O documento fornece uma visão geral dos Serviços de Domínio do Active Directory (AD DS). Ele descreve o que é um domínio do AD DS, os componentes do AD DS como controladores de domínio e ferramentas de administração. Além disso, explica como implantar um controlador de domínio e melhores práticas para virtualização do controlador de domínio.

1. Pós-graduação – MIT CYBER SECURITY
Windows Server
Security
Serviços de Domínio do Active Directory (AD DS)

2.  Visão geral do AD DS
 Visão geral de controladores de domínio
do AD DS
 Implantação de um controlador de
domínio
Agenda

3.  O ADDS (Active Directory Domain Services) é o serviço de
domínio da Microsoft, um domínio é um agrupamento
lógico de computadores e usuários, formando uma unidade
lógica centralizada de gerenciamento e segurança.
 Basicamente o ADDS é formado pelos seguintes serviços:
 LDAP (Armazenamento de objetos)
 Kerberos (autenticação)
 DNS (Resolução de Nomes)
O que é o AD DS?

4.  O domínio é um limite de replicação
 O domínio é um centro administrativo
para configurar e gerenciar objetos
 Qualquer controlador de domínio
pode autenticar qualquer entrada
 em qualquer local do domínio
 O domínio fornece autorização
 O AD DS requer um ou mais controladores de domínio
 Todos os controladores de domínio contêm uma cópia
do banco de dados do domínio, que é sincronizada
continuamente
 O domínio é o contexto no qual são criadas contas
de usuários, contas de computadores e grupos
AD DS
Computadores
Usuários
Grupos
O que é um domínio do AD DS?

5. Componentes lógicos Componentes físicos
 Partições
 Esquema
 Domínios
 Árvores de domínio
 Florestas
 Sites
 UOs
 Contêineres
 Controladores
de domínio
 Repositórios
de dados
 Servidores de
catálogo global
 RODCs
O AD DS é composto por componentes
físicos e lógicos
Componentes do AD DS

6. O que é o esquema do AD DS?

7. Domínio raiz da árvore
fabrikam.com
brasil.adatum.com
Domínio filho
adatum.com
Domínio
raiz da floresta
O que é uma floresta do AD DS?

8.  Unidades Organizacionais:
 Utilizado para agrupar logicamente usuários,
computadores, e grupos do Active Directory
 Delegar permissões administrativas
 Aplicar configurações a usuários e computadores
O que são UO (Unidades Organizacionais)?

9. Normalmente, o gerenciamento do AD DS é
realizado com as seguintes ferramentas:
 Centro Administrativo do Active Directory
 Usuários e Computadores do Active Directory
 Sites e Serviços do Active Directory
 Domínios e Relações de Confiança do Active Directory
 Snap-in do Esquema do Active Directory
 Módulo Active Directory para Windows PowerShell
Visão geral das ferramentas de administração do AD DS

10. Controladores de domínio:
São servidores que hospedam o banco de dados
do AD DS (Ntds.dit) e SYSVOL
Hospedam o serviço de autenticação Kerberos
e os serviços KDC para executar autenticação
Melhores práticas para:
 Disponibilidade:
 Usar pelo menos dois controladores de domínio em
um domínio
 Segurança:
 Usar o RODC ou o BitLocker
O que é um controlador de domínio?

11.  Os controladores de domínio registram dinamicamente
seus endereços junto ao DNS
 Os clientes localizam controladores de domínio por meio
de consultas no DNS
 Os resultados das consultas DNS para controladores de
domínio são retornados nesta ordem:
1. Uma lista de controladores de domínio no mesmo
site do cliente
2. Uma lista de controladores de domínio no site mais
próximos se nenhum estiver disponível no mesmo site
3. Uma lista aleatória de controladores de domínio em
outros sites se nenhum controlador de domínio estiver
disponível no site mais próximo
Visão geral dos registros SRV de controladores de
domínio

