configurando controladores de domínio · para abrir gerenciar o servidor, clique em iniciar e em...
TRANSCRIPT
Configurando Controladores de Domínio
Fonte: http://technet.microsoft.com/pt-br/library/cc779648(v=ws.10).aspx
Função do controlador de domínio: configurando o controlador de domínio
Os controladores de domínio armazenam dados e gerenciam interações entre os usuários e
o domínio, incluindo processos de logon do usuário, autenticação e pesquisas de diretório.
Se você planeja usar este servidor para fornecer o serviço de diretórios Active Directory a
usuários e computadores, configure o servidor como um controlador de domínio.
Para configurar um servidor como controlador de domínio, instale o Active Directory no
servidor. Existem quatro opções disponíveis no Assistente para instalação do Active
Directory. Você pode criar um controlador de domínio adicional em um domínio existente,
um controlador de domínio para um novo domínio filho, um outro para uma nova árvore de
domínio ou ainda para uma nova floresta. Se você não tiver certeza sobre a função
necessária, leia as informações sobre cada uma clicando na opção da função.
Anotações
Se você já instalou uma função de controlador de domínio e quer ver as próximas
etapas, na lista abaixo clique na configuração do controlador de domínio que você
instalou e, em seguida, clique em Próximas etapas: Concluindo tarefas
adicionais.
Se for necessário reconfigurar seu servidor para uma outra função, você poderá
remover funções existentes do servidor. Removendo a função do controlador de
domínio, você desinstalará o Active Directory desse servidor. Após a desinstalação
do Active Directory, esse servidor não participará mais da duplicação de objetos de
diretório e das solicitações de autenticação de usuário com base no domínio. Para
obter mais informações, consulte as seções abaixo.
Clique no tipo de controlador de domínio que você deseja criar:
Criando um controlador de domínio adicional para um domínio existente
Criando um controlador de domínio para uma nova floresta
Criando um controlador de domínio para um novo domínio filho
Criando um controlador de domínio para uma nova árvore de domínio
Criando um controlador de domínio adicional para um domínio existente
Crie controladores de domínio adicionais se quiser melhorar a disponibilidade e
confiabilidade dos serviços de rede. Adicionando outros controladores de domínio, você
pode oferecer tolerância a falhas, equilibrar a carga dos controladores de domínio
existentes, fornecer suporte de infra-estrutura adicional aos sites e melhorar o desempenho
facilitando a conexão dos clientes ao controlador de domínio quando eles fizerem logon na
rede. Por exemplo, conforme ilustrado abaixo, adicionar um novo controlador de domínio
(DC2) ao domínio microsoft.com ajuda a deslocar a carga de outros controladores de
domínio.
Configurando Controladores de Domínio
Este tópico explica o procedimento básico para criar um controlador de domínio adicional
para sua organização.
Este processo envolve o uso do Assistente para Configurar o Servidor e do Assistente
para Instalação do Active Directory para instalar o Active Directory no servidor. Quando
terminar de configurar o controlador de domínio, você pode concluir as tarefas de
configuração adicionais.
Este tópico aborda o seguinte:
Antes de começar
Configurando o controlador de domínio
Próximas etapas: Concluindo tarefas adicionais
Antes de começar
Antes de configurar o servidor como um controlador de domínio, verifique se:
As configurações de TCP/IP do servidor estão corretas, principalmente as usadas
para a resolução de nomes DNS. Para obter mais informações, consulte Configurar o
TCP/IP para usar DNS.
Todos os volumes de disco existentes usam o sistema de arquivos NTFS. O Active
Directory requer pelo menos um volume NTFS para armazenar a pasta SYSVOL e
seu conteúdo. Volumes FAT32 não são protegidos e não oferecem suporte à
compactação de arquivos e pastas, a cotas de disco, à criptografia de arquivos ou a
permissões de arquivo individuais.
O Firewall do Windows está habilitado. Para obter mais informações, consulte Ajuda:
Ativar Firewall do Windows sem exceções.
O Assistente de Configuração de Segurança está instalado e habilitado. Para obter
informações sobre o Assistente de Configuração de Segurança, consulte Visão geral
sobre o Assistente de Configuração de Segurança.
A tabela a seguir lista as informações que você precisa saber antes de adicionar o
controlador de domínio.
Antes de adicionar uma
função de controlador
de domínio
Comentários
Determine quais sites Se a sua rede estiver dividida em sites, recomenda-se
Configurando Controladores de Domínio
requerem um
controlador de domínio.
colocar pelo menos um controlador de domínio em cada
site para melhorar o desempenho da rede. Quando os
usuários fazem logon na rede, um controlador de domínio
deve ser contatado como parte do processo de logon. Se
os clientes tiverem que se conectar a um controlador de
domínio localizado em um local diferente, o processo de
logon pode demorar muito tempo.
Determine se irá
adicionar um outro
controlador de domínio
por meio da rede ou da
mídia de backup tirada
de um controlador de
domínio existente
Com a família Windows Server 2003, você pode instalar o
Active Directory em servidores membro usando um backup
restaurado obtido de um controlador de domínio que
executa o Windows Server 2003. Esse backup pode ser
armazenado em qualquer mídia de backup (como fita, CD
ou DVD) ou em um recurso de rede compartilhado. Usando
arquivos de backup restaurados para criar um controlador
de domínio adicional, você reduz significativamente a
largura de banda da rede utilizada quando você instala o
Active Directory com um recurso de rede compartilhado.
Ainda assim você precisará de conectividade de rede para
duplicar todos os novos objetos e mudanças recentes em
objetos existentes para o novo controlador de domínio.
Para obter mais informações sobre como criar um
controlador de domínio adicional usando a mídia de
backup, consulte Criando um controlador de domínio
adicional.
Determine se você
deseja que o novo
controlador de domínio
hospede um catálogo
global.
O catálogo global armazena uma cópia completa de todos
os objetos no diretório para seu domínio host e uma cópia
parcial de todos os objetos para todos os outros domínios
na floresta. Para otimizar o desempenho da rede em um
ambiente de vários sites, considere adicionar catálogos
globais para selecionar sites. Em um ambiente de um
único site, um único catálogo global normalmente é
suficiente para cobrir consultas comuns do Active
Directory. No entanto, em um ambiente de vários sites, é
recomendável que você use catálogos globais em cada
site. Para obter mais informações sobre quando adicionar
catálogos globais em um ambiente de vários sites,
consulte Catálogos globais e locais.
Estão disponíveis
controladores de
domínio que executam o
Windows 2000 ou o
Windows Server 2003.
