certificacao ms70-640

46
Certificacao MS 70-640 Active directory

description

certificacao ms70-640

Transcript of certificacao ms70-640

Page 1: certificacao ms70-640

Certificacao MS 70-640

Active directory

Page 2: certificacao ms70-640

O que são domínios ?

• Os domínios, principais unidades funcionais da • estrutura lógica do Active Directory.• Os domínios têm três principais funções:• 1. Fornecer um limite administrativo para objetos• 2. Permitir um gerenciamento seguro aos recursos • 3. Proporcionar uma unidade de replicação para • objetos

Page 3: certificacao ms70-640

Objetos do domínio.

• Usuários • Grupos• Computadores • Impressoras• Pastas Compartilhadas • Unidades Organizacionais

Page 4: certificacao ms70-640

Banco de dados do Active Directory

• No banco de dados do AD ficam armazenados objetos

• do domínio. O computador que possui o banco de • dados do Active Directory é o Controlador de

Domínio.• O nome do banco de dados do Active Directory é • NTDS.DIT e ficam armazenado por padrão • na pasta %SYSTEMROOT%\NTDS

Page 5: certificacao ms70-640

Arquivos do banco de dados do AD

• NTDS.DIT – Arquivo de banco de dados físico que • guarda o conteúdo do Active Directory.• EDB.CHK – Arquivo de ponto de verificação que • rastreia até onde as transações no arquivo de log • foram confirmadas.• EDB.LOG – Arquivo de log primário• TMP.EDB – Banco de dados temporário para as • transações.

Page 6: certificacao ms70-640

Serviços de Diretório

• Active Directory Certificate Services (AD CS) • Active Directory Domain Services (ADDS)• Active Directory Federation Services (ADFS) • Active Directory Lightweight Directory

Services (ADLDS)• Active Directory Rights Management Services • (ADRMS)

Page 7: certificacao ms70-640

Active Directory Certificate Services (AD CS)

• oferece solução para emissão e administração de

• certificados usados em sistemas de segurança que

• utilizam a tecnologia de chave públicas e privadas.

Page 8: certificacao ms70-640

Active Directory Domain Services (ADDS)

• O AD DS permite um gerenciamento centralizado e • seguro de toda uma rede. Armazena as informações • sobre objetos na rede e gerencia a comunicação entre • os usuários e os domínios, incluindo processos de • logon do usuário, autenticação e pesquisas de • diretório.• O Active Directory Domain Services era anteriormente • chamado de Active Directory

Page 9: certificacao ms70-640

Active Directory Rights Management Services

• (ADRMS) permite proteger e controlar o acesso a

• informações confidenciais — como em documentos e

• e-mails.

Page 10: certificacao ms70-640

Active Directory Federation Services (ADFS)

• permite estabelecer confiança entre diferentes • entidades organizacionais dando aos usuários

finais • um logon único (SSO) entre empresas• Active Directory Lightweight Directory Services • (ADLDS) é um serviço de diretório LDAP.• O ADLDS era anteriormente chamado de Active • Directory Application Mode (ADAM)

Page 11: certificacao ms70-640

Instalação do ADDS

• Para instalar o Active Directory Directory Services • (ADDS) você deve ser membro do grupo Administradores do

servidor que irá instalar o ADDS.• O Active Directory pode ser instalado de 3 maneiras:• 1 - Administrative Tools > ServerManager > Roles > • Add Roles > Selecione o Active Directory Domain • Services.(em seguida execute o comando DCPROMO)• 2 - Através do comando Servermanagercmd.exe –I • ADDS-Domain-Controller. (em seguida execute o • comando DCPROMO).• 3 - Através do comando: DCPROMO. (uma única vez)

Page 12: certificacao ms70-640

A estrutura lógica do Active Directory

• Árvore de domínios. Os domínios são agrupados em estruturas hierárquicas são chamados árvores de domínios.

• Floresta. Uma floresta é uma instância completa do Active Directory Domain Services, que consiste em uma ou mais árvores.

Page 13: certificacao ms70-640

Níveis funcionais

• Operações em níveis funcionais são irreversíveis.• Existem 3 níveis funcionais de domínio:• Windows 2000 native• Windows Server 2003• Windows Server 2008• E 3 níveis funcionais de floresta• Windows 2000• Windows Server 2003• Windows Server 2008

Page 14: certificacao ms70-640

Níveis funcionais

• Aumentar nível funcional do domínio:• Active Directory Users And Computers• Aumentar nível funcional da floresta• Active Directory Domains and trusts• Nível funcional Windows Server 2003 aceita

DC com • Windows Server 2003 ou superior e assim por

diante.

Page 15: certificacao ms70-640

Read Only Domain Controller

• Read Only Domain Controller (RODC) é um • Controlador de domínio adicional somente leitura.• Para instalar um RODC é necessário o nível funcional • da floresta Windows Server 2003 ou superior.• Por padrão o RODC não armazena senhas de contas de • usuário. Você deve popular a cache manualmente.• Password Replication Policy (PRP) permite definir • quais usuários terão sua senha armazenada em cache.

