Active Directory - Windows Server 2008 r2

Published on May 2016 | Categories: Documents | Downloads: 48 | Comments: 0 | Views: 930
of 6
Download PDF   Embed   Report

Comments

Content

Resumão
www.mcsesolution.com
Conceito Os domínios, principais unidades funcionais da estrutura lógica do Active Directory. Os domínios têm três principais funções: 1. Fornecer um limite administrativo para objetos 2. Permitir um gerenciamento seguro aos recursos 3. Proporcionar uma unidade de replicação para objetos Estrutura Lógica Árvore de domínios. Os domínios são agrupados em estruturas hierárquicas são chamados árvores de domínios. Floresta. Uma floresta é uma instância completa do Active Directory Directory Services, que consiste em uma ou mais árvores. Instalação do Active Directory Directory Services (ADDS Para instalar o Active Directory Directory Services (ADDS) você deve ser membro do grupo Administradores do servidor que irá instalar o ADDS. O Active Directory pode ser instalado de 3 maneiras: 1 - Administrative Tools > ServerManager > Roles > Add Roles > Selecione o Active Directory Domain Services. (em seguida execute o comando DCPROMO) 2 - Através do comando Servermanagercmd.exe –I ADDSDomain-Controller. (em seguida execute o comando DCPROMO) 3 - Através do comando: DCPROMO. (uma única vez) A partição de instalação deve estar formatada com o sistema de arquivos NTFS. Para converter uma partição ou volume em NTFS use o Comando: CONVERT C: /FS:NTFS onde c: é a letra da unidade que deseja converter. Níveis funcionais Existem 4 níveis funcionais de domínio: Windows 2000 Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 E 4 níveis funcionais de floresta Windows 2000 Native Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 Durante a instalação do AD DS a seleção automática por padrão é o nível funcional Windows Server 2003. É possível rebaixar o nível funcional do domínio de Windows Server 2008 R2 para Windows Server 2008 apenas se o nível funcional da floresta estiver definido como Windows Server 2008 ou inferior. Uma vez elevado o nível funcional da floresta não será possível retroceder o nível funcional Windows 2000 ou Windows Server 2003 em nenhuma situação. Armazenamento (Extensible Storage Engine (ESE)). Os arquivos relacionados ao armazenamento de dados são: NTDS.DIT – Arquivo de banco de dados físico que guarda o conteudo do Active Directory. EDB.CHK – Arquivo de ponto de verificação que rastreia até onde as transações no arquivo de log foram confirmadas. EDB.LOG – Arquivo de log primário EDB00001.LOG - Arquivo de log secundário (será criado conforme necessário. TMP.EDB – Banco de dados temporário para as transações. EDBRES00001.JRS – Reserva espaço para outros arquivos de log, caso o log primário fique cheio.

Serviços de Diretório Active Directory Certificate Services (AD CS) oferece solução para emissão e administração de certificados usados em sistemas de segurança que utilizam a tecnologia de chave públicas e privadas. Active Directory Domain Services (ADDS) O AD DS permite um gerenciamento centralizado e seguro de toda uma rede.Armazena as informações sobre objetos na rede e gerencia a comunicação entre os usuários e os domínios, incluindo processos de logon do usuário, autenticação e pesquisas de diretório. O Active Directory Domain Services era anteriormente chamado de Active Directory Active Directory Federation Services (ADFS) permite estabelecer confiança entre diferentes entidades organizacionais dando aos usuários finais um logon único (SSO) de conexão remota entre empresas Active Directory Lightweight Directory Services (ADLDS) é um serviço de diretório LDAP. O ADLDS era anteriormente chamado de Active Directory Application Mode (ADAM) Active Directory Rights Management Services (ADRMS) permite proteger e controlar o acesso a informações confidenciais — como em documentos e e-mails.