O domínio deve ter pelo menos um outro controlador de
domínio que execute o Windows 2000 ou o Windows
Server 2003 para poder adicionar outro controlador de
domínio. Os controladores de domínio do Active Directory
não podem ser configurados como BCDs (controladores de
domínio de backup) para domínios do Windows NT.
Configurando Controladores de Domínio
Obtenha as credenciais
administrativas
necessárias para
adicionar um
controlador de domínio.
Para adicionar um controlador de domínio adicional a um
domínio existente, você deve ser membro do grupo
Admins. do Domínio ou do grupo Administradores da
empresa no Active Directory ou deve ter a autoridade
apropriada.
Identifique o nome de
domínio DNS do
domínio do Active
Directory ao qual você
deseja adicionar outro
controlador de domínio.
Você precisa fornecer o nome do domínio DNS ao utilizar o
Assistente para instalação do Active Directory.
Configurando o controlador de domínio
Para configurar um controlador de domínio, inicie o Assistente para Configurar o
Servidor seguindo um destes procedimentos:
Em Gerenciar o Servidor, clique em Adicionar ou remover uma função. Por
padrão, Gerenciar o Servidor é iniciado automaticamente quando você faz logon.
Para abrir Gerenciar o Servidor, clique em Iniciar e em Painel de Controle, clique
duas vezes em Ferramentas Administrativas e, em seguida, clique duas vezes
em Gerenciar o Servidor.
Para abrir o Assistente para Configurar o Servidor, clique em Iniciar, clique
em Painel de Controle, clique duas vezes em Ferramentas Administrativas e, em
seguida, clique duas vezes em Assistente para Configurar o Servidor.
Na página Função do Servidor, clique em Controlador de Domínio (Active Directory) e,
em seguida, clique em Avançar.
Esta seção descreve cada uma das etapas deste processo e indica as opções e decisões
necessárias que você fará quando configurar o controlador de domínio.
As seções a seguir abordam estas etapas da configuração:
Resumo das Seleções,
Usando o Assistente para Instalação do Active Directory
Concluindo o Assistente para Configurar o Servidor
Removendo a função do controlador de domínio
Resumo das Seleções,
Na página Resumo das Seleções do Assistente para Configurar o Servidor, você pode
exibir e confirmar as opções selecionadas. Se você selecionou Controlador de domínio
(Active Directory) na página anterior, aparecerá o seguinte:
Execute o Assistente para Instalação do Active Directory para configurar este
servidor como um controlador de domínio
Para aplicar as seleções mostradas na página Resumo das Seleções, clique em Avançar.
Usando o Assistente para Instalação do Active Directory
Depois que você clicar em Avançar, o Assistente para Instalação do Active Directory será
iniciado automaticamente. Se esta é a primeira vez que você instala o Active Directory em
Configurando Controladores de Domínio
um servidor, na página de boas-vindas do Assistente para Instalação do Active Directory,
clique em Ajuda do Active Directorypara obter mais informações sobre o Active Directory.
Depois de ler as informações sobre o Active Directory, clique em Avançar. Você pode
retornar a esta página a partir de qualquer local do assistente até clicar no
botão Concluir na última página. Na página Compatibilidade de Sistema Operacional,
leia as informações e, em seguida, clique em Avançar. Se esta for a primeira vez que você
instala o Active Directory em um servidor que executa o Windows Server 2003, clique
em Ajuda sobre Compatibilidade para obter mais informações.
Esta seção descreve as seguintes etapas do Assistente para Instalação do Active Directory:
Tipo de Controlador de Domínio
Credenciais de Rede
Controlador de Domínio Adicional
Pastas do Banco de Dados e do Log
Volume de Sistemas Compartilhados
Senha do Administrador do Modo de Restauração dos Serviços de Diretório
Resumo
Tipo de Controlador de Domínio
Na página Tipo do controlador de domínio, clique em Controlador de domínio para um
novo domínio.
Quando terminar, clique em Avançar.
Credenciais de Rede
Na página Credenciais de Rede, digite o nome de usuário, a senha e o domínio da conta
de usuário que deseja utilizar.
Opção Comentários
Nome de usuário Digite o nome de uma conta de usuário que possui as
credenciais administrativas necessárias. A conta de usuário deve
ser membro do grupo Admins. do Domínio (no domínio raiz da
floresta), ou membro do grupo Administração de Empresa, ou a
autoridade adequada foi delegada a você.
Senha Digite a senha da conta de usuário. A senha deve ser de alta
segurança. Para obter mais informações, consulte Senhas de
alta segurança.
Domínio Digite o nome DNS completo do domínio no qual este nome de
usuário e senha são válidos.
Controlador de Domínio Adicional
Na página Controlador de domínio adicional, digite o nome DNS completo do domínio ao
qual você deseja adicionar este controlador. Um nome de DNS completo também é
chamado de nome de domínio totalmente qualificado (FQDN). Os domínios do Active
Directory são chamados por nomes DNS e seguem a mesma estrutura hierárquica do DNS.
Quando terminar, clique em Avançar.
Pastas do Banco de Dados e do Log
Configurando Controladores de Domínio
Na página Pastas do banco de dados e log, digite o local no qual você deseja instalar as
pastas do banco de dados ou do log, ou clique em Procurar para escolher um local. Para
evitar problemas ao instalar ou remover o Active Directory, é importante confirmar se você
possui espaço suficiente em disco para hospedar o banco de dados e os arquivos de log do
diretório. O Assistente para Instalação do Active Directory requer 250 MB de espaço em
disco para o banco de dados e 50 MB para os arquivos de log. É recomendável que você
armazene esses arquivos em uma partição NTFS.
Quando terminar, clique em Avançar.
Volume de Sistemas Compartilhados
Na página Volume de sistema compartilhado, digite o local no qual você deseja instalar a
pasta Sysvol ou clique em Procurar para escolher um local. A pasta Sysvol deve ser
armazenada em um volume NTFS, pois contém arquivos que são duplicados entre
controladores de domínio de um domínio ou floresta. Esses arquivos incluem scripts,
diretivas de sistema do Windows NT 4.0 e de versões anteriores, os compartilhamentos
NETLOGON e SYSVOL e configurações da Diretiva de Grupo.
Quando terminar, clique em Avançar.
Senha do Administrador do Modo de Restauração dos Serviços de Diretório
Na página Senha do administrador do modo de restauração dos serviços de diretório,
digite e confirme a senha que você deseja atribuir à conta do Administrador do modo de
restauração para o servidor. Use senhas de alta segurança no modo de restauração de
diretório. Para obter mais informações, consulte Senhas de alta segurança.
Importante
É necessário conhecer essa senha para restaurar uma cópia de backup do Estado
do Sistema deste controlador de domínio.
