palestra teched brasil 2010 - sessão srv307 - dicas e truques de windows server e active directory
DESCRIPTION
Dez anos depois do lançamento do Active Directory muito foi aprendido. Infelizmente muitas empresas nunca tiveram tempo ou recursos para rever o que realmente precisa ser feito para proteger e gerenciar o serviço de diretório em uma empresa dinâmica. Esta sessao vai apresentar as melhores práticas, scripts personalizados e orientaçao e inclui a gestao baseada em funçoes e ferramentas que permitem um ambiente suportável documentado, auditável, seguro e gerenciável.TRANSCRIPT
Gilson BaninEspecialista de ProdutoMicrosoft Brasilblogs.technet.com/gbanin
Dicas dos Experts (Dicas e Truques)Melhores Práticas para Windows Server e Active Directory
CÓDIGO DA SESSÃO: SRV307
SETEMBRO, 2010 | SÃO PAULO
3
AgendaActive Directory
Políticas de Grupo
Virtualização
Sysinternals
Gerenciamento
Remote Desktop
Direct Access
VDI
Demos, muitas demos
4
RSATUso do RSAT no Windows 7
RSAT é o equivalente ao Adminpack.msi no Windows Server 2003
Permite gerenciar os serviços de rede do Windows Server 2008/R2 através de um computador cliente Windows 7.
Pode ser baixado gratuitamente tanto para as versões 32/64 bits
Download : http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7d2f6ad7-656b-4313-a005-4e344e43997d
5
RSAT+CPInstalação do RSAT pelo Painel de Controle
Após a instalação do RSAT, as ferramentas não ficam disponíveis no menu
Ele simplesmente expande as opções de Install/Uninstall de programas no painel de controle
Você deverá instalar o RSAT através do Painel de Controle do Windows 7
6
MMC 3.0Personalizando seu MMC
Seja um herói na administração Windows
Você usa todo o poder do MMC 3.0 ?
O sonho do administrador é ter tudo em suas mãos, não é mesmo ?
O Task Pad View é a solução para isso
Simplesmente execute MMC -> Adicione o SnapIn Active Directory Users and Computers e salve o arquivo no seu desktop como Admin_IT_Console.msc
7
Guarde suas pesquisas LDAPSaved Queries do Active Directory
Que tal criar consultas prontas e salvá-las para pesquisas futuras como :
Quais são todos os computadores do domínio ?
Quais são todos os computadores do domínio que executam XP ?
Quais são todos os usuários do domínio ?
Quais são todos os grupos do domínio ?
Quais são os usuários que pertencem ao grupo XYZ ?
8
Personalize seu MMCTrabalhando com New Task Wizard
9
Consultas LDAP
Para listar todos os usuários(&(&(objectCategory=user)(name=*)))
Para listar todos os computadores(objectCategory=computer)(name=*)
Para listar todos os grupos(&(objectCategory=group)(name=*))
10
Tabela de Comandos
Principais ComandosComando Parâmetro Resultado
MSTSC /V:$COL<0> Remote Desktop
MSRA /offerRA $COL<0>Oferecer Assistência
Remota
PSEXEC \\COL<0> cmd.exe Abrir Prompt Remoto
PSEXEC\\COL<0> Gpupdate /Force
/Target:ComputerAplicar GPO
SHUTDOWN /m $COL<0> /r /t 0 Reiniciar
11
Gerenciamento de Discos
Três pontos importantes :
Agora você pode expandir um disco sem converter para dinâmico. Isso mesmo discos básicos agora podem ser expandidos.
Você já ouviu falar de um tal de Shirink ? Shirinkpermite você diminuir o volume e criar espaços não alocados no disco
Você sabia que no Windows Server 2008 R2 você pode criar discos virtuais ( VHD ) pelo Gerenciador de Discos ?
12
Windows Server Backup
Agora você pode fazer backup de pastas individuais
Infelizmente essa ferramenta não faz backup em fita
Você sabia que o destino deste backup é em formato VHD ?
Se você perder a máquina, basta anexar o VHD em uma VM ou anexá-la em uma máquina física com W7 ou R2 para extrair os dados.
13
Boot através do VHD ?
Dual boot convencional precisa ter duas partições/volumes disponíveis, um para cada sistema operacional
Se você não tiver, não se preocupe. Adicione um arquivo .VHD no boot.ini e pronto
Sua máquina virtual passará a ser listada no menu de inicialização. Pode ser Windows ou Linux
Mas afinal qual é o comando ? Você usará o gerenciaodor de boot bcedit. Veremos uma demonstração passo a passo.
