Certificacao MS 70-640

Active directory

O que so domnios ?
Os domnios, principais unidades funcionais da estrutura lgica do Active Directory. Os domnios tm trs principais funes: 1. Fornecer um limite administrativo para objetos 2. Permitir um gerenciamento seguro aos recursos 3. Proporcionar uma unidade de replicao para objetos

Objetos do domnio.
Usurios Grupos Computadores Impressoras Pastas Compartilhadas Unidades Organizacionais

Banco de dados do Active Directory

No banco de dados do AD ficam armazenados objetos do domnio. O computador que possui o banco de dados do Active Directory o Controlador de Domnio. O nome do banco de dados do Active Directory NTDS.DIT e ficam armazenado por padro na pasta %SYSTEMROOT%\NTDS

Arquivos do banco de dados do AD

NTDS.DIT Arquivo de banco de dados fsico que guarda o contedo do Active Directory. EDB.CHK Arquivo de ponto de verificao que rastreia at onde as transaes no arquivo de log foram confirmadas. EDB.LOG Arquivo de log primrio TMP.EDB Banco de dados temporrio para as transaes.

Servios de Diretrio
Active Directory Certificate Services (AD CS) Active Directory Domain Services (ADDS) Active Directory Federation Services (ADFS) Active Directory Lightweight Directory Services (ADLDS) Active Directory Rights Management Services (ADRMS)

Active Directory Certificate Services (AD CS)

oferece soluo para emisso e administrao de certificados usados em sistemas de segurana que utilizam a tecnologia de chave pblicas e privadas.

Active Directory Domain Services (ADDS)

O AD DS permite um gerenciamento centralizado e seguro de toda uma rede. Armazena as informaes sobre objetos na rede e gerencia a comunicao entre os usurios e os domnios, incluindo processos de logon do usurio, autenticao e pesquisas de diretrio. O Active Directory Domain Services era anteriormente chamado de Active Directory

Active Directory Rights Management Services

(ADRMS) permite proteger e controlar o acesso a informaes confidenciais como em documentos e e-mails.

Active Directory Federation Services (ADFS)

permite estabelecer confiana entre diferentes entidades organizacionais dando aos usurios finais um logon nico (SSO) entre empresas Active Directory Lightweight Directory Services (ADLDS) um servio de diretrio LDAP. O ADLDS era anteriormente chamado de Active Directory Application Mode (ADAM)

Instalao do ADDS
Para instalar o Active Directory Directory Services (ADDS) voc deve ser membro do grupo Administradores do servidor que ir instalar o ADDS. O Active Directory pode ser instalado de 3 maneiras: 1 - Administrative Tools > ServerManager > Roles > Add Roles > Selecione o Active Directory Domain Services.(em seguida execute o comando DCPROMO) 2 - Atravs do comando Servermanagercmd.exe I ADDS-Domain-Controller. (em seguida execute o comando DCPROMO). 3 - Atravs do comando: DCPROMO. (uma nica vez)

A estrutura lgica do Active Directory

rvore de domnios. Os domnios so agrupados em estruturas hierrquicas so chamados rvores de domnios. Floresta. Uma floresta uma instncia completa do Active Directory Domain Services, que consiste em uma ou mais rvores.

Nveis funcionais
Operaes em nveis funcionais so irreversveis. Existem 3 nveis funcionais de domnio: Windows 2000 native Windows Server 2003 Windows Server 2008 E 3 nveis funcionais de floresta Windows 2000 Windows Server 2003 Windows Server 2008

Nveis funcionais
Aumentar nvel funcional do domnio: Active Directory Users And Computers Aumentar nvel funcional da floresta Active Directory Domains and trusts Nvel funcional Windows Server 2003 aceita DC com Windows Server 2003 ou superior e assim por diante.

Read Only Domain Controller

Read Only Domain Controller (RODC) um Controlador de domnio adicional somente leitura. Para instalar um RODC necessrio o nvel funcional da floresta Windows Server 2003 ou superior. Por padro o RODC no armazena senhas de contas de usurio. Voc deve popular a cache manualmente. Password Replication Policy (PRP) permite definir quais usurios tero sua senha armazenada em cache.