Use esta senha quando o controlador de domínio for iniciado no Modo Restauração dos
Serviços de Diretório. Se esta for a primeira vez que você instala o Active Directory em um
servidor, clique em Ajuda do Active Directory para obter mais informações sobre a senha
do modo de restauração.
Quando terminar, clique em Avançar.
Resumo
Examine a página Resumo e clique em Avançar para iniciar a instalação.
Ao concluir a instalação, clique em Concluir. Para reiniciar o computador e implementar as
alterações, clique em Reiniciar agora.
Concluindo o Assistente para Configurar o Servidor
Após a reinicialização do servidor, o Assistente para configurar o servidor exibe a
página Este servidor agora é um controlador de domínio. Para revisar todas as
alterações feitas no servidor pelo Assistente para Configurar o Servidor ou para se certificar
de que uma nova função foi instalada com sucesso, clique em Log de Configuração do
Servidor. O log do Assistente para Configurar o Servidor localiza-se em
systemroot\Debug\Configure Your Server.log. Para fechar o Assistente para Configurar o
Servidor, clique em Concluir.
Depois que você concluir o Assistente para Configurar o Servidor, não deixe de acessar o
Windows Update para baixar quaisquer atualizações adicionais que estejam disponíveis.
Para obter mais informações, consulte Windows Update.
Além disso, você também deve executar o Assistente de Configuração de Segurança para
proteger ainda mais seu controlador de domínio. É possível executar o Firewall do Windows
Configurando Controladores de Domínio
em um controlador de domínio, mas apenas se você executar o Assistente de Configuração
de Segurança para instalá-lo e configurá-lo. Para obter mais informações,
consulte Assistente de Configuração de Segurança.
Removendo a função do controlador de domínio
Se for necessário reconfigurar seu servidor para uma outra função, você poderá remover
funções existentes do servidor. Removendo a função do controlador de domínio, você
desinstalará o Active Directory desse servidor. Após a desinstalação do Active Directory,
esse servidor não participará mais da duplicação de objetos de diretório e das solicitações
de autenticação de usuário com base no domínio.
Para remover a função de controlador de domínio, reinicie o Assistente para Configurar o
Servidor seguindo um destes procedimentos:
Em Gerenciar o Servidor, clique em Adicionar ou remover uma função. Por
padrão, Gerenciar o Servidor é iniciado automaticamente quando você faz logon.
Para abrir Gerenciar o Servidor, clique em Iniciar e em Painel de Controle, clique
duas vezes em Ferramentas Administrativas e, em seguida, clique duas vezes
em Gerenciar o Servidor.
Para abrir o Assistente para Configurar o Servidor, clique em Iniciar, em Painel de
Controle, clique duas vezes em Ferramentas Administrativas e, em seguida,
em Assistente para Configurar o Servidor.
Na página Função do Servidor, clique em Controlador de Domínio (Active Directory) e,
em seguida, clique em Avançar. Na página Confirmação de remoção de função, reveja
os itens listados em Resumo, marque a caixaRemover a função de controlador de
domínio e clique em Avançar. Depois, siga o procedimento do Assistente para Instalação
do Active Directory.
--------------------------------------------------------------------------------
Próximas etapas: Concluindo tarefas adicionais
Depois que você concluir o Assistente para instalação do Active Directory, o servidor é
configurado como um controlador de domínio. Você pode usá-lo para armazenar dados,
gerenciar objetos e fornecer informações aos usuários, computadores e aplicativos. Até este
ponto, você criou um novo domínio ou um controlador de domínio adicional de um domínio
existente.
A tabela a seguir lista algumas tarefas adicionais que você pode executar no controlador de
domínio.
Tarefa Objetivo da tarefa Referência
Proteja o novo
controlador de
domínio em uma
sala trancada.
Para assegurar que ninguém
acesse fisicamente o
controlador de domínio.
Controladores de
domínio; Protegendo o
Active Directory
Use técnicas de
criptografia de alta
Para proteger as informações
sobre senhas de contas
O utilitário de chave do
sistema
Configurando Controladores de Domínio
segurança. armazenadas no novo
controlador de domínio.
Criando um controlador de domínio para uma nova floresta
Crie um controlador de domínio para uma nova floresta quando quiser atualizar um domínio
do Windows NT para que ele se torne o primeiro domínio de uma nova floresta, segmentar
sua rede para obter autonomia administrativa, fornecer um limite de segurança para
proteger dados confidenciais, isolar o escopo da replicação de diretórios ou usar um
namespace DNS não contíguo que seja diferente de uma floresta existente na sua rede. Por
exemplo, conforme ilustrado abaixo, a floresta microsoft.com é o primeiro domínio do Active
Directory em uma organização.
Este tópico explica o procedimento básico para configurar um controlador de domínio para
uma nova floresta da sua organização.
Este processo envolve o uso do Assistente para Configurar o Servidor e do Assistente para
Instalação do Active Directory para instalar o Active Directory no servidor. Quando terminar
de configurar o controlador de domínio, você pode concluir as tarefas de configuração
adicionais.
Este tópico aborda o seguinte:
Antes de começar
Configurando o controlador de domínio
Próximas etapas: Concluindo tarefas adicionais
Antes de começar
Antes de configurar o servidor como um controlador de domínio, verifique se:
As configurações de TCP/IP do servidor estão corretas, principalmente as usadas
para a resolução de nomes DNS. Para obter mais informações, consulte Configurar o
TCP/IP para usar DNS.
Todos os volumes de disco existentes usam o sistema de arquivos NTFS. O Active
Directory requer pelo menos um volume NTFS para armazenar a pasta SYSVOL e
seu conteúdo. Volumes FAT32 não são protegidos e não oferecem suporte à
compactação de arquivos e pastas, a cotas de disco, à criptografia de arquivos ou a
permissões de arquivo individuais.
O Firewall do Windows está habilitado. Para obter mais informações, consulte Ajuda:
Ativar Firewall do Windows sem exceções.
O Assistente de Configuração de Segurança está instalado e habilitado. Para obter
informações sobre o Assistente de Configuração de Segurança, consulte Visão geral
sobre o Assistente de Configuração de Segurança.
Configurando Controladores de Domínio
A tabela a seguir lista as informações que você precisa saber antes de adicionar um
controlador de domínio a uma nova floresta.
Antes de adicionar uma
nova função de
controlador de domínio
a uma nova floresta
Comentários
Verifique se o DNS está
configurado
corretamente para sua
organização.
