002 - windows server 2008_função serviços de domínio do active directory
DESCRIPTION
Aplica-se a: Windows Server 2008 Aplica-se a: Windows Server 2008 AD DS: Aprimoramentos da interface do usuário AD DS: Controladores de domínio somente leitura AD DS: Diretivas de senha refinadas AD DS: Auditoria AD DS: Auditoria Atualizado: março de 2009 Atualizado: janeiro de 2008 AD DS: Serviços de Domínio Active Directory reiniciáveis Função Serviços de Domínio do Active DirectoryTRANSCRIPT
Função Serviços de Domínio do Active Directory
Atualizado: janeiro de 2008
Aplica-se a: Windows Server 2008
O Serviços de Domínio do Active Directory (AD DS) no Windows Server® 2008 armazena informações sobre usuários, computadores e outros dispositivos existentes na rede. O AD DS ajuda os administradores a gerenciar com segurança essas informações e facilita o compartilhamento de recursos e a colaboração entre usuários. Também é necessário que o. AD DS esteja instalado na rede para a instalação de aplicativos habilitados no diretório como, por exemplo, o Microsoft® Exchange Server, e para a aplicação de outras tecnologias do Windows Server tais como a Diretiva de Grupo.
Os tópicos a seguir descrevem alterações da funcionalidade AD DS disponíveis nesta versão:
AD DS: Auditoria
AD DS: Diretivas de senha refinadas
AD DS: Controladores de domínio somente leitura
AD DS: Serviços de Domínio Active Directory reiniciáveis
AD DS: Ferramenta de Montagem de Bancos de Dados
AD DS: Aprimoramentos da interface do usuário
AD DS: Auditoria
Atualizado: março de 2009
Aplica-se a: Windows Server 2008
No Windows Server® 2008, agora é possível configurar a auditoria do AD DS (Serviços de Domínio Active Directory®) usando uma nova subcategoria da diretiva de auditoria (Alterações no Serviço de Diretório) para registrar em log valores antigos e novos quando forem feitas alterações em objetos AD DS e nos respectivos atributos.
Observação
Esse novo recurso de auditoria também se aplica aos Serviços AD LDS. No entanto, esse debate se refere apenas ao AD DS.
O que a auditoria do AD DS faz?
A diretiva de auditoria global Auditoria de acesso ao serviço de diretório controla se a auditoria de eventos do serviço de diretório deve ser habilitada ou desabilitada. Essa configuração de segurança determina se eventos são registrados no log de Segurança quando certas operações são executadas em objetos do diretório. Você pode controlar quais operações devem ser auditadas modificando a SACL (lista de controle de acesso do sistema) de um objeto. No Windows Server 2008, essa diretiva fica habilitada por padrão.
Se você definir essa configuração de diretiva (modificando a Diretiva de Controladores de Domínio padrão), poderá especificar se devem ser auditadas as operações com êxito, as operações com falha ou se não devem ser feitas auditorias. As auditorias de operações com êxito geram uma entrada de auditoria quando o usuário consegue acessar um objeto AD DS que tem uma SACL especificada. As auditorias de operações com falha geram uma entrada de auditoria quando o usuário tenta com êxito acessar um objeto AD DS que tem uma SACL especificada.
Você pode definir uma SACL em um objeto AD DS usando a guia Segurança da caixa de diálogo de propriedades do objeto. A Auditoria de acesso ao serviço de diretório é aplicada da mesma maneira que a Auditoria de acesso a objetos; todavia, ela se aplica apenas a objetos AD DS, e não a objetos do sistema de arquivos e do Registro.
Quem estaria interessado nesse recurso?
Esse recurso se aplica a administradores do AD DS que são responsáveis por configurar a auditoria no diretório. Os administradores definem SACLs apropriadas nos objetos que desejam auditar.
Em geral, as permissões para modificar SACLs e exibir o log de Segurança são atribuídas apenas para membros dos grupos Administradores, incluindo Admins. do Domínio, Builtin\Administradores e Admins. de Empresa.
Que funcionalidade existente foi alterada?
O Windows Server 2008 adiciona a capacidade de auditoria do AD DS para registrar em log os valores antigos e novos de um atributo quando uma alteração bem-sucedida é feita no atributo. Antes, a auditoria do AD DS só registrava em log o nome do atributo que era alterado; ela não registrava os valores anteriores e atuais do atributo.
Fazendo auditoria no acesso ao AD DS
Nos sistemas operacionais Windows 2000 Server e Windows Server 2003, havia uma diretiva de auditoria, chamada Auditoria de acesso ao serviço de diretório, que controlava se a auditoria de eventos do serviço de diretórios deveria ser habilitada ou desabilitada. No Windows Server 2008, essa diretiva é dividida em quatro subcategorias:
Acesso ao Serviço de Diretório
Alterações no Serviço de Diretório
Replicação do Serviço de Diretório
Replicação Detalhada do Serviço de Diretório
A capacidade de auditar alterações feitas em objetos do AD DS é habilitada com a nova sub-categoria de auditoria, Alterações no Serviço de Diretório. Os tipos de alterações que podem ser auditadas são operações criar, modificar, mover e cancelar exclusão executadas em relação a um objeto. Os eventos gerados por essas operações aparecem no log de Segurança.
Essa nova subcategoria de auditoria adiciona os seguintes recursos à auditoria do AD DS:
Quando uma operação de modificação bem-sucedida é executada em relação a um atributo de objeto, o AD DS registra em log os valores anteriores e atuais do atributo. Se o atributo tiver mais de um valor, somente os valores alterados como resultado da operação de modificação serão registrados em log.
Se for criado um novo objeto, os valores dos atributos que forem preenchidos no momento da criação serão registrados em log. Se atributos forem adicionadas durante a operação de criação, esses novos valores de atributo serão registrados em log. Na maioria dos casos, o AD DS designa valores padrão para os atributos (como sAMAccountName). Os valores desses atributos de sistema não são registrados em log.
Se um objeto for movido dentro de um domínio, a localização anterior e a nova (no formato do nome diferenciado) serão registradas em log. Quando um objeto é movido para outro domínio, um evento de criação é gerado no controlador de domínio do domínio de destino.
Se a exclusão de um objeto é cancelada, o local para onde o objeto é movido também é registrado em log. Além disso, se atributos são adicionados, modificados ou excluídos durante uma operação de
cancelamento de exclusão, os valores desses atributos são registrados em log.
Observação
Se um objeto é excluído, não são gerados eventos de auditoria de alteração. Contudo, um evento de auditoria é gerado se a subcategoria Acesso ao Serviço de Diretório está habilitada.
Depois que a subcategoria Alterações no Serviço de Diretório é habilitada, o AD DS registra eventos no log de Segurança quando alterações são feitas em objetos que um administrador configurou para auditoria. A tabela a seguir descreve estes eventos.
ID do evento
Tipo de evento
Descrição do evento
5136 Modificar Este evento é registrado em log quando uma modificação bem-sucedida é feita em um atributo do diretório.
5137 Criar Este evento é registrado em log quando um novo objeto é criado no diretório.
5138 Desfazer exclusão
Este evento é registrado em log quando a exclusão de um objeto do diretório é cancelada.
5139 Mover Este evento é registrado em log quando um objeto é movido no domínio.
Por que essa alteração é importante?
A capacidade de identificar a maneira pela qual os atributos de objetos são alterados torna os logs de eventos mais úteis como mecanismo de controle das alterações que ocorrem durante a vida útil de um objeto.
O que funciona de maneira diferente?
No Windows Server 2008, você implementa o novo recurso de auditoria usando os seguintes controles:
Diretiva de auditoria global
SACL
Esquema
Diretiva de auditoria global
Quando habilitada, a diretiva de auditoria global Auditoria de acesso ao serviço de diretório habilita todas as subcategorias da diretiva de serviço de diretório. Você pode definir essa diretiva de auditoria global na Diretiva de Grupo Controladores de Domínio Padrão (em Configurações de Segurança\Diretivas Locais\Diretiva de Auditoria). No Windows Server 2008, essa diretiva de auditoria global fica habilitada por padrão. Portanto, a subcategoria Alterações no Serviço de Diretório também fica habilitada por padrão. Essa subcategoria só é definida para eventos com êxito.
