Serviços de Rede II (2012/13) 1

Departamento de Engenharia Informática e de Sistemas

Instituto Superior de Engenharia de Coimbra

Aula 3

@

• A maioria das funções do domínio podem ser distribuídas por diversas máquinas. Aliás isso é mesmo desejavel…

• Existem contudo algumas funções que devem ser efectuadas por um único controlador de domínio, num determinado instante.

• Essas funções são: • RID (Relative ID) Master

• Atribuição de IDs únicos para os objectos pertencentes a um determinado domínio

• PDC emulator Master

• Para emulação de Primary Domain Controller para maquinas “pre-Windows 2000”

• Este servidor permite autenticação NTLM e Kerberos V5

• Infrastruture Master

• Função responsável por verificar a consistência da informação entre domínios

2

@

• Schema master

• Controla todas as alterações efetuadas ao schema usado na floresta

• Deve existir um único schema para uma floresta

• Pode ser alterado através da consola de gestão do ‘schema’

• É necessário registar a consola através do comando • regsvr32 \WINDOWS\system32\schmmgmt.dll

• Domain Naming Master

• Controlador de domínio responsável por efetuar a gestão das criações e remoções de domínios da floresta

• Garante que os nomes são únicos

• Pode ser alterado através da consola de gestão de domínios e relações de confiança

• O Assistente para instalação do Active Directory (Dcpromo.exe) atribui todas estas 5 funções ao primeiro controlador de domínio no domínio raiz da floresta.

• Transferir o OM de um controlador de domínio para outro pode ser feito como uma regular manutenção ou de disater recovery.

• Isso pode ser feito com o utilitário Ntdsuti.

Serviços de Rede II (2012/13) 3

@

• Clique em em Start->Run, e escreva ntdsutil.

• Escreva roles

• Escreva connections e pressione ENTER.

• Escreva connect to server nome_do_servidor e pressione ENTER, onde nome_do_servidor é o nome do controlador de domínio para o qual deseja atribuir a função OM.

• No prompt server connections , escreva q e pressione ENTER.

• Escreva transfer função, onde função é a função que quer transferir.

• Para obter uma lista de funções que podem ser transferidas, escreva ? no prompt fsmo maintenance e pressione ENTER. Por exemplo, para transferir a função mestre RID digite transfer rid master. A única exceção é para a função emulador PDC do qual a sintaxe é transfer pdc e não transfer pdc emulator.

• No prompt fsmo maintenance escreva q e pressione ENTER para obter acesso ao prompt ntdsutil.

• Escreva q e pressione ENTER para fechar o utilitário Ntdsutil.

Serviços de Rede II (2012/13) 4

@

Serviços de Rede II (2012/13) 5

@

• É o repositório central de informação sobre os objectos de uma

árvore ou de uma floresta

• Por omissão, é criado no primeiro controlador de domínio

instalado

• Um controlador de domínio que possua uma cópia do “Global Catalog”

será também conhecido por Global Catalog Server

• Cada um destes controladores possui

• uma réplica completa da informação respeitante aos objectos do

domínio a que pertence (read/write)

• uma réplica parcial dos objectos dos restantes domínios (read only)

6

@

• Permite a um utilizador o acesso a objectos, independentemente

do domínio a que pertence e do domínio em que fez logon

• Em sites de uma empresa, onde não se justifique um Global

Catalog, poder-se-á activar a funcionalidade “Universal Group

Membership Caching”

• Esta funcionalidade permitir manter em cache os objectos usados mais

recentemente

• Por omissão, é efectuado um refrescamento de 8 em 8 horas

7

@

• Em Active Directory Sites and Services

Serviços de Rede II (2012/13) 8

@

• Uma query é um pedido

específico efectuado sobre

o global catalog de modo

a encontrar, modificar ou

eliminar dados da AD

• Passos (ver figura):

• 1ª e 2ª queries ao DNS para

saber quem é Global Catalog

Server

• 3ª e 4ª queries ao Global

Catalog Server

9

@

• Pesquisa de objectos

• Find

• Nos menus de contexto da AD

• DSQuery

• Comando de linha

• No Windows Server é possível criar/guardar “Saved Queries”

• Alguns exemplo:

• Lista as contas com “Password Never expires”:

• (&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=65536))

• Lista as contas de utilizadores ativas:

• (&(&(objectCategory=person)(objectClass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2)))

10

@

Serviços de Rede II (2012/13) 11

@

Serviços de Rede II (2012/13) 12

@

• Definir segurança associada ao objeto

• É necessário ativar a opção “Advanced Features”

• Definição das permissões, owner, entre outros, da mesma forma que se

definem para o sistema de ficheiros

• O controle de acesso é administrado ao nível do objeto por

meio da configuração de diversos níveis de acesso, ou

permissões, aos objetos, como Controle Total, Gravação, Leitura

ou Sem Acesso.