Você precisará confirmar que o DNS está adequadamente
configurado na rede e que oferece suporte para
atualizações dinâmicas e registros de recursos de
serviços (SRV). Se você estiver configurando o Active
Directory pela primeira vez em sua organização e não
possuir atualmente uma infra-estrutura DNS configurada,
o Assistente para instalação do Active Directory configura
o DNS no servidor durante o processo de instalação do
Active Directory. O Active Directory requer que o DNS
opere e compartilhe a mesma estrutura de domínio
hierárquica. Por exemplo, microsoft.com é um domínio
DNS e um domínio Active Directory.
Obtenha as credenciais
administrativas
necessárias para criar
uma floresta.
Para criar uma nova floresta, você deve ser membro do
grupo Administradores no computador local ou deve ter
recebido a delegação da autoridade adequada.
Configurando o controlador de domínio
Para configurar um controlador de domínio, inicie o Assistente para Configurar o Servidor
seguindo um destes procedimentos:
Em Gerenciar o Servidor, clique em Adicionar ou remover uma função. Por
padrão, Gerenciar o Servidor é iniciado automaticamente quando você faz logon.
Para abrir Gerenciar o Servidor, clique em Iniciar e em Painel de Controle, clique
duas vezes em Ferramentas Administrativas e, em seguida, clique duas vezes
em Gerenciar o Servidor.
Para abrir o Assistente para Configurar o Servidor, clique em Iniciar, em Painel de
Controle, clique duas vezes em Ferramentas Administrativas e, em seguida,
em Assistente para Configurar o Servidor.
Na página Função do Servidor, clique em Controlador de Domínio (Active Directory) e,
em seguida, clique em Avançar.
Esta seção descreve cada uma das etapas deste processo e indica as opções e decisões
necessárias que você fará quando configurar o controlador de domínio. As seções a seguir
abordam estas etapas da configuração:
Resumo das Seleções,
Usando o Assistente para Instalação do Active Directory
Concluindo o Assistente para Configurar o Servidor
Configurando Controladores de Domínio
Removendo a função do controlador de domínio
Resumo das Seleções,
Na página Resumo das Seleções do Assistente para Configurar o Servidor, você pode
exibir e confirmar as opções selecionadas. Se você selecionou Controlador de domínio
(Active Directory) na página anterior, aparecerá o seguinte:
Execute o Assistente para Instalação do Active Directory para configurar este
servidor como um controlador de domínio
Para aplicar as seleções mostradas na página Resumo das Seleções, clique em Avançar.
Usando o Assistente para Instalação do Active Directory
Depois que você clicar em Avançar, o Assistente para Instalação do Active Directory será
iniciado automaticamente. Se esta é a primeira vez que você instala o Active Directory em
um servidor, na página de boas-vindas do Assistente para Instalação do Active Directory,
clique em Ajuda do Active Directorypara obter mais informações sobre o Active Directory.
Depois de ler as informações sobre o Active Directory, clique em Avançar. Você pode
retornar a esta página a partir de qualquer local do assistente até clicar no
botão Concluir na última página. Na página Compatibilidade de Sistema Operacional,
leia as informações e, em seguida, clique em Avançar. Se esta for a primeira vez que você
instala o Active Directory em um servidor que executa o Windows Server 2003, clique
em Ajuda sobre Compatibilidade para obter mais informações.
Esta seção descreve as seguintes etapas do Assistente para Instalação do Active Directory:
Tipo de Controlador de Domínio
Criar Novo Domínio
Nome do Novo Domínio
Nome de Domínio NetBIOS
Pastas do Banco de Dados e do Log
Volume de Sistemas Compartilhados
Diagnósticos de Registro do DNS
Permissões
Senha do Administrador do Modo de Restauração dos Serviços de Diretório
Resumo
Tipo de Controlador de Domínio
Na página Tipo do controlador de domínio, clique em Controlador de domínio para um
novo domínio.
Quando terminar, clique em Avançar.
Criar Novo Domínio
Na página Criar novo domínio, clique em Domínio em uma nova floresta.
Quando terminar, clique em Avançar.
Nome do Novo Domínio
Na página Novo nome de domínio, digite o nome DNS completo do novo domínio. Forneça
um nome DNS completo para a nova floresta do Active Directory que você criará (por
exemplo, headquarters.example.microsoft.com). Um nome de DNS completo também é
chamado de nome de domínio totalmente qualificado (FQDN). Os domínios do Active
Directory são chamados por nomes DNS e seguem a mesma estrutura hierárquica do DNS.
Ao escolher nomes DNS para uso na floresta do Active Directory, inicie com o sufixo de
domínio DNS registrado que sua organização reservou para usar na Internet, como
microsoft.com.
Configurando Controladores de Domínio
Quando terminar, clique em Avançar.
Nome de Domínio NetBIOS
Na página Nome de Domínio NetBIOS, verifique o nome NetBIOS. Embora os domínios do
Active Directory sejam nomeados de acordo com padrões de nomeação do DNS, ainda será
necessário definir um nome NetBIOS ao criar domínios do Active Directory. Sempre que
possível, os nomes NetBIOS devem corresponder à primeira label do nome de domínio
DNS. Quando o domínio do Active Directory possui um nome DNS de primeira label
diferente do seu nome NetBIOS, o FQDN é criado usando o nome de domínio DNS, e não o
nome NetBIOS. Por exemplo, se a primeira label do nome de domínio DNS for "child"
(child.microsoft.com é o nome FQDN) e o nome de domínio NetBIOS for "vendas", o nome
FQDN permanecerá "child.microsoft.com".
Quando terminar, clique em Avançar.
Pastas do Banco de Dados e do Log
Na página Pastas do banco de dados e log, digite o local no qual você deseja instalar as
pastas do banco de dados ou do log, ou clique em Procurar para escolher um local. Para
evitar problemas ao instalar ou remover o Active Directory, é importante confirmar se você
possui espaço suficiente em disco para hospedar o banco de dados e os arquivos de log do
diretório. O Assistente para Instalação do Active Directory requer 250 MB de espaço em
disco para o banco de dados e 50 MB para os arquivos de log. É recomendável que você
armazene esses arquivos em uma partição NTFS.
Quando terminar, clique em Avançar.
Volume de Sistemas Compartilhados
Na página Volume de sistema compartilhado, digite o local no qual você deseja instalar a
pasta Sysvol ou clique em Procurar para escolher um local. A pasta Sysvol deve ser
armazenada em um volume NTFS, pois contém arquivos que são duplicados entre
controladores de domínio de um domínio ou floresta. Esses arquivos incluem scripts,
diretivas de sistema do Windows NT 4.0 e de versões anteriores, os compartilhamentos
NETLOGON e SYSVOL e configurações da Diretiva de Grupo.
Quando terminar, clique em Avançar.
Diagnósticos de Registro do DNS
Na página Diagnóstico de registro de DNS, verifique se as configurações do DNS estão
corretas.
