Baixe o app para aproveitar ainda mais
Prévia do material em texto
TCE-SP – Agente Infraestrutura Aula 02 – Active Directory Teoria e Exercícios - Página 1 de 34 Aula 02 – Active Directory (e Interoperabilidade) ............................................ 2 1. Active Directory .................................................................................................................................. 2 1.1. Noções básicas ................................................................................................................................. 2 1.2. Modos de implantação do Active Directory .................................................................................... 7 1.3. Declarações de recursos no Active Directory .................................................................................. 7 1.4. Auditoria de segurança .................................................................................................................... 8 1.5. Controle de Acesso Dinâmico (Windows Server 2012) ................................................................... 8 Questões Resolvidas – Active Directory ................................................................................................ 9 2. Interoperabilidade ............................................................................................................................ 30 2.1. Likewise ......................................................................................................................................... 31 2.2. eDirectory ...................................................................................................................................... 32 Sumário Questões Comentadas - Interoperabilidade ......................................................... 41 3. Conclusão ......................................................................................................... 42 4. Referências ...................................................................................................... 43 Saudações, concurseiros! Voltamos ao trabalho, agora com o Active Directory, assunto mais cobrado pelas bancas sobre a plataforma Windows Server. Incluímos também questões de outras bancas para reforçar os conceitos. Estas questões não são a série completa que temos do CESPE, FCC, etc, mas mantivemos questões que têm a ver também com a interoperabilidade, outra palavra-chave cobrada no tópico do edital o qual esta aula trata. Vamos aos estudos! Página 2 de 34 TCE-SP – Agente Infraestrutura Aula 02 – Active Directory Teoria e Exercícios 1. Active Directory 1.1. Noções básicas Amigos, esta é talvez a parte mais importante dentro deste tópico do Windows Server. No Windows 2008 Server em diante, o serviço de diretório é chamado d Active Directory Domain Services (AD DS). Para habilitar a sua função (role) no Gerenciador do Servidor (Roles → Add Roles). O AD DS permite a criação de uma base gerenciável e escalável de usuários e recursos. Vamos ver algumas características do AD (usaremos AD para facilitar, mas lembre se da nomenclatura AD DS). O que é um serviço de diretório? Primeiro temos que definir o que é um diretório. Diretório é uma estrutura lógica que armazena informações de recursos, como contas de usuário, grupos de usuários, pastas compartilhadas, impressoras, entre outros. Através do serviço de diretório, podemos gerenciar o acesso dos usuários a esses recursos dos diretórios, de acordo com suas devidas permissões. Lightweight Directory Access Protocol (LDAP) O LDAP é um protocolo padrão de diretórios de informação. Com ele, é possível definir estruturas em forma de árvore. O LDAP é um banco de dados otimizado para consulta. O Active Directory é compatível com LDAP desde a versão do Windows 2000. Contas de usuário No Windows, há duas possibilidades de contas de usuários. Uma é a conta de usuário local, que fica em um banco de dados local na máquina. Esta conta local é gerenciada pelo chamado SAM (Security Account Manager), ou Gerente de Contas de Segurança. Obs.: o banco de dados das contas locais fica em %systemroot%\system32\config TCE-SP – Agente Infraestrutura Aula 02 – Active Directory Teoria e Exercícios - Página 3 de 34 A outra opção é as contas de usuário de domínio, no serviço de diretório, o Active Directory (AD). O mesmo vale para os grupos. Grupos de usuários podem ser locais (cadastrados na máquina local) ou de domínio (cadastrados no diretório). Grupos podem estar aninhados uns dentro dos outros. Para aninhamento entre grupos locais e grupos de domínio, somente os grupos locais podem conter grupos de domínio. Os grupos de domínio não podem conter grupos locais. Como o diretório inclui em sua base de dados somente os usuários e grupos de domínio, não incluindo os usuários e grupos locais das diversas máquinas que acessam o diretório, portanto um grupo de diretório não pode conter um grupo local. Entendeu? A máquina local acessa o domínio, mas o domínio não acessa os grupos e usuários da máquina local. UOs e contêineres – Af professor, esse negócio de uó? Meu caro, UO não é “uó do borogodó”, é Unidade Organizacional (em inglês OU – Organizational Unit), é uma unidade de armazenamento (ou contêiner) de informação dentro da arquitetura em árvore do diretório, no qual é possível colocar usuários, grupos, computadores e outras Unidades Organizacionais. Como sabemos, os protocolos de diretórios de informações como LDAP, utilizam estruturas em forma de árvore para armazenar as informações. Cada entrada possui um DN (Distinguished Name ou Nome Distinto) e atributos. Na árvore, os nós superiores são entradas pai e as folhas contém UOs com seus respectivos UIDs (Identificador Único). Você pode definir suas UOs para atender suas necessidades, como por exemplo definir várias UOs para diferente sedes da empresa, diferentes departamentos, funções, versões do sistema operacional ou outra que você achar relevante. Para exemplificar, vamos criar uma UO “vendas” em um domínio empresa.com: dsadd ou “ou=vendas,dc=empresa,dc=com” A OU é “vendas”, que está dentro dos Domain Components empresa, e com, nesta ordem hierárquica. Assim fica mais fácil de entender né? Página 4 de 34 Figura 1: exemplo de uma árvore de domínio no AD. Essa organização hierárquica nos dá a possibilidade de agregação de árvores