Dia 11/08/2012MCITP-EA Active DirectoryAula 2

Administração do Active Directory por linha de comandodsadd comando utilizado para criar objetos no active directory

Criação de OU'sdsadd OU OU=RH,DC=dom9,DC=local

Onde: OU

É o tipo de objeto que será criado. OU=RH,

Nome da OU que será criada, no exemplo será a OU RH DC=dom9,

Domínio onde o objeto será criado DC=local

Sufixo do domínio onde o objeto será criado

As vírgulas utilizadas fazem parte da sintaxe do comando, para separar os objetos!

Para criar uma OU dentro de outra OU devemos utilizar uma linha similar à abaixo:

dsadd OU OU=USUARIOS,OU=RH,DC=dom9,DC=local

Onde a nova OU USUARIOS esta diretamente abaixo da OU RH. Caso seja necessário um nível hierárquico maior, basta acrescentar no inicio da linha a nova

OU. Segue exemplo de utilização:

dsadd OU OU=ANDAR3,OU=USUARIOS,OU=RH,DC=dom9,DC=local

Na linha de comando anterior foi criada uma sub OU para os usuários do 3º andar do RH

Criação de usuários

dsadd USER CN=USER1,CN=USERS,DC=dom9,DC=local -SAMID USER1 -UPN user1@dom9.local -PWD 123qwe. -DISABLED NO

Onde: USER

Tipo de objeto a ser criado CN=USER1,

nome do usuário a ser criado CN=USERS,

Nome da OU em que o usuário será criado DC=dom9,

Domínio onde o objeto será criado DC=local

Sufixo do domínio onde o objeto será criado

-SAMID USER1 Identificação dos usuários

-UPN user1@dom9.local Nome de logon do usuário

-PWD 123qwe. Senha do usuário

-DISABLED NO Informa que o usuário não esta desabilitado

Criação de grupos

dsadd GROUP CN=RH,OU=USUARIOS,OU=RH,DC=dom9,DC=local -secgrp yes -scope G

Onde:

GROUP Tipo de objeto a ser criado

CN=RH, nome do grupo a ser criado

OU=USUARIOS, Nome da OU em que o usuário será criado

OU=RH, Nome da OU em que o usuário será criado

DC=dom9, Domínio onde o objeto será criado

DC=local Sufixo do domínio onde o objeto será criado

-secgrp yes Define o tipo de grupo, quando o parâmetro YES ele será criado como grupo de segurança,

caso seja criado com NO ele será criado como grupo de segurança -scope G

Defino o escopo do grupo: G = Global L = Local U = Universal

Remoção de objetos

É utilizado o caminho absoluto do objeto

Remoção de OUdsrm OU=teste,DC=DOM9,DC=local

Para remover subárvores basta utilizar o comando -subtree

Remoção de usuáriosdsrm CN=USER1,CN=USERS,DC=DOM9,DC=local

Movimentando objetosDSMOVE CN=USER1,CN=USERS,DC=DOM9,DC=local -NEWPARENT OU=usuarios,OU=RH,DC=DOM9,DC=local

Onde: CN=USER1,CN=USERS,DC=DOM9,DC=local

Caminho de origem do objeto -NEWPARENT

Parâmetro para inserir o caminho de destino OU=usuarios,OU=RH,DC=DOM9,DC=local

Caminho de destino

Modificar as propriedades do objeto

dsmod group CN=RH,OU=usuarios,OU=RH,DC=DOM9,DC=local -ADDMBR CN=USER1,OU=usuarios,OU=RH,DC=DOM9,DC=local

Onde: group

Tipo de objeto que se deseja modificar CN=RH,OU=usuarios,OU=RH,DC=DOM9,DC=local

Objeto que desejamos modificar -ADDMBR

Tipo de modificação, no exemplo é adição de um novo usuário CN=USER1,OU=usuarios,OU=RH,DC=DOM9,DC=local

Usuário que verá estar no grupo

Verificar as propriedades do objeto

dsget group CN=RH,OU=usuarios,OU=RH,DC=DOM9,DC=local -members

Onde: group

Tipo de objeto que se deseja saber as propriedades CN=RH,OU=usuarios,OU=RH,DC=DOM9,DC=local

Caminho do objeto -members

Tipo de propriedade que se deseja visualizar.

Realizando uma busca por um objeto

dsquery user OU=usuarios,OU=RH,DC=DOM9,DC=local

Outra maneira de se modificar as propriedades de um é redirecionando a saída de um comando para a entrada de outro utilizando o pipe (|)

dsquery user OU=usuarios,OU=RH,DC=DOM9,DC=local | dsmod group CN=RH,OU=usuarios,OU=RH,DC=DOM9,DC=local -ADDMBR

No exemplo acima estamos adicionando usuários da OU RH ao grupo RH.