Page 16: certificacao ms70-640

Read Only Domain Controller

• Prepare (stage) um RODC criando uma conta de • computador no Active Directory Users and Computers• Em Domain Controllers usando o assistente:• Pre-Create Read-only Domain Controller Account• wizard.• Você Pode escolher qualquer usuário do domínio para • anexar (attach) um RODC no domínio. • Somente servidores em WorkGroup podem ser pré-• criados para ser um RODC. • O usuário que você escolheu deve usar o comando • dcpromo /useexistingaccount:attach .

Page 17: certificacao ms70-640

Ferramentas de Gerenciamento

• Active Directory Domains and Trusts

• Active Directory Sites and Services

• Active Directory Users and Computers

• ADSI Edit – (Active Directory Service Interfaces • Editor)

• LDP

Page 18: certificacao ms70-640

Active Directory Domains and Trusts

• - Usado para gerenciar relações de confiança de florestas e domínios, acrescentar sufixos ao nome principal do usuário e alterar os níveis funcionais de florestas e domínios

Page 19: certificacao ms70-640

Active Directory Sites and Services

• – Utilizado para criar e gerenciar os serviços ,sites e a replicação de dados do diretório.

Page 20: certificacao ms70-640

Active Directory Users and Computers

• - Um MMC (Microsoft Management Console) usado para gerenciar e publicar informações no Active Directory.

• Você pode gerenciar contas de usuário, grupos, contas de computadores, acrescentar computadores a um domínio.

Page 21: certificacao ms70-640

ADSI Edit – (Active Directory Service Interfaces)

• Editor) Um editor LDAP (Lightweight Directory Access Protocol ) que permite gerenciar objetos e atributos no Active Directory.

Page 22: certificacao ms70-640

LDP

• – Permite a conexão com o banco de dados do • AD ou uma instancia LDS a fim de consultar,

editar ou pesquisas dados do diretório.

Page 23: certificacao ms70-640

Nomes distintos

• Nomes distintos identificam o domínio de um objeto e o caminho para encontrá-lo.

• CN=Felipe Donda,• OU=Diretoria,• DC=mcpbrasil,• DC=com

Page 24: certificacao ms70-640

Ferramentas de linha de comando

• Dsadd• Dsmod• Dsmove• DSrm• Dsquery• Dsget

Page 25: certificacao ms70-640

• Dsadd – Adiciona objetos no Diretório • Exemplo adicionar conta de usuário:• Dsadd cn=Donda, ou=TI, dc=mcpbrasil,

dc=com

Page 26: certificacao ms70-640

• Dsmod – Modifica objetos no Diretório• Exemplo definir uma senha:• dsmod user

cn=Donda,ou=TI,dc=mcpbrasil,dc=com"

Page 27: certificacao ms70-640

• Dsmove – Move objetos no Diretório• Exemplo mover para outra OU• dsmove cn=Donda, ou=TI, dc=mcpbrasil,

dc=com • -newparent “ou=Suporte,

dc=mcpbrasil ,dc=com"

Page 28: certificacao ms70-640

• DSrm – Remove objetos do Diretório• Exemplo: excluir conta de usuário• dsrm "cn=Donda, ou=Suporte, dc=mcpbrasil,

dc=com

Page 29: certificacao ms70-640

• Dsquery – Busca objetos no Diretório• Exemplo: Ler toda informação de um objeto

na • ou=test• dsquery * ou=test,dc=mcpbrasil,dc=com -

scope base• attr *

Page 30: certificacao ms70-640

• Dsget – Exibe informações sobre objetos no Diretório

• Exemplo: Trazer nome de todos usuários da ou=TI

• dsquery "ou=TI,dc=mcpbrasil,dc=com" | get user -fn

Page 31: certificacao ms70-640

Ferramentas de Importação e exportação

• CSVDE – Importa e Exporta objetos do diretório

• utilizando arquivos .CSV (Separado por virgula)• Exemplo para importar:• csvde –i –f usuarios.csv• Exemplo para exportar usuários da ou TI• csvde -d "ou=TI,DC=mcpbrasil,dc=com“ –f • usuarios.csv -r objectClass=user

Page 32: certificacao ms70-640

Ferramentas de Importação e exportação

• LDIFDE - Importa e Exporta objetos do diretório

• utilizando arquivos .LDF • Exemplo para importar:• ldifde –i –f usuarios.ldf• Exemplo para exportar computadores• ldifde –f usuarios.ldf -r

(objectclass=computer)"

Page 33: certificacao ms70-640

Nome principal do usuário (UPN)

• O nome principal de usuário (UPN) identifica o usu

• de determinado domínio: [email protected]

Page 34: certificacao ms70-640

Sites (Estrutura Física)• Em sua rede física, um site representa um conjunto de

computadores conectados por uma rede de alta velocidade, como uma rede local (LAN).

