixa Preferred DNS Server, digite o
endereço IP de London, que é
192.168.x.200 (onde x é o código de
rede determinado para a sua sala de
aula) e então clique em OK.
d. Na caixa de diálogo Propriedades de
Conexão de Rede Local, clique em Ok,
e então feche a janela Conexões dial-up
e de rede.
4. Configure o sufixo DNS para o seu a. Na área de trabalho, clique com o botão
computador. Quando avisado, reinicie seu direito em Meu Computador, e então
computador. O sufixo principal DNS é clique em Propriedades.
domain.nwtraders.msft (onde domain é b. Na caixa de diálogo Propriedades de
nome determinado para o seu domínio). Sistema, na guia Identificação de Rede,
clique em Propriedades.
c. Na caixa de diálogo Alterar
Identificação, clique em Mais.
d. Na caixa de diálogo Sufixo DNS e
Nome NetBIOS do Computador, na
caixa Sufixo DNS principal deste
computadorPrimary, digite
domain.nwtraders.msft (onde domain é
o nome determinado para o seu
domínio) e então clique em OK.
e. Na caixa de diálogo Alterar
Identificação, clique em OK, e então
clique em OK de novo para reiniciar o
computador para as alterações terem
efeito.
f. Na caixa de diálogo Propriedades de
Sistema, clique em OK, e então clique
em Sim para reiniciar seu computador.
-304-
5. Verifique a configuração apropriada do a. Faça logon como Administrador com a
nome do Host, sufixo DNS primário, e senha ‘senha’.
servidores DNS de acordo com a tabela de b. Abra uma janela de prompt de comando.
configuração localizada na seção de c. No prompt de comando, digite
configuração deste laboratório. ipconfig/all e então pressione ENTER
para visualizar a configuração TCP/IP
do seu computador.
d. Verifique se o valor do Host name é o
seu nome de host. Assegure que este
valor combina com a primeira parte da
sua entrada FQDN, que é listada na
tabela na seção de configuração deste
laboratório.
e. Verifique se o valor de Sufixo DNS
Primário é o nome de domínio completo
do seu computador. Assegure que este
valor combine com as últimas partes do
seu FQDN, que está na tabela da seção
de configuração deste laboratório.
f. Verifique se o valor de DNS Servidores
contém o endereço IP de London
192.168.x.200.
g. Feche todas as janelas abertas.
Exercício 2: Criando um Domínio Filho
Cenário
A Northwind Traders projetou sua estrutura de floresta, que consiste de uma única árvore de
domínio com o nome raiz DNS nwtraders.msft. O escritório corporativo já criou o domínio
raiz da floresta nwtraders.msft. Você deve criar o domínio filho da sua região.
Objetivo
Neste exercício, você executará o Assistente para Instalação do Active Directory para criar
um domínio filho para sua região.

Importante: execute este exercício inteiro somente no computador com o número de
aluno mais baixo entre você e o seu parceiro de domínio.
1. Inicie o Assistente para Instalação do a. Execute o dcpromo para iniciar o
Active Directory para criar: Assistente para Instalação do Active
• Um novo controlador de domínio Directory.
para um novo domínio. b. Na página Bem-vindo ao Assistente
• Uma árvore de domínio existente. para Instalação do Active Directory,
• Para credenciais de rede, use clique em Avançar para continuar.
administrador, senha e c. Na página Tipo de Controlador de
nwtraders.msft. Domínio, assegure que o Controlador de
-305-
Domínio para um novo domínio está
selecionado, e então clique em Avançar.
d. Na página Criar árvore ou domínio
filho, clique em Criar um novo domínio
filho em uma árvore existente, e então
clique em Avançar.
e. Na página Credenciais de Rede, digite
Administrador na caixa Nome do
Usuário, digite senha na caixa Senha,
digite nwtraders.msft na caixa Domínio,
e então clique em Avançar.
2. Complete o processo de instalação do a. Na página Instalação de domínio filho,
Active Directory, fornecendo as clique em Browse.
seguintes informações: b. Na caixa de diálogo Procurar Domínio,
• Nome DNS completo clique em nwtraders.msft, e então clique
domain.nwtraders.msft. em OK.
• Nome de domínio NetBios do c. Na página Instalação de domínio filho,
domínio em caracteres maiúsculos. na caixa Child domain, digite o domínio
• As localizações padrões para o e então clique em Avançar.
banco de dados, arquivos de log, e d. Na página NetBios Domain Name, na
volume de sistema compartilhado. caixa Nome Netbios do Domínio,
• Permissão compatíveis somente com assegure que o valor é o nome de
os servidores executando o Domínio, e então clique em Avançar.
Windows Server 2003 . e. Na página Localização do banco de
• Uma senha de ‘senha’ para o dados e arquivos de log, clique em
Directory Services Restore Mode. Avançar para aceitar as localizações de
• Reinicie o computador quando pasta padrão para os arquivos de banco
avisado. de dados e arquivos de log.
f. Na página Shared System Volume,
clique em Avançar para aceitar a
localização de pasta padrão.
g. Na página Permissões, clique em
Permissões compatible only with
Windows Server 2003 servers, e então
clique em Avançar.
h. Na página Senha do Administrador para
o Modo de Restauração do Active
Directory, nas caixas Senha and
Confirm senha, digite ‘senha’ e então
clique em Avançar.
i. Na página Summary, reveja as
em Avançar.

completar a instalação do Active
-306-
Directory neste computador.
j. Na página Completing the Assistente

clique em Concluir, e então clique em
Reiniciar para reiniciar seu computador.
3. Faça logon como administrador no seu a. Faça logon como administrador no seu
domínio depois do controlador de domínio domínio com a senha ‘senha’.
reiniciar.
Exercício 3: Criando um Controlador de Réplica em um Domínio Filho
Cenário
A Northwind Traders projetou sua estrutura de floresta, que consiste de uma única árvore de
domínio com o nome DNS raiz de nwtraders.msft. Todos os domínios na floresta já foram
criados. Agora o escritório corporativo está orientando todos os domínios para que tenham
pelo menos dois controladores de domínio para fornecer tolerância a falhas em caso de
falha.
Objetivo
Neste exercício, você usa o Assistente para Instalação do Active Directory para criar uma
replica para o domínio filho da sua região.

