10140A_05 [Modo de Compatibilidade]

7/31/2019 10140A_05 [Modo de Compatibilidade]

http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 1/25

Módulo 5Configuração de

relações de confiança e

objetos do Active Directory



Visão geral do módulo

• Delegação de acesso administrativo aos objetos do ActiveDirectory®

• Configuração das relações de confiança do Active Directory



Lição 1: Delegação de acesso administrativo aosobjetos do Active Directory

• Permissões de objeto do Active Directory

• O que são permissões efetivas?

• O que é delegação de controle?

• Assistente para delegação de controle

• Discussão: Cenários de delegação de controle



Permissões de objeto do Active Directory

• Podem ser definidas no nível do objeto ou herdadas deseu objeto pai.

• Podem ser permitidas e implicitamente ou explicitamentenegadas.

Incluem permissões padrão e especiais

• As permissões padrão são aquelasatribuídas com mais freqüência

• As permissões especiais fornecem um grau mais preciso

de controle para atribuição de acesso a objetos



Demonstração: Herança da permissão de objetodos Serviços de Domínio Active Directory

Nesta demonstração, você verá como:

• As permissões são herdadas dos objetos do AD DS

• Exibir permissões efetivas de um objeto



O que são permissões efetivas?

As permissões efetivas são aquelas realmente concedidas aousuário ou ao grupo especificado

• As permissões são cumulativas, incluindo as permissõesatribuídas à conta do usuário e à conta do grupo

• As permissões 'negar' explícitas substituem as permissões'permitir' herdadas

• As permissões 'permitir' explícitas substituem as permissões' '

Use a ferramenta Permissões Efetivas para exibir aspermissões efetivas

• As identidades especiais não são usadas quando a guiaPermissões Especiais é usada para exibir as permissõesespeciais

• A ferramenta de Permissões Efetivas não considera aspermissões de compartilhamento



• Administração delegada:

Facilita a administraçãodistribuindo tarefasadministrativas de rotina

O que é delegação de controle?

Atribui a responsabilidade de gerenciar objetos do ActiveDirectory para outro usuário ou grupo

Fornece a usuários ougrupos mais controlesobre recursos de redelocais

Elimina a necessidade decriar várias contasadministrativas

Domínio

UO1

UO2

Admin2

Admin1

Admin3

UO3



Assistente para delegação de controle

Use o Assistente para delegação de controle para:

• Atribuir automaticamente permissões adequadas a usuários egrupos

• Especificar o usuário ou o grupo ao qual você deseja delegarcontrole• Especificar as UOs e os objetos que o usuário ou o grupo deve ter

permissão para controlar

Modificação do Assistente para delegação de controle:

• A lista de tarefas comuns do assistente é controlada por modeloscontidos no arquivo delegwiz.inf

• É possível alterar a lista de tarefas comuns modificando o arquivodelegwiz.inf para incluir outros modelos



Discussão: Cenários de delegação de controle

• Quais são os benefícios da delegação de permissõesadministrativas?

• Como você usaria a delegação de controle na suaorganização?



Demonstração: Configuração da delegação decontrole


• Configurar a delegação com o Assistente para delegaçãode controle

• Configurar a delegação usando um script do WindowsPowerShell



Laboratório A: Configuração da delegação doActive Directory

• Exercício 1: Delegação do controle dos objetos do AD DS

Informações de logon

-

Nome de usuário Administrador

Senha Pa$$w0rd

Tempo estimado: 30 minutos



Cenário do laboratório

O Woodgrove Bank também estabeleceu uma parceria comoutra organização. Alguns usuários de cada organizaçãoprecisam acessar recursos da outra organização. Noentanto, o acesso entre organizações deve ser limitado ao

mínimo de usuários possível.



Lição 2: Configuração das relações de confiançado Active Directory

• O que são as relações de confiança do AD DS?

• Opções de relações de confiança do AD DS

• Como relações de confiança funcionam em uma floresta

• Como relações de confiança funcionam entre florestas

• O que são UPNs?

• O que são configurações de autenticação seletiva?



O que são as relações de confiança do AD DS?

