certificacao ms70-640
-
Upload
tiago-nobrega -
Category
Documents
-
view
90 -
download
0
description
Transcript of certificacao ms70-640
Certificacao MS 70-640
Active directory
O que são domínios ?
• Os domínios, principais unidades funcionais da • estrutura lógica do Active Directory.• Os domínios têm três principais funções:• 1. Fornecer um limite administrativo para objetos• 2. Permitir um gerenciamento seguro aos recursos • 3. Proporcionar uma unidade de replicação para • objetos
Objetos do domínio.
• Usuários • Grupos• Computadores • Impressoras• Pastas Compartilhadas • Unidades Organizacionais
Banco de dados do Active Directory
• No banco de dados do AD ficam armazenados objetos
• do domínio. O computador que possui o banco de • dados do Active Directory é o Controlador de
Domínio.• O nome do banco de dados do Active Directory é • NTDS.DIT e ficam armazenado por padrão • na pasta %SYSTEMROOT%\NTDS
Arquivos do banco de dados do AD
• NTDS.DIT – Arquivo de banco de dados físico que • guarda o conteúdo do Active Directory.• EDB.CHK – Arquivo de ponto de verificação que • rastreia até onde as transações no arquivo de log • foram confirmadas.• EDB.LOG – Arquivo de log primário• TMP.EDB – Banco de dados temporário para as • transações.
Serviços de Diretório
• Active Directory Certificate Services (AD CS) • Active Directory Domain Services (ADDS)• Active Directory Federation Services (ADFS) • Active Directory Lightweight Directory
Services (ADLDS)• Active Directory Rights Management Services • (ADRMS)
Active Directory Certificate Services (AD CS)
• oferece solução para emissão e administração de
• certificados usados em sistemas de segurança que
• utilizam a tecnologia de chave públicas e privadas.
Active Directory Domain Services (ADDS)
• O AD DS permite um gerenciamento centralizado e • seguro de toda uma rede. Armazena as informações • sobre objetos na rede e gerencia a comunicação entre • os usuários e os domínios, incluindo processos de • logon do usuário, autenticação e pesquisas de • diretório.• O Active Directory Domain Services era anteriormente • chamado de Active Directory
Active Directory Rights Management Services
• (ADRMS) permite proteger e controlar o acesso a
• informações confidenciais — como em documentos e
• e-mails.
Active Directory Federation Services (ADFS)
• permite estabelecer confiança entre diferentes • entidades organizacionais dando aos usuários
finais • um logon único (SSO) entre empresas• Active Directory Lightweight Directory Services • (ADLDS) é um serviço de diretório LDAP.• O ADLDS era anteriormente chamado de Active • Directory Application Mode (ADAM)
Instalação do ADDS
• Para instalar o Active Directory Directory Services • (ADDS) você deve ser membro do grupo Administradores do
servidor que irá instalar o ADDS.• O Active Directory pode ser instalado de 3 maneiras:• 1 - Administrative Tools > ServerManager > Roles > • Add Roles > Selecione o Active Directory Domain • Services.(em seguida execute o comando DCPROMO)• 2 - Através do comando Servermanagercmd.exe –I • ADDS-Domain-Controller. (em seguida execute o • comando DCPROMO).• 3 - Através do comando: DCPROMO. (uma única vez)
A estrutura lógica do Active Directory
• Árvore de domínios. Os domínios são agrupados em estruturas hierárquicas são chamados árvores de domínios.
• Floresta. Uma floresta é uma instância completa do Active Directory Domain Services, que consiste em uma ou mais árvores.
Níveis funcionais
• Operações em níveis funcionais são irreversíveis.• Existem 3 níveis funcionais de domínio:• Windows 2000 native• Windows Server 2003• Windows Server 2008• E 3 níveis funcionais de floresta• Windows 2000• Windows Server 2003• Windows Server 2008
Níveis funcionais
• Aumentar nível funcional do domínio:• Active Directory Users And Computers• Aumentar nível funcional da floresta• Active Directory Domains and trusts• Nível funcional Windows Server 2003 aceita
DC com • Windows Server 2003 ou superior e assim por
diante.
Read Only Domain Controller
• Read Only Domain Controller (RODC) é um • Controlador de domínio adicional somente leitura.• Para instalar um RODC é necessário o nível funcional • da floresta Windows Server 2003 ou superior.• Por padrão o RODC não armazena senhas de contas de • usuário. Você deve popular a cache manualmente.• Password Replication Policy (PRP) permite definir • quais usuários terão sua senha armazenada em cache.