No Windows 2000 Server e no Windows Server 2003, a diretiva Auditoria de acesso ao serviço de diretório era o único controle de auditoria disponível para o Active Directory. Os eventos que eram gerados por esse controle não mostravam os valores antigos e novos de nenhuma modificação. Essa configuração gerava eventos de auditoria no log de Segurança com o número de identificação 566. No Windows Server 2008, a subcategoria da diretiva de auditoria Acesso ao Serviço de Diretório ainda gera os mesmos eventos, mas o número de identificação do evento mudou para 4662.
Com a nova subcategoria da diretiva de auditoria Alterações no Serviço de Diretório, as alterações bem-sucedidas feitas no diretório são registradas junto com os valores de atributo anteriores e atuais. As configurações das subcategorias Acesso ao Serviço de Diretório e Alterações no Serviço de Diretório são armazenadas no banco de dados da LSA (autoridade de segurança local). Elas podem ser consultadas com as novas APIs de LSA.
As duas subcategorias de auditoria são independentes uma da outra. Você pode desabilitar Acesso ao Serviço de Diretório e ainda assim conseguirá ver os eventos de alteração gerados se a subcategoria Alterações no Serviço de Diretório estiver habilitada. De modo semelhante, se você desabilitar Alterações no Serviço de Diretório e habilitar Acesso ao Serviço de Diretório, poderá ver os eventos do log de Segurança que tiverem o número de identificação 4662.
É possível usar a ferramenta de linha de comando Auditpol.exe para visualizar ou definir subcategorias de diretiva de auditoria. Não existe uma ferramenta de interface do Windows disponível no Windows Server 2008 para visualizar ou definir subcategorias da diretiva de auditoria.
SACL
A SACL faz parte do descritor de segurança de um objeto que especifica quais operações de uma entidade de segurança devem ser auditadas. A SACL do
objeto ainda é a autoridade absoluta para determinar se uma verificação de acesso deve ou não ser auditada.
O conteúdo da SACL é controlado pelos administradores de segurança do sistema local. Os administradores de segurança são usuários que receberam o privilégio Gerenciar a Auditoria e o Log de Segurança (SeSecurityPrivilege). Por padrão, esse privilégio é atribuído ao grupo Administradores interno.
Se não houver nenhuma ACE (entrada de controle de acesso) na SACL que exija que as modificações de atributo sejam registradas em log, mesmo que a subcategoria Alterações no Serviço de Diretório esteja habilitada, nenhum evento de auditoria de alteração será registrado em log. Por exemplo, se não houver uma ACE em uma SACL que exija que o acesso à Propriedade de Gravação no atributo de número de telefone de um objeto do usuário seja auditado, nenhum evento de auditoria será gerado quando o atributo de número de telefone for alterado, mesmo que a subcategoria Alterações no Serviço de Diretório esteja habilitada.
Esquema
Para evitar a possibilidade de um número excessivo de eventos gerados, o esquema tem um controle adicional que você pode usar para criar exceções quanto ao que deve ser auditado.
Por exemplo, se você deseja ver as todas as alterações de atributo feitas em um objeto de usuário, com exceção de um ou dois atributos, poderá definir um sinalizador no esquema para os atributos que não devem ser auditados. A propriedade searchFlags de cada atributo define se o atributo deve ser indexado, replicado no catálogo global ou algum outro comportamento parecido. Há sete bits definidos atualmente para a propriedade searchFlags.
Se o bit 9 (valor 256) estiver definido para um atributo, o AD DS não registrará os eventos de alteração quando forem feitas modificações no atributo. Isso se aplica a todos os objetos que contêm esse atributo.
Que configurações foram adicionadas ou alteradas?
Existem novas configurações de chave do Registro e configurações de Diretiva de Grupo para auditoria do AD DS.
Configurações do Registro
Os valores de chave do Registro a seguir são usados para configurar a auditoria do AD DS.
Nome da configuração Localização Valores
possíveis
MaximumStringBytesToAudit HKEY_LOCAL_MACHINE\ System\CurrentControlSet\ Services\NTDS\Parameters
Valor mínimo do Registro: 0
Valor máximo do Registro: 64000
Valor padrão: 1000
Configurações de Diretiva de Grupo
Não é possível visualizar as subcategorias da diretiva de auditoria usando o Editor de Diretiva de Grupo Local (GPedit.msc). Você só consegue visualizá-las com a ferramenta de linha de comando Auditpol.exe. O seguinte exemplo de comando auditpol habilita a subcategoria de auditoria Alterações no Serviço de Diretório:
auditpol /set /subcategory:"directory service changes" /success:enable
AD DS: Diretivas de senha refinadas
Atualizado: maio de 2008
Aplica-se a: Windows Server 2008
O sistema operacional Windows Server® 2008 fornece às organizações um meio para definir outras diretivas de bloqueio de senhas e contas para diferentes conjuntos de usuários em um domínio. Em domínios Microsoft® Windows® 2000 e Windows Server® 2003 Active Directory, uma só diretiva de senhas e de bloqueio de contas podia ser aplicada a todos os usuários do domínio. Essas diretivas eram especificadas na Diretiva de Domínio Padrão para o domínio. Como resultado, as organizações que desejavam outras configurações de bloqueio de senhas e contas para diferentes conjuntos de
usuários precisavam criar um filtro de senhas ou implantar diversos domínios. Ambas as opções são dispendiosas por diferentes motivos.
O que as diretivas de senha refinadas fazem?
Você pode usar diretivas de senha refinadas para especificar diversas diretivas de senha em um só domínio. Pode também ser diretivas de senha refinadas para aplicar diferentes restrições para diretivas de bloqueio de senhas e de contas para diferentes conjuntos de usuários em um domínio.
Por exemplo, é possível aplicar configurações mais rígidas para contas privilegiadas e outras menos rigorosas para as contas dos outros usuários. Em outros casos, talvez você queira aplicar uma diretiva de senha especial cujas senhas sejam sincronizadas com outros recursos de dados.
Quem estaria interessado neste recurso?
Os seguintes profissionais devem ler atentamente estas informações sobre diretivas de senha refinadas:
Planejadores e analistas de tecnologia da informação (TI) que estejam avaliando tecnicamente o produto
Planejadores e designers de TI no âmbito empresarial
Administradores ou gerentes responsáveis pela segurança de IT
Há considerações especiais?
As diretivas de senha refinadas aplicam-se somente a objetos de usuário (ou objetos inetOrgPerson, se usados no lugar de objetos de usuário) e grupos de segurança global. Por padrão, somente membros do grupo Administradores de Domínio podem definir diretivas de senha refinadas. Entretanto, você também pode delegar a capacidade de definir essas diretivas a outros usuários. O nível funcional do domínio deve ser Windows Server 2008.
A diretiva de senha refinada não pode ser aplicada diretamente a uma unidade organizacional (OU). Para aplicar a diretiva de senha refinada aos usuários de uma OU, pode usar um grupo de sombra.
Um grupo de sombra é um grupo de segurança global mapeado logicamente para uma OU para impor uma diretiva de senha refinada. Você deve adicionar usuários da OU como membros do recém-criado grupo de sombra e, em seguida, aplicar a diretiva de senha refinada a esse grupo. Você pode criar mais grupos de sombra para outras OUs, conforme necessário. Se você passar
um usuário de uma OU para outra, deverá atualizar a associação dos grupos de sombra correspondentes.
As diretivas de senha refinadas não interferem nos filtros de senha personalizados que você eventualmente use no mesmo domínio. As organizações que implantaram filtros de senha personalizados para controladores de domínio com Windows 2000 ou Windows Server 2003 podem continuar a usar aqueles filtros de senha para impor restrições adicionais para senhas.
