Resumo Exame 70-640

TS: Windows Server 2008 Active Directory, Configuring

Sobre o exame 70-640

O exame 70-640 lhe d crditos para as seguintes

certificaes:
Servios de Diretrio

O que so domnios ?
Os domnios, principais unidades funcionais da
estrutura lgica do Active Directory.
Os domnios tm trs principais funes:
1. Fornecer um limite administrativo para objetos
2. Permitir um gerenciamento seguro aos recursos
3. Proporcionar uma unidade de replicao para
objetos

Objetos do domnio.

Usurios

Grupos

Pastas Compartilhadas

Computadores

Impressoras

Unidades Organizacionais

Banco de dados do Active Directory

No banco de dados do AD ficam armazenados objetos
do domnio. O computador que possui o banco de
dados do Active Directory o Controlador de Domnio.
O nome do banco de dados do Active Directory
NTDS.DIT e ficam armazenado por padro
na pasta %SYSTEMROOT%\NTDS

Arquivos do banco de dados do AD

NTDS.DIT Arquivo de banco de dados fsico que
guarda o contedo do Active Directory.
EDB.CHK Arquivo de ponto de verificao que
rastreia at onde as transaes no arquivo de log
foram confirmadas.
EDB.LOG Arquivo de log primrio
TMP.EDB Banco de dados temporrio para as
transaes.

Active Directory Certificate Services (AD CS)

oferece soluo para emisso e administrao de
certificados usados em sistemas de segurana que
utilizam a tecnologia de chave pblicas e privadas.
Active Directory Domain Services (ADDS)
O AD DS permite um gerenciamento centralizado e
seguro de toda uma rede. Armazena as informaes
sobre objetos na rede e gerencia a comunicao entre
os usurios e os domnios, incluindo processos de
logon do usurio, autenticao e pesquisas de
diretrio.
O Active Directory Domain Services era anteriormente
chamado de Active Directory
Active Directory Federation Services (ADFS)
permite estabelecer confiana entre diferentes
entidades organizacionais dando aos usurios finais
um logon nico (SSO) entre empresas
Active Directory Lightweight Directory Services
(ADLDS) um servio de diretrio LDAP.
O ADLDS era anteriormente chamado de Active
Directory Application Mode (ADAM)
Active Directory Rights Management Services
(ADRMS) permite proteger e controlar o acesso a
informaes confidenciais como em documentos e
e-mails.
Instalao do ADDS
Para instalar o Active Directory Directory Services
(ADDS) voc deve ser membro do grupo
Administradores do servidor
que ir instalar o ADDS.
O Active Directory pode ser instalado de 3 maneiras:

1 - Administrative Tools > ServerManager > Roles >

Add Roles > Selecione o Active Directory Domain
Services.(em seguida execute o comando DCPROMO)
2 - Atravs do comando Servermanagercmd.exe I
ADDS-Domain-Controller. (em seguida execute o
comando DCPROMO).
3 - Atravs do comando: DCPROMO. (uma nica vez)

Resumo Exame 70-640

TS: Windows Server 2008 Active Directory, Configuring

A estrutura lgica do Active Directory

rvore de domnios. Os domnios so agrupados em

estruturas hierrquicas so chamados rvores de
domnios.
Floresta. Uma floresta uma instncia completa do
Active Directory Domain Services, que consiste em
uma ou mais rvores.

Floresta

rvore

Read Only Domain Controller

Prepare (stage) um RODC criando uma conta de
computador no Active Directory Users and Computers
Em Domain Controllers usando o assistente:
Pre-Create Read-only Domain Controller Account
wizard.
Voc Pode escolher qualquer usurio do domnio para
anexar (attach) um RODC no domnio.
Somente servidores em WorkGroup podem ser prcriados para ser um RODC.

