Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Itaipu
Foz do Iguaçu
1
Sumário
Capítulo 1 Instalação e configuração do Active Directory Domain Services.................... 5
Objetivo 1.1: Instalar e configurar controladores de domínio ......................................... 6
Fundamentos do AD DS .................................................................................................. 6
Instale uma nova floresta ............................................................................................... 8
Adicione ou remova um controlador de domínio .......................................................... 11
Instale AD DS em uma instalação Server Core .............................................................. 17
Instale um controlador de domínio usando Install from Media ................................... 18
Instale e configure um controlador de domínio somente leitura ................................ 20
Configure um servidor de catálogo global.................................................................... 23
Configure a clonagem de controlador de domínio ...................................................... 26
Migre controladores de domínio ................................................................................. 30
Transfira e execute seize de funções de mestre de operações ................................... 32
Solucione problemas de gravação de registros SRV no DNS........................................ 37
Objetivo 1.2: Criar e gerenciar usuários e computadores do Active Directory
..................................................................................................................................... 38
Crie, copie, configure e exclua usuários e computadores ........................................... 39
2
Configure contas virtuais............................................................................................... 72
Configure políticas de conta ......................................................................................... 73
Configure e aplique PSOs ............................................................................................. 77
Delegue o gerenciamento de configurações de senha ................................................ 81
Objetivo 2.2: Manter o Active Directory ...................................................................... 82
Gerencie offline o Active Directory .............................................................................. 82
Faça backup e recupere o Active Directory .................................................................. 87
3
Detecte problemas de integridade usando o painel Group Policy Infrastructure Status
.................................................................................................................................. 147
Objetivo 3.2: Configurar processamento de Group Policy ...................................... 147
Configure herança ................................................................................................... 150
Configure filtragem de segurança e filtragem de WMI ........................................... 153
Configure processamento de loopback ................................................................... 158
Configure e gerencie processamento de Group Policy em link lento e uso de cache
................................................................................................................................. 160
Configure o comportamento de extensão do lado do cliente ................................. 162
Imponha uma atualização de Group Policy ............................................................. 163
Objetivo 3.3: Configurar ajustes de Group Policy .................................................... 164
Configure a instalação de software .......................................................................... 164
Configure scripts ....................................................................................................... 170
Importe modelos de segurança ................................................................................ 171
Configure redirecionamento de pasta ...................................................................... 173
Configure modelos administrativos .......................................................................... 180
Objetivo 3.4: Configurar Preferências em Group Policy ........................................... 183
Configure Preferências em Group Policy .................................................................. 183
Configure direcionamento de nível de item...............................................................192
Capítulo 4 Implementação de Active Directory Certificate Services......................... 194
Objetivo 4.1: Instalar e configurar AD CS ................................................................. 195
Escolha entre uma CA autônoma e uma corporativa ............................................... 196
Instale CAs autônomas ............................................................................................. 197
Instale uma CA corporativa integrada ao AD DS....................................................... 201
Instale CAs raiz e subordinadas offline ..................................................................... 202
Instale e configure um respondente online .............................................................. 213
Implemente separação de função administrativa .................................................... 215
Configure backup e recuperação de CA ................................................................... 217
Objetivo 4.2: Gerenciar certificados ........................................................................ 219
Gerencie modelos de certificado ............................................................................. 219
4
Implemente e gerencie implantação, validação e revogação de certificados
.................................................................................................................................... 225
Configure e gerencie arquivamento e recuperação de chaves ................................. 228
Capítulo 5 Implementação de Identity Federation e soluções de acesso ..................232
Objetivo 5.1: Instalar e configurar AD FS ................................................................... 233
Examine os requisitos do AD FS ................................................................................. 233
Instale a função de servidor AD FS ............................................................................ 236
5
70-742 Identidade com Windows
Server 2016
Capítulo 1:
Instalação e configuração do
Active Directory Domain Services
6
Objetivo 1.1: Instalar e configurar controladores de domínio
Fundamentos do AD DS
O AD DS é composto de componentes lógicos e físicos. Um componente físico é algo
tangível, como um controlador de domínio, enquanto uma floresta de AD DS é um
componente lógico, intangível. O AD DS consiste nos seguintes componentes lógicos:
7
Computers, Builtin e Managed Service Accounts. Não é possível vincular GPOs
aos contêineres.
• Site É a representação lógica de uma localização física dentro de sua organização.
Ele pode representar uma área física grande, como uma cidade, ou uma área
física menor, como um conjunto de sub-redes definido pelos limites de seu
datacenter. Os sites do AD DS ajudam a permitir que dispositivos de rede
determinem onde estão em relação aos serviços que querem conectar. Por
exemplo, quando um computador com Windows 10 inicializa, ele usa sua
informação de site para tentar encontrar um controlador de domínio próximo
para autenticar a conexão do usuário. Os sites também permitem controlar a
replicação do AD DS, através da configuração de uma agenda e um intervalo para
a replicação entre sites.
• Sub-rede É a representação lógica de uma sub-rede física em sua rede. Com a
definição de sub-redes, um computador em sua floresta do AD DS pode
determinar sua localização física em relação aos serviços oferecidos na floresta.
Não existem sub-redes por padrão. Depois de criar sub-redes, você as associa a
sites. Um site pode conter mais de uma sub-rede.
• Partição Seu AD DS é fisicamente armazenado em um banco de dados em todos
os controladores de domínio. Como algumas partes do AD DS raramente
mudam, enquanto outras mudam frequentemente, algumas partições
separadas estão armazenadas no banco de dados AD DS.
As partições separadas são:
8
Para instalar uma nova floresta do AD DS, implante nela o primeiro controlador de
domínio. Isso significa implantar a função de servidor AD DS em um computador
servidor com Windows Server 2016 e, então, promover o servidor a controlador de
domínio e escolher a opção Add A New Forest.
Para criar uma floresta, comece instalando a função AD DS com o procedimento a seguir:
1. No computador Windows Server 2016, efetue logon como administrador local.
2. Inicie o Server Manager e, então, no Dashboard, clique em Add Roles And
Features.
3. Clique no Add Roles And Features Wizard e, então, como mostrado na Figura 1-
1, na página Server Roles, marque a caixa de seleção Active Directory Domain
Services, clique em Add Features e depois em Next.
9
3. Na página Domain Controller Options, mostrada na Figura 1-3, configure as
opções a seguir e, então, clique em Next:
• Forest Functional Level O nível funcional da floresta determina os recursos
disponíveis nela. O nível funcional da floresta também define o nível funcional
mínimo para domínios em sua floresta. Assim, escolher Windows Server 2012
nesse nível significa que o nível funcional mínimo para domínios também é o
Windows Server 2012. Escolha entre:
• Windows Server 2008
• Windows Server 2008 R2
• Windows Server 2012
• Windows Server 2012 R2
• Windows Server 2016
• Domain Functional Level Determina os recursos em nível de domínio disponíveis
nesse domínio. Escolha entre:
• Windows Server 2008
• Windows Server 2008 R2
• Windows Server 2012 J Windows Server 2012 R2
• Windows Server 2016
• Domain Name System (DNS) Server DNS fornece resolução de nomes e é um
serviço importante para o AD DS. Esta opção é selecionada por padrão e, a não
ser que você já tenha uma infraestrutura de DNS configurada, não a desmarque.
• Global Catalog (GC) Servidores de catálogo global fornecem serviços para toda
a floresta. Essa opção está selecionada por padrão e não pode ser desmarcada.
O primeiro (e único) controlador de domínio deve ser um servidor de catálogo
global. Quando tiver adicionado outros controladores de domínio, você poderá
rever esta configuração.
• Read Only Domain Controller (RODC) Determina se esse controlador de domínio
é somente leitura. Esta opção não é selecionada por padrão e fica indisponível
para o primeiro (e atualmente o único) controlador de domínio de sua floresta.
10
• Directory Services Restore Mode (DSRM) Password Usada ao se iniciar o
controlador de domínio em um modo de recuperação.
11
6. Examine as opções de configuração e depois clique em Next para realizar
verificações de pré-requisito.
7. Quando solicitado, clique em Install. Seu computador servidor reinicia durante o
processo de instalação.
8. Efetue logon em seu computador servidor usando a conta de administrador do
domínio.
Adicione ou remova um controlador de domínio
12
Adicione um novo controlador de domínio em um domínio já existente
Para adicionar um novo controlador de domínio em um domínio já existente, efetue
logon como administrador do domínio e complete o procedimento a seguir.
1. Adicione a função de servidor Active Directory Domain Services.
2. No Server Manager, clique em Notifications e em Promote This Server To A
Domain Controller.
3. Na página Deployment Configuration do Active Directory Domain Services
Configuration Wizard, mostrada na Figura 1-5, clique em Add A Domain
Controller To An Existing Domain.
13
8. Digite a senha para Directory Services Restore Mode (DSRM) e clique em Next.
9. Na página Additional Options, configure como esse controlador de domínio irá
receber o banco de dados do AD DS. É possível configurar a replicação inicial a
partir de um controlador de domínio online, selecionando Any Domain
Controller, como mostrado na Figura 1-7, ou especificar um controlador de
domínio em particular. Como alternativa, você pode usar a opção Install from
Media (IFM). Clique em Next.
10. Configure os caminhos (Paths), como antes, e siga clicando para continuar o
assistente de configuração.
11. Quando solicitado, clique em Install. Seu computador servidor reinicia durante o
processo de promoção. Depois de concluir o processo de promoção, efetue
logon usando uma conta de administrador do domínio.
14
Adicione um novo controlador de domínio em um novo domínio
Para adicionar um novo controlador de domínio a um novo domínio em uma floresta
existente, efetue logon com uma conta que seja membro do grupo universal de
segurança Enterprise Admins da floresta e complete o procedimento a seguir.
1. Adicione a função de servidor Active Directory Domain Services.
2. No Server Manager, clique em Notifications e em Promote This Server To A
Domain Controller.
3. Na página Deployment Configuration do Active Directory Domain Services
Configuration Wizard, mostrada na Figura 1-8, clique em Add A New Domain To
An Existing Forest.
4. Então, você pode escolher como o novo domínio será adicionado. É possível
selecionar:
• Child Domain Esta opção cria um subdomínio do domínio pai especificado. Em
outras palavras, o novo domínio é criado na árvore de domínios existente.
• Tree Domain Selecione esta opção se quiser criar uma nova árvore na mesma
floresta. A nova árvore compartilha o mesmo esquema da floresta e tem o
mesmo domínio raiz, mas é possível definir um namespace não contíguo. Isso é
útil quando se quer criar vários nomes de domínio DNS na infraestrutura de
floresta do AD DS para suportar as necessidades organizacionais, mas não
precisa ou não quer separar funções administrativas, como é possível em uma
floresta separada. Se escolher Tree Domain, você deverá definir o nome da
floresta em que a árvore será adicionada. O padrão é a floresta em que você está
logado.
5. Digite o nome do novo domínio. No caso de um domínio filho, o nome inclui o
domínio pai como sufixo. Por exemplo, adicionar o domínio Europe como filho
do domínio Adatum.com cria o domínio Europe.Adatum.com. Se você criar uma
nova árvore, poderá digitar qualquer nome de domínio DNS válido e ele não
conterá o domínio raiz da floresta. Clique em Next.
15
6. Na página Domain Controller Options, selecione o nível funcional do domínio e
configure os ajustes DNS, GC e RODC. Selecione o nome de site apropriado e, por
fim, digite a senha DSRM e clique em Next.
7. Na página DNS Options, mostrada na Figura 1-9, marque a caixa de seleção
Create DNS Delegation. Isso cria uma delegação de DNS para o subdomínio em
seu namespace do DNS. Clique em Next.
16
7. O Active Directory Domain Services Configuration Wizard é carregado, como
mostrado na Figura 1-11. Na página Credentials, se necessário, especifique
credenciais de usuário com privilégio suficiente para fazer a remoção. Não
marque a caixa de seleção Force The Removal Of This Domain Controller, a não
ser que o controlador de domínio tenha falhado e não puder fazer contato.
Clique em Next.
17
9. Em New Administrator Password, digite e confirme a senha do administrador
local e clique em Next.
10. Revise suas escolhas e, então, clique em Demote.
11. Seu servidor é rebaixado e, então, reiniciado. Efetue logon usando a conta do
administrador local.
Agora é possível verificar o rebaixamento e a remoção de função. Em um controlador
de domínio:
1. Em um controlador de domínio, abra Active Directory Users And Computers.
Verifique se o controlador de domínio rebaixado não está mais listado na OU
Domain Controllers.
2. Clique no contêiner Computers. Você deverá ver o computador servidor
rebaixado.
3. Abra Active Directory Sites And Services. Expanda Sites, expanda o site Default-
First-Site-Name e, em Servers, exclua o objeto que representa o servidor
rebaixado.
Também é possível completar o processo de rebaixamento usando o Windows
PowerShell. Use os dois cmdlets a seguir para completar o processo a partir do prompt
de comando do Windows PowerShell:
Uninstall-addsdomaincontroller
Uninstall-windowsfeature AD-Domain_Services
18
Depois de instalar os arquivos exigidos, você pode ativar o Active Directory Domain
Services Configuration Wizard a partir do Server Manager, para configurar a instalação
Server Core remotamente, ou usar o cmdlet InstallADDSDomainController do Windows
PowerShell para concluir o processo de promoção. Em outras palavras, o processo para
instalar AD DS em uma instalação Server Core do Windows Server 2016 é o mesmo
usado para um servidor com Desktop Experience.
19
6. No prompt ifm:, digite quit e pressione Enter.
7. No prompt ntdsutil:, digite quit e pressione Enter.
8. Feche o prompt de comando.
9. Usando o Explorador de Arquivos, copie o conteúdo da pasta C:\IFM, como
mostrado na Figura 1-14, para um armazenamento removível, como um cartão
de memória USB.
20
13. Clique para dar continuidade no assistente, revise suas seleções e, quando
solicitado, clique em Install. Seu servidor reinicia durante o processo de
promoção.
14. Efetue logon como administrador do domínio.
• Apenas um RODC deve ser implantado por site e por domínio. Se vários RODCs
forem implantados por site, o uso do cache será inconsistente, resultando em
possíveis problemas de logon de usuário e computador.
• A função de servidor DNS pode ser instalada junto com a função RODC. Clientes
locais podem usar a função DNS instalada, assim como qualquer outra instância
de DNS dentro de sua organização, com uma exceção: atualizações dinâmicas.
Como as informações da zona do DNS são somente leitura, os clientes não
podem fazer atualizações dinâmicas na instância de uma zona do DNS em um
RODC. Nessa situação, o RODC fornece aos clientes o nome de um controlador
de domínio gravável que eles podem usar para atualizar seus registros.
• RODCs não podem executar as seguintes funções do AD DS:
• Funções de mestre de operações As funções de mestre de operações precisam
gravar no banco de dados do AD DS. Consequentemente, RODCs não podem
conter nenhuma das cinco funções de mestre de operações. As funções de
mestre de operações são discutidas mais adiante neste objetivo.
21
• Bridgeheads de replicação do AD DS Como os bridgeheads são responsáveis pela
replicação do AD DS, devem suportar replicação do AD DS de entrada e saída.
RODCs suportam apenas replicação de entrada e, portanto, não podem
funcionar como bridgeheads de replicação do AD DS.
• RODCs não podem:
• Autenticar através de relação de confiança quando uma conexão de rede
remota está indisponível Se uma filial contém usuários de vários domínios da
floresta do AD DS, usuários e computadores do domínio do qual o RODC não é
membro não podem ser autenticados quando um link está indisponível. Isso
porque o RODC coloca em cache somente as credenciais das contas do domínio
do qual é membro.
• Suportar aplicativos que exigem interação constante com o AD DS Alguns
aplicativos, como o Microsoft Exchange Server, exigem interação com o AD DS.
RODC não suporta a interatividade exigida e, portanto, deve-se implantar
controladores de domínio graváveis nos sites que também contêm Exchange
Servers.
Implantando um RODC
Antes de implantar um RODC é preciso garantir que haja pelo menos um controlador de
domínio gravável em sua organização. Os RODCs são implantados da mesma forma que
todos os outros controladores de domínio:
1. Instale a função de servidor Active Directory Domain Services no computador a
ser implantado como RODC.
2. Ative o Active Directory Domain Services Configuration Wizard e clique para dar
continuidade no assistente.
3. Na página Domain Controller Options, mostrada na Figura 1-16, marque a caixa
de seleção Read Only Domain Controller (RODC) e quaisquer outras opções
exigidas. Então, clique em Next.
22
4. Na página RODC Options, mostrada na Figura 1-17, configure as opções a seguir
e depois clique em Next.
• Accounts that are denied from replicating passwords to the RODC O grupo
Denied RODC Password Replication Group é selecionado por padrão. Depois de
23
implantar o RODC, você pode adicionar usuários e computadores a esse grupo.
Além disso, os seguintes grupos locais também não podem replicar senhas:
Administrators, Server Operators, Backup Operators e Account Operators.
5. Clique para dar continuidade no assistente, examine suas seleções e, quando
solicitado, clique em Install. Seu servidor reinicia durante o processo de
promoção.
Depois de implantar o RODC, configure os membros de Allowed RODC Password
Replication Group e Denied RODC Password Replication Group para gerenciar a política
de replicação de senhas para o RODC.
É aí que entra o catálogo global. O catálogo global é uma cópia parcial, somente leitura,
de todos os objetos da floresta e contém um subconjunto dos atributos destas contas
do AD DS. Todos os controladores de domínio configurados como servidores de catálogo
global armazenam uma cópia dessas informações localmente. Isso permite que
satisfaçam consultas por atributos de objetos que residem em outros domínios da
floresta – sem a necessidade de solicitar a um controlador de domínio nesse outro
domínio.
Um controlador de domínio pode ser configurado como servidor de catálogo global
durante a implantação. Ao executar o Active Directory Domain Services Configuration
Wizard, marque a caixa de seleção Global Catalog (GC) na página Domain Controller Op-
tions, como mostrado na Figura 1-16.
Como alternativa, após a instalação, use a ferramenta Active Directory Sites And
Services:
1. Em um controlador de domínio, abra o Server Manager, clique em Tools e depois
em Active Directory Sites And Services.
2. Expanda o nó Sites, expanda o site desejado, expanda a pasta Server e, então,
expanda o nó do controlador de domínio a ser modificado.
3. Clique no objeto NTDS Settings, como mostrado na Figura 1-18.
24
4. Clique com o botão direito do mouse no nó NTDS Settings e, na guia General,
marque a caixa de seleção Global Catalog, como mostrado na Figura 1-19, e
clique em OK.
25
Set-ADObject -Identity (Get-ADDomainController -Identity LON-SVR3).
NTDSSettingsObjectDN -Replace @{options=’1’}
4. Execute o comando getADDomainController | selectobject property
Name,IsGlobalCatalog novamente, para verificar a alteração, como mostrado na
Figura 1-21.
26
8. Feche o console de gerenciamento.
Criando um clone
Antes de clonar um controlador de domínio virtual é preciso garantir que a
infraestrutura satisfaça os seguintes requisitos:
27
executando em um controlador de domínio instalado com Windows Server 2012
ou posterior. Além disso, a função de emulador PDC deve estar online na
primeira vez que os controladores de domínio clonados forem iniciados.
• Identificadores de geração de máquina virtual Deve-se usar um hipervisor, como
o Hyper-V no Windows Server 2012 ou posterior, que suporte identificadores de
geração da máquina virtual (generation_id).
Depois de ter verificado esses pré-requisitos, use o procedimento a seguir para clonar
um controlador de domínio virtual. São dois estágios: preparar o controlador de domínio
de origem e preparar um ou mais clones do controlador de domínio de destino.
28
6. Encerre o controlador de domínio virtual de origem.
7. Exporte o controlador de domínio virtual de origem:
• Clique com o botão direito do mouse na máquina virtual controladora de
domínio de origem no painel de navegação e clique em Export.
• Na caixa de diálogo Export Virtual Machine, na caixa de texto Location,
especifique a pasta onde deseja armazenar a máquina virtual exportada e clique
em Export.
8. Se estiver implantando vários clones, você deve agora modificar o arquivo DCClo-
neConfig.xml de cada um. Faça isso montando o VHD do clone controlador de
domínio de destino e executando o cmdlet New-ADDCCloneConfigFile, definindo
as informações exclusivas exigidas para o clone. Se estiver implantando apenas
um clone, pule este passo.
CRIE CLONE(S)
1. Certifique-se de que o emulador de PDC e um servidor de catálogo global
estejam online e visíveis para seus clones de destino.
2. No Hyper-V Manager, importe a máquina virtual:
A. No painel Actions, clique em Import Virtual Machine.
B. Na página Locate Folder do Import Virtual Machine Wizard, na caixa de texto
Folder, digite o caminho para os arquivos exportados de sua máquina virtual e
clique em Next.
C. Na página Select Virtual Machine, mostrada na Figura 1-25, se necessário,
selecione a máquina virtual na lista e clique em Next.
29
3. Na página Choose Import Type, mostrada na Figura 1-26, clique em Copy The
Virtual Machine (Create A New Unique ID) e depois em Next.
4. Na página Choose Folders For Virtual Machine Files, mostrada na Figura 1-27,
marque a caixa de seleção Store The Virtual Machine In A Different Location e,
para cada local de pasta, especifique um caminho de pasta conveniente e clique
em Next.
30
5. Na página Choose Folders To Store Virtual Hard Disks, mostrada na Figura 1-28,
especifique um caminho de pasta conveniente e clique em Next.
6. Na página Completing Import Wizard, clique em Finish. A máquina virtual é
importada, o que pode demorar uns 20 minutos.
7. Após a importação, no Hyper-V Manager, no painel de navegação, renomeie a
máquina virtual importada.
8. No Hyper-V Manager, no painel Actions, clique na máquina virtual recentemente
importada, clique em Start e depois em Connect para ver a máquina virtual
inicializar. A mensagem “Domain Controller cloning is at x% completion” aparece
durante a conclusão do processo de clonagem.
Quando o controlador de domínio clonado inicia, o seguinte processo ocorre:
31
adicionar um (ou mais) novo(s) controlador(es) de domínio Windows Server 2016 na
infraestrutura existente e, então, migrar funções para o(s) controlador(es) de domínio
recentemente implantado(s).
Antes de implantar o primeiro controlador de domínio Windows Server 2016 na
infraestrutura existente, é preciso determinar se os níveis funcionais de floresta e
domínio atuais são pelo menos Windows Server 2008. Isso pode ser feito com o seguinte
procedimento:
32
Depois de verificar e (se necessário) elevar os níveis funcionais de floresta e domínio, e
se a infraestrutura existente é baseada no Windows Server 2008 ou no Windows Server
2008 R2, execute as seguintes tarefas:
33
aplicativo, como o Exchange Server, que exige tipos de objeto e atributos
adicionais em relação aos tipos de objeto existentes.
• Mestre de nomeação de domínio O mestre de nomeação de domínio manipula
a adição ou a remoção de domínios na floresta do AD DS. Como esses tipos de
alterações não são frequentes, se o mestre de nomeação de domínio ficar
indisponível temporariamente, você pode não perceber isso imediatamente.
Para recuperar informações sobre os proprietários atuais da função de mestre de
esquema e de nomeação de domínio, use o cmdlet get-ADForest do Windows
PowerShell, como mostrado na Figura 1-31.
Os mestres de operações restantes são em nível de domínio. Isso significa que cada
domínio contém essas três funções de mestre de operações e que elas são específicas
do domínio. São eles:
34
Geralmente, se um desses mestres de operações em nível de floresta ou de domínio
estiver indisponível por um curto período, isso provavelmente não afetará as operações
diárias de sua infraestrutura AD DS. Contudo, períodos de indisponibilidade estendidos
podem apresentar desafios significativos e resultar em problemas.