Administrando a base de dados do Active Directory

Para completo funcionamento dos comandos abaixo é necessário para o serviço do NTDS

Para realizar a manutenção será utilizado o utilitário NTDSUTIL

activate instance ntds – comando utilizado para ativar a instancia do NTDSfiles – comando utilizado para associar o banco, para ser possível a edição dos arquivosinfo – comando utilizado para exibir informações sobre o banco de dados do ad e seus diretóriosintegrity – checa a integridade do banco de dados do AD

Análise semântica – verifica se todos os apontamentos estão corretossemanatic databse analysisGO – realizar a analise semântica sem realizar ajustes.GO fixup – realizar a analise semântica realizando ajustes

Desfragmentando o banco de dados do ADAntes de realizar o procedimento a baixo é recomendável realizar um backup do NTDS.DIT que fica localizado em %windir%\ntds\activate instance ntdsfilescompact c:\AD

Será criado um arquivo na unidade c:\AD

Movimentação do banco de dados de log e do NTDS

ntdsutilactivate instance ntdsfiles

Dentro de files existem dois comandos que são:move db to caminho_de_destinomove logs to caminho_de_destino

BackupServer2Iniciar um segundo servidor de domínio (adicionar a um domínio existente)

Na configuração de DNS utilizar da seguinte forma:

DNS Primário – endereço IP do próprio servidorDNS Secundário – endereço IP do primeiro DC

Server 1Instalar no server 1 os Recursos de Backup do Windows Server (todas as opções)

Para realizar um backup do system state

wbadmin start systemstatebackup -backuptarger:e:

Onde: wbadmin

Inicia o aplicativo de backup start

Inicia o backup systemstatebackup

tipo de backup que será utilizado -backuptarger:e:

destino do backup, atentar a letra da unidade

Para testar o backup apague duas das OU's criadas anteriormente

Para restaurar o backup

Entrar no modo de restauração do active directory

wbadmin get versions – para saber quais são as versões de backup que temos disponíveis e o identificador da versão

Restauração não autoritativawbadmin start systemstaterecovery -version:IDENTIFICADORDAVERSAO

Restauração autoritativa

wbadmin start systemstaterecovery -version:IDENTIFICADORDAVERSAOntdsutilactivate instance ntdsauthoritative restorerestore subtree OU=RH,DC=dom9,DC=localrestore subtree OU=DP,DC=dom9,DC=local

No término reinicie o computador (ele irá apresentar uma série de erros mais é normal)

Restauração autoritativo x não autoritativo

Quando um backup é restaurado de forma autoritativa, as modificações realizadas no AD na versão do backup também são restauradas, oque não acontece quando a restauração do backup é feita de forma não autoritativa.

Lab1AD DS/DNSNível: 2008 R2Senha DSRM: 123asd.

Criar a seguinte estrutura por linha de comando:

• RH

◦ USUARIOS

▪ Grupo RH

• USER1

• USER2

◦ USER1

◦ USER2

◦ COMPUTADORES

• DP

◦ USUARIOS

▪ Grupo DP

• USER3

• USER4

◦ USER3

◦ USER4

◦ COMPUTADORES

• COMERCIAL

◦ USUARIOS

▪ Grupo Comercial

• USER5

• USER6

◦ USER5

◦ USER6

◦ COMPUTADORES

• RECEPCAO

◦ USUARIOS

▪ Grupo Recepcao

• USER7

• USER8

▪ USER7

▪ USER8

◦ COMPUTADORES

Atalhos:

domain.msc – abre a console do gerenciado de domínios e relações de confiança;dssite.msc

Hints

CN x OU x DC, CN é o nome utilizado para qualquer objeto exceto as OU's eu os DC'sPara acelerar o processo de replicação, basta acessar a console de sites e serviços do Active

Directory > Sites > Default-First-Site-Name > Servers > Serverx > NTDS Settings > e escolha a partir de qual servidor você quer replicar > Botão direto Replicar Agora.

Bat para construção do ambiente, nessa bat eu exclui os comandos para o ntdsutil.

@echo off

REM "Criado por Rafael Dantas e Thiago Inacio 11/08/2012"REM "Criação de OU"

dsadd OU OU=RH,DC=DOM7,DC=localdsadd OU OU=USUARIOS,OU=RH,DC=DOM7,DC=localdsadd OU OU=COMPUTADORES,OU=RH,DC=DOM7,DC=local

dsadd OU OU=DP,DC=DOM7,DC=localdsadd OU OU=USUARIOS,OU=DP,DC=DOM7,DC=localdsadd OU OU=COMPUTADORES,OU=DP,DC=DOM7,DC=local

dsadd OU OU=COMERCIAL,DC=DOM7,DC=localdsadd OU OU=USUARIOS,OU=COMERCIAL,DC=DOM7,DC=localdsadd OU OU=COMPUTADORES,OU=COMERCIAL,DC=DOM7,DC=local

dsadd OU OU=RECEPCAO,DC=DOM7,DC=localdsadd OU OU=USUARIOS,OU=RECEPCAO,DC=DOM7,DC=localdsadd OU OU=COMPUTADORES,OU=RECEPCAO,DC=DOM7,DC=local