Que nova funcionalidade este recurso oferece?
Armazenando diretivas de senha refinadas
Para armazenar diretivas de senha refinadas, o Windows Server 2008 inclui duas novas classes de objetos no esquema dos Serviços de Domínio do Active Directory (AD DS):
Contêiner de Configuração de Senha
Configurações de senha
Um Contêiner de Configuração de Senha (PSC) é criado por - -
Computadores do Active Directory com os recursos avançados habilitados. Ele armazena os objetos de Configurações da Senha (PSOs) para o domínio.
Não é possível renomear, mover ou excluir esse contêiner. Embora seja possível criar PSCs personalizados adicionais, eles não são considerados quando o RSOP (conjunto de diretivas resultante) é calculado para um objeto. Sendo assim, eles não são recomendados. Para obter mais informações sobre como o RSOP é calculado, consulte "RSOP" posteriormente neste tópico.
Um PSO tem atributos para todas as configurações possivelmente definidas na Diretiva de Domínio Padrão (exceto configurações doe Kerberos). Essas configurações incluem atributos para as seguintes configurações de senha:
Impor histórico de senhas
Tempo de vida máximo da senha
Tempo de vida mínimo da senha
Comprimento mínimo da senha
A senha deve satisfazer a requisitos de complexidade
Armazenar senhas usando criptografia reversível
Essas configurações também incluem atributos para as seguintes configurações de bloqueio de conta:
Duração do bloqueio de conta
Limite de bloqueio de conta
@@@Zerar bloqueio de conta após
Além disso, um PSO tem os dois novos atributos a seguir:
@@@ Vínculo de PSO. É um atributo com valores múltiplos vinculado a objetos de usuários e/ou de grupos.
Precedência. É um valor inteiro usado para resolver conflitos se foram aplicados vários PSOs a um objeto de usuário ou de grupo.
Esses nove itens são atributos mustHave. Isso significa que você deve definir um valor para cada um deles. As configurações de PSOs múltiplos não podem ser mescladas.
Definindo o escopo de diretivas de senha refinadas
Um PSO pode ser vinculado a um usuário (ou inetOrgPerson) ou objeto de grupo que se encontre nesse mesmo domínio.
Um PSO tem um atributo chamado msDS-PSOAppliesTo que contém um vínculo progressivo somente para objetos de usuário ou grupo. O atributo msDS-PSOAppliesTo tem valores múltiplos, o que significa que você pode aplicar um PSO a vários usuários ou grupos. É possível criar uma diretiva de senha e aplicá-la a diferentes conjuntos de usuários ou grupos.
Um novo atributo chamado msDS-PSOApplied foi acrescentado aos objetos de usuário e de grupo no Windows Server 2008. O atributo msDS-PSOApplied contém um vínculo inverso para o PSO. Como o atributo msDS-PSOApplied é um vínculo inverso, um usuário ou grupo pode ter vários PSOs aplicados a ele. Nesse caso, as configurações aplicadas são calculadas pelo RSOP. Para obter mais informações, consulte "RSOP" adiante, neste tópico.
Você pode vincular um PSO a outros tipos de grupos além dos grupos de segurança global. No entanto, quando o RSOP é determinado para um usuário ou grupo, apenas os PSOs vinculados a grupos de segurança globais ou a
objeto de usuário são considerados. Os PSOs vinculados a grupos de distribuição ou outros tipos de grupos de segurança são ignorados.
RSOP
Um objeto de usuário ou de grupo pode ter vários PSOs vinculados a ele, seja devido à associação em vários grupos que têm, cada um deles, diferentes PSOs aplicados ou ao fato de vários PSOs serem aplicados diretamente ao objeto. Entretanto, somente um PSO pode ser aplicado como a efetiva diretiva de senha. Somente as configurações desse PSO podem afetar o usuário ou grupo. As configurações de outros PSOs vinculados ao usuário ou grupo não podem ser mescladas de modo algum.
O RSOP pode ser calculado somente para um objeto de usuário. O PSO pode ser aplicado ao objeto de usuário de um dos dois modos a seguir:
1. Diretamente: O PSO é vinculado ao usuário
2. Indiretamente: O PSO é vinculado a grupos dos quais o usuário é membro
Cada PSO tem um atributo adicional chamado msDS-PasswordSettingsPrecedence, que ajuda no cálculo do RSOP. O atributo msDS-PasswordSettingsPrecedence tem valor inteiro de 1 ou superior. Um valor inferior para o atributo de precedência indica que o PSO tem classificação, ou prioridade, mais alta do que outros PSOs. Por exemplo, suponhamos que um objeto tenha dois PSOs vinculados a ele. Um PSO tem valor de precedência 2 e o outro, valor 4. Nesse caso, o PSO com valor de precedência 2 tem classificação mais alta e, logo, é aplicado ao objeto.
Se vários PSOs forem vinculados a um usuário ou grupo, o PSO resultante aplicado é determinado do seguinte modo:
1. Um PSO vinculado diretamente ao objeto de usuário é o PSO resultante. (Vários PSOs não devem estar diretamente vinculados a um único objeto de usuário.)
2. Se nenhum PSO estiver vinculado diretamente ao objeto do usuário, as associações do grupo de segurança global do usuário serão comparadas a todos os PSOs que se aplicam ao usuário com base em tais associações. O PSO com o menor valor de precedência é o PSO resultante.
3. Se nenhum PSO for obtido com base nas condições (1) e (2), será aplicada a Diretiva de Domínio Padrão.
É recomendável que você atribua um valor msDS-PasswordSettingsPrecedence pra cada PSO que criar. Entretanto, você pode criar vários PSOs com o mesmo valor de msDS-PasswordSettingsPrecedence. Se forem obtidos vários PSOs com o mesmo valor de msDS-PasswordSettingsPrecedence para um usuário com base nas condições (1) e (2), será aplicado o PSO com menor GUID.
Outro novo atributo chamado msDS-ResultantPso foi acrescentado ao objeto de usuário. Um administrador pode consultar esse atributo para recuperar o nome distinto do PSO aplicado por último a esse usuário (com base nas regras listadas anteriormente). Se não houver objeto de PSO aplicável ao usuário, seja diretamente ou via associação a um grupo, a consulta retornará o valor NULL.
Se você quiser que um determinado membro de grupo seja compatível com uma diretiva diferente daquela atribuída a todo o grupo, pode criar um PSO excepcional e vinculá-lo diretamente a esse usuário específico. Quando msDS-ResultantPso desse usuário é calculado, o PSO excepcional vinculado diretamente ao usuário tem precedência sobre todos os outros.
O objeto de usuário tem três bits que substituem as configurações presentes no PSO resultante (tal como esses bits substituem as configurações na Diretiva de Domínio Padrão do Windows 2000 e do Windows Server 2003). Você pode definir esses bits no atributo userAccountControl do objeto de usuário:
@@@Criptografia de senha reversível obrigatória
Senha não obrigatória
@@@Senha não expira
Esses bits continuam a substituir as configurações no PSO resultante aplicado ao objeto de usuário.
Segurança e delegação
Por padrão, somente membros do grupo Administradores de domínio podem criar PSOs. Somente membros desse grupo têm as permissões Criar Filho e Excluir filho no objeto Contêiner de Configuração de Senha. Além disso, somente membros do grupo Administradores de domínio têm permissões de Propriedade de Gravação no PSO por padrão. Sendo assim, somente membros do grupo Administradores de domínio podem aplicar um PSO a um grupo ou usuário. Você pode delegar essa permissão a outros grupos ou usuários.
Você não precisa de permissões no objeto de usuário ou de grupo para poder aplicar um PSO e ele. O fato de ter permissões de Gravação no objeto de usuário ou grupo não confere a você a capacidade de vincular um PSO ao usuário ou grupo. O proprietário de um grupo não tem permissões para vincular um PSO ao grupo porque o vínculo progressivo está no PSO. Quem tem o poder de vincular um PSO ao grupo ou usuário é o proprietário do PSO.
