Resumão

www.mcsesolution.com

Os domínios, principais unidades funcionais da estrutura lógica do Active Directory.Os domínios têm três principais funções:1. Fornecer um limite administrativo para objetos2. Permitir um gerenciamento seguro aos recursos 3. Proporcionar uma unidade de replicação para objetos

Conceito

Árvore de domínios. Os domínios são agrupados em estruturas hierárquicas são chamados árvores de domínios.Floresta. Uma floresta é uma instância completa do Active Directory Directory Services, que consiste em uma ou mais árvores.

Estrutura Lógica

Armazenamento (Extensible Storage Engine (ESE)).

Instalação do Active Directory Directory Services (ADDS

Existem 4 níveis funcionais de domínio:Windows 2000Windows Server 2003Windows Server 2008Windows Server 2008 R2E 4 níveis funcionais de florestaWindows 2000 NativeWindows Server 2003Windows Server 2008Windows Server 2008 R2 Durante a instalação do AD DS a seleção automática por padrão é o nível funcional Windows Server 2003.

É possível rebaixar o nível funcional do domínio de Windows Server 2008 R2 para Windows Server 2008 apenas se o nível funcional da floresta estiver definido como Windows Server 2008 ou inferior.Uma vez elevado o nível funcional da floresta não será possível retroceder o nível funcional Windows 2000 ou Windows Server 2003 em nenhuma situação.

Níveis funcionais

Para instalar o Active Directory Directory Services (ADDS) você deve ser membro do grupo Administradores do servidor que irá instalar o ADDS.

O Active Directory pode ser instalado de 3 maneiras:1 - Administrative Tools > ServerManager > Roles > Add Roles > Selecione o Active Directory Domain Services.(em seguida execute o comando DCPROMO)2 - Através do comando Servermanagercmd.exe –I ADDS-Domain-Controller. (em seguida execute o comando DCPROMO)3 - Através do comando: DCPROMO. (uma única vez)

A partição de instalação deve estar formatada com o sistemade arquivos NTFS.Para converter uma partição ou volume em NTFS use oComando:CONVERT C: /FS:NTFS onde c: é a letra da unidade que deseja converter.

Active Directory Certificate Services (AD CS) oferece solução para emissão e administração de certificados usados em sistemas de segurança que utilizam a tecnologia de chave públicas e privadas.

Active Directory Domain Services (ADDS)O AD DS permite um gerenciamento centralizado e seguro de toda uma rede.Armazena as informações sobre objetos na rede e gerencia a comunicação entre os usuários e os domínios, incluindo processos de logon do usuário, autenticação e pesquisas de diretório.O Active Directory Domain Services era anteriormente chamado de Active Directory

Active Directory Federation Services (ADFS) permite estabelecer confiança entre diferentes entidades organizacionais dando aos usuários finais um logon único (SSO) de conexão remota entre empresas

Active Directory Lightweight Directory Services (ADLDS) é um serviço de diretório LDAP.O ADLDS era anteriormente chamado de Active DirectoryApplication Mode (ADAM)

Active Directory Rights Management Services (ADRMS) permite proteger e controlar o acesso a informações confidenciais — como em documentos e e-mails.

Os arquivos relacionados ao armazenamento de dados são:NTDS.DIT – Arquivo de banco de dados físico que guarda o conteudo do Active Directory.EDB.CHK – Arquivo de ponto de verificação que rastreia até onde as transações no arquivo de log foram confirmadas.EDB.LOG – Arquivo de log primárioEDB00001.LOG - Arquivo de log secundário (será criado conforme necessário.TMP.EDB – Banco de dados temporário para as transações.EDBRES00001.JRS – Reserva espaço para outros arquivos de log, caso o log primário fique cheio.

