70-640 - active directory -resumão

Resumão – Exame 70-640 TS: Windows Server 2008 Active Directory, Configuring


O exame 70-640 lhe dá créditos para as seguintes certificações:

Serviços de Diretório

Active Directory Certificate Services (AD CS) oferece solução para emissão e administração de certificados usados em sistemas de segurança que utilizam a tecnologia de chave públicas e privadas. Active Directory Domain Services (ADDS) O AD DS permite um gerenciamento centralizado e seguro de toda uma rede. Armazena as informações sobre objetos na rede e gerencia a comunicação entre os usuários e os domínios, incluindo processos de logon do usuário, autenticação e pesquisas de diretório. O Active Directory Domain Services era anteriormente chamado de Active Directory Active Directory Federation Services (ADFS) permite estabelecer confiança entre diferentes entidades organizacionais dando aos usuários finais um logon único (SSO) entre empresas Active Directory Lightweight Directory Services (ADLDS) é um serviço de diretório LDAP. O ADLDS era anteriormente chamado de Active Directory Application Mode (ADAM) Active Directory Rights Management Services (ADRMS) permite proteger e controlar o acesso a informações confidenciais — como em documentos e e-mails.

Os domínios, principais unidades funcionais da estrutura lógica do Active Directory. Os domínios têm três principais funções: 1. Fornecer um limite administrativo para objetos 2. Permitir um gerenciamento seguro aos recursos 3. Proporcionar uma unidade de replicação para objetos

O que são domínios ?

No banco de dados do AD ficam armazenados objetos do domínio. O computador que possui o banco de dados do Active Directory é o Controlador de Domínio. O nome do banco de dados do Active Directory é NTDS.DIT e ficam armazenado por padrão na pasta %SYSTEMROOT%\NTDS

Banco de dados do Active Directory

Usuários Grupos Computadores Impressoras

Pastas Compartilhadas Unidades Organizacionais

Objetos do domínio.

Sobre o exame 70-640

Para instalar o Active Directory Directory Services (ADDS) você deve ser membro do grupo Administradores do servidor que irá instalar o ADDS. O Active Directory pode ser instalado de 3 maneiras: 1 - Administrative Tools > ServerManager > Roles > Add Roles > Selecione o Active Directory Domain Services.(em seguida execute o comando DCPROMO) 2 - Através do comando Servermanagercmd.exe –I ADDS-Domain-Controller. (em seguida execute o comando DCPROMO). 3 - Através do comando: DCPROMO. (uma única vez)

Instalação do ADDS

NTDS.DIT – Arquivo de banco de dados físico que guarda o conteúdo do Active Directory. EDB.CHK – Arquivo de ponto de verificação que rastreia até onde as transações no arquivo de log foram confirmadas. EDB.LOG – Arquivo de log primário TMP.EDB – Banco de dados temporário para as transações.

Arquivos do banco de dados do AD


Árvore de domínios. Os domínios são agrupados em estruturas hierárquicas são chamados árvores de domínios. Floresta. Uma floresta é uma instância completa do Active Directory Domain Services, que consiste em uma ou mais árvores.

A estrutura lógica do Active Directory

Árvore

Floresta

Operações em níveis funcionais são irreversíveis. Existem 3 níveis funcionais de domínio: Windows 2000 native Windows Server 2003 Windows Server 2008 E 3 níveis funcionais de floresta Windows 2000 Windows Server 2003 Windows Server 2008 Aumentar nível funcional do domínio: Active Directory Users And Computers Aumentar nível funcional da floresta Active Directory Domains and trusts Nível funcional Windows Server 2003 aceita DC com Windows Server 2003 ou superior e assim por diante.

Níveis funcionais

Read Only Domain Controller (RODC) é um Controlador de domínio adicional somente leitura. Para instalar um RODC é necessário o nível funcional da floresta Windows Server 2003 ou superior. Por padrão o RODC não armazena senhas de contas de usuário. Você deve popular a cache manualmente. Password Replication Policy (PRP) permite definir quais usuários terão sua senha armazenada em cache.