Resumão
www.mcsesolution.com
Ferramentas de Gerenciamento Gráficas Ferramentas de Importação e exportação CSVDE – Importa e Exporta objetos do diretório utilizando arquivos .CSV (Separado por virgula) Exemplo para importar: csvde –i –f usuarios.csv Exemplo para exportar usuários da ou TI csvde -d "ou=TI,DC=mcsesolution,dc=com“ –f usuarios.csv -r objectClass=user LDIFDE - Importa e Exporta objetos do diretório utilizando arquivos .LDF Exemplo para importar: ldifde –i –f usuarios.ldf Exemplo para exportar computadores ldifde –f usuarios.ldf -r (objectclass=computer)" Objetos Objetos. São os componentes mais básicos da estrutura lógica. Alguns objetos mais comuns:

Active Directory Administrative Center - Ferramenta de administração do AD DS que permite centralizar o gerenciamento e personalizar para diversos propósitos.
Active Directory Domains and Trusts - Usado para gerenciar relações de confiança de florestas e domínios, acrescentar sufixos ao nome principal do usuário e alterar os níveis funcionais de florestas e domínios Active Directory Module for Windows PowerShell – Contem 90 cmdlets não existentes no powershell padrão. Utilize - Get-Command *-AD* para listar os cmdlets. Active Directory Sites and Services – Utilizado para criar e gerenciar os serviços ,sites e a replicação de dados do diretório. Active Directory Users and Computers - Um MMC (Microsoft Management Console) usado para gerenciar e publicar informações no Active Directory. Você pode gerenciar contas de usuário, grupos, contas de computadores, acrescentar computadores a um domínio.

Usuários

Grupos

Computadores

Impressoras

ADSI Edit – (Active Directory Service Interfaces Editor) Um editor LDAP ((Lightweight Directory Access Protocol ) que permite gerenciar objetos e atributos no Active Directory.
Ferramentas de Linha de comando Dsadd – Adiciona objetos no Diretório Exemplo adicionar conta de usuário: Dsadd cn=Donda, ou=TI, dc=mcsesolution, dc=com Dsmod – Modifica objetos no Diretório Exemplo definir uma senha: dsmod user cn=Donda,ou=TI,dc=mcsesolution,dc=com" -pwd Pa$$w0rd Dsmove – Move objetos no Diretório Exemplo mover para outra OU dsmove cn=Donda, ou=TI, dc=mcsesolution, dc=com -newparent “ou=Suporte, dc=mcsesolution ,dc=com" DSrm – Remove objetos do Diretório Exemplo: excluir conta de usuário dsrm "cn=Donda, ou=Suporte, dc=mcsesolution, dc=com" Dsquery – Busca objetos no Diretório Exemplo: Ler toda informação de um objeto na ou=test dsquery * ou=test,dc=mcsesolution,dc=com -scope base attr * Dsget – Exibe informações sobre objetos no Diretório Exemplo: Trazer nome e sobrenome de todos usuários da ou=TI dsquery "ou=TI,dc=mcsesolution,dc=com" | get user -fn -ln Pastas Compartilhadas Unidades Organizacionais

Esquema (Schema). Possui dois tipos de definições: classes e atributos de objetos. As classes de objetos são modelos ou plantas dos objetos que podem ser criados no Active Directory. Atributos definem os possíveis valores a serem associados a uma classe de objeto. As classes de objetos, como usuários, computadores e impressoras, descrevem os possíveis objetos de diretório que você pode criar. Exemplo - Classe User - Atributo - Nome do usuário Para editar o schema é necessário registrar a dll schmmgmt.dll Iniciar -> executar -> Regsvr32 schmmgmt.dll Unidade organizacional (OU). Você pode usar esses objetos recipientes para organizar outros objetos de acordo com seus propósitos administrativos. Catálogo global. É um controlador de domínio que realiza consultas dentro da floresta de modo eficiente . O primeiro controlador de domínio criado por você será automaticamente o servidor de catálogo global Nomes Distintos Nomes distintos identificam o domínio de um objeto e o caminho para encontrá-lo. CN=Felipe Donda,OU=Diretoria,DC=Mcsesolution,DC=com

Resumão
www.mcsesolution.com
Sites (Estrutura Física)

Topologia
O KCC é um processo interno executado em cada controlador de domínio que gera a topologia de replicação para todas as partições de diretório contidas no controlador de domínio Partições do AD DS Sub-rede IP

Em sua rede física, um site representa um conjunto de computadores conectados por uma rede de alta velocidade, como uma rede local (LAN).

