Escolar Documentos
Profissional Documentos
Cultura Documentos
Criar um domínio único no serviço de diretório do Active Directory é uma das mais fáceis e
eficientes formas de administrar a infra-estrutura do Active Directory. Entretanto, ao
implementar a infra-estrutura do Active Directory, você pode querer considerar a criação de
outros domínios para conseguir funcionalidades adicionais. Alguns exemplos destas
funcionalidades adicionais são as configurações de segurança, tais como diretivas de grupo
de contas e senhas, que devem ser aplicadas em nível de domínio para que configurações de
segurança distintas se apliquem aos usuários em cada domínio. Múltiplos domínios também
permitem a você descentralizar a administração para reter o controle administrativo
completo dos controladores de domínio no seu respectivo domínio. Outro benefício de
múltiplos domínios é que eles permitem a você reduzir o tráfego de replicação para que os
únicos dados replicados entre os domínios sejam as alterações do servidor de catálogo
global, informações de configuração e esquemas.
Dependendo das suas exigências, você pode criar domínios adicionais, chamados domínios
filhos, na mesma árvore de domínio. Alternativamente, você pode criar uma floresta. Uma
floresta consiste de múltiplas árvores do domínio. Todos domínios que têm um domínio raiz
comum são ditos para formar um espaço de nome contínuo. As árvores de domínio em uma
floresta não formam um nome de espaço contínuo.
-286-
Módulo 10: Criando e Gerenciando Árvores e Florestas
Introdução a Árvores e Florestas
Usando árvores e florestas de domínio, você pode usar convenções de nomes contínuas e
não contínuas. Árvores e Florestas são úteis para organizações com divisões independentes
que devem manter cada uma seus próprios nomes DNS.
Parent
Parent
Parent Domain
contoso.msft
Child
Child
Child Domain
sales.contoso.msft
Contiguous Namespace
sales.contoso.msft New
Domain
Uma árvore é um arranjo hierárquico dos domínios Windows Server 2003 que
compartilham um nome de espaço contínuo. Uma árvore consiste de um ou mais domínios.
Um domínio deve existir em uma árvore.
Quando você adicionar um novo domínio para uma árvore, o novo domínio é chamado de
domínio filho. O nome do domínio acima do domínio filho é chamado de domínio pai. O
nome do domínio filho é a combinação do nome do domínio filho e o nome do domínio pai
separado por um ponto, para formar o seu nome DNS. Este nome DNS forma uma
hierarquia de espaço de nomes contínuo. O domínio de nível superior em uma árvore de
domínios é algumas vezes chamado de domínio raiz da árvore.
Por exemplo, um domínio filho chamado vendas que tem o domínio pai chamado
contoso.msft, deve formar um nome DNS totalmente qualificado de vendas.contoso.msft.
Qualquer novo domínio adicionado ao domínio vendas.contoso.msft se torna seu domínio
filho.
-287-
Módulo 10: Criando e Gerenciando Árvores e Florestas
O que é uma Floresta?
sales.
sales.
nwtraders.msft
nwtraders.msft
contoso.msft
contoso.msft
Uma floresta á uma coleção de uma ou mais árvores. As árvores em uma floresta não
compartilham um espaço de nome contínuo. Os domínios em uma floresta compartilham
uma configuração, esquema e catálogo global comum.
Por exemplo, a empresa Contoso, Ltda. cria uma organização separada chamada Northwind
Traders. A Contoso Ltda decide criar um novo domínio no Active Directory para a
Northwind Traders, chamado nwtraders.msft. Como mostra a figura, as duas organizações
não compartilham um nome de espaço comum; entretanto, adicionando os novos domínios
do Active Directory como uma nova árvore em uma floresta existente, as duas organizações
são capazes de compartilhar recursos e funções administrativas.
Forest
Configuration
Tree Root Domain and Schema
contoso.msft
contoso.msft
nwtraders.msft
nwtraders.msft
Tree
Tree Enterprise Admins
O domínio raiz é o primeiro domínio criado em uma floresta. O nome do domínio raiz da
floresta é usado para se referir a uma floresta. O domínio de nível superior de cada árvore,
que é o domínio raiz da árvore, tem uma relação de confiança com o domínio raiz da
floresta. Assim, o nome do domínio raiz da floresta não deve ser alterado.
-288-
Módulo 10: Criando e Gerenciando Árvores e Florestas
O primeiro controlador de domínio na floresta é configurado para armazenar as informações
de catálogo global. O domínio raiz da floresta também contém a configuração e as
informações de esquema para a floresta.
O domínio raiz da floresta contém dois grandes grupos no nível de floresta pré-definidos,
Administradores de Empresa (Administradores de Empresa) e Administradores de Esquema
(Schema Admins). Estes grupos existem somente no domínio raiz em uma floresta do
Active Directory. Você adiciona usuários que executam tarefas administrativas para a
floresta inteira nestes grupos. Quando o domínio é trocado para o modo nativo a partir do
modo misto, estes dois grupos globais predefinidos se alteram automaticamente para grupos
universais. As regras destes grupos são as mesmas no modo misto e no modo nativo, altera-
se somente o escopo do grupo.
