Baixe o app para aproveitar ainda mais
Prévia do material em texto
Windows - Active Directory Instalação, características e configuração Instalação, características e configuração do Active Directorydo Active Directory Windows - Estrutura de domínios AD Windows - FlorestaFloresta – – É É o topo da estrutura, uma floresta pode contar uma ou mais o topo da estrutura, uma floresta pode contar uma ou mais árvores que compartilham informações de diretório.árvores que compartilham informações de diretório. ÁrvoresÁrvores – Uma árvore pode conter um ou mais domínios que compartilham – Uma árvore pode conter um ou mais domínios que compartilham espaço de nomes.espaço de nomes. DomínioDomínio – Um grupo de computadores que compartilham um banco de – Um grupo de computadores que compartilham um banco de dados de diretório.dados de diretório. Unidades Organizacionais (OU)Unidades Organizacionais (OU) – Um subgrupo dos domínios que – Um subgrupo dos domínios que geralmente espelha a estrutura funcional ou de negócios da organização.geralmente espelha a estrutura funcional ou de negócios da organização. Catálogo Global (GC)Catálogo Global (GC) – Contém informações sobre objetos e recursos de – Contém informações sobre objetos e recursos de toda a floresta.toda a floresta. Esquema (Schema)Esquema (Schema) – Contém definições de objetos e seus atributos da – Contém definições de objetos e seus atributos da floresta Active Directory.floresta Active Directory. Estrutura do AD Windows - Recursos do Active Directory ● Utilização do LDAP como protocolo de acesso ao diretório (v2 e v3);Utilização do LDAP como protocolo de acesso ao diretório (v2 e v3); ● Autenticação utilizando o protocolo Kerberos;Autenticação utilizando o protocolo Kerberos; ● Single sign-on, autenticação única;Single sign-on, autenticação única; ● Nomes baseados na estrutura DNS;Nomes baseados na estrutura DNS; ● Centralização de administração e segurança da rede;Centralização de administração e segurança da rede; ● Altamente escalável;Altamente escalável; ● Sincronização de informações entre servidores;Sincronização de informações entre servidores; Windows - Instalando o Active Directory A implementação do serviço começa utilizando o comando dcpromo. Windows - Instalação do Active Directory Opções:Opções: – Criar um novo domínio em uma nova floresta;Criar um novo domínio em uma nova floresta; – Adicionar um controlador de domínio em um domínio existente;Adicionar um controlador de domínio em um domínio existente; – Criar um novo domínio em uma floresta existente;Criar um novo domínio em uma floresta existente; Windows - Nível funcional da floresta São 3 níveis funcionais de floresta: – Windows 2000 – Dá suporte a servidores Windows NT 4.0, exceto quando utilizando servidores 2008 na floresta; – Windows Server 2003; – Windows Server 2008; Ao ser escolhido o nível funcional da floresta ou domínio, ela suportará versões do sistema escolhido ou posteriores; Windows - Nível funcional do domínio Os possíveis níveis funcionais de domínios são: – Windows 2000 misto – Utilizado para trabalhar junto a controladores de domínio NT 4.0; – Windows 2000 nativo – Não opera junto a controladores de domínio NT 4.0; – Windows 2003 – Permite uso de várias melhorias no Active directory como grupos universais, aninhamento de grupos, conversão de tipos de grupos, renomeação fácil de controladores de domínio; – Windows 2008; Obs.: Ao se escolher um nível funcional, ele nunca poderá ser reduzido; Windows - Funções de mestres de operações - FSMO Em cada floresta existem pelo menos cinco funções de mestres de operações onde: – Para toda a floresta: • Mestre de esquema - O controlador de domínio de mestre de esquema controla todas as atualizações e modificações efetuadas ao esquema. Para atualizar o esquema de uma floresta, tem de aceder ao mestre de esquema. • Mestre de nomeação de domínios - O controlador de domínio que contém a função de mestre de atribuição de nomes de domínios, controla a adição ou remoção de domínios na floresta. Um computador com esta função deve ser também um servidor de catálogo global. – Para um domínio: • PDC Emulator – Irá agir como PDC do Windows NT. Sua função é autenticar logons, processar alterações de senhas e replicar atualizações para BDCs. • Mestre de RIDs - O mestre de RID atribui sequências de IDs relativos (RIDs) a cada um dos vários controladores de domínio no respectivo domínio. Apenas poderá existir um controlador de domínio a funcionar como mestre de RID em cada domínio da floresta de cada vez. • Mestre de infra-estrutura – Atualiza referências de objeto comparando seus dados de diretório com os de um catálogo global. Se os dados estiverem desatualizados, o mestre de infra-estrutura solicitará os dados atualizados em um catálogo global e, em seguida, replicará as alterações nos outros