Importante: execute este exercício inteiro somente no computador com o número de
aluno mais alto entre você e o seu parceiro de domínio.
1. Inicie o Assistente para Instalação do a. Execute o dcpromo para iniciar o
Active Directory para criar: Assistente para Instalação do Active
• Um controlador de domínio Directory.
adicional para um domínio existente. b. Na página Bem-vindo ao Assistente
• Para as credenciais de rede, use para Instalação do Active Directory,
Administrador, senha, e clique em Avançar para continuar.
domain.nwtraders.msft. c. Na página Tipo de Controlador de
Domínio, clique em Controlador de
domínio adicional para um domínio
existente, e então clique em Avançar.
d. Na página Credenciais de Rede, digite
Administrador na caixa Nome do
Usuário, digite senha na caixa Senha,
digite domínio.nwtraders.msft na caixa
domínio e então clique em Avançar.
2. Complete o processo de instalação do a. Na página Controlador de Domínio
Active Directory, fornecendo as Adicional, clique em Procurar.
seguintes informações: b. Na caixa de diálogo Procurar Domínio,
• nome completo DNS do expanda nwtraders.msft, clique em
domínio.nwtraders.msft. domínio.nwtraders.msft, e então clique
-307-
• localizações padrões para o banco de em OK.
dados, arquivos de log, e volume de c. Na página Controlador de Domínio
sistema compartilhado. Adicional, clique em Avançar.
• A senha ‘senha’ para o Modo de d. Na página Localização do banco de
Restauração do Active Directory. dados e arquivos de log, clique em
• Reinicie o seu computador quando Avançar para aceitar as localizações de
avisado. pasta padrão para os arquivos de log e
de banco de dados.
e. Na página Volume de Sistema
Compartilhado, clique em Avançar para
aceitar a localização de pasta padrão.
f. Na página Senha do Administrador para
o Modo de Restauração do Active
Directory, nas caixas Senha e Confirmar
Senha, digite senha e então clique em
Avançar.
g. Na página Resumo, reveja as
em Avançar.

completar a instalação.
h. Na página Concluindo o Assistente

clique em Concluir, e então clique em
Reiniciar para fechar a caixa de
mensagem que pergunta se você quer
reiniciar seu computador.
3. Faça logon como administrador no seu a. Faça logon como Administrador no seu
domínio filho depois do controlador de domínio filho com a senha ‘senha’.
domínio reiniciar.
Exercício 4: Examinando Confiança em uma Floresta
Cenário
Os administradores da corporação Northwid Traders querem assegurar que cada Domínio da
região na árvore de domínio nwtraders.msft está trabalhando corretamente antes de partir
para a segunda fase do seu planejamento. Você deve verificar se a confiança Pai-filho entre
os domínios da sua região e de nwtraders.msft está trabalhando corretamente.
Objetivo
Neste exercício, você verificará a operação das confianças entre o domínio da sua região e
nwtraders.msft. Esta verificação á necessária para o escritório corporativo determinar se a
árvore de domínio do nwtraders.msft que já foi criada está funcionando e estável. Você
-308-
também usa a ferramenta de suporte netdom.exe para verificar a relação de confiança Pai-
filho.

1. Teste a confiança entre seu domínio filho a. Abra o Domínios e Confianças do
e nwtraders.msft, usando o console Active Directory a partir do menu
Domínios e Confianças do Active Ferramentas Administrativas, expanda
Directory. nwtraders.msft, e então clique em
domínio.nwtraders.msft.
b. Clique com o botão direito
domínio.nwtraders.msft, e então clique
em Propriedades.
c. Na caixa de diálogo
domínio.nwtraders.msft, clique na guia
Confianças.
Quantas relações de confiança Pai-filho seu Domínio filho Têm?
1. continua... d. Na lista Domínios confiados por este

domínio, clique em nwtraders.msft, e
então clique em Editar para visualizar as
propriedades deste vínculo de confiança.
e. Na caixa de diálogo Propriedades de
nwtraders.msft, clique em Verificar.
f. Na caixa de diálogo Active Directory,
na caixa Nome do Usuário, digite
Administrador.
Na caixa Senha, digite senha.
g. Clique em Ok, e então clique em ok
novamente para fechar a mensagem
indicando que a confiança foi
verificada.
h. Se necessário, clique em OK para fechar
a mensagem indicando que um canal
seguro não pode ser estabelecido porque
não existe atualmente nenhum servidor
disponível.
i. Clique em OK para fechar a caixa de
diálogo Propriedades de
Nwtraders.msft, clique em OK para
fechá-la e então feche o Domínios e
Confianças do Active Directory.
2. Instale as ferramentas de suporte do a. No seu CD do Windows Server 2003
Windows Server 2003 , se elas já não Server, na pasta Support/Tools, execute
estiverem instaladas, usando todas as Setup para iniciar o assistente Windows
opções padrão. Server 2003 Support Tools Setup.
b. Na página Bem-vindo ao Assistente
-309-
para Instalação das Ferramentas de
Suporte do Windows Server 2003
c. Na página Informações do Usuário,
digite seu nome na caixa Nome, digite
sua empresa na caixa Empresa, e então
clique em Avançar.
d. Na página Selecionar o Tipo de
Instalação, assegure que Típica está
selecionado, e então clique em Avançar.
e. Na página Iniciar Instalação, clique em
Avançar para iniciar a instalação do
Windows Server 2003 Support Tools.
f. Na página Concluindo o Assistente para
Instalação das Ferramentas de Suporte
do Windows Server 2003 , clique em
Concluir.
3. Verifique a relação de confiança entre a. Abra uma janela de prompt de comando.
seu domínio filho e nwtraders.msft b. No prompt de comando, digite netdom
usando a ferramenta Netdom.exe, e help trust e então pressione ENTER
então faça log off. para visualizar as opções disponíveis.
c. No prompt de comando, digite netdom
trust domínio /Domain:nwtraders
/UserD:Administrador
/PasswordD:senha
/UserO:Administrador
/PasswordO:senha /Verify e então
pressione ENTER para determinar o
estado da relação de confiança.
d. Feche todas as janelas abertas, e então
faça log off.
O Catálogo Global
O Catálogo Global e o Processo de Logon