Read Only Domain Controller

Active Directory Domains and Trusts - Usado para gerenciar relações de confiança de florestas e domínios, acrescentar sufixos ao nome principal do usuário e alterar os níveis funcionais de florestas e domínios Active Directory Sites and Services – Utilizado para criar e gerenciar os serviços ,sites e a replicação de dados do diretório. Active Directory Users and Computers - Um MMC (Microsoft Management Console) usado para gerenciar e publicar informações no Active Directory. Você pode gerenciar contas de usuário, grupos, contas de computadores, acrescentar computadores a um domínio. ADSI Edit – (Active Directory Service Interfaces Editor) Um editor LDAP (Lightweight Directory Access Protocol ) que permite gerenciar objetos e atributos no Active Directory. LDP – Permite a conexão com o banco de dados do AD ou uma instancia LDS a fim de consultar, editar ou pesquisas dados do diretório.

Ferramentas de Gerenciamento

Prepare (stage) um RODC criando uma conta de computador no Active Directory Users and Computers Em Domain Controllers usando o assistente: Pre-Create Read-only Domain Controller Account wizard. Você Pode escolher qualquer usuário do domínio para anexar (attach) um RODC no domínio. Somente servidores em WorkGroup podem ser pré-criados para ser um RODC. O usuário que você escolheu deve usar o comando dcpromo /useexistingaccount:attach .

Read Only Domain Controller


Dsadd – Adiciona objetos no Diretório Exemplo adicionar conta de usuário: Dsadd cn=Donda, ou=TI, dc=mcpbrasil, dc=com Dsmod – Modifica objetos no Diretório Exemplo definir uma senha: dsmod user cn=Donda,ou=TI,dc=mcpbrasil,dc=com" Dsmove – Move objetos no Diretório Exemplo mover para outra OU dsmove cn=Donda, ou=TI, dc=mcpbrasil, dc=com -newparent “ou=Suporte, dc=mcpbrasil ,dc=com" DSrm – Remove objetos do Diretório Exemplo: excluir conta de usuário dsrm "cn=Donda, ou=Suporte, dc=mcpbrasil, dc=com" Dsquery – Busca objetos no Diretório Exemplo: Ler toda informação de um objeto na ou=test dsquery * ou=test,dc=mcpbrasil,dc=com -scope base -attr * Dsget – Exibe informações sobre objetos no Diretório Exemplo: Trazer nome de todos usuários da ou=TI dsquery "ou=TI,dc=mcpbrasil,dc=com" | get user -fn

Ferramentas de linha de comando

Nomes distintos identificam o domínio de um objeto e o caminho para encontrá-lo. CN=Felipe Donda,OU=Diretoria,DC=mcpbrasil,DC=com

Nomes distintos

CSVDE – Importa e Exporta objetos do diretório utilizando arquivos .CSV (Separado por virgula) Exemplo para importar: csvde –i –f usuarios.csv Exemplo para exportar usuários da ou TI csvde -d "ou=TI,DC=mcpbrasil,dc=com“ –f usuarios.csv -r objectClass=user LDIFDE - Importa e Exporta objetos do diretório utilizando arquivos .LDF Exemplo para importar: ldifde –i –f usuarios.ldf Exemplo para exportar computadores ldifde –f usuarios.ldf -r (objectclass=computer)"

Ferramentas de Importação e exportação

O nome principal de usuário (UPN) identifica o usuário de determinado domínio: [email protected]

Nome principal do usuário (UPN)

Em sua rede física, um site representa um conjunto de computadores conectados por uma rede de alta velocidade, como uma rede local (LAN). No AD DS, um objeto de site representa os aspectos do site físico a fim de gerenciar a replicação dos dados do diretório entre os controladores de domínio Replicação consiste no processo de atualizar informações no Active Directory de um controlador de domínio para outros controladores de domínio em uma rede Os objetos de sites e os objetos associados a eles são replicados em todos os controladores de domínio na floresta. É possível gerenciar os objetos utilizando a ferramenta Active Directory Sites and Services.

Sites (Estrutura Física)

Site RJ

Site SP Sub-rede IP

Sub-rede IP

O KCC knowledge consistency checker é um processo interno executado em cada controlador de domínio que gera a topologia de replicação para todas as partições de diretório contidas no controlador de domínio.

KCC (knowledge consistency checker)

O recurso IFM permite instalar um controlador de domínio adicional a partir da media de backup. A utilização de IFM reduz a quantidade de dados replicados. O ADDS deve estar iniciado para executar esta operação.

IFM (Install from Media)


Para editar o schema é necessário registrar a dll schmmgmt.dll e ser pelo menos do grupo schema admins Iniciar -> executar -> Regsvr32 schmmgmt.dll Use o Snap-In “Active Directory Schema” para editar o schema.

