27/11/2014

Módulo 3
Gerenciamento de objetos dos
Serviços de Domínio do Active
Directory

Visão geral do módulo

• Gerenciamento de contas de usuário

• Gerenciamento de contas de grupo
• Gerenciamento de contas de computador
• Delegação da administração

1
 27/11/2014

Lição 1: Gerenciamento de contas de usuário

• Ferramentas de administração do AD DS
• Criação de contas de usuário
• Configuração dos atributos da conta de usuário
• Criação de perfis de usuário
• Demonstração: Gerenciamento de contas
de usuário

Ferramentas de administração do AD DS

Para gerenciar objetos AD DS, você pode usar as

seguintes ferramentas gráficas

• Snap-ins administrativos do Active Directory

• Centro Administrativo do Active Directory

Você também pode usar as seguintes ferramentas de

linha de comando

• Módulo Active Directory no Windows PowerShell

• Comandos do serviço de diretório

2
 27/11/2014

Criação de contas de usuário

Configuração dos atributos da conta de usuário

3
 27/11/2014

Criação de perfis de usuário

Demonstração: Gerenciamento de contas de usuário

Nesta demonstração, você verá como

• Abrir o Centro Administrativo do Active Directory
• Excluir uma conta de usuário
• Criar uma nova conta de usuário
• Mover a conta de usuário

4
 27/11/2014

Lição 2: Gerenciamento de contas de grupo

• Tipos de grupo
• Escopos de grupo
• Implementação do gerenciamento de grupos
• Grupos padrão
• Identidades especiais
• Demonstração: Gerenciamento de grupos

Tipos de grupo

• Grupos de distribuição
• Usados somente com aplicativos
de email
• Não habilitado para segurança
(nenhum SID); não pode receber
permissões

• Grupos de segurança
• Entidade de segurança com um
SID; pode receber permissões
• Também pode ser habilitado
para email

5
 27/11/2014

Escopos de grupo
Membros Membros de
Membros Podem receber
Escopo de domínio um domínio
do mesmo permissões
do grupo na mesma externo
domínio para recursos
floresta confiável
Local U, C, U, C, U, C, Somente no
GG, DLG, UG GG, UG GG computador local
e usuários locais
Domínio U, C, U, C, U, C, Em qualquer local
Local GG, DLG, UG GG, UG GG no domínio
Universal U, C, U, C, N/D Em qualquer local
GG, UG GG, UG na floresta
Global U, C, N/D N/D Em qualquer local
GG no domínio ou
em um domínio
confiável

U Usuário DLG Grupo de Domínio Local

C Computador UG Grupo Universal
GG Grupo Global

Implementação do gerenciamento de grupos

I Identidades
Usuários ou computadores,
que são membros de

G Grupos globais
Que coletam os membros
com base em suas funções, Sales
que são membros de (grupo global)
Auditores
(grupo global)
DL Grupos de domínios locais ACL_Sales_Read
Que fornecem gerenciamento (grupo de domínio local)
como acesso a recursos,
que são

A Acesso atribuído a um recurso

Em uma floresta de vários

domínios, é o IGUDLA,
onde U é Universal

6
 27/11/2014

Grupos padrão

• Gerencie cuidadosamente os grupos padrão que

fornecem privilégios administrativos, pois eles
• Geralmente, têm privilégios mais amplos do que
necessário para a maioria dos ambientes delegados
• Aplicam proteção com frequência aos seus membros

Grupo Local
Administradores de Empresa Contêiner Usuários do domínio raiz da floresta

Administradores de Esquema Contêiner Usuários do domínio raiz da floresta

Administradores Contêiner interno de cada domínio

Admins. do Domínio Contêiner Usuários de cada domínio
Operadores de Servidor Contêiner interno de cada domínio
Operadores de Conta Contêiner interno de cada domínio
Operadores de Backup Contêiner interno de cada domínio
Operadores de Impressão Contêiner interno de cada domínio

Identidades especiais

• Identidades especiais
• São grupos para os quais a associação é controlada
pelo sistema operacional
• Podem ser usadas pelo sistema operacional
Windows Server para fornecer acesso aos recursos
• Baseadas no tipo de autenticação ou conexão
• Não baseadas na conta de usuário
• Identidades especiais importantes incluídas
• Logon Anônimo
• Usuários Autenticados
• Todos
• Interativo
• Rede

7
 27/11/2014

Demonstração: Gerenciamento de grupos

Nesta demonstração, você verá como

• Criar um novo grupo
• Adicionar membros ao grupo
• Adicionar um usuário ao grupo
• Alterar o tipo e o escopo do grupo
• Modificação da propriedade Gerenciado por do grupo

Lição 3: Gerenciamento de contas de computador

• O que é o contêiner Computadores?

