aula_exercicios comentados_active_directory_e_interoperabilidade_analista de infraestrutura_TI

Prévia do material em texto

TCE-SP – Agente Infraestrutura 
Aula 02 – Active Directory Teoria e Exercícios - 
 Página 1 de 34 
 
Aula 02 – Active Directory (e 
Interoperabilidade) ............................................ 2 
1. Active Directory .................................................................................................................................. 2 
1.1. Noções básicas ................................................................................................................................. 2 
1.2. Modos de implantação do Active Directory .................................................................................... 7 
1.3. Declarações de recursos no Active Directory .................................................................................. 7 
1.4. Auditoria de segurança .................................................................................................................... 8 
1.5. Controle de Acesso Dinâmico (Windows Server 2012) ................................................................... 8 
 Questões Resolvidas – Active Directory ................................................................................................ 9 
2. Interoperabilidade ............................................................................................................................ 30 
2.1. Likewise ......................................................................................................................................... 31 
2.2. eDirectory ...................................................................................................................................... 32 
 
Sumário 
 Questões Comentadas - Interoperabilidade ......................................................... 
41 
3. Conclusão ......................................................................................................... 
42 
4. Referências ...................................................................................................... 
43 
Saudações, concurseiros! 
Voltamos ao trabalho, agora com o Active Directory, assunto mais cobrado pelas 
bancas sobre a plataforma Windows Server. 
Incluímos também questões de outras bancas para reforçar os conceitos. Estas 
questões não são a série completa que temos do CESPE, FCC, etc, mas mantivemos questões 
que têm a ver também com a interoperabilidade, outra palavra-chave cobrada no tópico do 
edital o qual esta aula trata. 
Vamos aos estudos! 
 
 Página 2 de 34 
TCE-SP – Agente Infraestrutura 
Aula 02 – Active Directory 
Teoria e Exercícios 
1. Active Directory 
1.1. Noções básicas 
Amigos, esta é talvez a parte mais importante dentro deste tópico do Windows Server. 
No Windows 2008 Server em diante, o serviço de diretório é chamado d Active Directory 
Domain Services (AD DS). Para habilitar a sua função (role) no Gerenciador do Servidor (Roles 
→ Add Roles). 
 O AD DS permite a criação de uma base gerenciável e escalável de usuários e recursos. Vamos 
ver algumas características do AD (usaremos AD para facilitar, mas lembre se da 
nomenclatura AD DS). 
O que é um serviço de diretório? 
Primeiro temos que definir o que é um diretório. Diretório é uma estrutura lógica que 
armazena informações de recursos, como contas de usuário, grupos de usuários, pastas 
compartilhadas, impressoras, entre outros. Através do serviço de diretório, podemos 
gerenciar o acesso dos usuários a esses recursos dos diretórios, de acordo com suas devidas 
permissões. 
Lightweight Directory Access Protocol (LDAP) 
O LDAP é um protocolo padrão de diretórios de informação. Com ele, é possível definir 
estruturas em forma de árvore. O LDAP é um banco de dados otimizado para consulta. O 
Active Directory é compatível com LDAP desde a versão do Windows 2000. 
Contas de usuário 
No Windows, há duas possibilidades de contas de usuários. Uma é a conta de usuário 
local, que fica em um banco de dados local na máquina. Esta conta local é gerenciada pelo 
chamado SAM (Security Account Manager), ou Gerente de Contas de Segurança. 
Obs.: o banco de dados das contas locais fica em %systemroot%\system32\config 
TCE-SP – Agente Infraestrutura 
Aula 02 – Active Directory Teoria e Exercícios - 
 Página 3 de 34 
A outra opção é as contas de usuário de domínio, no serviço de diretório, o Active 
Directory (AD). 
O mesmo vale para os grupos. Grupos de usuários podem ser locais (cadastrados na 
máquina local) ou de domínio (cadastrados no diretório). Grupos podem estar aninhados uns 
dentro dos outros. Para aninhamento entre grupos locais e grupos de domínio, somente os 
grupos locais podem conter grupos de domínio. Os grupos de domínio não podem conter 
grupos locais. Como o diretório inclui em sua base de dados somente os usuários e grupos de 
domínio, não incluindo os usuários e grupos locais das diversas máquinas que acessam o 
diretório, portanto um grupo de diretório não pode conter um grupo local. Entendeu? A 
máquina local acessa o domínio, mas o domínio não acessa os grupos e usuários da máquina 
local. 
UOs e contêineres 
– Af professor, esse negócio de uó? 
Meu caro, UO não é “uó do borogodó”, é Unidade Organizacional (em inglês OU – 
Organizational Unit), é uma unidade de armazenamento (ou contêiner) de informação dentro 
da arquitetura em árvore do diretório, no qual é possível colocar usuários, grupos, 
computadores e outras Unidades Organizacionais. Como sabemos, os protocolos de diretórios 
de informações como LDAP, utilizam estruturas em forma de árvore para armazenar as 
informações. Cada entrada possui um DN (Distinguished Name ou Nome Distinto) e atributos. 
Na árvore, os nós superiores são entradas pai e as folhas contém UOs com seus respectivos 
UIDs (Identificador Único). 
Você pode definir suas UOs para atender suas necessidades, como por exemplo definir várias 
UOs para diferente sedes da empresa, diferentes departamentos, funções, versões do 
sistema operacional ou outra que você achar relevante. 
Para exemplificar, vamos criar uma UO “vendas” em um domínio empresa.com: 
 
dsadd ou “ou=vendas,dc=empresa,dc=com” 
A OU é “vendas”, que está dentro dos Domain Components empresa, e com, nesta ordem 
hierárquica. Assim fica mais fácil de entender né? 
 
 Página 4 de 34 
 
Figura 1: exemplo de uma árvore de domínio no AD. 
Essa organização hierárquica nos dá a possibilidade de agregação de árvores de domínios 
dentro de outras árvores de domínio. A isso damos o nome de florestas. Quando uma árvore 
é agregada a outra, cria-se uma relação de confiança entre elas. Veja o exemplo na ilustração 
a seguir. 
 
