aula 02 - introducao gerenciamento ad e contas
TRANSCRIPT
Administração de Sistemas Operacionais
Prof. Rodrigo Siqueira
Lição 1: Funções de servidor
• Edições do Windows Server 2008
• O que são funções de servidor?
• O que são as funções de serviços de infra-estrutura do Windows?
• O que são as funções de serviços de plataforma de aplicativos do Windows?
• O que são funções de servidor do Active Directory?
• Integração do AD DS com outras funções de servidor do Active Directory
• O que são recursos de servidor?
• O que é Server Core?
Edições do Windows Server 2008
Estas são as edições do Windows Server 2008:
• Windows Web Server 2008
• Windows Server 2008 Standard
• Windows Server 2008 Standard sem Hyper-V
• Windows Server 2008 Enterprise
• Windows Server 2008 Enterprise sem Hyper-V
• Windows Server 2008 Datacenter
• Windows Server 2008 Datacenter sem Hyper-V
• Windows Server 2008 para sistemas baseados em Itanium
• Windows HPC Server 2008
O que são funções de servidor?
As funções de servidor descrevem a função de servidor principal
Serviços de Arquivo
Servidor DNS
Serviços de Domínio Active Directory
Serviços de Impressão
Servidor Web IIS
O que são as funções de serviços de infra-estrutura do Windows?
Estas são as funções dos serviços de infra-estrutura do Windows:
• Serviços de Certificados do Active Directory
• Active Directory Rights Management Services
• Servidor DHCP
• Servidor DNS
• Serviços de Arquivo
• Hyper-V
• Serviços de Acesso e Diretiva de Rede
• Serviços de Impressão
• Serviços de Terminal
• Serviços de Implantação do Windows
O que são as funções de serviços de plataforma de aplicativos do Windows?
Estas são as funções de serviços de plataforma de aplicativos do Windows:
• Servidor de Aplicativos
• Serviços UDDI
• Servidor Web (IIS)
O que são funções de servidor do Active Directory?
Função de servidor
Descrição
AD DS (Serviços de Domínio Active Directory)
Um diretório centralizado para gerenciamento e autenticação de usuário e computador em uma rede do Windows Server 2008
AD LDS (Active Directory Lightweight Directory Services)
Um serviço de diretório LDAP que fornece suporte a armazenamento e recuperação de dados para aplicativos habilitados para diretórios, sem precisar implantar domínios ou controladores de domínio
AD CS (Serviços de Certificados do Active Directory)
Uma solução usada para proteger informações armazenadas em documentos, mensagens de email e sites contra visualização, modificação ou uso não autorizado
AD RMS (Active Directory Rights Management Services)
Uma tecnologia de proteção de informações que trabalha em conjunto com aplicativos habilitados para AD RMS a fim de proteger informações digitais contra o uso não autorizado
AD FS (Serviços de Federação do Active Directory)
Uma função de servidor do Windows Server 2008 que fornece tecnologias SSO da Web para autenticar um usuário para vários aplicativos Web durante uma sessão online única
Integração do AD DS com outras funções de servidor do Active Directory
• O AD DS é a base de uma rede funcional
• A maior parte das funções de servidor depende do AD DS para fornecer informações de usuário e recurso sobre outras funções de servidor
• O AD DS também fornece
serviços de autenticação e autorização
AD CS
AD RMS
AD FS
AD DS
O que são recursos de servidor?
Os recursos de servidor estão oferecendo suporte a serviços que podem ser instalados
Exemplos de recursos de servidor:
• .NET Framework 3.0
• Criptografia de Unidade de Disco BitLocker™
• Balanceamento de Carga de Rede
• Cluster de Failover
• Experiência Desktop
• Windows PowerShell™
O que é Server Core?
Um Server Core é uma instalação do Windows Server 2008 que:
• Tem serviços mínimos
• Não tem interface gráfica
• Aumenta a segurança
• Pode ser configurada em um número limitado de funções
Lição 2: Visão geral do Active Directory
• O que é Active Directory?
• Vantagens do Active Directory
• O que é um domínio?
• O que é uma unidade organizacional?
• O que é uma floresta?
• O que é um controlador de domínio?
• O que é um controlador de domínio somente leitura?
• Recursos de controlador de domínio somente leitura
O que é Active Directory?
Active Directory:
• É um repositório central de informações de rede
• É organizado em domínios, árvores e florestas
• Tem várias partições:
– Domínio
– Configuração
– Esquema
Vantagens do Active Directory
Estes são os benefícios do Active Directory em comparação a um grupo do trabalho:
• Gerenciamento de segurança simplificado
• Armazenamento redundante de informações de segurança
• Diretiva de Grupo
• Extensibilidade
• Permite que os aplicativos armazenem informações no Active Directory. Esse recurso não existe em um grupo de trabalho.