Esquema (Schema). Possui dois tipos de definições: classes e atributos de objetos. As classes de objetos são modelos ou plantas dos objetos que podem ser criados no Active Directory. Atributos definem os possíveis valores a serem associados a uma classe de objeto.

Para criar uma media para criação de um domain controller adicional escolha entre as opções: create full %s – Cria uma mídia IFM completa para o ADDC ou AD/LDS. create rodc %s – Cria uma mídia IFM para um Read-Only DC create Sysvol full %s – Cria uma mídia IFM com o SYSVOL para um ADDC. create Sysvol RODC %s – Cria uma mídia IFM com o SYSVOL para um RODC. Exemplo: No prompt de comando digite: ntdsutil Activate Instance NTDS IFM create full e:\mediaifm Após criar a media no Windows Server 2008 R2 no qual deseja promover a Domain Controller adicional, execute o DCPROMO /ADV e na janela Install from Media aponte para os arquivos recém criados.

Localiza objetos - Uma solicitação de pesquisa será encaminhada à porta 3268 do catálogo global . Fornece a autenticação do nome principal do usuário. Um servidor de catálogo global resolve o nome principal do usuário (UPN) quando o controlador de domínio da autenticação desconhece a conta de usuário. Valida as referências de objeto em uma floresta. Os controladores de domínio usam o catálogo global para validar as referências a objetos de outros domínios na floresta. Fornece informações sobre a associação ao grupo universal em um ambiente de vários domínios. O controlador de domínio também pode descobrir associações de um usuário ao grupo local do domínio e ao grupo global e a associação a esses grupos não será replicada no catálogo global. Se um servidor de catálogo global não estiver disponível quando um usuário efetuar logon em um domínio em que os grupos universais estão disponíveis, o computador cliente do usuário poderá usar as credenciais armazenadas em cache para fazer logon . O administrador do domínio (conta Administradores internos) pode sempre efetuar logon no domínio, mesmo quando um servidor de catálogo global não estiver disponível.

Catalogo Global

Schema

IFM (Install from Media)

O banco de dados do Active Directory é dividido logicamente em partições. Cada partição é uma unidade de replicação e cada uma delas tem sua própria topologia de replicação.

Partições do AD

Partições do AD


Domínios filhos possuem uma relação de confiança automática transitiva e bidirecional com o domínio pai. Tipos de relações de confiança: Forest trust – Permite Autenticação seletiva ou domain Wide Shortcut trusts – Acelera o processo de autenticação. Realm trust – Não é para rede Windows. External trust – Não transitivo Forest Trust Na autenticação seletiva é necessário definir a permissão “Allowed to Authenticate” ao grupo ou ao usuário confiável para o mesmo possa ser autenticado no domínio confiante.

Sites - Os objetos de sites são localizados no contêiner de sites. Em todos os sites, há um objeto de Configurações de Site NTDS. Esse objeto identifica o Intersite Topology Generator (ISTG). Sub-redes - Os objetos da sub-rede identificam os intervalos dos endereços IP em um site. Servidores - Os objetos de servidor são criados automaticamente quando você adiciona a função de servidor Active Directory Domain Services Configurações NTDS - Todo objeto de servidor contém um objeto de Configurações NTDS, que representa o controlador de domínio no sistema de replicação. Também é possível Habilitar ou desabilitar o catálogo global em um servidor através do NTDS Settings. Conexões - Os parceiros da replicação dos servidores de um site são identificados pelos objetos de conexão. A replicação ocorre em uma direção. Links de sites - Os links de site representam o fluxo da replicação entre os sites. Representa a conexão física de longa distância (WAN) entre dois ou mais sites Transportes IP e SMTP entre sites - A replicação usa a chamada de procedimento remoto (RPC) no transporte IP ou SMTP

Objetos de Sites

Trusts

Relações de confiança podem ser unidirecionais ou bidirecionais. Transitivas ou não-transitivas. Transitiva = Se a Confia em B e B confia em C então: C confia em A

Trusts

A B

A B

C

Existem 5 funções masters: Duas únicas na floresta; • Schema Master • Domain Naming Masters Três únicas em um domínio; • PDC Emulator • RID Master • Infrastructure Master

Schema Master – Necessário para updates do Schema. Domain Naming Masters – Necessários para inclusão/ Alteração e Exclusão de novos domínios RID Master – Emite uma lista de tickets com SID + GUID para criação de objetos de segurança. Infrastructure – rastreia participação em grupos de outros domínios. PDC Emulator – Controla o tempo, o serviço Master Browse, Conflitos de GPO. Use o MMC para transferir roles e use NTDSUtil para apoderar-se (seize) de um função.