• Os elementos que definem as permissões de controle de acesso

sobre os objetos no Active Directory incluem descritores de

segurança, herança de objetos e autenticação.

Serviços de Rede II (2012/13) 13

@

• Uma das novidades do windows 2008 server é a implementação de um recycle bin de objetos da AD. Para isso tem de ativar esta função.

• Click em Start->All Programs -> Administrative Tools

• Clique com o botão do lado direito do rato em PowerShell e clique em Run as Admnistrator

• Escreva: • Enable-ADOptionalFeature –Identity ‘CN=Recycle

Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com’ –Scope ForestOrConfigurationSet –Target ‘empresaabc.com’

• Escreve Y quando solicitado.

Serviços de Rede II (2012/13) 14

@

• Para recuperar um objeto pode utilizar o utilitário LDP ou o PowerShell.

• LDP • Para abrir um Ldp.exe, clique Click em Start e em run escreva ldp.exe.

• Para se ligar ao servidor deve escrever Conexões, Conectar e, em seguida, clique em Associar.

• Na árvore do console, navegue até CN=Deleted Objects.

• Localize e clique com o botão direito do rato no objeto Active Directory excluído que deseja restaurar e, em seguida, clique em Modificar.

• Na caixa de diálogo Modificar: • Em Editar Atributo de Entrada, escreva isDeleted

• Deixe a caixa Valores vazia.

• Em Operação, clique em Excluir e em Enter

• Em Editar Atributo de Entrada, escreva distinguishedName.

• Em Valores, escreva o nome diferenciado original (também conhecido como DN) desse objeto Active Directory.

• Em Operação, clique em Substituir.

• Certifique-se de que a caixa de seleção Estendido esteja marcada, clique em Enter e em Executar.

Serviços de Rede II (2012/13) 15

@

• PowerShell

• Click em Start->All Programs -> Administrative Tools

• Clique com o botão do lado direito do rato em PowerShell e clique em

Run as Admnistrator

• Escreva a seguinte linha de comando:

• Get-ADObject -Filter {String} -IncludeDeletedObjects | Restore-

ADObject

• Por exemplo se deseja recuperar um objecto de chamdo utilizador 1

escreva:

• Get-ADObject -Filter {displayName -eq “utilizador1"} -

IncludeDeletedObjects | Restore-ADObject

Serviços de Rede II (2012/13) 16

@

• No Windows 2008 server R2 pode parar e arrancar o serviço

da AD sem necessitar de desligar o servidor que serve de

domain controler.

• Deve fazer:

• Start->All Programs – Administrative Tools – Services

• Escolha o serviço “Active Directory Domain Services e faça stop para o

parar ou start para o arrancar.

Serviços de Rede II (2012/13) 17

@

• O DNS é um serviço essencial para o funcionamento da Active

Directory

• Usado para a tradução de nomes em endereços IP

• ... e também na tradução inversa – tradução de IPs pelos nomes dos

computadores respectivos

• Usado na localização de servidores que alojam determinados serviços

• Este é um serviço indispensável para o normal e correto funcionamento da

AD

18

Ver os conteúdos de SR1

@

• Uma relação de confiança (trust relationship) é uma ligação

entre dois domínios a partir da qual é permitido a um domínio

autenticar-se no outro.

• Se nenhuma relação de confiança for criada, o domínio é o

limite para aceder a recursos de uma organização.

19

@

• Características

• Método de criação

• Manual ou explícito

• Automático ou implícito

• Transitividade

• Se A confia em B e B confia em C então A confia em C

• Pode ser restringido

• Direcção

• Num sentido

• Em ambos os sentidos

20

@ Serviços de Rede II (2012/13) 21

@

• É possível criar uma relação de confiança externa para formar uma

relação de confiança intransitiva, unidirecional ou bidirecional, com

domínios que estão fora da sua floresta. As relações de confiança

externas, às vezes, são necessárias quando os utilizadores necessitam

de aceder a recursos de um domínio do Windows NT 4.0 ou de um

domínio localizado em uma floresta diferente, que não seja

associada por uma relação de confiança da floresta

Serviços de Rede II (2012/13) 22

@

• Abra Domínios e Relações de Confiança do Active Directory.