 
 
 
TCE-SP – Agente Infraestrutura 
Aula 02 – Active Directory Teoria e Exercícios - 
 Página 5 de 34 
 
Schemas 
Schemas são formas de dizer como os dados contidos nos objetos da base devem ser. 
Por exemplo: o nome pessoal deve conter até 100 caracteres; o nome da conta do usuário 
deve ser uma sequência de 11 números. 
Domínios X Workgroups 
Grupos de trabalho (workgroups) são uma maneira de dizer que um grupo de 
máquinas está em um mesmo grupo lógico, dentro do qual podem compartilhar recursos 
entre si. Nos workgroups, cada máquina é configurada para dizer que pertence a este 
workgroup (geralmente em “meu computador → propriedades → alterar configurações → 
nome do computador”). Esta configuração é recomendada ser utilizada para até 10 máquinas. 
A partir daí é interessante ter um domínio. Domínio é algo parecido com os workgroups, mas 
com suporte a mais recursos, e o gerenciamento desse domínio passa a ser feito por um 
servidor central, o Controlador de 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
TCE-SP – Agente InfraestruturaAula 02 – Active Directory Teoria e Exercícios 
 Página 6 de 34 
Domínio. Uma vez incluída no domínio, é possível fazer configurações nas máquinas do 
domínio através do Controlador do domínio, sem a necessidade de ir fisicamente em cada 
máquina efetuar as configurações. 
Recursos adicionais do AD 
O AD possui os seguintes recursos adicionais: 
• Um conjunto de regras, o “schema”, que define as classes de objetos e atributos que 
são contidos no diretório, as constantes e limites de instâncias desses objetos, e o 
formato dos seus nomes; 
• Um catálogo global que contém informação sobre cada objeto no diretório. Usuários 
e administradores podem usar o diretório global para encontrar informação do 
diretório, independentemente de qual domínio no diretório contém os dados; 
• Um mecanismo de consulta e indexação, para que os objetos e suas propriedades 
possam ser publicados e encontrados pelos usuários da rede ou aplicações; 
• Um serviço de replicação que distribui dados de diretório em uma rede. Todos os 
controladores de domínio graváveis em um domínio participam na replicação e 
contêm uma cópia completa de todas as informações de diretório para seu domínio. 
Qualquer alteração aos dados do diretório é replicada para todos os controladores de 
domínio que estão dentro do domínio; 
• Funções de operação como master (também conhecidas como operações de mestre 
único flexível ou FSMO). Os controladores de domínio que possuem as funções de 
mestre são designados para realizar tarefas específicas para garantir a consistência e 
eliminar entradas conflitantes no diretório; 
• A partir do Windows 2008, há a possibilidade de instalação de Controladores de 
Domínio somente leitura (RODC – Read Only Domain Controller), que são uma cópia 
da base do controlador de domínio central sem possibilidade de alteração por um 
administrador local 
ou indivíduo mal-intencionado. As alterações no AD DS são feitas somente no Domain 
Controller central. 
TCE-SP – Agente Infraestrutura 
Aula 02 – Active Directory Teoria e Exercícios 
 Página 7 de 34 
1.2. Modos de implantação do Active Directory 
Uma vez entendidas os conceitos principais do AD, podemos agora ver em quais modos 
podemos fazer uma implementação de um servidor AD. 
Quando estamos instalando um o AD DS em um Windows Server (isto vale para o 2008 
R2 e o 2012), temos algumas configurações de implantação (deployment) possíveis, que 
aparecem como opções adicionais durante a instalação do AD DS: a primeira é quando vamos 
instanciar uma nova floresta (como vimos, floresta é um conjunto de domínios), neste caso o 
controlador de domínio é criado como raiz e é configurado como um servidor de Catálogo 
Global (Global Catalog); uma outra opção é a criação de um servidor DNS. Esta opção permite 
um servidor de nomes de domínio integrado ao AD DS; e a última é a criação de Controlador 
de Domínio Somente-Leitura (Read-only Domain Controller), que já expusemos a utilidade no 
tópico anterior. 
1.3. Declarações de recursos no Active Directory 
Ao declararmos um diretório (e outro objeto em geral), podemos fazer configurações de 
identidade e acesso por várias maneiras: 
• Baseado em localização: baseado na localização onde se encontram, podemos já 
definir quais serão as permissões que os diretórios terão, uma vez que se encontrem 
em determinados lugares, eliminando a necessidade de ter que configurar 
individualmente as permissões para cada recurso. 
• Regras de acesso baseadas em expressões: podemos definir por exemplo políticas de 
acesso baseado nos dispositivos (computadores por ex.) que estão tentando acessar, 
implementando assim um acesso discricionário (DAC – Discretionary Access Control). 
Podemos definir nas expressões, além de declarações de dispositivos, declarações de 
restrições por usuários e por recursos. 
Fluxo de criação de uma política de acesso 
• São criadas no Active Directory as declarações, definições e as políticas dos objetos; 
TCE-SP – Agente Infraestrutura 
Aula 02 – Active Directory Teoria e Exercícios 
 Página 8 de 34 
• Com a GPO (Group Policy Object), essas políticas são enviadas aos usuários; 
• Nos usuários, o acesso aos objetos é verificado via um pedido para o servidor no 
momento da tentativa de acesso. 
1.4. Auditoria de segurança 
As políticas de auditoria servem para que o administrador saiba o que está 
acontecendo com seus sistemas em caso de problemas, e também para atender os atuais 
padrões de auditoria que são exigidos no mercado, como o Sarbannes-Oxley, entre outros. 
Um bom registro deve conter quem acessou, de onde acessou, e o que acessou. As políticas 
de segurança podem ser definidas através do GPO ou nos próprios usuários. Nas políticas 
definimos registros de eventos quando usuários que não têm permissão sobre um 
determinado recurso tentam acessá-lo. 
1.5. Controle de Acesso Dinâmico (Windows Server 2012) 
Através do Controle de Acesso Dinâmico, podemos configurar controles de acesso que 
não estão comumente disponíveis no NTFS. Podemos, por exemplo, configurar que um 
