aula 8 active diretory - 29092012
TRANSCRIPT
Dia 29/09/2012MCITP-EA Active DirectoryAula 8
RODC
Site Sub RedeMatriz 192.168.X.0/24Filial 172.168.X.0/24
Extremamente útil em duas situações:
•Locais onde pessoas não autorizadas e/ou qualificadas tenham acesso físico ao equipamento, e essas poderiam manipular os registros;
•Economia de banda já que ele não replica a mesma quantidade de informação que um DC normal.
Caso o RODC perca comunicação com o DC principal, utilizando um RODC padrão não será possível autenticar na rede, para esta contornando esse problema é necessário ativar a replicação de senhas.
Diferenças na instalação do RODC
Não há a necessidade de ser um catálogo global, até porque se ele fosse um terminamos muita informação sendo replicada (consumo de banda) e a ideia é justamente diminuir o volume de replicação. E por final marcar a opção de RODC.
Configuração de usuário que terá poder equivalente a um usuário avançado no RODC para poder realizar manutenção básica no equipamento, caso a equipe de suporte não tenha acesso ao mesmo. Esse usuário não terá acesso nenhum a alterações ao domino.
Após configurar o RODC ingresse um cliente na rede da filial
O tipo de replicação do RODC é do tipo FRS e entre um RODC e um Controlador convencional a replicação só acontece para o RODC, pois o RODC não faz nenhuma alteração.
Como dito anterior mente caso o link entre o RODC e o DC da sua empresa caia os usuários não serão capazes de realizar o logon pois o RODC não possui senhas dos usuários.
1. Acrescentar os usuários, computadores, DC que fazem parte do Site onde tem o RODC no grupo: Grupo de replicação de senha RODC Permitido
2. Nas propriedades do DC Server 2 é necessário seguir os passos abaixo:
1. Aba Diretiva de Replicação de Senha > Avançado > Pré-popular Senhas...2. Adicione os computadores e os usuários que necessitarão autenticar nesse site.
O passo 2 permite que as senhas sejam armazenadas antes de haver a replicação propriamente dita.
GPO
Ordem de carregamento de GPO
1. Local2. Site3. Domínio4. OU
1. RH1. Computadores
1. Desktop2. Notebook3. …
1. …1. …
1. …1. …
Quando as Polices estão no mesmo nível prevalece a primeira a ser carregada
Police Responsável pelas senhasConfiguração do computador > Configurações do Windows > Configurações de segurança > Configurações de senha > Diretivas de Conta > Diretivas de Senha
Responsável por bloquear a conta por tentativa invalidade de logonConfiguração do computador > Configurações do Windows > Configurações de segurança > Configurações de senha > Diretivas de Conta > Diretiva de bloqueio de conta
AuditoriaConfiguração do computador > Configurações do Windows > Configurações de segurança > Diretivas locais > Diretiva de auditoria
Para finalizar é necessário seguir o seguinte passo:Propriedades do compartilhamento > Guia segurança > Avançado > Guia auditoria >
Editar > Adicionar > Adicione Todos os usuários.Confirme as alterações
Opções do CTRL+ALT+DELConfiguração do usuário > Modelos Administrativos > Sistema > Opções de CTRL+ALT+DEL
Aba delegação
Funciona de forma similigar a guia segurança em diretórios, ou seja, é utilizado para determinar os
níveis de acessos dos usuários.
Backup de diretivas
Botão direito em > Objetos de diretiva de grupo > escolha um local e de uma descrição.
Restore de backup de diretivas
Botão direito em > gerenciar backups > selecionar a Police > restaurar
Diretiva de instalação de software
Passo-a-passo:
•Ter um pacote de instalação .msi
•Habilitar a Police abaixo para computadores e usuários
◦Configuração do usuário/computadores > Modelos Administrativos > Componentes do Windows > Windows installer > habilitar a Police sempre instalar com alto privilégio
•Configuração de usuários > Diretivas > Configuração de software > instalação de software
◦Na área em brando:
▪Botão direito > novo > pacote > caminho UNC do pacote > escolha o tipo de instlação¹
¹Pulicado – Realiza a instalação em segundo planoAtribuído - realiza a instalação interativa
Gpresult /r – comando utilizado para verificação das gpo que foram aplicadas para o usuárioRsop – console que exibe as polices que estão carregadas no momento.
Script de logon
Caminho padrão: c:\Windows\sysvol\sysvol\fqdn_do_dominio\scripts
Também pode ser configurado pela seguinte Police:Configurações do usuário > Diretivas > Configurações do Windows > scripts > fazer logon
Grupos
Escopo do grupoOs grupos são caracterizados por um escopo que identifica até que ponto o grupo é aplicado à árvore de domínio ou floresta. Há três escopos de grupo: domínio local, global e universal.
Grupos de domínio localOs membros de grupos de domínio local podem incluir outros grupos e contas dos domínios
Windows NT, Windows 2000, Windows Server 2003, Windows Server 2008 e Windows Server 2008R2. Os membros desses grupos somente podem receber permissões em um domínio.