Sub-rede IP

Site SP

O banco de dados do Active Directory é dividido logicamente em partições. Cada partição é uma unidade de replicação e cada uma delas tem sua própria topologia de replicação.

Site RJ No AD DS, um objeto de site representa os aspectos do site físico a fim de gerenciar a replicação dos dados do diretório entre os controladores de domínio Replicação consiste no processo de atualizar informações no Active Directory de um controlador de domínio para outros controladores de domínio em uma rede Os objetos de sites e os objetos associados a eles são replicados em todos os controladores de domínio na floresta. É possível gerenciar os objetos utilizando a ferramenta Active Directory Sites and Services: Objetos de sites Sites - Os objetos de sites são localizados no contêiner de sites. Em todos os sites, há um objeto de Configurações de Site NTDS. Esse objeto identifica o Intersite Topology Generator (ISTG). Sub-redes - Os objetos da sub-rede identificam os intervalos dos endereços IP em um site. Servidores - Os objetos de servidor são criados automaticamente quando você adiciona a função de servidor Active Directory Domain Services Configurações NTDS - Todo objeto de servidor contém um objeto de Configurações NTDS, que representa o controlador de domínio no sistema de replicação. Também é possível Habilitar ou desabilitar o catálogo global em um servidor através do NTDS Settings. Conexões - Os parceiros da replicação dos servidores de um site são identificados pelos objetos de conexão. A replicação ocorre em uma direção. Links de sites - Os links de site representam o fluxo da replicação entre os sites. Representa a conexão física de longa distância (WAN) entre dois ou mais sites Transportes IP e SMTP entre sites - A replicação usa a chamada de procedimento remoto (RPC) no transporte IP ou SMTP

Floresta

Esquema
Configuração

Domínio Replicação configurável

<Domínio> <Aplicativo>

Funcionalidade do catálogo global Localiza objetos - Uma solicitação de pesquisa será encaminhada à porta 3268 do catálogo global . Fornece a autenticação do nome principal do usuário. Um servidor de catálogo global resolve o nome principal do usuário (UPN) quando o controlador de domínio da autenticação desconhece a conta de usuário. Valida as referências de objeto em uma floresta. Os controladores de domínio usam o catálogo global para validar as referências a objetos de outros domínios na floresta. Fornece informações sobre a associação ao grupo universal em um ambiente de vários domínios. O controlador de domínio também pode descobrir associações de um usuário ao grupo local do domínio e ao grupo global e a associação a esses grupos não será replicada no catálogo global. Se um servidor de catálogo global não estiver disponível quando um usuário efetuar logon em um domínio em que os grupos universais estão disponíveis, o computador cliente do usuário poderá usar as credenciais armazenadas em cache para fazer logon . Nome Principal de usuário (UPN) O nome principal de usuario (UPN) identificam o usuário de determinado dominio: [email protected]

Resumão
www.mcsesolution.com
Catalogo Global e Administradores GPO e Power Shell É possível criar, linkar, renomear, fazer backup, copiar e remover GPOs através do PowerShell: Import-module GroupPolicy get-help *-gp* Group Policy Object GPOs podem ser aplicados ao computador local, sites, domínios e unidades organizacionais. Nesta ordem, tendo precedência a ultima a ser aplicada caso exista conflito. Do contrario as políticas são acumulativas. Block Inheritance – Opção que pode ser aplicado a um domínio ou OU e faz com que as políticas não sejam herdadas. (Bloqueio de herança). Enforced - Opção que força a aplicação da política. (Mesmo quando a opção Block inheritance esteja marcada. Item-Level targeting É possível definir um alvo especifico utilizando mais de 29 combinações de coleções com lógica boolena (And, Or, Not). Além de muitos itens intuitivos de modo que a política só se aplica a usuários e computadores específicos.