usuário tenha acesso a um diretório mesmo que este esteja em um grupo que não tinha 
originalmente acesso a este diretório, desde que atendidas as regras configuradas. Por 
exemplo, um usuário que não esteja no grupo admin, pode ter um acesso a um determinado 
recurso, se ele fizer este acesso de um determinado usuário e máquina (ex.: Configurar um 
acesso a um diretor da organização). Este recurso elimina a necessidade de termos que ficar 
criando outros grupos e regras para atender estes acessos discricionários. Também é possível 
implementar o acesso dinâmico através de tags (etiquetas), tornando a configuração mais 
simples. 
É importante ressaltar que o Acesso Dinâmico não exclui nem é incompatível com o 
uso das ACLs do NTFS, sendo apenas um recurso complementar! 
Para que este recurso funcione, precisamos ter os recursos de FSM (File Storage 
Services) e o FSRM (File Resource Manager) habilitados. 
TCE-SP – Agente Infraestrutura 
Aula 02 – Active Directory Teoria e Exercícios 
 Página 9 de 34 
Questões Resolvidas – Active Directory 
CESGRANRIO - 2012 - Petrobrás - Analista de Sistemas Júnior - Infraestrutura Uma novidade 
no ambiente Microsoft Windows Server 2008, em relação às versões anteriores, foi o 
surgimento de um controlador de domínio chamado 
a) PDC (Primary Domain Controller) 
b) BDC (Backup Domain Controller) 
c) WDC (Wide Domain Controller) 
d) NDC (Narrow Domain Controller) 
e) RODC (Read-only Domain Controller) 
Comentário: 
Lembram? Trabalhamos esse assunto nos recursos avançados do AD DS, no finalzinho do 
capítulo. Caso você não esteja lembrando, vamos lá: PDC e BDC são componentes do AD, 
mas não são novidades da versão 2008. Os conceitos de WDC não é novidade e NDC não é 
um conceito utilizado no AD (sequer faz sentido). A novidade incluída no Windows Server 
2008 é o RODC – Read-only Domain Controller. Resposta: E 
CESGRANRIO - 2010 - BACEN - Analista do Banco Central - Área 1 
Uma grande empresa julgou necessário estabelecer que o tamanho mínimo da senha de 
logon seja de 9 caracteres, no domínio da rede Windows 2003. Que solução de menor custo 
administrativo é apropriada para essa situação? 
a) Configuração de GPO, aplicada ao domínio, com a diretiva desejada. 
b) Configuração de um servidor central de proxy para autenticação e autorização. 
c) Inclusão da propriedade “Comprimento de Senha” no grupo “Todos”(Everyone). 
d) Desenvolvimento de um script .bat para alteração de chaves do registro das estações. 
TCE-SP – Agente Infraestrutura 
Aula 02 – Active Directory Teoria e Exercícios 
 Página 10 de 34 
e) Instalação de um servidor RADIUS no domínio para controle da políticade senhas. 
Comentário: 
Este é um tipo de tarefa que se enquadra totalmente na funcionalidade dos GPO (Group 
Policy), ou diretivas de grupo. Para executar a restrição pedida através da forma mais simples(e econômica), basta criarmos uma GPO para a senha de logon e aplicarmos ao domínio, 
conforme descreve o item A. Resposta: A 
CESGRANRIO - 2010 
Em uma rede que utiliza Active Directory com servidores Windows Server 2008, descobriu-se 
que foram delegados, indevidamente, privilégios administrativos para vários usuários de uma 
OU. Essas delegações foram feitas sem autorização do CIO e foi decidido que essa OU deverá 
retornar a seu estado original. Qual procedimento deve ser realizado para que a OU retorne 
ao seu estado original? 
a) Utilizar o comando dsacls informando o domínio e a OU com a opção/resetDefaultDACL. 
b) Utilizar o comando dsquery com a opção de /DefaultAdmin. 
c) Copiar a OU para outro domínio da mesma floresta. 
d) Criar outro domínio e copiar a OU. 
e) Apagar e criar novamente a conta administrador e o grupo administradores. 
Comentário: 
Questão enjoadinha né? É daquelas feitas para filtrar quem não tem vivência com o tema. 
Vamos analisar os itens. 
B) Ele fala do comando dsquery. dsquery é um comando para buscar vários tipos de 
informações no diretório, não é para alterações. Errado. 
C) Copiar a OU para outro domínio vai fazer que a OU original continueexistindo com as 
mesmas permissões do usuário continuará sobre ela. 
Errado. 
TCE-SP – Agente Infraestrutura 
Aula 02 – Active Directory Teoria e Exercícios 
 Página 11 de 34 
D) Copiar a OU para outro domínio novo incorre no mesmo problema doitem C e não 
atende ao objetivo 
E) Apagar e criar novamente a conta administrador e o grupo administradores não irá 
resolver, pois o privilégio administrativo delegado pelos usuários não necessariamente foi 
obtido através da inclusão deles no grupo administradores. Além disso não foi falado se a 
conta administrador e o grupo administradores é local ou de domínio. Um usuário do grupo 
local “administradores” pode não ter privilégio de administrador do domínio no AD, 
enquanto um usuário “joao” pode ter esse privilégio. A) O comando dsacls “exibe ou 
modifica permissões de um objeto do AD 
DS”. Ao fornecermos como parâmetro a OU e a opção “/resetDefaultDACL” irá ser 
restaurado para o padrão da ACL do diretório para os objetos da OU. Este padrão é definido 
no schema que define estes objetos. (O padrão de um objeto do tipo usuário é geralmente 
ser usuário comum, nãoadministrador). Resposta: A 
CESPE - 2013 - SERPRO - Analista - Redes 
Na estrutura do Microsoft Active Directory, cada objeto é associado a um LDAP distinguished 
name (DN), que é sua representação LDAP completa, ou seja, totalmente qualificada. 
Certo ( ) Errado ( ) 
Comentário: 
O Distinguished Name (DN) é o nome completo do objeto, que é composto pelo seu Relative 
Distinguished Name (RDN) mais o DN do pai deste objeto. Podemos comparar o DN com o 
caminho completo de um arquivo, com o RDN sendo o nome do arquivo. Podemos imaginar 
também um domínio na web: sub.dominio.com.br, onde o RDN sendo o menor nível de 
subdomínio (sub), enquanto o DN é o endereço web completo (sub.dominio.com.br). O 
nome completo é chamado de completamente/totalmente qualificado. 
Resposta: C 
CESPE - 2013 - SERPRO - Analista - Redes 
TCE-SP – Agente Infraestrutura 