Read Only Domain Controller
• Prepare (stage) um RODC criando uma conta de • computador no Active Directory Users and Computers• Em Domain Controllers usando o assistente:• Pre-Create Read-only Domain Controller Account• wizard.• Você Pode escolher qualquer usuário do domínio para • anexar (attach) um RODC no domínio. • Somente servidores em WorkGroup podem ser pré-• criados para ser um RODC. • O usuário que você escolheu deve usar o comando • dcpromo /useexistingaccount:attach .
Ferramentas de Gerenciamento
• Active Directory Domains and Trusts
• Active Directory Sites and Services
• Active Directory Users and Computers
• ADSI Edit – (Active Directory Service Interfaces • Editor)
• LDP
Active Directory Domains and Trusts
• - Usado para gerenciar relações de confiança de florestas e domínios, acrescentar sufixos ao nome principal do usuário e alterar os níveis funcionais de florestas e domínios
Active Directory Sites and Services
• – Utilizado para criar e gerenciar os serviços ,sites e a replicação de dados do diretório.
Active Directory Users and Computers
• - Um MMC (Microsoft Management Console) usado para gerenciar e publicar informações no Active Directory.
• Você pode gerenciar contas de usuário, grupos, contas de computadores, acrescentar computadores a um domínio.
ADSI Edit – (Active Directory Service Interfaces)
• Editor) Um editor LDAP (Lightweight Directory Access Protocol ) que permite gerenciar objetos e atributos no Active Directory.
LDP
• – Permite a conexão com o banco de dados do • AD ou uma instancia LDS a fim de consultar,
editar ou pesquisas dados do diretório.
Nomes distintos
• Nomes distintos identificam o domínio de um objeto e o caminho para encontrá-lo.
• CN=Felipe Donda,• OU=Diretoria,• DC=mcpbrasil,• DC=com
Ferramentas de linha de comando
• Dsadd• Dsmod• Dsmove• DSrm• Dsquery• Dsget
• Dsadd – Adiciona objetos no Diretório • Exemplo adicionar conta de usuário:• Dsadd cn=Donda, ou=TI, dc=mcpbrasil,
dc=com
• Dsmod – Modifica objetos no Diretório• Exemplo definir uma senha:• dsmod user
cn=Donda,ou=TI,dc=mcpbrasil,dc=com"
• Dsmove – Move objetos no Diretório• Exemplo mover para outra OU• dsmove cn=Donda, ou=TI, dc=mcpbrasil,
dc=com • -newparent “ou=Suporte,
dc=mcpbrasil ,dc=com"
• DSrm – Remove objetos do Diretório• Exemplo: excluir conta de usuário• dsrm "cn=Donda, ou=Suporte, dc=mcpbrasil,
dc=com
• Dsquery – Busca objetos no Diretório• Exemplo: Ler toda informação de um objeto
na • ou=test• dsquery * ou=test,dc=mcpbrasil,dc=com -
scope base• attr *
• Dsget – Exibe informações sobre objetos no Diretório
• Exemplo: Trazer nome de todos usuários da ou=TI
• dsquery "ou=TI,dc=mcpbrasil,dc=com" | get user -fn
Ferramentas de Importação e exportação
• CSVDE – Importa e Exporta objetos do diretório
• utilizando arquivos .CSV (Separado por virgula)• Exemplo para importar:• csvde –i –f usuarios.csv• Exemplo para exportar usuários da ou TI• csvde -d "ou=TI,DC=mcpbrasil,dc=com“ –f • usuarios.csv -r objectClass=user
Ferramentas de Importação e exportação
• LDIFDE - Importa e Exporta objetos do diretório
• utilizando arquivos .LDF • Exemplo para importar:• ldifde –i –f usuarios.ldf• Exemplo para exportar computadores• ldifde –f usuarios.ldf -r
(objectclass=computer)"
Nome principal do usuário (UPN)
• O nome principal de usuário (UPN) identifica o usu
• de determinado domínio: [email protected]
Sites (Estrutura Física)• Em sua rede física, um site representa um conjunto de
computadores conectados por uma rede de alta velocidade, como uma rede local (LAN).
• No AD DS, um objeto de site representa os aspectos site físico a fim de gerenciar a replicação dos dados de diretório entre os controladores de domínio
• Replicação consiste no processo de atualizar informações no Active Directory de um controlador d domínio para outros controladores de domínio em uma rede
• Os objetos de sites e os objetos associados a eles são replicados em todos os controladores de domínio na floresta. É possível gerenciar os objetos utilizando a
• ferramenta Active Directory Sites and Services.