Criando um Servidor de Catálogo Global
O catálogo global contém informações que são necessárias para determinar a localização de
qualquer objeto no Active Directory. O catálogo global permite que um usuário efetue logon
na rede fornecendo informações de associações a grupos universais e informações de
mapeamento do nome de domínio do usuário principal para um controlador de domínio. O
servidor de catálogo global permite a um usuário encontrar informações do Active Directory
na floresta inteira, sem levar em consideração as informações de localização.
O primeiro controlador de domínio que você cria no Active Directory é um servidor de
catálogo global. Você pode configurar controladores de domínio adicionais para serem
servidores de catálogo global para balancear o tráfego de autenticação de logon e consultas.
-310-
O Catálogo Global e o Processo de Logon
Global Catalog Server
User Logon
Global Catalog Provides

Domain z Universal group
membership information
for the account
Domain
Domain z Domain information when
using user principal

Domain Domain names during logon
Quando você efetua logon em um domínio no modo nativo, o servidor de catálogo global
fornece informações associação a grupos universais para a sua conta ao controlador de
domínio que processa informações de logon, e autentica o nome principal do usuário.
Catálogo Global e Membros do Grupo Universal

Quando um usuário efetua logon em um domínio no modo nativo, o servidor de catálogo
global fornece informações de associação a grupos universais para a conta para o
controlador de domínio que processa as informações de logon do usuário. Se um servidor de
catálogo global não estiver disponível quando um usuário iniciar o processo de logon na
rede e o usuário tiver efetuado logon ao domínio anteriormente, o Windows Server 2003
usa credenciais armazenadas para autenticar o usuário. Se o usuário não tiver efetuado logon
ao domínio anteriormente, o usuário é capaz de efetuar logon somente no computador local.
Durante o processo de logon, um token de acesso, que contém os grupos aos quais os
usuários pertencem., é associado ao usuário. Pelo fato dos membros do grupo universal
estarem armazenados centralmente no catálogo global, os servidores de catálogo global são
usados para identificar os grupos universais dos quais um usuário é membro.
Catálogo Global e Autenticação

Um servidor de catálogo global também é exigido quando um usuário efetua logon com um
nome de usuário principal e o controlador de domínio autenticado não tem conhecimento
direto da conta.
Por exemplo, a conta de Suzan Fine está em contoso.msft. Ela usa um computador que está
em vendas.contoso.msft e efetua logon como suzanf@contoso.msft. Quando o controlador
em vendas.contoso.msft é incapaz de autenticar a conta do usuário para Suzan Fine, ele deve
contatar o servidor de catálogo global para completar o processo de logon.
-311-
Em uma rede de domínio único, um servidor de catálogo global não é exigido para o
processo de logon porque todo controlador de domínio contém as informações que são
necessárias para autenticar um usuário.
Nota: Quando o usuário é um membro do grupo Administradores do Domínio, o usuário

pode efetuar logon na rede mesmo quando o servidor de catálogo global não está disponível.
Criando um Servidor de Catálogo Global
AD Sites and Services

Console Window Help
Active View
Tree Name Type Description
New Active Directory Connection
Active Directory Sites and Services
Sites New
Default-First-Site-Name All Tasks
Servers
ATLANTA New Window from Here NTDS Settings Properties
LONDON Delete General Object Security
Inter-Site Transports Refresh
Subnets NTDS Settings
Properties
Help
Description: Domain Controller
Query Policy: Default Query Policy
Enable
Enable or
or disable
disable Global Catalog
global
global catalog
catalog
O primeiro controlador de domínio em uma floresta é designado automaticamente como um

servidor de catálogo global. Você pode autorizar qualquer controlador de domínio a ser um
servidor de catálogo global, entretanto, um servidor de catálogo global é geralmente usado
em cada site.
Para habilitar ou desabilitar o servidor de catálogo global, execute os seguintes passos:

1. No Serviços e Sites do Active Directory, na árvore de console, expanda o controlador de
domínio que armazenará ou está armazenando o catálogo global.
2. Clique com o botão direito em Configurações NTDS, e então clique em Propriedades.
3. Selecione ou limpe a caixa de verificação Catálogo Global.
Estratégias para Usar Grupos em Árvores e Florestas
Grupos Universais e Replicação

Estratégias de Aninhamento Usando Grupos Universais
Discussão de Classe: Usando Grupos em Árvores e Florestas
O Windows Server 2003 permite a você organizar usuários e outros objetos de domínio
dentro de grupos de segurança para atribuir as mesmas permissões de segurança. Atribuir
permissões de segurança para um grupo em vez de fazê-lo a usuários individuais assegura
permissões de segurança consistentes para todos os membros de um grupo. Usando grupos
-312-
de segurança para determinar as permissões, você pode assegurar que as DACLS (Listas de
Controle de Acesso Discricionária) nos recursos não se alterem freqüentemente e seja fácil
para gerenciar e auditar.
Você pode adicionar ou remover usuários dos grupos de segurança apropriados quando
necessário. Ao criar um novo usuário, você pode adicioná-lo a um grupo de segurança para
definir completamente as permissões de usuário e limites de acesso. Você pode adicionar
grupos a outros grupos. Alterar as permissões para o grupo afeta todos os usuários e grupos
dentro do grupo.
Grupos Universais e Replicação
All Membership Changes in the Universal Group