Serviços de Diretório

Resumão

www.mcsesolution.com

Ferramentas de Gerenciamento Gráficas

Ferramentas de Linha de comando

Objetos

Objetos. São os componentes mais básicos da estrutura lógica. Alguns objetos mais comuns:

Esquema (Schema). Possui dois tipos de definições: classes e atributos de objetos.As classes de objetos são modelos ou plantas dos objetos que podem ser criados no Active Directory.Atributos definem os possíveis valores a serem associados a uma classe de objeto.As classes de objetos, como usuários, computadores e impressoras, descrevem os possíveis objetos de diretórioque você pode criar. Exemplo - Classe User - Atributo - Nome do usuárioPara editar o schema é necessário registrar a dllschmmgmt.dll Iniciar -> executar -> Regsvr32 schmmgmt.dll

Unidade organizacional (OU). Você pode usar esses objetos recipientes para organizar outros objetos de acordo com seus propósitos administrativos.

Catálogo global. É um controlador de domínio que realiza consultas dentro da floresta de modo eficiente .O primeiro controlador de domínio criado por você será automaticamente o servidor de catálogo global

Active Directory Administrative Center - Ferramenta de administração do AD DS que permite centralizar o gerenciamento e personalizar para diversos propósitos.

Active Directory Domains and Trusts - Usado para gerenciar relações de confiança de florestas e domínios,acrescentar sufixos ao nome principal do usuário e alterar os níveis funcionais de florestas e domínios

Active Directory Module for Windows PowerShell – Contem 90 cmdlets não existentes no powershell padrão.Utilize - Get-Command *-AD* para listar os cmdlets.

Active Directory Sites and Services – Utilizado para criar e gerenciar os serviços ,sites e a replicação de dados do diretório.

Active Directory Users and Computers - Um MMC (Microsoft Management Console) usado para gerenciar e publicarinformações no Active Directory. Você pode gerenciar contas de usuário, grupos, contas de computadores, acrescentar computadores a um domínio.

ADSI Edit – (Active Directory Service Interfaces Editor) Um editor LDAP ((Lightweight Directory Access Protocol ) que permite gerenciar objetos e atributos no Active Directory.

Usuários Grupos Computadores Impressoras

Pastas Compartilhadas Unidades Organizacionais

Dsadd – Adiciona objetos no Diretório Exemplo adicionar conta de usuário:Dsadd cn=Donda, ou=TI, dc=mcsesolution, dc=com

Dsmod – Modifica objetos no DiretórioExemplo definir uma senha:dsmod user cn=Donda,ou=TI,dc=mcsesolution,dc=com" -pwd Pa$$w0rd

Dsmove – Move objetos no DiretórioExemplo mover para outra OUdsmove cn=Donda, ou=TI, dc=mcsesolution, dc=com -newparent “ou=Suporte, dc=mcsesolution ,dc=com"

DSrm – Remove objetos do DiretórioExemplo: excluir conta de usuáriodsrm "cn=Donda, ou=Suporte, dc=mcsesolution, dc=com"

Dsquery – Busca objetos no DiretórioExemplo: Ler toda informação de um objeto na ou=testdsquery * ou=test,dc=mcsesolution,dc=com -scope base -attr *

Dsget – Exibe informações sobre objetos no DiretórioExemplo: Trazer nome e sobrenome de todos usuários da ou=TIdsquery "ou=TI,dc=mcsesolution,dc=com" | get user -fn -ln

Nomes distintos identificam o domínio de um objeto e o caminho para encontrá-lo.CN=Felipe Donda,OU=Diretoria,DC=Mcsesolution,DC=com

Nomes Distintos

CSVDE – Importa e Exporta objetos do diretório utilizando arquivos .CSV (Separado por virgula)Exemplo para importar:csvde –i –f usuarios.csvExemplo para exportar usuários da ou TIcsvde -d "ou=TI,DC=mcsesolution,dc=com“ –f usuarios.csv-r objectClass=user

LDIFDE - Importa e Exporta objetos do diretório utilizando arquivos .LDF Exemplo para importar:ldifde –i –f usuarios.ldfExemplo para exportar computadoresldifde –f usuarios.ldf -r (objectclass=computer)"

Ferramentas de Importação e exportação

Resumão

www.mcsesolution.com

Sites (Estrutura Física)

Objetos de sites

Funcionalidade do catálogo global

Localiza objetos - Uma solicitação de pesquisa será encaminhada à porta 3268 do catálogo global .