Aula 02 – Active Directory Teoria e Exercícios 
 Página 12 de 34 
Nas versões do Windows Server 2003 e superiores, o serviço de DNS pode ser integrado ao 
serviço de Active Directory, o que permite a resolução de nomes DNS integrada com 
estações que compõem a estrutura de domínio e diretórios do Active Directory. 
Certo ( ) Errado ( ) 
Comentário: 
A partir do Windows Server 2003, podemos integrar o DNS ao ADDS. Quando essa 
configuração é feita, os clientes do domínio localizam os controladores de domínio através 
do próprio DNS provido pelo servidor do ADDS. 
Adicionalmente, é possível também integrar a replicação das zonas DNS com os servidores 
ADDS em estrutura distribuída (vários servidores). A essas zonas de DNS operando dentro 
do Active Directory, é dado o nome de “Active Directory Integrated Zones”. 
Resposta: C 
CESPE - 2013 - SERPRO - Analista - Redes 
Um servidor DNS que faz parte de uma estrutura do Active Directory só pode ser do tipo 
autoritativo, dado que é necessário ter permissão de instalação do sistema DNS. Certo ( ) 
Errado ( ) 
Comentário: 
Um servidor DNS ser autoritativo diz respeito a ele ser o servidor DNS que tem autoridade 
sobre um determinado domínio, ou seja, ele quem diz o endereço dos hosts deste domínio, 
enquanto os outros perguntam a ele quando desejam saber o endereço. Um servidor DNS 
(falando de Windows e AD) só pode ser autoritativo para um domínio que eu tenha controle. 
Algumas vezes eu não posso ser o cara que tem o endereço de todos os servidores de todos 
domínios, ou de um outro departamento. Resumindo, se eu cuido dos servidores de 
aplicação XYZ, e não cuido dos servidores de Web Intranet eu tenho que ir buscar esses 
endereços em algum outro DNS, pois não sou eu quem administro esses servidores nem esse 
TCE-SP – Agente Infraestrutura 
Aula 02 – Active Directory Teoria e Exercícios 
 Página 13 de 34 
domínio, que possa responder por todas mudanças de endereços IPs nesses hosts. Portanto 
um servidor DNS não tem como ser somente autoritativo em todos os casos. Afirmação 
errada. 
Resposta: E 
CESPE - 2012 - TRE-RJ - Analista Judiciário - Análise de Sistemas 
Com relação ao Active Directory e ao LDAP, julgue os itens a seguir. 
No Windows Server 2003, a combinação de vários domínios de Active Directory em uma 
floresta permite que todos os domínios passem a confiar automaticamente uns nos outros, 
bem como que os domínios passem a compartilhar um conjunto de supercontroladores de 
domínio, denominados servidores de catálogo global (GC). 
Certo ( ) Errado ( ) 
Comentário: 
Vimos que vários domínios combinados no AD formam uma floresta e passam a ter uma 
relação de confiança entre si. Nesta configuração, ao criar uma floresta, os controladores de 
domínio passam a ser controladores de vários domínios e é criado um catálogo global. 
Resposta: Certo. 
CESPE - 2012 
Com relação ao Active Directory e ao LDAP, julgue os itens a seguir. 
O LDAP é um protocolo executado sobre TCP/IP e exclusivo para redes Unix que permite 
organizar recursos de forma hierárquica, tais como árvores de diretório. 
Certo ( ) Errado ( ) 
Comentário: 
O LDAP funciona sobre o TCP/IP. Correto. 
TCE-SP – Agente Infraestrutura 
Aula 02 – Active Directory Teoria e Exercícios 
 Página 14 de 34 
Porém é um protocolo aberto, portanto NÃO exclusivo de redes Unix. Inclusive comentamos 
que o AD DS suporta o LDAP. As afirmações seguintes, sobre organizar recursos de forma 
hierárquica como árvores de diretório, são corretas. 
O erro se encontra na parte em que ele afirma que o protocolo LDAP é exclusivo para redes 
Unix. Está errado. O LDAP é um protocolo aberto e é implementado por vários sistemas, 
como o Windows Server. É utilizado também no Linux e outros SOs. 
Aliás, já é um bizu conhecido dos concurseiros: tenha muito cuidado com afirmações que 
dizem “sempre”, “nunca” e “somente”, geralmente tendem a ser falsas, mas tenha sempre 
muita atenção! 
Resposta: E 
CESPE - 2011 - BRB - Analista de Tecnologia da Informação 
Em uma estrutura em que D1, D2 e D3 sejam domínios de uma árvore no Active Directory, se 
D1 confiar em D2, e D2 confiar em D3, então D1 confiará em D3. 
Certo ( ) Errado ( ) 
Comentário: 
Esta questão também fala sobre a relação de confiança entre domínios. Quando se formam 
relações de confiança entre domínios de uma mesma árvore, o AD automaticamente faz a 
“transitividade” desta confiança entre os domínios. Situações onde não há essa 
transitividade aparecem nos casos onde se está estabelecendo uma relação de confiança 
entre um domínio do Windows 2003+ e um “realm” Kerberos não-Windows ou um domínio 
Windows NT 4.0 (é o novo!). 
Resposta: C 
CESPE - 2011 - Correios - Analista de Correios- Analista de Sistemas – Produção 
TCE-SP – Agente Infraestrutura 
Aula 02 – Active Directory Teoria e Exercícios 
 Página 15 de 34 
O Active Directory possibilita a construção e manutenção de redes com diversos domínios, 
denominados florestas, e permitem que os relacionamentos de segurança entre domínios, 
conhecidos por relacionamentos de confiança, sejam automaticamente criados e mantidos. 
As árvores também possuem confianças automáticas. 
Certo ( ) Errado ( ) 
Comentário: 
O AD permite a criação e manutenção de diversos domínios. Ok. Aos diversos domínios 
damos o nome de florestas. Ok. As florestas permitem os relacionamentos de segurança 
entre os domínios, que são conhecidos como relacionamentos de segurança. Ok. 
Esses relacionamentos são automaticamente criados e mantidos quando formamos as 
florestas, no momento da inclusão de um domínio dentro de outro. As árvores que estão 
dentro dos domínios também têm relação de confiança gerenciadas pelo catálogo global, a 
entidade que armazena as informações não só do domínio, mas de todos domínios (floresta) 
quando estes se juntam. Resposta: C 
CESPE - 2011 - MEC - Administrador de Redes 
No Active Directory, contêiner é o termo usado para definir um conjunto de objetos 
hierarquicamente organizados. 
Certo ( ) Errado ( ) 
TCE-SP – Agente Infraestrutura 
Aula 02 – Active Directory Teoria e Exercícios 
 Página 16 de 34 
 