Os grupos com escopo de domínio local ajudam você a definir e gerenciar o acesso aos
recursos em um único domínio. Esses grupos podem ter estes membros:
✔Contas de qualquer domínio
✔Grupos globais de qualquer domínio
✔Grupos universais de qualquer domínio
✔Grupos de domínio local, mas somente do mesmo domínio que o grupo de domínio local pai
✔Uma combinação dos itens acima
Por exemplo:Para fornecer a cinco usuários o acesso a uma determinada impressora, você pode adicionar
todas às cinco contas de usuário à lista de permissões da impressora. No entanto, se mais tarde você quiser dar a esses cinco usuários acesso a uma nova impressora, novamente será necessário especificar todas as cinco contas na lista de permissões da nova impressora.
Com um pouco de planejamento, você poderá simplificar essa tarefa administrativa de rotina criando um grupo com escopo de domínio local e atribuindo permissão para o acesso à impressora. Coloque as cinco contas de usuário em um grupo com escopo global e adicione-o ao grupo que tem o escopo de domínio local. Quando quiser atribuir acesso à nova impressora aos cinco usuários, dê ao grupo com escopo de domínio local permissão para acessar a nova impressora. Todos os membros do grupo com escopo global recebem automaticamente o acesso à nova impressora.
Grupos de domínio localOs membros de grupos de domínio local podem incluir outros grupos e contas dos domínios Windows NT, Windows 2000, Windows Server 2003, Windows Server 2008 e Windows Server 2008R2. Os membros desses grupos somente podem receber permissões em um domínio.Os grupos com escopo de domínio local ajudam você a definir e gerenciar o acesso aos recursos em um único domínio. Esses grupos podem ter estes membros:
✔Contas de qualquer domínio
✔Grupos globais de qualquer domínio
✔Grupos universais de qualquer domínio
✔Grupos de domínio local, mas somente do mesmo domínio que o grupo de domínio local pai
✔Uma combinação dos itens acimaPor exemplo:
Para fornecer a cinco usuários o acesso a uma determinada impressora, você pode adicionar todas às cinco contas de usuário à lista de permissões da impressora. No entanto, se mais tarde você quiser dar a esses cinco usuários acesso a uma nova impressora, novamente será necessário especificar todas as cinco contas na lista de permissões da nova impressora.
Com um pouco de planejamento, você poderá simplificar essa tarefa administrativa de rotina criando um grupo com escopo de domínio local e atribuindo permissão para o acesso à impressora. Coloque as cinco contas de usuário em um grupo com escopo global e adicione-o ao grupo que tem o escopo de domínio local. Quando quiser atribuir acesso à nova impressora aos cinco usuários, dê ao grupo com escopo de domínio local permissão para acessar a nova impressora. Todos os membros do grupo com escopo global recebem automaticamente o acesso à nova impressora.
Grupos universaisOs membros de grupos universais podem ter os seguintes itens como membros:
✔Contas de qualquer domínio na floresta em que o Grupo Universal reside
✔Grupos globais de qualquer domínio na floresta em que o Grupo Universal reside
✔Grupos universais de qualquer domínio na floresta em que o Grupo Universal resideOs membros desses grupos podem receber permissões em qualquer domínio na árvore de
domínio ou floresta. Use grupos com escopo universal para consolidar grupos que abrangem domínios. Para isso, adicione as contas aos grupos com escopo global e aninhe esses grupos em que tenham escopo universal. Quando você usar essa estratégia, as alterações de associação nos grupos que têm escopo global não afetarão os grupos com escopo universal.
Por exemplo, em uma rede com dois domínios, Europa e EstadosUnidos, e um grupo com escopo global denominado ContabilidadeGL em cada um, crie um grupo com escopo universal denominado ContabilidadeUA que tenha como seus membros os dois grupos ContabilidadeGL, EstadosUnidos\ContabilidadeGL e Europa\ContabilidadeGL. Você pode usar o grupo ContabilidadeUA em qualquer lugar da empresa. As alterações na associação dos grupos ContabilidadeGL individuais não causarão a replicação do grupo ContabilidadeUA.
ImportanteÉ altamente recomendável usar grupos globais ou universais, em vez de grupos de domínio
local quando você especifica permissões nos objetos de diretório de domínio replicados para o catálogo global.
Tipos de grupoHá dois tipos de grupo no AD DS: grupos de distribuição e grupos de segurança. Você pode
usar grupos de distribuição para criar listas de distribuição por e-mail. Use os grupos de segurança para atribuir permissões aos recursos compartilhados.
Somente use grupos de distribuição com aplicativos de e-mail (como o Microsoft Exchange Server 2007) para enviar e-mails a grupos de usuários. Os grupos de distribuição não são habilitados para segurança, o que significa que eles não podem fazer parte de listas de controle de acesso discricionário (DACLs). Se for necessário um grupo para controlar o acesso aos recursos compartilhados, crie um grupo de segurança.