A seguinte tabela descreve estes grupos e as regras predefinidas que são dadas a eles quando
um domínio raiz de floresta é criado.
Depois de você ter instalado o Active Directory e criado um domínio único, você pode usar
o Assistente para Instalação do Active Directory, Dcpromo.exe, para guiá-lo através do
processo de adicionar domínios criando árvores e florestas. A informação que você deve
fornecer quando for instalar o Active Directory depende se você está criando um domínio
filho em uma árvore existente ou criando uma nova árvore em uma floresta existente.
Existing
Forest
contoso.msft
contoso.msft
Parent Domain
(Forest Root Domain) New Child
sales. Domain Controller
sales.
contoso.msft
contoso.msft
New Child Domain
Depois de você estabelecer o domínio raiz, você pode criar domínios adicionais dentro de
árvores se a sua rede planeja exigir domínios múltiplos. Cada novo domínio dentro da
árvore será um domínio filho de um domínio raiz, ou um domínio filho de um outro
domínio filho.
-290-
Módulo 10: Criando e Gerenciando Árvores e Florestas
Por exemplo, você cria um domínio chamado vendas.contoso.msft, que é um domínio filho
do domínio raiz, contoso.msft. O próximo domínio que você criar dentro daquela árvore
pode ser um filho do contoso.msft ou um filho de vendas.contoso.msft.
contoso.msft
contoso.msft
Forest Root
Domain New
Domain Controller
nwtraders.msft
nwtraders.msft
New Tree
Depois de você estabelecer o domínio raiz, você pode adicionar uma nova árvore à floresta
existente se a sua rede exigir múltiplas árvores.
Para criar uma nova árvore em uma floresta existente, execute os seguintes passos:
1. Na caixa Executar, digite dcpromo.exe e então pressione ENTER.
2. No Assistente para Instalação do Active Directory, complete a instalação usando a
informação na tabela abaixo.
-292-
Módulo 10: Criando e Gerenciando Árvores e Florestas
Criando uma Nova Floresta
partitions
New Forest
New
Domain Controller
contoso.msft
contoso.msft
Forest Root Domain
Quando você criar uma nova floresta, os domínios raízes de todas as árvores do domínio na
floresta estabelecem relação de confiança transitiva com o domínio raiz da floresta.
-293-
Módulo 10: Criando e Gerenciando Árvores e Florestas
Relação de Confiança em Árvores e Florestas
Domain
DomainAA Forest
Domain Trusts
Parent-Child Trust
z Created by default
z Transitive
Domain z Two-Way
DomainBB
Parent-Child Trust
Domain
DomainCC
Cada vez que você cria uma nova árvore de domínio em uma floresta, um caminho de
confiança é automaticamente criado entre o domínio raiz da floresta e a nova árvore do
domínio. O caminho de confiança permite às relações de confiança fluírem através de todos
os domínios na floresta. A autenticação exigida segue estes caminhos de segurança, assim
contas de um domínio podem ser autenticadas por qualquer outro domínio na floresta. Estas
relações algumas vezes são chamadas de confianças de domínio padrão.
-294-
Módulo 10: Criando e Gerenciando Árvores e Florestas
Tipos de Confiança de Domínio
Abaixo são os dois tipos de domínio de confiança no Windows Server 2003 :
Confiança Transitiva: Uma confiança transitiva significa que a relação de confiança
estendida para um domínio é automaticamente estendida para todos os outros domínios
que confiam naquele domínio. Por exemplo, o domínio A confia diretamente no domínio
B. O domínio B confia diretamente no domínio C. Pelo motivo de ambas as relações
serem transitivas, o domínio A confia indiretamente no domínio C.
Confiança bidirecional: A confiança bidirecional significa que existem dois caminhos de
confiança indo a ambas as direções entre os dois domínios. Por exemplo, o domínio A
confia no domínio B em uma direção, e o domínio B confia no domínio A em outra
direção.
-295-
Módulo 10: Criando e Gerenciando Árvores e Florestas
confiança entre o controlador de domínio no domínio confiante até o controlador do
domínio no domínio confiado.
Forest Root
Domain
Domain
DomainAA
User Domain 2
Trusting Domain
Tree Two
Domain
DomainBB Domain C
Trusted Domain Trusting Domain
Quando um usuário no domínio confiado tenta obter acesso a um recurso em outro domínio,
o computador do usuário primeiro contata o controlador do domínio neste domínio para
obter a autenticação para o recurso. Se o recurso não estiver no domínio do usuário, o
controlador de domínio usa a relação de confiança com seu pai e transfere o computador do
usuário para um controlador de domínio no seu domínio pai. Esta tentativa de localizar um
recurso continua pela hierarquia de confiança, possivelmente até o domínio raiz da floresta,
e desce na hierarquia de confiança até contatar um controlador de domínio no domínio onde
o recurso está localizado. O caminho que é obtido de domínio a domínio é o caminho de
confiança. O caminho que é obtido é o caminho mais curto seguindo a hierarquia de
confiança.