controladores de domínio do domínio. Windows - Verificando as funções de mestre de operações Mestre de esquema – dsquery server -hasfsmo schema Mestre de nomeação de domínios - dsquery server -hasfsmo name Mestre de RID - dsquery server -hasfsmo rid Emulador PDC - dsquery server -hasfsmo pdc Mestre de infra-estrutura - dsquery server -hasfsmo infr Windows - Relações de confiança ● Tipos de relação de confiança – A comunicação entre domínios ocorre por relações de confiança. As relações de confiança são canais de autenticação que devem estar presentes para que os usuários em um domínio acessem recursos em outro domínio. ● Duas relações de confiança padrão são criadas quando se usa o Assistente para instalação do Active Directory e estão na tabela a seguir: Windows - Tipos de relação de confiança padrão Tipo Transitividade Direção Descrição Pai e filho Transitiva Bidirecional Por padrão, quando um novo domínio filho é adicionado a uma árvore de domínio existente, uma nova relação de confiança é criada automaticamente entre o domínio filho e o domínio pai. As solicitações de autenticação feitas a partir de domínios subordinados fluem em direção ascendente pelo pai para o domínio confiante. Raiz de árvore Transitiva Bidirecional Por padrão, quando uma nova árvore de domínio é criada em uma floresta existente, uma nova relação de confiança de raiz de árvore é estabelecida. Para obter informações sobre como criar uma nova árvore de domínio, consulte Criar uma nova árvore de domínio. Windows - Outras relações de confiança ● Quatro outros tipos de relações de confiança podem ser criados usando o Assistente de nova Quatro outros tipos de relações de confiança podem ser criados usando o Assistente de nova relação de confiança ou a ferramenta de linha de comando Netdom: relações de confiança relação de confiança ou a ferramenta de linha de comando Netdom: relações de confiança externas, de território, de floresta e de atalho.externas, de território, de floresta e de atalho. ● Essas relações de confiança estão definidas na tabela a seguir:Essas relações de confiança estão definidas na tabela a seguir: TipoTipo TransitividadeTransitividade DireçãoDireção DescriçãoDescrição ExternaExterna IntransitivaIntransitiva Unidirecional Unidirecional ou ou BidirecionalBidirecional Use relações de confiança externas para fornecer acesso a recursos localizados Use relações de confiança externas para fornecer acesso a recursos localizados em um domínio do Windows NT 4.0 ou em um domínio localizado em uma em um domínio do Windows NT 4.0 ou em um domínio localizado em uma floresta separada, que não sejam unidos por uma relação de confiança de floresta separada, que não sejam unidos por uma relação de confiança de floresta.floresta. TerritórioTerritório Transitiva ou Transitiva ou intransitivaintransitiva Unidirecional Unidirecional ou ou BidirecionalBidirecional Use relações de confiança de território para formar uma relação de confiança Use relações de confiança de território para formar uma relação de confiança entre um território Kerberos não-Windows e um domínio do Windows Server entre um territórioKerberos não-Windows e um domínio do Windows Server 2003.2003. FlorestaFloresta TransitivaTransitiva Unidirecional Unidirecional ou ou BidirecionalBidirecional Use relações de confiança de floresta para compartilhar recursos entre florestas. Use relações de confiança de floresta para compartilhar recursos entre florestas. Se uma relação de confiança de floresta é uma relação de confiança Se uma relação de confiança de floresta é uma relação de confiança bidirecional, as solicitações de autenticação feitas em qualquer das florestas bidirecional, as solicitações de autenticação feitas em qualquer das florestas podem alcançar a outra floresta.podem alcançar a outra floresta. AtalhoAtalho TransitivaTransitiva Unidirecional Unidirecional ou ou BidirecionalBidirecional Use relações de confiança de atalho para melhorar o logon do usuário entre dois Use relações de confiança de atalho para melhorar o logon do usuário entre dois domínios em uma floresta do Windows Server 2003. Isso é útil quando dois domínios em uma floresta do Windows Server 2003. Isso é útil quando dois domínios estão separados por duas árvores de domínio.domínios estão separados por duas árvores de domínio. Windows - Transitividade de relações de confiança A transitividade determina se uma relação de confiança pode ser estendida para fora dos dois domínios com os quais foi formada. Uma relação de confiança transitiva pode ser usada para estender relacionamentos de confiança com outros domínios e uma relação de confiança intransitiva pode ser usada para negar relações de confiança com outros domínios. Relações de confiança transitivas ● Sempre que você cria um novo domínio em uma floresta, uma relação de confiança