aula 2 active diretory - 11082012
TRANSCRIPT
Dia 11/08/2012MCITP-EA Active DirectoryAula 2
Administração do Active Directory por linha de comandodsadd comando utilizado para criar objetos no active directory
Criação de OU'sdsadd OU OU=RH,DC=dom9,DC=local
Onde: OU
É o tipo de objeto que será criado. OU=RH,
Nome da OU que será criada, no exemplo será a OU RH DC=dom9,
Domínio onde o objeto será criado DC=local
Sufixo do domínio onde o objeto será criado
As vírgulas utilizadas fazem parte da sintaxe do comando, para separar os objetos!
Para criar uma OU dentro de outra OU devemos utilizar uma linha similar à abaixo:
dsadd OU OU=USUARIOS,OU=RH,DC=dom9,DC=local
Onde a nova OU USUARIOS esta diretamente abaixo da OU RH. Caso seja necessário um nível hierárquico maior, basta acrescentar no inicio da linha a nova
OU. Segue exemplo de utilização:
dsadd OU OU=ANDAR3,OU=USUARIOS,OU=RH,DC=dom9,DC=local
Na linha de comando anterior foi criada uma sub OU para os usuários do 3º andar do RH
Criação de usuários
dsadd USER CN=USER1,CN=USERS,DC=dom9,DC=local -SAMID USER1 -UPN [email protected] -PWD 123qwe. -DISABLED NO
Onde: USER
Tipo de objeto a ser criado CN=USER1,
nome do usuário a ser criado CN=USERS,
Nome da OU em que o usuário será criado DC=dom9,
Domínio onde o objeto será criado DC=local
Sufixo do domínio onde o objeto será criado
-SAMID USER1 Identificação dos usuários
-UPN [email protected] Nome de logon do usuário
-PWD 123qwe. Senha do usuário
-DISABLED NO Informa que o usuário não esta desabilitado
Criação de grupos
dsadd GROUP CN=RH,OU=USUARIOS,OU=RH,DC=dom9,DC=local -secgrp yes -scope G
Onde:
GROUP Tipo de objeto a ser criado
CN=RH, nome do grupo a ser criado
OU=USUARIOS, Nome da OU em que o usuário será criado
OU=RH, Nome da OU em que o usuário será criado
DC=dom9, Domínio onde o objeto será criado
DC=local Sufixo do domínio onde o objeto será criado
-secgrp yes Define o tipo de grupo, quando o parâmetro YES ele será criado como grupo de segurança,
caso seja criado com NO ele será criado como grupo de segurança -scope G
Defino o escopo do grupo: G = Global L = Local U = Universal
Remoção de objetos
É utilizado o caminho absoluto do objeto
Remoção de OUdsrm OU=teste,DC=DOM9,DC=local
Para remover subárvores basta utilizar o comando -subtree
Remoção de usuáriosdsrm CN=USER1,CN=USERS,DC=DOM9,DC=local
Movimentando objetosDSMOVE CN=USER1,CN=USERS,DC=DOM9,DC=local -NEWPARENT OU=usuarios,OU=RH,DC=DOM9,DC=local
Onde: CN=USER1,CN=USERS,DC=DOM9,DC=local
Caminho de origem do objeto -NEWPARENT
Parâmetro para inserir o caminho de destino OU=usuarios,OU=RH,DC=DOM9,DC=local
Caminho de destino
Modificar as propriedades do objeto
dsmod group CN=RH,OU=usuarios,OU=RH,DC=DOM9,DC=local -ADDMBR CN=USER1,OU=usuarios,OU=RH,DC=DOM9,DC=local
Onde: group
Tipo de objeto que se deseja modificar CN=RH,OU=usuarios,OU=RH,DC=DOM9,DC=local
Objeto que desejamos modificar -ADDMBR
Tipo de modificação, no exemplo é adição de um novo usuário CN=USER1,OU=usuarios,OU=RH,DC=DOM9,DC=local
Usuário que verá estar no grupo
Verificar as propriedades do objeto
dsget group CN=RH,OU=usuarios,OU=RH,DC=DOM9,DC=local -members
Onde: group
Tipo de objeto que se deseja saber as propriedades CN=RH,OU=usuarios,OU=RH,DC=DOM9,DC=local
Caminho do objeto -members
Tipo de propriedade que se deseja visualizar.
Realizando uma busca por um objeto
dsquery user OU=usuarios,OU=RH,DC=DOM9,DC=local
Outra maneira de se modificar as propriedades de um é redirecionando a saída de um comando para a entrada de outro utilizando o pipe (|)
dsquery user OU=usuarios,OU=RH,DC=DOM9,DC=local | dsmod group CN=RH,OU=usuarios,OU=RH,DC=DOM9,DC=local -ADDMBR
No exemplo acima estamos adicionando usuários da OU RH ao grupo RH.