Fornecem um mecanismo para que os usuários obtenham acessoaos recursos de outro domínio

Características da relação de confiança:

• Transitiva: a relação de confiança se estende para além da relaçãoentre dois domínios a fim de incluir outros domínios confiáveis

•

define o domínio da conta e o domínio do recurso• Protocolo de autenticação: protocolo usado para estabelecer

e manter a relação de confiança



Opções de relação de confiança do AD DS

Relação deconfiança entre árvore e raiz

Relação deconfiançade florestaRelação de

confiança

entrepai e filho

Atalho de confiança Relação deconfiança

externa

Relação deconfiança

de território



Como as relações de confiança funcionam emuma floresta

Árvore um

Domínio 1

Domínio raizda árvore

Domínio raizda floresta

Árvore dois

Domínio 2

Domínio C

Domínio A

Domínio B



Como relações de confiança funcionam entre florestas

WoodgroveBank.com

contoso.com

Relação deconfiança de

floresta

Catálogoglobal

Catálogoglobal

6

Seattle

EMEA.WoodgroveBank.com NA.Contoso.com

Vancouver

2 4

1

35

7

89



Demonstração: Exame de relações de confiança


• Examinar o MMC de domínios e relações de confiança doActive Directory



O que são UPNs?

• O sufixo de domínio pode ser o domínio primário do usuário,

qualquer outro domínio da floresta ou um nome de domíniopersonalizado

• Sufixos de domínio UPN adicionais podem ser adicionados

• O UPN é um nome de logon que inclui o nome de logon do usuárioe um sufixo de domínio



• Os UPNs devem ser exclusivos na floresta

Os sufixos UPN podem ser usados para rotear as solicitações deautenticação entre florestas confiáveis:

• O roteamento do sufixo UPN será desabilitado automaticamente seo mesmo sufixo UPN for usado nas duas florestas

• É possível habilitar ou desabilitar manualmente o roteamento donome do sufixo entre relações de confiança



O que são configurações de autenticação seletiva?

Autenticação seletiva:

• Limita quais computadores podem ser acessados pelosusuários de um domínio confiável e quais usuários

do domínio confiável podem acessar o computador• Configurada no descritor de segurança do objeto do

computador localizado no AD DS

Para configurar a autenticação seletiva:

• Configure a relação de confiança de floresta ou externapara usar a autenticação seletiva em vez da autenticação

em todo domínio• Configure as contas do computador para autenticação

seletiva



Laboratório B: Configuração das relações de confiançado Active Directory

• Exercício 1: Configuração das relações de confiança do AD DS

Informações de logon

- -M quinas virtuais , ,

NYC-CL1, VAN-DC1Nome de usuário Administrador

Senha Pa$$w0rd

Tempo estimado: 30 minutos



Cenário do laboratório

O Woodgrove Bank tem diversas exigências degerenciamento dos objetos AD DS. A organizaçãonormalmente contrata estagiários que devem ter permissõeslimitadas e cujas contas devem ser definidas para expirarautomaticamente quando o estágio terminar. As contas deusuário também devem ser definidas com uma configuraçãopadrão. Além disso, a organização precisa de grupos do ADDS, que serão usados para atribuir permissões a váriosrecursos de rede. Ela retende automatizar as tarefas de

gerenciamento de usuário e de grupo e delegar algumastarefas administrativas a administradores principiantes.



Revisão do laboratório

• Após as relações de confiança terem sido configuradasconforme descrito no laboratório, a quais recursos osusuários do Woodgrovebank terão acesso no domínioFabrikam.com?

• Como você configuraria uma relação de confiança defloresta com outra organização se a organização nãofornecesse as credenciais do administrador?



Revisão do módulo e informações

• Perguntas de revisão

• Considerações sobre o gerenciamento de relações deconfiança e objetos do Active Directory

á d õ l d d ã



Página de anotações - Slide excedente. Nãoimprima o slide. Consulte o painel de anotações.

10140A_05 [Modo de Compatibilidade]

Documents

Transcript of 10140A_05 [Modo de Compatibilidade]