contoso.msft
contoso.msft
KDC
nwtraders.msft
nwtraders.msft 3 KDC
2
KDC 4
Server
1
5
Session marketing.contoso.msft
Ticket
Client
sales.nwtraders.msft
Forest Root
Domain
Tree Two
Shortcut Trust
Domain
DomainAA
Domain 2
Trusting Domain
Domain
DomainBB Domain C
Trusted Domain Trusting Domain
-297-
Módulo 10: Criando e Gerenciando Árvores e Florestas
Atalho de confiança é um caminho de confiança transitiva unidirecional que você pode usar
para otimizar o desempenho encurtando o caminho de confiança para propósitos de
autenticação. Você cria manualmente um atalho de confiança unidirecional entre os
domínios do Windows Server 2003 a partir do domínio confiante para o domínio confiado
na mesma floresta. Mesmo que os atalhos de confiança sejam unidirecionais, você também
pode criar relação bidirecional criando manualmente duas relações de confiança, uma em
cada direção.
Atalhos de confiança reduzem o caminho de confiança permitindo uma conexão mais direta
entre dois domínios que de outra forma exigem um caminho para viajar pela hierarquia,
possivelmente até o domínio raiz da floresta, antes de chegar a outros domínios. O uso mais
efetivo de atalhos de confiança é quando existe um número de usuários acessando com
freqüência recursos em outro domínio na floresta e o número de domínios no caminho de
confiança que o cliente precisa se conectar é grande.
Para ilustrar um exemplo de um atalho de confiança na mesma árvore, assuma que os
usuários no domínio B freqüentemente precisam obter acesso aos recursos no domínio C.
Você pode criar um link direto do domínio confiante C para o domínio confiado B usando
um atalho de relação de confiança para que o domínio A possa ser ignorado no caminho de
confiança.
Para ilustrar um exemplo de um atalho de confiança entre duas árvores, assuma que os
usuários no domínio B precisam freqüentemente obter acesso aos recursos no domínio 2.
Você pode criar um link direto do domínio confiante 2 para o domínio confiado B através
de um atalho de relação de confiança para que os dados não tenham que viajar através da
raiz da floresta de uma árvore de domínio até a outra.
forests
z A Windows 2000 domain and a
Forest Kerberos V5 realm
contoso.msft
contoso.msft
Nontransitive
Trust
Domain
Domain
marketing.contoso.msft sales.contoso.msft
Uma relação de confiança não transitiva pode ser criada entre os domínios Windows Server
2003 se uma relação de confiança transitiva não for fornecida automaticamente.
-298-
Módulo 10: Criando e Gerenciando Árvores e Florestas
O Que é uma Confiança Não Transitiva
Você deve criar explicitamente uma confiança não transitiva. Uma confiança não transitiva
é um caminho unidirecional. Para criar uma confiança não transitiva bidirecional, você pode
criar manualmente duas confianças unidirecionais, uma em cada direção.
Confianças não transitivas são as relações de confiança que são possíveis somente entre o
seguinte:
Um domínio do Windows Server 2003 e um domínio Windows NT. Se um destes
domínios é em um domínio de contas e o outro é em um domínio de recursos, a relação
de confiança é geralmente criada como unidirecional.
Um domínio Windows Server 2003 em uma floresta e um domínio Windows Server
2003 em outra floresta. A relação entre estes dois domínios é freqüentemente chamada
de relação externa.
Um domínio Windows Server 2003 e um domínio (realm) de segurança do protocolo
Kerberos V5.
Se você criar confianças não transitivas, você algumas vezes precisará verificar e excluir, ou
revogar, os caminhos de confiança que você criou. Você verifica uma confiança para
certificar-se que ele está trabalhando corretamente e pode validar solicitações de
autenticação de outros domínios. Você revoga uma confiança para evitar que o caminho de
-299-
Módulo 10: Criando e Gerenciando Árvores e Florestas
autenticação esteja sendo usado durante a autenticação. Você pode usar o Domínios e
Confianças do Active Directory ou o comando netdom para verificar e revogar caminhos de
confiança.
contoso.msft Properties
nwtraders.msft Properties
General
General Trusts Managed By
Domains trusted by this domain:
Domain Name Relationship Tran… To verify and if necessary reset this trust Verify
sales.contoso.msft Shortcut Yes relationship, click Verify. This is useful as
Add…
marketing.contoso.msShortcut Yes a troubleshooting tool.
contoso.msft Tree Root Yes Edit…
Remove Verify
Verify aa trust
trust
OK Cancel Apply
Verificando Confiança
Para verificar uma confiança usando o Active Directory Domains and Trsuts, execute os
seguintes passos:
1. No Domínios e Confianças do Active Directory, na árvore de console, clique com o
botão direito em um dos domínios envolvidos na confiança que você quer verificar, e
então clique em Propriedades.
2. Na guia Confianças, dependendo de qual domínio você está, você usa a opção Domínios
confiados por este domínio ou o Domínios que confiam neste domínio para selecionar a
confiança a ser verificada.
3. Clique na confiança, e então clique em Editar.
4. Clique em Verificar/Redefinir.
5. Repita os passos 1 até 4 para verificar a confiança para o outro domínio envolvido na
relação.
Revogando Confiança
Para revogar uma confiança usando o Active Directory Domains and Trsuts, execute os
seguintes passos:
1. No Domínios e Confianças do Active Directory, na árvore de console, clique com o
botão direito em um dos domínios envolvidos na confiança que você quer revogar, e
então clique em Propriedades.