As configurações do PSO podem ser consideradas confidenciais; sendo assim, por padrão, Usuários Autenticados não têm permissões de Propriedade de Leitura para um PSO. Por padrão, somente membros do grupo Administradores de domínio têm permissões de Propriedade de Leitura no descritor de segurança padrão do objeto PSO no esquema.
Você pode delegar essas permissões a qualquer outro grupo (como equipe do Suporte Técnico ou um aplicativo de gerenciamento) no domínio ou na floresta. Isso também pode impedir que um usuário veja as configurações da sua senha no diretório. O usuário pode ler o atributo msDS-ResultantPso ou msds-PSOApplied, mas esses atributos exibem apenas o nome distinto do PSO aplicável ao usuário. O usuário não pode ver as configurações nesse PSO.
Como devo me preparar para implantar este recurso?
Antes de que seja possível adicionar um controlador de domínio executando o Windows Server 2008 em um domínio do Active Directory existente, execute adprep. Ao executar adprep, o esquema do Active Directory será estendido de modo a incluir as novas classes de objeto que as diretivas de senha refinadas requerem.
Se você não criar diretivas de senha refinadas para diferentes conjuntos de usuários, as configurações de Diretiva de Domínio Padrão serão aplicáveis a todos os usuários do domínio, tal como ocorre no Windows 2000 e no Windows Server 2003.
Esse recurso está disponível em todas as edições do Windows Server 2008?
As diretivas de senha refinadas estão disponíveis em todas as edições do Windows Server 2008.
Referências adicionais
Para obter informações sobre como implementar a Diretiva de Bloqueio de Senhas e Contas Refinadas dos AD DS, consulte o Guia passo a passo para
configuração da diretiva de bloqueio de senhas e contas refinadas (http://go.microsoft.com/fwlink/?LinkID=128039).
AD DS: Controladores de domínio somente leitura
Atualizado: agosto de 2009
Aplica-se a: Windows Server 2008
Um RODC (controlador de domínio somente leitura) é um novo tipo de controlador de domínio do sistema operacional Windows Server® 2008. Com um RODC, as organizações podem facilmente implantar um controlador de domínio em locais onde não é possível garantir a segurança física. Um RODC hospeda partições somente leitura do banco de dados dos Serviços de Domínio Active Directory® (AD DS).
Antes do lançamento do Windows Server 2008, se os usuários tivessem que se autenticar em um controlador de domínio através de uma WAN (rede de longa distância), não havia uma alternativa real. Em muitos casos, essa não era uma solução eficiente. As filiais geralmente não podem oferecer a segurança física adequada necessária para um controlador de domínio gravável. Além disso, as filiais normalmente dispõem de largura de banda de rede insuficiente quando estão conectadas a um site de hub. Isso pode aumentar o tempo necessário para fazer logon. Também pode dificultar o acesso a recursos da rede.
A partir do Windows Server 2008, uma organização pode implantar um RODC para lidar com esses problemas. Como resultado, os usuários que estão nessa situação têm os seguintes benefícios:
Segurança aprimorada
Tempos de logon mais rápidos
Acesso mais eficiente a recursos da rede
Para obter mais informações sobre os RODCs, consulte o Guia de Planejamento e Implantação do RODC (Controlador de Domínio Somente Leitura) (http://go.microsoft.com/fwlink/?LinkID=135993) (em inglês).
O que um RODC faz?
A segurança física inadequada é o motivo mais comum para considerar a implantação de um RODC. O RODC é uma forma mais segura de implantar um controlador de domínio em locais que exigem serviços de autenticação rápidos
e confiáveis, mas que não podem garantir a segurança física de um controlador de domínio gravável.
Entretanto, a sua organização também pode escolher implantar um RODC para atender a necessidades administrativas especiais. Por exemplo, um aplicativo de linha de negócios (LOB) só poderá ser executado com êxito se for instalado em um controlador de domínio. Ou então é possível que o controlador de domínio seja o único servidor da filial e talvez ele tenha de hospedar aplicativos de servidor.
Nesses casos, o proprietário do aplicativo LOB deve fazer logon no controlador de domínio com freqüência e interativamente ou usar os Serviços de Terminal para configurar e gerenciar o aplicativo. Essa situação dá margem a um risco de segurança que pode ser inaceitável em um controlador de domínio gravável.
Um RODC é um mecanismo mais seguro para implantar um controlador de domínio nesse cenário. Você pode conceder a um usuário de domínio não administrativo o direito de fazer logon em um RODC e, dessa maneira, minimizar o risco de segurança para a floresta do Active Directory.
Você também pode implantar um RODC em outros cenários onde o armazenamento local de todas as senhas de usuário é considerado a principal ameaça (por exemplo, em uma extranet ou em uma função de contato com o aplicativo).
Quem estaria interessado nesse recurso?
O RODC deve ser implantado principalmente em ambientes remotos ou de filiais. Filiais geralmente têm as seguintes características:
Relativamente poucos usuários
Segurança física deficitária
Largura de banda de rede relativamente insuficiente para um site de hub
Pouco conhecimento de tecnologia da informação (TI)
Você deve reler esta seção e a documentação de apoio adicional sobre o RODC caso faça parte de um dos seguintes grupos:
Planejadores e analistas de TI que estejam avaliando o produto tecnicamente
Planejadores e designers corporativos de TI para organizações
Responsáveis pela segurança de TI
Administradores do AD DS que lidam com filiais pequenas
Há considerações especiais?
Para implantar um RODC, pelo menos um controlador de domínio gravável do domínio deve estar executando o Windows Server 2008. Além disso, o nível funcional do domínio e da floresta deve ser Windows Server 2003 ou superior.
Para obter mais informações sobre os pré-requisitos de implantação de um RODC, consulte Como devo me preparar para implantar esse recurso?
Que nova funcionalidade é oferecida por esse recurso?
O RODC resolve alguns dos problemas normalmente encontrados em filiais. Esses locais podem não ter um controlador de domínio. Ou é possível que tenham um controlador de domínio gravável, mas não a segurança física, a largura de banda de rede ou o conhecimento do local necessários para suportá-lo. A seguinte funcionalidade do RODC atenua esses problemas:
Banco de dados somente leitura do AD DS
Replicação unidirecional
Armazenamento de credenciais em cache
Separação da função Administrador
Sistema de nome de domínio (DNS) somente leitura
Banco de dados dos AD DS somente leitura
Com exceção das senhas de contas, um RODC armazena todos os objetos e atributos do Active Directory que são armazenados por um controlador de domínio gravável. Todavia, não é possível fazer alterações no banco de dados armazenado no RODC. As alterações devem ser feitas em um controlador de domínio gravável e, depois, replicadas de volta no RODC.
Os aplicativos locais que exigem acesso de Leitura no diretório podem obter acesso. Aplicativos LDAP que precisam de acesso de Gravação recebem uma resposta de referência LDAP. Essa resposta os direciona para um controlador de domínio gravável, normalmente em um site de hub.
Conjunto de atributos filtrados do RODC
Alguns aplicativos que usam o AD DS como armazenamento de dados podem ter dados semelhantes a credenciais (como senhas, credenciais ou chaves de criptografia) que você não deseja que sejam armazenados em um RODC caso este seja comprometido.
Para esses tipos de aplicativos, você pode configurar um conjunto de atributos no esquema dinamicamente para os objetos de domínio que não serão replicados em um RODC. Esse conjunto é chamado de conjunto de atributos filtrados do RODC. Os atributos definidos no conjunto de atributos filtrados do RODC não podem ser replicados em nenhum dos RODCs da floresta.
Um usuário mal-intencionado que comprometer um RODC poderá tentar configurá-lo de modo que ele tente replicar atributos definidos no conjunto de atributos filtrados do RODC. Se o RODC tentar replicar esses atributos de um controlador de domínio que esteja executando o Windows Server 2008, a solicitação de replicação será negada. No entanto, se o RODC tentar replicar esses atributos de um controlador de domínio que esteja executando o Windows Server 2003, a solicitação de replicação poderá ser aceita.