Se aparecer um erro de diagnóstico em Resultados de diagnóstico, clique em Ajuda para
obter mais informações sobre como solucioná-lo
Quando terminar, clique em Avançar.
Permissões
Na página Permissões, clique no nível de compatibilidade de aplicativo desejado para os
sistemas operacionais Windows 2000, Windows Server 2003 ou anteriores ao
Windows 2000.
Em servidores que executam o Windows NT 4.0 e versões anteriores, o acesso de leitura
das informações de usuários e grupos é atribuído a usuários anônimos de forma que os
aplicativos existentes, incluindo o Microsoft BackOffice, o SQL Server e alguns aplicativos
que não são da Microsoft, funcionem corretamente. No Windows 2000 e na família Windows
Server 2003, os membros do grupo Logon Anônimo têm acesso de leitura a essas
informações somente quando o grupo é adicionado ao grupo Acesso Compatível com
Versões Anteriores ao Windows 2000.
Configurando Controladores de Domínio
Opção Comentários
Permissões compatíveis com
versões de sistemas operacionais
de servidor anteriores ao
Windows 2000
Clique nesta opção se desejar que o grupo
Logon Anônimo e os grupos de segurança
Todos sejam adicionados ao grupo Acesso
Compatível com Versões Anteriores ao
Windows 2000.
Permissões compatíveis somente
com os sistemas operacionais de
servidor Windows 2000 ou
Windows Server 2003
Clique nesta opção para impedir que membros
do grupo Logon Anônimo tenham acesso de
leitura às informações de usuários e de grupos.
Após selecionar uma dessas opções, você pode alternar manualmente entre as
configurações compatíveis com versões anteriores e as configurações de alta segurança
nos objetos do Active Directory. Para isso, abra Usuários e Computadores do Active
Directory e adicione o grupo de segurança Logon Anônimo ao grupo de segurança Acesso
Compatível com Versões Anteriores ao Windows 2000.
Quando terminar, clique em Avançar.
Senha do Administrador do Modo de Restauração dos Serviços de Diretório
Na página Senha do administrador do modo de restauração dos serviços de diretório,
digite e confirme a senha que você deseja atribuir à conta do Administrador do modo de
restauração para o servidor. Use senhas de alta segurança no modo de restauração de
diretório. Para obter mais informações, consulte Senhas de alta segurança.
Importante
É necessário conhecer essa senha para restaurar uma cópia de backup do Estado
do Sistema deste controlador de domínio.
Use esta senha quando o controlador de domínio for iniciado no Modo Restauração dos
Serviços de Diretório. Se esta for a primeira vez que você instala o Active Directory em um
servidor, clique em Ajuda do Active Directory para obter mais informações sobre a senha do
modo de restauração.
Quando terminar, clique em Avançar.
Resumo
Examine a página Resumo e clique em Avançar para iniciar a instalação.
Ao concluir a instalação, clique em Concluir. Para reiniciar o computador e implementar as
alterações, clique em Reiniciar agora.
Concluindo o Assistente para Configurar o Servidor
Após a reinicialização do servidor, o Assistente para configurar o servidor exibe a
página Este servidor agora é um controlador de domínio. Para revisar todas as
alterações feitas no servidor pelo Assistente para Configurar o Servidor ou para se certificar
de que uma nova função foi instalada com sucesso, clique em Log de Configuração do
Servidor. O log do Assistente para Configurar o Servidor localiza-se em
systemroot\Debug\Configure Your Server.log. Para fechar o Assistente para Configurar o
Servidor, clique em Concluir.
Configurando Controladores de Domínio
Depois que você concluir o Assistente para Configurar o Servidor, não deixe de acessar o
Windows Update para baixar quaisquer atualizações adicionais que estejam disponíveis.
Para obter mais informações, consulte Windows Update.
Além disso, você também deve executar o Assistente de Configuração de Segurança para
proteger ainda mais seu controlador de domínio. É possível executar o Firewall do Windows
em um controlador de domínio, mas apenas se você executar o Assistente de Configuração
de Segurança para instalá-lo e configurá-lo. Para obter mais informações,
consulte Assistente de Configuração de Segurança.
Removendo a função do controlador de domínio
Se for necessário reconfigurar seu servidor para uma outra função, você poderá remover
funções existentes do servidor. Removendo a função do controlador de domínio, você
desinstalará o Active Directory desse servidor. Após a desinstalação do Active Directory,
esse servidor não participará mais da duplicação de objetos de diretório e das solicitações
de autenticação de usuário com base no domínio.
Para remover a função de controlador de domínio, reinicie o Assistente para Configurar o
Servidor seguindo um destes procedimentos:
Em Gerenciar o Servidor, clique em Adicionar ou remover uma função. Por
padrão, Gerenciar o Servidor é iniciado automaticamente quando você faz logon.
Para abrir Gerenciar o Servidor, clique em Iniciar e em Painel de Controle, clique
duas vezes em Ferramentas Administrativas e, em seguida, clique duas vezes
em Gerenciar o Servidor.
Para abrir o Assistente para Configurar o Servidor, clique em Iniciar, em Painel de
Controle, clique duas vezes em Ferramentas Administrativas e, em seguida,
em Assistente para Configurar o Servidor.
Na página Função do servidor, clique em Controlador de domínio (Active Directory) e,
em seguida, clique em Avançar. Na página Confirmação de remoção de função, reveja
os itens listados em Resumo, marque a caixaRemover a função de controlador de
domínio e clique em Avançar. Depois, siga o procedimento do Assistente para Instalação
do Active Directory.
Próximas etapas: Concluindo tarefas adicionais
Depois que você concluir o Assistente para instalação do Active Directory, o servidor é
configurado como um controlador de domínio. Você pode usá-lo para armazenar dados,
gerenciar objetos e fornecer informações aos usuários, computadores e aplicativos. Até este
ponto, você criou um controlador de domínio para uma nova floresta.
A tabela a seguir lista algumas tarefas adicionais que você pode executar no controlador de
domínio.
Tarefa Objetivo da
tarefa Referência
Proteja o novo
controlador de
domínio em
Para assegurar
que ninguém
acesse
Controladores de domínio; Protegendo o
Active Directory
Configurando Controladores de Domínio
uma sala
trancada.
fisicamente o
controlador de
domínio.
Use técnicas
de criptografia
de alta
segurança.
Para proteger as
informações sobre
senhas de contas
armazenadas no
novo controlador
de domínio.
O utilitário de chave do sistema
Verificar e
autenticar a
validade de
cada usuário.
Para melhorar a
segurança da
floresta usando a
criptografia de
chave pública.