Administrando a base de dados do Active Directory
Para completo funcionamento dos comandos abaixo é necessário para o serviço do NTDS
Para realizar a manutenção será utilizado o utilitário NTDSUTIL
activate instance ntds – comando utilizado para ativar a instancia do NTDSfiles – comando utilizado para associar o banco, para ser possível a edição dos arquivosinfo – comando utilizado para exibir informações sobre o banco de dados do ad e seus diretóriosintegrity – checa a integridade do banco de dados do AD
Análise semântica – verifica se todos os apontamentos estão corretossemanatic databse analysisGO – realizar a analise semântica sem realizar ajustes.GO fixup – realizar a analise semântica realizando ajustes
Desfragmentando o banco de dados do ADAntes de realizar o procedimento a baixo é recomendável realizar um backup do NTDS.DIT que fica localizado em %windir%\ntds\activate instance ntdsfilescompact c:\AD
Será criado um arquivo na unidade c:\AD
Movimentação do banco de dados de log e do NTDS
ntdsutilactivate instance ntdsfiles
Dentro de files existem dois comandos que são:move db to caminho_de_destinomove logs to caminho_de_destino
BackupServer2Iniciar um segundo servidor de domínio (adicionar a um domínio existente)
Na configuração de DNS utilizar da seguinte forma:
DNS Primário – endereço IP do próprio servidorDNS Secundário – endereço IP do primeiro DC
Server 1Instalar no server 1 os Recursos de Backup do Windows Server (todas as opções)
Para realizar um backup do system state
wbadmin start systemstatebackup -backuptarger:e:
Onde: wbadmin
Inicia o aplicativo de backup start
Inicia o backup systemstatebackup
tipo de backup que será utilizado -backuptarger:e:
destino do backup, atentar a letra da unidade
Para testar o backup apague duas das OU's criadas anteriormente
Para restaurar o backup
Entrar no modo de restauração do active directory
wbadmin get versions – para saber quais são as versões de backup que temos disponíveis e o identificador da versão
Restauração não autoritativawbadmin start systemstaterecovery -version:IDENTIFICADORDAVERSAO
Restauração autoritativa
wbadmin start systemstaterecovery -version:IDENTIFICADORDAVERSAOntdsutilactivate instance ntdsauthoritative restorerestore subtree OU=RH,DC=dom9,DC=localrestore subtree OU=DP,DC=dom9,DC=local
No término reinicie o computador (ele irá apresentar uma série de erros mais é normal)
Restauração autoritativo x não autoritativo
Quando um backup é restaurado de forma autoritativa, as modificações realizadas no AD na versão do backup também são restauradas, oque não acontece quando a restauração do backup é feita de forma não autoritativa.
Lab1AD DS/DNSNível: 2008 R2Senha DSRM: 123asd.
Criar a seguinte estrutura por linha de comando:
• RH
◦ USUARIOS
▪ Grupo RH
• USER1
• USER2
◦ USER1
◦ USER2
◦ COMPUTADORES
• DP
◦ USUARIOS
▪ Grupo DP
• USER3
• USER4
◦ USER3
◦ USER4
◦ COMPUTADORES
• COMERCIAL
◦ USUARIOS
▪ Grupo Comercial
• USER5
• USER6
◦ USER5
◦ USER6
◦ COMPUTADORES
• RECEPCAO
◦ USUARIOS
▪ Grupo Recepcao
• USER7
• USER8
▪ USER7
▪ USER8
◦ COMPUTADORES
Atalhos:
domain.msc – abre a console do gerenciado de domínios e relações de confiança;dssite.msc
Hints
CN x OU x DC, CN é o nome utilizado para qualquer objeto exceto as OU's eu os DC'sPara acelerar o processo de replicação, basta acessar a console de sites e serviços do Active
Directory > Sites > Default-First-Site-Name > Servers > Serverx > NTDS Settings > e escolha a partir de qual servidor você quer replicar > Botão direto Replicar Agora.
Bat para construção do ambiente, nessa bat eu exclui os comandos para o ntdsutil.