Portanto, como medida de segurança, verifique se o nível funcional da floresta é Windows Server 2008 caso você pretenda configurar o conjunto de atributos filtrados do RODC. Quando o nível funcional da floresta é Windows Server 2008, um RODC que está comprometido não pode ser explorado dessa maneira porque os controladores de domínio que estão executando o Windows Server 2003 não têm permissão na floresta.
Você não pode adicionar atributos que são críticos para o sistema ao conjunto de atributos filtrados do RODC. Um atributo é considerado crítico para o sistema se ele é necessário para que o AD DS; a LSA (Autoridade de Segurança Local), o SAM (Gerenciador de Contas de Segurança) e @@@SSPIs (interfaces do provedor de serviços de segurança) específicas da Microsoft, como Kerberos, funcionem corretamente. Um atributo crítico para o sistema tem o valor do atributo schemaFlagsEx igual a 1 (schemaFlagsEx valor do atributo & 0x1 = TRUE).
O conjunto de atributos filtrados do RODC é configurado no servidor que armazena a função de mestre de operações do esquema. Se você tentar adicionar um atributo crítico para o sistema ao conjunto filtrado do RODC enquanto o mestre do esquema estiver executando o Windows Server 2008, o servidor retornará um erro LDAP "unwillingToPerform". Se você tentar fazer isso em um mestre de esquema do Windows Server 2003, a operação parecerá ser bem-sucedida, mas o atributo não será efetivamente adicionado. Assim, é recomendado que o mestre de esquema seja um controlador de domínio do Windows Server 2008 quando você adicionar atributos ao conjunto
de atributos filtrados do RODC. Isso garantirá que os atributos críticos para o sistema não sejam incluídos no conjunto de atributos filtrados do RODC.
Replicação unidirecional
Como nenhuma alteração é gravada diretamente no RODC, nenhuma alteração se origina nele. Por isso, os controladores de domínio graváveis que são parceiros de replicação não precisam receber alterações do RODC. Isso significa que quaisquer alterações ou danos que um usuário mal-intencionado venha a fazer em filiais não serão replicados do RODC no restante da floresta. Isso também diminui a carga de trabalho dos servidores bridgehead do hub e o esforço necessário para monitorar a replicação.
A replicação unidirecional do RODC aplica-se tanto aos AD DS quanto à Replicação DFS (Sistema de Arquivos Distribuído) do SYSVOL. O RODC executa a replicação de entrada normal para as alterações dos AD DS e do SYSVOL.
Observação
Qualquer outro compartilhamento em um RODC que você configure para replicar usando a Replicação DFS será bidirecional.
Armazenamento em cache das credenciais
O cache de credenciais é o armazenamento de credenciais de usuário ou computador. As credenciais consistem em um conjunto pequeno de dez senhas que estão associadas às entidades de segurança. Por padrão, um RODC não armazena credenciais de usuário ou de computador. As exceções são a conta de computador do RODC e uma conta krbtgt especial que cada RODC tem. Você deve permitir explicitamente que outras credenciais sejam armazenadas no cache de um RODC.
O RODC é anunciado como o KDC (centro de distribuição de chaves) da filial. O RODC utiliza uma conta krbtgt e uma senha diferentes das que o KDC de um controlador de domínio gravável usa quando assina ou criptografa solicitações de tíquete de concessão de tíquete (TGT).
Depois que uma conta é autenticada com êxito, o RODC tenta contatar um controlador de domínio gravável no site do hub e solicita uma cópia das credenciais apropriadas. O controlador de domínio gravável reconhece que a solicitação vem de um RODC e consulta a Diretiva de Replicação de Senha em vigor para esse RODC.
A Diretiva de Replicação de Senha determina se as credenciais do usuário ou do computador podem ser replicadas do controlador de domínio gravável no RODC. Se a Diretiva de Replicação de Senha permitir, o controlador de domínio gravável replicará as credenciais no RODC, que as armazenará em cache.
Após armazenar as credenciais em cache, o RODC poderá atender diretamente às solicitações de logon do usuário até que as credenciais sejam alteradas. (Quando um TGT é assinado com a conta krbtgt do RODC, o RODC reconhece que tem uma cópia das credenciais armazenada no cache. Se outro controlador de domínio assinar o TGT, o RODC encaminhará as solicitações para um controlador de domínio gravável.)
A limitação do armazenamento de credenciais em cache apenas para os usuários que foram autenticados no RODC também limita a possível exposição de credenciais caso ele sofra algum comprometimento. Em geral, somente as credenciais de um pequeno subconjunto de usuários do domínio são armazenadas no cache de um determinado RODC. Portanto, se o RODC for roubado, apenas essas credenciais armazenadas no cache correrão o risco de ser violadas.
Deixar o armazenamento de credenciais em cache desabilitado pode limitar ainda mais essa exposição, mas como resultado todas as solicitações de autenticação serão encaminhadas para um controlador de domínio gravável. Um administrador pode modificar a Diretiva de Replicação de Senha padrão para permitir que as credenciais de um usuário sejam armazenadas no cache do RODC.
Separação da função Administrador
É possível delegar permissões administrativas locais em um RODC para qualquer usuário do domínio sem conceder ao usuário quaisquer direitos no domínio ou em outros controladores de domínio. Isso permite que um usuário da filial local faça logon em um RODC e execute o trabalho de manutenção no servidor, como a atualização de um driver. No entanto, o usuário da filial não poderá fazer logon em nenhum outro controlador de domínio nem executar outras tarefas administrativas no domínio. Dessa forma, poderá ser delegada ao usuário da filial a capacidade de efetivamente gerenciar o RODC na filial sem comprometer a segurança do restante do domínio.
DNS somente leitura
Você pode instalar o serviço de Servidor DNS em um RODC. Um RODC é capaz de replicar todas as partições de diretório de aplicativos usadas pelo
DNS, inclusive ForestDNSZones e DomainDNSZones. Se o servidor DNS estiver instalado em um RODC, os clientes poderão consultá-lo para obter resolução de nomes da mesma forma que consultam qualquer outro servidor DNS.
No entanto, o servidor DNS em um RODC é somente leitura e, portanto, não tem suporte diretamente para atualizações do cliente. Para obter mais informações sobre como as atualizações do cliente DNS são processadas por um servidor DNS em um RODC, consulte Atualizações do DNS para clientes localizados em um site do RODC.
Que configurações foram adicionadas ou alteradas?
Para dar suporte à Diretiva de Replicação de Senha do RODC, o AD DS do Windows Server 2008 inclui novos atributos. A Diretiva de Replicação de Senha é o mecanismo que determina se as credenciais de um usuário ou de um computador podem ser replicadas do controlador de domínio gravável no RODC. A Diretiva de Replicação de Senha sempre é definida em um controlador de domínio gravável que executa o Windows Server 2008.
Os atributos do AD DS que foram adicionados ao esquema do Active Directory do Windows Server 2008 para dar suporte a RODCs incluem os seguintes:
msDS-Reveal-OnDemandGroup
msDS-NeverRevealGroup
msDS-RevealedList
msDS-AuthenticatedToAccountList
Para obter mais informações sobre esses atributos, consulte o Guia de Planejamento e Implantação do RODC (http://go.microsoft.com/fwlink/?LinkID=135993) (em inglês).
Como devo me preparar para implantar esse recurso?
Os pré-requisitos para implantar um RODC são os seguintes:
O RODC deve encaminhar solicitações de autenticação para um controlador de domínio gravável que execute o Windows Server 2008. A Diretiva de Replicação de Senha é definida nesse controlador de domínio para determinar se credenciais devem ser replicadas na filial para uma solicitação encaminhada do RODC.
O nível funcional do domínio deve ser Windows Server 2003 ou superior para que a delegação restrita de Kerberos fique disponível. A delegação restrita é usada para chamadas de segurança que devem ser identificadas no contexto do chamador.