O administrador do domínio (conta Administradores internos) pode sempre efetuar logon no domínio, mesmo quando um servidor de catálogo global não estiver disponível.
Ferramentas relacionadas a sites e replicação Repadmin é uma ferramenta de linha de comando que reporta falhas entre dois parceiros de replicação repadmin /showrepl server.mcsesolution.com - exibe os parceiros de replicação e as falhas ocorridas no Servidor, no domínio mcsesolution.com. Dcdiag é uma ferramenta de linha de comando que pode verificar o registro de DNS de um controlador de domínio, verificar se os identificadores de segurança (SIDs) apresentam as permissões de replicação apropriadas, analisar o estado dos controladores de domínio e assim por diante dcdiag /test:replications - verifica os erros de replicação entre os controladores de domínio: RODC Read-Only Domain Controller. Um controlador de domínio com uma versão somente leitura do banco de dados do Active Directory que pode ser implantadas em ambientes onde a segurança do controlador de domínio não pode ser garantida. O uso de Read-Only Domain Controllers (RODC) impede que as alterações feitas nas filiais da floresta possam poluir ou corromper o seu AD via replicação. Password Replication Policy (PRP) permite definir quais usuários terão sua senha armazenada em cache no RODC Starter GPOs Starter GPOs são modelos de objetos de políticas de grupo que podem ser criados, armazenados e utilizados. Ao criar uma nova política é possível tomar por base um modelo existente em Starter GPOs. Nos modelos do Starter GPOs existem dois tipos de ambientes EC e SSLF:

Como utilizar o Item-Level targeting
1)Edite a política desejada. 2) Em preferences selecione o item desejado. 3) Defina a política conforme sua necessidade. 4) Clique e Common e selecione Item-Level targeting para criar o seu filtro. Group Policy Templates Os templates ADM agora são arquivos ADMX (admx, adml) Offline Domain Join Computadores podem agora participar de um domínio sem estar conectado ao domínio durante o processo de implantação, também conhecido Offline Domain Join. Utilize a ferramenta Djoin.exe para adicionar os computadores. Você pode executar Djoin.exe apenas em computadores que executam o Windows 7 ou Windows Server 2008 R2. djoin /provision /domain <domain_name> /machine <destination computer> /savefile <filename.txt> [/machineou <OU name>] [/dcname <name of domain controller>] [/reuse] [/downlevel] [/defpwd] [/nosearch] [/printblob]

Enterprise Client (EC). Servidores neste ambiente estão localizados em um domínio que usa AD DS e que mantém comunicação com servidores executando o Windows Server 2008 ou Windows Server 2003 SP2 ou superior. Os clientes neste ambiente executam sistemas como o Windows Vista ou Windows XP professional com SP2 ou superior.
Specialized Security – Limited Functionality (SSLF). O conceito de segurança neste ambiente é tão grande que a perda de funcionalidade ou gerenciamento é aceitável. Por exemplo, agencias de inteligência ou militar operam neste ambiente. Os servidores neste ambiente executam apenas o Windows Server 2008.

Resumão
www.mcsesolution.com
Fine-Grained Passwords

A lixeira no Active Directory
O recurso da lixeira permite recuperar objetos excluídos do Active Directory.