de domínios dentro de outras árvores de domínio. A isso damos o nome de florestas. Quando uma árvore é agregada a outra, cria-se uma relação de confiança entre elas. Veja o exemplo na ilustração a seguir. TCE-SP – Agente Infraestrutura Aula 02 – Active Directory Teoria e Exercícios - Página 5 de 34 Schemas Schemas são formas de dizer como os dados contidos nos objetos da base devem ser. Por exemplo: o nome pessoal deve conter até 100 caracteres; o nome da conta do usuário deve ser uma sequência de 11 números. Domínios X Workgroups Grupos de trabalho (workgroups) são uma maneira de dizer que um grupo de máquinas está em um mesmo grupo lógico, dentro do qual podem compartilhar recursos entre si. Nos workgroups, cada máquina é configurada para dizer que pertence a este workgroup (geralmente em “meu computador → propriedades → alterar configurações → nome do computador”). Esta configuração é recomendada ser utilizada para até 10 máquinas. A partir daí é interessante ter um domínio. Domínio é algo parecido com os workgroups, mas com suporte a mais recursos, e o gerenciamento desse domínio passa a ser feito por um servidor central, o Controlador de TCE-SP – Agente InfraestruturaAula 02 – Active Directory Teoria e Exercícios Página 6 de 34 Domínio. Uma vez incluída no domínio, é possível fazer configurações nas máquinas do domínio através do Controlador do domínio, sem a necessidade de ir fisicamente em cada máquina efetuar as configurações. Recursos adicionais do AD O AD possui os seguintes recursos adicionais: • Um conjunto de regras, o “schema”, que define as classes de objetos e atributos que são contidos no diretório, as constantes e limites de instâncias desses objetos, e o formato dos seus nomes; • Um catálogo global que contém informação sobre cada objeto no diretório. Usuários e administradores podem usar o diretório global para encontrar informação do diretório, independentemente de qual domínio no diretório contém os dados; • Um mecanismo de consulta e indexação, para que os objetos e suas propriedades possam ser publicados e encontrados pelos usuários da rede ou aplicações; • Um serviço de replicação que distribui dados de diretório em uma rede. Todos os controladores de domínio graváveis em um domínio participam na replicação e contêm uma cópia completa de todas as informações de diretório para seu domínio. Qualquer alteração aos dados do diretório é replicada para todos os controladores de domínio que estão dentro do domínio; • Funções de operação como master (também conhecidas como operações de mestre único flexível ou FSMO). Os controladores de domínio que possuem as funções de mestre são designados para realizar tarefas específicas para garantir a consistência e eliminar entradas conflitantes no diretório; • A partir do Windows 2008, há a possibilidade de instalação de Controladores de Domínio somente leitura (RODC – Read Only Domain Controller), que são uma cópia da base do controlador de domínio central sem possibilidade de alteração por um administrador local ou indivíduo mal-intencionado. As alterações no AD DS são feitas somente no Domain Controller central. TCE-SP – Agente Infraestrutura Aula 02 – Active Directory Teoria e Exercícios Página 7 de 34 1.2. Modos de implantação do Active Directory Uma vez entendidas os conceitos principais do AD, podemos agora ver em quais modos podemos fazer uma implementação de um servidor AD. Quando estamos instalando um o AD DS em um Windows Server (isto vale para o 2008 R2 e o 2012), temos algumas configurações de implantação (deployment) possíveis, que aparecem como opções adicionais durante a instalação do AD DS: a primeira é quando vamos instanciar uma nova floresta (como vimos, floresta é um conjunto de domínios), neste caso o controlador de domínio é criado como raiz e é configurado como um servidor de Catálogo Global (Global Catalog); uma outra opção é a criação de um servidor DNS. Esta opção permite um servidor de nomes de domínio integrado ao AD DS; e a última é a criação de Controlador de Domínio Somente-Leitura (Read-only Domain Controller), que já expusemos a utilidade no tópico anterior. 1.3. Declarações de recursos no Active Directory Ao declararmos um diretório (e outro objeto em geral), podemos fazer configurações de identidade e acesso por várias maneiras: • Baseado em localização: baseado na localização onde se encontram, podemos já definir quais serão as permissões que os diretórios terão, uma vez que se encontrem em determinados lugares, eliminando a necessidade de ter que configurar individualmente as permissões para cada recurso. • Regras de acesso baseadas em expressões: podemos definir por exemplo políticas de acesso baseado nos dispositivos (computadores por ex.) que estão tentando acessar, implementando assim um acesso discricionário (DAC – Discretionary Access Control). Podemos definir nas expressões, além de declarações de dispositivos, declarações de restrições por usuários e por recursos. Fluxo de criação de uma política de acesso • São criadas no Active Directory as declarações, definições e as políticas dos objetos; TCE-SP – Agente Infraestrutura Aula 02 – Active Directory Teoria e Exercícios Página 8 de 34 • Com a GPO (Group Policy Object), essas políticas são enviadas aos usuários; • Nos usuários, o acesso aos objetos é verificado via um pedido para o servidor no momento da tentativa de acesso. 