O nível funcional da floresta deve ser Windows Server 2003 ou superior para que a replicação de valor vinculado fique disponível. Isso oferece um nível mais alto de consistência da replicação.
Execute adprep /rodcprep uma vez na floresta para atualizar as permissões em todas as partições do diretório DNS na floresta. Dessa forma, todos os RODCs que também são servidores DNS podem replicar as permissões com êxito.
AD DS: Serviços de Domínio Active Directory reiniciáveis
Atualizado: setembro de 2009
Aplica-se a: Windows Server 2008
Os administradores podem interromper e reiniciar o AD DS (Serviços de Domínio Active Directory®) no Windows Server® 2008 utilizando snap-ins do MMC (Console de Gerenciamento Microsoft) ou a linha de comando.
O que o AD DS reiniciável faz?
O AD DS reiniciável diminui o tempo necessário para executar certas operações. O AD DS pode ser interrompido para que atualizações sejam aplicadas a um controlador de domínio; os administradores também podem interromper o AD DS para executar tarefas como a desfragmentação offline do banco de dados do Active Directory sem reiniciar o controlador de domínio. Outros serviços que são executados no servidor e não dependem do AD DS para funcionar, como o protocolo DHCP, permanecem disponíveis para atender a solicitações de clientes enquanto o AD DS está interrompido.
Quem estaria interessado neste recurso?
O AD DS reiniciável é vantajoso para:
Administradores e planejadores de atualizações de segurança
Equipes de gerenciamento do AD DS
Administradores do AD DS
Há considerações especiais?
Por padrão, o AD DS reiniciável está disponível em todos os controladores de domínio que executam o Windows Server 2008. Não há requisitos funcionais nem outros pré-requisitos para usar esse recurso.
Que nova funcionalidade este recurso oferece?
No Active Directory dos sistemas operacionais Microsoft® Windows® 2000 Server e Windows Server® 2003, a desfragmentação offline do banco de dados exigia uma reinicialização do controlador de domínio no Modo de Restauração dos Serviços de Diretório. A aplicação de atualizações de segurança também costumava exigir uma reinicialização do controlador de domínio.
No Windows Server 2008, entretanto, os administradores podem interromper e reiniciar o AD DS. Isso permite executar operações do AD DS offline mais rapidamente.
O AD DS reiniciável adiciona pequenas alterações nos snap-ins existentes do MMC. Um controlador de domínio que executa o AD DS do Windows Server 2008 exibe Controlador de Domínio no nó Serviços (Local) dos snap-ins Serviços de Componentes e Gerenciamento do Computador. Usando um desses dois snap-ins, um administrador pode facilmente interromper e reiniciar o AD DS da mesma forma que qualquer outro serviço executado localmente no servidor.
Que funcionalidade existente está sendo alterada?
Embora a interrupção do AD DS seja semelhante ao processo de logon no Modo de Restauração dos Serviços de Diretório, o AD DS reiniciável oferece um estado único para um controlador de domínio que executa o Windows Server 2008. Esse estado é conhecido como AD DS Interrompido.
Os três estados possíveis de um controlador de domínio que executa o Windows Server 2008 são os seguintes:
AD DS Iniciado. Nesse estado, o AD DS está iniciado. No caso de clientes e outros serviços em execução no servidor, um controlador de domínio do Windows Server 2008 executado nesse estado é igual a um controlador de domínio com o Windows 2000 Server ou o Windows Server 2003.
AD DS Interrompido. Nesse estado, o AD DS está interrompido. Apesar de esse modo ser exclusivo, o servidor tem algumas características de um
controlador de domínio no Modo de Restauração dos Serviços de Diretório e de um servidor membro de um domínio. Assim como ocorre no DSRM (Modo de Restauração dos Serviços de Diretório), o banco de dados do Active Directory (Ntds.dit) no controlador de domínio local fica offline. Outro controlador de domínio poderá ser contatado para logon se houver um disponível. Se não for possível contatar outro controlador de domínio, você poderá usar a senha do DSRM para fazer logon no controlador de domínio local no DSRM. Assim como um servidor membro, o servidor ingressa no domínio. Isso significa que a Diretiva de Grupo e outras configurações continuam sendo aplicadas ao computador. No entanto, um controlador de domínio não deve permanecer nesse estado por muito tempo, pois nesse estado ele não pode atender a solicitações de logon no serviço nem pode ser replicado com outros controladores de domínio.
Modo de Restauração dos Serviços de Diretório. Esse modo (ou estado) permanece inalterado em relação ao Windows Server 2003.
O fluxograma a seguir mostra de que maneira um controlador de domínio que executa o Windows Server 2008 pode mudar entre esses três estados possíveis.
AD DS: Ferramenta de Montagem de Bancos de Dados
Atualizado: maio de 2008
Aplica-se a: Windows Server 2008
A ferramenta de montagem de bancos de dados do Active Directory® (Dsamain.exe) pode aprimorar processos de recuperação para sua organização fornecendo meios de comparação de dados tal como existem em instantâneos ou backups obtidos em diferentes momentos para que você possa melhor decidir quais dados devem ser restaurados após um evento de perda de dados. Esse recurso elimina a necessidade de restaurar vários backups para comparar os dados do Active Directory ali contidos.
Observação
Durante o desenvolvimento do produto, este recurso também ficou conhecido por nomes de código anteriores, como Snapshot Viewer e ferramenta de mineração de dados do Active Directory.
Usando a ferramenta de montagem de bancos de dados do Active Directory, você pode examinar todas as alterações feitas nos dados armazenados nos Serviços de Domínio Active Directory (AD DS). Por exemplo, se um objeto for
acidentalmente modificado, você pode usar a ferramenta de montagem de bancos de dados do Active Directory para examinar as alterações e melhor decidir como corrigi-las se necessário.
O que a ferramenta de montagem de bancos de dados do Active Directory faz?
Embora a ferramenta de montagem de bancos de dados do Active Directory não recupere objetos excluídos, ela ajuda a agilizar o processo de recuperação de objetos acidentalmente excluídos. Antes do Windows Server 2008, quando os objetos ou unidades organizacionais (OUs) eram acidentalmente excluídos, o único caminho para determinar exatamente que objetos haviam sofrido exclusão era restaurar dados dos backups. Essa técnica tinha dois problemas:
O Active Directory tinha que ser reiniciado em Modo de Restauração dos Serviços de Diretório para executar uma restauração autoritativa.
Era impossível ao administrador comparar dados em backups obtidos em diferentes momentos (a menos que os backups fossem restaurados em vários controladores de domínio, um processo impraticável).
A finalidade da ferramenta de montagem de bancos de dados do Active Directory é expor dados AD DS armazenados em instantâneos ou backups online. Os administradores podem, então, comparar os dados em instantâneos ou backups obtidos em diferentes momentos e isso os ajuda a decidir com mais acerto sobre que dados restaurar, sem que haja inatividade do serviço.
Quem estaria interessado neste recurso?
Os seguintes profissionais devem analisar estas informações sobre a ferramenta de montagem de bancos de dados do Active Directory:
Planejadores e analistas de tecnologia da informação (TI) que estejam avaliando tecnicamente o produto
Planejadores e designers de TI no âmbito empresarial
Administradores, operadores e gerentes responsáveis por operações de TI, inclusive atividades de recuperação de dados AD DS excluídos
Há considerações especiais?
Há dois aspectos a considerar no problema da recuperação de dados excluídos:
Preservação dos dados excluídos para que possam ser recuperados
Recuperação real de dados excluídos quando necessário
A ferramenta de montagem de bancos de dados do Active Directory possibilita que dados do AD DS ou do Active Directory Lightweight Directory Services (AD LDS) excluídos sejam preservados sob a forma de instantâneos do AD DS obtidos pelo Serviço de Cópias de Sombra de Volume (VSS). A ferramenta não recupera, de fato, os objetos e contêineres excluídos. Os administradores devem executar a recuperação de dados como uma etapa subseqüente.