Fornece a autenticação do nome principal do usuário.Um servidor de catálogo global resolve o nome principal do usuário (UPN) quando o controlador de domínio da autenticação desconhece a conta de usuário.

Valida as referências de objeto em uma floresta.Os controladores de domínio usam o catálogo global para validar as referências a objetos de outros domínios na floresta.

Fornece informações sobre a associação ao grupo universal em um ambiente de vários domínios.O controlador de domínio também pode descobrir associações de um usuário ao grupo local do domínio e ao grupo global e a associação a esses grupos não será replicada no catálogo global.

Se um servidor de catálogo global não estiver disponível quando um usuário efetuar logon em um domínio em que os grupos universais estão disponíveis, o computador cliente do usuário poderá usar as credenciais armazenadas em cache para fazer logon .

Em sua rede física, um site representa um conjunto de computadores conectados por uma rede de alta velocidade, como uma rede local (LAN).

No AD DS, um objeto de site representa os aspectos do site físico a fim de gerenciar a replicação dos dados do diretório entre os controladores de domínio

Replicação consiste no processo de atualizar informações no Active Directory de um controlador de domínio para outros controladores de domínio em uma rede

Os objetos de sites e os objetos associados a eles são replicados em todos os controladores de domínio na floresta. É possível gerenciar os objetos utilizando a ferramenta ActiveDirectory Sites and Services:

Sites - Os objetos de sites são localizados no contêiner de sites. Em todos os sites, há um objeto de Configurações de Site NTDS. Esse objeto identifica o Intersite TopologyGenerator (ISTG).

Sub-redes - Os objetos da sub-rede identificam os intervalos dos endereços IP em um site.

Servidores - Os objetos de servidor são criados automaticamente quando você adiciona a função de servidor Active Directory Domain Services

Configurações NTDS - Todo objeto de servidor contém um objeto de Configurações NTDS, que representa o controlador de domínio no sistema de replicação. Também é possível Habilitar ou desabilitar o catálogo global em um servidor através do NTDS Settings.

Conexões - Os parceiros da replicação dos servidores de um site são identificados pelos objetos de conexão. A replicação ocorre em uma direção.

Links de sites - Os links de site representam o fluxo da replicação entre os sites. Representa a conexão física de longa distância (WAN) entre dois ou mais sites

Transportes IP e SMTP entre sites - A replicação usa a chamada de procedimento remoto (RPC) no transporte IP ou SMTP

O nome principal de usuario (UPN) identificam o usuário de determinado dominio:donda@mcsesolution.com

Nome Principal de usuário (UPN)

O banco de dados do Active Directory é dividido logicamente em partições. Cada partição é uma unidade de replicação e cada uma delas tem sua própria topologia de replicação.

Partições do AD DS

Site RJ

Site SPSub-rede IP

Sub-rede IP

Topologia

O KCC é um processo interno executado em cada controlador de domínio que gera a topologia de replicação para todas as partições de diretório contidasno controlador de domínio

Replicaçãoconfigurável

Domínio

Floresta Esquema

Configuração

<Domínio>

<Aplicativo>

Resumão

www.mcsesolution.com

Catalogo Global e Administradores

Group Policy Templates

Item-Level targeting

O administrador do domínio (conta Administradores internos) pode sempre efetuar logon no domínio, mesmo quando um servidor de catálogo global não estiver disponível.

Repadmin é uma ferramenta de linha de comando que reporta falhas entre dois parceiros de replicaçãorepadmin /showrepl server.mcsesolution.com - exibe os parceiros de replicação e as falhas ocorridas no Servidor, no domínio mcsesolution.com.