• Na árvore da console, clique com o botão direito do rato no nó para o domínio com o qual deseja estabelecer uma relação de confiança e, em seguida, clique em Propriedades.

• Na guia Relações de Confiança, clique em Nova Relação de Confiança e em Avançar.

• Na página Nome da Relação de Confiança, escreva o nome DNS (ou NetBIOS) do domínio em clique em Avançar.

• Na página Tipo de Relação de Confiança, clique em Relação de confiança externa e em Avançar.

• Na página Direção da Relação de Confiança, execute um destes procedimentos:

• Para criar uma relação de confiança externa bidirecional, clique em Bidirecional. • Os utilizadores nesse domínio e no domínio especificado poderão aceder aos recursos em

qualquer um deles.

• Para criar uma relação de confiança externa unidirecional, clique em Unidirecional: en • Os utilizadores do domínio especificado não poderão aceder a nenhum recurso nesse domínio

Serviços de Rede II (2012/13) 23

@

• É possível estabelecer uma relação de confiança de realm

entre qualquer sistema a correr Kerberos versão 5 (V5) não

Windows e um domínio do Windows Server 2008 ou do

Windows Server 2008 R2.

• Esta relação de confiança permite a interoperabilidade entre

plataformas diferentes com serviços de segurança baseados

em outras versões do protocolo Kerberos V5, por exemplo,

implementações do UNIX.

Serviços de Rede II (2012/13) 24

@

• É possível criar uma relação de confiança entre duas diferentes

florestas .

• Todos os controladores de domínio dentro da mesma floresta mantém

uma relação de confiança transitive two-way com os outros

controladores de domínio da mesma floresta.

• A criação dessa relação entre duas florestas fornece uma relação de

confiança transitiva, unidirecional ou bidirecional, entre cada domínio

que reside dentro de cada floresta.

• As relações de confiança de floresta são úteis para fornecedores de

aplicações, organizações sob processo de fusão ou aquisição,

extranets comerciais colaborativas e organizações em busca de uma

solução para a autonomia administrativa.

Serviços de Rede II (2012/13) 25

@

• É essencialmente uma explicita relação de confiança entre dois

domínios da estrutura.

• É utilizado para otimizar a performance quando precisamos de

aceder a recursos entre domínios distintos ligados através de

confianças transitivas

Serviços de Rede II (2012/13) 26

@

• Na árvore da console, clique com o botão direito do rato no domínio que contem a relação de confiança que deseja verificar e, em seguida, clique em Propriedades.

• Na guia Relações de Confiança, em Domínios em que este domínio confia (relações de confiança de saída) ou Domínios que confiam neste domínio (relações de confiança de entrada), clique na relação de confiança a ser verificada e em Propriedades.

• Clique em Validar.

• Siga um destes procedimentos e clique em OK:

• Clique em Não validar a relação de confiança de entrada.

• Clique em Sim, validar a relação de confiança de entrada.

Serviços de Rede II (2012/13) 27

@

• Na árvore da console, clique com o botão direito do rato no domínio

que tem a relação de confiança que quer remover e, em seguida,

clique em Propriedades.

• Na guia Relações de Confiança, em Domínios em que este domínio

confia (relações de confiança de saída) ou Domínios que confiam

neste domínio (relações de confiança de entrada), clique na

relação de confiança a ser removida e em Remover.

• Siga um destes procedimentos e clique em OK:

• Clique em Não, remover apenas a relação de confiança do domínio local.

Clique em Sim, remover a relação de confiança do domínio local e do

outro domínio.

Serviços de Rede II (2012/13) 28

@

• A topologia dos sites da AD foram alterados para refletirem aos

ambiente de rede existentes.

• Podemos considerar os três seguintes casos:

• RING

• Temos a replicação dos arquivos sendo feita de servidor a servidor de

forma circular e bidirecional

• Mesmo que algum servidor fique fora, o acesso ao cliente continua sendo

possível e a replicação no sentido contrário

• FULL MESH

• Todos os servidores replicam com todos.