Transferindo funções
Se você prevê a necessidade de desligar o controlador de domínio que contém uma
função de mestre de operações por um período estendido, pense em transferir essa
função. Para transferir uma função, use o procedimento adequado a seguir.
Para o mestre de esquema:
1. No controlador de domínio para o qual a função vai ser transferida, abra o
console Active Directory Schema.
2. Clique com o botão direito do mouse no nó Active Directory Schema, no painel
de navegação, e clique em Change Active Directory Domain Controller. Selecione
o controlador de domínio para o qual a função vai ser transferida e clique em OK.
3. Clique com o botão direito do mouse no nó Active Directory Schema, no painel
de navegação, e clique em Operations Master.
4. Na caixa de diálogo Change Schema Master, mostrada na Figura 1-33, verifique
se o controlador de domínio de destino aparece na caixa de texto Change e,
então, clique em Change, em Yes, em OK e em Close.
35
Para o mestre de nomeação do domínio:
1. No controlador de domínio de destino, abra o console Active Directory Domains
And Trusts.
2. Clique com o botão direito do mouse no nó Active Directory Domains And Trusts,
no painel de navegação, e clique em Change Active Directory Domain Controller.
Selecione o controlador de domínio para o qual a função vai ser transferida e
clique em OK.
3. Clique com o botão direito do mouse no nó Active Directory Domains And Trusts,
no painel de navegação, e clique em Operations Master.
4. Na caixa de diálogo Operations Master, verifique se o controlador de domínio de
destino aparece na caixa de texto Change e, então, clique em Change, em Yes,
em OK e em Close. Para qualquer um dos três mestres de operações em nível de
domínio:
1. No controlador de domínio de destino, abra o console Active Directory Users And
Computers.
2. Clique com o botão direito do mouse no domínio apropriado, no painel de
navegação, e clique em Operations Masters.
3. Na caixa de diálogo Operations Masters, mostrada na Figura 1-34, na guia RID,
PDC ou Infrastructure, verifique se o controlador de domínio de destino aparece
na caixa de texto Change e, então, clique em Change, em Yes, em OK e em Close.
36
Também é possível mover essas funções com o cmdlet MoveADDirectoryServerO-
perationMasterRole do Windows PowerShell. Por exemplo, para transferir o mestre
emulador de PDC para LON-SVR3, use o comando a seguir:
Move-ADDirectoryServerOperationMasterRole -Identity “LON-SVR3” -
OperationMasterRole PDCEmulator
37
Por exemplo, para executar seize das funções de emulador PDC, mestre RID e mestre de
infraestrutura, atribuindo-as a LON-SVR3, use o comando a seguir:
Move-ADDirectoryServerOperationMasterRole -Identity "LON-SVR3" -
OperationMasterRole 0,1,2 -Force
Também é possível usar a ferramenta de linha de comando Ntdsutil.exe para transferir
ou executar seize de funções de mestre de operações.
Um registro SVR consiste em vários elementos que identificam o serviço do AD DS. São
eles o serviço, o protocolo, a prioridade e o peso, o número de porta do protocolo e o
FQDN do host que oferece o serviço, como mostrado na Figura 1-36.
38
Por exemplo, se um computador com Microsoft Exchange Server está tentando localizar
um controlador de domínio que executa o serviço Catálogo Global no domínio
Adatum.com, ele consulta o DNS em busca de _gc._tcp.Adatum.com.
Para ajudar os clientes a ter acesso a instâncias geograficamente próximas de serviços
do AD DS, informações sobre sites são fornecidas nos registros SRV do DNS. Por
exemplo, quando um computador Windows 10 inicia, ele procura registros SRV
específicos do site no DNS. Uma resposta típica do DNS para a consulta do cliente inclui:
39
administrativas, é possível usar várias ferramentas gráficas, acessíveis a partir do Server
Manager, ou o Windows PowerShell, para ajudar a automatizar essas tarefas.
No AD DS não são apenas os usuários que precisam ter uma conta. Os computadores
que se conectam aos recursos da rede de sua organização também precisam ser
identificados. Sob certos aspectos isso é mais simples, pois você toma a decisão sobre o
nome da conta do computador ao implantá-lo e nomeá-lo, durante o processo de
instalação. Portanto, é fundamental que, ao implantar os computadores de seus
usuários, você considere o nome do dispositivo cuidadosamente.
40
Depois de definir o padrão de nomenclatura de contas de usuário, use o procedimento
a seguir para adicionar uma conta de usuário:
1. Efetue logon com um membro do grupo global de segurança Domain Admins.
2. Abra o console Active Directory Users And Computers e selecione a OU em que
deseja criar sua conta de usuário.
3. Clique com o botão direito do mouse na OU, aponte para New e clique em User.
4. Na caixa de diálogo New Object – User, mostrada na Figura 1-40, digite as
informações a seguir e clique em Next:
• First name, Initials e Last name Devem identificar o usuário exclusivamente.
Esses elementos combinados criam o nome completo do usuário, o qual deve
ser único dentro do contêiner do AD DS onde é criado. Contudo, é aconselhável
tentar garantir que o nome seja único dentro da floresta.
• User logon name Esse nome é combinado com o sufixo mostrado ao lado (@
Adatum.com na Figura 1-40), para criar um nome principal do usuário (UPN, user
principal name), por exemplo, BurkeB@Adatum.com. Esse UPN deve ser único
dentro da floresta do AD DS. O sufixo UPN geralmente é o nome do domínio
onde a conta está sendo adicionada. Contudo, é possível definir mais sufixos
41
UPN, usando o console Active Directory Domains and Trusts (Domínios e
Relações de Confiança do Active Directory).
• User logon name (pre-Windows 2000) Esse nome às vezes também é referido
como nome de conta SAM (SAM Account Name). Ele deve ser único dentro do
domínio atual.
5. Em seguida, digite uma senha e confirme, como mostrado na Figura 1-41. O que
for digitado precisa satisfazer as regras de complexidade de senha atuais de seu
domínio. Configure os ajustes restantes e clique em Next:
• User must change password at next logon É considerada boa prática forçar o
usuário a escolher uma nova senha na primeira vez que efetuar logon.
• User cannot change password Selecione esta opção se a conta de usuário é
especializada, como uma usada por um aplicativo ou serviço, não por uma
pessoa. Esta opção é mutuamente exclusiva com User Must Change Password At
Next Logon.
• Password never expires Do mesmo modo, escolha esta opção se a conta de
usuário for especializada, como uma usada por um aplicativo ou serviço. Esta
opção também é mutuamente exclusiva com User Must Change Password At
Next Logon.
• Account is disabled É considerada boa prática desabilitar todas as contas de
usuário, até que o usuário esteja pronto para efetuar logon pela primeira vez.
Muitas organizações adicionam contas de usuário e criam contas de e-mail para
funcionários novos, antes de seu primeiro dia no emprego. Contudo, não é
seguro deixar uma conta de usuário habilitada e não usada, com sua senha
inicial.
42
6. Quando solicitado, clique em Finish.
Depois de criar a conta, modifique suas propriedades para configurar participações
como membro de grupos, detalhes organizacionais e propriedades de conta mais
avançadas. Para isso, use o seguinte procedimento:
1. No Active Directory Users And Computers, localize a OU que contém a nova
conta de usuário.
2. Clique com o botão direito do mouse na conta e clique em Properties. Há um
número enorme de propriedades de conta de usuário que podem ser
configuradas, mas as seguintes são as mais importantes.
3. Na caixa de diálogo User Properties, clique na guia Account, mostrada na Figura
1-42, e configure os seguintes ajustes:
43
• Logon Hours Especifica os dias e horas da semana em que a conta pode ser
usada. O padrão é Always (sempre).
• Log On To Define quais computadores a conta de usuário pode usar para efetuar
logon. O padrão é All Computers (todos os computadores).
• Unlock account Esta opção só pode ser selecionada quando a conta estiver
bloqueada. Isso ocorre quando um usuário tenta fazer logon usando uma senha
incorreta e excede o limite de tentativas de logon incorretas.
• Account options Fora as opções definidas ao criar a conta (o usuário deve mudar
a senha no próximo logon, etc.), podem ser habilitadas algumas opções mais
avançadas para contas usadas em situações sigilosas que exigem mais segurança.
As configurações incluem: Smart Card Is Required For Interactive Logon, Account
Is Sensitive And Cannot Be Delegated e This Account Supports Kerberos AES 256
Bit Encryption.
• Account expires É possível configurar uma data de expiração para uma conta.
Muitas vezes isso é útil para contas usadas por estagiários ou pessoal
temporário. Depois que a conta expira, pode-se atribuí-la ao próximo estagiário
e reconfigurar a data de expiração.
4. Na guia Profile, mostrada na Figura 1-43, existem as seguintes configurações.
• Profile path Se você define o caminho para o perfil apontando para uma pasta
compartilhada, as configurações de área de trabalho e aplicativo do usuário
acompanham sua conta. Quando um usuário se desconecta, essas configurações
são salvas nesse local. Defina um caminho UNC e use a variável %username%
para determinar uma subpasta da pasta compartilhada. Por exemplo, como
mostrado na Figura 1-43, o caminho UNC aponta para a pasta compartilhada
44
Users no servidor LONDC1. Quando você clicar em Apply, será criada
automaticamente uma subpasta para esse usuário, com nome de acordo com a
conta de usuário, como mostrado na Figura 1-44. Debaixo dela será criada
automaticamente uma subpasta para o perfil do usuário.
• Logon script Especifica o nome de um arquivo de lote para usar como script de
logon para esse usuário. Não se deve especificar o caminho para esse arquivo.
Todos os scripts devem ser armazenados na pasta compartilhada NETLOGON
(parte de SYSVOL), para que possam ser replicados em todos os controladores
de domínio. Em geral, esse campo raramente é usado. A maioria dos
administradores prefere aplicar scripts de logon usando GPOs.
• Home folder É considerada boa prática criar uma área de armazenamento
pessoal para cada usuário em sua rede. Ela é referida como pasta base. Se você
usar a variável %username% para definir uma subpasta de uma pasta
compartilhada válida, a pasta base do usuário será criada automaticamente e
seu nome de usuário será usado para nomear esta pasta. Especifique uma letra
da unidade de disco para mapear a pasta base do usuário.
5. Na guia Member Of, mostrada na Figura 1-45, adicione o usuário aos grupos
necessários e clique em OK. Os grupos são discutidos no próximo objetivo.
45
Configure modelos
Se existem muitas contas de usuário semelhantes para adicionar, considere usar
modelos para acelerar o processo. Um modelo de conta de usuário é uma conta de
usuário normal, preenchida com propriedades e configurações comuns. Você copia a
conta em Active Directory Users And Computers e, então, configura apenas os ajustes
individuais exclusivos:
• Group Memberships
• Home Directories
• Profile Settings
• Logon Scripts
• Logon Hours
• Password Settings
• Department Name
• Manager
46
• Mover usuários Clique com o botão direito do mouse na conta de usuário
desejada e, então, clique em Move. Na caixa de diálogo Move, clique no novo
local e depois em OK. No Windows PowerShell, use o cmdlet Move-ADObject.
Por exemplo, para mover Beth Burke de IT para Marketing no domínio
Adatum.com, use o comando a seguir:
Move-ADObject -Identity ‘CN=Beth Burke,OU=IT,DC=Adatum,DC=com’ -TargetPath
‘OU=Marketing,DC=Adatum,DC=com’
Podemos usar cmdlets do Windows PowerShell para executar todas as tarefas comuns
de gerenciamento de usuário. A Tabela 1-2 lista os cmdlets importantes e explica seu
uso.
47
Qualquer que seja o motivo, é considerada boa prática desabilitar as contas inativas para
ajudar a garantir a segurança de sua rede. Para desabilitar uma conta não usada, em
Active Directory Users And Computers, clique com o botão direito do mouse na conta
de usuário e, então, clique em Disable Account. Para habilitar uma conta desabilitada,
localize a conta de usuário, clique nela com o botão direito do mouse e, então, clique
em Enable Account.
• Enterprise Admins
• Domain Admins
• Administrators
• Account Operators
Você pode então adicionar a conta de computador usando uma de duas estratégias:
48
3. Em System, clique em Advanced System Settings.
4. Na guia Computer name da caixa de diálogo System Properties, clique em
Change.
5. Na caixa de diálogo Computer Name/Domain Changes, mostrada na Figura 1-47,
selecione Domain e, então, digite o nome do domínio.
49
14. Selecione a nova OU para o computador e clique em OK.
Geralmente, as contas de computador não exigem muito gerenciamento. Talvez seja
preciso adicionar um computador a um grupo de segurança, que é um processo quase
idêntico a adicionar um usuário a um grupo. Para gerenciar computadores pode ser
usado Active Directory Users and Computers ou Active Directory Administrative Center.
Você também pode usar o Windows PowerShell A Tabela 1-3 lista os cmdlets comuns
para gerenciamento de computador do Windows PowerShell.
50
adicionam novamente ao domínio. Normalmente isso funciona. Contudo, isso remove o
objeto computador do AD DS e cria um novo, embora com o mesmo nome. Como o
objeto é novo e tem um novo SID (security identity, identidade de segurança), toda
associação como membro de grupo do computador é perdida.
Isso pode não ser uma preocupação, mas se você usa associação de grupo
extensivamente, é melhor redefinir o canal de segurança, em vez de retirar o
computador do domínio. O canal pode ser redefinido com Active Directory Users and
Computers, Windows PowerShell ou com a ferramenta de linha de comando
Dsmod.exe. A redefinição do canal garante que o SID do computador permaneça o
mesmo, significando que as associações de grupo são mantidas.
No Active Directory Users and Computers, para redefinir o canal de segurança:
1. Clique com o botão direito do mouse no computador, clique em Reset Account
e em Yes, como mostrado na Figura 1-50.
2. Reingresse o computador no domínio e, então, o reinicie.
51
No Windows Server 2016, para computadores clientes executando Windows 7 ou mais
recente, é possível usar um recurso conhecido como ingresso no domínio offline para
contornar esse problema. Para fazer um ingresso no domínio offline, use a ferramenta
de linha de comando Djoin.exe. Djoin.exe gera um blob de metadados semelhante a um
arquivo de configuração, o qual é usado no computador cliente para completar o
processo de ingresso. Ao executar Djoin.exe, especifique o nome do domínio a ingressar,
o nome do computador a ser adicionado ao domínio e o nome e local do arquivo que
vai armazenar essas informações.
Para fazer um ingresso no domínio offline, use o procedimento a seguir:
1. Em um controlador de domínio, abra um prompt de comando elevado e execute
djoin.exe /provision. O formato desse comando é:
djoin.exe /Provision /Domain /Machine /SaveFile
Por exemplo, para adicionar LON-CL4 ao domínio Adatum.com, use o comando a seguir:
djoin.exe /provision /domain adatum.com /machine LON-CL4 /savefile c:\cl4.txt
2. Em seguida, copie o arquivo de ingresso no computador de destino e use o
comando djoin.exe /requestODJ. O formato do comando é:
djoin.exe /requestODJ /LoadFile /WindowsPath %systemroot% /Localos
Por exemplo, para adicionar LON-CL4, execute o comando a seguir:
djoin.exe /requestODJ /loadfile c:\LON-CL4.txt /windowspath C:\Windows /Localos
3. Reinicie o computador de destino.
52
Security Policy. Em uma floresta de AD DS, os administradores usam GPOs para atribuí-
los.
Para modificar direitos de usuário, use o procedimento a seguir:
1. Abra o console Group Policy Management.
2. Navegue até o contêiner Group Policy Objects.
3. No painel de detalhes, clique com o botão direito do mouse em Default Domain
Policy e, então, clique em Edit.
4. No Group Policy Management Editor (Editor de Gerenciamento de Política de
Grupo), no painel de navegação, expanda Computer Configuration, Policies,
Windows Settings, Security Settings, Local Policies e, então, como mostrado na
Figura 1-51, clique em User Rights Assignment.
53
7. Na caixa de diálogo Right Properties, clique em OK.
54
Usando Windows PowerShell para modificar objetos do AD DS
Para efetuar operações em massa em objetos usuário ou computador, ou em objetos
grupo, passe uma lista dos objetos desejados para um cmdlet do Windows PowerShell
que, então, fará a modificação exigida. Frequentemente, o cmdlet que faz essa
modificação é um dos seguintes:
• Set-ADUser
• Set-ADComputer
• Set-ADGroup
• Set-ADOrganizationalUnit
Por exemplo, se você quisesse modificar o nome da empresa de todos os usuários após
uma fusão, poderia usar o seguinte comando:
Get-ADUser -Filter {company -like "A Datum"} | Set-ADUser -Company "Contoso"
Para desabilitar todas as contas de usuário no departamento Sales, poderia usar o
seguinte comando:
Get-ADUser -Filter {Department -like "Sales"} | Disable-ADAccount
Para redefinir a senha de todos os usuários no departamento Marketing, poderia usar o
seguinte comando:
Get-ADUser -Filter {Department -like "Marketing"} | Set-ADAccountPassword -Reset -
NewPassword (ConvertTo-SecureString -AsPlainText "Pa55w.rd" -Force)
55
Além desses grupos, o Windows Server também suporta a noção de identidades
especiais. Elas são tratadas como grupos dentro do sistema operacional, visto que é
possível conceder permissões e direitos a elas, como qualquer outro grupo. Contudo, a
lista de membros não pode ser editada, ou seja, não é possível associar uma identidade
especial a um usuário (ou outro grupo). Em vez disso, os membros de grupo são
associados de forma implícita, com base nas características de um usuário em
determinada situação. As identidades especiais são:
• Everyone Esta identidade representa todo mundo e inclui tanto usuários com
conta como convidados sem conta – supondo que contas de convidado estejam
habilitadas.
• Authenticated Users Esta identidade é mais específica e inclui todos, exceto os
convidados.
56
• Anonymous Logon Esta identidade é usada pelos recursos que não exigem nome
de usuário nem senha para permitir o acesso. Ela não inclui convidados.
• Interactive Um usuário que está tentando acessar um recurso no computador
local possui a identidade Interactive.
• Network Um usuário que está tentando acessar um recurso em um computador
remoto possui a identidade Network.
• Creator Owner Qualquer indivíduo que cria um objeto, como um arquivo, possui
a identidade Creator Owner desse objeto. Um usuário associado a essa
identidade tem total controle sobre o objeto.
57
• Segurança Usado para atribuir permissões ou direitos. Também pode ser usado
para os propósitos de listas de distribuição de e-mail.
• Distribuição Usado para os propósitos de listas de distribuição de e-mail.
No Windows Server 2016 há uma estratégia recomendada para aninhar grupos, referida
como IGDLA, que é a abreviatura do seguinte:
• Global para universal Permitido somente se o grupo que vai mudar de escopo
não é membro de outro grupo global. Isso porque um grupo universal não pode
pertencer a um grupo global.
• Domínio local para universal Permitido somente se o grupo que vai mudar de
escopo não contém outro grupo de domínio local. Isso porque um grupo
universal não pode conter um grupo de domínio local.
58
• Universal para global Permitido somente se o grupo que vai mudar de escopo
não tem outro grupo universal como membro. Isso porque um grupo universal
não pode pertencer a um grupo global.
• Universal para domínio local Sempre permitido.
Se quiser mudar o tipo do grupo, isso é sempre permitido, mas com as seguintes
advertências:
59
É possível configurar gerentes para um grupo. Isso permite delegar a responsabilidade
pelo gerenciamento do grupo, como mostrado na Figura 1-55.
Um grupo pode ser excluído facilmente com o Active Directory Users and Computers.
Clique com o botão direito do mouse no grupo e, então, clique em Delete. No prompt
de confirmação, clique em Yes.
Todas as tarefas de gerenciamento de grupo podem ser executadas com o Windows
PowerShell. A Tabela 1-5 mostra os cmdlets de gerenciamento de grupo.
60
Por exemplo, para criar um grupo chamado IT Managers na OU IT do domínio
Adatum.com, use o seguinte comando:
New-ADGroup -Name “IT Managers” -SamAccountName ITManagers -GroupCategory
Security -GroupScope Global -DisplayName “ IT Managers” -Path
“OU=IT,DC=Adatum,DC=Com” -Description “Members of this group are RODC
Administrators”
Para adicionar membros, use o seguinte comando:
Add-ADGroupMember “IT Managers” “Beth”, “Ida”
Para enumerar os membros do grupo atual, use o seguinte comando:
Get-ADGroupMember “IT Managers”
61
3. No Group Policy Management Editor, no painel de navegação, expanda
Computer Configuration, Policies, Windows Settings, Security Settings e, então,
clique no nó Restricted Groups.
4. Clique com o botão direito do mouse em Restricted Groups e, então, clique em
Add Group.
5. Na caixa de diálogo Add Group, localize o grupo a ser gerenciado e clique em OK.
6. Então, na caixa de diálogo Group Properties, mostrada na Figura 1-56, para
restringir a associação como membro do grupo, sob o cabeçalho Configure
Membership For Group, clique em Add e adicione os usuários ou grupos que
devem pertencer ao grupo.
7. Opcionalmente, sob o cabeçalho This Group Is A Member Of, localize os grupos
dos quais esse grupo deve ser membro. Clique em OK.
62
possível usar objetos de sites do AD DS para controlar o comportamento físico
da rede, de modo que usar OUs geográficas deve significar algo em termos de
delegação ou configuração.
• Mista Uma combinação dessas duas estratégias. É provável que isso seja
conveniente apenas para organizações maiores. Também é provável que suas
OUs sejam aninhadas, talvez primeiro por região e depois por departamento ou
vice-versa, dependendo da estrutura de gerenciamento de sua organização.
Depois de considerar como melhor implementar OUs, você pode começar a criá-las e
então mover objetos para elas, como usuários e computadores. Em geral, a maior parte
do gerenciamento de OUs é realizada com ferramentas gráficas, como Active Directory
Users and Computers. Contudo, é possível usar o Windows PowerShell. A Tabela 1-6 lista
os cmdlets comuns para gerenciamento de OU do Windows PowerShell.
Para criar uma OU no AD DS, abra o console Active Directory Users and Computers.
Navegue até o objeto do domínio e, então, use o seguinte procedimento:
1. Clique com o botão direito do mouse no domínio (ou na OU, se estiver criando
OUs aninhadas), aponte para New e clique em Organizational Unit.
2. Na caixa de diálogo New Object – Organizational Unit, mostrada na Figura 1-57,
na caixa Name, digite o nome de sua OU e clique em OK.
Depois de criar sua OU, você pode começar a criar, ou mover, objetos nela. Uma vez
concluída essa tarefa, crie e vincule GPOs às OUs para configurar ajustes de usuário e
computador para os objetos dentro da OU. As GPOs são discutidas em detalhes mais
adiante, no Capítulo 3: Criação e gerenciamento de Group Policy.
63
Delegue o gerenciamento do Active Directory usando grupos e OUs
Tendo criado suas OUs e preenchido com os objetos necessários, opcionalmente é
possível delegar sua administração para grupos dentro do AD DS.
Tarefas podem ser delegadas usando-se o Delegation Of Control Wizard no Active
Directory Users and Computers. Como alternativa, você pode atribuir manualmente
permissões específicas de AD DS em nível de objeto, usando a guia Security nos objetos
do AD DS. Contudo, esse processo pode ser demorado e trabalhoso.
Para delegar controle usando o Delegation Of Control Wizard, use o procedimento a
seguir:
1. No Active Directory Users and Computers, localize e clique com o botão direito
do mouse em sua OU e então clique em Delegate Control.
2. Na página Welcome do Delegation Of Control Wizard, clique em Next.
3. Na página Users or Groups, clique em Add e localize o usuário ou grupo ao qual
deseja delegar a tarefa específica que está sendo configurada. Clique em OK e
depois em Next.