Are Updated in the Global Catalog . . .
Global Catalog Server
Universal Group
. . . And Replicated to
All Global Catalog Servers
in the Forest Reduce Replication Traffic by Minimizing
z The use of universal groups to limit
replication to a domain
z The membership in universal groups to
other groups rather than user accounts
z Changes to the membership to reduce
the frequency of replication
Uma lista de membros de grupos Universais é mantida no catálogo global. Os grupos

globais e locais de domínio são listados no catálogo global, mas seus membros não são.
Alterações nos dados armazenados no catálogo global são replicadas para todo o catálogo
global em uma floresta. Toda vez que um membro de um grupo com escopo universal for
alterado, os membros de todo o grupo devem ser replicados para todos os catálogos globais
na árvore de domínio ou floresta.
Minimizando o uso dos grupos universais, você pode limitar o tráfego de replicação para
um único domínio.
Considere utilizar como membros de grupos universais outros grupos em vez de contas de
usuários. Isto permite a você ajustar as contas de usuários que são membros do grupo
universal ajustando os membros dos grupos que são membros do grupo universal. Pelo fato
de ajustar o membro para não afetar diretamente a associação ao grupo universal, nenhum
tráfego de replicação é criado.
Reduza a quantidade de alterações feitas aos membros de um grupo universal, isto reduz o
número de vezes em que os dados dos membros são replicados para todos os servidores de
catálogo global. Se qualquer alteração for feita à associação de um grupo, toda a lista de
membros é replicada.
-313-
Nota: Um token de acesso pode conter até 1024 grupos. Os grupos podem Ter até 5.000
membros. Os membros do grupo principal do usuário, tal como Usuários do Domínio, não
são armazenados na lista de membros do grupo.
Estratégia de Aninhamento Usando Grupos Universais
Add User Accounts

into Global Groups
Users Global Group
Nest Global Groups

(optional)
Global Group Global Group
Add Global Groups

from Each Domain
into Universal Groups Global Group Universal Group
Add Universal Groups

into Domain Local DLG
Groups in Each Domain Universal Group Domain Local Group
Assign Permissions
to the Domain Local Group DLG
in Each Domain Domain Local Group Permissions
Use grupos universais para consolidar grupos que se aplicam a múltiplos domínios. Execute
os seguintes passos:
1. Em cada domínio, adicione contas de usuário com as mesmas funções aos grupos
globais.
2. Aninhe grupos globais dentro de um único grupo global para consolidar os usuários.
Este passo é opcional, mas é muito útil se você precisar gerenciar grandes grupos de
usuários.
3. Aninhe um grupo global ou múltiplos grupos globais de cada domínio dentro de um
grupo universal .
4. Adicione grupos universais para os grupos locais de domínio que são criados para cada
recurso.
5. Determine aos grupos locais de domínio as permissões apropriadas para os usuários no
grupo obterem acesso aos recursos.
Usando esta estratégia, qualquer alteração de membro nos grupos globais não afeta os
membros nos grupos universais.
Discussão em Sala de Aula: Utilizando Grupos em Árvores e Florestas
Os Contadores Precisam Obter Acesso a Dados de Contabilidade na Floresta.

Como Você Configura Grupos?
Neste exemplo, a Contoso Ltd. quer reagir mais rapidamente às demandas do mercado. Ela
determinou que os dados de contabilidade abrangendo vários domínios na empresa precisam
estar disponíveis para toda a equipe de contabilidade, que também está localizada em
-314-
múltiplos domínios. A Contoso Ltd. quer criar toda a estrutura de grupo para a divisão de
Contabilidade, que inclui os departamentos de Contas a Pagar e Contas a Receber.
Data
Data
Domain A
Data
Data Data
Data
Domain B Domain C
1. O que você varia para garantir que os gerentes tivessem o acesso necessário e existisse o
mínimo de administração?
2. A Contoso Ltd. sofreu um crescimento em seus negócios e deve criar um novo domínio.
Que alterações você faria à sua estrutura de grupo para garantir que todos os contadores na
organização, incluindo aqueles no novo domínio, tivessem acesso a todos os dados de
contabilidade?
Laboratório B: Utilizando Grupos em uma Floresta
Objetivos
Depois de completar este laboratório, você será capaz de:

Criar e aninhar grupos de segurança locais de domínio, globais e universais.
Adicionar grupos globais de outros domínios em grupos universais.
Alternar o modo de domínio de misto para nativo.
Verificar o acesso aos recursos utilizando uma estratégia de grupo que inclui grupos
globais, universais e locais de domínio.
Visualizar o token de acesso dos usuários que efetuaram o logon e observar os efeitos do
aninhamento de grupo.
Pré-requisitos
Antes de começar este laboratório, você precisa ter:

Conhecimento sobre modos de domínio misto e nativo.
Conhecimento e habilidades na utilização dos grupos local de domínio, global e universal.
Conhecimento sobre latência de replicação e como iniciar a replicação manualmente.
Conhecimento sobre tokens de acesso e como a participação em grupo os afeta.
-315-
Configuração do Laboratório
Para completar este laboratório, você precisa do seguinte:

• Executar o arquivo de lote Lrights.bat para definir o direito de usuário de efetuar logon
localmente para o grupo usuários.
Informações dos Computadores dos Alunos
Durante este laboratório, você será questionado por seu número de aluno, nome de host e
domínio. Utilize estas informações da tabela seguinte para determinar o que informar para
estes valores. Seu instrutor atribuirá a você um número de aluno.
Número do Nome de host Domínio FQDN

aluno (n) (nomedoservidor) (domínio)
1 vancouver namerica1 vancouver.namerica1.nwtraders.msft
2 denver namerica1 denver.namerica1.nwtraders.msft
3 perth spacific1 perth.spacific1.nwtraders.msft
4 brisbane spacific1 brisbane.spacific1.nwtraders.msft
5 lisbon europe1 lisbon.europe1.nwtraders.msft
6 bonn europe1 bonn.europe1.nwtraders.msft
7 lima samerica1 lima.samerica1.nwtraders.msft
8 santiago samerica1 santiago.samerica1.nwtraders.msft
9 bangalore asia1 bangalore.asia1.nwtraders.msft
10 singapore asia1 singapore.asia1.nwtraders.msft
11 casablanca africa1 casablanca.africa1.nwtraders.msft
12 tunis africa1 tunis.africa1.nwtraders.msft
13 acapulco namerica2 acapulco.namerica2.nwtraders.msft
14 miami namerica2 miami.namerica2.nwtraders.msft
15 auckland spacific2 auckland.spacific2.nwtraders.msft
16 suva spacific2 suva.spacific2.nwtraders.msft
17 stockholm europe2 stockholm.europe2.nwtraders.msft
18 moscow europe2 moscow.europe2.nwtraders.msft
19 caracas samerica2 caracas.samerica2.nwtraders.msft
20 montevideo samerica2 montevideo.samerica2.nwtraders.msft
21 manila asia2 manila.asia2.nwtraders.msft
22 tokyo asia2 tokyo.asia2.nwtraders.msft
23 khartoum africa2 khartoum .africa2.nwtraders.msft
24 nairobi africa2 nairobi.africa2.nwtraders.msft
-316-
Exercício 1: Implementando a Estratégia de Grupos
Cenário
A Northwind Traders quer reagir mais rapidamente às demandas do mercado. Ela determinou
que os dados de contabilidade estão localizados em várias pastas por todos os domínios e
precisam estar disponíveis para toda a equipe de contabilidade, que está localizada em
múltiplos domínios. A Northwind Traders quer criar toda a estrutura de grupo para a divisão
de Contabilidade, que inclui os departamentos de Contas a Pagar e Contas a Receber.
Objetivo
Neste exercício, você criará três grupos globais: Contabilidade, Contas a Pagar e Contas a
Receber. Você adicionará Contas a Pagar e Contas a Receber como membros de
Contabilidade. Você criará o grupo universal, Toda a Contabilidade, e então adicionará os
grupos de Contabilidade de todos os domínios neste grupo. Isto consolidará todos os
funcionários de contabilidade na floresta dentro de um único grupo universal. Você criará o
grupo local de domínio, Dados Locais, e adicionará o grupo universal como um membro.
Você atribuirá permissões de Leitura dos dados de contabilidade ao grupo local de domínio
Dados Locais. Para testar a estrutura de grupo, você criará uma conta de usuário de teste a
adicionará esta conta de usuário ao grupo Contas a Pagar.