• HUB and SPOKE

• Temos um servidor central que recebe as atualizações de todos os outros

Serviços de Rede II (2012/13) 29

@

Serviços de Rede II (2012/13) 30

@

• A empresa A é uma produtora de vidro e tem uma fabrica e os

escritórios central localizados na cidade de Leuven na Belgica.

• Tem ainda mais quatro mais pequenas fabricas em Marselha,

Bruxelas, Amesterdão e Krakow.

• A empresa decidiu instalar o ws 2008 em todas as localizações

e considerar cada um deles como um DC.

Serviços de Rede II (2012/13) 31

Leuven

Amesterdão

Krakow

Bruxelas

Marselha

512 512

128

256

@

• Uma das hipóteses de implementar é a seguinte

Serviços de Rede II (2012/13) 32

Leuven

Amesterdão

Krakow

Bruxelas

Marselha

512 512

128

256

@ Serviços de Rede II (2012/13) 33

• O RODC é um Domain Controller como qualquer outro do

ambiente do domínio, porém o mesmo permite apenas a leitura

dos objetos do Active Directory, não efetuando ações de escrita

de objetos (criação / exclusão / alteração).

@

Serviços de Rede II (2012/13) 34

@ Serviços de Rede II (2012/13) 35

@

Serviços de Rede II (2012/13) 36

@ Serviços de Rede II (2012/13) 37

@

• Conjunto de configurações que podem ser aplicadas a

computadores, sites, domínios e unidades de organização para

especificar

• comportamentos permitidos para os utilizadores

• restrições na utilização de recursos

• acções a serem realizadas automaticamente

• Para criar estas configurações é necessário:

• criar Group Policy Objects (GPO)

• aplicá-los aos grupos de objectos pretendidos

38

@

• Podem existir várias políticas a actuarem sobre um mesmo

objecto

• Ordem de aplicação das GPO:

• Computador local

• Site - O mais alto nível. Todas as configurações feitas serão aplicadas a

todos os utilizadores/computadores/domínios nesse site.

• Domínio - É o segundo nível. Configurações feitas aqui afetarão todos os

utilizadores/computadores dentro do domínio.

• Unidade de Organização – só afeta os recursos que fazem parte dela

39

@

• GPO1 – Acesso ao Painel de Controlo – Disabled

• GPO2 – Acesso ao Painel de Controlo – Enabled

• GPO3 – Acesso ao Painel de Controlo – Disabled

• GPO4 – Acesso ao Painel de Controlo – Enabled

• A ultima GPO aplicada foi a GPO4 por isso ela tem preferência ou como alguns gostam de falar A GPO4 “Ganha” e o utilizador fica assim com acesso ao painel de controlo.

Serviços de Rede II (2012/13) 40

@

• Pode bloquear a herança entre GPO, marcando a opção

“Block Inheritance” sobre a Unidade Organizacional onde não

se deseja aplicar diretivas herdadas.

• Pode também forçar a aplicação de uma diretiva, de modo

que ela terá precedência sobre todas as outras. Para isso

marque a opção Enforce sobre a GPO.

Serviços de Rede II (2012/13) 41

@

• Existem políticas de grupo

• Locais

• Afectam apenas o computador local

• Não Locais

• Criadas na Active Directory e atribuídas

• a sites

• Todos os computadores do site independentemente do seu domínio

• a domínios

• Todos os objectos do domínio

• A unidades de organização

• Todos os objectos presentes na OU

• Por omissão encontram-se definidas

• Default Domain Policy

• Default Domain Controllers Policy

42

@

• Configurações

• Computador

• Configurações que afectam os computadores independentemente de

quem se autentica

• Utilizador

• Configurações que afectam os utilizadores independentemente do

computador em que se autenticam

• RSoP (Resultant Set of Policy)

• De modo a facilitar a verificação das políticas que estão a ser atribuídas

a determinados objectos, é possível pedir ao SO o resultado do

“somatório” de todas as políticas que estão a ser aplicadas

43

@

• A ferramenta para trabalhar a gestão da politica de grupo

(GPO) é o Snap-in “Group Policy Management”.

Serviços de Rede II (2012/13) 44

@

• No Group Policy Management clique com o lado direito em

Group Policy Object e selecione New

• Pode criar as GPOs no nó Group Policy Objects e depois

vincula-las ou pode criar uma GPO já vinculando a uma OU ou

domínio.