4. Na página Tasks To Delegate, mostrada na Figura 1-58, na lista de Delegate The
Following Common Tasks, marque a caixa de seleção da tarefa (ou tarefas) que
deseja delegar e clique em Next.
64
1. Ative o Delegation of Control Wizard, especifique o usuário ou grupo ao qual
deseja delegar a tarefa personalizada e, então, na página Tasks To Delegate,
clique em Cre-ate A Custom Task To Delegate e em Next.
2. Na página Active Directory Object Type, mostrada na Figura 1-59, selecione This
Folder, Existing Objects In This Folder, And Creation Of New Objects In This
Folder. Essa opção permite que o administrador delegado gerencie todos os
aspectos dos tipos de objeto selecionados. Clique em Next.
65
2. Clique com o botão direito do mouse na OU e clique em Properties.
3. Na caixa de diálogo OU Properties, na guia Security, mostrada na Figura 1-61, é
possível ver as permissões da OU. Isso incluirá as permissões recentemente
delegadas.
5. Agora você pode usar o botão Add para configurar permissões específicas, sem
a necessidade de usar o Delegation Of Control Wizard, como mostrado na Figura
1-63.
66
6. Clique em OK três vezes para concluir o processo.
67
Capítulo 2:
Gerenciamento e manutenção de
AD DS
68
Objetivo 2.1: Configurar autenticação de serviço e políticas de conta
Muitos aplicativos e serviços instalados no Windows Server são executados no contexto
de segurança de uma conta de usuário, conhecida como conta de serviço. Assim como
todas as contas de usuário, é importante que essas contas de serviço não sejam
comprometidas. O Windows Server 2016 fornece contas de serviço gerenciado (MSAs,
Managed Service Accounts) e contas de serviço gerenciado de grupo (gMSAs, Group
Managed Ser-vice Accounts) para facilitar o gerenciamento de contas de serviço.
Políticas de conta permitem controlar recursos de segurança fundamentais, como
complexidade, comprimento, expiração e bloqueio de senha. Esses recursos podem ser
usados para ajudar a tornar seguros sua rede, os aplicativos e os serviços executados
dentro dela.
• MSAs Ao contrário das contas de usuário padrão, as MSAs herdam parte de sua
estrutura de objetos computador, incluindo a manipulação de alterações de
senha. Isso oferece as seguintes vantagens:
• Gerenciamento de senha automático
• Gerenciamento de SPN simplificado
69
• gMSAs Permitem ampliar a função das MSAs para vários servidores no domínio
do AD DS. Isso é útil quando se está usando balanceamento de carga. Para usar
gM-SAs, seu ambiente de AD DS deve satisfazer os seguintes requisitos:
• Os computadores clientes devem executar no mínimo Windows 8
• Você deve criar uma chave KDS (key distribution services) raiz para seu domínio
• Pelo menos um controlador de domínio deve executar Windows Server 2012 ou
posterior
Ao criar uma gMSA, você deve definir o conjunto de computadores que podem
recuperar informações de senha do AD DS. Pode ser uma lista de objetos computador
ou um grupo do AD DS que contenha os objetos computador desejados.
No Windows Server 2016 os mesmos cmdlets do Windows PowerShell são usados para
criar e gerenciar gMSAs e MSAs. Isso significa que, no Windows Server 2016, todas as
MSAs são gerenciadas como gMSAs. Para criar gMSAs, comece criando a chave KDS raiz.
Em um controlador de domínio, use o seguinte cmdlet do Windows PowerShell para
essa tarefa:
Add-KdsRootKey –EffectiveImmediately
Depois de criar a chave KDS raiz, use o cmdlet new-ADServiceAccount do módulo do
Active Directory do Windows PowerShell, a partir de qualquer controlador de domínio,
para criar suas gMSAs. Por exemplo:
New-ADServiceAccount –Name LON-IIS-GMSA –DNSHostname LON-DC1.Adatum.com –
PrincipalsAllowedToRetrieveManagedPassword LON-DC1$, LON-DC2$, LON-IIS$
Use o parâmetro PrincipalsAllowedToRetrieveManagedPassword para definir quais
computadores ou grupos podem acessar as propriedades de senha da gMSA.
Quando tiver criado sua nova gMSA, você deve associá-la aos computadores servidores
nos quais ela vai ser usada. Para essa tarefa, use o cmdlet AddADComputerServiceAc-
count do módulo do Active Directory do Windows PowerShell. Por exemplo:
Add-ADComputerServiceAccount –identity LON-DC1 –ServiceAccount LON-IIS-GMSA
Em seguida, instale a gMSA nos servidores onde vai ser usada. Use o cmdlet Install-
ADServiceAccount. Por exemplo:
Install-ADServiceAccount -Identity LON-IIS-GMSA
Por fim, configure o serviço ou aplicativo exigido para usar a gMSA configurada. Use o
seguinte procedimento para completar a tarefa:
1. No(s) servidor(es) de destino, no Server Manager, clique em Tools e depois em
Services.
2. Localize o serviço apropriado, clique duas vezes nele e, então, na guia Log On,
mostrada na Figura 2-1, clique em This Account e digite o nome de sua conta.
Por exemplo, digite ADATUM\LON-IIS-GMSA.
70
3. Desmarque as caixas de seleção Password e Confirm Password e clique em OK.
Gerencie SPNs
SPNs são conceitualmente semelhantes aos registros de alias Domain Name System
(DNS), os CNAMEs, mas em vez de serem ponteiros para um registro de computador em
uma zona DNS, os SPNs apontam para contas de domínio. SPNs são usados pelo
Kerberos, o protocolo de autenticação dos controladores de domínio do AD DS no
Windows Server 2016. Eles associam um serviço a uma conta de logon de serviço,
permitindo a um aplicativo no computador cliente pedir para que o serviço autentique
uma conta, mesmo que o aplicativo cliente não saiba o nome da conta. Antes que o
Kerberos possa usar SPNs, os serviços devem registrar seus SPNs no AD DS.
Os SPNs consistem em vários elementos e devem ser exclusivos dentro da floresta do
AD DS. Os elementos são:
71
Por exemplo:
WebService/LON-SVR2.Adatum.com:443
Geralmente é necessário pouco serviço de gerenciamento de SPNs. Mas, às vezes, pode
ser necessário forçar o registro. Para registrar SPNs, use a ferramenta de linha de
comando Setspn.exe.
Por exemplo, para registrar um SPN para IIS em LON-SVR2 no domínio Adatum. com,
usando a MSA de grupo LON-IIS-GMSA, use o comando a seguir, como mostrado na
Figura 2--2.
setspn -A WebService/lon-svr2.adatum.com:433 lon-iis-gmsa
• Get-ADUser
• Get-ADComputer
72
• Get-ADServiceAccount
Em seguida, passe o objeto da entidade de segurança como argumento, usando o
parâmetro PrincipalsAllowedToDelegateToAccount com um dos seguintes cmdlets do
Windows PowerShell:
Set-ADUser
Set-ADComputer
Set-ADServiceAccount
Por exemplo:
$computer = Get-ADComputer -Identity WEBSVR1
Set-ADComputer LON-SVR2 -PrincipalsAllowedToDelegateToAccount $computer
73
Configure políticas de conta
Políticas de conta permitem configurar ajustes relacionados a senha, incluindo a política
de senha, ajustes de bloqueio de conta e ajustes de política de Kerberos. Esses ajustes
são acessados por meio da Default Domain Policy no Group Policy Management Editor.
Para ver e configurar esses ajustes, use o procedimento a seguir:
1. No Server Manager, clique em Tools e em Group Policy Management.
2. Em Group Policy Management, expanda sua floresta, a pasta Domains e o
domínio a ser configurado.
3. Clique na pasta Group Policy Objects e, no painel de detalhes, mostrado na
Figura 2-4, clique com o botão direito do mouse em Default Domain Policy e,
então, clique em Edit.
74
Configure ajustes de política de senha de usuário local e de domínio
Políticas de senha permitem definir configurações que controlam o gerenciamento das
senhas dos usuários de seu domínio. Para ajustes da política de senha do domínio, no
Group Policy Management Editor, sob a pasta Account Policies, na pasta Password
Policy, mostrada na Figura 2-6, é possível configurar o seguinte:
75
Para computadores em um grupo de trabalho pode ser configurada uma política de
conta local. Para configurar políticas de senha locais, no computador de destino, no
Server Manager, clique em Tools e em Local Security Policy. Expanda Account Policies e,
como mostrado na Figura 2-7, clique em Password Policy. Também é possível configurar
uma política de bloqueio de conta local.
76
Para desbloquear uma conta manualmente, abra as propriedades da conta do usuário
no Active Directory Users and Computers. Na guia Account, mostrada na Figura 2-9,
marque a caixa de seleção Unlock Account e clique em OK.
77
• Enforce User Logon Restrictions Força os controladores de domínio a fazer
validação adicional na política de direitos do usuário, ajudando a aumentar a
segurança. O padrão é Enabled (habilitado).
• Maximum Lifetime For Service Ticket Define o tempo de vida máximo do tíquete
de serviço de um usuário. Deve ser de pelo menos 10 minutos e não maior que
o tempo de vida máximo de um tíquete de usuário. O padrão é 600 minutos.
• Maximum Lifetime For User Ticket Determina o tempo de vida máximo do
tíquete de concessão de tíquete de um usuário. O padrão é 10 horas.
• Maximum Lifetime For User Ticket Renewal Determina por quanto tempo um
usuário pode renovar seu tíquete de concessão de tíquete. O padrão é 7 dias.
• Maximum Tolerance For Computer Clock Synchronization Determina a
tolerância a uma disparidade entre a hora do computador cliente e a do
controlador de domínio. O padrão é cinco minutos.
78
Para implementar PSOs, crie o PSO e vincule-o ao objeto usuário ou grupo apropriado.
Por exemplo, para configurar uma política de senha mais rigorosa para contas de
administrador, use o seguinte procedimento de alto nível:
1. Crie um grupo de segurança global chamado Secure Admins.
2. Adicione ao grupo as contas de usuário necessárias.
3. Crie um PSO e vincule-o ao grupo Secure Admins.
Se vários PSOs são vinculados a um objeto, as seguintes regras de precedência se
aplicam:
79
Criando PSOs com o Active Directory Administrative Center
Para criar e vincular PSOs com o console Active Directory Administrative Center, use o
procedimento a seguir:
1. No Active Directory Administrative Center, clique em Manage, em Add
Navigation Nodes, na caixa de diálogo Add Navigation Node, selecione o domínio
80
de destino apropriado, clique no botão >> e em OK, como mostrado na Figura 2-
12.
5. Sob o cabeçalho Directly Applies To, clique em Add e, na caixa de diálogo Select
Users Or Groups, digite o nome do usuário ou grupo apropriado, como mostrado
na Figura 2-15, e clique em OK.
81
6. Clique em OK.
82
Objetivo 2.2: Manter o Active Directory
De modo geral, o AD DS é um serviço de diretório muito robusto e confiável, exigindo
pouca manutenção. Contudo, de tempos em tempos pode ser necessário desfragmentar
o banco de dados para otimizar o AD DS. Para ajudar na proteção contra perda de dados
ou corrupção do banco de dados, também é preciso saber como fazer backup e restaurar
o AD DS.
Você pode implantar controladores de domínio somente leitura (RODCs) em filiais ou
outros locais onde a segurança física do servidor não pode ser garantida. Como o RODC
mantém uma cópia somente leitura do AD DS, é importante saber como configurar e
gerenciar replicação no RODC e como gerenciar uma política de replicação de senha nos
RODCs de suas filiais.
83
3. É solicitado para que você pare serviços relacionados, como DNS Server,
Kerberos Key Distribution Center, Intersite Messaging e DFS Replication. Clique
em Yes para pará-los.
4. Abra um prompt de comando elevado.
5. Execute o comando NtdsUtil.exe.
6. Execute os seguintes comandos, como mostrado na Figura 2-18:
• Activate instance NTDS J Files
• Compact to C:\
• Integrity
84
• Del C:\Windows\NTDS\*.log
• Exit
8. No console Services, inicie o Active Directory Domain Services. Os serviços
relacionados também iniciam.
85
5. Se o controlador de domínio removido contém uma ou mais funções de mestre
de operações, é preciso mover as funções para um controlador de domínio
online. Clique em OK a fim de mover as funções para o controlador de domínio
sugerido. Você não pode usar um controlador de domínio diferente do sugerido
pelo processo de exclusão. Se quiser usar outro controlador de domínio para
conter as funções de mestre de operações, mova-as depois de concluir o
processo de limpeza de metadados. Mais informações sobre a transferência de
funções de mestre de operações se encontram no Objetivo 1.1: Instalar e
configurar controladores de domínio, na seção Transfira e execute seize de
funções de mestre de operações.
6. No Server Manager, clique em Tools e depois em Active Directory Sites And
Services.
7. Navegue até o objeto Site que contém o controlador de domínio removido.
Expanda a pasta Servers e localize o servidor removido.
8. Selecione NTDS Settings. Clique com o botão direito do mouse no nó NTDS
Settings e, então, clique em Delete, como mostrado na Figura 2-20.
86
13. Por fim, no console de navegação, clique com o botão direito do mouse no
controlador de domínio removido e, então, clique em Delete. Clique em Yes para
confirmar a operação.
USANDO NTDSUTIL.EXE
Para executar a tarefa anterior, também é possível usar a ferramenta de linha de
comando NtdsUtil.exe em um prompt de comando elevado. Durante esse processo você
deve selecionar o controlador de domínio de destino, primeiramente selecionando seu
domínio e site. Use o seguinte procedimento para executar a tarefa:
1. Execute o comando NtdsUtil.exe.
2. Execute os comandos a seguir, em ordem, como mostrado na Figura 2-21:
• Metadata cleanup
• Connections
• Connect to server
• (onde <nome-servidor> é um controlador de domínio online)
• Quit
• Select Operation Target
• List domains
• Select Domain X
• (onde X é o domínio que contém o controlador de domínio removido)
• List sites
• Select Site Y
• (onde Y é o site que contém o controlador de domínio removido)
• List servers in site
• Select Server Z
• (onde Z é o controlador de domínio offline a ser removido)
• Quit
• Remove selected server
• Na janela Server Remove Confirmation Dialog, clique em Yes para concluir o
processo.
• Quit
87
Faça backup e recupere o Active Directory
AD DS é um serviço crítico e, como tal, é importante saber como protegê-lo contra perda
de dados e corrupção. Você pode ajudar a proteger o AD DS implementando Active
Directory Recycle Bin (Lixeira do Active Directory) e um procedimento adequado de
backup e recuperação.
Depois de ativar a Active Directory Recycle Bin, o contêiner Deleted Objects aparece no
Active Directory Administrative Center. Quando objetos do AD DS são excluídos, eles
são armazenados na pasta Deleted Objects, mostrada na Figura 2-23.
88
FAÇA A RECUPERAÇÃO DE OBJETO E DE CONTÊINER
Para recuperar um objeto excluído, na pasta Deleted Objects, clique nele com o botão
direito do mouse e, então, clique em Restore ou em Restore To. Escolher Restore
permite recuperar o objeto em seu local original no AD DS. A opção Restore To permite
especificar um local alternativo para o objeto. Quando um objeto excluído é recuperado
da Active Directory Recycle Bin, todos os seus atributos são restaurados, inclusive as
associações como membro de grupo e direitos de acesso.
Por padrão, objetos excluídos podem ser recuperados até 180 dias após a exclusão.
Contudo, esse valor pode ser reconfigurado, alterando-se os valores de tombstoneLifeti-
me e msDSDeletedObjectLifetime com o Windows PowerShell. Por exemplo, para
mudar o período de recuperação para 30 dias no domínio Adatum.com, execute os dois
comandos a seguir:
Set-ADObject -Identity “CN=Directory Service,CN=Windows
NT,CN=Services,CN=Configuration,DC=Adatum,DC=com” –Partition
“CN=Configuration,DC=Adatum,DC=com” –Replace:@ {“tombstoneLifetime” = 30}
Set-ADObject -Identity “CN=Directory Service,CN=Windows
NT,CN=Services,CN=Configuration,DC=Adatum,DC=com” –Partition
“CN=Configuration,DC=Adatum,DC=com” –Replace:@ {“msDSDeletedObjectLifetime” =
30}
89
• List all
• Quit
90
Para fornecer proteção contra perda de dados ou corrupção do AD DS, considere a
possibilidade de implementar uma solução de backup e recuperação. É possível usar o
recurso Windows Server Backup para fornecer essa solução.
O Windows Server Backup consiste em uma ferramenta de linha de comando,
Wbadmin.exe, e um console gráfico, o qual pode ser usado para fazer backup e, se
necessário, restaurar o AD DS.
Para instalar o recurso Windows Server Backup, use o Server Manager, como mostrado
na Figura 2-24.
• Bare Metal Recovery Em caso de falha total do servidor, talvez após a perda de
um disco rígido físico, um backup de Recuperação bare-metal pode ser usado
para recuperar completamente um servidor, no ponto em que o backup foi feito.
• System State O estado do sistema (system state) consiste na configuração do
servidor, incluindo as funções e os recursos instalados. Isso inclui o banco de
dados do AD DS e o conteúdo de SYSVOL.
• Selected Volumes Permite fazer backup de pastas (ou mesmo arquivos)
específicas. Depois de instalar o recurso Windows Server Backup, você pode usá-
lo para fazer backup do AD DS, com o procedimento a seguir.
1. Em seu controlador de domínio, clique em Iniciar, aponte para Windows
Accessories e clique em Windows Server Backup.
2. No Windows Server Backup, no painel de navegação, clique com o botão direito
do mouse em Local Backup e, então, clique em Backup Once.
3. Na página Backup Options do Backup Once Wizard, clique em Different Options
e em Next.
4. Na página Select Backup Configuration, clique em Custom e em Next.
5. Na página Select Items For Backup, clique em Add Items.
6. Na caixa de diálogo Select Items, marque a caixa de seleção System State, como
mostrado na Figura 2-25, e clique em OK.
91
7. Na página Select Items For Backup, mostrada na Figura 2-26, clique em Next.
92
10. Na seção Access Control, clique em Do Not Inherit ou em Inherit. Essa
configuração controla quem tem acesso aos arquivos de backup de destino. Se
quiser limitar o acesso ao usuário que faz o backup, clique em Do Not Inherit e
depois em Next. Caso contrário, para permitir que o backup esteja acessível a
todos que tenham permissões na pasta remota, clique em Inherit e depois em
Next.
11. Na página Confirmation, clique em Backup.
93
No entanto, se você estiver tentando restaurar apenas uma parte do AD DS, não vai
querer sobrescrevê-lo com alterações replicadas. Por exemplo, em vez de lidar com um
controlador de domínio defeituoso, você tenta recuperar objetos que foram excluídos
acidentalmente. Se fosse executada uma operação de backup e, depois, um objeto do
AD DS fosse excluído de forma não intencional, essa exclusão seria replicada após a
operação de restauração.
Para ajudar a atenuar esse problema, você pode executar operações de restauração não
autoritativas ou autoritativas. Restauração autoritativa significa que os dados
restaurados não serão sobrescritos pelas alterações replicadas.
Para executar uma operação de restauração de AD DS não autoritativa, inicie seu
controlador de domínio no DSRM. Então, abra o console Windows Server Backup e use
o Restore Wizard para restaurar dados do estado do sistema de um backup anterior.
Esse é um procedimento simples. Então, reinicie seu controlador de domínio
normalmente. Neste momento, as alterações feitas desde o último backup serão
replicadas para este controlador de domínio.
Para executar uma operação de restauração de AD DS autoritativa, inicie o controlador
de domínio no DSRM, restaure o estado do sistema e, então, abra um prompt de
comando elevado. No prompt, execute o comando NtdsUtil.exe. Em seguida, execute os
comandos a seguir:
• Authoritative restore
• Restore object
O DN do objeto será algo como o seguinte: CN=Adam,OU=Sales,DC=adatum,DC= com.
Reinicie seu controlador de domínio normalmente. Se quiser marcar uma OU inteira
como autoritativa, no prompt do NtdsUtil.exe, execute os seguintes comandos:
• Authoritative restore
• Restore subtree
O objeto marcado como autoritativo não é sobrescrito e é replicado por toda a floresta,
a partir do controlador de domínio restaurado.
94
Configure política de replicação de senha para RODC
Por padrão, os RODCs não armazenam informações sigilosas relacionadas a senhas.
Consequentemente, quando um usuário efetua logon, o RODC encaminha o pedido de
logon para um controlador de domínio gravável dentro de sua organização.
Contudo, para melhorar a utilização, é possível definir que contas de usuário e
computador específicas podem ser colocadas em cache no RODC, permitindo
autenticação local. Isso é feito definindo-se uma política de replicação de senha RODC.
Geralmente, você só adicionaria na política de replicação usuários e computadores que
estivessem no mesmo local do RODC.
Para configurar uma política de replicação para um RODC, use dois grupos domínio local
de segurança:
95
5. Clique em Add e, como mostrado na Figura 2-29, clique em Allow Passwords For
The Account To Replicate To This RODC para a conta que está sendo adicionada
para a política de replicação de senha e, então, clique em OK.
96
4. Use o botão Prepopulate Passwords para recuperar as senhas dos usuários
listados. Isso pode ajudar a reduzir o tempo de logon para os usuários
configurados.
5. Na guia Resultant Policy, adicione usuários ou computadores para determinar
qual é a política de senha resultante para os objetos selecionados. Isso é útil
quando existem vários grupos Allow ou Deny configurados na guia Password
Replication Policy.
Gerencie a replicação do AD DS
AD DS é um banco de dados que reside em controladores de domínio Windows Server
e consiste em várias partições. São elas:
97
cópias são graváveis e podem ser atualizadas. Isso oferece a vantagem da
remoção de pontos de falha únicos e também pode melhorar o desempenho.
• Baseada em pull Os controladores de domínio buscam as alterações em seus
parceiros de replicação, em vez de recebê-las.
• Refinada Para evitar conflitos, a replicação é baseada nos atributos dos objetos
e não nos objetos inteiros. Isso reduz as chances de conflito, que de outra forma
poderia ocorrer caso o mesmo objeto fosse alterado em dois controladores de
domínio quase ao mesmo tempo.
• Reconhece o site Como a maioria das alterações ocorre na partição de domínio,
todos os controladores de domínio dentro de um domínio solicitam essas
alterações. Para ajudar a gerenciar links de rede mais lentos entre sites, você
pode configurar sites no AD DS e, então, definir o modo como a replicação do AD
DS é tratada entre sites. Isso é conhecido como replicação entre sites.
• Topologia gerada automaticamente O Windows Server gera a topologia de
replicação de AD DS automaticamente, criando uma infraestrutura resiliente e
eficiente. Em muitas circunstâncias, talvez não seja necessário reconfigurar a
topologia manualmente.
Ao se discutir replicação de AD DS é útil ter em mente que existem dois tipos de
replicação:
98
entre quaisquer dois controladores de domínio, reduzindo assim os atrasos na
propagação de dados de replicação.
Se mais um controlador de domínio é implantado em um site ou, inversamente, um é
removido, o Knowledge Consistency Checker gera a topologia de replicação novamente,
para levar em conta a alteração.
A Figura 2-31 mostra os objetos de conexão no site Default-First-Site-Name, no domínio
Adatum.com.
99
• Exiba os parceiros de replicação de um controlador de domínio usando repadmin
/showrepl DC_LIST, como mostrado na Figura 2-32. Substitua DC_LIST pelo nome
de seu(s) controlador(es) de domínio. Um asterisco pode ser usado como
curinga.
100
Para monitorar e gerenciar replicação no Windows Server 2016, também é possível usar
vários cmdlets do Windows PowerShell, como mostrado na Tabela 2-2.