2. Na guia Trusts, dependendo de qual domínio você está, use Domínios confiados por este
domínio ou Domínios que confiam neste domínio para selecionar a confiança a ser
revogada.
3. Selecione a confiança e então clique em Remover.
-300-
Módulo 10: Criando e Gerenciando Árvores e Florestas
4. Repita os passos de 1 a 3 para revogar a confiança para outro domínio envolvido na
relação.
Objetivos
Pré-requisitos
Antes de trabalhar neste laboratório, você deve ter conhecimento e experiência em instalar e
remover o Active Directory.
Configuração do Laboratório
Para completar este laboratório, você precisa do CD do Windows Server 2003 Server para a
instalação das ferramentas de suporte durante o laboratório.
-301-
Módulo 10: Criando e Gerenciando Árvores e Florestas
Durante este laboratório, você será perguntado sobre seu endereço IP, domínio e FQDN.
Use as informações da tabela abaixo para determinar o que informar para estes valores. Seu
instrutor atribuirá a você um número de aluno e para ser usado no lugar do x no endereço IP.
Cenário
Depois de testar os recursos no Active Directory e o hardware do computador, você criará a
floresta Northwind Traders. Antes de criar um novo domínio ,você deve remover o
ambiente existente de teste da floresta e preparar suas configurações de rede para o novo
domínio.
Objetivo
Neste exercício você usará o Assistente para Instalação do Active Directory para remover
seu domínio e floresta existente para que você se torne um controlador de domínio para um
domínio filho. Você configurará suas configurações de rede em preparação para o novo
domínio.
-302-
Módulo 10: Criando e Gerenciando Árvores e Florestas
Tarefas Passos Detalhados
1. Remova seu domínio e floresta existente. a. Faça logon como Administrador no seu
Quando avisado, reinicie seu computador. domínio com a senha ‘senha’.
b. Execute dcpromo para iniciar o
Assistente para Instalação do Active
Directory.
c. Na página Bem-vindo ao Assistente
para Instalação do Active Directory,
clique em Avançar para continuar, e
então clique em Ok para fechar a
mensagem indicando que este
controlador de domínio também é um
servidor de catálogo global.
d. Na página Remover o Active Directory,
selecione a caixa de verificação Este
servidor é o último controlador de
domínio no domínio, e então clique em
Avançar.
e. Na página Credenciais de Rede, na
caixa Nome do Usuário, digite
Administrador.
f. Na caixa Senha, digite senha e então
clique em Avançar.
g. Na página Senha do Administrador, nas
caixas Senha e Confirmar senha, digite
senha e então clique em OK.
h. Na página Resumo, reveja as
informações de resumo, e então clique
em Avançar.
Cenário
A Northwind Traders projetou sua estrutura de floresta, que consiste de uma única árvore de
domínio com o nome raiz DNS nwtraders.msft. O escritório corporativo já criou o domínio
raiz da floresta nwtraders.msft. Você deve criar o domínio filho da sua região.
Objetivo
Neste exercício, você executará o Assistente para Instalação do Active Directory para criar
um domínio filho para sua região.
Cenário
A Northwind Traders projetou sua estrutura de floresta, que consiste de uma única árvore de
domínio com o nome DNS raiz de nwtraders.msft. Todos os domínios na floresta já foram
criados. Agora o escritório corporativo está orientando todos os domínios para que tenham
pelo menos dois controladores de domínio para fornecer tolerância a falhas em caso de
falha.
Objetivo
Neste exercício, você usa o Assistente para Instalação do Active Directory para criar uma
replica para o domínio filho da sua região.
Cenário
Os administradores da corporação Northwid Traders querem assegurar que cada Domínio da
região na árvore de domínio nwtraders.msft está trabalhando corretamente antes de partir
para a segunda fase do seu planejamento. Você deve verificar se a confiança Pai-filho entre
os domínios da sua região e de nwtraders.msft está trabalhando corretamente.
Objetivo
Neste exercício, você verificará a operação das confianças entre o domínio da sua região e
nwtraders.msft. Esta verificação á necessária para o escritório corporativo determinar se a
árvore de domínio do nwtraders.msft que já foi criada está funcionando e estável. Você
-308-
Módulo 10: Criando e Gerenciando Árvores e Florestas
também usa a ferramenta de suporte netdom.exe para verificar a relação de confiança Pai-
filho.
O Catálogo Global
O catálogo global contém informações que são necessárias para determinar a localização de
qualquer objeto no Active Directory. O catálogo global permite que um usuário efetue logon
na rede fornecendo informações de associações a grupos universais e informações de
mapeamento do nome de domínio do usuário principal para um controlador de domínio. O
servidor de catálogo global permite a um usuário encontrar informações do Active Directory
na floresta inteira, sem levar em consideração as informações de localização.
O primeiro controlador de domínio que você cria no Active Directory é um servidor de
catálogo global. Você pode configurar controladores de domínio adicionais para serem
servidores de catálogo global para balancear o tráfego de autenticação de logon e consultas.