CESPE - 2011 - MEC - Administrador de Redes 
No Active Directory, os elementos que definem as permissões de controle de acesso para os 
objetos são apenas descritores de segurança e herança de objetos. 
Certo ( ) Errado ( ) 
Comentário: 
Os elementos que definem as permissões de acesso dos usuários sobre os objetos são: 
descritores de segurança, herança de objetos e autenticação do usuário. 
Resposta: E 
 
 
 
 
 
TCE-SP – Agente Infraestrutura 
Aula 02 – Active Directory Teoria e Exercícios 
 Página 17 de 34 
CESPE - 2011 - MEC - Gerente de Segurança 
Para o funcionamento do Active Directory, é necessário que, no ambiente Windows em que 
ele esteja instalado, exista um firewall de contexto, configurado e ativado. 
Certo ( ) Errado ( ) 
Comentário: 
Para que o Active Directory seja instalado e habilitado, não é necessária a instalação de um 
Firewall. Na prática um servidor AD costuma estar em uma parte da rede em que fica 
disponível para os usuários sem que haja um Firewall através. 
“Firewall de contexto” remete a “context-based firewall”, um recurso de firewalls 
inteligentes, conceito inserido apenas para tentar confundir o candidato. 
Resposta: E 
CESPE - 2011 - MEC - Gerente de Segurança 
Para funcionar adequadamente, o Active Directory precisa de um serviço DNS configurado. 
Certo ( ) Errado ( ) 
Comentário: 
O Active Directory é totalmente dependente do DNS. Pode-se utilizar um DNS externo, ou 
usar um DNS integrado ao AD. 
Resposta: C 
TCE-SP – Agente Infraestrutura 
Aula 02 – Active Directory Teoria e Exercícios 
 Página 18 de 34 
CESPE - 2011 - PREVIC - Analista de Tecnologia da Informação A GPO (group policy) é capaz de 
mudar configurações, restringir ações ou distribuir aplicações em seu ambiente de rede. Ao 
se criar uma OU (organizational unit) para cada departamento da empresa, diferentes 
configurações de GPO podem ser criadas para cada um desses departamentos. 
Certo ( ) Errado ( ) 
Comentário: 
O GPO é uma das grandes funcionalidades do AD. Através dele, podemos definir 
regras (políticas) de implantação de configuração nos grupos. As configurações 
podem ser definidas para Unidades Organizacionais, podendo ser criados grupos 
grupos formados por determinados perfis de máquinas ou perfis de usuários, enfim 
praticamente qualquer grupo, desde a organização toda até um único usuário 
(possível a partir do Windows Server 2008). Tudo correto no enunciado. Esta 
funcionalidade serve para segmentara implantação das configurações, uma vez que 
determinados podem exigir perfis diferentes de configurações, permissões, 
softwares instalados, etc. Isto facilita muito a vida dos administradores de rede. 
Resposta: C 
CESPE - 2010 - TRE-BA - Analista Judiciário - Análise de Sistemas 
Active Directory implementa o conceito de LDAP (lightweight directory access protocol) 
reunindo, em um único local, as bases de dados de usuários, de permissões e de recursos. 
Certo ( ) Errado ( ) 
Comentário: 
Vamos aquecendo. O AD é uma implementação do LDAP, protocolo que define árvore de 
objetos usada para armazenar dados de usuários e recursos. Nesses diversos nós das árvores 
podemos armazenar permissões de acesso nos objetos e associar permissões de acesso aos 
usuários. 
Tudo correto. Resposta: C 
TCE-SP – Agente Infraestrutura 
Aula 02 – Active Directory Teoria e Exercícios 
 Página 19 de 34 
CESPE - 2010 
Acerca de instalação, configuração e administração de sistemas operacionais Windows 
Server, julgue os itens que se seguem. 
A GPO (group policy) é capaz de mudar configurações, restringir ações ou distribuir aplicações 
em seu ambiente de rede. Ao se criar uma OU (organizational unit) para cada departamento 
da empresa, diferentes configurações de GPO podem ser criadas para cada um desses 
departamentos. 
Certo ( ) Errado ( ) 
Comentário: 
Uma OU nada mais é do que um contêiner onde você pode colocar usuários, grupos, 
computadores e outras OUs. É possível sim criar políticas de grupos para uma OU e essa é 
uma das principais funcionalidades do AD DS. Correto. 
Resposta: C 
CESPE - 2010 - TRE-MT - Analista Judiciário - Tecnologia da Informação Acerca do active 
directory (AD), assinale a opção correta. 
a) O AD, disponível no MS Windows Server 2003, possui suporte ao protocolo LDAP 
(lightweight directory access protocol) versão 1. 
b) No AD, uma OU (organization unit) pode conter objetos dos tipos computadores, 
usuários e aplicações. 
c) O AD permite a existência de múltiplos relative identifier (RID) operation master role 
ativos em um mesmo domínio. 
d) Uma modificação no directory schema possui impacto direto na estrutura do AD. Por 
esse motivo, é vedada a inserção de nova classe no directory schema. 
TCE-SP – Agente Infraestrutura 
Aula 02 – Active Directory Teoria e Exercícios 
 Página 20 de 34 
e) No AD, uma tree representa uma coleção de um ou mais elementos denominados 
partitions. 
Comentário: 
Essa questão tá no nível “hard”. 
A) Item capcioso, porém sabemos que o LDAP é um protocolo muito antigoque evoluiu durante 
os vários anos de uso. O Windows Server 2003 em diante suporta o LDAPv3. Errado. 
B) Uma OU pode conter objetos dos tipos computadores, usuários e aplicações, sim. Guarda essa 
aí. 
C) Este item fala sobre dois “operation master role”. Os controladores de domínio podem ser 
instanciados para várias funções operando com mais de um servidor “master”, onde a alteração 
em um deles é replicada nos demais. No entanto para algumas funções, como por exemplo 
alterações de schemas (Schema Master), só é permitido um único master. A função (role) de 
Relative identifier operation Master é uma dessas que permite um único master. Outras deste 
tipo são Domain Naming Master e Infrastructure Master. Errada. 
D) Alterações no schema, como incluir uma nova classe são sim permitidas. Aúnica coisa que 
temos que ter cuidado é em garantir a replicação consistente destas alterações para os demais 
controladores de domínio, por isso essa função só pode ser feita por um master, como 
comentamos no item anterior. Errada. 
E) Os elementos da árvore do AD DS são chamados objetos e não partitions. 
Errada. 
Resposta: B 
CESPE - 2009 - INMETRO - Analista Executivo em Metrologia e Qualidade 
O Active Directory é implementado usando a estrutura do X.500 para os dados do diretório. 
Certo ( ) Errado ( ) 
TCE-SP – Agente Infraestrutura 
Aula 02 – Active Directory Teoria e Exercícios 
 Página 21 de 34 
Comentário: 
Vida de concurseiro édifícil, mas a recompensa vale a pena. Devemos sempre saber os vários 
nomes das coisas, bem como o nome na língua inglesa, que por ser as vezes bastante usual, 
pode vir na questão desta forma. 
Sabemos que o Active Directory é uma implementação do LDAP. O LDAP, por sua vez, é uma 
