O que so domnios ?
Os domnios, principais unidades funcionais da
estrutura lgica do Active Directory.
Os domnios tm trs principais funes:
1. Fornecer um limite administrativo para objetos
2. Permitir um gerenciamento seguro aos recursos
3. Proporcionar uma unidade de replicao para
objetos
Objetos do domnio.
Usurios
Grupos
Pastas Compartilhadas
Computadores
Impressoras
Unidades Organizacionais
Floresta
rvore
Nveis funcionais
Operaes em nveis funcionais so irreversveis.
Existem 3 nveis funcionais de domnio:
Windows 2000 native
Windows Server 2003
Windows Server 2008
E 3 nveis funcionais de floresta
Windows 2000
Windows Server 2003
Windows Server 2008
Aumentar nvel funcional do domnio:
Active Directory Users And Computers
Aumentar nvel funcional da floresta
Active Directory Domains and trusts
Nvel funcional Windows Server 2003 aceita DC com
Windows Server 2003 ou superior e assim por diante.
Ferramentas de Gerenciamento
Active Directory Domains and Trusts - Usado para
gerenciar relaes de confiana de florestas e
domnios, acrescentar sufixos ao nome principal do
usurio e alterar os nveis funcionais de florestas e
domnios
Nomes distintos
Nomes distintos identificam o domnio de um objeto e
o caminho para encontr-lo.
CN=Felipe Donda,OU=Diretoria,DC=mcpbrasil,DC=com
Sub-rede IP
Sub-rede IP
Site SP
Site RJ
No AD DS, um objeto de site representa os aspectos do
site fsico a fim de gerenciar a replicao dos dados do
diretrio entre os controladores de domnio
Replicao consiste no processo de atualizar
informaes no Active Directory de um controlador de
domnio para outros controladores de domnio em
uma rede
Os objetos de sites e os objetos associados a eles so
replicados em todos os controladores de domnio na
floresta. possvel gerenciar os objetos utilizando a
ferramenta Active Directory Sites and Services.
KCC (knowledge consistency checker)
O KCC knowledge consistency checker um processo
interno executado em cada controlador de domnio
que gera a topologia de replicao para todas as
parties de diretrio contidas no controlador de
domnio.
IFM (Install from Media)
O recurso IFM permite instalar um controlador de
domnio adicional a partir da media de backup.
A utilizao de IFM reduz a quantidade de dados
replicados. O ADDS deve estar iniciado para executar
esta operao.
Parties do AD
Para editar o schema necessrio registrar a dll
schmmgmt.dll e ser pelo menos do grupo schema
admins
Iniciar -> executar -> Regsvr32 schmmgmt.dll
Use o Snap-In Active Directory Schema para editar o
schema.
Catalogo Global
ntdsutil
Activate Instance NTDS
IFM
create full e:\mediaifm
Parties do AD
O banco de dados do Active Directory dividido
logicamente em parties. Cada partio uma
unidade de replicao e cada uma delas tem sua
prpria topologia de replicao.
Schema
Esquema (Schema). Possui dois tipos de definies:
classes e atributos de objetos.
As classes de objetos so modelos ou plantas dos
objetos que podem ser criados no Active Directory.
Atributos definem os possveis valores a serem
associados a uma classe de objeto.
Objetos de Sites
Sites - Os objetos de sites so localizados no continer
de sites. Em todos os sites, h um objeto de
Configuraes de Site NTDS. Esse objeto identifica o
Intersite Topology Generator (ISTG).
Sub-redes - Os objetos da sub-rede identificam os
intervalos dos endereos IP em um site.
Servidores - Os objetos de servidor so criados
automaticamente quando voc adiciona a funo de
servidor Active Directory Domain Services
Configuraes NTDS - Todo objeto de servidor contm
um objeto de Configuraes NTDS, que representa o
controlador de domnio no sistema de replicao.
Tambm possvel Habilitar ou desabilitar o catlogo
global em um servidor atravs do NTDS Settings.
Conexes - Os parceiros da replicao dos servidores
de um site so identificados pelos objetos de conexo.
A replicao ocorre em uma direo.
Trusts
Domnios filhos possuem uma relao de confiana
automtica transitiva e bidirecional com o domnio pai.
Tipos de relaes de confiana:
Forest trust Permite Autenticao seletiva ou
domain Wide
Shortcut trusts Acelera o processo de autenticao.
Realm trust No para rede Windows.
External trust No transitivo
Forest Trust
Na autenticao seletiva necessrio definir a
permisso Allowed to Authenticate ao grupo ou ao
usurio confivel para o mesmo possa ser autenticado
no domnio confiante.
FSMO (Flexible Single Masters Operations)
Transitivas ou no-transitivas.
Transitiva = Se a Confia em B e B confia em C ento:
C confia em A
B
C
Restartable AD DS
possvel parar e iniciar o servio do Active Directory
tanto pela ferramenta services parando o servio
Active Directory Domain Services como pelo
comando net.
Net stop NTDS
Backup do AD DS
Para fazer o Backup do Active Directory, instale o
feature Windows Server Backup e regularmente
efetue backup do System State utilizando a
ferramenta grfica ou digite a seguinte linha de
comando:
wbadmin start systemstatebackup backuptarget:d:
Restaurao do AD
Restaurao no-autoritativa do AD DS
Uma restaurao no-autoritativa retorna o servio de
diretrio ao estado que tinha no momento da criao
do backup. Depois de concluda a operao de
restaurao, a replicao do AD DS atualiza o
controlador de domnio, aplicando as alteraes feitas
desde o momento da criao do backup.
ntdsutil
Activate Instance NTDS
Authoritative Restore
Restore Object cn=nomedouser, dc=mcsesolution,
dc=lab
PSO
Utilizando o LDFIDE:
dn: CN=PSO1, CN=Password Settings
Container,CN=System,DC=dc1,DC=mcsesolution,DC=la
b changetype: add objectClass: msDSPasswordSettings msDS-MaximumPasswordAge:1728000000000 msDS-MinimumPasswordAge:864000000000 msDS-MinimumPasswordLength:8
msDS-PasswordHistoryLength:24 msDSPasswordComplexityEnabled:TRUE msDSPasswordReversibleEncryptionEnabled:FALSE
msDS-LockoutObservationWindow:-18000000000
msDS-LockoutDuration:-18000000000
msDS-LockoutThreshold:0
msDS-PasswordSettingsPrecedence:20
msDS-PSOAppliesTo:CN=user1,CN=Users,DC=dc1,
DC=mcsesolution,DC=lab
Para importar ldifde i -f arquivo.ldf
AD CS
Active Directory Certificate Services:
CA (Certificate Authority) um servidor que emite e
gerencia servios de certificados digitais.
Voc no ode mudar o nome do servidor aps instalar
o AD CS.
O AD CS suporta tanto CA Enterprise como Stand
Alone.
CA Stand Alone geralmente fornece servios para
Internet. Pode ser instalado em DCs, Servidores
Membros, Stand Alone Servers.
CA Enterprise fornece servios para uma rede interna.
Pode ser instalado em DCs, Servidores Membros
Depois de instalado no possvel alterar de
StandAlone para Enterprise e vice-versa.
AD CS
Root CA A primeira autoridade certificadora da
infraestrutura de chave Publica (PKI)
Subordinate CA Obtm os certificados de uma
autoridade de nvel superior (por exemplo Root CA).
Em criptografia de chave Publica e Privada so usadas
chaves diferentes mas complementares no processo
de criptografia e descriptografia.
Chave publica = Criptografia.
Chave privada = Descriptografia
DNS