Aula 8 active diretory - 29092012

653 views

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
653
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
62
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Aula 8 active diretory - 29092012

  1. 1. Dia 29/09/2012MCITP-EA Active DirectoryAula 8RODCSite Sub RedeMatriz 192.168.X.0/24Filial 172.168.X.0/24Extremamente útil em duas situações:•Locais onde pessoas não autorizadas e/ou qualificadas tenham acesso físico ao equipamento, eessas poderiam manipular os registros;•Economia de banda já que ele não replica a mesma quantidade de informação que um DC normal.Caso o RODC perca comunicação com o DC principal, utilizando um RODC padrão não serápossível autenticar na rede, para esta contornando esse problema é necessário ativar a replicação desenhas.Diferenças na instalação do RODC Não há a necessidade de ser um catálogo global, até porque se ele fosse um terminamosmuita informação sendo replicada (consumo de banda) e a ideia é justamente diminuir o volume dereplicação. E por final marcar a opção de RODC.
  2. 2. Configuração de usuário que terá poder equivalente a um usuário avançado no RODC parapoder realizar manutenção básica no equipamento, caso a equipe de suporte não tenha acesso aomesmo. Esse usuário não terá acesso nenhum a alterações ao domino.
  3. 3. Após configurar o RODC ingresse um cliente na rede da filial O tipo de replicação do RODC é do tipo FRS e entre um RODC e um Controladorconvencional a replicação só acontece para o RODC, pois o RODC não faz nenhuma alteração. Como dito anterior mente caso o link entre o RODC e o DC da sua empresa caia os usuáriosnão serão capazes de realizar o logon pois o RODC não possui senhas dos usuários. 1. Acrescentar os usuários, computadores, DC que fazem parte do Site onde tem o RODC no grupo: Grupo de replicação de senha RODC Permitido 2. Nas propriedades do DC Server 2 é necessário seguir os passos abaixo:
  4. 4. 1. Aba Diretiva de Replicação de Senha > Avançado > Pré-popular Senhas... 2. Adicione os computadores e os usuários que necessitarão autenticar nesse site. O passo 2 permite que as senhas sejam armazenadas antes de haver a replicaçãopropriamente dita.GPOOrdem de carregamento de GPO 1. Local 2. Site 3. Domínio 4. OU 1. RH 1. Computadores 1. Desktop 2. Notebook 3. … 1. … 1. … 1. … 1. …Quando as Polices estão no mesmo nível prevalece a primeira a ser carregadaPolice Responsável pelas senhasConfiguração do computador > Configurações do Windows > Configurações de segurança >Configurações de senha > Diretivas de Conta > Diretivas de SenhaResponsável por bloquear a conta por tentativa invalidade de logonConfiguração do computador > Configurações do Windows > Configurações de segurança >Configurações de senha > Diretivas de Conta > Diretiva de bloqueio de contaAuditoriaConfiguração do computador > Configurações do Windows > Configurações de segurança >Diretivas locais > Diretiva de auditoria Para finalizar é necessário seguir o seguinte passo: Propriedades do compartilhamento > Guia segurança > Avançado > Guia auditoria >Editar > Adicionar > Adicione Todos os usuários. Confirme as alteraçõesOpções do CTRL+ALT+DELConfiguração do usuário > Modelos Administrativos > Sistema > Opções de CTRL+ALT+DELAba delegaçãoFunciona de forma similigar a guia segurança em diretórios, ou seja, é utilizado para determinar os
  5. 5. níveis de acessos dos usuários.Backup de diretivasBotão direito em > Objetos de diretiva de grupo > escolha um local e de uma descrição.Restore de backup de diretivasBotão direito em > gerenciar backups > selecionar a Police > restaurarDiretiva de instalação de softwarePasso-a-passo:•Ter um pacote de instalação .msi•Habilitar a Police abaixo para computadores e usuários◦Configuração do usuário/computadores > Modelos Administrativos > Componentes do Windows> Windows installer > habilitar a Police sempre instalar com alto privilégio•Configuração de usuários > Diretivas > Configuração de software > instalação de software◦Na área em brando:▪Botão direito > novo > pacote > caminho UNC do pacote > escolha o tipo de instlação¹¹Pulicado – Realiza a instalação em segundo planoAtribuído - realiza a instalação interativaGpresult /r – comando utilizado para verificação das gpo que foram aplicadas para o usuárioRsop – console que exibe as polices que estão carregadas no momento.Script de logonCaminho padrão: c:Windowssysvolsysvolfqdn_do_dominioscriptsTambém pode ser configurado pela seguinte Police:Configurações do usuário > Diretivas >Configurações do Windows > scripts > fazer logonGruposEscopo do grupoOs grupos são caracterizados por um escopo que identifica até que ponto o grupo é aplicado àárvore de domínio ou floresta. Há três escopos de grupo: domínio local, global e universal.Grupos de domínio local Os membros de grupos de domínio local podem incluir outros grupos e contas dos domíniosWindows NT, Windows 2000, Windows Server 2003, Windows Server 2008 e Windows Server2008R2. Os membros desses grupos somente podem receber permissões em um domínio. Os grupos com escopo de domínio local ajudam você a definir e gerenciar o acesso aos