Você pode usar uma ferramenta do protocolo LDAP, como Ldp.exe, que é uma ferramenta interna do Windows Server 2008, para exibir os dados expostos nos instantâneos. Esses dados são somente leitura. Por padrão, somente membros dos grupos de Admins. do Domínio e Admins. de Empresa têm permissão para exibir os instantâneos, pois eles contêm dados AD DS confidenciais.
Proteja os instantâneos AD DS contra acesso não autorizado tal como você protege os backups do AD DS. Um usuário mal-intencionado com acesso aos instantâneos pode usá-los para divulgar dados confidenciais que possam estar armazenados no AD DS. Por exemplo, um usuário mal-intencionado poderia copiar instantâneos AD DS da floresta A para a floresta B e usar credenciais de Admins. do Domínio ou Admins. de Empresa na floresta B para examiná-los. Use criptografia ou outras precauções de segurança de dados com instantâneos AD DS para ajudar a diminuir a chance de acesso não autorizado a instantâneos AD DS.
Como devo me preparar para implantar este recurso?
O processo para o uso da ferramenta de montagem de bancos de dados do Active Directory inclui as seguintes etapas:
1. Embora não seja obrigatório, você pode agendar uma tarefa que execute regularmente Ntdsutil.exe para obter instantâneos do volume que contém o bando de dados AD DS.
2. Execute Ntdsutil.exe para listar os instantâneos disponíveis e monte aquele que você deseja exibir.
3. Execute Dsamain.exe para expor o volume do instantâneo como um servidor LDAP. Dsamain.exe usa os seguintes argumentos:
o Caminho (Ntds.dit) do banco de dados AD DS. Por padrão, esse caminho é aberto como somente leitura, mas deve ser ASCII.
o Caminho do log. Esse pode ser um caminho temporário, mas você deve ter acesso de gravação.
o Quatro números de porta para LDAP, LDAP-SSL, Catálogo Global e Catálogo Global–SSL. Somente a porta LDAP é obrigatória. Se as outras portas não forem especificadas, serão usadas respectivamente LDAP+1, LDAP+2 e LDAP+3. Por exemplo, se você especificar a porta LDAP 41389 sem especificar outros valores de porta, a porta LDAP-SSL usará a porta 41390 por padrão.
Para interromper Dsamain, pressione CTRL+C na janela Prompt de Comando ou, se você estiver executando o comando remotamente, defina o atributo stopservice no objeto rootDSE.
4. Execute e anexe Ldp.exe à porta LDAP do instantâneo que você especificou ao expor o instantâneo como servidor LDAP na etapa anterior.
5. Procure o instantâneo tal como faria com qualquer controlador de domínio real.
Se você tiver alguma idéia sobre que OU objetos foram excluídos, pode procurar entre os objetos excluídos nos instantâneos e gravar os atributos e vínculos inversos que pertenceram a tais objetos. Reative esses objetos usando o recurso de reanimação. Em seguida, torne a preencher, manualmente, esses objetos com os atributos e vínculos inversos removidos conforme houver sido identificado nos instantâneos.
Embora você deva recriar manualmente os atributos e vínculos inversos removidos, a ferramenta de montagem de bancos de dados do Active Directory permite que você recrie objetos excluídos e seus vínculos inversos sem reiniciar o controlador do domínio em Modo de Restauração dos Serviços de Diretório. Também é possível usar a ferramenta para procurar aspectos de configurações anteriores do AD DS, como permissões que estavam em vigor.
AD DS: Aprimoramentos da interface do usuário
Atualizado: maio de 2008
Aplica-se a: Windows Server 2008
Para melhorar a instalação e o gerenciamento de Serviços de Domínio Active Directory® (AD DS), o Windows Server® 2008 inclui um Assistente de
Instalação de Serviços de Domínio Active Directory atualizado. O Windows Server 2008 também vem com alterações nas funções do snap-in Console de Gerenciamento Microsoft (MMC) que gerenciam o AD DS.
O que fazem os aprimoramentos da interface de usuário do AD DS?
Os aprimoramentos feitos na interface de usuário do AD DS oferecem novas opções de instalação de controladores de domínio. Além disso, o Assistente de Instalação de Serviços de Domínio Active Directory otimiza e simplifica a instalação do AD DS.
Os aprimoramentos da interface de usuário do AD DS também oferecem novas opções de gerenciamento de recursos do AD DS, como RODCs (controladores de domínio somente leitura). Outras alterações nas ferramentas de gerenciamento melhoram a capacidade de localizar controladores de domínio em toda a empresa. Elas também oferecem controles importantes para novos recursos, como a Diretiva de Replicação de Senha para RODCs.
Quem estaria interessado nos aprimoramentos da interface de usuário do AD DS?
Esses aprimoramentos são importantes para os seguintes usuários:
Administradores do AD DS responsáveis por gerenciar controladores de domínio em pontos centrais e data centers
Administradores de filiais
Integradores de sistemas que executam instalações de servidor e encerram servidores
Há considerações especiais?
Os aprimoramentos da interface de usuário do AD DS não requerem considerações especiais. Por padrão, todas as melhorias feitas ao Assistente de Instalação dos Serviços de Domínio Active Directory estão disponíveis. Todavia, algumas páginas do assistente apenas serão exibidas se a caixa de seleção Usara instalação em modo avançado for selecionada na página de Bem-vindo.
A instalação em modo avançado oferece aos usuários avançados maior controle do processo de instalação, sem confundir usuários novatos com opções de configuração que podem não ser familiares. Quando a caixa de seleção Usara instalação em modo avançado não for marcada, o assistente usará as opções padrão que se aplicam à maioria das configurações.
Que nova funcionalidade é oferecida pelos aprimoramentos da interface de usuário do AD DS?
As melhorias da interface de usuário do AD DS oferecem nova funcionalidade para o Assistente de Instalação de Serviços de Domínio Active Directory e as funções do snap-in MMC.
Novo Assistente de Instalação de Serviços de Domínio Active Directory
Você pode usar o novo Assistente de Instalação de Serviços de Domínio Active Directory para adicionar a função de servidor AD DS de modo interativo. Para acessar o Assistente de Instalação de Serviços de Domínio Active Directory, você pode:
Usar o Assistente para Adicionar Funções. É possível acessar o Assistente para Adicionar Funções das seguintes maneiras:
o Clique em Adicionar Funções em Tarefas de Configuração Iniciais, o aplicativo que é exibido quando você instala o sistema operacional.
o Clique em Adicionar Funções no Gerenciador de Servidor, que está sempre disponível no menu Ferramentas Administrativas e por um ícone na área de notificação.
O Assistente para Adicionar Funções instala os arquivos necessários para instalar e configurar o AD DS em um servidor, mas não inicia a instalação do AD DS. Para iniciar a instalação do AD DS, você deve executar o arquivo dcpromo.exe.
Digite dcpromo em um prompt de comando e pressione ENTER ou clique em Iniciar, digite dcpromo e pressione ENTER ou ainda clique em Iniciar, clique em Executar, digite dcpromo e clique em OK, como nas versões anteriores do sistema operacional Windows Server.
Delegar uma instalação de RODC. Nesse caso, diferentes usuários executam o assistente em períodos diferentes. Primeiro, um membro do grupo Administradores de Domínio cria uma conta de RODC usando o snap-in Usuários e Computadores do Active Directory do Console de Gerenciamento Microsoft (MMC). Clique com o botão direito do mouse no contêiner Controladores de Domínio ou clique no contêiner Controladores de Domínio, clique em Ação e em Pré-criar conta do Controlador de Domínio Somente Leitura para iniciar o assistente e criar a conta. Quando você cria a conta de RODC, pode delegar a instalação e a administração do RODC a um usuário ou,
preferencialmente, a um grupo de segurança. No servidor que se tornará o RODC, o usuário que recebeu as permissões para instalá-lo e administrá-lo pode executar dcpromo /UseExistingAccount:Attach em um prompt de comando para iniciar o assistente.