implementação do serviço de diretórios definido pelo protocolo X.500, que fala (resumindo) 
sobre uma maneira de armazenamento de informações utilizando organização hierárquica. 
O X.500 é um padrão ISO/IEC. Como AD é implementação de LDAP, e o LDAP implementa o 
X.500, pela transitividade, podemos dizer que o AD implementa a estrutura do X.500. :) 
Resposta: C 
CESPE - 2008 - HEMOBRÁS - Analista de Gestão Corporativa - Administrador de Redes 
A administração e os direitos administrativos podem ser distribuídos por vários objetos na 
estrutura de diretórios por usuários no active directory. 
Certo ( ) Errado ( ) 
Comentário: 
Os direitos administrativos podem ser delegados a outros objetos, usuários por exemplo. 
Um exemplo comum: sou o usuário Alfredo e administrador do domínio (Domain Admins), 
e incluo o usuário Beto no grupo de administradores de domínio. Por estar neste grupo, o 
usuário Beto poderá fazer qualquer tarefa no domínio. 
Resposta: C 
TCE-SP – Agente Infraestrutura 
Aula 02 – Active Directory Teoria e Exercícios 
 Página 22 de 34 
FCC – 2014 - Órgão: AL-PE - Prova: Analista Legislativo - Infraestrutura 
Com as providências preliminares de instalação do Active Directory Domain Services Domain 
Controller e as necessárias configurações já realizadas, antes de instalar o App-V 
Managements Server, devem ser criados os seguintes objetos no Active Directory: 
I. Organizational Unit (OU). 
II. Microsoft Application Virtualization Administrative Group. 
III. Microsoft Application Virtualization Users Group. 
IV. Domain Test User Account.V. Application Groups. 
Está correto o que consta em : 
a) I, II, III, IV e V. 
b) I, II, IV e V, apenas. 
c) II, III, IV e V, apenas. 
d) II, IV e V, apenas. 
e) III, IV e V, apenas. 
Comentário: 
Essa questão cobrando conhecimentos tando do AD quando do App-V, seguindo a tendência 
moderna da interdisciplinaridade. Embora esta questão seja bem técnica, bem ao estilo da 
FCC, esta é uma tendência que vem tendo adotada um pouco por praticamente todas as 
bancas. Mesmo que seja interdisciplinaridade entre dois tópicos que estão dentro do mesmo 
conteúdo. 
Para instalar os dois serviços, temos que habilitar os 5 itens. 
Resposta: A 
TCE-SP – Agente Infraestrutura 
Aula 02 – Active Directory Teoria e Exercícios 
 Página 23 de 34 
FCC – 2014 - Órgão: AL-PE - Prova: Analista Legislativo - Infraestrutura 
O gerenciamento de identidade sempre foi uma das tarefas mais críticas das redes baseadas 
no Windows. As implicações de um sistema de gerenciamento de identidades mal 
administrado estão entre as principais preocupações relacionadas à segurança em qualquer 
organização. O Windows Server 2008 R2 possui várias melhorias no gerenciamento de 
identidade nos Serviços de Domínio Active Directory. Uma dessas melhorias é que: 
a. O computador pode ingressar em um domínio sem estar conectado aele durante o 
processo de implantação, o que é conhecido como ingresso em domínio offline. Esse processo 
permite automatizar completamente o ingresso em um domínio durante a implantação. Os 
administradores do domínio criam um arquivo XML que pode ser incluído como parte do 
processo de implantação automatizado. O arquivo inclui todas as informações necessárias 
para que o computador de destino ingresse no domínio. 
b. O recurso Arquivos Online garante que arquivos e pastas armazenadosem pastas 
compartilhadas da rede sejam acessados e identificados somente quando estas estiverem 
disponíveis (online). Isso evita que usuários desconectados façam alterações em arquivos que 
estejam sendo acessados pelos usuários online quando, nessa situação, o sistema R2 realiza 
o lock automaticamente. 
c. A garantia da identidade de uma máquina conectada ao server e operando em modo 
offline seja obtida pelo recurso registrado em um processo DMZ ainda que o próprio processo 
esteja inoperante. Os arquivos XML que contêm os registros de domínio informam ao 
processo quando e quem está tentando acessar um computador para se conectar ao server 
cluster, inicializando-o, sempre que necessário, para estabelecer uma conexão segura. 
d. O computador pode ingressar em um domínio estando conectado a eledurante o 
processo de implantação, o que é conhecido como ingresso em domínio online. Esse processo 
inibe o acesso a computadores que não estejam devidamente certificados pela inicialização 
do server 2008 R2. Nessa circunstância, os administradores do domínio ficam monitorando 
constantemente o processo de implantação detectando possíveis anomalias e reportando os 
problemas de acesso no banco de dados de domínio. 
e. No recurso Failover, o computador que fornece serviços de ServidorCluster obtém as 
informações de conexão via DHCP. O servidor DHCP, em caso de falha de obtenção da 
TCE-SP – Agente Infraestrutura 
Aula 02 – Active Directory Teoria e Exercícios 
 Página 24 de 34 
configuração IP, envia informação ao processo Failover que, então, reinicializa o Server 
Cluster, mas mantém ativo o Server DHCP, para que este continue operante com outras 
máquinas da rede. 
Comentário: 
Segundo a documentação oficial da Microsoft: 
“Introduzido no Windows Server 2008 R2, controladores de domínio incluem um 
recurso chamado Associação Offline de domínio. Um utilitário de linha de comando 
chamado Djoin.exe permite que você associar um computador a um domínio sem 
fisicamente contatar um controlador de domínio ao terminar a operação de junção 
de domínio. As etapas gerais para o uso de Djoin.exe são: 
 Execute djoin /Provision. para criar os metadados da conta de computador. A saída 
deste comando é um arquivo. txt que inclui um blob codificado da base-64. 
 Execute djoin /requestODJ para inserir os metadados da conta de computador do 
arquivo. txt no diretório do Windows do computador de destino. 
 Reinicie o computador de destino e o computador vai ser associado ao domínio. “ 
Dessa forma, este recurso é muito útil para implantações automatizadas do Windows, 
instalações “unattended”, que são automatizadas através 
de um arquivo de resposta, neste caso entre os passos da instalação, aponta para um arquivo 
em formato XML contendo as credenciais para acesso ao domínio. Esta instalação poderá 
seguir um roteiro já predeterminado pelo administrador, fazendo uma série de 
configurações e instalações na máquina onde está sendo instalada, sem necessidade de um 
técnico pessoalmente ir à máquina para fazer isso. Este técnico teria ainda que ter 
credenciais de Controlador de Domínio, ou pedir para que outro administrador habilitado 
como controlador incluísse a máquina no domínio. Este processo automatizado evita todo 
esse trabalho manual. O item D troca o nome do recurso com “Ingresso Online” para tentar 
confundir o candidato (que bobo, todo mundo sabe que ingresso online é aquele site para 