Importante: execute a tarefa 1 somente no computador com o número de
aluno mais baixo entre você e o seu parceiro de domínio.
1. Alternar domínio.nwtraders.msft a. Efetue o logon como Administrador em
(onde domínio é o nome atribuído a seu domínio com a senha senha.
seu domínio) para o modo nativo b. Abra Usuários e Computadores do
para permitir aninhamento de grupos Active Directory (Active Directory
e grupos de segurança universal. Users and Computers) a partir do menu
Ferramentas Administrativas
(Administrative Tools).
c. Na árvore do console, clique com o
botão direito em
domínio.nwtraders.msft (onde
domínio é o nome atribuído a seu
domínio) e então clique em
Propriedades (Properties).
d. Clique em Alterar Modo (Change
Mode), clique em Sim (Yes) para
fechar a caixa de diálogo de
confirmação, clique em OK e então
clique em OK novamente para fechar a
mensagem indicando que isto pode
demorar 15 minutos ou mais para que
esta informação seja replicada a todos
os controladores de domínio.
-317-
Importante: execute a tarefa 2 somente no computador com o número de
aluno mais baixo entre você e o seu parceiro de domínio. Aguarde até que a
tarefa 1 seja completada antes de iniciar a tarefa 2.
2. Iniciar a replicação manualmente a a. Abra Sites e Serviços do Active
partir do controlador de domínio do Directory (Active Directory Sites and
seu parceiro para seu controlador de Services) a partir do menu
domínio para replicar rapidamente a Ferramentas Administrativas
alteração do modo de domínio. (Administrative Tools), expanda Sites,
expanda Primeiro-Site-Padrao
(Default-First-Site-Name), expanda
Servidores (Servers), expanda
nomedoservidor (onde nomedoservidor
é o nome do seu computador) e então
clique em Configurações NTDS.
b. No painel de detalhes, clique com o
botão direito no objeto de conexão
servidorparceiro (onde
servidorparceiro é o nome de host do
computador de seu parceiro) e então
clique em Replicar Agora (Replicate
Now) para iniciar a cópia das alterações
do controlador de domínio de seu
parceiro para o seu controlador de
domínio.
c. Clique em OK para fechar a mensagem
indicando que a replicação foi iniciada
e então feche Sites e Serviços do Active
Directory (Active Directory Sites and
Services).
Caso apareça uma mensagem de
erro indicando que o serviço RPC
não está disponível, simplesmente
aguarde um momento e então repita
a operação Replicar Agora
(Replicate Now).
Importante: Execute as tarefas restantes em ambos os computadores.
3. Dentro de domínio.nwtraders.msft, a. Abra, ou alterne para o Usuários e
criar a seguinte OU: Contabilidade_n Computadores do Active Directory
(onde n é o seu número de aluno (Active Directory Users and
atribuído) Computers) e então na árvore do
console, expanda
domínio.nwtraders.msft.
b. Clique com o botão direito em
domínio.nwtraders.msft, aponte para
Novo (New) e então clique em
Unidade Organizacional
-318-
(Organizational Unit).
c. Na caixa de diálogo Novo Objeto –
Unidade Organizacional (New Object
– Organizational Unit), na caixa
Nome (Name), digite Contabilidade_n
(onde n é o seu número de aluno
atribuído e então clique em OK.
4. Dentro da OU Contabilidade_n, criar a. Clique com o botão direito na OU
os seguintes grupos de segurança Contabilidade_n, aponte para Novo
global: (New) e então clique em Grupo
Contas a Pagar_n (Group).
Contas a Receber_n b. Na caixa de diálogo Novo Objeto –
Grupo (New Object – Group), digite
Contas a Pagar_n
c. Garanta que Escopo do grupo (Group
scope) está Global e Tipo de grupo
(Group type) está Segurança
(Security) e então clique em OK.
d. Repita os passos “a” e “b”, alterando o
passo “b” conforme necessário, para
criar o grupo de segurança global
Contas a Pagar_n.
o grupo global Contadores do Contabilidade_n, aponte para Novo
Domínio_n e então adicionar os (New) e então clique em Grupo
grupos globais de departamento, (Group).
Contas a Pagar_n e Contas a b. Na caixa de diálogo Novo Objeto –
Receber_n como membros. Grupo (New Object – Group), digite
Contadores do Domínio_n
scope) está Global e Tipo de grupo
(Group type) está Segurança
(Security) e então clique em OK.
d. Clique na OU Contabilidade_n, no
painel de detalhes, clique com o botão
direito no grupo global Contadores do
Domínio_n e então clique em
(Contadores do Domínio_n
Properties), clique na guia Membros
(Members) e então clique em
Adicionar (Add).
f. Na caixa de diálogo Selecione
Usuários, Contatos, Computadores
-319-
ou Grupos (Select Users, Contacts,
Computers, and Groups), na caixa
Nome (Name), role até o fim da lista e
clique em Contas a Pagar_n, clique
em Adicionar (Add) e então clique em
OK.
g. Na caixa de diálogo Propriedades de
(Contadores do Domínio_n
Properties), garanta que Contas a
Pagar_n e Contas a Receber_n estejam
listados e então clique em OK.
o grupo de segurança universal Contabilidade_n, aponte para Novo
Todos os Contadores_n e então (New) e então clique em Grupo
adicionar Contadores do Domínio_n (Group).
como um membro. b. Na caixa de diálogo Novo Objeto –
Grupo (New Object – Group), digite
Todos os Contadores_n
c. Sob Escopo do grupo (Group scope),
clique em Universal, garanta que o
Tipo de grupo (Group type) está
definido para Segurança e então clique
em OK.
d. Clique na OU Contabilidade_n, e no
direito no grupo universal Todos os
Contadores_n e então clique em
Todos os Contadores_n (Todos os
Contadores_n Properties), clique na
guia Membros (Members)
clique em Contadores do Domínio_n,
clique em Adicionar (Add) e então
clique em OK.
Observação: Tipicamente um grupo
universal contém membros de múltiplos
domínios. Adicionar grupos de outros
domínios pode ser executado
selecionando o domínio na caixa
-320-
Examinar (Look in) e então
selecionando um grupo da lista.
Todos os Contadores_n (Todos os
Contadores_n Properties), na guia
Membros (Members), garanta que
Contadores do Domínio_n está listado e
então clique em OK.
7. Criar o grupo de segurança local a. Clique com o botão direito em
Dados Locais_n e então adicionar Contabilidade_n, aponte para Novo
Todos os Contadores_n como um (New) e então clique em Grupo
membro. (Group).
b. Na caixa de diálogo Novo Objeto –
Grupo (New Object – Group), na
caixa Nome do grupo (Group name),
digite Dados Locais_n
scope) está definido para Local de
Domínio (Domain Local) e Tipo de
grupo (Group type) está definido para
Segurança (Security) e então clique
em OK.
d. Clique na OU Contabilidade_n, no
direito no grupo local de domínio
Dados Locais_n e então clique em
Dados Locais_n (Dados Locais_n
Properties), na guia Membros
(Members), clique em Adicionar
(Add).
clique em Todos os Contadores_n,
clique em OK.
Dados Locais_n (Dados Locais_n
Properties), na guia Membros
(Members), garanta que Todos os
Contadores_n está listado como
membro do grupo local de domínio
-321-
Dados Locais_n e então clique em OK.
8. Criar um documento de texto vazio a. Na caixa Executar (Run), digite C:\ e
chamado C:\Relatório.txt e conceder então clique em OK para abrir a janela
permissões de Controle Total apenas C:\.
ao grupo local de domínio Dados b. Na janela C:\, clique com o botão
Locais_n. direito em um área de espaço em
branco, aponte para Novo (New) e
entao clique em Documento de Texto
(Text Document).
c. Renomeie o documento de texto para
Relatório.txt.
d. Clique com o botão direito em
Relatório.txt e então clique em
Relatório.txt (Relatório.txt
Properties), na guia Segurança
(Security), clique em Adicionar
(Add).
f. Na caixa de diálogo Selecione Objetos
(Select Objects), na caixa Nome
(Name), role até o fim da lista e clique
em Dados Locais_n, clique em
Adicionar (Add) e então clique em
OK.
Relatório.txt (Relatório.txt
Properties), marque a caixa de
verificação Permitir Controle Total
(Allow Full Control).
h. Desmarque a caixa de verificação
Permitir que permissões herdadas do
pai se propaguem para este objeto
(Allow inheritable permissions from
parent to propagate to this object) e
então clique em Remover (Remove)
para fechar a mensagem perguntando se
copiar ou remover as permissões
herdadas.
i. Garanta que Dados Locais_n é a única
entrada que tem permissões de Controle
Total (Full Control) e então clique em
OK.
j. Feche a janela C:\.
9. Dentro da OU Contabilidade_n, criar a. Em Usuários e Computadores do
uma conta de usuário com as Active Directory (Active Directory
-322-
seguintes propriedades para testar a Users and Computers), clique na OU
estrutura de grupo: Contabilidade_n.
• Nome completo: b. Clique com o botão direito em
ContaDeTeste_n Contabilidade_n, aponte para Novo
• Nome de logon do usuário: (New) e então clique em Usuário
ContaDeTeste_n@nwtraders.msft (User).
• Adicionar esta conta de usuário c. Na página Novo Objeto – Usuário
ao grupo global Contas a (New Object – User), na caixa Nome
Pagar_n. completo (Full name), digite
ContaDeTeste_n
Na caixa Nome de logon do usuário
(User logon name), digite
ContaDeTeste_n e então clique em
Avançar (Next).
d. Clique em Avançar (Next) e então
clique em Concluir (Finish) para
completar o assistente utilizando os
padrões.
e. Clique na OU Contabilidade_n, e no
direito na conta de usuário
ContaDeTeste_n e então clique em
f. Na caixa de diálogo Propriedades de
ContaDeTeste_n (ContaDeTeste_n
Properties), na guia Membro De
(Member Of), clique em Adicionar
(Add).
g. Na caixa de diálogo Selecione Grupos
(Select Group), sob a coluna Nome
(Name), clique em Contas a Pagar_n,
clique em OK.
h. Na caixa de diálogo Propriedades de
ContaDeTeste_n (ContaDeTeste_n
Properties), garanta que Contas a
Pagar_n está listado e então clique em
OK.
i. Feche Usuários e Computadores do
Active Directory (Active Directory
Users and Computers).
10. Efetuar o logoff do controlador de a. Efetue o logoff e então efetue o logon
domínio e então efetuar o logon como ContaDeTeste_n em seu domínio
como ContaDeTeste_n. Verificar se sem digitar uma senha.
você pode obter acesso ao recurso b. Abra o arquivo, C:\Relatório.txt e então
C:\Report.txt e então excluir o digite Algumas Modificações
-323-
documento. c. Neste documento, salve e feche o
documento.
d. Exclua o documento C:\Relatório.txt
Você foi capaz de acessar o recurso C:\Relatório.txt?
11. Executar Labfiles\Mytoken.exe para a. Abra uma janela de prompt de