Fine-Grained Passwords é um recurso que permite estabelecer uma política de senha para grupos distintos. Para implementar o Fine-Grained Password é necessário que nível funcional do domínio esteja definido como Windows 2008. Você pode utilizar o ADSI Edit ou o LDIFDE para criar Password Settings objects (PSOs): . Utilizando o ADSI 1) Expanda DC=<domain_name> 2) Expanda CN=System. 3) Clique em CN=Password Settings Container 4) Crie um novo objeto msDS-PasswordSettings. Defina as opções: msDS-PasswordSettingsPrecedence Prioridade ( maior que 0) msDS-PasswordReversibleEncryptionEnabled Criptografia reversível (True/False) msDS-PasswordHistoryLength Histórico de senhas (0 até 1024) msDS-PasswordComplexityEnabled Complexidade da senha (True/False) msDS-MinimumPasswordLength Tamanho minimo da senha (0 até 255) msDS-MinimumPasswordAge Idade mínima da senha (00:00:00:00 até idade maxima) msDS-MaximumPasswordAge Idade máxima da senha (Never até 00:00:00:00) msDS-LockoutThreshold Bloqueio da conta (0 até 65535) msDS-LockoutObservationWindow De 00:00:00:01 até msDS-LockoutDuration msDS-LockoutDuration Duração do bloqueio (never até msDSLockoutObservationWindow ) msDS-PSOAppliesTo Usuários/Grupos a que se aplica esta política.
Utilizando o LDFIDE: dn: CN=PSO1, CN=Password Settings Container,CN=System,DC=dc1,DC=mcsesolution,DC=lab changetype: add objectClass: msDS-PasswordSettings msDSMaximumPasswordAge:-1728000000000 msDSMinimumPasswordAge:-864000000000 msDSMinimumPasswordLength:8 msDSPasswordHistoryLength:24 msDSPasswordComplexityEnabled:TRUE msDSPasswordReversibleEncryptionEnabled:FALSE msDS-LockoutObservationWindow:-18000000000 msDS-LockoutDuration:-18000000000 msDS-LockoutThreshold:0 msDS-PasswordSettingsPrecedence:20 msDS-PSOAppliesTo:CN=user1,CN=Users,DC=dc1, DC=mcsesolution,DC=lab Para importar ldifde –i -f arquivo.ldf

Para habilitar a lixeira: (Atenção este é um procedimento irreversível) em servidores Domain Controllers atualizados para o Windows Server 2008 R2 é necessário antes atualizar o Schema. Passos para habilitar a lixeira em um servidor atualizado. 1) adprep /forestprep - No server que possui a função "schema master" 2) adprep /domainprep /gpprep - No server que possui a função "infrastructure operations master" 3) adprep /rodcprep - Se existir um read-only domain controllers na sua rede. Passos para habilitar a lixeira em um servidor com uma nova instalação do Windows Server 2008 R2 1) Apenas aumente o nível funcional da floresta para Windows Server 2008 R2 Se houver o Active Directory Lightweight Directory Services (AD LDS) 2) Atualizar o schemma utilizando o seguinte comando: ldifde.exe –i –f MS-ADAM-Upgrade-2.ldf –s nomedoservidor:port –b Administrator Pa$$w0rd –j . -$ adamschema.cat 3) Aumentar o nível funcional do conjunto de configurações do AD LDS para Windows Server 2008 R2 Depois que o nível funcional da floresta do ambiente estiver definido como Windows Server 2008 R2, você poderá habilitar a Lixeira do Active Directory usando os seguintes métodos: Cmdlet do módulo do Active Directory EnableADOptionalFeature (Esse é o método recomendado.)

766ddcd8-acd0-445e-f3b9-a7f9b6744f2a é o identificador exclusivo global (GUID) da Lixeira do Active Directory

Para verificar se a Lixeira do Active Directory está habilitada, navegue para o contêiner CN=Partitions. No painel de detalhes, localize o atributo msDS-EnabledFeature e confirme se o seu valor está definido como CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=mcsesolution, DC=lab, em que mcsesolution e lab representam o nome de domínio raiz da floresta apropriado do seu ambiente AD DS.

