Administração de Sistemas Operacionais Escola Técnica Estadual Maria Eduarda Ramos de Barros Curso Técnico em Redes de Computadores Professor Emerson Felipe

4ª Aula AD DS Promover DC Administrando o AD

Active Directory Domain Services

Active Directory Domain Services O Active Directory Domain Services (AD DS) é a principal função entre os serviços associados ao AD Active Directory Certificate Services (AD CS) Active Directory Federation Services (AD FS) Active Directory Lightweight Directory Services (AD LDS) Active Directory Rights Management Services (AD RMS)

Active Directory Domain Services Toda infraestrutura de domínio é criada a partir dessa função. A promoção de um novo Controlador de domínio (DC) ocorre pelo console do server manager. Pode-se promover um novo controlador de dominio (DC) através do comando dcpromo.

Promover novo DC O primeiro DC do domínio que define a Forest Root Domain. Após a instalação da função do AD DS inicia a processo de criação do novo Domínio pelo assistente. 3 Opções existem nesse assistente Adicionar um novo DC em um domínio existente Adicionar um novo domínio (pai, filhos) em uma floresta existente Criar uma nova floresta

Opções da promoção do novo DC Nível funcional de Floresta e Domínio DNS Catálogo Global (GC) RODC Senha do DRSM

Opções da promoção do novo DC Nível funcional de Floresta e Domínio O nível funcional determina os recursos disponíveis no ambiente do AD de acordo com a versão do Windows Server nos DCs O nível funcional mais elevado sempre vai conter todos os recursos das versões anteriores. Após elevar o nível funcional não é possível rebaixá-lo exceto em alguns casos http://technet.microsoft.com/en-us/library/understanding-active-directory-functional-levels(WS.10).aspx

Opções da promoção do novo DC Nível funcional de Floresta e Domínio Numa promoção de um DC Windows Server 2008 R2 os níveis funcionais disponíveis são Windows Server 2008 R2 Windows Server 2008 Windows Server 2003 Windows Server 2000

Opções da promoção do novo DC DNS Ao promover um DC é necessário um servidor DNS. Para um ambiente de domínio caso o servidor DNS não exista o assistente irá instalar e configurar a função

Opções da promoção do novo DC Catálogo Global (GC) O primeiro DC do domínio sempre conterá o Catálogo Global Catálogo Global - é um controlador de domínio que armazena uma cópia de todos os objetos do Active Directory em uma floresta. O catálogo global armazena uma cópia completa de todos os objetos no diretório para seu domínio host e uma cópia parcial de todos os objetos para todos os outros domínios na floresta.

Opções da promoção do novo DC RODC (Read only domain controller) É um controlador de domínio adicional de um domínio que hospeda partições apenas para leitura (read only) do banco de dados do Active Directory. Dessa forma, o RODC não pode ser o primeiro DC do domínio O RODC é utilizado em filiais que possuem segurança física, largura de banda de rede e especialistas locais para oferecer suporte limitados

Opções da promoção do novo DC Senha do DRSM Directory Services Restore Mode (DRSM) – Para recuperar backups do AD em um DC é necessário entrar nesse modo de restauração e o mesmo solicita uma senha para ser executado. Sempre na promoção de um novo DC será necessário configurar essa senha. Dica: Por falta de documentação em uma implantação de um novo DC a senha do DSRM geralmente é esquecida. Para alterá-la utilize o ntdsutil no prompt de comando em um DC

Opções DNS do novo DC Ao promover um novo DC ele é configurado para instalar um novo DNS.Como, neste ponto, não existe um servidor DNS sendo executado na rede para essa nova infraestrutura de domínio um aviso é apresentado.