Nveis funcionais
Operaes em nveis funcionais so irreversveis.
Existem 3 nveis funcionais de domnio:
Windows 2000 native
Windows Server 2003
Windows Server 2008
E 3 nveis funcionais de floresta
Windows 2000
Windows Server 2003
Windows Server 2008
Aumentar nvel funcional do domnio:
Active Directory Users And Computers
Aumentar nvel funcional da floresta
Active Directory Domains and trusts
Nvel funcional Windows Server 2003 aceita DC com
Windows Server 2003 ou superior e assim por diante.

O usurio que voc escolheu deve usar o comando

dcpromo /useexistingaccount:attach .

Ferramentas de Gerenciamento
Active Directory Domains and Trusts - Usado para
gerenciar relaes de confiana de florestas e
domnios, acrescentar sufixos ao nome principal do
usurio e alterar os nveis funcionais de florestas e
domnios

Active Directory Sites and Services Utilizado para

criar e gerenciar os servios ,sites e a replicao de
dados do diretrio.
Active Directory Users and Computers - Um MMC
(Microsoft Management Console) usado para
gerenciar e publicar informaes no Active Directory.
Voc pode gerenciar contas de usurio, grupos, contas
de computadores, acrescentar computadores a um
domnio.

Read Only Domain Controller

Read Only Domain Controller (RODC) um
Controlador de domnio adicional somente leitura.
Para instalar um RODC necessrio o nvel funcional
da floresta Windows Server 2003 ou superior.
Por padro o RODC no armazena senhas de contas de
usurio. Voc deve popular a cache manualmente.
Password Replication Policy (PRP) permite definir
quais usurios tero sua senha armazenada em cache.

ADSI Edit (Active Directory Service Interfaces

Editor) Um editor LDAP (Lightweight Directory Access
Protocol ) que permite gerenciar objetos e atributos
no Active Directory.
LDP Permite a conexo com o banco de dados do
AD ou uma instancia LDS a fim de consultar, editar ou
pesquisas dados do diretrio.

Resumo Exame 70-640

TS: Windows Server 2008 Active Directory, Configuring

Nomes distintos
Nomes distintos identificam o domnio de um objeto e
o caminho para encontr-lo.
CN=Felipe Donda,OU=Diretoria,DC=mcpbrasil,DC=com

Ferramentas de linha de comando

Nome principal do usurio (UPN)

Dsadd Adiciona objetos no Diretrio

Exemplo adicionar conta de usurio:
Dsadd cn=Donda, ou=TI, dc=mcpbrasil, dc=com

O nome principal de usurio (UPN) identifica o usurio

de determinado domnio: donda@mcpbrasil.com

Dsmod Modifica objetos no Diretrio

Exemplo definir uma senha:
dsmod user cn=Donda,ou=TI,dc=mcpbrasil,dc=com"

Em sua rede fsica, um site representa um conjunto de

computadores conectados por uma rede de alta
velocidade, como uma rede local (LAN).

Dsmove Move objetos no Diretrio

Exemplo mover para outra OU
dsmove cn=Donda, ou=TI, dc=mcpbrasil, dc=com
-newparent ou=Suporte, dc=mcpbrasil ,dc=com"
DSrm Remove objetos do Diretrio
Exemplo: excluir conta de usurio
dsrm "cn=Donda, ou=Suporte, dc=mcpbrasil, dc=com"
Dsquery Busca objetos no Diretrio
Exemplo: Ler toda informao de um objeto na
ou=test
dsquery * ou=test,dc=mcpbrasil,dc=com -scope base attr *

Dsget Exibe informaes sobre objetos no Diretrio

Exemplo: Trazer nome de todos usurios da ou=TI
dsquery "ou=TI,dc=mcpbrasil,dc=com" | get user -fn
Ferramentas de Importao e exportao
CSVDE Importa e Exporta objetos do diretrio
utilizando arquivos .CSV (Separado por virgula)
Exemplo para importar:
csvde i f usuarios.csv
Exemplo para exportar usurios da ou TI
csvde -d "ou=TI,DC=mcpbrasil,dc=com f
usuarios.csv -r objectClass=user
LDIFDE - Importa e Exporta objetos do diretrio
utilizando arquivos .LDF
Exemplo para importar:
ldifde i f usuarios.ldf
Exemplo para exportar computadores
ldifde f usuarios.ldf -r (objectclass=computer)"