KCC (knowledge consistency checker)
• O KCC knowledge consistency checker é um processo interno executado em cada controlador de domínio que gera a topologia de replicação para todas as partições de diretório contidas no controlador de
• domínio.
IFM (Install from Media)
• O recurso IFM permite instalar um controlador de
• domínio adicional a partir da media de backup.• A utilização de IFM reduz a quantidade de
dados • replicados. O ADDS deve estar iniciado para
executar • esta operação.
IFM (Install from Media)
• Para criar uma media para criação de um domain• controller adicional escolha entre as opções:• create full %s – Cria uma mídia IFM completa para o • ADDC ou AD/LDS.• create rodc %s – Cria uma mídia IFM para um Read-• Only DC• create Sysvol full %s – Cria uma mídia IFM com o • SYSVOL para um ADDC.• create Sysvol RODC %s – Cria uma mídia IFM com o • SYSVOL para um RODC.
IFM (Install from Media)
• Exemplo:• No prompt de comando digite:• ntdsutil• Activate Instance NTDS • IFM• create full e:\mediaifm• Após criar a media no Windows Server 2008 R2 no • qual deseja promover a Domain Controller adicional, • execute o DCPROMO /ADV e na janela Install from• Media aponte para os arquivos recém criados.
Partições do AD
• O banco de dados do Active Directory é dividido logicamente em partições. Cada partição é uma unidade de replicação e cada uma delas tem sua própria topologia de replicação.
Partições do AD
schema
• Esquema (Schema). Possui dois tipos de definições: • classes e atributos de objetos.• As classes de objetos são modelos ou plantas dos • objetos que podem ser criados no Active Directory.• Atributos definem os possíveis valores a serem • associados a uma classe de objeto.• Schema
Partições do AD
• Para editar o schema é necessário registrar a dll• schmmgmt.dll e ser pelo menos do grupo
schema• admins• Iniciar -> executar -> Regsvr32 schmmgmt.dll• Use o Snap-In “Active Directory Schema” para
editar o• schema.
Catalogo Global
• Localiza objetos - Uma solicitação de pesquisa será • encaminhada à porta 3268 do catálogo global .• Fornece a autenticação do nome principal do • usuário.• Um servidor de catálogo global resolve o nome • principal do usuário (UPN) quando o controlador de • domínio da autenticação desconhece a conta de • usuário. • Valida as referências de objeto em uma floresta.• Os controladores de domínio usam o catálogo global • para validar as referências a objetos de outros • domínios na floresta.
Catalogo Global
• Fornece informações sobre a associação ao grupo • universal em um ambiente de vários domínios.• O controlador de domínio também pode descobrir • associações de um usuário ao grupo local do domínio e • ao grupo global e a associação a esses grupos não será • replicada no catálogo global.• Se um servidor de catálogo global não estiver • disponível quando um usuário efetuar logon em um • domínio em que os grupos universais estão • disponíveis, o computador cliente do usuário poderá • usar as credenciais armazenadas em cache para fazer • logon .• O administrador do domínio (conta • Administradores internos) pode sempre efetuar logon• no domínio, mesmo quando um servidor de catálogo • global não estiver disponível.
Objetos de Sites
• Sites - Os objetos de sites são localizados no contêiner• de sites. Em todos os sites, há um objeto de • Configurações de Site NTDS. Esse objeto identifica o • ntersite Topology Generator (ISTG). • Sub-redes - Os objetos da sub-rede identificam os • ntervalos dos endereços IP em um site.• Servidores - Os objetos de servidor são criados • automaticamente quando você adiciona a função de • servidor Active Directory Domain Services
Objetos de Sites• Configurações NTDS - Todo objeto de servidor contém• um objeto de Configurações NTDS, que representa o • controlador de domínio no sistema de replicação. • Também é possível Habilitar ou desabilitar o catálogo • global em um servidor através do NTDS Settings.• Conexões - Os parceiros da replicação dos servidores • de um site são identificados pelos objetos de conexão. • A replicação ocorre em uma direção.• Links de sites - Os links de site representam o fluxo da • replicação entre os sites. Representa a conexão física • de longa distância (WAN) entre dois ou mais sites• Transportes IP e SMTP entre sites - A replicação usa a • chamada de procedimento remoto (RPC) no • ransporte IP ou SMTP