transitiva bidirecional é criada automaticamente entre o novo domínio e seu domínio pai. Se domínios filho forem adicionados ao novo domínio, o caminho de confiança move-se para cima pela hierarquia de domínio, estendendo o caminho de confiança inicial criado entre o novo domínio e seu domínio pai. ● As relações de confiança transitivas movem-se para cima na árvore de domínio conforme ela é formada, criando relações de confiança transitivas entre todos os domínios na árvore de domínio. ● Os pedidos de autenticação seguem esses caminhos de confiança, de forma que as contas de um domínio da floresta podem ser autenticadas em qualquer outro domínio da mesma floresta. Com um único processo de logon, as contas que contêm as permissões adequadas podem acessar recursos em qualquer domínio na floresta. Windows - Relações de confiança transitivas Além das relações de confiança transitivas padrão estabeIecidas em uma floresta do Windows Server 2003, Além das relações de confiança transitivas padrão estabeIecidas em uma floresta do Windows Server 2003, usando o Assistente de nova relação de confiança você pode criar manualmente as seguintes relações de usando o Assistente de nova relação de confiança você pode criar manualmente as seguintes relações de confiança transitiva. confiança transitiva. Relação de confiança de atalho:Relação de confiança de atalho: Uma relação de confiança transitiva entre um domínio na mesma árvore Uma relação de confiança transitiva entre um domínio na mesma árvore de domínio ou floresta, usada para diminuir o caminho de confiança em árvores de domínio e florestas de domínio ou floresta, usada para diminuir o caminho de confiança em árvores de domínio e florestas grandes e complexas.grandes e complexas. Relação de confiança de floresta:Relação de confiança de floresta: Uma relação de confiança transitiva entre um domínio raiz de floresta e Uma relação de confiança transitiva entre um domínio raiz de floresta e um segundo domínio raiz de floresta.um segundo domínio raiz de floresta. Relação de confiança de território:Relação de confiança de território: Uma relação de confiança transitiva entre um domínio do Active Uma relação de confiança transitiva entre um domínio do Active Directory e um território do Kerberos V5.Directory e um território do Kerberos V5. Windows - Relações de confiança intransitivas Uma relação de confiança intransitiva é limitada pelos dois domínios da relação de confiança e não flui para Uma relação de confiança intransitiva é limitada pelos dois domínios da relação de confiança e não flui para outros domínios da floresta. Uma relação de confiança intransitiva pode ser uma relação de confiança outros domínios da floresta. Uma relação de confiança intransitiva pode ser uma relação de confiança bidirecional ou uma relação de confiança unidirecional.bidirecional ou uma relação de confiança unidirecional. As relações de confiança intransitivas são unidirecionais por padrãoAs relações de confiança intransitivas são unidirecionais por padrão, embora você também possa criar , embora você também possa criar uma relação bidirecional através da criação de duas relações de confiança unidirecionais. Resumindo, as uma relação bidirecional através da criação de duas relações de confiança unidirecionais. Resumindo, as relações de confiança intransitivas entre domínios são a única forma possível de relação de confiança entre:relações de confiança intransitivas entre domínios são a única forma possível de relação de confiança entre: Um domínio do Windows Server 2003 e um domínio do Windows NTUm domínio do Windows Server 2003 e um domínio do Windows NT Um domínio do Windows Server 2003 em uma floresta e um domínio em outra floresta (quando não Um domínio do Windows Server 2003 em uma floresta e um domínio em outra floresta (quando não associados por uma relação de confiança de floresta)associados por uma relação de confiança de floresta) Usando o Assistente de nova relação de confiança, você cria manualmente as seguintes relações de Usando o Assistente de nova relação de confiança, você cria manualmente as seguintes relações de confiança intransitivas:confiança intransitivas: Relação de confiança externaRelação de confiança externa. Uma relação de confiança intransitiva criada entre um domínio do . Uma relação de confiança intransitiva criada entre um domínio do Windows Server 2003 e um domínio do Windows 2000 ou um domínio do Windows Server 2003 em outra Windows Server 2003 e um domínio do Windows 2000 ou um domínio do Windows Server 2003 em outra floresta.floresta. Quando você atualizar um domínio do Windows NT para um domínio do Windows Server 2003, todas as Quando você atualizar um domínio do Windows NT para um domínio do Windows Server 2003, todas as relações de confiança existentes do Windows NT serão preservadas. Todas as relação