REM "Criação de Grupo"

dsadd group CN=RH,OU=usuarios,OU=RH,DC=dom7,DC=local -secgrp yes -scope Gdsadd group CN=DP,OU=usuarios,OU=DP,DC=dom7,DC=local -secgrp yes -scope Gdsadd group CN=COMERCIAL,OU=usuarios,OU=COMERCIAL,DC=dom7,DC=local -secgrp yes -scope Gdsadd group CN=RECEPCAO,OU=usuarios,OU=RECEPCAO,DC=dom7,DC=local -secgrp yes -scope G

REM "Criação de Usuário"

dsadd USER CN=USER1,CN=USERS,DC=DOM7,DC=local -SAMID USER1 -UPN user1@DOM7.local -PWD 123qwe. -DISABLED NOdsadd USER CN=USER2,CN=USERS,DC=DOM7,DC=local -SAMID USER2 -UPN user2@DOM7.local -PWD 123qwe. -DISABLED NOdsadd USER CN=USER3,CN=USERS,DC=DOM7,DC=local -SAMID USER3 -UPN user3@DOM7.local -PWD 123qwe. -DISABLED NOdsadd USER CN=USER4,CN=USERS,DC=DOM7,DC=local -SAMID USER4 -UPN

user4@DOM7.local -PWD 123qwe. -DISABLED NOdsadd USER CN=USER5,CN=USERS,DC=DOM7,DC=local -SAMID USER5 -UPN user5@DOM7.local -PWD 123qwe. -DISABLED NOdsadd USER CN=USER6,CN=USERS,DC=DOM7,DC=local -SAMID USER6 -UPN user6@DOM7.local -PWD 123qwe. -DISABLED NOdsadd USER CN=USER7,CN=USERS,DC=DOM7,DC=local -SAMID USER7 -UPN user7@DOM7.local -PWD 123qwe. -DISABLED NOdsadd USER CN=USER8,CN=USERS,DC=DOM7,DC=local -SAMID USER8 -UPN user8@DOM7.local -PWD 123qwe. -DISABLED NO

REM "Remoção de objetos"

REM "Remoção de OU"dsrm OU=COMERCIAL,DC=DOM7,DC=localREM "Remoção de Grupo"dsrm CN=RH,OU=usuarios,OU=RH,DC=dom7,DC=localREM "Remoção de Usuário"dsrm CN=TESTE,CN=USERS,DC=DOM7,DC=local

REM "Mover objetos"

dsmove CN=USER1,CN=USERS,DC=DOM7,DC=local -newparent OU=USUARIOS,OU=RH,DC=DOM7,DC=localdsmove CN=USER2,CN=USERS,DC=DOM7,DC=local -newparent OU=USUARIOS,OU=RH,DC=DOM7,DC=localdsmove CN=USER3,CN=USERS,DC=DOM7,DC=local -newparent OU=USUARIOS,OU=DP,DC=DOM7,DC=localdsmove CN=USER4,CN=USERS,DC=DOM7,DC=local -newparent OU=USUARIOS,OU=DP,DC=DOM7,DC=localdsmove CN=USER5,CN=USERS,DC=DOM7,DC=local -newparent OU=USUARIOS,OU=COMERCIAL,DC=DOM7,DC=localdsmove CN=USER6,CN=USERS,DC=DOM7,DC=local -newparent OU=USUARIOS,OU=COMERCIAL,DC=DOM7,DC=localdsmove CN=USER7,CN=USERS,DC=DOM7,DC=local -newparent OU=USUARIOS,OU=RECEPCAO,DC=DOM7,DC=localdsmove CN=USER8,CN=USERS,DC=DOM7,DC=local -newparent OU=USUARIOS,OU=RECEPCAO,DC=DOM7,DC=local

REM "Modificar objetos"

REM "Modificar Grupos"dsmod group CN=RH,OU=usuarios,OU=RH,DC=dom7,DC=local -addmbr

CN=user1,OU=usuarios,OU=RH,DC=dom7,dc=local

REM "Verificar propriedades de objetos"REM "Verificar propriedades de grupos"dsget group CN=rh,OU=usuarios,OU=RH,DC=dom7,DC=local -members

REM "Localizar objetos"

dsquery user OU=usuarios,OU=DP,DC=dom7,dc=local

REM "Concatenar comandos"REM "Adicionar usuários em grupo"dsquery user OU=usuarios,OU=DP,DC=dom7,dc=local | dsmod group

CN=DP,OU=usuarios,OU=DP,DC=dom7,DC=local -addmbrdsquery user OU=usuarios,OU=RH,DC=dom7,dc=local | dsmod group

CN=RH,OU=usuarios,OU=RH,DC=dom7,DC=local -addmbrdsquery user OU=usuarios,OU=COMERCIAL,DC=dom7,dc=local | dsmod group

CN=COMERCIAL,OU=usuarios,OU=COMERCIAL,DC=dom7,DC=local -addmbrdsquery user OU=usuarios,OU=RECEPCAO,DC=dom7,dc=local | dsmod group

CN=RECEPCAO,OU=usuarios,OU=RECEPCAO,DC=dom7,DC=local -addmbr