comprar o bilhete do cinema :P). 
TCE-SP – Agente Infraestrutura 
Aula 02 – Active Directory Teoria e Exercícios 
 Página 25 de 34 
Os itens B, C e E tentam associar algumas funcionalidades do AD com conceitos 
extravagantes ao assunto da questão, e estão errados. Resposta: A 
FCC – 2014 - Órgão: TRF - 3ª REGIÃO - Prova: Analista Judiciário – Informática 
O Active Directory inclui: 
I. Um conjunto de regras, o esquema, que define as classes de objetos eatributos 
contidos no diretório, as restrições e os limites das ocorrências desses objetos e o formato de 
seus nomes. 
II. Um catálogo local que contém informações gerais dos objetos de configuração. 
Permite que apenas administradores encontrem informações de diretório 
independentemente de qual domínio do diretório realmente contenha os dados, garantindodesse modo, a integridade e segurança dos dados. 
III. Um mecanismo de consulta e índice para que os objetos e suas propriedades possam 
ser publicados e encontrados por usuários ou aplicativos da rede. 
IV. Um serviço de replicação que distribui dados de diretório em uma rede.Todos os 
controladores de domínio em um domínio participam da replicação e contêm uma cópia 
completa de todas as informações de diretório referentes a seu respectivo domínio. Qualquer 
alteração nos dados de diretório é replicada para todos os controladores de domínio no 
domínio. Está correto o que consta APENAS em 
a. I e IV. 
b. I, II e III. 
c. II e IV. 
d. II e III. 
e. I, III e IV. 
Comentário: 
Vamos comentar item a item. 
TCE-SP – Agente Infraestrutura 
Aula 02 – Active Directory Teoria e Exercícios 
 Página 26 de 34 
I. Este item define de forma correta o que é o schema: um conjunto deregras sobre 
como as informações são armazenadas na estrutura dos objetos. 
II. É incorreto dizer que somente os administradores podem recuperar informações. 
Qualquer usuário pode recuperar suas informações, é para isso que o diretório serve. 
III. Correto, o mecanismo de índice e de busca é uma das principais partes do serviço de 
diretório. 
IV. Uma estrutura com vários controladores de domínio é útil para disponibilidade e o 
desempenho do serviço de diretório, pode por exemplo dividir a carga das consultas entre 
vários servidores. Ou pode ainda diminuir o tempo de resposta ao disponibilizar numa rede 
local o servidor com as informações do domínio, em vez de consultar um servidor remoto. 
Temos então os itens I, III e IV corretos. Letra E. 
Resposta: E 
VUNESP - 2014 - Órgão: PRODEST-ES - Prova: Técnico de Tecnologia da Informação 
Em um servidor Windows Server 2003, o utilitário “dcpromo.exe” tem a função de 
a. adicionar e remover usuários do domínio. 
b. exibir os aplicativos instalados no servidor. 
c. remover programas instalados no servidor. 
d. configurar e instalar o serviço do Active Directory. 
e. diagnosticar o motivo de falhas no servidor. 
Comentário: 
Essa é questão de prática ou de conhecimento prévio, não tem jeito. O dcpromo é o 
programa que utilizamos para instalar ou configurar o Active Directory. 
Resposta: D 
VUNESP - 2014 - Órgão: PRODEST-ES - Prova: Técnico de Tecnologia da Informação 
TCE-SP – Agente Infraestrutura 
Aula 02 – Active Directory Teoria e Exercícios 
 Página 27 de 34 
Por padrão, para tornar uma estação de trabalho Windows membro de um domínio do Active 
Directory, é preciso uma conta 
a. de convidado no sistema local e no domínio. 
b. qualquer no sistema local e uma conta de convidado no domínio. 
c. de convidado no sistema local e uma conta com privilégios administrativo. no domínio. 
d. com privilégios administrativos no sistema local e uma conta habilitadano domínio. 
e. qualquer no sistema local e uma conta com privilégios administrativosno domínio. 
Comentário: 
Para incluir uma máquina num domínio, a conta deve ser de administrador local, pois 
estamos fazendo uma alteração importante no sistema, e além disso, devemos ter uma 
conta com privilégio de Domain Admin, ou seja, de administrador do domínio, um cara que 
pode fazer alterações no domínio. A resposta é a letra D. 
Não confundir Domain Admin, um usuário do domínio com nível de privilégio de 
administrador, com Domain Controller, um servidor que tem o papel de gerenciar 
centralmente as bases do domínio. 
Resposta: D 
VUNESP - 2014 - Órgão: DESENVOLVESP - Prova: Analista 
A conta de um usuário do Active Directory do Windows Server 2008 foi bloqueada por 
sucessivas tentativas de logon mal sucedidas. Considerando que a política do domínio define 
que o bloqueio deve permanecer por tempo indeterminado, para que o usuário faça logon é 
necessário que 
a. a senha seja digitada corretamente na próxima tentativa. 
b. o usuário faça logon em outra estação de trabalho. 
c. o usuário seja removido do domínio. 
TCE-SP – Agente Infraestrutura 
Aula 02 – Active Directory Teoria e Exercícios 
 Página 28 de 34 
d. um Administrador remova o bloqueio do usuário. 
e. outro usuário faça logon na máquina e, em seguida, efetue logoff. 
Comentário: 
O bloqueio de um login de usuário, após sucessivas tentativas, é um bloqueio que visa 
segurança. Por isso, este bloqueio só é liberado através do administrador do domínio. 
Resposta: D 
VUNESP - 2013 - Órgão: UNESP - Prova: Assistente de Informática No Windows Server 2008, 
o protocolo utilizado para consultar e recuperar informações do Active Directory é o; 
a. CIFS. 
b. DNS 
c. DHCP. 
d. LDAP 
e. HTTP. 
Comentário: 
O protocolo que o AD implementa para consulta e recuperação é o LDAP. 
Como sabemos, o AD mantém compatibilidade com o LDAP. 
Resposta: D 
VUNESP - 2013 - Órgão: COREN-SP - Prova: Administrador de banco de dados 
Para gerenciar domínios do Active Directory pelo prompt de comando do 
Windows Server 2008, é necessário utilizar o comando 
a. admanage. 
TCE-SP – Agente Infraestrutura 
Aula 02 – Active Directory Teoria e Exercícios 
 Página 29 de 34 
b. adservice. 
c. dcpromo. 
d. netdom. 
e. netsh. 
Comentário: 
O netdom é a ferramenta de linha de comando que faz parte do AD e nos permite fazer 
operações de alterações no domínio. Como exemplos de operações que podem ser 
executadas através do netdom, podemos citar adição e remoção de máquinas no domínio, 
alteração de nome da máquina, consultas e alteração de senha. 
Esse comando é disponível quando temos a função (role) do AD DS habilitada no servidor. 
Resposta: D 
VUNESP - 2012 - Órgão: SPTrans - Prova: Técnico de Informática 
Um visualizador e editor para bases de dados do Active Directory, podendo ser utilizado para 
navegar e modificar entradas AD, é conhecido como 
a. Active Directory Explorer 
b. Active Directory Modifyer 
c. Active Explorer 
d. AD Admin 
e. Active Administrator 
TCE-SP – Agente Infraestrutura 
Aula 02 – Active Directory Teoria e Exercícios 
 Página 30 de 34 
 