Sites (Estrutura Fsica)

Sub-rede IP
Sub-rede IP

Site SP

Site RJ
No AD DS, um objeto de site representa os aspectos do
site fsico a fim de gerenciar a replicao dos dados do
diretrio entre os controladores de domnio
Replicao consiste no processo de atualizar
informaes no Active Directory de um controlador de
domnio para outros controladores de domnio em
uma rede
Os objetos de sites e os objetos associados a eles so
replicados em todos os controladores de domnio na
floresta. possvel gerenciar os objetos utilizando a
ferramenta Active Directory Sites and Services.
KCC (knowledge consistency checker)
O KCC knowledge consistency checker um processo
interno executado em cada controlador de domnio
que gera a topologia de replicao para todas as
parties de diretrio contidas no controlador de
domnio.
IFM (Install from Media)
O recurso IFM permite instalar um controlador de
domnio adicional a partir da media de backup.
A utilizao de IFM reduz a quantidade de dados
replicados. O ADDS deve estar iniciado para executar
esta operao.

Resumo Exame 70-640

TS: Windows Server 2008 Active Directory, Configuring

IFM (Install from Media)

Para criar uma media para criao de um domain
controller adicional escolha entre as opes:
create full %s Cria uma mdia IFM completa para o
ADDC ou AD/LDS.
create rodc %s Cria uma mdia IFM para um ReadOnly DC
create Sysvol full %s Cria uma mdia IFM com o
SYSVOL para um ADDC.
create Sysvol RODC %s Cria uma mdia IFM com o
SYSVOL para um RODC.
Exemplo:
No prompt de comando digite:

Parties do AD
Para editar o schema necessrio registrar a dll
schmmgmt.dll e ser pelo menos do grupo schema
admins
Iniciar -> executar -> Regsvr32 schmmgmt.dll
Use o Snap-In Active Directory Schema para editar o
schema.
Catalogo Global

ntdsutil
Activate Instance NTDS
IFM
create full e:\mediaifm

Localiza objetos - Uma solicitao de pesquisa ser

encaminhada porta 3268 do catlogo global .

Aps criar a media no Windows Server 2008 R2 no

qual deseja promover a Domain Controller adicional,
execute o DCPROMO /ADV e na janela Install from
Media aponte para os arquivos recm criados.

Fornece a autenticao do nome principal do

usurio.
Um servidor de catlogo global resolve o nome
principal do usurio (UPN) quando o controlador de
domnio da autenticao desconhece a conta de
usurio.

Parties do AD
O banco de dados do Active Directory dividido
logicamente em parties. Cada partio uma
unidade de replicao e cada uma delas tem sua
prpria topologia de replicao.

Valida as referncias de objeto em uma floresta.

Os controladores de domnio usam o catlogo global
para validar as referncias a objetos de outros
domnios na floresta.
Fornece informaes sobre a associao ao grupo
universal em um ambiente de vrios domnios.
O controlador de domnio tambm pode descobrir
associaes de um usurio ao grupo local do domnio e
ao grupo global e a associao a esses grupos no ser
replicada no catlogo global.

Schema
Esquema (Schema). Possui dois tipos de definies:
classes e atributos de objetos.
As classes de objetos so modelos ou plantas dos
objetos que podem ser criados no Active Directory.
Atributos definem os possveis valores a serem
associados a uma classe de objeto.

Se um servidor de catlogo global no estiver

disponvel quando um usurio efetuar logon em um
domnio em que os grupos universais esto
disponveis, o computador cliente do usurio poder
usar as credenciais armazenadas em cache para fazer
logon .
O administrador do domnio (conta
Administradores internos) pode sempre efetuar logon
no domnio, mesmo quando um servidor de catlogo
global no estiver disponvel.