Infra-estrutura de Chave Pública
Force todos
os usuários do
domínio a
usar senhas
de alta
segurança.
Para evitar o
acesso não
autorizado à
organização.
Senhas de alta segurança
Habilite a
diretiva de
auditoria.
Para receber
notificação de
ações que podem
configurar um
risco de
segurança.
Diretiva de Auditoria
Aplique
bloqueios de
conta em
contas de
usuários.
Para reduzir a
possibilidade de
um invasor
comprometer seu
domínio depois de
repetidas
tentativas de
logon.
Contas de usuário e de computador
Aplique o
histórico de
senha em
contas de
usuários.
Para reduzir a
possibilidade de
um invasor
comprometer seu
domínio.
Aplicar histórico de senhas
Configurando Controladores de Domínio
Aplique
duração de
senha máxima
e mínima em
contas de
usuários.
Para reduzir a
possibilidade de
um invasor
comprometer seu
domínio.
Duração mínima da senha; Duração máxima
da senha.
Implemente a
Filtragem SID.
Para impedir
ataques de
usuários
maliciosos que
podem tentar
conceder direitos
de usuário
elevados a outra
conta de
computador.
Tópico sobre como usar a filtragem SID para
impedir o aumento de ataques de privilégio
no site da Microsoft
em http://go.microsoft.com/fwlink/?LinkID=75
82 (a página pode estar em inglês).
Implemente
cartões
inteligentes
Para fornecer
autenticação de
usuário e
segurança de
email resistente ao
uso.
Visão geral sobre cartões inteligentes
Restrinja
acesso do
usuário, grupo
e computador
aos recursos
compartilhado
s e filtrar as
configurações
de Diretiva de
Grupo.
Proteja os
recursos.
Tipos de grupos
Criar relações
de confiança
da floresta
(conforme
adequado)
Gerenciar a
relação de
segurança entre
duas florestas e
simplificar a
administração e a
autenticação entre
florestas.
Relações de confiança de floresta
Atribua Para definir Tipos de grupos
Configurando Controladores de Domínio
direitos de
usuário a
novos grupos
de segurança.
especificamente a
função
administrativa dos
membros do
domínio.
Criando um controlador de domínio para um novo domínio filho
Crie um controlador de domínio para um novo domínio filho quando desejar criar um
domínio que compartilhe um espaço para nome contíguo com um ou mais domínios
existentes. Isso significa que o nome do novo domínio contém o nome completo do domínio
pai. Por exemplo, conforme ilustrado abaixo, child.microsoft.com é um domínio filho de
microsoft.com. Recomendamos que você crie novos domínios como filhos do domínio raiz
da floresta.
Este tópico explica o procedimento básico para configurar um controlador de domínio para
um novo domínio filho de sua organização.
Este processo envolve o uso do Assistente para Configurar o Servidor e do Assistente para
Instalação do Active Directory para instalar o Active Directory no servidor. Quando terminar
de configurar o controlador de domínio, você pode concluir as tarefas de configuração
adicionais.
Este tópico aborda o seguinte:
Antes de começar
Configurando o controlador de domínio
Próximas etapas: Concluindo tarefas adicionais
Antes de começar
Antes de configurar o servidor como um controlador de domínio, verifique se:
Configurando Controladores de Domínio
As configurações de TCP/IP do servidor estão corretas, principalmente as usadas
para a resolução de nomes DNS. Para obter mais informações, consulte Configurar o
TCP/IP para usar DNS.
Todos os volumes de disco existentes usam o sistema de arquivos NTFS. O Active
Directory requer pelo menos um volume NTFS para armazenar a pasta SYSVOL e
seu conteúdo. Volumes FAT32 não são protegidos e não oferecem suporte à
compactação de arquivos e pastas, a cotas de disco, à criptografia de arquivos ou a
permissões de arquivo individuais.
O Firewall do Windows está habilitado. Para obter mais informações, consulte Ajuda:
Ativar Firewall do Windows sem exceções.
O Assistente de Configuração de Segurança está instalado e habilitado. Para obter
informações sobre o Assistente de Configuração de Segurança, consulte Visão geral
sobre o Assistente de Configuração de Segurança.
A tabela a seguir lista as informações que você precisa saber antes de adicionar o
controlador de domínio.
Antes de adicionar um
controlador de domínio Comentários
Identifique o nome de
domínio DNS do domínio do
Active Directory ao qual
você deseja adicionar o
controlador de domínio.
Você deve fornecer o nome do domínio DNS para o
domínio pai deste novo domínio filho.
Verifique se a velocidade da
rede é adequada ao instalar
o Active Directory.
O servidor no qual você deseja instalar o Active
Directory e criar um domínio filho deve ter acesso à
rede através de uma conexão de alta velocidade.
Determine quais sites
requerem um controlador
de domínio.
Se a sua rede estiver dividida em sites, recomenda-se
colocar pelo menos um controlador de domínio em
cada site para melhorar o desempenho da rede.
Quando os usuários fazem logon na rede, um
controlador de domínio deve ser contatado como parte
do processo de logon. Se os clientes tiverem que se
conectar a um controlador de domínio localizado em
um local diferente, o processo de logon pode demorar
muito tempo.
Determine se você deseja
que o novo controlador de
domínio hospede um
catálogo global.
Um catálogo global armazena uma cópia dos objetos
do Active Directory em uma floresta em um controlador
de domínio. O catálogo global armazena uma cópia
completa de todos os objetos no diretório para seu
domínio host e uma cópia parcial de todos os objetos
Configurando Controladores de Domínio
para todos os outros domínios na floresta. Para
otimizar o desempenho da rede em um ambiente de
vários sites, considere adicionar catálogos globais para
selecionar sites. Em um ambiente de um único site, um
único catálogo global normalmente é suficiente para
cobrir consultas comuns do Active Directory. No
entanto, em um ambiente de vários sites, é
recomendável que você use catálogos globais em cada
site. Para obter mais informações sobre quando
adicionar catálogos globais em um ambiente de vários
sites, consulte Catálogos globais e locais.
Obtenha as credenciais
administrativas necessárias
para criar um domínio filho.
Para adicionar um novo domínio filho, você deve ser
membro do grupo Admins. do Domínio (no domínio pai)
ou do grupo Administradores da empresa no Active
Directory ou deve ter recebido a autoridade apropriada
por delegação.
Configurando o controlador de domínio
Para configurar um controlador de domínio, inicie o Assistente para Configurar o Servidor
seguindo um destes procedimentos:
Em Gerenciar o Servidor, clique em Adicionar ou remover uma função. Por
padrão, Gerenciar o Servidor é iniciado automaticamente quando você faz logon.