  6. 6. recursos em um único domínio. Esses grupos podem ter estes membros:✔Contas de qualquer domínio✔Grupos globais de qualquer domínio✔Grupos universais de qualquer domínio✔Grupos de domínio local, mas somente do mesmo domínio que o grupo de domínio local pai✔Uma combinação dos itens acimaPor exemplo: Para fornecer a cinco usuários o acesso a uma determinada impressora, você pode adicionartodas às cinco contas de usuário à lista de permissões da impressora. No entanto, se mais tarde vocêquiser dar a esses cinco usuários acesso a uma nova impressora, novamente será necessárioespecificar todas as cinco contas na lista de permissões da nova impressora. Com um pouco de planejamento, você poderá simplificar essa tarefa administrativa de rotinacriando um grupo com escopo de domínio local e atribuindo permissão para o acesso à impressora.Coloque as cinco contas de usuário em um grupo com escopo global e adicione-o ao grupo que temo escopo de domínio local. Quando quiser atribuir acesso à nova impressora aos cinco usuários, dêao grupo com escopo de domínio local permissão para acessar a nova impressora. Todos osmembros do grupo com escopo global recebem automaticamente o acesso à nova impressora.Grupos de domínio localOs membros de grupos de domínio local podem incluir outros grupos e contas dos domíniosWindows NT, Windows 2000, Windows Server 2003, Windows Server 2008 e Windows Server2008R2. Os membros desses grupos somente podem receber permissões em um domínio.Os grupos com escopo de domínio local ajudam você a definir e gerenciar o acesso aos recursos emum único domínio. Esses grupos podem ter estes membros:✔Contas de qualquer domínio✔Grupos globais de qualquer domínio✔Grupos universais de qualquer domínio✔Grupos de domínio local, mas somente do mesmo domínio que o grupo de domínio local pai✔Uma combinação dos itens acimaPor exemplo: Para fornecer a cinco usuários o acesso a uma determinada impressora, você pode adicionartodas às cinco contas de usuário à lista de permissões da impressora. No entanto, se mais tarde vocêquiser dar a esses cinco usuários acesso a uma nova impressora, novamente será necessárioespecificar todas as cinco contas na lista de permissões da nova impressora. Com um pouco de planejamento, você poderá simplificar essa tarefa administrativa de rotinacriando um grupo com escopo de domínio local e atribuindo permissão para o acesso à impressora.Coloque as cinco contas de usuário em um grupo com escopo global e adicione-o ao grupo que temo escopo de domínio local. Quando quiser atribuir acesso à nova impressora aos cinco usuários, dêao grupo com escopo de domínio local permissão para acessar a nova impressora. Todos osmembros do grupo com escopo global recebem automaticamente o acesso à nova impressora.Grupos universais Os membros de grupos universais podem ter os seguintes itens como membros:✔Contas de qualquer domínio na floresta em que o Grupo Universal reside✔Grupos globais de qualquer domínio na floresta em que o Grupo Universal reside
  7. 7. ✔Grupos universais de qualquer domínio na floresta em que o Grupo Universal reside Os membros desses grupos podem receber permissões em qualquer domínio na árvore dedomínio ou floresta. Use grupos com escopo universal para consolidar grupos que abrangemdomínios. Para isso, adicione as contas aos grupos com escopo global e aninhe esses grupos em quetenham escopo universal. Quando você usar essa estratégia, as alterações de associação nos gruposque têm escopo global não afetarão os grupos com escopo universal. Por exemplo, em uma rede com dois domínios, Europa e EstadosUnidos, e um grupo comescopo global denominado ContabilidadeGL em cada um, crie um grupo com escopo universaldenominado ContabilidadeUA que tenha como seus membros os dois grupos ContabilidadeGL,EstadosUnidosContabilidadeGL e EuropaContabilidadeGL. Você pode usar o grupoContabilidadeUA em qualquer lugar da empresa. As alterações na associação dos gruposContabilidadeGL individuais não causarão a replicação do grupo ContabilidadeUA.Importante É altamente recomendável usar grupos globais ou universais, em vez de grupos de domíniolocal quando você especifica permissões nos objetos de diretório de domínio replicados para ocatálogo global.Tipos de grupo Há dois tipos de grupo no AD DS: grupos de distribuição e grupos de segurança. Você podeusar grupos de distribuição para criar listas de distribuição por e-mail. Use os grupos de segurançapara atribuir permissões aos recursos compartilhados. Somente use grupos de distribuição com aplicativos de e-mail (como o MicrosoftExchange Server 2007) para enviar e-mails a grupos de usuários. Os grupos de distribuição não sãohabilitados para segurança, o que significa que eles não podem fazer parte de listas de controle deacesso discricionário (DACLs). Se for necessário um grupo para controlar o acesso aos recursoscompartilhados, crie um grupo de segurança.

×