FSMO (Flexible Single Masters Operations)


É possível parar e iniciar o serviço do Active Directory tanto pela ferramenta services parando o serviço “Active Directory Domain Services” como pelo comando net. Net stop NTDS

Restartable AD DS

Restauração não-autoritativa do AD DS Uma restauração não-autoritativa retorna o serviço de diretório ao estado que tinha no momento da criação do backup. Depois de concluída a operação de restauração, a replicação do AD DS atualiza o controlador de domínio, aplicando as alterações feitas desde o momento da criação do backup. Restauração autoritativa fornece um método de recuperação de objetos e contêineres que tenham sido excluídos do AD DS. 1.Restaure o backup desejado que, geralmente, é o mais recente. wbadmin start systemstaterecovery –versão –backuptarget:d: 2.Inicie o controlador de domínio no DSRM (Directory Services Restore Mode). 3.Use Ntdsutil.exe para marcar os objetos desejados, contêineres ou partições como autoritativos. Exemplo: ntdsutil Activate Instance NTDS Authoritative Restore Restore Object “cn=nomedouser, dc=mcsesolution, dc=lab” 4.Reinicie no modo normal para propagar as alterações

Restauração do AD

Starter GPOs são modelos de objetos de políticas de grupo que podem ser criados, armazenados e utilizados. Ao criar uma nova política é possível tomar por base um modelo existente em Starter GPOs.

Starter GPOs

GPOs podem ser aplicados ao computador local, sites, domínios e unidades organizacionais. Nesta ordem, tendo precedência a ultima a ser aplicada caso exista conflito. Do contrario as políticas são acumulativas. Block Inheritance – Opção que pode ser aplicado a um domínio ou OU e faz com que as políticas não sejam herdadas. (Bloqueio de herança). Enforced - Opção que força a aplicação da política. (Mesmo quando a opção Block inheritance esteja marcada.

Group Policy Object

É possível definir um alvo especifico utilizando mais de 29 combinações de coleções com lógica boolena (And, Or, Not). Além de muitos itens intuitivos de modo que a política só se aplica a usuários e computadores específicos. Como utilizar o Item-Level targeting 1) Edite a política desejada. 2) Em preferences selecione o item desejado. 3) Defina a política conforme sua necessidade. 4) Clique e Common e selecione Item-Level targeting para criar o seu filtro.

Item-Level targeting

O SCW, permite criar, gerenciar e aplicar politicas de segurança que são salvos no formato .xml . Use o comando scwcmd.exe para criar uma GPO. scwcmd.exe /p:arquivo.xml /g: nomedagpo.

The Security Configuration Wizard

Para fazer o Backup do Active Directory, instale o feature “Windows Server Backup” e regularmente efetue backup do “System State” utilizando a ferramenta gráfica ou digite a seguinte linha de comando: wbadmin start systemstatebackup –backuptarget:d:

Backup do AD DS


Fine-Grained Passwords é um recurso que permite estabelecer uma política de senha para grupos distintos. Para implementar o Fine-Grained Password é necessário que nível funcional do domínio esteja definido como Windows 2008. Você pode utilizar o ADSI Edit ou o LDIFDE para criar Password Settings objects (PSOs): . Utilizando o ADSI 1) Expanda DC=<domain_name> 2) Expanda CN=System. 3) Clique em CN=Password Settings Container 4) Crie um novo objeto msDS-PasswordSettings. Defina as opções: msDS-PasswordSettingsPrecedence Prioridade ( maior que 0) msDS-PasswordReversibleEncryptionEnabled Criptografia reversível (True/False) msDS-PasswordHistoryLength Histórico de senhas (0 até 1024) msDS-PasswordComplexityEnabled Complexidade da senha (True/False) msDS-MinimumPasswordLength Tamanho minimo da senha (0 até 255) msDS-MinimumPasswordAge Idade mínima da senha (00:00:00:00 até idade maxima) msDS-MaximumPasswordAge Idade máxima da senha (Never até 00:00:00:00) msDS-LockoutThreshold Bloqueio da conta (0 até 65535) msDS-LockoutObservationWindow De 00:00:00:01 até msDS-LockoutDuration msDS-LockoutDuration Duração do bloqueio (never até msDS-LockoutObservationWindow ) msDS-PSOAppliesTo Usuários/Grupos a que se aplica esta política.