determinar que grupos comando.
ContaDeTeste_n tem em seu token b. No prompt de comando, digite
de acesso. Labfiles\Mytoken.exe e então
pressione ENTER.
As informações de token de acesso
aparecem. Primeiro, as
informações exibem as informações
de usuário e outras informações
gerais sobre o token de acesso.
Segundo, são exibidas as
informações de grupo com um
identificador de segurança (SID,
security identifier) por linha.
Finalmente, os privilégios do
usuário são exibidos.
O token de acesso para ContaDeTeste_n contém os grupos globais aninhados
apropriados, o grupo universal e o grupo local de domínio seguindo o caminho
de participação? Você pode determinar do resultado de Mytoken quais grupos
são aninhados?
11. (continuação) c. Feche a janela de prompt de comando.

12. Efetuar o logoff e efetue o logon a. Efetue o logoff, e então efetue o logon
como Administrador, exclua a OU como Administrador em seu domínio
Contabilidade_n e então efetue o com a senha senha.
logoff. b. Abra Usuários e Computadores do
Users and Computers) a partir do menu
Ferramentas Administrativas
(Administrative Tools) e então
expanda domínio.nwtraders.msft.
c. Clique com o botão direito na OU
Contabilidade_n, clique em Excluir
(Delete), clique em Sim (Yes) para
fechar a caixa de diálogo de
confirmação e então clique em Sim
(Yes) para fechar a caixa de diálogo
indicando que todos os objetos contidos
neste objeto também serão excluídos.
d. Feche Usuários e Computadores do
-324-
Users and Computers), feche todas as
janelas abertas e então efetue o logoff.
Solucionando Problemas Criando e Gerenciando Árvores e Florestas
O Atalho de Confiança Não Está Sendo Utilizado

Impossível Efetuar o Logon em um Domínio
Impossível Criar Grupos Universais em Alguns Domínios
Você pode encontrar problemas ao criar e gerenciar árvores e florestas no Windows Server
2003 . Aqui estão alguns dos problemas comuns que você pode encontrar e algumas
estratégias para resolvê-los:
O atalho de confiança não está sendo utilizado. A possível causa poderia ser que a
confiança foi criada em uma direção errada. Verifique se os domínios confiantes e
confiáveis estão corretos. Se eles não estiverem, então exclua ambas as partes do atalho de
confiança existente e o recrie em outra direção. Verifique se a confiança está funcionando
utilizando o botão Verificar (Verify) em Domínios e Confianças do Active Directory
(Active Directory Domains and Trusts) ou o utilitário Netdom.exe.
Impossível efetuar o logon em um domínio. A possível causa poderia ser que o servidor
de catálogo global não pode ser localizado. O catálogo global é necessário para acessar
informações de grupos universais e mapear nomes principais de usuário para domínios.
Garanta que um servidor de catálogo global está executando e disponível. Garanta que a
rede está funcionando corretamente a partir do controlador de domínio que autentica e de
um servidor de catálogo global. Além disto, verifique as entradas para os servidores de
catálogo global no DNS para garantir que elas estão corretas.
Impossível criar grupos universais em alguns domínios. A possível causa poderia ser que
os domínios onde você não pode criar grupos universais podem não estar no modo nativo.
Verifique o modo de domínio e, se necessário, altere o modo de domínio do modo misto
para o modo nativo, e então crie grupos universais.
Práticas Recomendadas
Utilize a Estratégia: A G G U DL P
Crie Atalhos de Confianças Entre Domínios Freqüentemente Acessados com
Caminhos de Confiança Longos
Posicione um Servidor de Catálogo Global em Cada Site de Tráfego Pesado
Considere as seguintes melhores práticas para criar e gerenciar árvores e florestas do