12. 1. A conta de usuário é autenticada no
controlador de domínio
2. O controlador de domínio retorna
um TGT para o cliente
3. O cliente usa o TGT para solicitar
acesso à estação de trabalho
4. O controlador de domínio concede
acesso à estação
de trabalho
5. O cliente usa o TGT para solicitar
acesso ao servidor
6. O controlador de domínio retorna
acesso ao servidor
Controlador
de domínio
Servidor
Estação
de trabalho
Processo de logon no AD DS

13.  No modelo de replicação de vários mestres, algumas
operações devem ser operações de mestre único
 Muitos termos são usados para operações de mestre
único no AD DS, incluindo:
 Mestre de operações
 Função de mestre único
 FSMO (Operações de Mestre Único Flexíveis)
As cinco FSMOs
 Floresta:
 Mestre de nomeação
de domínios
 Mestre de esquema
Domínio:
 Mestre RID
 Mestre de infraestrutura
 Mestre emulador PDC
O que são mestres de operações?

14.  A transferência é:
 Planejada
 Realizada com os dados mais recentes
 Realizada por meio de snap-ins, Windows
PowerShell, ou ntdsutil.exe
 A execução é:
 Não planejada, e realizada em último caso
 Realizada com dados incompletos ou
desatualizados
 Realizada por meio do Windows PowerShell ou
do ntdsutil.exe
Transferência e execução de funções

15. A seção Configuração de Implantação do Assistente
de Configuração do Active Directory Domain Services
Instalação de um controlador de domínio
do Gerenciador do Servidor

16.  Usar o Gerenciador do Servidor:
 Instale a função de servidor do AD DS
 Execute o Assistente de Configuração do Active
Directory Domain Services
 Usar o Windows PowerShell:
 Instale os arquivos executando o comando
Install-WindowsFeature AD-Domain-Services
 Instale a função do controlador de domínio executando
o comando Install-ADDSDomainController
Instalação de um controlador de domínio em uma
instalação Server Core do Windows Server 2016

17.  Você tem duas opções para atualizar o AD DS para
o Windows Server 2019:
 Realizar uma atualização in-loco (do Windows Server 2012 ou
versões posteriores para o Windows Server 2019:
 Benefício: com exceção das verificações de pré-requisitos, todos
os arquivos e programas permanecem no local e nenhum
trabalho adicional é necessário
 Risco: isso pode deixar arquivos e bibliotecas DLL obsoletos
 Adicionar um novo servidor executando o Windows Server 2019
no domínio, e então, promovê-lo a controlador de domínio
(essa é a opção geralmente recomendada):
 Benefício: o novo servidor não possui arquivos e configurações
obsoletos
 Risco: isso pode exigir mais trabalho para migrar arquivos e
configurações
Atualização de um controlador de domínio

18. A seção Instalar da mídia na página Opções Adicionais
do Assistente de Configuração do Active Directory
Domain Services
Instalação de um controlador de domínio usando mídia

19. Você pode clonar controladores de domínio para:
 Implantação rápida
 Nuvens privadas
 Estratégias de recuperação
Para clonar o controlador de domínio de origem:
 Adicione o controlador de domínio ao grupo Controladores
de Domínio Clonáveis
 Verifique a compatibilidade dos aplicativos e o serviços em
execução
 Crie um arquivo DCCloneConfig.xml
 Exporte-o uma vez e crie tantos clones quantos forem
necessários
 Inicie os clones
Clonagem de controladores de domínio

20. Melhores práticas para virtualização do controlador de domínio
 Use os serviços de tempo para relógios sincronizados
 Use tecnologia de virtualização com suporte ao recurso de
identificador de geração de máquina virtual (VM-Generation ID)
 Use o Windows Server 2012 ou uma versão posterior como
convidados de virtualização
 Desabilite pontos de verificação (CheckPoint)
 Procure beneficiar-se da clonagem em sua implantação ou
estratégia de recuperação
 Inicie, no máximo, 10 novos clones ao mesmo tempo
 Considere usar tecnologias de virtualização que permitam que
sistemas convidados movam-se entre sites
 Ajuste sua estratégia de nomeação para permitir clones do
controlador de domínio

21. Laboratórios
 Implantação do AD DS
 Implantação de controladores de domínio
usando Instalar da Mídia
 Conhecer as Ferramentas de Administração
do AD DS