14
E essa tal lixeira do AD ?
É fantástico, mas vai demorar para uma grande corporação tê-la em produção
Porque ? Por que todos os controladores de domínio da floresta precisam executar o Windows Server 2008 R2 e além disso o nível funcional da floresta precisa estar no modo máximo Windows Server 2008 R2
O comando para habilitar é complexo mas é uma única vez. Veremos na demo, por favor não se assuste
Use o PowerShell ISE para automatizar
15
Sintaxe de comando para habilitar a lixeira do active directoryAbra o PowerShellImporte o módulo do Active Directory pelo comandoC:[PS]\Import-Module ActiveDirectory
C:[PS]\Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=banin,DC=corp’ –Scope ForestOrConfigurationSet –Target ‘banin.corp’
16
Adicionando LoopBack Adapter
Você já tentou executar o DCPromo em um servidor que não tenha um cabo de rede conectado na NIC ?
Provavelmente você não conseguiu !
A placa de rede precisa ter sinal para que o DCPromo prossiga, ainda bem
Mas imagine um cenário que você precise de conectividade sem Hub ou até mesmo um cabo de rede para demonstrações ?
O Microsoft LoopBack Adapter é a solução
17
Perdeu a senha do Administrator ?
O que você faria se perdesse ou esquecesse a senha do Administrador do domínio ?
E se a situação piorar e não existir outra conta membro do grupo Domain Admin ?
Espero que você não precise passar por isso , mas se acontecer, aprenda como recuperar
Não existe milagre, pelo menos a senha de restauração do AD você precisa saber
Essa senha é aquela que você não documentou quando executou o DCPromo lembra no final do wizard ?
18
Sigas os passos 1
Válido para Windows Server 2003, 2008, 2008 R2
Você precisa ter o Resource Kit 2003, nele tem duas ferramentas que você usará:
INSTSRV.EXE e SRVANY.EXE
Reinicie o DC em modo de restauração
Informe a senha de DSRM, esqueceu ? Você pode alterar com NTDSUTIL, faça isso antes
A idéia é adicionar como serviço o utilitário SRVANY.EXE usando a ferramenta INSTSRV
19
Sigas os passos 2
Considerando que os arquivos estejam em D:\Temp\srvany.exe
Crie um serviço chamado PASSRECOVERY :Instsrv PassRecovery “d:\temp\srvany.exe”
Abra o registro da máquina e vá até :HKLM\System\CurrentControlSet\Services\PassRecovery
Crie uma subchave aqui chamada Parameters com os valores abaixo
Name: Application, Type:REG_SZ (string), Value: D:\Windows\cmd.exe
Name:AppParameters, Type: REG_SZ (string), Value: /k net useradministrator NovaSenha /domain
Abra a console de serviços SERVICES.MSC, e marque a opção “Set toAutomatic e “Allow Service to interact with the desktop”
Reinicie o Windows normalmente, o serviço será executa e o comando NET USER executado, isso alterará a senha para a que você definiu
Faça Logon e remova o serviço : c:\net stop PassRecovery sc delete PassRecovery
20
Habilitando a Lixeira do AD
21
RDS Connection Broken
22
Boot VHD
23
Remote Desktop Session Host
24
Direct Access
25
Gerenciamento
26
Desktop Virtual com Hyper-V
27
Task Pad Viewers como você nunca viu antes
28
Recuperando a Senha do Admin
29
30
Conteúdo relacionado
VIR312 – Dicas e Truques de Performance : Como obter o máximoDo Windows Server 2008 Hyper-V
VIR310 – Melhores Práticas para uma Infraestrutura Avançada de Storageno Hyper-V
SRV301 – Windows 7 e Windows Server 2008 R2 SP1
INT301 – Linux no Hyper-V
© 2008 Microsoft Corporation. Todos os direitos reservados. Microsoft, Windows, Windows Vista e outros nomes de produtos são ou podem ser marcas registradas e/ou marcas comerciais nos EUA e/ou outros países.Este documento é meramente informativo e representa a visão atual da Microsoft Corporation a partir da data desta apresentação. Como a Microsoft deve atender a condições de mercado em constante alteração, este
documento não deve ser interpretado como um compromisso por parte da Microsoft, e a Microsoft não pode garantir a precisão de qualquer informação fornecida após a data desta apresentação. A MICROSOFT NÃO DÁ
QUALQUER GARANTIA, SEJA ELA EXPRESSA, IMPLÍCITA OU ESTATUTÁRIA, REFERENTE ÀS INFORMAÇÕES DESTA APRESENTAÇÃO.
Por favor preencha a avaliação