Resumo Exame 70-640

TS: Windows Server 2008 Active Directory, Configuring

Objetos de Sites
Sites - Os objetos de sites so localizados no continer
de sites. Em todos os sites, h um objeto de
Configuraes de Site NTDS. Esse objeto identifica o
Intersite Topology Generator (ISTG).
Sub-redes - Os objetos da sub-rede identificam os
intervalos dos endereos IP em um site.
Servidores - Os objetos de servidor so criados
automaticamente quando voc adiciona a funo de
servidor Active Directory Domain Services
Configuraes NTDS - Todo objeto de servidor contm
um objeto de Configuraes NTDS, que representa o
controlador de domnio no sistema de replicao.
Tambm possvel Habilitar ou desabilitar o catlogo
global em um servidor atravs do NTDS Settings.
Conexes - Os parceiros da replicao dos servidores
de um site so identificados pelos objetos de conexo.
A replicao ocorre em uma direo.

Trusts
Domnios filhos possuem uma relao de confiana
automtica transitiva e bidirecional com o domnio pai.
Tipos de relaes de confiana:
Forest trust Permite Autenticao seletiva ou
domain Wide
Shortcut trusts Acelera o processo de autenticao.
Realm trust No para rede Windows.
External trust No transitivo

Forest Trust
Na autenticao seletiva necessrio definir a
permisso Allowed to Authenticate ao grupo ou ao
usurio confivel para o mesmo possa ser autenticado
no domnio confiante.
FSMO (Flexible Single Masters Operations)

Links de sites - Os links de site representam o fluxo da

replicao entre os sites. Representa a conexo fsica
de longa distncia (WAN) entre dois ou mais sites
Transportes IP e SMTP entre sites - A replicao usa a
chamada de procedimento remoto (RPC) no
transporte IP ou SMTP
Trusts
Relaes de confiana podem ser unidirecionais ou
bidirecionais.

Transitivas ou no-transitivas.
Transitiva = Se a Confia em B e B confia em C ento:

C confia em A

B
C

Existem 5 funes masters:

Duas nicas na floresta;
Schema Master
Domain Naming Masters
Trs nicas em um domnio;
PDC Emulator
RID Master
Infrastructure Master
Schema Master Necessrio para updates do
Schema.
Domain Naming Masters Necessrios para
incluso/ Alterao e Excluso de novos domnios
RID Master Emite uma lista de tickets com SID +
GUID para criao de objetos de segurana.
Infrastructure rastreia participao em grupos de
outros domnios.
PDC Emulator Controla o tempo, o servio Master
Browse, Conflitos de GPO.

Use o MMC para transferir roles e use NTDSUtil para

apoderar-se (seize) de um funo.

Resumo Exame 70-640

TS: Windows Server 2008 Active Directory, Configuring

Restartable AD DS
possvel parar e iniciar o servio do Active Directory
tanto pela ferramenta services parando o servio
Active Directory Domain Services como pelo
comando net.
Net stop NTDS
Backup do AD DS
Para fazer o Backup do Active Directory, instale o
feature Windows Server Backup e regularmente
efetue backup do System State utilizando a
ferramenta grfica ou digite a seguinte linha de
comando:
wbadmin start systemstatebackup backuptarget:d:
Restaurao do AD
Restaurao no-autoritativa do AD DS
Uma restaurao no-autoritativa retorna o servio de
diretrio ao estado que tinha no momento da criao
do backup. Depois de concluda a operao de
restaurao, a replicao do AD DS atualiza o
controlador de domnio, aplicando as alteraes feitas
desde o momento da criao do backup.