101
Se você migrou seus controladores de domínio do Windows Server 2003, é possível que
eles ainda estejam usando FRS para replicar SYSVOL. Isso pode ser verificado com a
ferramenta de linha de comando Dfsrmig.exe, como segue:
1. Abra um prompt de comando elevado.
2. Execute o comando Dfsrmig.exe /GetGlobalState.
Se a mensagem retornada for Current DFSR global status: ‘Eliminated’, sua replicação
de SYSVOL já está usando DFSR. Se você receber a mensagem DFSR migration has not
yet initialized, então deve migrar para o DFSR. Durante a migração, a configuração passa
por quatro fases ou estados:
• Estado 0 Estado inicial. O FRS está sendo usado para replicar SYSVOL.
• Estado 1 Estado preparado. O FRS continua a replicar SYSVOL, contudo, o serviço
FRS local cria uma cópia replicada de SYSVOL.
• Estado 2 Estado redirecionado. O DFSR começa a replicar SYSVOL e o FRS
mantém apenas uma réplica local de SYSVOL.
• Estado 3 Estado eliminado. O FRS não é mais usado e o DFSR fornece toda
replicação de SYSVOL.
Use o procedimento a seguir para migrar a replicação de SYSVOL para DFSR:
1. No prompt de comando, execute dfsrmig /setglobalstate 1. Então, execute o
comando Dfsrmig.exe /GetMigrationState para verificar se todos os
controladores de domínio chegaram ao estado preparado.
2. No prompt de comando, execute dfsrmig /setglobalstate 2. Então, execute o
comando Dfsrmig.exe /GetMigrationState para verificar se todos os
controladores de domínio chegaram ao estado redirecionado. 3. No prompt de
comando, execute dfsrmig /setglobalstate
3. Então, execute o comando Dfsrmig.exe /GetMigrationState para verificar se
todos os controladores de domínio chegaram ao estado eliminado.
4. Em cada controlador de domínio, abra o console Services e verifique se File
Replication Service está desabilitado.
102
Configure uma infraestrutura de AD DS com vários domínios e várias florestas
Embora florestas e domínios sejam discutidos no Capítulo 1, talvez um rápido lembrete
seja útil.
103
• Child Domain Cria um subdomínio do domínio pai especificado. Em outras
palavras, o novo domínio é criado na árvore de domínios existente.
• Tree Domain Cria uma árvore na mesma floresta. Esta opção é útil quando você
quer criar vários nomes de domínio DNS na infraestrutura de floresta do AD DS
para suportar as necessidades organizacionais, mas não precisa ou não quer
separar funções administrativas, como é possível com uma floresta separada.
Esses procedimentos são abordados no Capítulo 1: Instalação e configuração de Active
Directory Domain Services, Objetivo 1.1: Instalar e configurar controladores de domínio,
na seção Adicione um novo controlador de domínio em um novo domínio. Depois de
implantar o novo domínio, não é preciso configurar relações de confiança adicionais.
104
• Windows Server 2012 R2
• Windows Server 2016
105
user principal name (UPN), por exemplo, BurkeB@Adatum.com. Esse UPN deve ser
único dentro da floresta AD DS.
O sufixo UPN geralmente é o nome do domínio onde a conta está sendo adicionada.
Contudo, é possível definir sufixos UPN alternativos com o console Active Directory
Domains and Trusts (Domínios e Relações de Confiança do Active Directory). Para isso,
use o seguinte procedimento:
1. A partir do Server Manager, abra o console Active Directory Domains And Trusts.
2. No console, clique com o botão direito do mouse no nó Active Directory Domains
And Trusts no painel de navegação e, então, clique em Properties.
3. Na caixa de diálogo Active Directory Domains And Trusts [nome do servidor], na
guia UPN Suffixes, mostrada na Figura 2-36, na caixa Alternative UPN suffixes,
digite um novo sufixo e clique em Add.
106
3. Na caixa de diálogo Properties For Multiple Items, mostrada na Figura 2-37, na
guia Account, marque a caixa de seleção UPN suffix.
$new_suffix = “Sales.Contoso.com”
107
contém o recurso, permissões sobre o recurso. Em uma relação de confiança
unidirecional, diz-se que uma parte é confiante e a outra é confiável. O domínio que
contém o recurso é confiante, enquanto o que contém o usuário é confiável. Em uma
relação de confiança bidirecional, as duas partes são confiantes (contêm recurso) e
confiáveis (contêm usuário).
No Windows Server 2016, os domínios da mesma floresta são configurados
automaticamente com confianças transitivas bidirecionais, para que, em princípio, um
usuário de qualquer domínio da floresta tenha a possibilidade de acessar um recurso
em qualquer parte da floresta. Por padrão, em uma floresta com vários domínios
existem os seguintes tipos de confiança:
108
Configure confianças de floresta
Para configurar uma confiança de floresta, execute o procedimento a seguir:
1. Configure o DNS de modo que os controladores de domínio de cada floresta
possam resolver os nomes e registros SRV uns dos outros. Crie uma zona DNS
stub (ou configure encaminhamento condicional) para a zona DNS remota.
2. Abra o console Active Directory Domains And Trusts em um controlador de
domínio na primeira floresta de AD DS.
3. Clique com o botão direito do mouse no domínio raiz da floresta no painel de
navegação e clique em Properties
4. Na caixa de diálogo Domain Properties, clique na guia Trusts, mostrada na Figura
2-38, e depois em New Trust.
5. No New Trust Wizard, clique em Next e, então, na página Trust Name, na caixa
Name, digite o FQDN da floresta remota, como mostrado na Figura 2-39, e clique
em Next.
6. Na página Trust Type, mostrada na Figura 2-40, clique em Forest trust e depois
em Next.
109
7. Na página Direction Of Trust, mostrada na Figura 2-41, selecione a direção
apropriada. Escolha entre Two-Way, One-Way Incoming e One-Way Outgoing.
Por exemplo, clique em TwoWay e depois em Next.
8. Na página Sides Of Trust, mostrada na Figura 2-42, clique em Both This Domain
And The Specified Domain e depois em Next.
110
10. Na página Outgoing Trust Authentication Level-Local Forest, escolha entre as
duas opções disponíveis e, então, clique em Next.
• Forest-Wide Authentication O Windows Server autentica automaticamente os
usuários da floresta remota, para todos os recursos da floresta local. Selecione
esta opção se as duas florestas são gerenciadas pela mesma organização.
• Selective Authentication O Windows Server não autentica automaticamente os
usuários da floresta remota para os recursos da floresta local. Esta é a opção
apropriada se suas duas florestas são gerenciadas por organizações distintas.
Para mais detalhes, consulte a seção a seguir: Filtragem de SID e escopo de
autentica-ção de confiança.
11. Na página Outgoing Trust Authentication Level-Specified Forest, escolha entre as
duas opções disponíveis e clique em Next:
• Forest-Wide Authentication O Windows Server autentica automaticamente os
usuários da floresta local, para todos os recursos da floresta remota. Selecione
se as duas florestas são gerenciadas pela mesma organização.
• Selective Authentication O Windows Server não autentica automaticamente os
usuários da floresta local para os recursos da floresta remota. Selecione se suas
duas florestas são gerenciadas por organizações distintas. Para mais deta-lhes,
consulte a seção a seguir: Filtragem de SID e escopo de autenticação de
confiança.
12. Clique em Next duas vezes e, então, na página Confirm Outgoing Trust, clique
em Yes, confirm the outgoing trust. Isso permite verificar se a relação de
confiança está funcionando. Clique em Next.
13. Na página Confirm Incoming Trust, clique em Yes, confirm the incoming trust.
Isso permite verificar se a relação de confiança está funcionando. Clique em
Next.
14. Clique em Finish e, então, na caixa de diálogo Domain Properties, mostrada na
Figura 2-43, clique em OK.
111
Após configurar a relação de confiança, é possível então atribuir acesso aos recursos.
Um modo comum de conseguir isso é selecionar usuários e grupos remotos por meio da
confiança, usando a opção Locations ao procurar usuários e grupos, como mostrado na
Figura 2-44.
112
12. Na página Trust Creation Complete, clique em Next.
13. Na página Confirm Outgoing Trust, clique em Yes, confirm the outgoing trust.
Isso permite verificar se a relação de confiança está funcionando. Clique em
Next.
14. Na caixa de diálogo Active Directory Domain Services, mostrada na Figura 2-45,
leia a mensagem sobre filtragem de SID e clique em OK. Para mais detalhes,
consulte a seção: Filtragem de SID e escopo de autenticação de confiança.
113
6. Complete o assistente usando as orientações fornecidas para confianças de
floresta ou externas.
114
floresta (ou domínio) remota sejam considerados confiáveis, é preciso conceder
explicitamente a eles permissões para se autenticarem em recursos de servidor
na floresta (ou domínio) local. Isso oferece mais controle, mas pode ser
demorado para configurar. Se a floresta (ou domínio) remota faz parte de sua
organização, normalmente é aceitável escolher autenticação em nível de floresta
(ou domínio) durante a configuração da relação de confiança. Entretanto, se a
floresta (ou domínio) remota faz parte de uma organização diferente, escolha
autenticação seletiva, quando solicitado.
Se, por qualquer motivo, você quiser desativar o roteamento de sufixos de nome por
meio de uma confiança de floresta, pode fazer isso usando o console Active Directory
Domains and Trusts, selecionando o domínio apropriado no painel de navegação. Então,
use o procedimento a seguir:
1. No console Active Directory Domains And Trusts, no painel de navegação, clique
com o botão direito do mouse no domínio apropriado e, então, clique em
Properties.
2. Na guia Trusts da caixa de diálogo Domain Properties, sob Domains Trusted By
This Domain (Outgoing Trusts) ou sob Domains That Trust This Domain (Incoming
Trusts), clique na confiança de floresta apropriada e depois em Properties.
3. Clique na guia Name Suffix Routing e, sob Name Suffixes In The <nome do
domínio> Forest, escolha uma das opções:
• Clique no sufixo a ser habilitado e, então, em Enable.
• Clique no sufixo a ser desabilitado e, então, em Disable.
4. Clique em OK duas vezes.
115
A informação sobre onde um computador está pode ser usada por ele para localizar
serviços adjacentes, em vez de distantes. Por exemplo, usar um controlador de domínio
local para tentar efetuar logon, em vez de um que está fisicamente distante, pode
acelerar os tempos de logon.
Crie sites no AD DS
Existem vários motivos para se criar sites. São eles:
5. Na lista de Link Name, clique no objeto de link de site apropriado. É provável que
nesse estágio exista apenas o objeto DEFAULTIPSITELINK. Esse é o objeto de
cone-xão padrão, criado para suportar a topologia de replicação entre sites do
116
AD DS. Você pode criar e configurar seus próprios links de site posteriormente.
Por enquanto, clique em DEFAULTIPSITELINK e em OK.
6. Na caixa de diálogo pop-up Active Directory Domain Services, clique em OK para
ler a mensagem sobre os próximos passos.
7. Crie seus sites adicionais. Inicialmente, selecione para cada site o objeto
DEFAULTIP-SITELINK como o link desejado.
Também é possível usar o cmdlet New-ADReplicationSite do Windows PowerShell. Por
exemplo, para criar um site chamado London, use o seguinte comando:
New-ADReplicationSite -Name “London”
Crie sub-redes no AD DS
Agora, faça um mapa lógico de sua infraestrutura física, criando sub-redes IP. Elas devem
mapear exatamente as sub-redes físicas de sua rede, caso contrário, isso pode levar a
de-sempenho ruim e a possíveis problemas de disponibilidade de serviço.
Para criar uma sub-rede no AD DS, use o seguinte procedimento:
1. No Server Manager, clique em Tools e depois em Active Directory Sites And
Services.
2. No Active Directory Sites And Services, no painel de navegação, expanda Sites e
clique em Subnets.
3. Clique com o botão direito do mouse em Subnets e depois clique em New
Subnet.
4. Na caixa de diálogo New Object – Subnet, mostrada na Figura 2-48, na caixa
Prefix, digite o prefixo de sua sub-rede IP. Por exemplo, digite 172.16.0.0/16.
5. Em Select A Site Object For This Prefix, selecione o site apropriado. Por exemplo,
clique em London e depois em OK.
117
6. Crie quaisquer sub-redes adicionais de sua organização e ligue cada uma ao site
apropriado. Lembre-se de que um site pode conter várias sub-redes, mas uma
sub-rede só pode ser associada a um site.
Também é possível usar o cmdlet New-ADReplicationSubnet do Windows PowerShell.
Por exemplo, para criar uma sub-rede chamada 172.16.0.0/16, use o seguinte comando:
New-ADReplicationSubnet -Name “172.16.0.0/16”
Para criar a mesma sub-rede, mas vinculá-la a um site chamado London, use o seguinte
comando:
New-ADReplicationSubnet -Name “172.16.0.0/16” -Site London
4. Na lista de Sites Not In This Site Link, clique nos sites (pelo menos dois) que são
interligados por esse link de site e clique em Add>>.
5. Clique em OK.
118
Também é possível usar o cmdlet New-ADReplicationSiteLink do Windows Power-Shell.
Por exemplo, para criar um link de site entre os sites London e NewYork, use o comando
a seguir:
New-ADReplicationSiteLink -Name “London-NewYork” -SitesIncluded London,NewYork
Em seguida, é preciso configurar o link de site:
1. No painel de detalhes, clique com o botão direito do mouse no link de site e,
então, clique em Properties.
2. Na caixa de diálogo Site Link Properties, mostrada na Figura 2-50, configure as
propriedades a seguir e clique em OK.
• Cost Este é um número arbitrário que deve representar uma preferência quanto
a se o link deve ser usado se houver vários caminhos disponíveis. Por exemplo,
se houver dois caminhos possíveis entre dois sites em sua infraestrutura, mas
um tiver custo mais alto de ponta a ponta, o caminho de custo mais baixo será
usado, a não ser que esteja indisponível. O valor padrão é 100.
• Replicate Every Este é intervalo de replicação e tem como padrão 180 minutos.
Reduza isso para ajudar a garantir que quaisquer mudanças sejam propagadas
mais rapidamente por todos os controladores de domínio de sua organização. O
menor valor que pode ser configurado é 15 minutos.
• Schedule A agenda é a janela de disponibilidade da replicação. Durante o tempo
configurado, a replicação pode ocorrer no intervalo ‘Replicate every’
especificado. Se quiser impedir que ocorra replicação durante o horário de
expediente, por exemplo, use a propriedade Schedule para configurar isso.
119
Quando usar pontes de link de site
Geralmente, criar e configurar links de site é suficiente para permitir uma topologia de
replicação entre sites totalmente roteável e tolerante a falhas. Isso porque todos os links
de site são ligados por pontes (bridges) automaticamente, por padrão, significando que
todos eles são transitivos.
Pontes de link de site permitem criar links transitivos entre sites, quando links de site
não podem fornecer o comportamento exigido. Existem duas situações em que pontes
de link de site podem ser exigidas:
• Sua rede IP não é totalmente roteada Você pode habilitar pontes de link de site
para permitir links transitivos onde sua rede IP não é capaz de fazer isso
automaticamente.
• Você quer mais controle sobre o fluxo de replicação É possível controlar o fluxo
da replicação de AD DS em seus sites, desabilitando a opção Bridge All Site Links
e criando pontes de link de site. O tráfego de replicação flui transitivamente
pelos sites vinculados por pontes de link de site, mas não há roteamento além
da ponte.
120
Também é possível usar o cmdlet Move-ADDirectoryServer do Windows PowerShell
para mover controladores de domínio entre sites.
Não é preciso mover servidores ou computadores clientes. Esses dispositivos
determinam seus próprios sites, usando sua configuração de IP para determinar suas
sub-redes. Então, a partir do AD DS, eles determinam seus sites.
Depois de concluir o processo de criação e configuração de suas sub-redes, sites e links
de site, e depois de mover seus controladores de domínio para os sites apropriados,
como mostrado na Figura 2-52, é uma boa ideia executar o Knowledge Consistency
Check para reconstruir a topologia de replicação. Isso pode ser feito a partir de Active
Directory Sites and Services, localizando-se o objeto NTDS Settings sob o objeto servidor
em deter-minado site. Clique com o botão direito do mouse no objeto NTDS Settings,
aponte para All Tasks e clique em Check Replication Topology.
121
• Opções Aos registros SRV também são atribuídos valores de preferência, peso e
prioridade. Eles são usados quando existem vários registros apontando para o
mesmo serviço ou servidor e você quer controlar quais servidores são usados
primeiro. Por exemplo, um controlador de domínio do AD DS registra seus
registros de recurso DNS de serviço de autenticação Kerberos com valor de
prioridade 0 e peso 100, como mostrado na Figura 2-53. Esses valores iniciais
podem ser alterados para determinar qual host que oferece o serviço de
autenticação de Kerberos é usado pelos clientes. Os clientes DNS tentam usar o
servidor com valor de prioridade mais baixo. Se vários servidores têm o mesmo
valor de prioridade, os clientes usam o servidor na proporção de seus valores de
peso.
Os registros SRV são armazenados no DNS em uma hierarquia que inclui não somente
as informações de protocolo, mas também as de site. Isso permite que os computadores
localizem serviços com base no site do AD DS em que o serviço é oferecido.
Geralmente não é necessário gravar ou manter registros SRV manualmente. Supondo
que seus servidores DNS estejam configurados com zonas DNS que suportam
atualizações dinâmicas, quando controladores de domínio são adicionados ou movidos
para sites diferentes, eles atualizam seus registros DNS automaticamente.
Gerencie cobertura de site
É importante todos os sites físicos terem acesso a um controlador de domínio. Se, depois
de concluída a configuração de replicação entre sites, houver sites sem controladores
de domínio, existem várias soluções possíveis:
122
• Implantar um RODC Se houver computadores suficientes para merecerem um
controlador de domínio local, implante um RODC.
• Contar com cobertura de site automática Um controlador de domínio de um
site adjacente também grava seus registros SRV para o site menor, permitindo
que os computadores clientes localizem esse controlador.
123
70-742 Identidade com Windows
Server 2016
Capítulo 3:
Criação e gerenciamento de
Group Policy
124
Objetivo 3.1: Criar e gerenciar Group Policy Objects
Com GPOs vinculadas aos seus sites, domínios e unidades organizacionais (OUs), é
possível gerenciar, rápida e facilmente, grandes números de usuários e computadores
que exigem as mesmas configurações. Exemplos incluem: computadores no mesmo
lugar físico, usuários no mesmo departamento ou computadores com uma configuração
básica específica que exige configurações em particular.
Depois de planejar e implementar a infraestrutura de OU de sua organização, e mover
os objetos usuário e computador para as OUs relevantes, você pode criar GPOs, ajustar
as configurações desejadas e, então, vinculá-las à OU apropriada.
O uso de GPOs permite mais facilidade no gerenciamento de muitos aspectos da
infraestrutura AD DS, incluindo:
• Group Policy local Essa GPO contém as configurações que são aplicadas ao
computador local, independente do usuário logado. Essa política contém um nó
125
Configuração do Computador (computer) e um nó Configuração do Usuário
(user).
• Group Policy Administrators e Non-Administrators locais Essas políticas se
aplicam especificamente a usuários, com base em se pertencem ou não ao grupo
de administradores local. Isso permite personalizar configurações para
administradores. Essas duas políticas contêm apenas um nó Configuração do
Usuário.
• Group Policy local específica do usuário O Windows 8, o Windows Server 2012
e os mais recentes dão suporte para políticas de grupo locais específicas do
usuário. Elas contêm apenas um nó Configuração do Usuário. Se várias GPOs
locais são implementadas, elas são processadas na seguinte ordem:
1. Group Policy local
2. Group Policy para administradores e não administradores
3. Group Policy local específica do usuário
Para criar várias GPOs locais, use o procedimento a seguir:
1. Efetue logon como administrador local.
2. Clique em Iniciar, digite mmc.exe e pressione Enter.
3. No console de gerenciamento, clique em File e depois em Add/Remove Snap-In.
4. Na caixa de diálogo Add Or Remove Snap-ins, mostrada na Figura 3-1, na lista de
snap-ins, clique em Group Policy Object Editor e depois em Add.
5. Na página Welcome To The Group Policy Wizard da caixa de diálogo Select Group
Policy Object, mostrada na Figura 3-2, clique em Browse.
126
6. Na caixa de diálogo Browse For A Group Policy Object, na guia Computers, clique
em This Computer, como mostrado na Figura 3-3, e depois em Finish.
127
10. Na caixa de diálogo Add Or Remove Snap-ins, clique em Group Policy Object
Editor e depois em Add.
11. Na página Welcome To The Group Policy Wizard da caixa de diálogo Select Group
Policy Object, clique em Browse.
12. Na caixa de diálogo Browse For A Group Policy Object, na guia Users, clique em
Non-Administrators, em OK e em Finish.
13. Se quiser configurar GPOs locais para usuários específicos, na caixa de diálogo
Add Or Remove Snap-Ins, clique em Group Policy Object Editor e em Add.
14. Na página Welcome To The Group Policy Wizard da caixa de diálogo Select Group
Policy Object, clique em Browse.
15. Na caixa de diálogo Browse For A Group Policy Object, na guia Users, clique na
conta de usuário específica para a qual deseja criar uma GPO, em OK e em Finish.
16. Na caixa de diálogo Add Or Remove Snap-ins, mostrada na Figura 3-5, clique em
OK.
17. Na caixa de diálogo Console 1 – [Console Root], mostrada na Figura 3-6, expanda
a política relevante e ajuste as configurações necessárias.
Para configurar uma das políticas locais, como Local Computer Policy, use o seguinte
procedimento:
128
1. Na caixa de diálogo Console 1 – [Console Root], no painel de navegação, expanda
Local Computer Policy e clique em Computer Configuration.
2. Sob o nó Computer Configuration, expanda a pasta necessária. Por exemplo,
expanda Windows Settings e localize a configuração apropriada, como mostrado
na Figura 3-7.
129
• Group Policy Template Conjunto de arquivos e pastas armazenado na pasta
compartilhada SYSVOL em todos os controladores de domínio. Esses arquivos
contêm as configurações da GPO. As configurações de uma GPO específica são
armazenadas em:
%SystemRoot%\SYSVOL\Domain\Policies\{GUID}
{GUID} é o identificador global exclusivo da GPO. O conteúdo da pasta SYSVOL, incluindo
as pastas de Group Policy Template (modelo de Group Policy), é replicado entre os
controladores de domínio usando agente de replicação diferente. No Windows Server
2008 e anteriores, SYSVOL é replicado pelo File Replication Service (FRS). Nas versões
mais recentes do Windows Server, a replicação de SYSVOL é feita pelo agente
Distributed File System Replication (DFSR).
• Group Policy Management Editor Esse console pode ser iniciado de dentro de
Group Policy Management, selecionando-se uma GPO e depois Edit. Com esse
console, mostrado na Figura 3-9, é possível ver e ajustar configurações
disponíveis na GPO.
130
• Windows PowerShell Também é possível usar vários cmdlets do Windows
Power-Shell para criar, vincular e configurar GPOs. Por exemplo, o cmdlet new-
gpo é usado para criar uma GPO, como mostrado na Figura 3-10.
131
• User Configuration Contém as configurações relacionadas a usuários. Elas são
aplicadas quando um usuário efetua logon e logo depois, e são atualizadas
automaticamente a cada 90 a 120 minutos.
Sob cada um desses nós existem algumas pastas e muitas subpastas que agrupam
configurações, incluindo:
132
Outros exigem ativar ou desativar uma configuração, habilitando-a ou desabilitando-a,
como mostrado na Figura 3-12. Esses ajustes têm três valores possíveis: Enabled,
Disabled e Not Configured (normalmente, o padrão). O último dos três é bem
interessante, pois o valor resultante em um computador cliente (ou usuário logado)
depende de o mesmo ajuste estar configurado em outro lugar, isto é, em outra GPO que
também afete esse computador ou usuário. Vamos aprender sobre esse
comportamento com mais detalhes posteriormente.