-310-
Módulo 10: Criando e Gerenciando Árvores e Florestas
User Logon
membership information
for the account
Domain
Domain z Domain information when
Quando você efetua logon em um domínio no modo nativo, o servidor de catálogo global
fornece informações associação a grupos universais para a sua conta ao controlador de
domínio que processa informações de logon, e autentica o nome principal do usuário.
-311-
Módulo 10: Criando e Gerenciando Árvores e Florestas
Em uma rede de domínio único, um servidor de catálogo global não é exigido para o
processo de logon porque todo controlador de domínio contém as informações que são
necessárias para autenticar um usuário.
Active View
Tree Name Type Description
New Active Directory Connection
Active Directory Sites and Services
Sites New
Default-First-Site-Name All Tasks
Servers
ATLANTA New Window from Here NTDS Settings Properties
LONDON Delete General Object Security
Inter-Site Transports Refresh
Subnets NTDS Settings
Properties
Help
Description: Domain Controller
Query Policy: Default Query Policy
Enable
Enable or
or disable
disable Global Catalog
global
global catalog
catalog
O Windows Server 2003 permite a você organizar usuários e outros objetos de domínio
dentro de grupos de segurança para atribuir as mesmas permissões de segurança. Atribuir
permissões de segurança para um grupo em vez de fazê-lo a usuários individuais assegura
permissões de segurança consistentes para todos os membros de um grupo. Usando grupos
-312-
Módulo 10: Criando e Gerenciando Árvores e Florestas
de segurança para determinar as permissões, você pode assegurar que as DACLS (Listas de
Controle de Acesso Discricionária) nos recursos não se alterem freqüentemente e seja fácil
para gerenciar e auditar.
Você pode adicionar ou remover usuários dos grupos de segurança apropriados quando
necessário. Ao criar um novo usuário, você pode adicioná-lo a um grupo de segurança para
definir completamente as permissões de usuário e limites de acesso. Você pode adicionar
grupos a outros grupos. Alterar as permissões para o grupo afeta todos os usuários e grupos
dentro do grupo.
Universal Group
. . . And Replicated to
All Global Catalog Servers
in the Forest Reduce Replication Traffic by Minimizing
z The use of universal groups to limit
replication to a domain
z The membership in universal groups to
other groups rather than user accounts
z Changes to the membership to reduce
the frequency of replication
-313-
Módulo 10: Criando e Gerenciando Árvores e Florestas
Nota: Um token de acesso pode conter até 1024 grupos. Os grupos podem Ter até 5.000
membros. Os membros do grupo principal do usuário, tal como Usuários do Domínio, não
são armazenados na lista de membros do grupo.
Assign Permissions
to the Domain Local Group DLG
in Each Domain Domain Local Group Permissions
Use grupos universais para consolidar grupos que se aplicam a múltiplos domínios. Execute
os seguintes passos:
1. Em cada domínio, adicione contas de usuário com as mesmas funções aos grupos
globais.
2. Aninhe grupos globais dentro de um único grupo global para consolidar os usuários.
Este passo é opcional, mas é muito útil se você precisar gerenciar grandes grupos de
usuários.
3. Aninhe um grupo global ou múltiplos grupos globais de cada domínio dentro de um
grupo universal .
4. Adicione grupos universais para os grupos locais de domínio que são criados para cada
recurso.
5. Determine aos grupos locais de domínio as permissões apropriadas para os usuários no
grupo obterem acesso aos recursos.
Usando esta estratégia, qualquer alteração de membro nos grupos globais não afeta os
membros nos grupos universais.
Neste exemplo, a Contoso Ltd. quer reagir mais rapidamente às demandas do mercado. Ela
determinou que os dados de contabilidade abrangendo vários domínios na empresa precisam
estar disponíveis para toda a equipe de contabilidade, que também está localizada em
-314-
Módulo 10: Criando e Gerenciando Árvores e Florestas
múltiplos domínios. A Contoso Ltd. quer criar toda a estrutura de grupo para a divisão de
Contabilidade, que inclui os departamentos de Contas a Pagar e Contas a Receber.
Data
Data
Domain A
Data
Data Data
Data
Domain B Domain C
1. O que você varia para garantir que os gerentes tivessem o acesso necessário e existisse o
mínimo de administração?
2. A Contoso Ltd. sofreu um crescimento em seus negócios e deve criar um novo domínio.
Que alterações você faria à sua estrutura de grupo para garantir que todos os contadores na
organização, incluindo aqueles no novo domínio, tivessem acesso a todos os dados de
contabilidade?
Objetivos
Pré-requisitos
Configuração do Laboratório
Durante este laboratório, você será questionado por seu número de aluno, nome de host e
domínio. Utilize estas informações da tabela seguinte para determinar o que informar para
estes valores. Seu instrutor atribuirá a você um número de aluno.
-316-
Módulo 10: Criando e Gerenciando Árvores e Florestas
Exercício 1: Implementando a Estratégia de Grupos
Cenário
A Northwind Traders quer reagir mais rapidamente às demandas do mercado. Ela determinou
que os dados de contabilidade estão localizados em várias pastas por todos os domínios e
precisam estar disponíveis para toda a equipe de contabilidade, que está localizada em
múltiplos domínios. A Northwind Traders quer criar toda a estrutura de grupo para a divisão
de Contabilidade, que inclui os departamentos de Contas a Pagar e Contas a Receber.
