Baixado 63 vezes
Mais conteúdo relacionado
Semelhante a Aula 8 active diretory - 29092012
Aula 8 active diretory - 29092012
- 1. Dia 29/09/2012 MCITP-EA ActiveDirectory Aula 8 RODC Site Sub Rede Matriz 192.168.X.0/24 Filial 172.168.X.0/24 Extremamente útil em duas situações: •Locais onde pessoas não autorizadas e/ou qualificadas tenham acesso físico ao equipamento, e essas poderiam manipular os registros; •Economia de banda já que ele não replica a mesma quantidade de informação que um DC normal. Caso o RODC perca comunicação com o DC principal, utilizando um RODC padrão não será possível autenticar na rede, para esta contornando esse problema é necessário ativar a replicação de senhas. Diferenças na instalação do RODC Não há a necessidade de ser um catálogo global, até porque se ele fosse um terminamos muita informação sendo replicada (consumo de banda) e a ideia é justamente diminuir o volume de replicação. E por final marcar a opção de RODC.
- 2. Configuração de usuárioque terá poder equivalente a um usuário avançado no RODC para poder realizar manutenção básica no equipamento, caso a equipe de suporte não tenha acesso ao mesmo. Esse usuário não terá acesso nenhum a alterações ao domino.
- 3. Após configurar oRODC ingresse um cliente na rede da filial O tipo de replicação do RODC é do tipo FRS e entre um RODC e um Controlador convencional a replicação só acontece para o RODC, pois o RODC não faz nenhuma alteração. Como dito anterior mente caso o link entre o RODC e o DC da sua empresa caia os usuários não serão capazes de realizar o logon pois o RODC não possui senhas dos usuários. 1. Acrescentar os usuários, computadores, DC que fazem parte do Site onde tem o RODC no grupo: Grupo de replicação de senha RODC Permitido 2. Nas propriedades do DC Server 2 é necessário seguir os passos abaixo:
- 4. 1. Aba Diretivade Replicação de Senha > Avançado > Pré-popular Senhas... 2. Adicione os computadores e os usuários que necessitarão autenticar nesse site. O passo 2 permite que as senhas sejam armazenadas antes de haver a replicação propriamente dita. GPO Ordem de carregamento de GPO 1. Local 2. Site 3. Domínio 4. OU 1. RH 1. Computadores 1. Desktop 2. Notebook 3. … 1. … 1. … 1. … 1. … Quando as Polices estão no mesmo nível prevalece a primeira a ser carregada Police Responsável pelas senhas Configuração do computador > Configurações do Windows > Configurações de segurança > Configurações de senha > Diretivas de Conta > Diretivas de Senha Responsável por bloquear a conta por tentativa invalidade de logon Configuração do computador > Configurações do Windows > Configurações de segurança > Configurações de senha > Diretivas de Conta > Diretiva de bloqueio de conta Auditoria Configuração do computador > Configurações do Windows > Configurações de segurança > Diretivas locais > Diretiva de auditoria Para finalizar é necessário seguir o seguinte passo: Propriedades do compartilhamento > Guia segurança > Avançado > Guia auditoria > Editar > Adicionar > Adicione Todos os usuários. Confirme as alterações Opções do CTRL+ALT+DEL Configuração do usuário > Modelos Administrativos > Sistema > Opções de CTRL+ALT+DEL Aba delegação Funciona de forma similigar a guia segurança em diretórios, ou seja, é utilizado para determinar os
- 5. níveis de acessosdos usuários. Backup de diretivas Botão direito em > Objetos de diretiva de grupo > escolha um local e de uma descrição. Restore de backup de diretivas Botão direito em > gerenciar backups > selecionar a Police > restaurar Diretiva de instalação de software Passo-a-passo: •Ter um pacote de instalação .msi •Habilitar a Police abaixo para computadores e usuários ◦Configuração do usuário/computadores > Modelos Administrativos > Componentes do Windows > Windows installer > habilitar a Police sempre instalar com alto privilégio •Configuração de usuários > Diretivas > Configuração de software > instalação de software ◦Na área em brando: ▪Botão direito > novo > pacote > caminho UNC do pacote > escolha o tipo de instlação¹ ¹ Pulicado – Realiza a instalação em segundo plano Atribuído - realiza a instalação interativa Gpresult /r – comando utilizado para verificação das gpo que foram aplicadas para o usuário Rsop – console que exibe as polices que estão carregadas no momento. Script de logon Caminho padrão: c:Windowssysvolsysvolfqdn_do_dominioscripts Também pode ser configurado pela seguinte Police:Configurações do usuário > Diretivas > Configurações do Windows > scripts > fazer logon Grupos Escopo do grupo Os grupos são caracterizados por um escopo que identifica até que ponto o grupo é aplicado à árvore de domínio ou floresta. Há três escopos de grupo: domínio local, global e universal. Grupos de domínio local Os membros de grupos de domínio local podem incluir outros grupos e contas dos domínios Windows NT, Windows 2000, Windows Server 2003, Windows Server 2008 e Windows Server 2008R2. Os membros desses grupos somente podem receber permissões em um domínio. Os grupos com escopo de domínio local ajudam você a definir e gerenciar o acesso aos