Para abrir Gerenciar o Servidor, clique em Iniciar e em Painel de Controle, clique
duas vezes em Ferramentas Administrativas e, em seguida, clique duas vezes
em Gerenciar o Servidor.
Para abrir o Assistente para Configurar o Servidor, clique em Iniciar, em Painel de
Controle, clique duas vezes em Ferramentas Administrativas e, em seguida,
em Assistente para Configurar o Servidor.
Na página Função do Servidor, clique em Controlador de Domínio (Active Directory) e,
em seguida, clique em Avançar.
Esta seção descreve cada uma das etapas deste processo e indica as opções e decisões
necessárias que você fará quando configurar o controlador de domínio.
As seções a seguir abordam estas etapas da configuração:
Resumo das Seleções,
Usando o Assistente para Instalação do Active Directory
Concluindo o Assistente para Configurar o Servidor
Removendo a função do controlador de domínio
Resumo das Seleções,
Na página Resumo das Seleções do Assistente para Configurar o Servidor, você pode
exibir e confirmar as opções selecionadas. Se você selecionou Controlador de domínio
(Active Directory) na página anterior, aparecerá o seguinte:
Execute o Assistente para Instalação do Active Directory para configurar este
servidor como um controlador de domínio
Configurando Controladores de Domínio
Para aplicar as seleções mostradas na página Resumo das Seleções, clique em Avançar.
Usando o Assistente para Instalação do Active Directory
Depois que você clica em Avançar, o Assistente para Instalação do Active Directory é
iniciado automaticamente. Se esta é a primeira vez que você instala o Active Directory em
um servidor, na página de boas-vindas do Assistente para Instalação do Active Directory,
clique em Ajuda do Active Directorypara obter mais informações sobre o Active Directory.
Depois de ler as informações sobre o Active Directory, clique em Avançar. Você pode
retornar a esta página a partir de qualquer local do assistente até clicar no
botão Concluir na última página. Na página Compatibilidade de Sistema Operacional,
leia as informações e, em seguida, clique em Avançar. Se esta for a primeira vez que você
instala o Active Directory em um servidor que executa o Windows Server 2003, clique
em Ajuda sobre Compatibilidade para obter mais informações.
Esta seção descreve as seguintes etapas do Assistente para Instalação do Active Directory:
Tipo de Controlador de Domínio
Criar Novo Domínio
Credenciais de Rede
Instalação de Domínio Filho
Nome de Domínio NetBIOS
Pastas do Banco de Dados e do Log
Volume de Sistemas Compartilhados
Diagnósticos de Registro do DNS
Permissões
Senha do Administrador do Modo de Restauração dos Serviços de Diretório
Resumo
Tipo de Controlador de Domínio
Na página Tipo do controlador de domínio, clique em Controlador de domínio para um
novo domínio.
Quando terminar, clique em Avançar.
Criar Novo Domínio
Na página Criar novo domínio, clique em Domínio filho em uma árvore de domínio
existente.
Quando terminar, clique em Avançar.
Credenciais de Rede
Na página Credenciais de rede, digite o nome de usuário, a senha e o domínio da conta de
usuário que você deseja utilizar.
Opção Comentários
Nome de
usuário
Digite o nome de uma conta de usuário que possui as credenciais
administrativas necessárias. A conta de usuário deve ser membro do
grupo Admins. do Domínio (no domínio pai), ou membro do grupo
Administração de empresa, ou ter recebido delegação da autoridade
adequada.
Senha Digite a senha da conta de usuário. A senha deve ser de alta segurança.
Configurando Controladores de Domínio
Para obter mais informações, consulte Senhas de alta segurança.
Domínio Digite o nome DNS completo do domínio no qual este nome de usuário e
senha são válidos.
Quando terminar, clique em Avançar.
Instalação de Domínio Filho
Na página Instalação de domínio filho, verifique o domínio pai e o nome do novo domínio
filho. Os domínios do Active Directory são chamados por nomes DNS e seguem a mesma
estrutura hierárquica do DNS. Ao escolher nomes DNS a serem usados pelo domínio filho,
considere os nomes com escopo geográfico ou divisional dentro de sua organização (por
exemplo, newyork.microsoft.com ou vendas.microsoft.com).
Seguindo os padrões do DNS, os nomes de domínio são nomes totalmente qualificados
(FQDN), que consistem no nome do domínio anexado aos nomes dos domínios pai e
domínios raiz usando o formato de caracteres ponto (.). Por exemplo, um domínio do Active
Directory chamado "filho" e um domínio pai chamado "microsoft.com" possuem o FQDN
(também chamado de nome DNS completo) "filho.microsoft.com".
Quando terminar, clique em Avançar.
Nome de Domínio NetBIOS
Na página Nome de Domínio NetBIOS, verifique o nome NetBIOS. Embora os domínios do
Active Directory sejam nomeados de acordo com padrões de nomeação do DNS, ainda será
necessário definir um nome NetBIOS ao criar domínios do Active Directory. Sempre que
possível, os nomes NetBIOS devem corresponder à primeira label do nome de domínio
DNS. Quando o domínio do Active Directory possui um nome DNS de primeira label
diferente do seu nome NetBIOS, o FQDN é criado usando o nome de domínio DNS, e não o
nome NetBIOS. Por exemplo, se a primeira label do nome de domínio DNS for "child"
(child.microsoft.com é o nome FQDN) e o nome de domínio NetBIOS for "vendas", o nome
FQDN permanecerá "child.microsoft.com".
Pastas do Banco de Dados e do Log
Na página Pastas do Banco de Dados e Log, digite o local no qual você deseja instalar as
pastas do banco de dados e de log ou clique em Procurar para escolher um local e, em
seguida, clique em Avançar. Para evitar problemas ao instalar ou remover o Active
Directory, é importante confirmar se você possui espaço suficiente em disco para hospedar
o banco de dados e os arquivos de log do diretório. O Assistente para Instalação do Active
Directory requer 250 MB de espaço em disco para o banco de dados e 50 MB para os
arquivos de log. É recomendável que você armazene esses arquivos em uma partição
NTFS.
Quando terminar, clique em Avançar.
Volume de Sistemas Compartilhados
Na página Volume de sistema compartilhado, digite o local no qual você deseja instalar a
pasta Sysvol ou clique em Procurar para escolher um local. A pasta Sysvol deve ser
armazenada em um volume NTFS, pois contém arquivos que são duplicados entre
controladores de domínio de um domínio ou floresta. Esses arquivos incluem scripts,
diretivas de sistema do Windows NT 4.0 e de versões anteriores, os compartilhamentos
NETLOGON e SYSVOL e configurações da Diretiva de Grupo.