2. Interoperabilidade 
O que acontece quando queremos integrar uma estação não-Windows numa rede 
com Active Directory? Ou usar estações Windows em uma rede com autenticação com 
OpenLDAP ou outra do tipo? Esta situação é muito comum nas organizações em geral, pois os 
ambientes de TI estão cada vez mais heterogêneos, com múltiplas plataformas. Nesta 
situação é onde entra a interoperabilidade, a capacidade de diferentes soluções tecnológicas 
e protocolos conversarem entre si. 
Outro ponto importante no mundo da tecnologia é o uso dos padrões abertos. O uso 
de padrões abertos que uma solução possa continuar funcionando mesmo quando um 
fornecedor não existe mais ou parou de prestar suporte a um determinado produto. Quem 
não já tentou abrir um documento de uma versão anterior do MS Office em uma versão mais 
 
 
 
 
 
TCE-SP – Agente Infraestrutura 
Aula 02 – Active Directory Teoria e Exercícios 
 Página 31 de 34 
nova do aplicativo e ele deu erro? Isso é um exemplo claro de como alguns fabricantes fazem 
estratégias propositais de quebra de padrões para induzir as empresas a adquirirem novas 
versões de seus produtos, sob pena de não conseguirem continuar funcionando com suas 
soluções. 
Reparem que os padrões abertos são diferentes de software livre. Mesmo soluções 
proprietárias podem (e deveriam sempre) adotar padrões abertos, facilitando a troca de 
informações entre diferentes sistemas, e possibilitando uma integração menos difícil e 
custosa entre sistemas e soluções. A indústria de TI precisa de padrões abertos para conseguir 
operar satisfatoriamente suas soluções. Temos no mundo do desenvolvimento de soluções 
uma série de exemplos de padrões abertos: Web Services, padrões de referência de 
arquitetura de sistemas distribuídos, o XML, entre outros vários exemplos. Vamos ver a seguir 
alguns exemplos de soluções de interoperabilidade em servidores de diretórios de rede. 
2.1. LikewiseO Likewise é uma solução de interoperabilidade com o Microsoft Active Directory. 
Através dele, é possível conectar estações Linux e Mac (entre outras) em redes com o Active 
Directory (AD) da Microsoft. 
Geralmente uma rede possui apenas uma fonte de informações e autenticação de 
usuários. Quando há uma base Active Directory ou outra solução LDAP, é interessante 
mantermos todos usuários sob a mesma plataforma, pois manter várias bases de usuário ao 
mesmo tempo pode ser um pesadelo para a TI. 
Através do Likewise podemos: 
• Incluir computadores Linux e Unix em um domínio AD; 
• Autenticar usuários através do AD; 
• Mapear as informações de UID e GID do Linux/Unix aos objetos no Active Directory; 
• Autorizar usuários do AD a acessar recursos em computadores Unix e Linux; 
• Aplicar Políticas de Grupo a computadores Linux e Unix pelo AD; 
• Gerenciar objetos do Active Directory de um Unix, Linux, Mac com o Console 
Administrativo do Likewise. 
TCE-SP – Agente Infraestrutura 
Aula 02 – Active Directory Teoria e Exercícios 
 Página 32 de 34 
Para incluirmos um computador em um domínio AD, o procedimento resumido é esse: 
• Instalação do Likewise tools no servidor que roda o Active Directory User 
Configuration e Group Policy Management Console; 
• Instalação do agente Likewise no sistema da estação de trabalho ou servidor que 
desejamos incluir no domínio; 
• Ingresso no domínio no AD através do cliente Likewise (ferramenta Likewise Domain 
Join Tool). 
Essas são as principais características de recursos e funcionamento do Likewise, além disso, 
devemos entender também os próprios conceitos do próprio Active Directory. 
2.2. eDirectory 
O eDirectory é uma solução completa de diretório LDAP. É provida pela Novell, uma 
das grandes fornecedoras de soluções deste tipo, ao lado da Microsoft, IBM e Red Hat. A 
funcionalidade desempenhada por ele é muito parecida com a do Active Directory da 
Microsoft: permite o gerenciamento centralizado de recursos em vários computadores de 
uma rede. Por ser uma implementação do protocolo LDAP, é naturalmente uma base 
hierárquica na qual podemos representar em estrutura de árvore objetos como unidades 
organizacionais, pessoas, servidores, estações de trabalho, aplicações, impressoras, serviços 
e grupos, entre outros. 
Uma das suas principais características é ser multiplataforma, suportando Windows, 
Linux, Novell, Solaris e Unices AIX e HP-UX. 
Questões Comentadas - Interoperabilidade 
CESPE - 2008 - SERPRO - Técnico - Operação de Redes 
Acerca de serviços de diretórios, LDAP, X.500 e tecnologias associadas, julgue os itens a seguir 
TCE-SP – Agente Infraestrutura 
Aula 02 – Active Directory Teoria e Exercícios 
 Página 33 de 34 
O e-Directory suporta integridade referencial, replicação multi-master e possui uma 
arquitetura de autenticação modular. Pode ser acessado via LDAP, DSML e SOAP, entre 
outros, embora não haja suporte par ele na plataforma Windows Server 2000. 
Certo ( ) Errado ( ) 
Comentário: 
Questão retirada direto da Wikipédia. O eDirectory suporta os recursos citados: integridade 
referencial, replicação multi-master, e possui autenticação modular. Ele pode ser acessado, 
além de LDAP DSML e SOAP, por ODBC, JDBC, JNDI e ADSI. Porém ele é suportado pelo 
Windows Server, inclusive a versão 2000, o que torna a questão errada. 
Resposta: Errado 
3.Conclusão 
Abordamos os principais conceitos, recursos e funcionalidades do Active Directory 
Domain Services. Aconselho dar uma importância maior a este tópico dentro do assunto da 
plataforma Windows, dado a tradição de cobrança deste assunto por todas bancas. 
 
Um abraço e até a próxima aula. 
TCE-SP – Agente Infraestrutura 
Aula 02 – Active Directory Teoria e Exercícios 
 Página 34 de 34 
4. Referências 
[1] Additional Information About Quorum Modes 
http://technet.microsoft.com/enus/library/cc770830%28v=ws.10%29.aspx 
[2] Install Active Directory Domain Services (Level 100) 
http://technet.microsoft.com/en-us/library/hh472162.aspx 
[3] Convenções de nomenclatura no Active Directory para computadores, domínios, 
sites e unidades organizacionais http://support.microsoft.com/kb/909264 
[4] O que é um grupo doméstico? 
http://windows.microsoft.com/pt-br/windows/homegroup-help#homegroup-start-to-
finish=windows-81&v1h=win81tab1&v2h=win7tab1 
[5] How DNS Support for Active Directory Works 
http://technet.microsoft.com/enus/library/cc759550%28v=ws.10%29.aspx