Vínculando GPOs
Depois de criar uma GPO e ajustar suas configurações é preciso vinculá-la (link) a um
objeto contêiner no AD DS, para que ela seja aplicada a objetos. É possível vincular GPOs
a:
• Sites
• Domínios
• OUs
133
Vincular uma GPO a um objeto contêiner é conhecido como delimitar o escopo. O
escopo determina quais computadores e usuários são afetados pelos ajustes de uma
GPO. Por exemplo, se uma GPO é vinculada ao contêiner do domínio, todos os objetos
computador e usuário dentro do domínio são afetados pelos ajustes dessa GPO. Se a
GPO é vinculado a uma OU, somente os objetos dentro dessa OU (e quaisquer sub-OUs)
são afetados.
Antes de começar a criar, configurar e vincular GPOs, é importante entender que é
exigido um planejamento de OU adequado.
• Política de registro
• Política de manutenção do Internet Explorer
• Política de instalação de software
• Política de redirecionamento de pasta
• Política de scripts
• Política de segurança
• Política de IPsec (Internet Protocol security)
• Política de wireless
• Política de recuperação de Encrypting File System
• Política de quota de discos
134
2. No painel de detalhes, clique em Create Starter GPOs Folder. A pasta Starter
GPOs é criada e preenchida com duas GPOs de início padrão:
• Group Policy Remote Update Firewall Ports
• Group Policy Reporting Firewall Ports Agora você precisa criar e configurar as
GPOs de início exigidas:
1. Clique com o botão direito do mouse no nó Starter GPOs no painel de navegação
e, então, clique em New.
2. Na caixa de diálogo New Starter GPO, digite o nome da sua GPO de início e clique
em OK.
3. Na pasta Starter GPOs, mostrada na Figura 3-14, clique com o botão direito do
mouse na nova GPO de início e, então, clique em Edit.
135
5. Feche o Group Policy Starter GPO Editor. Para criar uma GPO baseada em uma
GPO de início:
1. Na pasta Starter GPOs, clique com o botão direito do mouse na GPO de início
apro-priada e, então, clique em New GPO from Starter GPO.
2. Na caixa de diálogo New GPO, digite o nome da GPO e clique em OK.
3. No painel de navegação, clique no nó Group Policy Objects, mostrado na Figura
3-16, e sua nova política é listada, junto com as GPOs padrão e quaisquer outras
criadas anteriormente.
136
• Domínios Use GPOs vinculadas a domínios para configurações que se aplicam à
maioria ou a todos os usuários e computadores de seu domínio. Se as mesmas
configurações se aplicam a vários domínios de sua floresta, você deve copiar as
GPOs de um domínio para outro e vinculá-las ao outro domínio.
• OUs Para configurações mais específicas, considere vincular suas GPOs a uma
OU. Então, coloque os usuários e computadores apropriados na OU. Observe que
todos os objetos da OU recebem configurações da GPO vinculada por padrão, a
não ser que você opte por configurar alguma forma de filtragem na GPO.
O procedimento para vincular uma GPO existente a um contêiner é o seguinte:
1. No console Group Policy Management, clique com o botão direito do mouse no
contêiner apropriado e, então, clique em Link An Existing GPO.
2. Na caixa de diálogo Select GPO, mostrada na Figura 3-17, na lista de Look In This
Domain, selecione o domínio atual e, então, na lista de Group Policy objects,
clique na GPO apropriada e em OK.
O cmdlet New-GPLink do Windows PowerShell pode ser usado para vincular uma GPO a
um contêiner. Por exemplo, para vincular a GPO chamada IT Managers à OU IT do
domínio Adatum.com, use o seguinte comando:
New-GPLink -Name "IT Managers" -target "ou=IT, dc=Adatum,dc=com"
Para criar a mesma GPO e vinculá-la em um só passo, use o seguinte comando:
New-GPO -Name "IT Managers" | New-GPLink -target "ou=IT,dc=Adatum,dc=com" -
LinkEnabled Yes
Se várias GPOs são vinculadas ao mesmo contêiner, é preciso configurar a ordem de
vínculo. A ordem dos vínculos determina em que sequência as GPOs são aplicadas. Isso
se torna importante se a mesma configuração é ajustada em várias GPOs diferentes,
pois determina qual configuração é aplicada. A ordem dos vínculos está discutida no
Objetivo 3.2: Configurar o processamento de Group Policy.
137
Faça backup, restaure, importe e copie GPOs
É importante fazer backup de suas GPOs quando houver mudanças significativas nelas
ou quando você estiver para fazê-las. Também é preciso saber como restaurar suas
GPOs, caso surja a necessidade, talvez devido a corrupção ou erro humano ao fazer
mudanças de configuração.
138
Backup-Gpo -Name "Sales Manager" -Path C:\Users\Administrator -Comment "Weekly
Backup"
Restaure GPOs
Para restaurar uma GPO, use o procedimento a seguir:
1. Clique com o botão direito do mouse na GPO apropriada no nó Group Policy
Objects e, então, clique em Restore from Backup.
2. Na página Welcome do Restore Group Policy Object Wizard, clique em Next.
3. Na página Backup Location, digite o local onde o backup das GPOs foi salvo e
clique em Next.
4. Na página Source GPO, mostrada na Figura 3-19, selecione a versão apropriada
do backup da GPO. Clique em Next.
5. Na página Completing The Restore Group Policy Object Wizard, clique em Finish
e, quando solicitado, clique em OK.
Também é possível usar o cmdlet restore-gpo do Windows PowerShell. Para restau-rar
a GPO Sales Managers da pasta \\LON-DC1\Backup, use o comando a seguir:
Restore-GPO -Name "Sales Managers" -Path \\LON-DC1\Backup
Gerencie backups
Também é possível gerenciar backups no console Group Policy Management. A opção
Manage Backups pode ser usada para ver as configurações em um backup, para excluir
e para restaurar um backup.
Para acessar a ferramenta Manage Backups, no console Group Policy Management:
1. Clique com o botão direito do mouse no nó Group Policy Objects e, então, clique
em Manage Backups.
139
2. Na caixa de diálogo Manage Backups, mostrada na Figura 3-20, selecione o
backup a ser gerenciado e clique em Restore, em Delete ou em View Settings,
conforme for necessário.
140
Copie uma GPO
As configurações de uma GPO podem ser duplicadas para uso em outra. Um modo
conveniente de fazer isso é copiar uma GPO. O procedimento é o seguinte:
1. No console Group Policy Management, no nó Group Policy Objects, clique com
o botão direito do mouse na GPO de origem e, então, clique em Copy.
2. Clique com o botão direito do mouse no nó Group Policy Objects e, então, clique
em Paste.
3. Na caixa de diálogo Copy GPO, mostrada na Figura 3-21, escolha Use The Default
Permissions For New GPOs ou Preserve The Existing Permissions. Clique em OK.
• Usuários
• Grupos
• Computadores
• Caminhos UNC
141
1. No console Group Policy Management, clique com o botão direito do mouse no
nó Domains e, então, clique em Open Migration Table Editor.
2. Na caixa de diálogo Migration Table Editor – New, mostrada na Figura 3-22,
clique em Tools e em Populate From GPO.
3. Na caixa de diálogo Select GPO, mostrada na Figura 3-23, na lista de Look In This
Domain, selecione o domínio de origem. Na lista de Group Policy objects, clique
na GPO de origem. Selecione During Scan, Include Security Principals From The
DACL On The GPO. Clique em OK.
5. Quando tiver feito todas as alterações exigidas, clique em File e depois em Save.
6. Na caixa de diálogo Save As, digite um caminho válido, o nome do arquivo e
clique em Save. Certifique-se de salvar a tabela de migração em um local
acessível na rede.
7. Feche o Migration Table Editor.
A tabela de migração pode ser usada ao se importar uma GPO para um domínio
diferente. Use o procedimento a seguir:
142
1. Primeiro, faça backup da GPO de origem referenciada na tabela de migração.
Para detalhes sobre esse processo, consulte a seção deste capítulo intitulada
“Faça backup, restaure, importe e copie GPOs”. Coloque os arquivos de backup
em uma pasta acessível na rede.
2. No domínio de destino, abra o console Group Policy Management, navegue até
o nó Group Policy Objects e crie uma GPO. Use um nome significativo, não
precisa ser o mesmo da GPO de origem.
3. Clique com o botão direito do mouse na nova GPO e depois em Import Settings.
4. Na página Welcome do Import Settings Wizard, clique em Next.
5. Em Backup GPO, clique em Next. Não é preciso fazer backup de sua GPO, porque
agora ela não contém nenhuma configuração.
6. Na página Backup Location, na caixa Backup folder, digite o caminho UNC da
pasta compartilhada que contém o backup da GPO de origem e clique em Next.
7. Na página Source GPO, mostrada na Figura 3-25, na lista de Backed Up GPOs,
clique na GPO apropriada e depois em Next.
143
9. Na página Migrating References, mostrada na Figura 3-27, clique em Using This
Migration Table To Map Them In The Destination GPO e, então, procure e
selecione a tabela de migração na pasta compartilhada onde foi salva. Clique em
Next.
144
Se quiser restaurar apenas uma das GPO padrão, execute o comando DCGPOFix com os
seguintes parâmetros:
• Enterprise Admins
• Domain Admins
• Group Policy Creator Owners
• Local System
Contudo, em organizações maiores, a capacidade de dividir as tarefas administrativas
associadas ao gerenciamento de GPOs é útil. Essa divisão do trabalho administrativo é
conhecida como delegação de controle. No Windows Server 2016 é possível delegar o
controle das seguintes tarefas administrativas e de gerenciamento de GPOs:
• Criar GPOs As permissões exigidas para executar essa tarefa podem ser dadas
usando-se o console Group Policy Management.
• Editar GPOs Para editar as configurações nas GPOs, os usuários precisam das
permissões Read e Write. Para atribuir essas permissões, use o console Group
Policy Management.
• Gerenciar vínculos de GPO para sites, domínios ou OUs O vínculo permite
habilitar as configurações de uma GPO em um objeto contêiner especificado. No
Group Policy Management, use a guia Delegation do contêiner desejado para
atribuir essas permissões. Como alternativa, use o Delegation Of Control Wizard
no Active Directory Users and Computers, como descrito no Capítulo 1.
145
• Fazer análises de modelagem de GPO para domínio ou OU especificado A
modelagem permite a um administrador fazer análises ‘e se’, para a aplicação e
processamento de GPOs dentro da infraestrutura do AD DS. Em um contêiner
específico, use a guia Delegation do Group Policy Management para atribuir
essas permissões. Também é possível usar o Delegation Of Control Wizard no
Active Directory Users and Computers.
• Ler dados de resultados de GPO para objetos em um domínio ou OU
especificado A análise de resultados de GPO permite gerar relatórios sobre o
efeito dos ajustes do GPO nos objetos de destino dentro do ambiente do AD DS.
Como antes, para atribuir essas permissões, use a guia Delegation em um
contêiner específico ou use o Delegation Of Control Wizard.
• Criar filtros de WMI Os filtros de Windows Management Instrumentation (WMI,
Instrumentação de Gerenciamento do Windows) permitem determinar se uma
GPO se aplica a um objeto de uma OU com base nas características desse objeto.
Por exemplo, a GPO é aplicada se o objeto computador está executando
Windows 10 e tem 8GB de memória física. No Group Policy Management, use a
guia Delegation do contêiner para atribuir essas permissões. Também é possível
usar o Delegation Of Control Wizard.
Para usar o console Group Policy Management a fim de delegar permissões para
gerenciar GPOs, empregue o seguinte procedimento:
1. No console Group Policy Management, selecione o objeto contêiner no qual
deseja delegar controle. Por exemplo, no painel de navegação, clique no
domínio.
2. No painel de detalhes, clique na guia Delegation, como mostrado na Figura 3-29.
146
5. Na caixa de diálogo Add Group Or User, mostrada na Figura 3-30, na lista de
Permissions, selecione a herança exigida. Escolha entre: This Container Only e
This Container And All Child Containers. Clique em OK.
Para usar o Delegation Of Control Wizard a fim de delegar permissões para geren-ciar
vínculos de GPO, use o procedimento a seguir:
1. No Active Directory Users and Computers, localize e clique com o botão direito
do mouse no contêiner de destino e, então, clique em Delegate Control.
2. Na página Welcome do Delegation Of Control Wizard, clique em Next.
3. Na página Users Or Groups, clique em Add e localize o usuário ou grupo para o
qual deseja delegar a tarefa específica que está sendo configurada. Clique em OK
e depois em Next.
4. Na página Tasks To Delegate, mostrada na Figura 3-32, na lista de Delegate The
Following Common Tasks, marque a caixa de seleção de Manage Group Policy
links e clique em Next.
147
5. As permissões no AD DS são configuradas. Clique em Finish.
Delegar as outras permissões, como criar filtros de WMI, é um processo bastante
semelhante.
148
Já dissemos que, como cada política vinculada a um contêiner pode conter
configurações conflitantes (isto é, na GPO1, a configuração da política X é Enabled,
enquanto na GPO2, é Disabled), devemos considerar fatores que determinam a ordem
em que as GPOs são aplicadas. Na verdade, também devemos considerar fatores como
herança, precedên-cia e filtragem de WMI e de segurança, para fazer a determinação
correta.
Um dos motivos pelos quais se decide agrupar objetos em OUs pode ser porque se quer
delegar permissões de gerenciamento a esses objetos ou porque se quer ajustar
configurações comuns a eles. A Figura 3-34 mostra uma representação da floresta
Adatum. com e várias OUs e as GPOs vinculadas.
149
quer dizer que a GPO inteira sobrescreve todas as configurações aplicadas
anteriormente. O que acontece depende de como as configurações são ajustadas.
Por exemplo, suponha que seja criada uma GPO que configura apenas Security Settings
no nó Computer Configuration. Então, suponha que seja criada outra GPO, vinculada ao
mesmo contêiner, a qual configura apenas Windows Components sob a pasta
Administrative Templates. Nenhum desses ajustes entra em conflito um com o outro.
Portanto, não importa qual tem a ordem de vínculo mais baixa.
Contudo, vamos supor que sejam configuradas as mesmas duas GPOs, vinculadas ao
mesmo contêiner. Desta vez, as duas GPOs ajustam as mesmas configurações, por
exemplo, em Windows Components na pasta Administrative Templates, sob o nó
Computer Configuration. Nesse caso, o ajuste aplicado aos objetos da OU é determinado
pela ordem de vínculo.
Também é preciso considerar o fato de que os ajustes são, por padrão, herdados dos
contêineres de nível mais alto aos quais as GPOs são vinculadas. Assim, em nosso
exemplo, as configurações aplicados por intermédio de Default Domain Policy também
se aplicam aos objetos da OU Sales. Do mesmo modo, os objetos da OU Europe recebem
suas configurações, por padrão, de Default Domain Policy, assim como da GPO1 SALES
e da GPO2 SALES. Além disso, essas configurações são aplicadas junto com a GPO
EUROPE, que está vinculada à OU Europe. No caso de quaisquer configurações
conflitantes (e somente nesse caso), a GPO aplicada por último tem precedência, e seus
ajustes são aplicados. Nesse cenário, a GPO aplicada por último seria a vinculado à OU
Europe.
Portanto, para configurar a precedência, deve-se vincular as GPOs à OU correta. As que
estão nos níveis mais baixos em nosso diagrama têm precedência mais alta. Para
configurar a ordem de vínculo, abra o console Group Policy Management, como
mostrado na Figura 3-36, e use os botões de seta para mudar a ordem de vínculo nas
OUs com várias GPOs vinculadas.
150
Configure herança
Por padrão, as GPOs criadas e vinculadas a objetos de nível mais alto em sua árvore de
OUs também se aplicam a todos os objetos abaixo desse vínculo. Por exemplo, em nosso
cenário na Figura 3-34, Default Domain Policy (vinculada ao domínio) é aplicada a todos
os objetos de todas as OUs abaixo desse ponto.
Novamente, em nosso exemplo, os computadores e usuários da OU Europe, sob a OU
Sales, recebem ajustes não apenas da GPO EUROPE vinculada diretamente, mas
também herdam ajustes de Default Domain Policy e da GPO1 SALES e da GPO2 SALES.
Na verdade, é vantajoso essa herança ocorrer, pois isso permite vincular GPOs em níveis
mais altos da árvore de OUs, com configurações que se quer aplicar a todos os
computadores (ou usuários), sabendo que esses ajustes se aplicam aos objetos
subordinados. Portanto, a melhor prática é tirar proveito desse comportamento de
herança e ajustar as configurações nas GPOs de nível mais alto que devam ser aplicadas
a todos os objetos. Então, à medida que se desce na árvore de OUs, até as sub-OUs, cria-
se e vincula-se GPOs específicas, com ajustes que afetam apenas os objetos desse
contêiner.
Bloqueie herança
Ocasionalmente, no entanto, apesar da estrutura de OUs ter sido bem planejada, você
quer impedir que a herança de configurações de GPO desça pela árvore de OUs. Isso é
fei-to com base no contêiner. Ou seja, é possível bloquear a herança em uma OU
específica.
Quando se opta por bloquear a herança, bloqueia-se as configurações de todas as GPOs
vinculadas a contêineres acima da OU que está sendo bloqueada. Por exemplo, como
mostrado na Figura 3-37, a herança é bloqueada na OU SALES. Embora DEFAULT
DOMAIN POLICY tenha sido aplicada uma vez aos objetos da OU SALES, assim como da
OU EUROPE e da OU USA, agora os ajustes de DEFAULT DOMAIN POLICY não se aplicam
à OU SALES e abaixo desta.
151
Para configurar esse comportamento, complete o procedimento a seguir:
1. Abra o console Group Policy Management.
2. No painel de navegação, mostrado na Figura 3-38, clique com o botão direito do
mouse na OU desejada e, então, clique em Block Inheritance.
152
Configure políticas impostas
Dado que um administrador de uma OU pode bloquear a herança nessa OU,
efetivamente impedindo todas as configurações ajustadas em GPOs vinculadas mais alto
na árvore de OUs, isso pode não ser sempre desejável. Por exemplo, como
administrador a nível de domínio, talvez você queira garantir que as configurações da
GPO vinculada ao domínio sejam aplicadas a todos os computadores (ou usuários),
independentemente de qualquer bloqueio de configurações definido por
administradores de nível mais baixo.
É aí que a imposição é útil. As GPOs podem ser impostas, significando que o uso de
bloqueio de herança não pode bloqueá-las.
Para configurar imposição de GPO, use o procedimento a seguir:
1. Abra Group Policy Management.
2. Localize a GPO a ser imposta e clique nela com o botão direito do mouse, como
mostrado na Figura 3-41.
3. Clique em Enforced.
Como mostrado na Figura 3-42, o cadeado na GPO indica imposição. No painel de
detalhes, a coluna Enforced está definida como Yes.
É possível ver o efeito da imposição nas OUs de nível mais baixo. Na OU Sales há um
bloqueio configurado. Mas, devido à imposição de Default Domain Policy, essa política
aparece, como mostrado na Figura 3-43, na guia Group Policy Inheritance do painel de
detalhes da OU Sales. Isso significa que a imposição supera o bloqueio.
153
Configure filtragem de segurança e filtragem de WMI
Até agora, supomos que todos os ajustes configurados em um ou mais GPOs devem ser
aplicados a todos os objetos de uma OU, ou diretamente, por meio de um vínculo, ou
indiretamente, por meio de herança. Usando Block Inheritance e Enforced é possível
controlar o comportamento padrão, mas isso ainda acontece no nível do contêiner
inteiro.
E se você quiser aplicar os ajustes de um GPO à maioria dos computadores de uma OU,
mas não em todos? Ou talvez queira aplicar um GPO de segurança restritivo à maioria
dos usuários de um departamento, mas não a todos. Talvez você crie um GPO para
distribuir atualizações de software, mas não queira aplicar aos computadores que não
satisfazem aos requisitos de hardware mínimo do software. Todos esses são exemplos
de situações nas quais a filtragem de segurança ou filtragem de WMI para GPO pode ser
útil.
154
A filtragem de segurança pode ser usada para implementar duas estratégias:
• Applies To Everyone But (aplicar para todos menos) Neste cenário, você quer os
ajustes de seu GPO aplicados a todos os usuários (ou computadores), exceto um
(ou alguns). Para conseguir isso, você concede a permissão Deny Apply Group
Policy ao usuário (ou computador) específico. Isso impede que o usuário (ou
computador) aplique a política.
• Applies To Only (aplicar apenas para) Neste cenário, você quer aplicar a política
apenas a um usuário ou computador específico. Isso levanta a questão de se o
usuário ou computador deve mesmo estar na OU. Supondo que haja motivos
válidos para a presença do objeto na OU, você pode remover a permissão Allow
Apply Group Policy do grupo Authenticated Users. Em seguida, conceda ao
usuário ou computador as permissões Allow Read e Allow Apply de Group Policy
no GPO.
Cuidado para não remover a permissão Allow Read do grupo Authenticated Users. Isso
porque, a não ser que esse grupo também receba a permissões Read, a política não é
processada pelo cliente.
155
6. Você recebe um aviso de segurança dizendo que permissões Deny anulam outras
permissões. Clique em Yes para continuar.
7. O usuário ou grupo especificado é listado na guia Delegation com permissões
Custom, como mostrado na Figura 3-47.
156
3. Clique em Add e, na caixa de diálogo Select User, Computer, Or Group, digite o
nome do usuário ou grupo para o qual a GPO deve ser aplicada e, então, clique
em OK. A lista Security Filtering contém apenas o objeto ao qual a GPO será
aplicado, como mostrado na Figura 3-49.
157
1. No painel de navegação do console Group Policy Management, clique no nó WMI
Filters.
2. Clique com o botão direito do mouse em WMI Filters e, então, clique em New.
3. Na caixa de diálogo New WMI Filter, na caixa Name, digite o nome para o seu
filtro de WMI, digite uma descrição e clique em Add.
4. Na caixa de diálogo WMI Query, mostrada na Figura 3-51, na caixa Query, digite
a consulta (query) de WMI e clique em OK.
158
Depois de criar o filtro, aplique-o a GPO usando o procedimento a seguir:
1. No console Group Policy Management, no nó Group Policy Objects, selecione a
GPO apropriada.
2. Na seção WMI Filtering da guia Scope, na lista de This GPO Is Linked To The
Following WMI Filter, clique em seu filtro de WMI.
3. Na caixa de diálogo pop-up Group Policy Management, clique em Yes.
4. No Group Policy Management, WMI Filtering está configurado, como mostrado
na Figura 3-54.
Nesse exemplo, criamos um filtro de WMI com apenas uma consulta de WMI. Contudo,
é fácil construir consultas complexas, com várias condições, para situações mais
complicadas. Além disso, uma vez criados os filtros de WMI, eles podem ser aplicados a
várias GPOs e não é preciso criá-los separadamente para cada GPO.
Contudo, podem existir situações nas quais se quer que certos computadores
apresentem uma área de trabalho padrão, independente de quem efetua logon. Por
exemplo, pode haver computadores em um quiosque, em uma área pública dentro de
sua organização, e ser desejável que esses computadores tenham uma área de trabalho
padrão obrigatória.
O processamento de loopback permite mudar o comportamento padrão, de modo que,
em vez dos ajustes de área de trabalho serem aplicados com base na OU do usuário, os
ajustes aplicados são determinados pela localização do objeto computador no AD DS.