Fine-Grained Passwords Utilizando o LDFIDE: dn: CN=PSO1, CN=Password Settings Container,CN=System,DC=dc1,DC=mcsesolution,DC=lab changetype: add objectClass: msDS-PasswordSettings msDS-MaximumPasswordAge:-1728000000000 msDS-MinimumPasswordAge:-864000000000 msDS-MinimumPasswordLength:8 msDS-PasswordHistoryLength:24 msDS-PasswordComplexityEnabled:TRUE msDS-PasswordReversibleEncryptionEnabled:FALSE msDS-LockoutObservationWindow:-18000000000 msDS-LockoutDuration:-18000000000 msDS-LockoutThreshold:0 msDS-PasswordSettingsPrecedence:20 msDS-PSOAppliesTo:CN=user1,CN=Users,DC=dc1, DC=mcsesolution,DC=lab Para importar ldifde –i -f arquivo.ldf

Se o nível funcional do domínio estiver Windows 2008 é possível alterar a replicação de FRS (File Replication Service) para DFS-R (Distributed File System Replication) para replicação do SYSVOL. A migração é feita com o comando dfsrmig.exe PSO

Active Directory replication

Active Directory Certificate Services: CA (Certificate Authority) é um servidor que emite e gerencia serviços de certificados digitais. Você não ode mudar o nome do servidor após instalar o AD CS. O AD CS suporta tanto CA Enterprise como Stand Alone. CA Stand Alone geralmente fornece serviços para Internet. Pode ser instalado em DCs, Servidores Membros, Stand Alone Servers. CA Enterprise fornece serviços para uma rede interna. Pode ser instalado em DCs, Servidores Membros Depois de instalado não é possível alterar de StandAlone para Enterprise e vice-versa.

AD CS


Root CA – A primeira autoridade certificadora da infraestrutura de chave Publica (PKI) Subordinate CA – Obtém os certificados de uma autoridade de nível superior (por exemplo Root CA). Em criptografia de chave Publica e Privada são usadas chaves diferentes mas complementares no processo de criptografia e descriptografia. • Chave publica = Criptografia. • Chave privada = Descriptografia

O comando certutil automatiza as tarefas de gerenciamento do ADCS. O comando certreq solicita certificados. Para emitir certificados via web o caminho é :http://[servername]/certsrv A lista de Trusted Root CA pode ser atualizada via GPO. Pode ser usado o AutoEnroll (inscrição automatica) de certificados via GPO . Network Device Enrollment Services (NDES) podem emitir certificados para os switches de rede e roteadores Microsoft Simple Certification Enrollment Protocol (MSCEP) é usado para permitir que os roteadores e outros dispositivos de rede para obter certificados de uma CA Certificate Templates -Version 3 somente vista e Server 2008 -Version 2 Server 2003, Server 2008, XP, e Vista.

AD CS

Registros de recursos: Host(A), Host(AAAA), Alias (CNAME), Service Location (SRV) DNS usa a porta 53 UDP e 53 TCP Primary Zone – Pode ser integrada com o AD DS. Eles permitem leitura e gravação exceto quando for um RODC Zona Integrada ao AD replica junto com o AD. Secondary Zone – Réplicas de dados de um servidor primário não aceita atualizações dinâmicas pois é somente leitura Stub Zones replica um número mínimo de registros para permitir que os servidores DNS possam enviar os pedidos diretamente aos servidores de nome de domínios sem a necessidade de resolver o nome de domínio usando os servidores raiz da internet. Service Location (SRV) – Indica a localização de um determinado serviço TCP / IP RODC DNS Zone é uma zona primaria somente leitura Para configurar as atualizações dinâmicas seguras use a zona integrada ao AD (AD-integrated). Atualizações dinâmicas é o processo de gravação automática de registros de recursos em uma zona. Conditional Forwarders - Encaminha solicitações para servidores DNS baseado no nome de DNS consultado.

DNS

Forward Lookup Zone - Mapeamento de nome para IP Reverse Lookup Zone - Mapeamento de IP para nome. Zona de pesquisa - Armazena Registros de recursos da zona (nome de domínio).

Conteúdo técnico: Helio Panissa Junior Daniel Donda O Clube MCP Brasil.com reúne e disponibiliza o conteúdo de certificação Microsoft. Cadastre-se www.mcpbrasil.com

DNS

http://www.mcpbrasil.com/

70-640 - active directory -resumão

Documents