• Delegação de administração
O que é um domínio?
Um domínio é um agrupamento lógico de objetos como contas de computador e de usuário.
Contas de computador
Contas de usuário
O que é uma unidade organizacional?
Conta de computador
Conta de usuário
Unidades organizacionais em um domínio
Uma UO é um contêiner de um domínio
O que é uma floresta?
eu. nwtrader.
msft
nwtrader.msft
na. nwtrader.
msft
Uma floresta é um conjunto de domínios que confiam uns nos outros
sales. contoso.
msft
Árvore contoso.
msft
Catálogo global
O que é um controlador de domínio?
Um controlador de domínio:
• Retém uma cópia do Active Directory
• Responde às solicitações de informações do Active Directory
• Autentica usuários na rede
• É localizado através da consulta ao DNS
• Participa de uma replicação com vários mestres no domínio e na floresta
O que é um controlador de domínio somente leitura?
Os RODCs hospedam partições somente leitura do banco de dados do AD DS, aceitam apenas alterações replicadas no Active Directory e nunca iniciam a replicação
Os RODCs:
• Não podem reter as funções mestre de operação nem ser configurados como servidores bridgehead de replicação
• Podem ser implantados em servidores que executam o Windows Server 2008 Server core para segurança adicional
Os RODCs fornecem:
• Segurança adicional para filial com segurança física limitada
• Segurança adicional se os aplicativos tiverem que ser executados em um controlador de domínio
RODC
Recursos de controlador de domínio somente leitura
Os RODCs fornecem:
• Replicação unidirecional
• Cache de credenciais
• Separação de função administrativa
• DNS somente leitura
• Conjunto de atributos filtrado pelo RODC
Visão geral do módulo
• Gerenciamento de contas de usuário
• Criação de contas de computador
• Automatização do gerenciamento de objetos do AD DS
• Uso de consultas para localizar objetos no AD DS
Lição 1: Gerenciamento de contas de usuário
• O que é uma conta de usuário?
• Nomes associados a contas de usuário de domínio
• Opções de senha de conta de usuário
• Gerenciamento padrão de usuários
• Ferramentas para configuração de contas de usuário
• O que é um modelo de conta de usuário?
Uma conta de usuário pode ser armazenada:
No AD DS (conta do AD DS)
No computador local (conta local)
O que é uma conta de usuário?
A criação de uma conta de usuário também cria uma SID (ID de Segurança)
Uma conta de usuário é um objeto que permite a autenticação e o acesso aos recursos locais e de rede.
As contas do AD DS permitem o logon nos domínios e fornecem acesso aos recursos de rede compartilhados
As contas locais permitem o logon em um computador e nos recursos locais
Opções de nomeação para contas de usuário de domínio:
Nomes associados a contas de usuário de domínio
Nomes de objeto Exemplo Requisitos de exclusividade
Nome de logon do usuário
Manuel Deve ser exclusivo no domínio
Nome de logon do usuário (sistemas operacionais anteriores ao Microsoft® Windows® 2000)
Woodgrove\Manuel Deve ser exclusivo no domínio
Nome UPN [email protected] Deve ser exclusivo na floresta
Nome distinto LDAP CN=Manuel,OU=IT,DC= WoodgroveBank,DC=com
Será globalmente exclusivo, combinando RDN, nome de contêiner e nomes de domínio
RDN (Nome distinto relativo)
CN=Manuel Deve ser exclusivo na UO
Opções de senha de conta de usuário
As senhas de objeto de usuário são um aspecto significativo da segurança da rede e podem ter opções configuradas para:
Histórico da senha
Comprimento
Complexidade
Por padrão, as senhas de domínio do Windows Server® 2008 devem atender a quatro dos seguintes requisitos de complexidade:
Maiúsculas
Minúsculas
Caracteres especiais
Números
Gerenciamento padrão de usuários
Estas são as atividades de gerenciamento padrão de usuários:
Atualização da associação de grupo: fornece ao usuário associação de grupo e direitos de acesso
Redefinição de senhas de usuário: redefine a autenticação de segurança usada para acessar o computador do domínio
Definição da expiração do usuário: define a data de validade com base no tempo que o usuário pode acessar o domínio
Definição de horários de logon: define os horários em que os usuários podem fazer logon no domínio
Atribuição de perfis e definição de pastas base: atribui perfis de usuário e pastas base para controlar o acesso a recursos
Diferentes ferramentas são utilizadas para criar e gerenciar contas de usuário locais e de domínio:
Ferramentas para configuração de contas de usuário
Conta Ferramentas
Conta de computador local Windows XP e Windows Vista®: Contas de Usuário
Conta de domínio
• Windows Server 2003/2008: Usuários e Computadores do Active Directory
• Utilitários de linha de comando: dsadd, Windows PowerShell™, CSVDE, LDIFDE
O que é um modelo de conta de usuário?