@echo off
REM "Criado por Rafael Dantas e Thiago Inacio 11/08/2012"REM "Criação de OU"
dsadd OU OU=RH,DC=DOM7,DC=localdsadd OU OU=USUARIOS,OU=RH,DC=DOM7,DC=localdsadd OU OU=COMPUTADORES,OU=RH,DC=DOM7,DC=local
dsadd OU OU=DP,DC=DOM7,DC=localdsadd OU OU=USUARIOS,OU=DP,DC=DOM7,DC=localdsadd OU OU=COMPUTADORES,OU=DP,DC=DOM7,DC=local
dsadd OU OU=COMERCIAL,DC=DOM7,DC=localdsadd OU OU=USUARIOS,OU=COMERCIAL,DC=DOM7,DC=localdsadd OU OU=COMPUTADORES,OU=COMERCIAL,DC=DOM7,DC=local
dsadd OU OU=RECEPCAO,DC=DOM7,DC=localdsadd OU OU=USUARIOS,OU=RECEPCAO,DC=DOM7,DC=localdsadd OU OU=COMPUTADORES,OU=RECEPCAO,DC=DOM7,DC=local
REM "Criação de Grupo"
dsadd group CN=RH,OU=usuarios,OU=RH,DC=dom7,DC=local -secgrp yes -scope Gdsadd group CN=DP,OU=usuarios,OU=DP,DC=dom7,DC=local -secgrp yes -scope Gdsadd group CN=COMERCIAL,OU=usuarios,OU=COMERCIAL,DC=dom7,DC=local -secgrp yes -scope Gdsadd group CN=RECEPCAO,OU=usuarios,OU=RECEPCAO,DC=dom7,DC=local -secgrp yes -scope G
REM "Criação de Usuário"
dsadd USER CN=USER1,CN=USERS,DC=DOM7,DC=local -SAMID USER1 -UPN [email protected] -PWD 123qwe. -DISABLED NOdsadd USER CN=USER2,CN=USERS,DC=DOM7,DC=local -SAMID USER2 -UPN [email protected] -PWD 123qwe. -DISABLED NOdsadd USER CN=USER3,CN=USERS,DC=DOM7,DC=local -SAMID USER3 -UPN [email protected] -PWD 123qwe. -DISABLED NOdsadd USER CN=USER4,CN=USERS,DC=DOM7,DC=local -SAMID USER4 -UPN
[email protected] -PWD 123qwe. -DISABLED NOdsadd USER CN=USER5,CN=USERS,DC=DOM7,DC=local -SAMID USER5 -UPN [email protected] -PWD 123qwe. -DISABLED NOdsadd USER CN=USER6,CN=USERS,DC=DOM7,DC=local -SAMID USER6 -UPN [email protected] -PWD 123qwe. -DISABLED NOdsadd USER CN=USER7,CN=USERS,DC=DOM7,DC=local -SAMID USER7 -UPN [email protected] -PWD 123qwe. -DISABLED NOdsadd USER CN=USER8,CN=USERS,DC=DOM7,DC=local -SAMID USER8 -UPN [email protected] -PWD 123qwe. -DISABLED NO
REM "Remoção de objetos"
REM "Remoção de OU"dsrm OU=COMERCIAL,DC=DOM7,DC=localREM "Remoção de Grupo"dsrm CN=RH,OU=usuarios,OU=RH,DC=dom7,DC=localREM "Remoção de Usuário"dsrm CN=TESTE,CN=USERS,DC=DOM7,DC=local
REM "Mover objetos"
dsmove CN=USER1,CN=USERS,DC=DOM7,DC=local -newparent OU=USUARIOS,OU=RH,DC=DOM7,DC=localdsmove CN=USER2,CN=USERS,DC=DOM7,DC=local -newparent OU=USUARIOS,OU=RH,DC=DOM7,DC=localdsmove CN=USER3,CN=USERS,DC=DOM7,DC=local -newparent OU=USUARIOS,OU=DP,DC=DOM7,DC=localdsmove CN=USER4,CN=USERS,DC=DOM7,DC=local -newparent OU=USUARIOS,OU=DP,DC=DOM7,DC=localdsmove CN=USER5,CN=USERS,DC=DOM7,DC=local -newparent OU=USUARIOS,OU=COMERCIAL,DC=DOM7,DC=localdsmove CN=USER6,CN=USERS,DC=DOM7,DC=local -newparent OU=USUARIOS,OU=COMERCIAL,DC=DOM7,DC=localdsmove CN=USER7,CN=USERS,DC=DOM7,DC=local -newparent OU=USUARIOS,OU=RECEPCAO,DC=DOM7,DC=localdsmove CN=USER8,CN=USERS,DC=DOM7,DC=local -newparent OU=USUARIOS,OU=RECEPCAO,DC=DOM7,DC=local
REM "Modificar objetos"
REM "Modificar Grupos"dsmod group CN=RH,OU=usuarios,OU=RH,DC=dom7,DC=local -addmbr
CN=user1,OU=usuarios,OU=RH,DC=dom7,dc=local
REM "Verificar propriedades de objetos"REM "Verificar propriedades de grupos"dsget group CN=rh,OU=usuarios,OU=RH,DC=dom7,DC=local -members
REM "Localizar objetos"
dsquery user OU=usuarios,OU=DP,DC=dom7,dc=local
REM "Concatenar comandos"REM "Adicionar usuários em grupo"dsquery user OU=usuarios,OU=DP,DC=dom7,dc=local | dsmod group
CN=DP,OU=usuarios,OU=DP,DC=dom7,DC=local -addmbrdsquery user OU=usuarios,OU=RH,DC=dom7,dc=local | dsmod group
CN=RH,OU=usuarios,OU=RH,DC=dom7,DC=local -addmbrdsquery user OU=usuarios,OU=COMERCIAL,DC=dom7,dc=local | dsmod group
CN=COMERCIAL,OU=usuarios,OU=COMERCIAL,DC=dom7,DC=local -addmbrdsquery user OU=usuarios,OU=RECEPCAO,DC=dom7,dc=local | dsmod group
CN=RECEPCAO,OU=usuarios,OU=RECEPCAO,DC=dom7,DC=local -addmbr