Resumão
www.mcsesolution.com
Restartable AD DS É possível parar e iniciar o serviço do Active Directory tanto pela ferramenta services parando o serviço “Active Directory Domain Services” como pelo comando net. Net stop NTDS Backup Para fazer o Backup do Active Directory, instale o feature “Windows Server Backup” e regularmente efetue backup do “System State” utilizando a ferramenta gráfica ou digite a seguinte linha de comando: wbadmin start systemstatebackup –backuptarget:d: Restauração do AD DS IFM (Criando uma media) Para criar uma media para criação de um domain controller adicional escolha entre as opções: create full %s – Cria uma mídia IFM completa para o ADDC ou AD/LDS. create rodc %s – Cria uma mídia IFM para um Read-Only DC create Sysvol full %s – Cria uma mídia IFM com o SYSVOL para um ADDC. create Sysvol RODC %s – Cria uma mídia IFM com o SYSVOL para um RODC. Exemplo: No prompt de comando digite: ntdsutil Activate Instance NTDS IFM create full e:\mediaifm Após criar a media no Windows Server 2008 R2 no qual deseja promover a Domain Controller adicional, execute o DCPROMO /ADV e na janela Install from Media aponte para os arquivos recém criados. Comandos PowerShell Clique em Start/ Administrative Tools / Active Directory Module for PowerShell. New-ADUser –Name "Felipe Donda" –SamAccountName FelipeD –DisplayName "Felipe Donda" –Title "IT Manager" –Enabled $true –ChangePasswordAtLogon $true -AccountPassword (ConvertTo-SecureString "Pa$$w0rd" -AsPlainText -force) -PassThru New-ADGroup -Name "IT Managers" -SamAccountName itmanagers -GroupScope Global -GroupCategory Security -Description "IT Managers Group" –PassThru New-ADOrganizationalUnit -Name SuporteTecnico ProtectedFromAccidentalDeletion $true -PassThru Add-ADGroupMember -Identity itmanagers -Members FelipeD Get-ADGroupMember -Identity itmanagers Get-ADPrincipalGroupMembership -Identity FelipeD Get-ADDomain -Current LoggedOnUser Informações Bibliografia
http://technet.microsoft.com Guia completo Windows Server 2008 – Willian R Stanek

Reinicie o controlador de domínio em DSRM (Directory Services Restore Mode).
Restauração não-autoritativa de AD DS Uma restauração não-autoritativa retorna o serviço de diretório ao estado que tinha no momento da criação do backup. Depois de concluída a operação de restauração, a replicação do AD DS atualiza o controlador de domínio, aplicando as alterações feitas desde o momento da criação do backup. Restauração autoritativa de objetos Active Directory excluídos. A restauração autoritativa fornece um método de recuperação de objetos e contêineres que tenham sido excluídos do AD DS. A restauração autoritativa é um processo de quatro etapas: 1.Inicie o controlador de domínio no DSRM ou pare o serviço NTDS. 2.Restaure o backup desejado que, geralmente, é o mais recente. 3.Use Ntdsutil.exe para marcar os objetos desejados, contêineres ou partições como autoritativos. Exemplo: ntdsutil Activate Instance NTDS Authoritative Restore Restore Object “cn=nomedouser, dc=mcsesolution, dc=lab” 4.Reinicie no modo normal para propagar as alterações . IFM (Install from Media) O recurso IFM permite instalar um controlador de domínio adicional a partir da media de backup. A utilização de IFM reduz significativamente o tempo necessário para instalar informações de diretório através da redução da quantidade de dados replicados na rede . O ADDS deve estar iniciado para executar esta operação.

Desenvolvimento
Daniel Donda www.mcsesolution.com | [email protected]

Sponsor Documents

Or use your account on DocShare.tips

Hide

Forgot your password?

Or register your new account on DocShare.tips

Hide

Lost your password? Please enter your email address. You will receive a link to create a new password.

Back to log-in

Close