aula 9 active diretory - 06092012
TRANSCRIPT
Dia 06/09/2012MCITP-EA Active DirectoryAula 9
AD RMS
É o gerenciado de direitos do active directory, você pode utilizar um banco de dados de terceiros baseado em SQL. E aplicativos além da Microsoft.
Ele permite que você gerencie as ACLs e o que você pode fazer dentro do arquivo, como por exemplo, validade do arquivo, tirar um snapshot do arquivo e etc.
O maior ofensor do RMS é o trafego gerado para as autenticações.Uma garantia de segurança é que caso o servidor de RMS esteja indisponível você não
conseguirá abrir o arquivo.
Disponível a partir do nível funcional 2000 nativoUm recurso necessário é que exista uma conta de e-mail para que seja gerado os as chaves de licença do arquivo, pois as chaves utilizam o nome FQDN do domínio.
Necessidades:
Criar uma conta para o serviçoInstalar um AD CSCriar um certificado Web
A conta do Servidor de RMS deverá registrar e registrar automaticamente
Instalando
Antes de instalar
Necessidades:
Criar uma conta para o serviçoInstalar um AD CS
Criar um certificado WebA conta do Servidor de RMS deverá registrar e registrar automaticamente
Para iniciar o console do AD RMS basta utilizar o seguinte comando: adrmsadmin.msc
Caso você for utilizar outro banco de dados será necessário configurar a segunda opçãoEssa é a conta que gerenciará o serviço
Se estiver em um ambiente com múltiplos site escolha o que irá hospedar o serviçoEndereço que será utilizado pelo RMS para gerencia das permissões por meio externo (web) ou pela
intranet
Passo de configuração da CA
A partir desse passo é só dar NNF e fazer logoff/logon
AD LDS
Fornece serviços de diretório para aplicativos habilitados para diretório sem causar sobrecarga de domínios e florestas e sem os requisitos de um esquema único em toda a floresta.
Ele funciona de forma completamente separada do AD DS.
Instalação
O Primeiro passo apenas instala os binários, e esse é realizado através do gerenciado de servidores > função de servidores > AD LDS
Após a instalação siga os passos abaixo
O mais recomendado é trocar os valores que estão na imagem, para os de portas altas. Pois os valores que estão apresentados na imagem são os valores padrão do AD e com isso você corre
o risco de se conectar a uma instância padrão do AD ao invés da instância do LDS.
Partição crida durante a instalação do LDS, as letras O e C são parâmetros da linguagem LDAP
Informações que serão inportadas do AD
Sumário da instalação
Ele é gerenciado apenas pelo ADSI Editar (adsiedit.msc)
Para realizar a conexão é necessário preencher de acordo com a imagem abaixo
Para a instalação de uma replica do LDS basta seguir os passos a baixo (trago aqui apenas os
passos que são diferentes aos da instalação padrão)
A nova instância pode ter o mesmo nome da instancia anterior desde que elas estejam em
servidores diferentes
Script AD RMS
Será necessário acrescentar manualmente o endereço de e-mail dos grupos, poiso comando dsadd não altera esse atributo.Como recomentado os grupos estão sendo criados como o escopo UNIVERSAL
dsadd group CN=FUNCIONARIOS,CN=USERS,DC=DOM12,DC=local -secgrp yes -scope Udsadd group CN=FINANCEIRO,CN=USERS,DC=DOM12,DC=local -secgrp yes -scope Udsadd group CN=MARKETING,CN=USERS,DC=DOM12,DC=local -secgrp yes -scope Udsadd group CN=RH,CN=USERS,DC=DOM12,DC=local -secgrp yes -scope U
dsadd USER CN=USER1,CN=USERS,DC=DOM12,DC=local -SAMID USER1 -UPN [email protected] -PWD 123qwe. -memberof CN=FUNCIONARIOS,CN=USERS,DC=DOM12,DC=local CN=FINANCEIRO,CN=USERS,DC=DOM12,DC=local -email [email protected] -DISABLED NOdsadd USER CN=USER2,CN=USERS,DC=DOM12,DC=local -SAMID USER2 -UPN [email protected] -PWD 123qwe. -memberof CN=FUNCIONARIOS,CN=USERS,DC=DOM12,DC=local CN=FINANCEIRO,CN=USERS,DC=DOM12,DC=local -email [email protected] -DISABLED NOdsadd USER CN=USER3,CN=USERS,DC=DOM12,DC=local -SAMID USER3 -UPN [email protected] -PWD 123qwe. -memberof CN=FUNCIONARIOS,CN=USERS,DC=DOM12,DC=local CN=FINANCEIRO,CN=USERS,DC=DOM12,DC=local -email [email protected] -DISABLED NOdsadd USER CN=USER4,CN=USERS,DC=DOM12,DC=local -SAMID USER4 -UPN [email protected] -PWD 123qwe. -memberof CN=FUNCIONARIOS,CN=USERS,DC=DOM12,DC=local CN=MARKETING,CN=USERS,DC=DOM12,DC=local -email [email protected] -DISABLED NOdsadd USER CN=USER5,CN=USERS,DC=DOM12,DC=local -SAMID USER5 -UPN [email protected] -PWD 123qwe. -memberof CN=FUNCIONARIOS,CN=USERS,DC=DOM12,DC=local CN=MARKETING,CN=USERS,DC=DOM12,DC=local -email [email protected] -DISABLED NOdsadd USER CN=USER6,CN=USERS,DC=DOM12,DC=local -SAMID USER6 -UPN [email protected] -PWD 123qwe. -memberof CN=FUNCIONARIOS,CN=USERS,DC=DOM12,DC=local CN=MARKETING,CN=USERS,DC=DOM12,DC=local -email [email protected] -DISABLED NOdsadd USER CN=USER7,CN=USERS,DC=DOM12,DC=local -SAMID USER7 -UPN [email protected] -PWD 123qwe. -memberof CN=FUNCIONARIOS,CN=USERS,DC=DOM12,DC=local CN=RH,CN=USERS,DC=DOM12,DC=local -email [email protected] -DISABLED NOdsadd USER CN=USER8,CN=USERS,DC=DOM12,DC=local -SAMID USER8 -UPN [email protected] -PWD 123qwe. -memberof CN=FUNCIONARIOS,CN=USERS,DC=DOM12,DC=local CN=RH,CN=USERS,DC=DOM12,DC=local -email [email protected] -DISABLED NOdsadd USER CN=USER9,CN=USERS,DC=DOM12,DC=local -SAMID USER9 -UPN [email protected] -PWD 123qwe. -memberof CN=FUNCIONARIOS,CN=USERS,DC=DOM12,DC=local CN=RH,CN=USERS,DC=DOM12,DC=local -email [email protected] -DISABLED NO