O Assistente de Instalação de Serviços de Domínio do Active Directory contém uma nova opção na página Bem-vindo para habilitar o modo avançado como alternativa à execução de dcpromo com a opção /adv (por exemplo, dcpromo /adv). O modo avançado contém outras opções que permitem definir configurações mais avançadas e oferecem a usuários experientes maior controle da operação. As opções adicionais de instalação no modo avançado incluem o seguinte:
Criar uma nova árvore de domínio.
Usar mídia de backup de um controlador de domínio existente no mesmo domínio para reduzir o tráfego de rede associado à replicação inicial.
Selecionar o controlador de domínio de origem para a instalação. Assim, você pode controlar qual controlador de domínio é usado para inicialmente replicar os dados de domínio no novo controlador de domínio.
Modificar o nome NetBIOS que o assistente gera por padrão.
Definir a Diretiva de Replicação de Senha para um RODC.
Além dessas alterações, o Assistente de Instalação dos Serviços de Domínio Active Directory tem páginas novas, descritas na tabela a seguir.
Nova página do assistente
Descrição
Opções Adicionais de Controlador de Domínio
Especifica que, durante a instalação do controlador de domínio, este também será configurado para ser um servidor DNS, servidor de catálogo global ou RODC. Um RODC também pode ser um servidor DNS e um servidor de catálogo global.
Selecione um Domínio
Especifica o nome do domínio onde um controlador de domínio adicional está sendo instalado.
Selecione um Site Especifica o site no qual o controlador de domínio deve ser instalado.
Definir Níveis Funcionais
Define os níveis funcionais de domínio e de floresta durante a instalação de um novo domínio ou floresta.
Delegação de Instalação e Administração do RODC
Especifica o nome do usuário ou grupo que fará a instalação e administração do RODC em uma filial.
Diretiva de Replicação de Senha
Especifica quais senhas de conta poderão ou não ser colocadas em cache em um RODC. Essa página somente é exibida se a caixa de seleção Usar a instalação em modo avançado estiver marcada.
Criação de delegação de DNS
Fornece uma opção padrão para criar uma delegação de DNS com base no tipo de instalação do controlador de domínio (conforme especificado na página Escolher uma Configuração de Implantação) e no ambiente DNS.
Outros aprimoramentos reduzem as chances de erro durante a instalação do AD DS. Por exemplo, se você estiver instalando um controlador de domínio adicional, poderá selecionar o nome do domínio usando o modo de exibição de árvore de domínios em vez de digitando.
O novo Assistente de Instalação de Serviços de Domínio Active Directory também inclui os seguintes aprimoramentos:
Por padrão, agora o assistente usa as credenciais do usuário que está conectado se ele estiver conectado com uma conta de domínio. Você pode especificar outras credenciais caso sejam necessárias.
Na página Resumo do assistente, é possível exportar as configurações selecionadas para um arquivo de resposta correspondente, que você pode usar como um modelo para futuras operações (instalações ou desinstalações). Todas as modificações feitas no arquivo de resposta são comentadas. Por exemplo, se você especificar um valor para a senha DSRM no assistente e exportar as configurações para um arquivo de resposta, a senha DSRM não será exibida no arquivo de resposta. Você deve modificar o arquivo de resposta para incluir esse valor.
Agora é possível omitir a senha de administrador do arquivo de resposta. Em vez da senha, digite password=* no arquivo de resposta para que o usuário tenha de informar as credenciais da conta.
Agora você pode forçar o rebaixamento de um controlador de domínio iniciado no Modo de Restauração dos Serviços de Diretório.
Instalação em etapas de RODCs
Você pode executar uma instalação em etapas de um RODC, na qual o processo é feito em duas etapas por pessoas diferentes. Você pode usar o Assistente de Instalação de Serviços de Domínio Active Directory para executar cada etapa da instalação.
A primeira etapa da instalação cria uma conta para o RODC nos Serviços de Domínio Active Directory (AD DS). A segunda etapa da instalação anexa o servidor real (que será o RODC) à conta que foi criada anteriormente para ele.
Durante a primeira etapa, o assistente registra todos os dados do RODC que serão armazenados no banco de dados distribuído do Active Directory, como o nome da conta do controlador de domínio do RODC e o site em que ele será colocado. Esta etapa deve ser executada por um membro do grupo Admins. do Domínio.
O usuário que cria a conta RODC também pode especificar nesse momento quais usuários ou grupos podem concluir a etapa seguinte da instalação. A próxima etapa da instalação pode ser executada na filial por qualquer usuário ou grupo que tenha recebido o direito de executar a instalação durante a criação da conta. Esta etapa não requer associação a grupos internos, como o grupo Admins. do Domínio. Se o usuário que criar a conta RODC não especificar um delegado para executar a instalação (e administrar o RODC), apenas um membro dos grupos Admins. do Domínio ou Administradores de Empresa poderá executar a instalação.
A segunda etapa da instalação instala o AD DS no servidor que se tornará o RODC. Em geral, esta etapa ocorre na filial onde o RODC é implantado. Durante esta etapa, todos os dados do AD DS que residem localmente, como banco de dados, arquivos de log etc., são criados no próprio RODC. Os arquivos de origem da instalação podem ser replicados no RODC de outro controlador de domínio através da rede, ou você pode usar o recurso de instalação da mídia (IFM). Para usar a IFM, utilize Ntdsutil.exe e crie a mídia de instalação.
O servidor que se tornará o RODC não deve fazer parte do domínio antes de tentar anexá-lo à conta RODC. Como parte da instalação, o assistente detecta automaticamente se o nome do servidor corresponde aos nomes de qualquer conta RODC que tenha sido criada anteriormente no domínio. Quando o assistente encontra um nome de conta correspondente, ele solicita que o usuário use essa conta para concluir a instalação do RODC.
Outros aprimoramentos do assistente
O novo Assistente de Instalação de Serviços de Domínio Active Directory também inclui os seguintes aprimoramentos:
Por padrão, agora o assistente usa as credenciais do usuário que está conectado. Você deve fornecer outras credenciais caso seja necessário.
Quando você cria um controlador de domínio adicional em um domínio filho, agora o assistente detecta se a função de mestre de infra-estrutura está hospedada em um servidor de catálogo global nesse domínio, e o assistente pede para você transferi-la para o controlador de domínio que está criando se ele não será um servidor de catálogo global. Isso ajuda a impedir a má aplicação da função de mestre de infra-estrutura.
Na página Resumo do assistente, é possível exportar as configurações selecionadas para um arquivo de resposta correspondente, que você pode usar para futuras operações (instalações ou desinstalações).
Agora é possível omitir a senha de administrador do arquivo de resposta. Em vez da senha, digite password=* no arquivo de resposta para que o usuário tenha de informar as credenciais da conta.
Você pode pré-preencher o assistente especificando alguns parâmetros na linha de comando, o que reduz as interações necessárias entre o assistente e o usuário.
Agora você pode forçar o rebaixamento de um controlador de domínio iniciado no Modo de Restauração dos Serviços de Diretório.
Novas funções do snap-in MMC
O snap-in Serviços e Sites do Active Directory no Windows Server 2008 inclui um comando Localizar na barra de ferramentas e no menu Ação. Esse comando facilita a localização do site em que um controlador de domínio foi colocado, o que pode ajudar a solucionar vários problemas de replicação. Antes, esse snap-in não indicava facilmente em qual site um dado controlador de domínio havia sido colocado, o que aumentava o tempo necessário para solucionar problemas, como os de replicação.
Para ajudar a gerenciar RODCs, agora existe uma guia Diretiva de Replicação de Senha na folha Propriedades do controlador de domínio. Clicando no botão Avançado dessa guia, um administrador pode ver as seguintes informações:
Que senhas foram enviadas para o RODC
Que senhas estão armazenadas no RODC
Que contas foram autenticadas no RODC, incluindo as que não estão definidas nos grupos de segurança que podem ou não podem fazer replicação. Assim, o administrador pode ver quem está usando o RODC e determinar se concede ou nega permissão para replicação de senha.