Dcdiag é uma ferramenta de linha de comando que pode verificar o registro de DNS de um controlador de domínio, verificar se os identificadores de segurança (SIDs) apresentam as permissões de replicação apropriadas, analisar o estado dos controladores de domínio e assim por diantedcdiag /test:replications - verifica os erros de replicação entre os controladores de domínio:

GPOs podem ser aplicados ao computador local, sites, domínios e unidades organizacionais.Nesta ordem, tendo precedência a ultima a ser aplicada caso exista conflito. Do contrario as políticas são acumulativas.

Block Inheritance – Opção que pode ser aplicado a um domínio ou OU e faz com que as políticas não sejam herdadas. (Bloqueio de herança).

Enforced - Opção que força a aplicação da política. (Mesmo quando a opção Block inheritance esteja marcada.

Group Policy Object

GPO e Power Shell

É possível criar, linkar, renomear, fazer backup, copiar e remover GPOs através do PowerShell:

Import-module GroupPolicy get-help *-gp*

Starter GPOs

Starter GPOs são modelos de objetos de políticas de grupo que podem ser criados, armazenados e utilizados.Ao criar uma nova política é possível tomar por base um modelo existente em Starter GPOs.Nos modelos do Starter GPOs existem dois tipos de ambientes EC e SSLF:

Enterprise Client (EC). Servidores neste ambiente estão localizados em um domínio que usa AD DS e que mantém comunicação com servidores executando o Windows Server 2008 ou Windows Server 2003 SP2 ou superior.Os clientes neste ambiente executam sistemas como o Windows Vista ou Windows XP professional com SP2 ou superior.

Specialized Security – Limited Functionality (SSLF). O conceito de segurança neste ambiente é tão grande que a perda de funcionalidade ou gerenciamento é aceitável. Por exemplo, agencias de inteligência ou militar operam neste ambiente. Os servidores neste ambiente executam apenas o Windows Server 2008.

É possível definir um alvo especifico utilizando mais de 29 combinações de coleções com lógica boolena (And, Or, Not).Além de muitos itens intuitivos de modo que a política só se aplica a usuários e computadores específicos.

Como utilizar o Item-Level targeting

1)Edite a política desejada.2) Em preferences selecione o item desejado.3) Defina a política conforme sua necessidade.4) Clique e Common e selecione Item-Level targeting para criar o seu filtro.

Ferramentas relacionadas a sites e replicação

Os templates ADM agora são arquivos ADMX (admx, adml)

Read-Only Domain Controller. Um controlador de domínio com uma versão somente leitura do banco de dados do Active Directory que pode ser implantadas em ambientes onde a segurança do controlador de domínio não pode ser garantida. O uso de Read-Only Domain Controllers (RODC) impede que as alterações feitas nas filiais da floresta possam poluir ou corromper o seu AD via replicação. Password Replication Policy (PRP) permite definir quais usuários terão sua senha armazenada em cache no RODC

RODC

Computadores podem agora participar de um domínio sem estar conectado ao domínio durante o processo de implantação, também conhecido Offline Domain Join.Utilize a ferramenta Djoin.exe para adicionar os computadores.Você pode executar Djoin.exe apenas em computadores que executam o Windows 7 ou Windows Server 2008 R2.

djoin /provision /domain <domain_name> /machine <destination computer> /savefile <filename.txt> [/machineou <OU name>] [/dcname <name of domaincontroller>] [/reuse] [/downlevel] [/defpwd] [/nosearch] [/printblob]