159
Para habilitar o processamento de loopback em GPO, edite a seguinte localização na
pasta Administrative Templates do GPO apropriado:
1. Abra o GPO apropriado para edição.
2. No Group Policy Management Editor, sob o nó Computer Configuration, navegue
até Policies\Administrative Templates\System e selecione a pasta Group Policy,
como mostrado na Figura 3-55.
160
5. Clique em OK.
Os computadores clientes devem receber essa atualização de GPO antes que o modo de
processamento de loopback seja efetivado no computador local. Isso pode exigir uma
reinicialização.
161
• Slow Link Value O padrão é 500 milissegundos. Se o cliente da GPO não rece-be
uma resposta de um controlador de domínio nesse intervalo, o link é consi-
derado lento.
• Timeout Value O padrão é 5000 milissegundos. Após esse período, o cliente
presume que não há conectividade de rede e o cache é usado.
Para habilitar e configurar detecção de link lento, use o procedimento a seguir:
1. Abra a GPO apropriada para edição.
2. No Group Policy Management Editor, sob o nó Computer Configuration, navegue
até Policies\Administrative Templates\System e selecione a pasta Group Policy,
como mostrado na Figura 3-55.
3. No painel de detalhes, clique duas vezes no item Configure Group Policy slow
link detection.
4. Na caixa de diálogo Configure Group Policy slow link detection, mostrada na
Figura 3-57, clique em Enabled e, então, configure a velocidade da conexão.
Lembre-se de que o padrão é 500 kbps. Clique em OK.
162
Os computadores clientes devem receber essas atualizações de GPO antes que os
ajustes de link lento e uso de cache sejam efetivados no computador local. Isso pode
exigir uma reinicialização.
163
5. Também é possível determinar se o ajuste é atualizado enquanto o computador
está em uso, durante os intervalos de atualização automática de GPOs. O
comportamento padrão é a extensão no lado do cliente processar atualizações.
Se quiser mudar isso, marque a caixa de seleção Do Not Apply During Periodic
Background Processing. Clique em OK.
Para configurar todas as extensões no lado do cliente, localize o ajuste apropriado na
pasta Group Policy e configure os dois valores descritos anteriormente. Os ajustes
exigidos são mostrados na Figura 3-60.
164
3. Talvez seja preciso desconectar-se ou até reiniciar seu computador, dependendo
do ajuste.
165
• É relativamente simples e certamente rápido de configurar.
• Não é necessária nenhuma infraestrutura adicional, porque as GPOs fazem parte
do AD DS.
• Não é preciso nenhum software agente no lado do cliente, pois as extensões do
lado do cliente internas da GPO manipulam a implantação.
Contudo, antes de decidir se vai usar GPOs para implantar software, considere
as seguintes desvantagens em potencial:
• Usando GPOs, só é possível implantar certos tipos de pacote. Especificamente,
precisam ser usados pacotes de instalação .msi.
• Não há controle sobre quando a implantação de software ocorre.
• Se vários pacotes estão sendo implantados, não há controle sobre qual deles é
implantado primeiro.
• Não existem recursos de produção de relatórios na implantação de software
através de GPO, tornando difícil determinar se a implantação foi bem-sucedida.
Dadas essas considerações, é provável que usar GPOs para implantar e manter
software aplicativo é conveniente apenas para organizações que dão suporte
para relativamente poucos computadores em suas florestas de AD DS.
Preparação
O primeiro estágio no uso de GPOs para implantar software é armazenar os aplicativos
a serem implantados em um lugar acessível. Lembre-se de que seus aplicativos devem
estar na forma de arquivos do Windows Installer, isto é, arquivos .msi. Coloque os
arquivos .msi em uma pasta compartilhada em um servidor de rede. De preferência,
essa pasta deve fazer parte de uma estrutura de pastas DFSR, para garantir a alta
disponibilidade dos arquivos de instalação. Se estiver usando a mesma pasta
compartilhada para implantação de software, configure a localização padrão de pacote.
Para isso, use o seguinte procedimento:
1. Abra a GPO apropriada para edição e, no Group Policy Management Editor,
navegue até a pasta Computer Configuration, Policies, Software Settings. Em
seguida, clique em Software Installation.
2. Clique com o botão direito do mouse em Software Installation e, então, clique
em Properties.
3. Na caixa de diálogo Software Installation Properties, mostrada na Figura 3-63, na
caixa Default Package Location, digite o caminho para os arquivos .msi dos
softwares e clique em OK.
4. Se quiser, repita esses passos para User Configuration, Policies, Software
Settings e Software Installation Properties.
166
Implantação
Em seguida, decida como quer implantar o software. Você tem duas escolhas, que são:
167
4. Clique em Open e, então, na caixa de diálogo Deploy Software, mostrada na
Figura 3-65, clique em Assigned e depois em OK.
Agora seu pacote de software está pronto para a implantação e está listado na pasta
Software Installation. Quando os clientes atualizam a GPO, o novo ajuste é aplicado.
Neste caso, como você está implantando um pacote por meio de atribuição a um
computador, o pacote é implantado depois da próxima reinicialização da máquina, após
a atualização das GPOs. O processo de atribuição a um usuário é praticamente o mesmo.
Para implantar um pacote, publicando para um usuário, use o procedimento a seguir:
1. Abra a GPO apropriada para edição e, no Group Policy Management Editor,
navegue até a pasta User Configuration, Policies, Software Settings. Em seguida,
clique em Software installation.
2. Clique com o botão direito do mouse em Software installation, aponte para New
e clique em Package.
3. Na caixa de diálogo Open, localize seu pacote de instalação de software e clique
em Open.
4. Na caixa de diálogo Deploy Software, mostrada na Figura 3-66, clique em
Published e depois em OK.
Agora seu pacote de software está pronto para a implantação e está listado na pasta
Software Installation. Quando os clientes atualizam a GPO, o novo ajuste é aplicado.
Neste caso, como você está implantando um pacote por meio da publicação para um
usuário, o pacote está disponível para implantação usando-se o Painel de Controle, uma
vez atualizadas as GPOs, como mostrado na Figura 3-67.
168
Além de implantar software usando atribuição ou publicação, também é possível tornar
software disponível usando implantação por extensão de arquivo. Isso funciona quando
um usuário tenta abrir um arquivo de um tipo específico, ele clica duas vezes em um
arquivo, por exemplo, .doc. É possível configurar instalação de software por GPO para
implantar um aplicativo específico quando um usuário ativa determinado tipo de
arquivo. Para fazer isso, configure a guia File Extensions do nó Software Installation.
Manutenção
Depois de configurar e implantar o software necessário, deve-se estar pronto para
mantê-lo. Isso pode envolver a atualização ou a reimplantação do software.
Para reimplantar um pacote de software:
1. No Group Policy Management Editor, na pasta Software Installation, clique com
o botão direito do mouse no pacote de software apropriado e, então, clique em
Rede-ploy Application.
2. No prompt de confirmação, clique em Yes. Para atualizar (upgrade) um pacote,
use o procedimento a seguir:
1. Clique com o botão direito do mouse em Software Installation, aponte para New
e clique em Package.
2. Na caixa de diálogo Open, localize seu pacote de instalação de software.
3. Na caixa de diálogo Deploy Software, clique em Advanced e depois em OK.
4. Clique na guia Upgrades.
5. Clique em Add e selecione o pacote de software que será atualizado.
6. Como mostrado na Figura 3-68, na caixa de diálogo Add Upgrade Package,
escolha se o pacote existente deve ser removido antes da instalação do novo
pacote ou se o novo pacote pode ser atualizado sobre o já existente. Clique em
OK.
169
7. Na caixa de diálogo New Package Properties, mostrada na Figura 3-69, clique em
OK.
Remoção
Quando um pacote atinge o fim da vida útil em sua organização, é preciso removê-lo.
Isso pode ser feito usando instalação de software através de GPO. Use o procedimento
a seguir para remover de sua organização qualquer pacote indesejado:
1. No Group Policy Management Editor, na pasta Software Installation, clique com
o botão direito do mouse no pacote de software apropriado e, então, clique em
Remove.
2. Na caixa de diálogo Remove Software, mostrada na Figura 3-70, selecione uma
das opções a seguir e clique em OK:
• Immediately uninstall the software from users and computers.
• Allows users to continue to use the software, but prevent new installations.
170
Configure scripts
Frequentemente é muito útil executar um script durante o logon ou quando um
computador inicializa. Talvez você queira usar o script para definir o ambiente do
usuário, mapear unidades de rede ou instalar atualizações de software.
O Windows Server 2016 permite usar GPOs a fim de configurar scripts para executar
durante a inicialização ou o desligamento de computadores, e durante o logon ou logoff
de usuários. O procedimento para configurar esses vários scripts é basicamente o
mesmo. Por exemplo, para configurar a execução de um script de logon, use o seguinte
procedimento de alto nível:
1. Abra o Group Policy Management Editor para o GPO apropriado.
2. Para configurar scripts de logon e logoff, expanda o nó User Configuration e
navegue até Policies, Windows Settings, Scripts (Logon/Logoff), como mostrado
na Figura 3-71.
171
especifique se deseja executar o script do Windows PowerShell primeiro ou por
último. Caso contrário, clique em Not Configured.
8. Caso tenha mais scripts para executar, adicione-os à lista de PowerShell Scripts
e, então, clique em OK.
9. Atualize as GPOs nos computadores de destino e, então, efetue logon para testar
se o script executa corretamente.
O processo de criação e configuração de scripts para logoff, e também para inicialização
e desligamento, é quase idêntico. Além de usar o Windows PowerShell, você também
pode usar outras linguagens de script, incluindo VBScript.
172
• Registry Permite definir ajustes de segurança do registro.
• File System Permite definir permissões de arquivo e pasta de forma centralizada.
Para criar e usar modelos de segurança com GPOs, use o procedimento a seguir:
1. Abra o console de gerenciamento e adicione o snap-in Security Templates.
2. Expanda o nó Security Templates no painel de navegação e, então, clique na
pasta de nível superior debaixo desse nó. Clique com o botão direito do mouse
na pasta e, então, clique em New Template.
3. Na caixa de diálogo não rotulada, na caixa de texto Template Name, digite o
nome. Por exemplo, digite High Security Settings e clique em OK.
4. Clique no nó High Security Settings ou qualquer que seja o nome dado ao seu
modelo.
5. Configure os ajustes de segurança exigidos para ajudar a tornar sua organização
segura.
Depois de criar seu modelo e configurar os ajustes de segurança necessários, salve o
modelo. Para isso, clique nele com o botão direito do mouse e, então, clique em Save.
Agora o modelo pode ser aplicado a sua GPO (ou GPOs). Para isso, use o seguinte
procedimento:
1. Abra a GPO desejada para edição.
2. No Group Policy Management Editor, selecione a pasta Security Settings no nó
Computer Configuration\Policies\Windows Settings, no painel de navegação.
3. Clique com o botão direito do mouse na pasta Security Settings e, então, clique
em Import Policy, como mostrado na Figura 3-74.
173
4. Na caixa de diálogo Import Policy From, mostrada na Figura 3-75, clique duas
vezes na política criada anteriormente.
174
e, se desejado, padronizar os ajustes de área de trabalho e aplicativo dos usuários.
Folder Redirection é implementado como um recurso de GPOs.
O nome Folder Redirection foi escolhido porque várias pastas locais, armazenadas como
parte dos dados e ajustes pessoais de um usuário, podem ser armazenadas em pastas
compartilhadas no servidor de arquivos, por meio de redirecionamento. As seguintes
pastas locais podem ser redirecionadas dessa maneira:
• AppData\Roaming
• Desktop
• Start Menu
• Documents
• Pictures
• Music
• Videos
• Favorites
• Contacts
• Downloads
• Links
• Searches
• Saved Games
Preparação da pasta
Antes de redirecionar pastas é preciso criar a estrutura de pasta compartilhada
necessária. É normal redirecionar as pastas dos usuários para uma pasta compartilhada
comum, referida como pasta-raiz.
Geralmente são atribuídas permissões a grupos de segurança que contêm os usuários
relevantes nas pastas exigidas. Por exemplo, se você redireciona pastas por
departamento, pode atribuir ao grupo de segurança global Vendas as permissões
exigidas na pasta-raiz para usuários de vendas, e fazer o mesmo para o grupo de
segurança Marketing, para usuários desse departamento, e assim por diante.
A Tabela 3-1 mostra as permissões de pasta NTFS corretas.
Como seus usuários vão acessar a pasta-raiz e suas subpastas por meio de uma pasta
compartilhada do Windows Server, você deve atribuir permissões de pasta
compartilhada. A Tabela 3-2 mostra as permissões de pasta compartilhada apropriadas.
175
Daí em diante, cada usuário precisa de sua própria subpasta abaixo da pasta-raiz. Se a
pasta-raiz é criada com as permissões corretas, o Windows Server cria as pastas para o
usuário automaticamente, durante a configuração do redirecionamento de pasta, e
aplica as permissões corretas. Contudo, a Tabela 3-3 mostra as permissões exigidas nas
pastas individuais dos usuários.-
176
Habilitando e configurando redirecionamento de pasta básico
O Group Policy Management Editor é usado para habilitar e configurar
redirecionamento de pasta. Para habilitar e configurar redirecionamento de pasta
básico, use o procedimento a seguir:
1. No console Group Policy Management, localize o GPO apropriado e abra para
edição.
2. No Group Policy Management Editor, navegue até o nó User Configuration e
selecione a pasta Policies.
3. Expanda Windows Settings e, em seguida, expanda Folder Redirection.
4. Selecione a pasta apropriada na lista, como mostrado na Figura 3-76.
177
7. Na seção Target folder location, escolha uma das opções a seguir.
• Create A Folder For Each User Under The Root Path Se esta opção é selecionada,
o Windows Server cria uma pasta na forma \\server\share\%Username%\
Folder, em que %Username% é o nome da conta de usuário e Folder é o nome
da pasta que está sendo redirecionada. Por exemplo: \\LON-SVR1\Redirected\
Claire\Documents.
• Redirect To The Following Location Se esta opção é selecionada, o Windows
Server cria apenas uma pasta para vários usuários e todos eles usam o mesmo
caminho para a pasta redirecionada.
• Redirect To The Local Userprofile Location Se esta opção é selecionada, o
Windows Server muda o local da pasta redirecionada para o perfil local do
usuário, abaixo da pasta Users local.
• Redirect To The User’s Home Directory Esta opção só está disponível para a
pasta Documents. O Windows Server redireciona a pasta para a pasta base do
usuário.
8. Digite o UNC da pasta-raiz.
9. Clique em OK e, na caixa de diálogo Warning, clique em Yes.
Quando um usuário que é afetado por sua GPO efetua logon, sua pasta é redirecionada
para o lugar desejado e o Windows Server cria a pasta de usuário exigida sob a pasta-
raiz especificada, supondo que ela foi criada com as permissões corretas.
178
5. Sob o cabeçalho Security Group Membership, clique em Add.
6. Na caixa de diálogo Specify Group And Location, mostrada na Figura 3-79, na
caixa de texto Security Group Membership, digite o nome do grupo de
segurança.
179
A guia Settings
Tanto para redirecionamento básico como para avançado, ao se selecionar e configurar
os destinos do redirecionamento, como mostrado, por exemplo, na Figura 3-80,
também é possível configurar opções na guia Settings, como se vê na Figura 3-81:
• Grant The User Exclusive Rights To Folder Garante que cada usuário tenha
permissões exclusivas em sua própria pasta. Habilitada por padrão.
• Move The Contents Of Folder To The New Location Se o perfil de usuário local
possui conteúdo na pasta que está sendo redirecionada, esse conteúdo é movido
para a pasta redirecionada. Habilitada por padrão.
• Also Apply Redirection Policy To Windows 2000, Windows 2000 Server, Win-
dows XP, And Windows Server 2003 Operating Systems Permite suporte para
sistemas operacionais mais antigos, o que não está habilitado por padrão.
• Policy Removal Se o ajuste (ou ajustes) de redirecionamento de pasta é
removido da GPO, esta opção determina o que acontece com o conteúdo da
pasta (ou pastas) redirecionada.
• Leave the folder in the new location when policy is removed. (Manter os arquivos
no novo local quando a política for removida.)
• Redirect the folder back to the local userprofile location when policy is removed.
(Recolocar pasta no local do perfil de usuário local ao remover política).
180
Configure modelos administrativos
Grande parte da configuração conseguida com GPOs se torna disponível com o uso de
modelos administrativos. Todas as alterações feitas nos nós Administrative Templates
de uma GPO resultam em mudanças em configurações de registro dos computadores
afetados.
Assim como em todos os outros ajustes de GPO, essas mudanças são agrupadas em
ajustes relacionados a computador, que modificam os elementos de sistema do registro,
e a usuário, que modificam os elementos do usuário no registro. Contudo, alguns ajustes
feitos em Administrative Templates têm configurações duplicadas nos nós Computer
Configuration e User Configuration.
Como editar o registro diretamente pode ser complexo e propenso a erros, os nós
Administrative Templates são representados em uma estrutura mais lógica, do tipo
pasta, mais simples de navegar, como mostrado na Figura 3-82.
• Computer Configuration:
• Control Panel
181
• Network
• Printers
• Server
• Start Menu and Taskbar
• System
• Windows Components
• All Settings
• User Configuration:
• Control Panel
• Desktop
• Network
• Shared Folders
• Start Menu and Taskbar
• System
• Windows Components
• All Setting
182
• Será mais fácil atualizar seus modelos administrativos, pois só é preciso atualizar
um arquivo .admx (no armazenamento central), quando forem necessárias
alterações.
O armazenamento central deve ficar localizado na pasta compartilhada SYSVOL.
Especificamente para o domínio Adatum.com:
1. Na pasta \\Adatum.com\SYSVOL\Adatum.com\Policies, crie uma subpasta
PolicyDefinitions.
2. Popule essa nova pasta PolicyDefinitions com o conteúdo existente na pasta
Windows\PolicyDefinitions de um controlador de domínio.
3. Adicione arquivos .admx e .adml novos ou alterados na versão de
PolicyDefinitions contida em SYSVOL.
183
• Keyword Filter(s) Digite a palavra-chave a filtrar. Especifique se a palavra aparece
no título do item de configuração da política, no texto de ajuda da política e/ou
no comentário. Então, escolha entre procurar pela correspondência exata, todas
as palavras ou quaisquer palavras.
• Requirements Filter(s) Configure requisitos específicos para a plataforma ou
aplicativo a ser filtrado. Depois de selecionar os filtros apropriados, escolha se
todos ou qualquer um deve corresponder.
3. O filtro é aplicado imediatamente ao modo de exibição atual.
• Aplicativos
184
• Configurações de ambiente
• Arquivos e pastas
• Mapas (Mapeamentos) de unidade e compartilhamentos de rede
• Configurações de registro
• Atalhos
• Diversas configurações do Painel de Controle, incluindo:
• Fontes de dados
• Dispositivos
• Opções de pasta
• Configurações da Internet
• Usuários e grupos locais
• Opções de rede
• Impressoras
• Opções regionais
• Tarefas agendadas
• Serviços
• Menu Iniciar
Para configurar uma preferência através de Group Policy, use o procedimento de alto
nível a seguir:
1. Abra o Group Policy Management Editor para a GPO apropriada, selecione o nó
User Configuration ou Computer Configuration, abra a pasta Preferences e
selecione um dos itens da lista mostrada anteriormente.
2. Execute uma das tarefas a seguir:
• Crie um ajuste de preferência.
• Substitua um ajuste de preferência existente.
• Atualize um ajuste de preferência existente.
• Exclua um ajuste de preferência existente.
185
1. Selecione a pasta Preferences e então, sob Windows Settings, clique com o botão
direito do mouse em Drive Maps, aponte para New e clique em Mapped Drive.
2. Então, na caixa de diálogo New Drive Properties, na guia General, mostrada na
Figura 3-85, na lista de Action, clique em Create.
3. Na caixa de texto de Location, digite o caminho UNC para a pasta compartilhada.
4. Opcionalmente, marque a caixa de seleção Reconnect para garantir que o
mapeamento de unidade seja reconectado sempre que o usuário efetuar logon.
5. Sob Drive Letter, selecione a letra de unidade apropriada na lista Use.
6. Se necessário, use a seção Connect As (Optional) para definir as credenciais a
serem usadas para mapear a unidade.
186
• Remove This Item When It Is No Longer Applied As preferências continuam a
ser aplicadas, mesmo após o item da preferência ser removido. Esta opção muda
esse comportamento.
• Apply Once And Do Not Reapply Este ajuste anula o comportamento de
atualização de GPO padrão.
• Item-Level Targeting Isto é discutido no final deste objetivo.
Se quiser modificar o mapeamento de unidade, abra suas propriedades e, então, na guia
General, na lista de Action, clique em Replace e preencha os ajustes novamente. O item
é excluído dos clientes e substituído pelo novo item. Caso queira modificar um ajuste,
escolha Update. Por fim, se o item da preferência não é mais necessário, escolha Delete.
3. Por exemplo, clique em Shared Printer e, então, na caixa de diálogo New Shared
Printer Properties, na guia General, na lista de Action, clique em Create.
4. Na seção Shared printer, em Share path, localize a impressora compartilhada.
5. Opcionalmente, marque a caixa de seleção Set This Printer As The Default
Printer, como mostrado na Figura 3-88.
6. Clique na guia Common, configure as opções comuns e, então, clique em OK.
187
Configure opções de energia
A configuração de opções de energia através de Preferências de Group Policy é
praticamente igual à de impressoras e mapeamentos de unidade. Para implantar opções
de energia, use o procedimento a seguir:
1. Selecione a pasta Power Options no nó Control Panel Settings.
2. Clique com o botão direito do mouse na pasta Power Options, aponte para New
e clique em Power Plan (At least Windows 7).
3. Na caixa de diálogo New Power Plan (At least Windows 7) Properties, mostrada
na Figura 3-89, selecione o plano apropriado e configure os ajustes de energia
exigidos.
4. Clique na guia Common, configure as opções necessárias e, então, clique em OK.
188
1. Na pasta Windows Settings do nó Computer Configuration ou User
Configuration, clique com o botão direito do mouse na pasta Shortcuts, aponte
para New e clique em Shortcut.
2. Na caixa de diálogo New Shortcut Properties, mostrada na Figura 3-90, na guia
General, selecione Create na lista Action.
3. Na caixa Name, digite um nome para o atalho.
4. Na lista Target type, selecione o tipo de objeto para o qual o atalho aponta.
Escolha entre File System Object, URL ou Shell Object.
5. Na lista Location, escolha onde o atalho deve aparecer. Por exemplo, Desktop,
Start Menu.
6. Na caixa Target path, digite o caminho para o objeto.
7. Configure as opções restantes, conforme for necessário, e clique na guia
Common.
8. Configure as opções de Common e clique em OK:
189
6. Clique na guia Common e configure as opções comuns.
7. Clique em OK.
190
• Adicionar um item do registro Permite adicionar uma entrada específica na seção
e chave de registro apropriadas.
• Adicionar um item de coleção Permite agrupar um conjunto de itens de registro.
Isso é útil se você quer adicionar várias entradas de registro para usuários ou
computadores.
• Executar o Assistente do registro Permite usar um assistente nos computadores
de destino para ajustar várias configurações de usuário ou computador no
registro dos computadores de destino.
O procedimento específico para criar ajustes personalizados no registro é muito
parecido com todos os outros procedimentos baseados em preferência.
Configure ajustes do Painel de Controle Preferências podem ser usadas para configurar
os seguintes itens do Painel de Controle sob o nó User Configuration:
191
• Local Users And Groups Preferências podem ser usadas para gerenciar usuários
locais ou grupos locais, como mostrado na Figura 3-95.
Preferências podem ser usadas para configurar os seguintes itens do Painel de Controle
sob o nó Computer Configuration:
192
• Services Configura comportamento de inicialização de serviço.