Read Only Domain Controller

Prepare (stage) um RODC criando uma conta de computador no Active Directory Users and Computers Em Domain Controllers usando o assistente: Pre-Create Read-only Domain Controller Account wizard. Voc Pode escolher qualquer usurio do domnio para anexar (attach) um RODC no domnio. Somente servidores em WorkGroup podem ser prcriados para ser um RODC. O usurio que voc escolheu deve usar o comando dcpromo /useexistingaccount:attach .

Ferramentas de Gerenciamento
Active Directory Domains and Trusts Active Directory Sites and Services Active Directory Users and Computers ADSI Edit (Active Directory Service Interfaces Editor) LDP

Active Directory Domains and Trusts

- Usado para gerenciar relaes de confiana de florestas e domnios, acrescentar sufixos ao nome principal do usurio e alterar os nveis funcionais de florestas e domnios

Active Directory Sites and Services

Utilizado para criar e gerenciar os servios ,sites e a replicao de dados do diretrio.

Active Directory Users and Computers

- Um MMC (Microsoft Management Console) usado para gerenciar e publicar informaes no Active Directory. Voc pode gerenciar contas de usurio, grupos, contas de computadores, acrescentar computadores a um domnio.

ADSI Edit (Active Directory Service Interfaces)

Editor) Um editor LDAP (Lightweight Directory Access Protocol ) que permite gerenciar objetos e atributos no Active Directory.

LDP
Permite a conexo com o banco de dados do AD ou uma instancia LDS a fim de consultar, editar ou pesquisas dados do diretrio.

Nomes distintos
Nomes distintos identificam o domnio de um objeto e o caminho para encontr-lo. CN=Felipe Donda, OU=Diretoria, DC=mcpbrasil, DC=com

Ferramentas de linha de comando

Dsadd Dsmod Dsmove DSrm Dsquery Dsget

 Dsadd Adiciona objetos no Diretrio Exemplo adicionar conta de usurio: Dsadd cn=Donda, ou=TI, dc=mcpbrasil, dc=com

 Dsmod Modifica objetos no Diretrio Exemplo definir uma senha: dsmod user cn=Donda,ou=TI,dc=mcpbrasil,dc=com"

 Dsmove Move objetos no Diretrio Exemplo mover para outra OU dsmove cn=Donda, ou=TI, dc=mcpbrasil, dc=com -newparent ou=Suporte, dc=mcpbrasil ,dc=com"

 DSrm Remove objetos do Diretrio Exemplo: excluir conta de usurio dsrm "cn=Donda, ou=Suporte, dc=mcpbrasil, dc=com

 Dsquery Busca objetos no Diretrio Exemplo: Ler toda informao de um objeto na ou=test dsquery * ou=test,dc=mcpbrasil,dc=com scope base attr *

 Dsget Exibe informaes sobre objetos no Diretrio Exemplo: Trazer nome de todos usurios da ou=TI dsquery "ou=TI,dc=mcpbrasil,dc=com" | get user -fn

Ferramentas de Importao e exportao

CSVDE Importa e Exporta objetos do diretrio utilizando arquivos .CSV (Separado por virgula) Exemplo para importar: csvde i f usuarios.csv Exemplo para exportar usurios da ou TI csvde -d "ou=TI,DC=mcpbrasil,dc=com f usuarios.csv -r objectClass=user

Ferramentas de Importao e exportao

LDIFDE - Importa e Exporta objetos do diretrio utilizando arquivos .LDF Exemplo para importar: ldifde i f usuarios.ldf Exemplo para exportar computadores ldifde f usuarios.ldf -r (objectclass=computer)"

Nome principal do usurio (UPN)

O nome principal de usurio (UPN) identifica o usu de determinado domnio: donda@mcpbrasil.com

Sites (Estrutura Fsica)

Em sua rede fsica, um site representa um conjunto de computadores conectados por uma rede de alta velocidade, como uma rede local (LAN). No AD DS, um objeto de site representa os aspectos site fsico a fim de gerenciar a replicao dos dados de diretrio entre os controladores de domnio Replicao consiste no processo de atualizar informaes no Active Directory de um controlador d domnio para outros controladores de domnio em uma rede Os objetos de sites e os objetos associados a eles so replicados em todos os controladores de domnio na floresta. possvel gerenciar os objetos utilizando a ferramenta Active Directory Sites and Services.