1.4. Auditoria de segurança As políticas de auditoria servem para que o administrador saiba o que está acontecendo com seus sistemas em caso de problemas, e também para atender os atuais padrões de auditoria que são exigidos no mercado, como o Sarbannes-Oxley, entre outros. Um bom registro deve conter quem acessou, de onde acessou, e o que acessou. As políticas de segurança podem ser definidas através do GPO ou nos próprios usuários. Nas políticas definimos registros de eventos quando usuários que não têm permissão sobre um determinado recurso tentam acessá-lo. 1.5. Controle de Acesso Dinâmico (Windows Server 2012) Através do Controle de Acesso Dinâmico, podemos configurar controles de acesso que não estão comumente disponíveis no NTFS. Podemos, por exemplo, configurar que um usuário tenha acesso a um diretório mesmo que este esteja em um grupo que não tinha originalmente acesso a este diretório, desde que atendidas as regras configuradas. Por exemplo, um usuário que não esteja no grupo admin, pode ter um acesso a um determinado recurso, se ele fizer este acesso de um determinado usuário e máquina (ex.: Configurar um acesso a um diretor da organização). Este recurso elimina a necessidade de termos que ficar criando outros grupos e regras para atender estes acessos discricionários. Também é possível implementar o acesso dinâmico através de tags (etiquetas), tornando a configuração mais simples. É importante ressaltar que o Acesso Dinâmico não exclui nem é incompatível com o uso das ACLs do NTFS, sendo apenas um recurso complementar! Para que este recurso funcione, precisamos ter os recursos de FSM (File Storage Services) e o FSRM (File Resource Manager) habilitados. TCE-SP – Agente Infraestrutura Aula 02 – Active Directory Teoria e Exercícios Página 9 de 34 Questões Resolvidas – Active Directory CESGRANRIO - 2012 - Petrobrás - Analista de Sistemas Júnior - Infraestrutura Uma novidade no ambiente Microsoft Windows Server 2008, em relação às versões anteriores, foi o surgimento de um controlador de domínio chamado a) PDC (Primary Domain Controller) b) BDC (Backup Domain Controller) c) WDC (Wide Domain Controller) d) NDC (Narrow Domain Controller) e) RODC (Read-only Domain Controller) Comentário: Lembram? Trabalhamos esse assunto nos recursos avançados do AD DS, no finalzinho do capítulo. Caso você não esteja lembrando, vamos lá: PDC e BDC são componentes do AD, mas não são novidades da versão 2008. Os conceitos de WDC não é novidade e NDC não é um conceito utilizado no AD (sequer faz sentido). A novidade incluída no Windows Server 2008 é o RODC – Read-only Domain Controller. Resposta: E CESGRANRIO - 2010 - BACEN - Analista do Banco Central - Área 1 Uma grande empresa julgou necessário estabelecer que o tamanho mínimo da senha de logon seja de 9 caracteres, no domínio da rede Windows 2003. Que solução de menor custo administrativo é apropriada para essa situação? a) Configuração de GPO, aplicada ao domínio, com a diretiva desejada. b) Configuração de um servidor central de proxy para autenticação e autorização. c) Inclusão da propriedade “Comprimento de Senha” no grupo “Todos”(Everyone). d) Desenvolvimento de um script .bat para alteração de chaves do registro das estações. TCE-SP – Agente Infraestrutura Aula 02 – Active Directory Teoria e Exercícios Página 10 de 34 e) Instalação de um servidor RADIUS no domínio para controle da políticade senhas. Comentário: Este é um tipo de tarefa que se enquadra totalmente na funcionalidade dos GPO (Group Policy), ou diretivas de grupo. Para executar a restrição pedida através da forma mais simples(e econômica), basta criarmos uma GPO para a senha de logon e aplicarmos ao domínio, conforme descreve o item A. Resposta: A CESGRANRIO - 2010 Em uma rede que utiliza Active Directory com servidores Windows Server 2008, descobriu-se que foram delegados, indevidamente, privilégios administrativos para vários usuários de uma OU. Essas delegações foram feitas sem autorização do CIO e foi decidido que essa OU deverá retornar a seu estado original. Qual procedimento deve ser realizado para que a OU retorne ao seu estado original? a) Utilizar o comando dsacls informando o domínio e a OU com a opção/resetDefaultDACL. b) Utilizar o comando dsquery com a opção de /DefaultAdmin. c) Copiar a OU para outro domínio da mesma floresta. d) Criar outro domínio e copiar a OU. e) Apagar e criar novamente a conta administrador e o grupo administradores. Comentário: Questão enjoadinha né? É daquelas feitas para filtrar quem não tem vivência com o tema. Vamos analisar os itens. B) Ele fala do comando dsquery. dsquery é um comando para buscar vários tipos de informações no diretório, não é para alterações. Errado. C) Copiar a OU para outro domínio vai fazer que a OU original continueexistindo com as mesmas permissões do usuário continuará sobre ela. Errado. TCE-SP – Agente Infraestrutura Aula 02 – Active Directory Teoria e Exercícios Página 11 de 34 D) Copiar a OU para outro domínio novo incorre no mesmo problema doitem C e não atende ao objetivo E) Apagar e criar novamente a conta administrador e o grupo administradores não irá resolver, pois o privilégio administrativo delegado pelos usuários não necessariamente foi obtido através da inclusão deles no grupo administradores. Além disso não foi falado se a conta administrador e o grupo administradores é local ou de domínio. Um usuário do grupo local “administradores” pode não ter privilégio de administrador do domínio no AD, enquanto um usuário “joao” pode ter esse privilégio. A) O comando dsacls “exibe ou modifica permissões de um objeto do AD DS”. Ao fornecermos como parâmetro a OU e a opção “/resetDefaultDACL” irá ser restaurado para o padrão da ACL do diretório para os objetos da OU. Este padrão é definido no schema que define estes objetos. (O padrão de um objeto do tipo usuário é geralmente ser usuário comum, nãoadministrador). Resposta: A CESPE - 2013 - SERPRO - Analista - Redes Na estrutura do Microsoft Active Directory, cada objeto é associado a um LDAP distinguished name (DN), que é sua representação LDAP completa, ou seja, totalmente qualificada. Certo ( ) Errado ( ) Comentário: O Distinguished Name (DN) é o nome completo do objeto, que é composto pelo seu Relative Distinguished Name (RDN) mais o DN do pai deste objeto. Podemos comparar o DN com o caminho completo de um arquivo, com o RDN sendo o nome do arquivo. Podemos imaginar também um domínio na web: sub.dominio.com.br, onde o RDN sendo o menor nível de subdomínio (sub), enquanto o DN é o endereço web completo (sub.dominio.com.br). O nome completo é chamado de completamente/totalmente qualificado. Resposta: C CESPE - 2013 - SERPRO - Analista - Redes TCE-SP – Agente Infraestrutura Aula 02 – Active Directory Teoria e Exercícios Página 12 de 34 Nas versões do Windows Server 2003 e superiores, o serviço de DNS pode ser integrado ao serviço de Active Directory, o que permite a resolução de nomes DNS integrada com estações que compõem a estrutura de domínio e diretórios do Active Directory. Certo ( ) Errado ( ) Comentário: A partir do Windows Server 2003, podemos integrar o DNS ao ADDS. Quando essa configuração é feita, os clientes do domínio localizam os controladores de domínio através do próprio DNS provido pelo servidor