-325-
Utilize a estratégia de grupo AÎGÎGÎUÎDLÍP. Mantenha a participação em
grupos universais pequena e utilize membros que não se alterem freqüentemente para
reduzir o tráfego de replicação de rede.
Crie atalhos de confiança quando muitos usuários de um domínio acessam freqüentemente
recursos em um domínio com caminhos de confiança longos. Atalhos de confiança
reduzem a latência e o tráfego de rede necessário para autenticar um usuário para o
recurso.
Posicione um servidor de catálogo global em cada site que tenha muitos usuários
efetuando o logon para reduzir o tráfego de rede e permitir que usuários efetuem o logon
se o vínculo de WAN falhar.
Revisão
1. Que função o domínio raiz realiza quando novas árvores são criadas na floresta?
2. Porque você criaria atalhos de confiança?
3. Que função o catálogo global realiza durante o processo de logon?
4. Qual é a vantagem dos membros de um grupo universal serem poucos e relativamente

estáticos?
5. Os três domínios em sua rede correspondem a diferentes escritórios de sua organização na

América do Norte, Ásia e Europa, respectivamente. Os contadores nos três domínios
precisam obter acesso aos documentos em todos os três domínios. Como você configura
os acessos dos contadores aos documentos em todos os domínios?
-326-

10 Gerenciando Arvores e Florestas

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

10 Gerenciando Arvores e Florestas

Enviado por

Direitos autorais:

Formatos disponíveis

Módulo 10: Criando e Gerenciando Árvores e Florestas

Módulo 10: Criando e Gerenciando Árvores e Florestas

 Introdução a Árvores e Florestas

No final deste módulo, você será capaz de:

 O Que É uma Árvore?

O Que é uma Árvore?

Tree Root Domain

 A Forest Is One or More Trees

Tree  All of The Domains in a

O que Domínio Raiz da Floresta?

 The Forest Root Domain Is Forest Root Domain

marketing.nwtraders.msft Schema Admins sales.contoso.msft

Nome de grupo Descrição

Características de Múltiplos Domínios

Considere ter múltiplos domínios na sua organização para:

Criando Árvores e Florestas

 Criando um Novo Domínio Filho

Criando um Novo Domínio Filho

The Active Directory Installation Wizard:

z Promotes the computer to a new domain controller

z Establishes a trust relationship with the parent domain

Para criar um domínio filho, execute os seguintes passos:

Nesta página assistente Faça isto

Depois de você especificar as informações de instalação, o Assistente para Instalação do

z Promotes the computer to a new domain controller

z Establishes a trust relationship with the forest root domain

z Replicates schema and configuration directory partitions

Nesta página assistente Faça isto

As opções restantes no Assistente para Instalação do Active Directory são idênticas às

The Active Directory Installation Wizard:

z Creates the root domain of a new tree

z Promotes the computer to a new domain controller

z Configures a global catalog server

z Starts with the default schema and configuration directory

Para criar uma nova floresta, execute os seguintes passos:

Nesta página assistente Faça isto

As opções restantes no Assistente para Instalação do Active Directory são idênticas às

 Confiança Transitiva no Windows Server 2003

O Active Directory fornece segurança em múltiplos domínios através das relações de

Confiança Transitiva no Windows Server 2003

Tipos de Confiança Transitivas

Como as Confianças Trabalham

Quando um usuário tenta obter acesso a um recurso em outro domínio, o protocolo

Domain 1 Tree One

Como o Kerberos V5 Trabalha

O protocolo Kerberos V5é o principal protocolo de autenticação no Windows Server 2003 ;

Atalhos de Confiança no Windows Server 2003

Domain 1 Tree One

Confianças Não Transitivas no Windows Server 2003

Nontransitive Trusts Nontransitive Trust Exists Between

z One-way Windows NT domain

Nota: Um domínio (realm) Kerberos V5 é um limite de segurança igual a um domínio

Criando uma Confiança Não Transitiva

Para criar uma confiança não transitiva, execute os seguintes passos:

Verificando e Revogando Confiança

Domains that trust this domain:

Netdom Command Line

NETDOM TRUST trusting_domain_name /Domain:trusted_domain_name /Remove

Verificando e Revogando Confiança Usando o Comando Netdom

Para verificar uma confiança usando o netdom, execute os seguintes passos:

Para revogar uma confiança usando o netdom, execute os seguintes passos:

Laboratório A: Criando Árvores de Domínio e Estabelecendo Confiança

Depois de completar este laboratório, você será capaz de:

Informações de FQDN, Domínio, endereço IP do Computador do

Introdução a Árvores e Florestas

O Que É uma Árvore?

A Forest Is One or More Trees

Tree All of The Domains in a

The Forest Root Domain Is Forest Root Domain

Criando um Novo Domínio Filho

Confiança Transitiva no Windows Server 2003

O Catálogo Global e o Processo de Logon

Grupos Universais e Replicação

O Atalho de Confiança Não Está Sendo Utilizado