KCC (knowledge consistency checker)

O KCC knowledge consistency checker um processo interno executado em cada controlador de domnio que gera a topologia de replicao para todas as parties de diretrio contidas no controlador de domnio.

IFM (Install from Media)

O recurso IFM permite instalar um controlador de domnio adicional a partir da media de backup. A utilizao de IFM reduz a quantidade de dados replicados. O ADDS deve estar iniciado para executar esta operao.

IFM (Install from Media)

Para criar uma media para criao de um domain controller adicional escolha entre as opes: create full %s Cria uma mdia IFM completa para o ADDC ou AD/LDS. create rodc %s Cria uma mdia IFM para um ReadOnly DC create Sysvol full %s Cria uma mdia IFM com o SYSVOL para um ADDC. create Sysvol RODC %s Cria uma mdia IFM com o SYSVOL para um RODC.

IFM (Install from Media)

Exemplo: No prompt de comando digite: ntdsutil Activate Instance NTDS IFM create full e:\mediaifm Aps criar a media no Windows Server 2008 R2 no qual deseja promover a Domain Controller adicional, execute o DCPROMO /ADV e na janela Install from Media aponte para os arquivos recm criados.

Parties do AD
O banco de dados do Active Directory dividido logicamente em parties. Cada partio uma unidade de replicao e cada uma delas tem sua prpria topologia de replicao.

Parties do AD

schema
Esquema (Schema). Possui dois tipos de definies: classes e atributos de objetos. As classes de objetos so modelos ou plantas dos objetos que podem ser criados no Active Directory. Atributos definem os possveis valores a serem associados a uma classe de objeto. Schema

Parties do AD
Para editar o schema necessrio registrar a dll schmmgmt.dll e ser pelo menos do grupo schema admins Iniciar -> executar -> Regsvr32 schmmgmt.dll Use o Snap-In Active Directory Schema para editar o schema.

Catalogo Global
Localiza objetos - Uma solicitao de pesquisa ser encaminhada porta 3268 do catlogo global . Fornece a autenticao do nome principal do usurio. Um servidor de catlogo global resolve o nome principal do usurio (UPN) quando o controlador de domnio da autenticao desconhece a conta de usurio. Valida as referncias de objeto em uma floresta. Os controladores de domnio usam o catlogo global para validar as referncias a objetos de outros domnios na floresta.

Catalogo Global
Fornece informaes sobre a associao ao grupo universal em um ambiente de vrios domnios. O controlador de domnio tambm pode descobrir associaes de um usurio ao grupo local do domnio e ao grupo global e a associao a esses grupos no ser replicada no catlogo global. Se um servidor de catlogo global no estiver disponvel quando um usurio efetuar logon em um domnio em que os grupos universais esto disponveis, o computador cliente do usurio poder usar as credenciais armazenadas em cache para fazer logon . O administrador do domnio (conta Administradores internos) pode sempre efetuar logon no domnio, mesmo quando um servidor de catlogo global no estiver disponvel.

Objetos de Sites
Sites - Os objetos de sites so localizados no continer de sites. Em todos os sites, h um objeto de Configuraes de Site NTDS. Esse objeto identifica o ntersite Topology Generator (ISTG). Sub-redes - Os objetos da sub-rede identificam os ntervalos dos endereos IP em um site. Servidores - Os objetos de servidor so criados automaticamente quando voc adiciona a funo de servidor Active Directory Domain Services

Objetos de Sites
Configuraes NTDS - Todo objeto de servidor contm um objeto de Configuraes NTDS, que representa o controlador de domnio no sistema de replicao. Tambm possvel Habilitar ou desabilitar o catlogo global em um servidor atravs do NTDS Settings. Conexes - Os parceiros da replicao dos servidores de um site so identificados pelos objetos de conexo. A replicao ocorre em uma direo. Links de sites - Os links de site representam o fluxo da replicao entre os sites. Representa a conexo fsica de longa distncia (WAN) entre dois ou mais sites Transportes IP e SMTP entre sites - A replicao usa a chamada de procedimento remoto (RPC) no ransporte IP ou SMTP