Os modelos de contas de usuário tiram proveito da similaridade entre contas de usuário
Para usar modelos de usuário:
Crie vários usuários típicos refletindo vários grupos da sua organização
Copie a conta de usuário da mesma forma que a nova conta que você deseja criar
Modifique os atributos: nomes, endereço de email, nome de logon etc.
Um modelo de conta de usuário é uma conta com propriedades comuns já configuradas
Lição 2: Criação de contas de computador
• O que é uma conta de computador?
• Opções para a criação de contas de computador
• Gerenciamento de contas de computador
Contas de computador:
O que é uma conta de computador?
São necessárias para autenticação e auditoria
Uma conta de computador é um objeto do AD DS que identifica um computador em um domínio
Habilitam o gerenciamento do computador através de diretivas de grupo
São necessárias para todos os computadores que executam o Windows NT ou posterior
Opções para a criação de contas de computador
Cenário Processo
Adicionando computadores individuais a um domínio
• Adicione o computador ao domínio através das propriedades de sistema do computador
• A conta será criada, por padrão, no contêiner Computadores
Criando várias contas de computador em preparação para a automatização de uma implantação de sistema operacional e de software
1. Crie uma UO para cada departamento
2. Teste previamente as novas contas de computador
3. Adicione o computador ao domínio
Gerenciamento de contas de computador
Estas são as atividades de gerenciamento de computador:
Adição de contas de computador: fornece o nome do computador e especifica a opção de gerenciamento
Desabilitação de contas de computador: mantém a conta, mas impede o logon na conta
Redefinição da conta de computador: redefine a associação de segurança entre o domínio e o computador cliente (o reingresso é necessário)
Exclusão de contas de computador: remove o computador de todos os serviços de domínio
Configuração de diretivas de grupo: gerencia os ambientes de desktop de computador ou software
Lição 3: Automatização do gerenciamento de objetos do AD DS
• Ferramentas para a automatização do gerenciamento de objetos do AD DS
• Configuração de objetos do AD DS usando ferramentas de linha de comando
• Gerenciamento de objetos de usuário com LDIFDE
• Gerenciamento de objetos de usuário com CSVDE
• O que é o Windows PowerShell?
• Cmdlets do Windows PowerShell
Ferramentas para a automatização do gerenciamento de objetos do AD DS
Usuários e Computadores do Active Directory
Ferramentas de serviço de diretório
• Dsadd
• Dsmod
• Dsrm
Ferramentas Csvde e Ldifde Windows PowerShell
Configuração de objetos do AD DS usando ferramentas de linha de comando
Ferramentas de linha de comando:
• Dsadd - Adiciona objetos ao AD DS
• Dsmod - Modifica objetos no AD DS
• Dsrm - Remove objetos do AD DS
• Dsget - Localiza objetos no AD DS
• net user - Adiciona ou modifica contas de usuário
• Net group - Adiciona ou modifica o acesso de grupos
• Net computer - Adiciona ou remove os objetos de computador do AD DS
filename.ldf
Gerenciamento de objetos de usuário com LDIFDE
Active Directory
importar
exportar
• LDIFDE.exe
Gerenciamento de objetos de usuário com CSVDE
filename.csv
Active Directory
importar
exportar
• CSVDE.exe
Aplicativo de RH
O que é o Windows PowerShell?
O Windows PowerShell é uma tecnologia de scripts e linha de comando que você pode usar para gerenciar o AD DS e outros
componentes do Windows
Estes são os recursos do Windows PowerShell:
• Cmdlets sofisticados de linha única
• Aliases
• Variáveis
• Pipeline
• Suporte a scripts
• Acesso a todos os comandos cmd.exe
Os resultados de um cmdlet podem ser enviados por pipeline para outro cmdlet
Cmdlets do Windows PowerShell
Os cmdlets do Windows PowerShell usam a mesma sintaxe
Substantivo Verbo
Date
Parâmetros Exemplo
Get Get-Date
Start Service W3SVC Start-Service W3SVC
• Get-Service W3svc | format-list
• Get-Service | sort-object name
• Get-Service |where-object {$_.status –eq “running”} | sort-object name
Referências
• Curso 10140A - Módulo 01 e 02