Objetivo
Neste exercício, você criará três grupos globais: Contabilidade, Contas a Pagar e Contas a
Receber. Você adicionará Contas a Pagar e Contas a Receber como membros de
Contabilidade. Você criará o grupo universal, Toda a Contabilidade, e então adicionará os
grupos de Contabilidade de todos os domínios neste grupo. Isto consolidará todos os
funcionários de contabilidade na floresta dentro de um único grupo universal. Você criará o
grupo local de domínio, Dados Locais, e adicionará o grupo universal como um membro.
Você atribuirá permissões de Leitura dos dados de contabilidade ao grupo local de domínio
Dados Locais. Para testar a estrutura de grupo, você criará uma conta de usuário de teste a
adicionará esta conta de usuário ao grupo Contas a Pagar.
-317-
Módulo 10: Criando e Gerenciando Árvores e Florestas
Importante: execute a tarefa 2 somente no computador com o número de
aluno mais baixo entre você e o seu parceiro de domínio. Aguarde até que a
tarefa 1 seja completada antes de iniciar a tarefa 2.
2. Iniciar a replicação manualmente a a. Abra Sites e Serviços do Active
partir do controlador de domínio do Directory (Active Directory Sites and
seu parceiro para seu controlador de Services) a partir do menu
domínio para replicar rapidamente a Ferramentas Administrativas
alteração do modo de domínio. (Administrative Tools), expanda Sites,
expanda Primeiro-Site-Padrao
(Default-First-Site-Name), expanda
Servidores (Servers), expanda
nomedoservidor (onde nomedoservidor
é o nome do seu computador) e então
clique em Configurações NTDS.
b. No painel de detalhes, clique com o
botão direito no objeto de conexão
servidorparceiro (onde
servidorparceiro é o nome de host do
computador de seu parceiro) e então
clique em Replicar Agora (Replicate
Now) para iniciar a cópia das alterações
do controlador de domínio de seu
parceiro para o seu controlador de
domínio.
c. Clique em OK para fechar a mensagem
indicando que a replicação foi iniciada
e então feche Sites e Serviços do Active
Directory (Active Directory Sites and
Services).
Caso apareça uma mensagem de
erro indicando que o serviço RPC
não está disponível, simplesmente
aguarde um momento e então repita
a operação Replicar Agora
(Replicate Now).
Importante: Execute as tarefas restantes em ambos os computadores.
3. Dentro de domínio.nwtraders.msft, a. Abra, ou alterne para o Usuários e
criar a seguinte OU: Contabilidade_n Computadores do Active Directory
(onde n é o seu número de aluno (Active Directory Users and
atribuído) Computers) e então na árvore do
console, expanda
domínio.nwtraders.msft.
b. Clique com o botão direito em
domínio.nwtraders.msft, aponte para
Novo (New) e então clique em
Unidade Organizacional
-318-
Módulo 10: Criando e Gerenciando Árvores e Florestas
(Organizational Unit).
c. Na caixa de diálogo Novo Objeto –
Unidade Organizacional (New Object
– Organizational Unit), na caixa
Nome (Name), digite Contabilidade_n
(onde n é o seu número de aluno
atribuído e então clique em OK.
4. Dentro da OU Contabilidade_n, criar a. Clique com o botão direito na OU
os seguintes grupos de segurança Contabilidade_n, aponte para Novo
global: (New) e então clique em Grupo
Contas a Pagar_n (Group).
Contas a Receber_n b. Na caixa de diálogo Novo Objeto –
Grupo (New Object – Group), digite
Contas a Pagar_n
c. Garanta que Escopo do grupo (Group
scope) está Global e Tipo de grupo
(Group type) está Segurança
(Security) e então clique em OK.
d. Repita os passos “a” e “b”, alterando o
passo “b” conforme necessário, para
criar o grupo de segurança global
Contas a Pagar_n.
5. Dentro da OU Contabilidade_n, criar a. Clique com o botão direito na OU
o grupo global Contadores do Contabilidade_n, aponte para Novo
Domínio_n e então adicionar os (New) e então clique em Grupo
grupos globais de departamento, (Group).
Contas a Pagar_n e Contas a b. Na caixa de diálogo Novo Objeto –
Receber_n como membros. Grupo (New Object – Group), digite
Contadores do Domínio_n
c. Garanta que Escopo do grupo (Group
scope) está Global e Tipo de grupo
(Group type) está Segurança
(Security) e então clique em OK.
d. Clique na OU Contabilidade_n, no
painel de detalhes, clique com o botão
direito no grupo global Contadores do
Domínio_n e então clique em
Propriedades (Properties).
e. Na caixa de diálogo Propriedades de
Contadores do Domínio_n
(Contadores do Domínio_n
Properties), clique na guia Membros
(Members) e então clique em
Adicionar (Add).
f. Na caixa de diálogo Selecione
Usuários, Contatos, Computadores
-319-
Módulo 10: Criando e Gerenciando Árvores e Florestas
ou Grupos (Select Users, Contacts,
Computers, and Groups), na caixa
Nome (Name), role até o fim da lista e
clique em Contas a Pagar_n, clique
em Adicionar (Add) e então clique em
OK.
g. Na caixa de diálogo Propriedades de
Contadores do Domínio_n
(Contadores do Domínio_n
Properties), garanta que Contas a
Pagar_n e Contas a Receber_n estejam
listados e então clique em OK.