do ADDS. Adicionalmente, é possível também integrar a replicação das zonas DNS com os servidores ADDS em estrutura distribuída (vários servidores). A essas zonas de DNS operando dentro do Active Directory, é dado o nome de “Active Directory Integrated Zones”. Resposta: C CESPE - 2013 - SERPRO - Analista - Redes Um servidor DNS que faz parte de uma estrutura do Active Directory só pode ser do tipo autoritativo, dado que é necessário ter permissão de instalação do sistema DNS. Certo ( ) Errado ( ) Comentário: Um servidor DNS ser autoritativo diz respeito a ele ser o servidor DNS que tem autoridade sobre um determinado domínio, ou seja, ele quem diz o endereço dos hosts deste domínio, enquanto os outros perguntam a ele quando desejam saber o endereço. Um servidor DNS (falando de Windows e AD) só pode ser autoritativo para um domínio que eu tenha controle. Algumas vezes eu não posso ser o cara que tem o endereço de todos os servidores de todos domínios, ou de um outro departamento. Resumindo, se eu cuido dos servidores de aplicação XYZ, e não cuido dos servidores de Web Intranet eu tenho que ir buscar esses endereços em algum outro DNS, pois não sou eu quem administro esses servidores nem esse TCE-SP – Agente Infraestrutura Aula 02 – Active Directory Teoria e Exercícios Página 13 de 34 domínio, que possa responder por todas mudanças de endereços IPs nesses hosts. Portanto um servidor DNS não tem como ser somente autoritativo em todos os casos. Afirmação errada. Resposta: E CESPE - 2012 - TRE-RJ - Analista Judiciário - Análise de Sistemas Com relação ao Active Directory e ao LDAP, julgue os itens a seguir. No Windows Server 2003, a combinação de vários domínios de Active Directory em uma floresta permite que todos os domínios passem a confiar automaticamente uns nos outros, bem como que os domínios passem a compartilhar um conjunto de supercontroladores de domínio, denominados servidores de catálogo global (GC). Certo ( ) Errado ( ) Comentário: Vimos que vários domínios combinados no AD formam uma floresta e passam a ter uma relação de confiança entre si. Nesta configuração, ao criar uma floresta, os controladores de domínio passam a ser controladores de vários domínios e é criado um catálogo global. Resposta: Certo. CESPE - 2012 Com relação ao Active Directory e ao LDAP, julgue os itens a seguir. O LDAP é um protocolo executado sobre TCP/IP e exclusivo para redes Unix que permite organizar recursos de forma hierárquica, tais como árvores de diretório. Certo ( ) Errado ( ) Comentário: O LDAP funciona sobre o TCP/IP. Correto. TCE-SP – Agente Infraestrutura Aula 02 – Active Directory Teoria e Exercícios Página 14 de 34 Porém é um protocolo aberto, portanto NÃO exclusivo de redes Unix. Inclusive comentamos que o AD DS suporta o LDAP. As afirmações seguintes, sobre organizar recursos de forma hierárquica como árvores de diretório, são corretas. O erro se encontra na parte em que ele afirma que o protocolo LDAP é exclusivo para redes Unix. Está errado. O LDAP é um protocolo aberto e é implementado por vários sistemas, como o Windows Server. É utilizado também no Linux e outros SOs. Aliás, já é um bizu conhecido dos concurseiros: tenha muito cuidado com afirmações que dizem “sempre”, “nunca” e “somente”, geralmente tendem a ser falsas, mas tenha sempre muita atenção! Resposta: E CESPE - 2011 - BRB - Analista de Tecnologia da Informação Em uma estrutura em que D1, D2 e D3 sejam domínios de uma árvore no Active Directory, se D1 confiar em D2, e D2 confiar em D3, então D1 confiará em D3. Certo ( ) Errado ( ) Comentário: Esta questão também fala sobre a relação de confiança entre domínios. Quando se formam relações de confiança entre domínios de uma mesma árvore, o AD automaticamente faz a “transitividade” desta confiança entre os domínios. Situações onde não há essa transitividade aparecem nos casos onde se está estabelecendo uma relação de confiança entre um domínio do Windows 2003+ e um “realm” Kerberos não-Windows ou um domínio Windows NT 4.0 (é o novo!). Resposta: C CESPE - 2011 - Correios - Analista de Correios- Analista de Sistemas – Produção TCE-SP – Agente Infraestrutura Aula 02 – Active Directory Teoria e Exercícios Página 15 de 34 O Active Directory possibilita a construção e manutenção de redes com diversos domínios, denominados florestas, e permitem que os relacionamentos de segurança entre domínios, conhecidos por relacionamentos de confiança, sejam automaticamente criados e mantidos. As árvores também possuem confianças automáticas. Certo ( ) Errado ( ) Comentário: O AD permite a criação e manutenção de diversos domínios. Ok. Aos diversos domínios damos o nome de florestas. Ok. As florestas permitem os relacionamentos de segurança entre os domínios, que são conhecidos como relacionamentos de segurança. Ok. Esses relacionamentos são automaticamente criados e mantidos quando formamos as florestas, no momento da inclusão de um domínio dentro de outro. As árvores que estão dentro dos domínios também têm relação de confiança gerenciadas pelo catálogo global, a entidade que armazena as informações não só do domínio, mas de todos domínios (floresta) quando estes se juntam. Resposta: C CESPE - 2011 - MEC - Administrador de Redes No Active Directory, contêiner é o termo usado para definir um conjunto de objetos hierarquicamente organizados. Certo ( ) Errado ( ) TCE-SP – Agente Infraestrutura Aula 02 – Active Directory Teoria e Exercícios Página 16 de 34 CESPE - 2011 - MEC - Administrador de Redes No Active Directory, os elementos que definem as permissões de controle de acesso para os objetos são apenas descritores de segurança e herança de objetos. Certo ( ) Errado ( ) Comentário: Os elementos que definem as permissões de acesso dos usuários sobre os objetos são: descritores de segurança, herança de objetos e autenticação do usuário. Resposta: E TCE-SP – Agente Infraestrutura Aula 02 – Active Directory Teoria e Exercícios Página 17 de 34 CESPE - 2011 - MEC - Gerente de Segurança Para o funcionamento do Active Directory, é necessário que, no ambiente Windows em que ele esteja instalado, exista um firewall de contexto, configurado e ativado. Certo ( ) Errado ( ) Comentário: Para que o Active Directory seja instalado e habilitado, não é necessária a instalação de um Firewall. Na prática um servidor AD costuma estar em