193
3. Adicione quaisquer itens necessários. Observe que todas as condições devem ser
satisfeitas para que a preferência seja aplicada. Defina a relação entre as
condições usando a lista Item Options. O padrão é o operador AND, como
mostrado na Figura 3-98.
194
70-742 Identidade com Windows
Server 2016
Capítulo 4:
Implementação de Active
Directory Certificate Services
195
Objetivo 4.1: Instalar e configurar AD CS
O Windows Server 2016 permite implementar uma PKI por meio da implantação da
função de servidor AD CS. Essa função consiste nos seguintes serviços:
196
• Install-AdcsOnlineResponder Instala e configura o serviço de função Online
Responder.
Por exemplo, para instalar uma CA raiz corporativa com ferramentas de gerenciamento
associadas, use o comando a seguir:
Install-AdcsCertificationAuthority -CAType EnterpriseRootCa -IncludeManagementTools
197
4. Na página Select Server Roles, mostrada na Figura 4-1, na lista de Roles, marque
a caixa de seleção Active Directory Certificate Services, clique em Next, em Add
Features e depois em Next.
198
2. Clique em Configure Active Directory Certificate Services no servidor de destino.
3. Na página Credentials, digite as credenciais de uma conta de usuário com no
mínimo participação como membro do grupo Administrators local, como
mostrado na Figura 4-3, e clique em Next.
199
6. Na página CA Type, se for a primeira CA, clique em Root CA, como mostrado na
Figura 4-6, e depois em Next.
7. Na página Private Key, se for uma implantação nova, como mostrado na Figura
4-7, clique em Create A New Private Key e em Next. Se já houver uma chave que
você queira usar, clique em Use Existing Private Key. Isso pode acontecer se você
estiver reinstalando uma CA e quiser manter a continuidade com certificados
emitidos anteriormente.
200
9. Na página CA Name, digite um nome comum e um nome distinto para a CA, como
mostrado na Figura 4-9, e clique em Next.
201
11. Na página CA Database, especifique o local do banco de dados de certificados e
dos arquivos de log relacionados, como mostrado na Figura 4-11. Clique em
Next.
202
4. Na página Setup Type, selecione Enterprise CA, como mostrado na Figura 4-13,
e clique em Next.
203
CA está offline, as informações sobre AIA não podem ser acessadas. Defina um
local alternativo e copie manualmente as informações de AIA no novo local.
• Exportar o certificado da CA raiz As CAs subordinadas precisam desse
certificado. É preciso exportar o certificado da CA raiz e, subsequentemente,
instalá-lo em todas as CAs subordinadas.
• Publicar o certificado da CA raiz Use Group Policy para publicar o certificado da
CA raiz para todos os computadores clientes e servidores. Uma CA raiz
corporativa executa essa tarefa automaticamente, mas uma CA raiz autônoma,
não.
• CAs subordinadas É preciso implantar CAs subordinadas, responsáveis por
emitir, revogar e gerenciar certificados em sua organização. As CAs subordinadas
exigem um certificado adequado da CA raiz (além do certificado da CA raiz). Faz
sentido implantar as CAs subordinadas enquanto a CA raiz está acessível, para
que possam obter o certificado adequado dela.
• Um certificado revogado não deve ser usado para fornecer serviços de segu-
rança e identidade Os CDPs permitem que aplicativos e serviços que contam
com certificados estabeleçam o status da revogação de um certificado,
possibilitando que o aplicativo ou serviço encontre a CRL mantida pelas CAs de
sua organização.
• Os aplicativos e serviços devem confiar nas CAs emissoras Se um aplicativo ou
serviço não confia explicitamente em uma CA que emite um certificado, ele usa
endereços AIA para determinar a validade da CA emissora do certificado.
Endereços AIA são URLs que definem a localização do certificado da CA emissora.
É possível configurar localizações de CDP e AIA usando o seguinte procedimento em sua
CA raiz:
1. Efetue logon como administrador local (ou administrador de domínio, se o
servidor for membro de um domínio) em sua CA raiz, abra o Server Manager,
clique em Tools e depois em Certification Authority.
2. No console certsrv – [Certification Authority (Local)], mostrado na Figura 4-14,
clique com o botão direito do mouse na CA raiz e clique em Properties.
204
3. Na guia Extensions da caixa de diálogo Root CA Properties, na lista de Select
Extension, clique em CRL Distribution Point (CDP), como mostrado na Figura 4-
15, e depois em Add.
4. Na caixa de diálogo Add Location, na caixa de texto Location, digite a URL do site
que contém a CRL. Por exemplo, digite http://lon-svr2.adatum.com/Cert/.
5. Na lista Variable, clique em , como mostrado na Figura 4-16, e depois em Insert.
A variável é anexada a URL na caixa de texto Location.
205
6. Na lista Variable, clique em e depois em Insert.
7. Na lista Variable, clique em e depois em Insert.
8. Na caixa Location, no final da URL, digite .crl, como mostrado na Figura 4-17, e
clique em OK.
206
14. Na caixa Location, clique no final da URL e, então, na lista Variable, clique em e
depois em Insert.
15. Na caixa Location, no final da URL, digite .crt, como mostrado na Figura 4-19, e
clique em OK.
16. Como mostrado na Figura 4-20, marque a caixa de seleção Include In The AIA
Extension Of Issued Certificates e clique em OK. Quando solicitado, reinicie o
serviço Certification Authority.
17. No console Certification Authority, expanda sua CA raiz, clique com o botão
direito do mouse em Revoked Certificates, aponte para All Tasks e clique em
Publish.
18. Na janela Publish CRL, mostrada na Figura 4-21, clique em OK. Isso cria a CRL e
as informações de AIA exigidas e as armazena no sistema de arquivos local.
207
19. Certifique-se de que o site que contém as informações de CDP e AIA esteja onli-
ne. Copie o conteúdo, mostrado na Figura 4-22, da pasta C:\Windows\System32\
CertSrv\CertEnroll de sua CA raiz para o site que contém os dados de CDP e AIA.
Por exemplo, copie para http://lon-svr2.adatum.com/Cert/.
208
6. Na caixa File name, digite uma localização que vai estar acessível para as CAs
subordinadas. Pode ser uma pasta compartilhada ou mesmo um cartão de
memória USB.
7. Na caixa File name, digite um nome significativo para o certificado exportado
(por exemplo, RootCA), clique em Save e depois em Next.
8. Clique em Finish e depois clique em OK três vezes.
209
conexões VPN (Virtual Private Network). Como talvez você queira implementar
diferentes políticas de emissão de certificados para cada uma dessas finalidades,
pode implantar CAs subordinadas, cada uma com certificados de finalidades
distintas. Então, poderia configurar uma separação administrativa com base na
finalidade do certificado.
• Por localização Se sua organização abrange várias localizações geográficas, você
poderia optar por implantar CAs subordinadas de acordo com essas localizações.
Cada subordinada atenderia às necessidades de certificado dos computadores
clien-tes e servidores dentro dessa região. Essa estratégia permitiria separar a
administração com base na região.
• Por divisões corporativas Suas políticas de certificado podem variar de acordo
com a divisão corporativo. Nesse caso, implante as CAs subordinadas de acordo
com as divisões ou departamentos de sua organização. Esse cenário permite
separar a administração com base no departamento.
• Para balanceamento de carga ou alta disponibilidade Implantar várias CAs
subordinadas ajuda a garantir a disponibilidade de serviços de certificado.
Permite também distribuir a carga de trabalho, para ajudar a garantir respostas
rápidas dos servidores de CA de sua infraestrutura.
Depois de implantar sua CA raiz e escolher o cenário apropriado, para implantar uma CA
subordinada, use o procedimento a seguir:
1. Instale o serviço de função Certification Authority.
2. Configure Active Directory Certificate Services no servidor de destino, como
descrito anteriormente, e na página Setup Type, clique em Enterprise CA e
depois em Next.
3. Na página CA Type, clique em Subordinate CA e depois em Next.
4. Complete a configuração usando a diretriz fornecida anteriormente, mas na
página Certificate Request, clique em Save A Certificate Request To File On The
Target Machine e depois em Next, como mostrado na Figura 4-26. Mais adiante,
neste procedimento, é preciso tornar esse arquivo disponível para a CA raiz.
210
Coloque-o em uma pasta compartilhada, acessível a partir da CA raiz, ou copie-
o em um cartão de memória.
211
10. No console Certification Authority, clique no contêiner Pending Requests, clique
com o botão direito do mouse em Pending Requests e, então, clique em Refresh.
Você deverá ver uma solicitação, que é o resultado da ação de abertura da
solicitação que acabou de executar. No painel de detalhes, clique com o botão
direito do mouse na solicitação (cuja identificação é 2), aponte para All Tasks e
clique em Issue.
11. Agora é preciso exportar a solicitação emitida e importá-la para sua CA
subordinada. No console Certification Authority, clique no contêiner Issued
Certificates.
12. No painel de detalhes, clique duas vezes no certificado, clique na guia Details e,
então, clique em Copy To File.
13. Na página Export File Format do Certificate Export Wizard, clique em
Cryptographic Message Syntax Standard – PKCS #7 Certificates (.P7B), marque a
caixa de seleção Include All Certificates In The Certification Path If Possible e
clique em Next.
14. Na página File To Export, insira um local que seja acessível a partir da CA
subordinada, digite um nome significativo para o arquivo e, então, clique em
Next e conclua o processo de exportação.
15. Alterne para a CA subordinada e, no Server Manager, clique em Tools e depois
em Certification Authority.
16. No console Certification Authority, clique com o botão direito do mouse no
servidor local, aponte para All Tasks e clique em Install CA Certificate.
17. Na caixa de diálogo Select File To Complete CA Installation, navegue até o local
do certificado que acabou de ser exportado no passo 13. Clique duas vezes no
arquivo PKCS #7 Certificates, como mostrado na Figura 4-29. Agora a CA pode
ser iniciada no servidor CA subordinado.
212
Após concluir a implantação de suas CAs subordinadas, pode desligar a CA raiz.
Publique a CA raiz no AD DS
Se você configurou suas subordinadas em um ambiente de AD DS, deve publicar o
certificado da CA raiz para todos os computadores clientes e servidores de seu domínio,
usando Group Policy. Use o seguinte procedimento para executar essa última tarefa:
1. Em um controlador de domínio, abra Group Policy Management.
2. No console Group Policy Management, abra Default Domain Policy para edição.
3. No nó Computer Configuration, navegue até Policies, Windows Settings, Security
Settings, Public Key Policies, Trusted Root Certification Authorities, como
mostrado na Figura 4-30.
213
8. Feche o Group Policy Management Editor e o console Group Policy
Management.
214
3. Na página Role Services, marque a caixa de seleção Online Responder e clique
em Next.
4. Clique em Configure e, quando solicitado, clique em Close.
Também é preciso emitir o modelo de certificado OCSP Response Signing. Para isso,
complete os passos a seguir:
1. No console Certification Authority, clique com o botão direito do mouse no nó
Certificate Templates.
2. Aponte para New e clique em New Certificate Template To Issue.
3. Na caixa de diálogo Enable Certificate Templates, localize OCSP Response Signing
Certificate e clique em OK.
Por fim, crie uma configuração de revogação para o respondente online:
1. No Server Manager, clique em Tools e em Online Responder Management.
2. No painel de navegação, clique com o botão direito do mouse no nó Revocation
Configuration e, então, clique em Add Revocation Configuration.
3. No Add Revocation Configuration Wizard, clique em Next.
4. Na página Name The Revocation Configuration, digite um nome para a
configuração e clique em Next.
5. Na página Select CA Certificate Location, clique na opção para a localização de
seu certificado de CA e depois em Next. Escolha entre:
• Select A Certificate For An Existing Enterprise CA (padrão)
• Select A Certificate From The Local Certificate Store
• Import Certificate From A File
6. Na página Choose CA Certificate, selecione o certificado que deseja usar e clique
em Next.
7. Na página Select Signing Certificate, mostrada na Figura 4-31, escolha uma das
opções a seguir e clique em Next:
• Automatically Select A Signing Certificate (padrão)
• Manually Select A Signing Certificate
• Use The CA Certificate For The Revocation Configuration
215
8. Na página Revocation Provider, clique em Provider e, na caixa de diálogo
Revocation Provider Properties, digite a localização das CRLs. Por exemplo,
clique em Add, digite http://lon-svr2.adatum.com/cert/Adatum-NYC-1-CA.crl e
clique em OK duas vezes.
9. Clique em Finish.
Para configurar as permissões exigidas para quaisquer grupos que criar, use o console
Certification Authority, como descrito no procedimento a seguir:
1. No console Certification Authority, clique com o botão direito do mouse em sua
CA e, então, clique em Properties.
2. Na caixa de diálogo CA Properties, clique na guia Security.
3. Adicione os grupos necessários e, então, na lista Permissions abaixo, configure
as permissões desejadas para cada grupo.
216
Os grupos exatos que você estabelece e as funções que atribui a eles variam,
dependendo de sua implantação de AD CS e do que deseja obter em termos de
separação administrativa. Por exemplo, considere o seguinte cenário.
Você implantou uma CA raiz autônoma que é membro de um domínio de AD DS e duas
CAs corporativas subordinadas, uma das quais emite certificados de usuário, enquanto
a outra emite certificados de computador. Você quer que um grupo tenha permissões
de administração da CA e gerenciamento de certificados em todas as CAs de sua
organização, e que o outro grupo tenha permissões de administração da CA e
gerenciamento de certificados somente nas duas CAs subordinadas.
Para configurar a administração baseada em função a fim de suportar esse cenário,
execute os passos a seguir:
1. Usando Active Directory Users And Computers, crie os seguintes grupos de
segurança no AD DS:
• Enterprise CA Admins
• Subordinate CA Admins
• User Cert Managers
• Computer Cert Managers
2. Em todas as CAs, atribua ao grupo Enterprise CA Admins as permissões Manage
CA e Issue and Manage Certificates, como descrito anteriormente.
3. Nas duas CAs subordinadas, atribua ao grupo Subordinate CA Admins as
permissões Manage CA e Issue and Manage Certificates.
4. Na CA subordinada para certificados de usuário, atribua ao grupo User Cert
Managers a permissão Issue And Manage Certificates, como mostrado na Figura
4-32.
217
B. Clique em Add e, na caixa de diálogo Enabled Certificate Templates, selecione o
certificado de usuário e clique em OK.
C. Na lista de Certificate Templates, clique em All e em Remove.
D. Clique em OK.
Fazendo backup da CA
Para fazer backup de sua CA com o console Certification Authority, use o procedimento
a seguir:
1. No painel de navegação, clique com o botão direito do mouse na CA, aponte para
All Tasks e clique em Back Up CA, como mostrado na Figura 4-34.
218
2. No Certification Authority Backup Wizard, clique em Next e, então, na página
Items To Back Up, mostrada na Figura 4-35, marque as caixas de seleção Private
Key And CA Certificate e Certificate Database And Certificate Database Log.
3. Caso já tenha feito backups, pode escolher a opção Perform Incremental Backup.
4. Defina um local para seu backup ser armazenado e clique em Next.
5. Na página Select A Password, digite uma senha para proteger a segurança de
seus arquivos de backup e clique em Next.
6. Clique em Finish. Para fazer backup de sua CA a partir da linha de comando, use
o seguinte comando:
Certutil -Backup c:\Backup
Para fazer backup de sua CA com o Windows PowerShell, use o cmdlet Backup-
CARoleService.
Restaurando sua CA
Para restaurar sua CA com o console Certification Authority, use o procedimento a
seguir:
1. No painel de navegação, clique com o botão direito do mouse na CA, aponte para
All Tasks e clique em Restore CA.
219
2. Quando solicitado, clique em OK para interromper os serviços de AD CS em
execução em seu servidor.
3. No Certification Authority Restore Wizard, clique em Next e, então, na página
Items To Restore, marque as caixas de seleção Private Key And CA Certificate e
Certificate Database And Certificate Database Log.
4. Especifique o local de seus arquivos de backup e clique em Next.
5. Digite a senha usada para proteger os arquivos de backup e clique em Next.
6. Clique em Finish para concluir o procedimento.
Para restaurar sua CA a partir da linha de comando, use o seguinte comando:
Certutil -Restore c:\Backup
Para restaurar sua CA com o Windows PowerShell, use o cmdlet Restore-CARole-Service.
Versões de modelo
O Windows Server 2016 suporta quatro diferentes versões de modelo. Essas versões
têm recursos e características distintas, como descrito a seguir:
220
Gerenciando a segurança de modelos
A segurança do modelo pode ser usada para determinar quais usuários têm qual nível
de acesso aos modelos. O acesso é definido na guia Security da caixa de diálogo
Template Properties e inclui as seguintes permissões:
221
• O processo de registro e os requisitos
222
5. Clique na guia Security. Adicione os grupos que precisam de permissões no
modelo e configure as permissões exigidas. Por exemplo, para permitir que
todos os usuários registrem certificados de forma normal e automática para esse
modelo, clique em Authenticated Users e, então, na seção Permissions For
Authenticated Users, habilite as caixas de seleção Allow para Enroll e Autoenroll,
como mostrado na Figura 4-39.
223
7. Na guia Extensions, mostrada na Figura 4-41, se quiser modificar a finalidade (ou
finalidades) pretendida para o modelo, clique em Application Policies na lista
Extensions Included In This Template e, então, clique em Edit.
224
9. Selecione quaisquer finalidades adicionais na lista de Application Policies. Clique
em OK duas vezes.
10. Na caixa de diálogo Properties Of New Template, clique em OK.
Para tornar o modelo disponível, troque para o console Certification Authority e use o
procedimento a seguir:
1. Clique com o botão direito do mouse no nó Certificate.
2. Aponte para New e clique em New Certificate Template To Issue.
3. Na caixa de diálogo Enable Certificate Templates, localize o modelo que você
criou e clique em OK.
Modificar ou substituir?
Para modificar um modelo, duplique um já existente que mais corresponda aos seus
requisitos e, então, modifique a(s) finalidade(s) pretendida(s) ou outras propriedades da
sua cópia, conforme descrito anteriormente. Certifique-se de dar à cópia um nome
significativo que melhor descreva sua(s) finalidade(s).
Ao atualizar um modelo de certificado é possível modificar o modelo original ou
substituir modelos existentes.
225
Implemente e gerencie implantação, validação e revogação de certificados
Depois de planejar e criar seus modelos de certificado, você pode iniciar o processo de
implantação e gerenciamento de certificados para dar suporte às necessidades de
segurança de sua organização. Parte desse processo é considerar a melhor forma de
tornar os certificados disponíveis para seus usuários (e seus computadores).
Quando um usuário ou computador obtém um certificado, isso é referido como registro.
Existem vários métodos de registro de certificado:
226
certificados. O registro automático permite que os usuários (e computadores)
obtenham e renovem certificados sem precisarem intervir.
Considere a implementação de registro baseada em Group Policy nas situações em que
todos os usuários e computadores exigem o mesmo certificado (ou certificados), por
exemplo, para fornecer autenticação de usuário ou computador.
Para permitir o registro automático é preciso registrar-se em sua CA corporativa como
membro do grupo global de segurança Domain Admins ou do grupo universal de
segurança Enterprise Admins. Quaisquer certificados que se queira registrar
automaticamente devem ser baseados em um modelo de certificado ao qual foi
atribuída a permissão Autoenroll. Por fim, é preciso configurar os ajustes de GPO (Group
Policy Object) necessários para permitir o registro automático.
Para este último passo, use o seguinte procedimento:
1. Em um controlador de domínio, efetue logon como membro de Domain Admins.
2. No Server Manager, clique em Tools e em Group Policy Management.
3. Localize a Default Domain Policy e abra-a para edição.
4. Na caixa de diálogo Group Policy Management Editor, navegue até Computer
Configuration, Policies, Windows Settings, Security Settings, Public Key Policies,
como mostrado na Figura 4-43.
227
Também é possível configurar a política de registro de certificado no mesmo nó da GPO.
Para executar essa tarefa, no Group Policy Management Editor:
1. No painel de detalhes, clique duas vezes no valor Certificate Services Client –
Certificate Enrollment Policy.
2. Na caixa de diálogo Certificate Services Client – Certificate Enrollment Policy, na
lista Configuration Model, clique em Enabled, como mostrado na Figura 4-45.
228
5. Clique em OK e feche o Group Policy Management Editor.
Revogação de certificados
A revogação de certificados permite indicar que um certificado não é mais válido.
Quando um certificado é revogado, a informação sobre a revogação é armazenada na
CRL. Os computadores clientes e servidores podem acessar a CRL publicada diretamente
ou por meio de um respondente online, como discutido anteriormente neste capítulo.
Razões típicas para revogar um certificado incluem:
229
As chaves podem ser comprometidas nas seguintes situações:
230
1. Execute mmc.exe, adicione o console Certificates e coloque o foco em Current
User.
2. Clique com o botão direito do mouse na pasta Personal e aponte para All Tasks.
3. Clique em Request New Certificate.
4. No Certificate Enrollment Wizard, na página Select Certificate Enrollment Policy,
clique em Active Directory Enrollment Policy e depois em Next.
5. Na página Request Certificates, mostrada na Figura 4-49, marque a caixa de
seleção Key Recovery Agent e clique em Enroll.
6. Feche o console.
Por fim, é preciso configurar a CA para permitir a recuperação de chaves:
1. No console Certification Authority, clique com o botão direito do mouse em sua
CA no painel de navegação e, então, clique em Properties.
2. Clique na guia Recovery Agents, mostrada na Figura 4-50.
3. Marque a caixa de seleção Archive The Key e clique em Add.
4. Na caixa de diálogo pop-up Windows Security, clique em OK para selecionar o
certificado Key Recovery Agent.
231
Habilitando e configurando arquivamento de chaves
Depois de habilitar o agente de recuperação de chave é preciso modificar os modelos
dos certificados para os quais se deseja habilitar o arquivamento de chaves. Use o
seguinte procedimento para completar esse processo:
1. No console Certificate Templates, clique com o botão direito do mouse em
qualquer modelo de certificado que você queira habilitar para arquivamento de
chaves e, então, clique em Duplicate Template.
2. Configure os ajustes gerais do modelo, incluindo, na guia General, o nome do
modelo.
3. Na guia Superseded Templates, clique em Add para selecionar os modelos que
esse modelo substitui.
4. Na guia Request Handling, mostrada na Figura 4-51, marque a caixa de seleção
Archive Subject’s Encryption Private Key.
5. Clique em OK.
6. Troque para o console Certification Authority.
7. Clique com o botão direito do mouse em Certificate Templates, aponte para New
e clique em Certificate Template To Issue.
8. Na caixa de diálogo Enable Certificate Templates, selecione o modelo que você
acabou de duplicar e configurar e clique em OK.
232
70-742 Identidade com Windows
Server 2016
Capítulo 5:
Implementação de Identity
Federation e soluções de acesso
233
Objetivo 5.1: Instalar e configurar AD FS
A implantação de AD FS permite que seus usuários utilizem SSO (single sign-on) para
autenticação em aplicativos e serviços localizados no Azure, em sua infraestrutura de
rede local ou na rede de uma organização parceira, dependendo da configuração.
O AD FS é baseado nas relações de confiança estabelecidas entre as organizações para
permitir o compartilhamento de recursos. Essas relações são conhecidas como
confianças federadas. É possível estabelecer confianças federadas nos limites da floresta
do Active Directory Domain Services (AD DS) e entre organizações, com base em
requisitos comerciais.
Assim como as relações de confiança de AD DS, em cada organização o administrador
define quais recursos podem ser acessados por meio da confiança e quem tem acesso a
eles.