entre os domínios do relações de confiança existentes do Windows NT serão preservadas. Todas as relação entre os domínios do Windows Server 2003 e do Windows NT são não-transitivas.Windows Server 2003 e do Windows NT são não-transitivas. Relação de confiança de territórioRelação de confiança de território. Uma relação de confiança intransitiva entre um domínio do Active . Uma relação de confiança intransitiva entre um domínio do Active Directory e um território do Kerberos V5..Directory e um território do Kerberos V5.. Windows - Direção da relação de confiança O tipo de relação de confiança e a direção atribuída terão impacto sobre o caminho de confiança usado para autenticação. Um O tipo de relação de confiança e a direção atribuída terão impacto sobre o caminho de confiança usado para autenticação. Um caminho de confiança é uma série de relações de confiança que os pedidos de autenticação devem seguir entre os domínios. caminho de confiança é uma série de relações de confiança que os pedidos de autenticação devem seguir entre os domínios. Para que um usuário possa acessar um recurso de outro domínio, o sistema de segurança em controladores de domínio Para que um usuário possa acessar um recurso de outro domínio, o sistema de segurança em controladores de domínio executando Windows Server 2003 deve determinar se o domínio confiante (aquele que contém o recursoque o usuário está executando Windows Server 2003 deve determinar se o domínio confiante (aquele que contém o recurso que o usuário está tentando acessar) tem uma relação de confiança com o domínio confiável (o domínio de logon do usuário). Para determinar isso, tentando acessar) tem uma relação de confiança com o domínio confiável (o domínio de logon do usuário). Para determinar isso, o sistema de segurança calcula o caminho de confiança entre um controlador do domínio confiante e um controlador do domínio o sistema de segurança calcula o caminho de confiança entre um controlador do domínio confiante e um controlador do domínio confiável. Na ilustração, os caminhos de confiança estão indicados com setas que mostram a direção da relação de confiança:confiável. Na ilustração, os caminhos de confiança estão indicados com setas que mostram a direção da relação de confiança: Windows - Direção da relação de confiança Relação de confiança unidirecionalRelação de confiança unidirecional Uma relação de confiança unidirecional é um caminho de autenticação unidirecional criado entre dois domínios. Uma relação de confiança unidirecional é um caminho de autenticação unidirecional criado entre dois domínios. Isso significa que, em uma relação de confiança unidirecional entre o Domínio A e o Domínio B, os usuários no Isso significa que, em uma relação de confiança unidirecional entre o Domínio A e o Domínio B, os usuários no Domínio A podem acessar recursos no Domínio B. Porém, os usuários no Domínio B não podem acessar Domínio A podem acessar recursos no Domínio B. Porém, os usuários no Domínio B não podem acessar recursos no Dominio A. Algumas relações de confiança unidirecionais podem ser uma relação de confiança recursos no Dominio A. Algumas relações de confiança unidirecionais podem ser uma relação de confiança intransitiva ou uma relação de confiança transitiva, dependendo do tipo de confiança que está sendo criado. intransitiva ou uma relação de confiança transitiva, dependendo do tipo de confiança que está sendo criado. Relação de confiança bidirecionalRelação de confiança bidirecional Todas as relações de confiança entre domínios de uma floresta do Windows Server são relações de confiança Todas as relações de confiança entre domínios de uma floresta do Windows Server são relações de confiança transitivas bidirecionais. Quando Domínio A confia no Domínio B e o Domínio B confia no Domínio A. Algumas transitivas bidirecionais. Quando Domínio A confia no Domínio B e o Domínio B confia no Domínio A. Algumas relações bidirecionais podem ser intransitivas ou transitivas, dependendo do tipo de relação de confiança que relações bidirecionais podem ser intransitivas ou transitivas, dependendo do tipo de relação de confiança que está sendo criado. São automáticas entre domínios pais e filhosestá sendo criado. São automáticas entre domínios pais e filhos Um domínio do Windows Server pode estabelecer uma relação de confiança unidirecional ou bidirecional com:Um domínio do Windows Server pode estabelecer uma relação de confiança unidirecional ou bidirecional com: Domínios do Windows Server 2003 na mesma florestaDomínios do Windows Server 2003 na mesma floresta Domínios do Windows Server 2003 de uma floresta diferenteDomínios do Windows Server 2003 de uma floresta diferente Domínios do Windows NT 4.0Domínios do Windows NT 4.0 Territórios do Kerberos V5 Territórios do Kerberos V5 Windows - Diretivas de grupo - GPO • As configurações de Diretivas de Grupo definem os vários componentes do ambiente de área de trabalho do As configurações de Diretivas de Grupo definem os vários componentes do ambiente de área de trabalho do usuário que o administrador do sistema precisa gerenciar, por exemplo, os programas que estão disponíveis usuário que o administrador do sistema precisa gerenciar, por exemplo, os programas que estão disponíveis para usuários, os programas que aparecem na área de trabalho do usuário e as opções do menu Iniciar.para usuários, os programas que aparecem na área de trabalho do usuário e as opções do menu Iniciar. • A Diretiva de Grupo se aplica não apenas a usuários e computadores clientes, mas também a servidores A Diretiva de Grupo se aplica não apenas a usuários e computadores clientes, mas também a servidores membros, a controladores de domínio e a qualquer computador com o Windows dentro do escopo de membros, a controladores de domínio e a qualquer computador com o Windows dentro do escopo de gerenciamento.gerenciamento. • Por padrão, a Diretiva de Grupo aplicada a um domínio (ou seja, aplicada no nível do domínio, logo acima da Por padrão, a Diretiva de Grupo aplicada a um domínio (ou seja, aplicada no nível do domínio, logo acima da raiz de Usuários e Computadores do Active Directory) afetará todos os computadores e usuários no domínio.raiz de Usuários e Computadores do Active Directory) afetará todos os computadores e usuários no domínio. • As configurações de GPO são editadas utilizando o Editor de Objetos de Diretívas de grupo e o GPMC As configurações de GPO são editadas utilizando o Editor de Objetos de Diretívas de grupo e o GPMC (Console de Gerenciamento de Diretivas de Grupo)(Console de Gerenciamento de Diretivas de Grupo) Windows - Editores de Diretiva de grupo - GPMC Windows - Editor de Objetos de Política de Grupo Windows - GPO – Ordem de aplicação As diretivas são aplicadas nesta ordem:As diretivas são aplicadas nesta ordem: – O objeto de Diretiva de Grupo O objeto de Diretiva de Grupo locallocal exclusivo. exclusivo. – Objetos de Diretiva de Grupo do Objetos de Diretiva de Grupo do sitesite, na ordem especificada de forma administrativa., na ordem especificada de forma administrativa. – Objetos de Diretiva de Grupo de Objetos de Diretiva de Grupo de domíniodomínio, na ordem especificada de forma , na ordem especificada de forma administrativa.administrativa. – Objetos de Diretiva de Grupo deObjetos de Diretiva de Grupo de unidade organizacional unidade organizacional, da maior unidade , da maior unidade organizacional para a menor (unidade organizacional pai para filho), e na ordem organizacional para a menor (unidade organizacional pai para filho), e na ordem especificada de forma administrativa no nível de cada unidade organizacional.especificada de forma administrativa no nível de cada unidade organizacional. Windows - Tipos de grupos Grupos LocaisGrupos Locais – Presentes apenas no computador local – Presentes apenas no computador local Grupos de SegurançaGrupos de Segurança – Grupos que podem ter descritores de – Grupos que podem ter descritores de segurança associados a eles.segurança associados a eles. Grupos de DistribuiçãoGrupos de Distribuição – Grupos utilizados para listas de – Grupos utilizados para listas de distribuição de e-mails. Não podem ter descritores de segurança distribuição de e-mails. Não podem ter descritores de segurança associados a eles.associados a eles. Windows - Escopos de grupos Escopo de grupo O grupo pode incluir como membros… O grupo pode ser atribuído a permissões em… O escopo de grupo pode ser convertido em… Domínio local ● Contas de qualquer domínio ● Grupos globais de qualquer domínio ● Grupos universais de domínio ● Grupos de domínio local, mas somente para o mesmo domínio que o grupo de domínio local pai É possível atribuir permissões de membro somente no mesmo domínio que o grupo de domínio local pai Universal (desde que nenhum outro grupo de domínio local exista como membro) Global ● Contas do mesmo domínio que o grupo global pai ● Grupos globais do mesmo domínio que o grupo global pai Permissões do membro podem ser atribuídas em qualquer domínio Universal (desde que não seja membro de nenhum outro grupo global) Universal ● Contas de qualquer domínio na floresta em que o grupo Universal reside ● Grupos globais de qualquer domínio na floresta em que o grupo Universal reside ● Grupos universais de qualquerdomínio na floresta em que o grupo Universal reside Qualquer domínio ou floresta ● Domínio local ● Global (desde que nenhum outro grupo universal exista como membro) Slide 1 Slide 2 Slide 3 Slide 4 Slide 5 Slide 6 Slide 7 Slide 8 Slide 9 Slide 10 Slide 11 Slide 12 Slide 13 Slide 14 Slide 15 Slide 16 Slide 17 Slide 18 Slide 19 Slide 20 Slide 21 Slide 22 Slide 23 Slide 24
Compartilhar