uma parte da rede em que fica disponível para os usuários sem que haja um Firewall através. “Firewall de contexto” remete a “context-based firewall”, um recurso de firewalls inteligentes, conceito inserido apenas para tentar confundir o candidato. Resposta: E CESPE - 2011 - MEC - Gerente de Segurança Para funcionar adequadamente, o Active Directory precisa de um serviço DNS configurado. Certo ( ) Errado ( ) Comentário: O Active Directory é totalmente dependente do DNS. Pode-se utilizar um DNS externo, ou usar um DNS integrado ao AD. Resposta: C TCE-SP – Agente Infraestrutura Aula 02 – Active Directory Teoria e Exercícios Página 18 de 34 CESPE - 2011 - PREVIC - Analista de Tecnologia da Informação A GPO (group policy) é capaz de mudar configurações, restringir ações ou distribuir aplicações em seu ambiente de rede. Ao se criar uma OU (organizational unit) para cada departamento da empresa, diferentes configurações de GPO podem ser criadas para cada um desses departamentos. Certo ( ) Errado ( ) Comentário: O GPO é uma das grandes funcionalidades do AD. Através dele, podemos definir regras (políticas) de implantação de configuração nos grupos. As configurações podem ser definidas para Unidades Organizacionais, podendo ser criados grupos grupos formados por determinados perfis de máquinas ou perfis de usuários, enfim praticamente qualquer grupo, desde a organização toda até um único usuário (possível a partir do Windows Server 2008). Tudo correto no enunciado. Esta funcionalidade serve para segmentara implantação das configurações, uma vez que determinados podem exigir perfis diferentes de configurações, permissões, softwares instalados, etc. Isto facilita muito a vida dos administradores de rede. Resposta: C CESPE - 2010 - TRE-BA - Analista Judiciário - Análise de Sistemas Active Directory implementa o conceito de LDAP (lightweight directory access protocol) reunindo, em um único local, as bases de dados de usuários, de permissões e de recursos. Certo ( ) Errado ( ) Comentário: Vamos aquecendo. O AD é uma implementação do LDAP, protocolo que define árvore de objetos usada para armazenar dados de usuários e recursos. Nesses diversos nós das árvores podemos armazenar permissões de acesso nos objetos e associar permissões de acesso aos usuários. Tudo correto. Resposta: C TCE-SP – Agente Infraestrutura Aula 02 – Active Directory Teoria e Exercícios Página 19 de 34 CESPE - 2010 Acerca de instalação, configuração e administração de sistemas operacionais Windows Server, julgue os itens que se seguem. A GPO (group policy) é capaz de mudar configurações, restringir ações ou distribuir aplicações em seu ambiente de rede. Ao se criar uma OU (organizational unit) para cada departamento da empresa, diferentes configurações de GPO podem ser criadas para cada um desses departamentos. Certo ( ) Errado ( ) Comentário: Uma OU nada mais é do que um contêiner onde você pode colocar usuários, grupos, computadores e outras OUs. É possível sim criar políticas de grupos para uma OU e essa é uma das principais funcionalidades do AD DS. Correto. Resposta: C CESPE - 2010 - TRE-MT - Analista Judiciário - Tecnologia da Informação Acerca do active directory (AD), assinale a opção correta. a) O AD, disponível no MS Windows Server 2003, possui suporte ao protocolo LDAP (lightweight directory access protocol) versão 1. b) No AD, uma OU (organization unit) pode conter objetos dos tipos computadores, usuários e aplicações. c) O AD permite a existência de múltiplos relative identifier (RID) operation master role ativos em um mesmo domínio. d) Uma modificação no directory schema possui impacto direto na estrutura do AD. Por esse motivo, é vedada a inserção de nova classe no directory schema. TCE-SP – Agente Infraestrutura Aula 02 – Active Directory Teoria e Exercícios Página 20 de 34 e) No AD, uma tree representa uma coleção de um ou mais elementos denominados partitions. Comentário: Essa questão tá no nível “hard”. A) Item capcioso, porém sabemos que o LDAP é um protocolo muito antigoque evoluiu durante os vários anos de uso. O Windows Server 2003 em diante suporta o LDAPv3. Errado. B) Uma OU pode conter objetos dos tipos computadores, usuários e aplicações, sim. Guarda essa aí. C) Este item fala sobre dois “operation master role”. Os controladores de domínio podem ser instanciados para várias funções operando com mais de um servidor “master”, onde a alteração em um deles é replicada nos demais. No entanto para algumas funções, como por exemplo alterações de schemas (Schema Master), só é permitido um único master. A função (role) de Relative identifier operation Master é uma dessas que permite um único master. Outras deste tipo são Domain Naming Master e Infrastructure Master. Errada. D) Alterações no schema, como incluir uma nova classe são sim permitidas. Aúnica coisa que temos que ter cuidado é em garantir a replicação consistente destas alterações para os demais controladores de domínio, por isso essa função só pode ser feita por um master, como comentamos no item anterior. Errada. E) Os elementos da árvore do AD DS são chamados objetos e não partitions. Errada. Resposta: B CESPE - 2009 - INMETRO - Analista Executivo em Metrologia e Qualidade O Active Directory é implementado usando a estrutura do X.500 para os dados do diretório. Certo ( ) Errado ( ) TCE-SP – Agente Infraestrutura Aula 02 – Active Directory Teoria e Exercícios Página 21 de 34 Comentário: Vida de concurseiro édifícil, mas a recompensa vale a pena. Devemos sempre saber os vários nomes das coisas, bem como o nome na língua inglesa, que por ser as vezes bastante usual, pode vir na questão desta forma. Sabemos que o Active Directory é uma implementação do LDAP. O LDAP, por sua vez, é uma implementação do serviço de diretórios definido pelo protocolo X.500, que fala (resumindo) sobre uma maneira de armazenamento de informações utilizando organização hierárquica. O X.500 é um padrão ISO/IEC. Como AD é implementação de LDAP, e o LDAP implementa o X.500, pela transitividade, podemos dizer que o AD implementa a estrutura do X.500. :) Resposta: C CESPE - 2008 - HEMOBRÁS - Analista de Gestão Corporativa - Administrador de Redes A administração e os direitos administrativos podem ser distribuídos por vários objetos na estrutura de diretórios por usuários no active directory. Certo ( ) Errado ( ) Comentário: Os direitos administrativos podem ser delegados a outros objetos, usuários por exemplo. Um exemplo comum: sou o usuário Alfredo e administrador do domínio (Domain Admins), e incluo o usuário Beto no grupo de administradores de domínio. Por estar neste grupo, o usuário Beto poderá fazer qualquer tarefa no domínio. Resposta: C TCE-SP – Agente Infraestrutura Aula 02 – Active Directory Teoria e Exercícios Página 22 de 34 FCC – 2014 - Órgão: AL-PE - Prova: Analista Legislativo - Infraestrutura Com as providências preliminares de instalação do Active Directory Domain Services Domain Controller e as necessárias configurações já realizadas, antes de instalar o App-V Managements Server, devem ser criados os seguintes objetos no Active Directory: I. Organizational Unit (OU). II. Microsoft Application Virtualization Administrative Group. III. Microsoft Application Virtualization Users Group. IV. Domain Test User Account.V. Application Groups. Está correto o que consta em : a) I, II, III, IV e V. b) I, II, IV e V, apenas. c) II, III, IV e V, apenas. d) II, IV e V, apenas. e) III, IV e V, apenas. Comentário: Essa questão cobrando conhecimentos tando do AD quando do App-V, seguindo a tendência moderna da interdisciplinaridade. Embora esta questão seja bem técnica, bem ao estilo da FCC, esta é uma tendência que vem tendo adotada um pouco por praticamente todas as bancas. Mesmo que seja interdisciplinaridade entre dois tópicos que estão dentro do mesmo conteúdo. Para instalar os dois serviços, temos que habilitar os 5 itens. Resposta: A TCE-SP – Agente Infraestrutura Aula 02 – Active Directory Teoria e Exercícios Página 23 de 34 FCC – 2014 - Órgão: AL-PE - Prova: Analista Legislativo - Infraestrutura O gerenciamento de identidade sempre foi uma das tarefas mais críticas das redes baseadas no Windows. As implicações de um sistema de gerenciamento de identidades mal administrado estão entre as principais preocupações relacionadas à segurança em qualquer organização. O Windows Server 2008 R2 possui várias melhorias no gerenciamento de identidade nos Serviços de Domínio Active Directory. Uma dessas melhorias é que: a. O computador pode ingressar em um domínio sem estar conectado aele durante o processo de implantação, o que é conhecido como ingresso em domínio offline. Esse processo permite automatizar completamente o ingresso em um domínio durante a implantação. Os administradores do domínio criam um arquivo XML que pode ser incluído como parte do processo de implantação automatizado. O arquivo inclui todas as informações necessárias para que o computador de destino ingresse no domínio. b. O recurso Arquivos Online garante que arquivos e pastas armazenadosem pastas compartilhadas da rede sejam acessados e identificados somente quando estas estiverem disponíveis (online). Isso evita que usuários desconectados façam alterações em arquivos que estejam sendo acessados pelos usuários online quando, nessa situação, o sistema R2 realiza o lock automaticamente. c. A garantia da identidade de uma máquina conectada ao server e operando em modo offline seja obtida pelo recurso registrado em um processo DMZ ainda que o próprio processo esteja inoperante. Os arquivos XML que contêm os registros de domínio informam ao processo quando e quem está tentando acessar um computador para se conectar ao server cluster, inicializando-o, sempre que necessário, para estabelecer uma conexão segura. d. O computador pode ingressar em um domínio estando conectado a eledurante o processo de implantação, o que é conhecido como ingresso em domínio online. Esse processo inibe o acesso a computadores que não estejam devidamente certificados pela inicialização do server 2008 R2. Nessa circunstância, os administradores do domínio ficam monitorando constantemente o processo de implantação detectando possíveis anomalias e reportando os problemas de acesso no banco de dados de domínio. e. No recurso Failover, o computador que fornece serviços de ServidorCluster obtém as informações de conexão via DHCP. O servidor DHCP, em caso de falha de obtenção da TCE-SP – Agente Infraestrutura Aula 02 – Active Directory Teoria e Exercícios Página 24 de 34 configuração IP, envia informação ao processo Failover que, então, reinicializa o Server Cluster, mas mantém ativo o Server DHCP, para que este continue operante com outras máquinas da rede. Comentário: Segundo a documentação oficial da Microsoft: “Introduzido no Windows Server 2008 R2, controladores de domínio incluem um recurso chamado Associação Offline de domínio. Um utilitário de linha de comando chamado Djoin.exe permite que você associar um computador a um domínio sem fisicamente contatar um controlador de domínio ao terminar a operação de junção de domínio. As etapas gerais para o uso de Djoin.exe são: Execute djoin /Provision. para criar os metadados da conta de computador. A saída deste comando é um arquivo. txt que inclui um blob codificado da base-64. Execute djoin /requestODJ para inserir os metadados da conta de computador do arquivo. txt no diretório do Windows do computador de destino. Reinicie o computador de destino e o computador vai ser associado ao domínio. “ Dessa forma, este recurso é muito útil para implantações automatizadas do Windows, instalações “unattended”, que são automatizadas através de um arquivo de resposta, neste caso entre os passos da instalação, aponta para um arquivo em formato XML contendo as credenciais para acesso ao domínio. Esta instalação poderá seguir um roteiro já predeterminado pelo administrador, fazendo uma série de configurações e instalações na máquina onde está sendo instalada, sem necessidade de um técnico pessoalmente ir à máquina para fazer isso. Este técnico teria ainda que ter credenciais de Controlador de Domínio, ou pedir para que outro administrador habilitado como controlador incluísse a máquina no domínio. Este processo automatizado evita todo esse trabalho manual. O item D troca o nome do recurso com “Ingresso Online” para tentar confundir o candidato (que bobo, todo mundo sabe que ingresso online é aquele site para comprar o bilhete do cinema :P). TCE-SP – Agente Infraestrutura Aula 02 – Active Directory Teoria e Exercícios Página 25 de 34 Os itens B, C e E tentam associar algumas funcionalidades do AD com conceitos extravagantes ao assunto da