Por exemplo, talvez uma equipe de teatro queira ver as vendas de ingressos para uma
apresentação, vendas essas feitas por uma organização externa. O administrador de
rede do teatro deve agrupar todas as contas de usuário que precisam acessar essa
informação. O administrador de rede da empresa que vende os ingressos deve garantir
ao grupo o acesso necessário ao banco de dados de vendas de ingressos, por meio da
relação de confiança. Contudo, administrador de rede da empresa que vende os
ingressos deve garantir que apenas o pessoal ligado à comercialização de bilhetes da
organização remota possa acessar os dados de vendas da peça e somente esses dados.
Ao se estabelecer uma confiança federada, é importante que cada parte da relação de
confiança saiba como as identidades de usuário devem ser usadas e, especificamente,
qual tipo de credencial é exigido e como essa informação é armazenada e usada.
Também é necessário que cada organização defina uma política que possa ajudar a
garantir a privacidade dos dados que não devem estar disponíveis através da relação de
confiança.
Examine os requisitos do AD FS
O Windows Server 2016 fornece a função de servidor Active Directory Federation
Service para facilitar o estabelecimento de uma federação. Essa função de servidor
fornece os seguintes componentes:
234
autenticação através da relação de confiança. A declaração pode conter um ou
mais atributos do objeto como, por exemplo, o nome ou departamento do
usuário.
• Regras de Declarações A parte confiante (ou terceira parte confiável) usa regras
de declaração para determinar como vai processar as declarações. Por exemplo,
uma regra de declaração pode afirmar que o nome principal do usuário (UPN) de
um usuário é uma declaração válida.
• Provedores de Declarações A parte confiável contém o componente provedor
de declarações. Esse componente é responsável por gerenciar a autenticação de
usuários e emitir as declarações apresentadas por eles.
• Relação de Confiança do Provedor de Declarações Fornece as regras que
definem quando um cliente pode solicitar declarações de um provedor de
declarações, as quais o cliente envia para uma parte confiante.
• Repositório de Atributos Um repositório de atributos, como o AD DS, contém
valores das declarações. Resumindo, um serviço de diretório que contém objetos
usuário com propriedades apropriadas, como UPNs ou endereços de e-mail. AD
DS é uma escolha comum em implantações de AD FS, pois qualquer servidor do
AD FS deve ser membro de um domínio e, portanto, o AD DS é facilmente
acessível como repositório de atributos.
• Terceiras Partes Confiáveis A terceira parte confiável fica na extremidade que
contém o recurso da confiança federada. É fornecida por um serviço web que
tem Windows Identity Foundation (WIF) instalado. As terceiras partes confiáveis
podem usar o agente habilitado para declarações do AD FS 1.0 como alternativa
ao WIF.
• Relação de Confiança da Terceira Parte Confiável Consiste em regras e
identificadores e é usada para fornecer declarações para a terceira parte
confiável.
• Certificados Amplamente usados em toda a arquitetura do AD FS para oferecer
segurança. O servidor do AD FS pode usar:
• Certificados auto assinados
• Certificados de uma Autoridade de Certificação (CA) interna
• Certificado de uma CA externa
É importante que, independentemente do tipo de certificado usado, todas as partes que
se comunicam confiem nos certificados. Consequentemente, ao implementar uma
confiança federada entre duas organizações separadas, é muito provável que você
precise implementar uma infraestrutura de chave pública (PKI) para sua arquitetura do
AD FS, baseada em certificados públicos.
Para ajudar a entender o que cada componente faz, considere o cenário a seguir. Duas
organizações, A Datum e Contoso, querem compartilhar recursos. Especificamente, a
Contoso hospeda um aplicativo baseado na web, o qual os usuários da A Datum
precisam acessar. O departamento de TI implanta o AD FS e os componentes
relacionados para facilitar esse requisito. Nesse cenário, a Contoso é a entidade de
235
hospeda o recurso e a A Datum é a entidade que hospeda a conta. Em termos de
federação, a A Datum é o Provedor de Declarações e a Contoso é a Terceira Parte
Confiável. Como mostrado na Figura 5-1, quando um usuário da A Datum tenta acessar
o aplicativo baseado na web da Contoso, ocorre o seguinte processo de alto nível:
1. O usuário da A Datum utiliza o Internet Explorer para abrir uma conexão com o
servidor web da Contoso. O aplicativo baseado na web verifica que o usuário não
está autenticado e redireciona o cliente para o servidor de federação da Contoso.
2. O computador cliente envia um pedido para o servidor de federação da Contoso.
O servidor de federação verifica que a A Datum é o território de origem do
usuário. Então o servidor web redireciona o cliente para o servidor de federação
da A Datum.
3. O cliente envia uma solicitação para o servidor de federação da A Datum.
4. O controlador de domínio do AD DS da A Datum autentica o usuário e comunica
isso ao servidor de federação da A Datum.
5. O servidor de federação da A Datum cria uma declaração para o usuário, com
base nas regras definidas para o parceiro de federação (Contoso). O servidor de
federação envia as declarações para o computador cliente.
6. O cliente envia a declaração para o servidor de federação da Contoso.
7. O servidor de federação da Contoso valida a relação de confiança no token, cria
e assina um novo token, o qual envia para o computador cliente.
8. O computador cliente envia o novo token para o servidor web original.
9. O aplicativo no servidor web valida o token e dá acesso ao aplicativo com base
nas declarações presentes no token.
Requisitos do AD FS
Para a implantação de AD FS como parte da solução de federação, a infraestrutura de
rede deve satisfazer vários requisitos. São eles:
236
• Resolução de Nomes A resolução de nomes é fornecida pelo DNS (Domain Name
System). Os computadores clientes internos devem ser capazes de resolver o
nome DNS para o servidor (ou farm) de federação. Os computadores clientes
externos devem ser capazes de resolver o nome do proxy da federação em sua
rede de perímetro.
• Rede Os computadores clientes devem ser capazes de estabelecer conexões de
rede com o servidor de federação ou com o proxy da federação. Os servidores
de federação devem ser capazes de estabelecer conexões de rede com
controladores de domínio. O proxy da federação também deve ser capaz de
estabelecer conexões com o servidor de federação.
237
1. No Server Manager, clique no ícone de notificações e, então, em Configure The
Federation Service On This Server.
2. Na página Welcome, clique em uma das opções a seguir e em Next:
• Create The First Federation Server In A Federation Server Farm
• Add A Federation Server To A Federation Server Farm
3. Na página Connect To Active Directory Domain Services, digite as credenciais
necessárias para executar a configuração. Normalmente, é um membro do grupo
Domain Admins. Clique em Next.
4. Na página Specify Service Properties, mostrada na Figura 5-3, selecione a opção
de SSL Certificate apropriada, verifique o Federation Service Name e digite o
Federation Service Display Name. Clique em Next.
238
Também é possível usar o cmdlet Install-ADFSFarm do Windows PowerShell para
configurar e gerenciar sua implantação de AD FS. Por exemplo, para implantar o
primeiro servidor em um farm do AD FS na organização Adatum.com, use o seguinte
comando:
Install-AdfsFarm -CertificateThumbprint
8d4ece8e4397923563868d3f61b944103573a248 -FederationServiceName
adfs.adatum.com -GroupServiceAccountIdentifier ADATUM\ADFS-SA
Você pode obter o valor da impressão digital (thumbprint value) do certificado vendo as
propriedades do certificado apropriado e copiando o valor no buffer de transferência.
Depois de implantar o servidor do AD FS, é possível configurá-lo para executar uma ou
as duas funções a seguir:
• Provedor de declarações
• Terceira parte confiável
Em cenários de business-to-business (relações de empresa para empresa), em que uma
organização contém as contas de usuários e a outra contém os recursos, configure o AD
FS para executar a função de provedor de declarações na organização que contém as
contas e a função de terceira parte confiável na organização que contém os recursos.
Mas também é possível implementar o AD FS dentro de uma única organização. Nesse
cená-rio, os usuários e os recursos estão na mesma empresa e, consequentemente, um
único servidor de AD FS pode atuar como provedor de declarações e terceira parte
confiável. Na próxima seção, vemos como configurar os componentes Provedor de
declarações e Terceira parte confiável no AD FS.
239
5. Na página Select Rule Template do Add Transform Claim Rule Wizard, mostrada
na Figura 5-6, na lista de Claim Rule Template, selecione uma das seguintes
opções:
• Send LDAP Attributes As Claims Use esse modelo para selecionar um ou mais
atributos LDAP (Lightweight Directory Access Protocol) de um repositório de
LDAP, por exemplo AD DS ou Active Directory Lightweight Directory Service (AD
LDS). A regra extrai um ou mais valores especificados do repositório designado e
os envia como uma ou mais declarações.
• Send Group Membership As A Claim Use esse modelo para enviar como
declaração a participação como membro (associação) de um grupo de segurança
do AD DS.
• Transform An Incoming Claim Use esse modelo para criar uma regra que
transforme as declarações recebidas, alterando os tipos das regras e,
opcionalmente, os valores.
• Pass through Or Filter An Incoming Claim Use esse modelo para filtrar as
declarações recebidas e deixar passar as que satisfazem os critérios
especificados. Por exemplo, você poderia criar uma regra que deixasse passar
apenas as declarações baseadas em UPN que terminassem com o sufixo
@Adatum.
• Send Claims Using A Custom Rule Use esse modelo se nenhum dos anteriores
atende suas necessidades específicas.
6. Por exemplo, clique em Send LDAP Attributes as Claims e depois em Next.
240
7. Na página Configure Rule, mostrada na Figura 5-6, digite um nome para a
declaração na caixa Claim Rule Name. Por exemplo, digite Outbound LDAP Rule.
8. Na lista de Attribute store, clique em Active Directory.
9. Sob o cabeçalho Mapping Of LDAP Attributes To Outgoing Claim Types, selecione
os valores apropriados para LDAP Attribute e para Outgoing Claim Type. Por
exemplo, selecione o seguinte, como mostrado na Figura 5-7.
• E-Mail-Addresses mapeado para E-Mail Address
• User-Principal-Name mapeado para UPN
10. Clique em Finish e depois em OK.
241
Name Or URL), digite o caminho para o aplicativo que contém os metadados da
terceira parte confiável e clique em Next.
6. Na página Specify Display Name, na caixa Display Name, digite um nome para
sua relação de confiança e clique em Next.
7. Na página Choose Access Control Policy, escolha a política de controle de acesso
apropriada. Selecione entre:
• Permit Everyone
• Permit Everyone And Require MFA
• Permit Everyone And Require MFA For Specific Group
• Permit Everyone And Require MFA From Extranet Access
• Permit Everyone And Require MFA From Unauthenticated Devices
• Permit Everyone And Require MFA, Allow Automatic Device Registration
• Permit Everyone For Intranet Access
• Permit Specific Group
8. Por exemplo, clique em Permit Everyone e depois em Next.
9. Para concluir a configuração, na página Ready To Add Trust, clique em Next e,
quando solicitado, clique em Close.
Depois de criar a confiança de terceira parte confiável, deve-se configurar as regras da
política de emissão:
1. Na lista de Relying Party Trusts, clique com o botão direito do mouse na relação
de confiança apropriada e selecione Edit Claim Issuance Policy.
2. Na guia Issuance Transform Rules, clique em Add Rule.
3. Na caixa de diálogo Claim Rule Template, na lista de Claim Rule Template,
selecione o modelo apropriado. Escolha entre:
• Send LDAP Attributes As Claims
• Send Group Membership As A Claim
• Transform An Incoming Claim
• Pass Through Or Filter An Incoming Claim
• Send Claims Using A Custom Rule
4. Por exemplo, clique em Pass Through Or Filter An Incoming Claim e depois em
Next.
242
5. Na página Configure Rule, na caixa Claim Rule Name, digite o nome de sua regra
e, na lista de Incoming Claim Type, selecione o atributo desejado. Por exemplo,
clique em Windows Account Name, como mostrado na Figura 5-9.
243
• Globalmente É criada uma política de autenticação com escopo global, que se
aplica a todos os serviços e aplicativos que têm sua segurança garantida pelo AD
FS. A política de autenticação global é usada quando não existe nenhuma para
uma confiança de terceira parte confiável específica.
• Especificamente É criada uma política de autenticação para um serviço ou
aplicativo específico que tem sua segurança garantida pelo AD FS, por meio da
criação de uma política por confiança de terceira parte confiável. Se é criada uma
política de autenticação por confiança de terceira parte confiável, isso não anula
nenhuma política de autenticação global que tenha sido criada.
Para configurar uma política de autenticação global, use o procedimento a seguir:
1. No console AD FS, expanda o nó Service no painel de navegação.
2. Clique em Authentication Methods.
3. Como mostrado na Figura 5-11, sob o cabeçalho Primary Authentication
Methods, clique em Edit.
244
Configure MFA
A autenticação de computador tradicional é baseada na troca de nomes de usuário e
senha com uma autoridade de autenticação. Embora a autenticação baseada em senhas
seja aceitável em muitas circunstâncias, o AD FS do Windows Server 2016 oferece vários
métodos mais seguros para os usuários se autenticarem em seus dispositivos, incluindo
MFA.
A MFA tem como base o princípio de que os usuários que desejam autenticar devem ter
dois (ou mais) itens para se identificar. Especificamente, devem ter conhecimento de
algo, devem ter a posse de algo e devem ser algo. Por exemplo, um usuário poderia
saber a senha, possuir um token de segurança (em forma de certificado digital) e ser
capaz de provar quem é com biometria, como impressões digitais.
No AD FS do Windows Server 2016, para habilitar a MFA é preciso selecionar pelo menos
um método de autenticação adicional. Por padrão, estão disponíveis Certificate
Authentication e Azure MFA. Para habilitar e configurar MFA no AD FS, use o
procedimento a seguir:
1. No console AD FS, expanda o nó Service no painel de navegação.
2. Clique em Authentication Methods.
3. Na caixa de diálogo Edit Authentication Methods, na guia Multi-factor, mostrada
na Figura 5-13, configure os métodos de autenticação apropriados e clique em
OK. Selecione entre:
• Certificate Authentication
• Azure AD
245
Implemente e configure registro de dispositivo
Atualmente, muitos usuários querem acessar recursos corporativos a partir de seus
próprios dispositivos. No entanto, permitir que usuários conectem seus próprios
dispositivos na rede de sua organização apresenta riscos de segurança em potencial e
certamente envolve mais trabalho administrativo.
Usando registro de dispositivo com o AD FS é possível estender alguns dos recursos
disponíveis para dispositivos membros do domínio, a dispositivos que não ingressaram
nele. Essa facilidade pode ser fornecida, mantendo-se a segurança de sua organização.
Por exemplo, quando o registro de dispositivo é implementado, os usuários que estejam
utilizando seus próprios dispositivos podem fazer uso de SSO para acessar recursos e
aplicativos da empresa.
Para permitir registro local de dispositivo, configure o AD FS Device Registration Service.
Para completar essa tarefa, use o procedimento a seguir:
1. No console do AD FS, expanda o nó Service e clique em Device Registration.
2. No painel de detalhes, clique em Configure Device Registration e em OK.
Também é possível completar essa tarefa usando o cmdlet Initialize-ADDevice-
Registration do Windows PowerShell.
246
Para integrar o AD FS com Microsoft Passport, complete o processo descrito ante-
riormente, a fim de permitir registro de dispositivos, e então use o procedimento a
seguir para concluir a integração com Microsoft Passport:
1. Abra o console Group Policy Management.
2. Crie uma GPO e abra-a para edição.
3. No Group Policy Management Editor, navegue até Computer Configuration,
Policies, Administrative Templates, Windows Components, Device Registration.
4. No painel de detalhes, clique duas vezes em Register Domain Joined Computers
As Devices.
5. Na caixa de diálogo Register Domain Joined Computers As Devices, mostrada na
Figura 5-14, clique em Enabled e depois em OK.
247
2. Estabeleça uma relação de confiança entre o AD FS e o Azure AD, usando o
cmdlet NewMsolFederatedDomain no Windows PowerShell.
3. Configure o sincronismo de diretório com Azure AD, baixando e instalando o
Azure AD Connect para permitir o sincronismo de seu domínio de AD DS com o
Microsoft Azure.
4. Por fim, verifique se o SSO foi configurado corretamente:
• Em um computador membro do domínio, efetue logon no serviço de nuvem da
Microsoft apropriado. Use suas credenciais de domínio. Quando clicar dentro da
caixa de senha, se single sign-on estiver configurado, a caixa de senha ficará
sombreada e você verá a seguinte mensagem:
“You are now required to sign in at <sua empresa>.”
248
hospedado. Nesse exemplo, o host local está executando a função de servidor
AD LDS e ela está disponível na porta 56000.
Depois de criar o repositório de atributos, cria-se uma relação de confiança de provedor
de declarações. Ao definir as regras de declaração para a confiança, você seleciona o
repositório de atributos recentemente criado.
249
5. No Windows PowerShell, execute o cmdlet InvokeAdfsFarmBehaviorLevelRaise
para ativar o FBL no Windows Server 2016.
6. Quando estiver pronto, pode desativar os servidores do AD FS do Windows
Server 2012 R2.
250
1. Na página Welcome do Web Application Proxy Configuration Wizard, clique em
Next.
2. Na página Federation Server, na caixa Federation Service Name, digite o FQDN
do nome do serviço de federação. Esse nome foi definido quando você
configurou o AD FS. Por exemplo, como mostrado na Figura 5-17, digite
adfs.Adatum.com.
3. Digite um nome de usuário e uma senha para conectar com os servidores de
federação e, então, clique em Next.
251
Quando AD FS é usado com o Web Application Proxy, é possível optar por habilitar
autenticação pass-through (autenticação de passagem) para aplicativos web ou usar
pré-autenticação do AD FS para seus aplicativos com reconhecimento de declarações.
Configure requisitos de AD FS
Quando um usuário tenta conectar o AD FS de fora da rede corporativa, DNS é usado
para resolver o nome do computador que está executando a função AD FS na rede
interna. Contudo, o computador ao qual os usuários remotos se conectam realmente é
o Web Application Proxy, em vez do próprio servidor do AD FS.
Portanto, um requisito importante é garantir que o Web Application Proxy seja instalado
com um certificado adequado. O certificado deve conter o nome do requerente correto,
o qual deve corresponder ao nome DNS do servidor do AD FS, por exemplo, adfs.
adatum.com.
Para garantir que isso aconteça, no servidor do AD FS, exporte o certificado utilizado
para configurar o serviço AD FS. Isso é abordado no Objetivo 5.1: Instalar e configurar
AD FS, na seção Configure a função de servidor AD FS. Certifique-se de exportar a chave
privada. No Web Application Proxy, importe o certificado e guarde-o no repositório de
certificados pessoais do computador.
252
5. Na página Supported Clients, escolha o método de pré-autenticação, como
mostrado na Figura 5-20, e clique em Next. Escolha entre:
• Web And MSOFBA Usado por aplicativo Microsoft Office
• HTTP Basic Usado por clientes Exchange ActiveSync
• OAuth2 Suportado pelo aplicativo Windows Store
253
7. Na página Publishing Settings, mostrada na Figura 5-22, na caixa Name, digite o
nome do aplicativo a ser publicado.
8. Na caixa External URL, digite a URL externa e, então, na lista de External
Certificate, selecione o certificado cujo nome do requerente corresponde à URL
especificada. A URL do servidor de backend deve corresponder à URL externa.
254
4. Na página Publishing Settings, configure Name, External URL, External Certificate
e Backend Server URL.
5. Opcionalmente, marque a caixa de seleção Enable HTTP To HTTPS Redirection,
clique em Next e, então, em Publish.
255
2. Troque para o Web Application Proxy e, no Remote Access Management
Console, sob Configuration, clique em Web Application Proxy.
3. Na lista Tasks, clique em Publish.
4. Na página Welcome do Publish New Application Wizard, clique em Next.
5. Na página Preauthentication, clique em Active Directory Federation Services (AD
FS) e depois em Next.
6. Na página Supported Clients, escolha o método de pré-autenticação e clique em
Next.
7. Na página Relying Party, selecione a confiança de terceira parte confiável que
você acabou de criar, como mostrado na Figura 5-26, e clique em Next.
256
Cenários típicos para usar AD RMS para tornar dados seguros incluem os seguintes:
• Evitar propagação Você não quer que informações sigilosas sejam enviadas por
e-mail.
• Restringir ações Você quer restringir os usuários a verem um documento, mas
não o editar nem o imprimir.
• Proteger dados Você quer proteger dados em dispositivos de armazenamento
removíveis. Se um dispositivo de armazenamento contendo dados sigilosos é
perdido, você quer garantir que os dados não podem ser acessados por pessoas
não autorizadas.
Componentes
Antes de implementar o AD RMS para ajudar a proteger os dados de sua organização, é
preciso saber implementar e configurar a arquitetura do AD RMS e saber como ela
funciona. O AD RMS consiste nos seguintes componentes:
257
• Licenças de Publicação Determina os direitos aplicados a conteúdo protegido.
• Licença de Usuário Final Permite que um usuário acesse conteúdo protegido.
258
4. Na página Configuration Database, especifique o uso de um Windows Internal
Database no servidor local, como mostrado na Figura 5-29, ou insira os detalhes
para conectar a uma instância de banco de dados SQL Server. Clique em Next.
259
6. Na página Cryptographic Mode, mostrada na Figura 5-31, selecione o modo
criptográfico e clique em Next. Recomenda-se Cryptographic Mode 2.
8. Na página Cluster Key Password, digite uma senha e confirme. Clique em Next.
Essa senha é usada para criptografar a chave de cluster. Para adicionar servidores
ao cluster é preciso especificá-la.
9. Na página Cluster Web Site, selecione o site apropriado no servidor local para
armazenar componentes do AD RMS. Default Web Site é usado por padrão,
como mostrado na Figura 5-33. Clique em Next.
260
10. Na página Cluster Address, mostrada na Figura 5-34, digite a URL do servidor do
cluster. Depois de configurado o servidor de AD RMS, essa informação não pode
ser alterada. Clique em Next. O FQDN digitado precisa ser resolvido no DNS.
Além disso, se você usar SSL, o que é recomendado, precisará de um certificado
com o nome do requerente (subject name) apropriado.
261
13. Na página SCP Registration, mostrada na Figura 5-37, clique em Register The SCP
Now e depois em Next.
262
modelo. Pelo menos um deve ser especificado, como mostrado na Figura 5-38.
Clique em Next.
4. Na página Add User Rights, mostrada na Figura 5-39, clique em Add para
selecionar os usuários ou grupos apropriados. Você pode usar o curinga Anyone.
Caso contrário, é preciso especificar usuários ou grupos usando seu endereço de
e-mail. Então, na lista Rights, selecione os direitos apropriados e clique em Next.
263
6. Na página Specify Extended Policy é possível definir as seguintes extensões,
como mostrado na Figura 5-41:
• Enable Users To View Protected Content Using A Browser Add-On
• Require A New Use License Every Time Content Is Consumed
264
Para criar e gerenciar políticas de exclusão, use o console Active Directory Rights
Management Services. Por exemplo, para bloquear o Microsoft Word, use o seguinte
procedimento:
1. No painel de navegação, clique no nó Exclusion Policies, como mostrado na
Figura 5-43.
• Chave privada e certificados O modo mais simples de proteger sua chave privada
de AD RMS e os certificados relacionados é exportar os certificados, com a chave
privada, para um local offline.
• O banco de dados do AD RMS O método empregado depende de o AD RMS estar
configurado para usar Windows Internal Database ou uma instância de banco de
dados SQL Server. Um backup completo do sistema inclui o Windows Internal
Database. Isso não acontecerá necessariamente se for usado o SQL Server, pois
o banco de dados poderá estar localizado em outro lugar. Use métodos
adequados para fazer o backup do banco de dados SQL.
• Modelos configurados Para fazer backup dos modelos, exporte-os para uma
pasta compartilhada e, então, faça o backup deles como arquivos.
265