Restaurao autoritativa fornece um mtodo de

recuperao de objetos e contineres que tenham sido
excludos do AD DS.
1.Restaure o backup desejado que, geralmente, o
mais recente.
wbadmin start systemstaterecovery verso
backuptarget:d:
2.Inicie o controlador de domnio no DSRM (Directory
Services Restore Mode).
3.Use Ntdsutil.exe para marcar os objetos desejados,
contineres ou parties como autoritativos.
Exemplo:

Group Policy Object

GPOs podem ser aplicados ao computador local,

sites, domnios e unidades organizacionais.
Nesta ordem, tendo precedncia a ultima a ser
aplicada caso exista conflito. Do contrario as polticas
so acumulativas.
Block Inheritance Opo que pode ser aplicado a
um domnio ou OU e faz com que as polticas no
sejam herdadas. (Bloqueio de herana).
Enforced - Opo que fora a aplicao da
poltica. (Mesmo quando a opo Block inheritance
esteja marcada.
Starter GPOs
Starter GPOs so modelos de objetos de polticas
de grupo que podem ser criados, armazenados e
utilizados.
Ao criar uma nova poltica possvel tomar por base
um modelo existente em Starter GPOs.
Item-Level targeting
possvel definir um alvo especifico utilizando
mais de 29 combinaes de colees com lgica
boolena (And, Or, Not).
Alm de muitos itens intuitivos de modo que a poltica
s se aplica a usurios e computadores especficos.
Como utilizar o Item-Level targeting
1) Edite a poltica desejada.
2) Em preferences selecione o item desejado.
3) Defina a poltica conforme sua necessidade.
4) Clique e Common e selecione Item-Level targeting
para criar o seu filtro.

ntdsutil
Activate Instance NTDS
Authoritative Restore
Restore Object cn=nomedouser, dc=mcsesolution,
dc=lab

O SCW, permite criar, gerenciar e aplicar politicas de

segurana que so salvos no formato .xml .
Use o comando scwcmd.exe para criar uma GPO.

4.Reinicie no modo normal para propagar as alteraes

scwcmd.exe /p:arquivo.xml /g: nomedagpo.

The Security Configuration Wizard

Resumo Exame 70-640

TS: Windows Server 2008 Active Directory, Configuring

Active Directory replication

Se o nvel funcional do domnio estiver Windows 2008
possvel alterar a replicao de FRS (File Replication
Service) para DFS-R (Distributed File System
Replication) para replicao do SYSVOL.
A migrao feita com o comando dfsrmig.exe
Fine-Grained Passwords
Fine-Grained Passwords um recurso que permite
estabelecer uma poltica de senha para grupos
distintos. Para implementar o Fine-Grained Password
necessrio que nvel funcional do domnio esteja
definido como Windows 2008.
Voc pode utilizar o ADSI Edit ou o LDIFDE para criar
Password Settings objects (PSOs):
.
Utilizando o ADSI
1) Expanda DC=<domain_name>
2) Expanda CN=System.
3) Clique em CN=Password Settings Container
4) Crie um novo objeto msDS-PasswordSettings.
Defina as opes:
msDS-PasswordSettingsPrecedence
Prioridade ( maior que 0)
msDS-PasswordReversibleEncryptionEnabled
Criptografia reversvel (True/False)
msDS-PasswordHistoryLength
Histrico de senhas (0 at 1024)
msDS-PasswordComplexityEnabled
Complexidade da senha (True/False)
msDS-MinimumPasswordLength
Tamanho minimo da senha (0 at 255)
msDS-MinimumPasswordAge
Idade mnima da senha (00:00:00:00 at idade
maxima)
msDS-MaximumPasswordAge
Idade mxima da senha (Never at 00:00:00:00)
msDS-LockoutThreshold
Bloqueio da conta (0 at 65535)
msDS-LockoutObservationWindow
De 00:00:00:01 at msDS-LockoutDuration
msDS-LockoutDuration
Durao do bloqueio (never at msDSLockoutObservationWindow )
msDS-PSOAppliesTo
Usurios/Grupos a que se aplica esta poltica.