questão, e estão errados. Resposta: A FCC – 2014 - Órgão: TRF - 3ª REGIÃO - Prova: Analista Judiciário – Informática O Active Directory inclui: I. Um conjunto de regras, o esquema, que define as classes de objetos eatributos contidos no diretório, as restrições e os limites das ocorrências desses objetos e o formato de seus nomes. II. Um catálogo local que contém informações gerais dos objetos de configuração. Permite que apenas administradores encontrem informações de diretório independentemente de qual domínio do diretório realmente contenha os dados, garantindodesse modo, a integridade e segurança dos dados. III. Um mecanismo de consulta e índice para que os objetos e suas propriedades possam ser publicados e encontrados por usuários ou aplicativos da rede. IV. Um serviço de replicação que distribui dados de diretório em uma rede.Todos os controladores de domínio em um domínio participam da replicação e contêm uma cópia completa de todas as informações de diretório referentes a seu respectivo domínio. Qualquer alteração nos dados de diretório é replicada para todos os controladores de domínio no domínio. Está correto o que consta APENAS em a. I e IV. b. I, II e III. c. II e IV. d. II e III. e. I, III e IV. Comentário: Vamos comentar item a item. TCE-SP – Agente Infraestrutura Aula 02 – Active Directory Teoria e Exercícios Página 26 de 34 I. Este item define de forma correta o que é o schema: um conjunto deregras sobre como as informações são armazenadas na estrutura dos objetos. II. É incorreto dizer que somente os administradores podem recuperar informações. Qualquer usuário pode recuperar suas informações, é para isso que o diretório serve. III. Correto, o mecanismo de índice e de busca é uma das principais partes do serviço de diretório. IV. Uma estrutura com vários controladores de domínio é útil para disponibilidade e o desempenho do serviço de diretório, pode por exemplo dividir a carga das consultas entre vários servidores. Ou pode ainda diminuir o tempo de resposta ao disponibilizar numa rede local o servidor com as informações do domínio, em vez de consultar um servidor remoto. Temos então os itens I, III e IV corretos. Letra E. Resposta: E VUNESP - 2014 - Órgão: PRODEST-ES - Prova: Técnico de Tecnologia da Informação Em um servidor Windows Server 2003, o utilitário “dcpromo.exe” tem a função de a. adicionar e remover usuários do domínio. b. exibir os aplicativos instalados no servidor. c. remover programas instalados no servidor. d. configurar e instalar o serviço do Active Directory. e. diagnosticar o motivo de falhas no servidor. Comentário: Essa é questão de prática ou de conhecimento prévio, não tem jeito. O dcpromo é o programa que utilizamos para instalar ou configurar o Active Directory. Resposta: D VUNESP - 2014 - Órgão: PRODEST-ES - Prova: Técnico de Tecnologia da Informação TCE-SP – Agente Infraestrutura Aula 02 – Active Directory Teoria e Exercícios Página 27 de 34 Por padrão, para tornar uma estação de trabalho Windows membro de um domínio do Active Directory, é preciso uma conta a. de convidado no sistema local e no domínio. b. qualquer no sistema local e uma conta de convidado no domínio. c. de convidado no sistema local e uma conta com privilégios administrativo. no domínio. d. com privilégios administrativos no sistema local e uma conta habilitadano domínio. e. qualquer no sistema local e uma conta com privilégios administrativosno domínio. Comentário: Para incluir uma máquina num domínio, a conta deve ser de administrador local, pois estamos fazendo uma alteração importante no sistema, e além disso, devemos ter uma conta com privilégio de Domain Admin, ou seja, de administrador do domínio, um cara que pode fazer alterações no domínio. A resposta é a letra D. Não confundir Domain Admin, um usuário do domínio com nível de privilégio de administrador, com Domain Controller, um servidor que tem o papel de gerenciar centralmente as bases do domínio. Resposta: D VUNESP - 2014 - Órgão: DESENVOLVESP - Prova: Analista A conta de um usuário do Active Directory do Windows Server 2008 foi bloqueada por sucessivas tentativas de logon mal sucedidas. Considerando que a política do domínio define que o bloqueio deve permanecer por tempo indeterminado, para que o usuário faça logon é necessário que a. a senha seja digitada corretamente na próxima tentativa. b. o usuário faça logon em outra estação de trabalho. c. o usuário seja removido do domínio. TCE-SP – Agente Infraestrutura Aula 02 – Active Directory Teoria e Exercícios Página 28 de 34 d. um Administrador remova o bloqueio do usuário. e. outro usuário faça logon na máquina e, em seguida, efetue logoff. Comentário: O bloqueio de um login de usuário, após sucessivas tentativas, é um bloqueio que visa segurança. Por isso, este bloqueio só é liberado através do administrador do domínio. Resposta: D VUNESP - 2013 - Órgão: UNESP - Prova: Assistente de Informática No Windows Server 2008, o protocolo utilizado para consultar e recuperar informações do Active Directory é o; a. CIFS. b. DNS c. DHCP. d. LDAP e. HTTP. Comentário: O protocolo que o AD implementa para consulta e recuperação é o LDAP. Como sabemos, o AD mantém compatibilidade com o LDAP. Resposta: D VUNESP - 2013 - Órgão: COREN-SP - Prova: Administrador de banco de dados Para gerenciar domínios do Active Directory pelo prompt de comando do Windows Server 2008, é necessário utilizar o comando a. admanage. TCE-SP – Agente Infraestrutura Aula 02 – Active Directory Teoria e Exercícios Página 29 de 34 b. adservice. c. dcpromo. d. netdom. e. netsh. Comentário: O netdom é a ferramenta de linha de comando que faz parte do AD e nos permite fazer operações de alterações no domínio. Como exemplos de operações que podem ser executadas através do netdom, podemos citar adição e remoção de máquinas no domínio, alteração de nome da máquina, consultas e alteração de senha. Esse comando é disponível quando temos a função (role) do AD DS habilitada no servidor. Resposta: D VUNESP - 2012 - Órgão: SPTrans - Prova: Técnico de Informática Um visualizador e editor para bases de dados do Active Directory, podendo ser utilizado para navegar e modificar entradas AD, é conhecido como a. Active Directory Explorer b. Active Directory Modifyer c. Active Explorer d. AD Admin e. Active Administrator TCE-SP – Agente