Serviços de Rede II (2012/13) 45

@

• Após vincular uma GPO pode criar filtros de utilizadores ou

grupos implicando assim que as regras definidas somente serão

aplicadas aos objetos de rede que deseja.

• Por defeito recebem as politicas os utilizadores de domínio.

Serviços de Rede II (2012/13) 46

@

• O WMI disponibiliza informações sobre o computador destino.

Essas informações podem ser dados de hardware e software,

configurações e informações de configuração

Serviços de Rede II (2012/13) 47

@

• Depois de criar e vincular uma GPO é necessário trabalhar na

sua configuração.

• Para isso selecionar Edit para escolher quais politicas a serem

definidas.

Serviços de Rede II (2012/13) 48

@

• Computer Configuration

• Policies

• Software Settings > Usado para instalação de software

• Windows Settings > Configuração de Scripts, Segurança (senhas,

auditoria), firewall, NAP, restrição de aplicações.

• Administrative Templates > São definições de configuração de

registro. Nas versões anteriores ao vista a extensão era ADM, hoje

ADMX (bem menor também). Pode obter modelos administrativos no

Microsoft Download Center, por exemplo, para configurar o Office.

• Preferences > Recurso novo no Windows Server 2008.

• Windows Settings

• Control Panel Settings

Serviços de Rede II (2012/13) 49

@

• User Configuration

• Policies

• Software Settings > Usado para instalação de software

• Windows Settings > Configuração de Scripts de logon/Logoff,

restrição de aplicaçõess. Redirecionamento de pastas, Configuração

do IE.

• Administrative Templates > Assim como para computador são

definições de configuração de registro.

• Preferences > Recurso novo no Windows Server 2008.

• Windows Settings

• Control Panel Settings

Serviços de Rede II (2012/13) 50

@

Serviços de Rede II (2012/13) 51

@

• Aqui pode fazer o download das diferentes diretivas

existentes:

• http://www.microsoft.com/en-

us/download/details.aspx?id=25250

• Pode por exemplo:

• Bloquear as portas USB

• Esconder o disco c:

• Não permitir ao utilizador que aceda ao Painel de Controlo

• Não permitir que o utilizador faça instalação de software

• Etc…

Serviços de Rede II (2012/13) 52

@

• Mapear uma drive

• User Configuration\Preferences\Windows Settings Clique com o botão direito em Drive Maps e New Mapped Drive Action Update Label as: o caminho do mapeamento Marque Reconnect Existing selecione a letra do mapeamento

• Impedir a instalação de programas

• User Configuration\Policies\Administrative Templates\Control Panel Pode escolher as opções abaixo: Hide the “Add a program from CD-ROM or floppy disk” option (habilita ou desabilita a instalação de programas via cd-rom ou floppy) Hide the “Add programs from Microsoft” option (habilita ou desabilita a instalação de programas via Microsoft) Hide the “Add programs from your network” option (habilita ou desabilita a instalação de programas via rede)

Serviços de Rede II (2012/13) 53

@

• O Windows Server 2008 (R2) tem uma nova pasta chamada

Starter GPO dentro do Group Policy Management Console

(gpmc.msc).

• Aqui podemos criar e guardar modelos de Group Policies que

podem ser usadas como base para novas GPOs.

Serviços de Rede II (2012/13) 54

@

• Pode-se usar a entrada Software Installation das GPO

definidas para disponibilizar packages de software a ser

instalado em computadores ou para determinados utilizadores

• A instalação fica disponível no Control Panel + Add or Remove

Programs

• Métodos

• Published

• Não obrigatório

• Assigned

• Obrigatório

• Advanced

55

@

Serviços de Rede II (2012/13) 56

@

• Windows server 2008 R2 Unleashed, Randy Morimoto et al,

2010 SAMS.

• http://technet.microsoft.com/pt

• http://technet.microsoft.com/pt-

br/library/cc730798(v=ws.10).aspx

• http://www.projetoderedes.com.br/blog/downloads/

• http://www.jorgebarata.eti.br/saiba-como-usar-o-starter-gpo-

no-windows-server-2008-pt-br/

• http://blogs.technet.com/b/grouppolicy/

Serviços de Rede II (2012/13) 57