PSO
Utilizando o LDFIDE:
dn: CN=PSO1, CN=Password Settings
Container,CN=System,DC=dc1,DC=mcsesolution,DC=la
b changetype: add objectClass: msDSPasswordSettings msDS-MaximumPasswordAge:1728000000000 msDS-MinimumPasswordAge:864000000000 msDS-MinimumPasswordLength:8
msDS-PasswordHistoryLength:24 msDSPasswordComplexityEnabled:TRUE msDSPasswordReversibleEncryptionEnabled:FALSE
msDS-LockoutObservationWindow:-18000000000
msDS-LockoutDuration:-18000000000
msDS-LockoutThreshold:0
msDS-PasswordSettingsPrecedence:20
msDS-PSOAppliesTo:CN=user1,CN=Users,DC=dc1,
DC=mcsesolution,DC=lab
Para importar ldifde i -f arquivo.ldf
AD CS
Active Directory Certificate Services:
CA (Certificate Authority) um servidor que emite e
gerencia servios de certificados digitais.
Voc no ode mudar o nome do servidor aps instalar
o AD CS.
O AD CS suporta tanto CA Enterprise como Stand
Alone.
CA Stand Alone geralmente fornece servios para
Internet. Pode ser instalado em DCs, Servidores
Membros, Stand Alone Servers.
CA Enterprise fornece servios para uma rede interna.
Pode ser instalado em DCs, Servidores Membros
Depois de instalado no possvel alterar de
StandAlone para Enterprise e vice-versa.

Resumo Exame 70-640

TS: Windows Server 2008 Active Directory, Configuring

AD CS
Root CA A primeira autoridade certificadora da
infraestrutura de chave Publica (PKI)
Subordinate CA Obtm os certificados de uma
autoridade de nvel superior (por exemplo Root CA).
Em criptografia de chave Publica e Privada so usadas
chaves diferentes mas complementares no processo
de criptografia e descriptografia.
Chave publica = Criptografia.
Chave privada = Descriptografia

O comando certutil automatiza as tarefas de

gerenciamento do ADCS.

O comando certreq solicita certificados.

Para emitir certificados via web o caminho
:http://[servername]/certsrv
A lista de Trusted Root CA pode ser atualizada via
GPO.

Pode ser usado o AutoEnroll (inscrio automatica) de

certificados via GPO
.
Network Device Enrollment Services (NDES) podem
emitir certificados para os switches de rede e
roteadores
Microsoft Simple Certification Enrollment Protocol
(MSCEP) usado para permitir que os roteadores e
outros dispositivos de rede para obter certificados de
uma CA
Certificate Templates
-Version 3 somente vista e Server 2008
-Version 2 Server 2003, Server 2008, XP, e Vista.
DNS
Forward Lookup Zone - Mapeamento de nome para IP
Reverse Lookup Zone - Mapeamento de IP para nome.
Zona de pesquisa - Armazena Registros de recursos da
zona (nome de domnio).

DNS

Registros de recursos: Host(A), Host(AAAA), Alias

(CNAME), Service Location (SRV)
DNS usa a porta 53 UDP e 53 TCP
Primary Zone Pode ser integrada com o AD DS. Eles
permitem leitura e gravao exceto quando for um
RODC
Zona Integrada ao AD replica junto com o AD.
Secondary Zone Rplicas de dados de um servidor
primrio no aceita atualizaes dinmicas pois
somente leitura
Stub Zones replica um nmero mnimo de registros
para permitir que os servidores DNS possam enviar os
pedidos diretamente aos
servidores de nome de domnios sem a necessidade de
resolver o nome de domnio usando os servidores raiz
da internet.
Service Location (SRV) Indica a localizao de um
determinado servio TCP / IP
RODC DNS Zone uma zona primaria somente leitura
Para configurar as atualizaes dinmicas seguras use
a zona integrada ao AD (AD-integrated).

Atualizaes dinmicas o processo de gravao

automtica de registros de recursos em uma zona.
Conditional Forwarders - Encaminha solicitaes para
servidores DNS baseado no nome de DNS consultado.
Contedo tcnico:
Helio Panissa Junior
Daniel Donda
O Clube MCP Brasil.com rene e disponibiliza o
contedo de certificao Microsoft. Cadastre-se
www.mcpbrasil.com