Infraestrutura Aula 02 – Active Directory Teoria e Exercícios Página 30 de 34 2. Interoperabilidade O que acontece quando queremos integrar uma estação não-Windows numa rede com Active Directory? Ou usar estações Windows em uma rede com autenticação com OpenLDAP ou outra do tipo? Esta situação é muito comum nas organizações em geral, pois os ambientes de TI estão cada vez mais heterogêneos, com múltiplas plataformas. Nesta situação é onde entra a interoperabilidade, a capacidade de diferentes soluções tecnológicas e protocolos conversarem entre si. Outro ponto importante no mundo da tecnologia é o uso dos padrões abertos. O uso de padrões abertos que uma solução possa continuar funcionando mesmo quando um fornecedor não existe mais ou parou de prestar suporte a um determinado produto. Quem não já tentou abrir um documento de uma versão anterior do MS Office em uma versão mais TCE-SP – Agente Infraestrutura Aula 02 – Active Directory Teoria e Exercícios Página 31 de 34 nova do aplicativo e ele deu erro? Isso é um exemplo claro de como alguns fabricantes fazem estratégias propositais de quebra de padrões para induzir as empresas a adquirirem novas versões de seus produtos, sob pena de não conseguirem continuar funcionando com suas soluções. Reparem que os padrões abertos são diferentes de software livre. Mesmo soluções proprietárias podem (e deveriam sempre) adotar padrões abertos, facilitando a troca de informações entre diferentes sistemas, e possibilitando uma integração menos difícil e custosa entre sistemas e soluções. A indústria de TI precisa de padrões abertos para conseguir operar satisfatoriamente suas soluções. Temos no mundo do desenvolvimento de soluções uma série de exemplos de padrões abertos: Web Services, padrões de referência de arquitetura de sistemas distribuídos, o XML, entre outros vários exemplos. Vamos ver a seguir alguns exemplos de soluções de interoperabilidade em servidores de diretórios de rede. 2.1. LikewiseO Likewise é uma solução de interoperabilidade com o Microsoft Active Directory. Através dele, é possível conectar estações Linux e Mac (entre outras) em redes com o Active Directory (AD) da Microsoft. Geralmente uma rede possui apenas uma fonte de informações e autenticação de usuários. Quando há uma base Active Directory ou outra solução LDAP, é interessante mantermos todos usuários sob a mesma plataforma, pois manter várias bases de usuário ao mesmo tempo pode ser um pesadelo para a TI. Através do Likewise podemos: • Incluir computadores Linux e Unix em um domínio AD; • Autenticar usuários através do AD; • Mapear as informações de UID e GID do Linux/Unix aos objetos no Active Directory; • Autorizar usuários do AD a acessar recursos em computadores Unix e Linux; • Aplicar Políticas de Grupo a computadores Linux e Unix pelo AD; • Gerenciar objetos do Active Directory de um Unix, Linux, Mac com o Console Administrativo do Likewise. TCE-SP – Agente Infraestrutura Aula 02 – Active Directory Teoria e Exercícios Página 32 de 34 Para incluirmos um computador em um domínio AD, o procedimento resumido é esse: • Instalação do Likewise tools no servidor que roda o Active Directory User Configuration e Group Policy Management Console; • Instalação do agente Likewise no sistema da estação de trabalho ou servidor que desejamos incluir no domínio; • Ingresso no domínio no AD através do cliente Likewise (ferramenta Likewise Domain Join Tool). Essas são as principais características de recursos e funcionamento do Likewise, além disso, devemos entender também os próprios conceitos do próprio Active Directory. 2.2. eDirectory O eDirectory é uma solução completa de diretório LDAP. É provida pela Novell, uma das grandes fornecedoras de soluções deste tipo, ao lado da Microsoft, IBM e Red Hat. A funcionalidade desempenhada por ele é muito parecida com a do Active Directory da Microsoft: permite o gerenciamento centralizado de recursos em vários computadores de uma rede. Por ser uma implementação do protocolo LDAP, é naturalmente uma base hierárquica na qual podemos representar em estrutura de árvore objetos como unidades organizacionais, pessoas, servidores, estações de trabalho, aplicações, impressoras, serviços e grupos, entre outros. Uma das suas principais características é ser multiplataforma, suportando Windows, Linux, Novell, Solaris e Unices AIX e HP-UX. Questões Comentadas - Interoperabilidade CESPE - 2008 - SERPRO - Técnico - Operação de Redes Acerca de serviços de diretórios, LDAP, X.500 e tecnologias associadas, julgue os itens a seguir TCE-SP – Agente Infraestrutura Aula 02 – Active Directory Teoria e Exercícios Página 33 de 34 O e-Directory suporta integridade referencial, replicação multi-master e possui uma arquitetura de autenticação modular. Pode ser acessado via LDAP, DSML e SOAP, entre outros, embora não haja suporte par ele na plataforma Windows Server 2000. Certo ( ) Errado ( ) Comentário: Questão retirada direto da Wikipédia. O eDirectory suporta os recursos citados: integridade referencial, replicação multi-master, e possui autenticação modular. Ele pode ser acessado, além de LDAP DSML e SOAP, por ODBC, JDBC, JNDI e ADSI. Porém ele é suportado pelo Windows Server, inclusive a versão 2000, o que torna a questão errada. Resposta: Errado 3.Conclusão Abordamos os principais conceitos, recursos e funcionalidades do Active Directory Domain Services. Aconselho dar uma importância maior a este tópico dentro do assunto da plataforma Windows, dado a tradição de cobrança deste assunto por todas bancas. Um abraço e até a próxima aula. TCE-SP – Agente Infraestrutura Aula 02 – Active Directory Teoria e Exercícios Página 34 de 34 4. Referências [1] Additional Information About Quorum Modes http://technet.microsoft.com/enus/library/cc770830%28v=ws.10%29.aspx [2] Install Active Directory Domain Services (Level 100) http://technet.microsoft.com/en-us/library/hh472162.aspx [3] Convenções de nomenclatura no Active Directory para computadores, domínios, sites e unidades organizacionais http://support.microsoft.com/kb/909264 [4] O que é um grupo doméstico? http://windows.microsoft.com/pt-br/windows/homegroup-help#homegroup-start-to- finish=windows-81&v1h=win81tab1&v2h=win7tab1 [5] How DNS Support for Active Directory Works http://technet.microsoft.com/enus/library/cc759550%28v=ws.10%29.aspx
Compartilhar