Offline Domain Join

Resumão

www.mcsesolution.com

Fine-Grained Passwords

Fine-Grained Passwords é um recurso que permite estabelecer uma política de senha para grupos distintos. Para implementar o Fine-Grained Password é necessário que nível funcional do domínio esteja definido como Windows 2008.Você pode utilizar o ADSI Edit ou o LDIFDE para criar Password Settings objects (PSOs):.Utilizando o ADSI1) Expanda DC=<domain_name>2) Expanda CN=System.3) Clique em CN=Password Settings Container 4) Crie um novo objeto msDS-PasswordSettings.Defina as opções:msDS-PasswordSettingsPrecedencePrioridade ( maior que 0)msDS-PasswordReversibleEncryptionEnabledCriptografia reversível (True/False)msDS-PasswordHistoryLengthHistórico de senhas (0 até 1024)msDS-PasswordComplexityEnabledComplexidade da senha (True/False)msDS-MinimumPasswordLengthTamanho minimo da senha (0 até 255)msDS-MinimumPasswordAgeIdade mínima da senha (00:00:00:00 até idade maxima)msDS-MaximumPasswordAgeIdade máxima da senha (Never até 00:00:00:00)msDS-LockoutThresholdBloqueio da conta (0 até 65535)msDS-LockoutObservationWindowDe 00:00:00:01 até msDS-LockoutDurationmsDS-LockoutDurationDuração do bloqueio (never até msDS-LockoutObservationWindow )msDS-PSOAppliesToUsuários/Grupos a que se aplica esta política.

Utilizando o LDFIDE:dn: CN=PSO1, CN=Password SettingsContainer,CN=System,DC=dc1,DC=mcsesolution,DC=labchangetype: add objectClass: msDS-PasswordSettings msDS-MaximumPasswordAge:-1728000000000 msDS-MinimumPasswordAge:-864000000000 msDS-MinimumPasswordLength:8 msDS-PasswordHistoryLength:24 msDS-PasswordComplexityEnabled:TRUE msDS-PasswordReversibleEncryptionEnabled:FALSE msDS-LockoutObservationWindow:-18000000000 msDS-LockoutDuration:-18000000000 msDS-LockoutThreshold:0 msDS-PasswordSettingsPrecedence:20 msDS-PSOAppliesTo:CN=user1,CN=Users,DC=dc1, DC=mcsesolution,DC=lab

Para importar ldifde –i -f arquivo.ldf

Para habilitar a lixeira: (Atenção este é um procedimento irreversível) em servidores Domain Controllers atualizadospara o Windows Server 2008 R2 é necessário antes atualizar o Schema.Passos para habilitar a lixeira em um servidor atualizado.1) adprep /forestprep - No server que possui a função "schema master"2) adprep /domainprep /gpprep - No server que possui a função "infrastructure operations master"3) adprep /rodcprep - Se existir um read-only domaincontrollers na sua rede.

Passos para habilitar a lixeira em um servidor com uma nova instalação do Windows Server 2008 R2 1) Apenas aumente o nível funcional da floresta para Windows Server 2008 R2Se houver o Active Directory Lightweight Directory Services (AD LDS) 2) Atualizar o schemma utilizando o seguinte comando:ldifde.exe –i –f MS-ADAM-Upgrade-2.ldf –s nomedoservidor:port –b Administrator Pa$$w0rd –j . -$ adamschema.cat

3) Aumentar o nível funcional do conjunto de configurações do AD LDS para Windows Server 2008 R2

Depois que o nível funcional da floresta do ambiente estiver definido como Windows Server 2008 R2, você poderá habilitar a Lixeira do Active Directory usando os seguintes métodos: Cmdlet do módulo do Active Directory Enable-ADOptionalFeature (Esse é o método recomendado.)

766ddcd8-acd0-445e-f3b9-a7f9b6744f2a é o identificador exclusivo global (GUID) da Lixeira do Active Directory

Para verificar se a Lixeira do Active Directory está habilitada, navegue para o contêiner CN=Partitions. No painel de detalhes, localize o atributo msDS-EnabledFeature e confirme se o seu valor está definido como CN=Recycle Bin Feature,CN=Optional Features,CN=DirectoryService,CN=Windows NT,CN=Services,CN=Configuration, DC=mcsesolution, DC=lab, em que mcsesolution e labrepresentam o nome de domínio raiz da floresta apropriado do seu ambiente AD DS.