• No AD DS, um objeto de site representa os aspectos site físico a fim de gerenciar a replicação dos dados de diretório entre os controladores de domínio

• Replicação consiste no processo de atualizar informações no Active Directory de um controlador d domínio para outros controladores de domínio em uma rede

• Os objetos de sites e os objetos associados a eles são replicados em todos os controladores de domínio na floresta. É possível gerenciar os objetos utilizando a

• ferramenta Active Directory Sites and Services.

Page 35: certificacao ms70-640

KCC (knowledge consistency checker)

• O KCC knowledge consistency checker é um processo interno executado em cada controlador de domínio que gera a topologia de replicação para todas as partições de diretório contidas no controlador de

• domínio.

Page 36: certificacao ms70-640

IFM (Install from Media)

• O recurso IFM permite instalar um controlador de

• domínio adicional a partir da media de backup.• A utilização de IFM reduz a quantidade de

dados • replicados. O ADDS deve estar iniciado para

executar • esta operação.

Page 37: certificacao ms70-640

IFM (Install from Media)

• Para criar uma media para criação de um domain• controller adicional escolha entre as opções:• create full %s – Cria uma mídia IFM completa para o • ADDC ou AD/LDS.• create rodc %s – Cria uma mídia IFM para um Read-• Only DC• create Sysvol full %s – Cria uma mídia IFM com o • SYSVOL para um ADDC.• create Sysvol RODC %s – Cria uma mídia IFM com o • SYSVOL para um RODC.

Page 38: certificacao ms70-640

IFM (Install from Media)

• Exemplo:• No prompt de comando digite:• ntdsutil• Activate Instance NTDS • IFM• create full e:\mediaifm• Após criar a media no Windows Server 2008 R2 no • qual deseja promover a Domain Controller adicional, • execute o DCPROMO /ADV e na janela Install from• Media aponte para os arquivos recém criados.

Page 39: certificacao ms70-640

Partições do AD

• O banco de dados do Active Directory é dividido logicamente em partições. Cada partição é uma unidade de replicação e cada uma delas tem sua própria topologia de replicação.

Page 40: certificacao ms70-640

Partições do AD

Page 41: certificacao ms70-640

schema

• Esquema (Schema). Possui dois tipos de definições: • classes e atributos de objetos.• As classes de objetos são modelos ou plantas dos • objetos que podem ser criados no Active Directory.• Atributos definem os possíveis valores a serem • associados a uma classe de objeto.• Schema

Page 42: certificacao ms70-640

Partições do AD

• Para editar o schema é necessário registrar a dll• schmmgmt.dll e ser pelo menos do grupo

schema• admins• Iniciar -> executar -> Regsvr32 schmmgmt.dll• Use o Snap-In “Active Directory Schema” para

editar o• schema.

Page 43: certificacao ms70-640

Catalogo Global

• Localiza objetos - Uma solicitação de pesquisa será • encaminhada à porta 3268 do catálogo global .• Fornece a autenticação do nome principal do • usuário.• Um servidor de catálogo global resolve o nome • principal do usuário (UPN) quando o controlador de • domínio da autenticação desconhece a conta de • usuário. • Valida as referências de objeto em uma floresta.• Os controladores de domínio usam o catálogo global • para validar as referências a objetos de outros • domínios na floresta.

Page 44: certificacao ms70-640

Catalogo Global

• Fornece informações sobre a associação ao grupo • universal em um ambiente de vários domínios.• O controlador de domínio também pode descobrir • associações de um usuário ao grupo local do domínio e • ao grupo global e a associação a esses grupos não será • replicada no catálogo global.• Se um servidor de catálogo global não estiver • disponível quando um usuário efetuar logon em um • domínio em que os grupos universais estão • disponíveis, o computador cliente do usuário poderá • usar as credenciais armazenadas em cache para fazer • logon .• O administrador do domínio (conta • Administradores internos) pode sempre efetuar logon• no domínio, mesmo quando um servidor de catálogo • global não estiver disponível.

Page 45: certificacao ms70-640

Objetos de Sites

• Sites - Os objetos de sites são localizados no contêiner• de sites. Em todos os sites, há um objeto de • Configurações de Site NTDS. Esse objeto identifica o • ntersite Topology Generator (ISTG). • Sub-redes - Os objetos da sub-rede identificam os • ntervalos dos endereços IP em um site.• Servidores - Os objetos de servidor são criados • automaticamente quando você adiciona a função de • servidor Active Directory Domain Services

Page 46: certificacao ms70-640

Objetos de Sites• Configurações NTDS - Todo objeto de servidor contém• um objeto de Configurações NTDS, que representa o • controlador de domínio no sistema de replicação. • Também é possível Habilitar ou desabilitar o catálogo • global em um servidor através do NTDS Settings.• Conexões - Os parceiros da replicação dos servidores • de um site são identificados pelos objetos de conexão. • A replicação ocorre em uma direção.• Links de sites - Os links de site representam o fluxo da • replicação entre os sites. Representa a conexão física • de longa distância (WAN) entre dois ou mais sites• Transportes IP e SMTP entre sites - A replicação usa a • chamada de procedimento remoto (RPC) no • ransporte IP ou SMTP