6. Dentro da OU Contabilidade_n, criar a. Clique com o botão direito na OU
o grupo de segurança universal Contabilidade_n, aponte para Novo
Todos os Contadores_n e então (New) e então clique em Grupo
adicionar Contadores do Domínio_n (Group).
como um membro. b. Na caixa de diálogo Novo Objeto –
Grupo (New Object – Group), digite
Todos os Contadores_n
c. Sob Escopo do grupo (Group scope),
clique em Universal, garanta que o
Tipo de grupo (Group type) está
definido para Segurança e então clique
em OK.
d. Clique na OU Contabilidade_n, e no
painel de detalhes, clique com o botão
direito no grupo universal Todos os
Contadores_n e então clique em
Propriedades (Properties).
e. Na caixa de diálogo Propriedades de
Todos os Contadores_n (Todos os
Contadores_n Properties), clique na
guia Membros (Members)
f. Na caixa de diálogo Selecione
Usuários, Contatos, Computadores
ou Grupos (Select Users, Contacts,
Computers, and Groups), na caixa
Nome (Name), role até o fim da lista e
clique em Contadores do Domínio_n,
clique em Adicionar (Add) e então
clique em OK.
Observação: Tipicamente um grupo
universal contém membros de múltiplos
domínios. Adicionar grupos de outros
domínios pode ser executado
selecionando o domínio na caixa
-320-
Módulo 10: Criando e Gerenciando Árvores e Florestas
Examinar (Look in) e então
selecionando um grupo da lista.
g. Na caixa de diálogo Propriedades de
Todos os Contadores_n (Todos os
Contadores_n Properties), na guia
Membros (Members), garanta que
Contadores do Domínio_n está listado e
então clique em OK.
7. Criar o grupo de segurança local a. Clique com o botão direito em
Dados Locais_n e então adicionar Contabilidade_n, aponte para Novo
Todos os Contadores_n como um (New) e então clique em Grupo
membro. (Group).
b. Na caixa de diálogo Novo Objeto –
Grupo (New Object – Group), na
caixa Nome do grupo (Group name),
digite Dados Locais_n
c. Garanta que Escopo do grupo (Group
scope) está definido para Local de
Domínio (Domain Local) e Tipo de
grupo (Group type) está definido para
Segurança (Security) e então clique
em OK.
d. Clique na OU Contabilidade_n, no
painel de detalhes, clique com o botão
direito no grupo local de domínio
Dados Locais_n e então clique em
Propriedades (Properties).
e. Na caixa de diálogo Propriedades de
Dados Locais_n (Dados Locais_n
Properties), na guia Membros
(Members), clique em Adicionar
(Add).
f. Na caixa de diálogo Selecione
Usuários, Contatos, Computadores
ou Grupos (Select Users, Contacts,
Computers, and Groups), na caixa
Nome (Name), role até o fim da lista e
clique em Todos os Contadores_n,
clique em Adicionar (Add) e então
clique em OK.
g. Na caixa de diálogo Propriedades de
Dados Locais_n (Dados Locais_n
Properties), na guia Membros
(Members), garanta que Todos os
Contadores_n está listado como
membro do grupo local de domínio
-321-
Módulo 10: Criando e Gerenciando Árvores e Florestas
Dados Locais_n e então clique em OK.
8. Criar um documento de texto vazio a. Na caixa Executar (Run), digite C:\ e
chamado C:\Relatório.txt e conceder então clique em OK para abrir a janela
permissões de Controle Total apenas C:\.
ao grupo local de domínio Dados b. Na janela C:\, clique com o botão
Locais_n. direito em um área de espaço em
branco, aponte para Novo (New) e
entao clique em Documento de Texto
(Text Document).
c. Renomeie o documento de texto para
Relatório.txt.
d. Clique com o botão direito em
Relatório.txt e então clique em
Propriedades (Properties).
e. Na caixa de diálogo Propriedades de
Relatório.txt (Relatório.txt
Properties), na guia Segurança
(Security), clique em Adicionar
(Add).
f. Na caixa de diálogo Selecione Objetos
(Select Objects), na caixa Nome
(Name), role até o fim da lista e clique
em Dados Locais_n, clique em
Adicionar (Add) e então clique em
OK.
g. Na caixa de diálogo Propriedades de
Relatório.txt (Relatório.txt
Properties), marque a caixa de
verificação Permitir Controle Total
(Allow Full Control).
h. Desmarque a caixa de verificação
Permitir que permissões herdadas do
pai se propaguem para este objeto
(Allow inheritable permissions from
parent to propagate to this object) e
então clique em Remover (Remove)
para fechar a mensagem perguntando se
copiar ou remover as permissões
herdadas.
i. Garanta que Dados Locais_n é a única
entrada que tem permissões de Controle
Total (Full Control) e então clique em
OK.
j. Feche a janela C:\.