- 6. recursos em umúnico domínio. Esses grupos podem ter estes membros: ✔Contas de qualquer domínio ✔Grupos globais de qualquer domínio ✔Grupos universais de qualquer domínio ✔Grupos de domínio local, mas somente do mesmo domínio que o grupo de domínio local pai ✔Uma combinação dos itens acima Por exemplo: Para fornecer a cinco usuários o acesso a uma determinada impressora, você pode adicionar todas às cinco contas de usuário à lista de permissões da impressora. No entanto, se mais tarde você quiser dar a esses cinco usuários acesso a uma nova impressora, novamente será necessário especificar todas as cinco contas na lista de permissões da nova impressora. Com um pouco de planejamento, você poderá simplificar essa tarefa administrativa de rotina criando um grupo com escopo de domínio local e atribuindo permissão para o acesso à impressora. Coloque as cinco contas de usuário em um grupo com escopo global e adicione-o ao grupo que tem o escopo de domínio local. Quando quiser atribuir acesso à nova impressora aos cinco usuários, dê ao grupo com escopo de domínio local permissão para acessar a nova impressora. Todos os membros do grupo com escopo global recebem automaticamente o acesso à nova impressora. Grupos de domínio local Os membros de grupos de domínio local podem incluir outros grupos e contas dos domínios Windows NT, Windows 2000, Windows Server 2003, Windows Server 2008 e Windows Server 2008R2. Os membros desses grupos somente podem receber permissões em um domínio. Os grupos com escopo de domínio local ajudam você a definir e gerenciar o acesso aos recursos em um único domínio. Esses grupos podem ter estes membros: ✔Contas de qualquer domínio ✔Grupos globais de qualquer domínio ✔Grupos universais de qualquer domínio ✔Grupos de domínio local, mas somente do mesmo domínio que o grupo de domínio local pai ✔Uma combinação dos itens acima Por exemplo: Para fornecer a cinco usuários o acesso a uma determinada impressora, você pode adicionar todas às cinco contas de usuário à lista de permissões da impressora. No entanto, se mais tarde você quiser dar a esses cinco usuários acesso a uma nova impressora, novamente será necessário especificar todas as cinco contas na lista de permissões da nova impressora. Com um pouco de planejamento, você poderá simplificar essa tarefa administrativa de rotina criando um grupo com escopo de domínio local e atribuindo permissão para o acesso à impressora. Coloque as cinco contas de usuário em um grupo com escopo global e adicione-o ao grupo que tem o escopo de domínio local. Quando quiser atribuir acesso à nova impressora aos cinco usuários, dê ao grupo com escopo de domínio local permissão para acessar a nova impressora. Todos os membros do grupo com escopo global recebem automaticamente o acesso à nova impressora. Grupos universais Os membros de grupos universais podem ter os seguintes itens como membros: ✔Contas de qualquer domínio na floresta em que o Grupo Universal reside ✔Grupos globais de qualquer domínio na floresta em que o Grupo Universal reside
- 7. ✔Grupos universais dequalquer domínio na floresta em que o Grupo Universal reside Os membros desses grupos podem receber permissões em qualquer domínio na árvore de domínio ou floresta. Use grupos com escopo universal para consolidar grupos que abrangem domínios. Para isso, adicione as contas aos grupos com escopo global e aninhe esses grupos em que tenham escopo universal. Quando você usar essa estratégia, as alterações de associação nos grupos que têm escopo global não afetarão os grupos com escopo universal. Por exemplo, em uma rede com dois domínios, Europa e EstadosUnidos, e um grupo com escopo global denominado ContabilidadeGL em cada um, crie um grupo com escopo universal denominado ContabilidadeUA que tenha como seus membros os dois grupos ContabilidadeGL, EstadosUnidosContabilidadeGL e EuropaContabilidadeGL. Você pode usar o grupo ContabilidadeUA em qualquer lugar da empresa. As alterações na associação dos grupos ContabilidadeGL individuais não causarão a replicação do grupo ContabilidadeUA. Importante É altamente recomendável usar grupos globais ou universais, em vez de grupos de domínio local quando você especifica permissões nos objetos de diretório de domínio replicados para o catálogo global. Tipos de grupo Há dois tipos de grupo no AD DS: grupos de distribuição e grupos de segurança. Você pode usar grupos de distribuição para criar listas de distribuição por e-mail. Use os grupos de segurança para atribuir permissões aos recursos compartilhados. Somente use grupos de distribuição com aplicativos de e-mail (como o Microsoft Exchange Server 2007) para enviar e-mails a grupos de usuários. Os grupos de distribuição não são habilitados para segurança, o que significa que eles não podem fazer parte de listas de controle de acesso discricionário (DACLs). Se for necessário um grupo para controlar o acesso aos recursos compartilhados, crie um grupo de segurança.