Pastas Padrão DC Nestas pastas são armazenadas a base de dados do AD (NTDS.dit) e os arquivos de log e de verificação (EDB*.log/EDB.chk) Database Folder: c:\windows\NTDS Log files folder: c:\windows\NTDS Pasta de armazenamento das GPO (Group Policy Object) SYSVOL folder: c:\windows\SYSVOL

Resumo da Instalação Para cada função instalada e configuradas é exibida um resumo e um script powershell é gerado. O script pode ser usado em processos de automação de implantações

Administrando Active Directory

Consoles Active Directory Active Directory Administrative Center – Permite gerenciar os objetos do AD, gerar script das tarefas de gerenciamento, recuperar objetos apagados Active Directory Domain and Trusts – Criar e gerenciar relações de confiança entre domínios e florestas além de permitir alterar o nível funcional de ambos Active Directory Sites and Services - Usado para administrar a replicação de dados do diretório entre todos os sites em uma floresta

Consoles Active Directory Active Directory Users and Computers – Console mais conhecida do AD para administrar e publicar informações no Active Directory Active Directory Schema – Essa console permite exibir e gerenciar o esquema do AD ADSI Edit - é um editor de LDAP que pode ser usado para gerenciar objetos e atributos no AD

Active Directory Users and Computers O AD é formado por objetos de vários tipos e partir dessa console é possível gerenciá-los vamos conhecer alguns deles Usuário Grupo Computador OU

Active Directory - Usuário Usuário – É um objeto que permite autenticação no domínio e associação de aplicações. Ele é composto de atributos Atributos importantes:Nome, nome de logon e senha Esse objeto possui um identificador de segurança (SID)que é utilizado para receber permissões de acesso a recursos

Active Directory - Usuário Usuário – Nas propriedades do objeto criado é possível visualizar e editar mais atributos desse usuário Dica: é possível alterar atributos de vários objetos selecionados ao mesmo tempo

Desafio É possível criar usuários através de linha de comando?

Active Directory - Grupo Um Grupo é um objeto utilizado para facilitar a administração de múltiplos objetos a partir de um único ponto e também possuem SID. Ex: Um grupo chamado TurmaA terá associado várias contas de usuário para melhor gerenciá-los já que possuem “algo” em comum

Active Directory - Grupo Atributos básicos para a criação: nome, escopo e tipo Tipos de Grupo Segurança - é um tipo de grupo que pode receber permissões para recursos e também pode ser usado como lista de distribuição de e-mails Distribuição – é um tipo usado somente como lista de distribuição de e-mails, não é possível receber permissões para recursos

Active Directory - Grupo Escopos de Grupo Domínio Local – Utilizado para associar objetos que possuem necessidades de acesso a recursos semelhantes Global – Utilizado para organizar os objetos por funções, localidades, setores, etc. Universal – Utilizado para associar objetos de vários domínios

Active Directory - Grupo Propriedades de grupo Membros - são os objetos que fazem parte desse grupo Membro de – são os grupos na qual o grupo em questão faz parte

Active Directory - Grupo Grupos Padrão Nos Contêineres BUILTIN e Users existem vários grupos de segurança que atribuem vários níveis de permissões no domínio. Contêineres são pastas para organizar objetos no AD e não podem ser associadas a GPOs Enteprise Admins, Schema Admins, Admins, Domain Admins, Server Operators, Accounting Operators, Backup Operators, Printing Operators

Active Directory - Computador A conta de computador é criada automaticamente sempre que um computador ingressa no domínio tornando o computador confiável para contas de domínio. Essas contas criadas automaticamente são armazenadas por padrão no Contêiner Computers

Active Directory - Computador O recomendado é que as contas de computadores sejam organizadas em OUs (Organization Units) pois a “Pasta” Computers não é uma OU e sim um Contêiner dessa forma não é possível vincular GPOs ou criar sub-OUs Outra recomendação é criar a conta de computador antes de ingressar no domínio dessa forma ele já vai estar na OU correta e as politicas associadas a OU já serão incorporadas

Active Directory - Computador As contas de computador também possuem usuário e senha que são utilizados para criar uma ligação segura entre o computador e o DC Por padrão qualquer usuário do domínio pode adicionar dez computadores no domínio Para restringir essa configuração é necessário alterar o atributo ms-DS-MachineAccountQuota de contas de usuário para 0 Dica: Para alterar o contêiner padrão de computador basta usar o comando redircmp

Active Directory - OU (Organization Unit) Objetos que permitem a organização do AD hierarquicamente definindo um escopo para os objetos nele armazenados. A elas também poderão ser aplicadas GPOs e delegar administração dos objetos nela contidos.

Active Directory - OU (Organization Unit) Ao criar uma nova OU por padrão a opção de proteção contra exclusão acidental já vem marcada.

Desafio Como remover objetos protegidos contra exclusão acidental?

12/23/2014 10:30 AM © 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.