9. Dentro da OU Contabilidade_n, criar a. Em Usuários e Computadores do
uma conta de usuário com as Active Directory (Active Directory
-322-
Módulo 10: Criando e Gerenciando Árvores e Florestas
seguintes propriedades para testar a Users and Computers), clique na OU
estrutura de grupo: Contabilidade_n.
• Nome completo: b. Clique com o botão direito em
ContaDeTeste_n Contabilidade_n, aponte para Novo
• Nome de logon do usuário: (New) e então clique em Usuário
ContaDeTeste_n@nwtraders.msft (User).
• Adicionar esta conta de usuário c. Na página Novo Objeto – Usuário
ao grupo global Contas a (New Object – User), na caixa Nome
Pagar_n. completo (Full name), digite
ContaDeTeste_n
Na caixa Nome de logon do usuário
(User logon name), digite
ContaDeTeste_n e então clique em
Avançar (Next).
d. Clique em Avançar (Next) e então
clique em Concluir (Finish) para
completar o assistente utilizando os
padrões.
e. Clique na OU Contabilidade_n, e no
painel de detalhes, clique com o botão
direito na conta de usuário
ContaDeTeste_n e então clique em
Propriedades (Properties).
f. Na caixa de diálogo Propriedades de
ContaDeTeste_n (ContaDeTeste_n
Properties), na guia Membro De
(Member Of), clique em Adicionar
(Add).
g. Na caixa de diálogo Selecione Grupos
(Select Group), sob a coluna Nome
(Name), clique em Contas a Pagar_n,
clique em Adicionar (Add) e então
clique em OK.
h. Na caixa de diálogo Propriedades de
ContaDeTeste_n (ContaDeTeste_n
Properties), garanta que Contas a
Pagar_n está listado e então clique em
OK.
i. Feche Usuários e Computadores do
Active Directory (Active Directory
Users and Computers).
10. Efetuar o logoff do controlador de a. Efetue o logoff e então efetue o logon
domínio e então efetuar o logon como ContaDeTeste_n em seu domínio
como ContaDeTeste_n. Verificar se sem digitar uma senha.
você pode obter acesso ao recurso b. Abra o arquivo, C:\Relatório.txt e então
C:\Report.txt e então excluir o digite Algumas Modificações
-323-
Módulo 10: Criando e Gerenciando Árvores e Florestas
documento. c. Neste documento, salve e feche o
documento.
d. Exclua o documento C:\Relatório.txt
Você foi capaz de acessar o recurso C:\Relatório.txt?
Você pode encontrar problemas ao criar e gerenciar árvores e florestas no Windows Server
2003 . Aqui estão alguns dos problemas comuns que você pode encontrar e algumas
estratégias para resolvê-los:
O atalho de confiança não está sendo utilizado. A possível causa poderia ser que a
confiança foi criada em uma direção errada. Verifique se os domínios confiantes e
confiáveis estão corretos. Se eles não estiverem, então exclua ambas as partes do atalho de
confiança existente e o recrie em outra direção. Verifique se a confiança está funcionando
utilizando o botão Verificar (Verify) em Domínios e Confianças do Active Directory
(Active Directory Domains and Trusts) ou o utilitário Netdom.exe.
Impossível efetuar o logon em um domínio. A possível causa poderia ser que o servidor
de catálogo global não pode ser localizado. O catálogo global é necessário para acessar
informações de grupos universais e mapear nomes principais de usuário para domínios.
Garanta que um servidor de catálogo global está executando e disponível. Garanta que a
rede está funcionando corretamente a partir do controlador de domínio que autentica e de
um servidor de catálogo global. Além disto, verifique as entradas para os servidores de
catálogo global no DNS para garantir que elas estão corretas.
Impossível criar grupos universais em alguns domínios. A possível causa poderia ser que
os domínios onde você não pode criar grupos universais podem não estar no modo nativo.
Verifique o modo de domínio e, se necessário, altere o modo de domínio do modo misto
para o modo nativo, e então crie grupos universais.
Práticas Recomendadas
Utilize a Estratégia: A G G U DL P
Crie Atalhos de Confianças Entre Domínios Freqüentemente Acessados com
Caminhos de Confiança Longos
Posicione um Servidor de Catálogo Global em Cada Site de Tráfego Pesado
-325-
Módulo 10: Criando e Gerenciando Árvores e Florestas
Utilize a estratégia de grupo AÎGÎGÎUÎDLÍP. Mantenha a participação em
grupos universais pequena e utilize membros que não se alterem freqüentemente para
reduzir o tráfego de replicação de rede.
Crie atalhos de confiança quando muitos usuários de um domínio acessam freqüentemente
recursos em um domínio com caminhos de confiança longos. Atalhos de confiança
reduzem a latência e o tráfego de rede necessário para autenticar um usuário para o
recurso.
Posicione um servidor de catálogo global em cada site que tenha muitos usuários
efetuando o logon para reduzir o tráfego de rede e permitir que usuários efetuem o logon
se o vínculo de WAN falhar.
Revisão
1. Que função o domínio raiz realiza quando novas árvores são criadas na floresta?
-326-