A lixeira no Active Directory

O recurso da lixeira permite recuperar objetos excluídos do Active Directory.

Resumão

www.mcsesolution.com

Restartable AD DS

Comandos PowerShell

É possível parar e iniciar o serviço do Active Directorytanto pela ferramenta services parando o serviço “Active Directory Domain Services” como pelo comando net.

Net stop NTDS

Para fazer o Backup do Active Directory, instale o feature“Windows Server Backup” e regularmente efetue backup do “System State” utilizando a ferramenta gráfica ou digite a seguinte linha de comando:wbadmin start systemstatebackup –backuptarget:d:

Para criar uma media para criação de um domain controlleradicional escolha entre as opções:create full %s – Cria uma mídia IFM completa para o ADDC ou AD/LDS.create rodc %s – Cria uma mídia IFM para um Read-Only DCcreate Sysvol full %s – Cria uma mídia IFM com o SYSVOL para um ADDC.create Sysvol RODC %s – Cria uma mídia IFM com o SYSVOL para um RODC. Exemplo:No prompt de comando digite:

ntdsutilActivate Instance NTDS IFMcreate full e:\mediaifm

Após criar a media no Windows Server 2008 R2 no qual deseja promover a Domain Controller adicional, execute o DCPROMO /ADV e na janela Install from Media aponte para os arquivos recém criados.

IFM (Criando uma media)

Backup

O recurso IFM permite instalar um controlador de domínio adicional a partir da media de backup.A utilização de IFM reduz significativamente o tempo necessário para instalar informações de diretório através da redução da quantidade de dados replicados na rede .O ADDS deve estar iniciado para executar esta operação.

Reinicie o controlador de domínio em DSRM (DirectoryServices Restore Mode).

Restauração não-autoritativa de AD DSUma restauração não-autoritativa retorna o serviço de diretório ao estado que tinha no momento da criação do backup. Depois de concluída a operação de restauração, a replicação do AD DS atualiza o controlador de domínio, aplicando as alterações feitas desde o momento da criação do backup.

Restauração autoritativa de objetos Active Directoryexcluídos.A restauração autoritativa fornece um método de recuperação de objetos e contêineres que tenham sido excluídos do AD DS. A restauração autoritativa é um processo de quatro etapas:

1.Inicie o controlador de domínio no DSRM ou pare o serviço NTDS.2.Restaure o backup desejado que, geralmente, é o mais recente.3.Use Ntdsutil.exe para marcar os objetos desejados, contêineres ou partições como autoritativos.Exemplo: ntdsutilActivate Instance NTDSAuthoritative RestoreRestore Object “cn=nomedouser, dc=mcsesolution, dc=lab”4.Reinicie no modo normal para propagar as alterações.

Restauração do AD DS

Clique em Start/ Administrative Tools / Active DirectoryModule for PowerShell.

New-ADUser –Name "Felipe Donda" –SamAccountNameFelipeD –DisplayName "Felipe Donda" –Title "IT Manager" –Enabled $true –ChangePasswordAtLogon$true -AccountPassword (ConvertTo-SecureString"Pa$$w0rd" -AsPlainText -force) -PassThru

New-ADGroup -Name "IT Managers" -SamAccountNameitmanagers -GroupScope Global -GroupCategory Security-Description "IT Managers Group" –PassThru

New-ADOrganizationalUnit -Name SuporteTecnico -ProtectedFromAccidentalDeletion $true -PassThru

Add-ADGroupMember -Identity itmanagers -MembersFelipeD

Get-ADGroupMember -Identity itmanagers

Get-ADPrincipalGroupMembership -Identity FelipeD

Get-ADDomain -Current LoggedOnUserIFM (Install from Media)

Informações

Bibliografia http://technet.microsoft.comGuia completo Windows Server 2008 – Willian R Stanek

DesenvolvimentoDaniel Donda www.mcsesolution.com | donda@mcsesolution.com