• Especificação do local das contas de computador
• Controle de permissões para criar contas
de computador
• Contas de computador e canais de segurança
• Redefinição do canal de segurança

8
 27/11/2014

O que é o contêiner Computadores?

Especificação do local das contas de computador

• A prática recomendada é criar

unidades organizacionais para
objetos de computador
• Servidores
• Normalmente, subdivididos
por função de servidor
• Computadores cliente
• Normalmente, subdivididos
por região
• Divida as unidades organizacionais
• Por administração
• Para facilitar a configuração
com a Política de Grupo

9
 27/11/2014

Controle de permissões para criar contas de computador

Contas de computador e canais de segurança

• Os computadores têm contas

• sAMAccountName e senha
• Usado para criar um canal de segurança entre
o computador e um controlador de domínio
• Cenários em que um canal de segurança pode
ser interrompido
• A reinstalação de um computador, inclusive com
mesmo nome, gera um novo SID e uma nova senha
• Restauração de um computador de um backup antigo
ou reversão de um computador para um instantâneo antigo
• O computador e o domínio discordam da senha

10
 27/11/2014

Redefinição do canal de segurança

• Não remova um computador do domínio

e reingresse-o
• Este processo cria uma nova conta, resultando
em um novo SID e perda das associações de grupo
• Opções para redefinir o canal de segurança
• Usuários e Computadores do Active Directory
• DSMod.exe
• NetDom.exe
• NLTest.exe
• Windows PowerShell

Lição 4: Delegação da administração

• Permissões do AD DS
• Permissões efetivas do AD DS
• Demonstração: Delegação do controle
administrativo

11
 27/11/2014

Permissões do AD DS

Permissões efetivas do AD DS

As permissões atribuídas a usuários e grupos se acumulam

A prática recomendada é atribuir permissões a grupos,

e não a usuários individuais
No caso de conflitos
• As permissões Negar substituem as permissões
Permitir
• As permissões explícitas substituem as permissões
Herdadas
• Permitir Explícita substitui Negar Herdada
Para avaliar as permissões efetivas, você pode usar
• A guia Permissões Efetivas
• Análise manual

12
 27/11/2014

Demonstração: Delegação do controle administrativo

Nesta demonstração, você verá como

• Delegar uma tarefa padrão

• Delegar uma tarefa personalizada

• Exibir permissões do AD DS resultantes dessas

delegações

Laboratório: Gerenciamento de objetos dos Serviços

de Domínio do Active Directory

• Exercício 1: Delegação da administração

de uma filial
• Exercício 2: Criação e configuração de contas
de usuário no AD DS
• Exercício 3: Gerenciamento de objetos
de computador no AD DS
Informações de logon

13
 27/11/2014

Cenário do laboratório

A A. Datum Corporation é uma empresa global de engenharia e manufatura

com sede em Londres, Inglaterra. Um escritório de TI e um data center
estão localizados em Londres para dar suporte ao escritório de Londres
e a outros locais. Recentemente, a A. Datum implantou uma infraestrutura
do Windows Server 2012 com clientes Windows 8
Você tem trabalhado para a A. Datum como especialista de suporte de
desktop e inspecionou os computadores desktop para solucionar problemas
de aplicativo e de rede. Você aceitou uma promoção recentemente para
a equipe de suporte de servidores. Uma de suas primeiras atribuições
foi configurar o serviço de infraestrutura para uma nova filial
Para começar a implantação da nova filial, você está preparando objetos
AD DS. Como parte dessa preparação, você precisa criar uma unidade
organizacional para a filial e delegar permissão para gerenciá-la. Depois
disso, você precisará criar usuários e grupos para a nova filial. Finalmente,
você precisará redefinir o canal de segurança para uma conta de computador
que perdeu conectividade com o domínio na filial

14