Quando terminar, clique em Avançar.
Diagnósticos de Registro do DNS
Configurando Controladores de Domínio
Na página Diagnóstico de registro de DNS, verifique se as configurações do DNS estão
corretas.
Se aparecer um erro de diagnóstico em Resultados de diagnóstico, clique em Ajuda para
obter mais informações sobre como solucioná-lo
Quando terminar, clique em Avançar.
Permissões
Na página Permissões, clique no nível de compatibilidade de aplicativo desejado para os
sistemas operacionais Windows 2000, Windows Server 2003 ou anteriores ao
Windows 2000.
Em servidores que executam o Windows NT 4.0 e versões anteriores, o acesso de leitura
das informações de usuários e grupos é atribuído a usuários anônimos de forma que os
aplicativos existentes, incluindo o Microsoft BackOffice, o SQL Server e alguns aplicativos
que não são da Microsoft, funcionem corretamente. No Windows 2000 e na família Windows
Server 2003, os membros do grupo Logon Anônimo têm acesso de leitura a essas
informações somente quando o grupo é adicionado ao grupo Acesso Compatível com
Versões Anteriores ao Windows 2000.
Opção Comentários
Permissões compatíveis com versões de sistemas operacionais de servidor
anteriores ao Windows 2000
Clique nesta opção se desejar que o grupo Logon Anônimo e os grupos de segurança Todos sejam adicionados ao
grupo Acesso Compatível com Versões Anteriores ao Windows 2000.
Permissões compatíveis somente com os sistemas operacionais de servidor
Windows 2000 ou Windows Server 2003
Clique nesta opção para impedir que membros do grupo Logon Anônimo tenham acesso de leitura às informações de
usuários e de grupos.
Após selecionar uma dessas opções, você pode alternar manualmente entre as
configurações compatíveis com versões anteriores e as configurações de alta segurança
nos objetos do Active Directory. Para isso, abra Usuários e Computadores do Active
Directory e adicione o grupo de segurança Logon Anônimo ao grupo de segurança Acesso
Compatível com Versões Anteriores ao Windows 2000.
Quando terminar, clique em Avançar.
Senha do Administrador do Modo de Restauração dos Serviços de Diretório
Na página Senha do administrador do modo de restauração dos serviços de diretório,
digite e confirme a senha que você deseja atribuir à conta do Administrador do modo de
restauração para o servidor. Use senhas de alta segurança no modo de restauração de
diretório. Para obter mais informações, consulte Senhas de alta segurança.
Importante
É necessário conhecer essa senha para restaurar uma cópia de backup do Estado
do Sistema deste controlador de domínio.
Use esta senha quando o controlador de domínio for iniciado no Modo Restauração dos
Serviços de Diretório. Se esta for a primeira vez que você instala o Active Directory em um
servidor, clique em Ajuda do Active Directory para obter mais informações sobre a senha
do modo de restauração.
Quando terminar, clique em Avançar.
Resumo
Configurando Controladores de Domínio
Examine a página Resumo e clique em Avançar para iniciar a instalação.
Ao concluir a instalação, clique em Concluir. Para reiniciar o computador e implementar as
alterações, clique em Reiniciar agora.
Concluindo o Assistente para Configurar o Servidor
Após a reinicialização do servidor, o Assistente para configurar o servidor exibe a
página Este servidor agora é um controlador de domínio. Para revisar todas as
alterações feitas no servidor pelo Assistente para Configurar o Servidor ou para se certificar
de que uma nova função foi instalada com sucesso, clique em Log de Configuração do
Servidor. O log do Assistente para Configurar o Servidor localiza-se em
systemroot\Debug\Configure Your Server.log. Para fechar o Assistente para Configurar o
Servidor, clique em Concluir.
Depois que você concluir o Assistente para Configurar o Servidor, não deixe de acessar o
Windows Update para baixar quaisquer atualizações adicionais que estejam disponíveis.
Para obter mais informações, consulte Windows Update.
Além disso, você também deve executar o Assistente de Configuração de Segurança para
proteger ainda mais seu controlador de domínio. É possível executar o Firewall do Windows
em um controlador de domínio, mas apenas se você executar o Assistente de Configuração
de Segurança para instalá-lo e configurá-lo. Para obter mais informações,
consulte Assistente de Configuração de Segurança.
Removendo a função do controlador de domínio
Se for necessário reconfigurar seu servidor para uma outra função, você poderá remover
funções existentes do servidor. Removendo a função do controlador de domínio, você
desinstalará o Active Directory desse servidor. Após a desinstalação do Active Directory,
esse servidor não participará mais da duplicação de objetos de diretório e das solicitações
de autenticação de usuário com base no domínio.
Para remover a função de controlador de domínio, reinicie o Assistente para Configurar o
Servidor seguindo um destes procedimentos:
Em Gerenciar o Servidor, clique em Adicionar ou remover uma função. Por
padrão, Gerenciar o Servidor é iniciado automaticamente quando você faz logon.
Para abrir Gerenciar o Servidor, clique em Iniciar e em Painel de Controle, clique
duas vezes em Ferramentas Administrativas e, em seguida, clique duas vezes
em Gerenciar o Servidor.
Para abrir o Assistente para Configurar o Servidor, clique em Iniciar, em Painel de
Controle, clique duas vezes em Ferramentas Administrativas e, em seguida,
em Assistente para Configurar o Servidor.
Na página Função do Servidor, clique em Controlador de Domínio (Active Directory) e,
em seguida, clique em Avançar. Na página Confirmação de remoção de função, reveja
os itens listados em Resumo, marque a caixaRemover a função de controlador de
domínio e clique em Avançar. Depois, siga o procedimento do Assistente para Instalação
do Active Directory.
Próximas etapas: Concluindo tarefas adicionais
Depois que você concluir o Assistente para instalação do Active Directory, o servidor é
configurado como um controlador de domínio. Você pode usá-lo para armazenar dados,
gerenciar objetos e fornecer informações aos usuários, computadores e aplicativos. Até este
ponto, você criou um novo domínio ou um controlador de domínio adicional de um domínio
existente.
Configurando Controladores de Domínio
A tabela a seguir lista algumas tarefas adicionais que você pode executar no controlador de
domínio.
Tarefa Objetivo da
tarefa Referência
Proteja o novo
controlador de
domínio em
uma sala
trancada.
Para assegurar
que ninguém
acesse
fisicamente o
controlador de
domínio.
Controladores de domínio; Protegendo o Active
Directory
Use técnicas
de criptografia
de alta
segurança.
Para proteger
as informações
sobre senhas
de contas
armazenadas
no novo
controlador de
domínio.
O utilitário de chave do sistema
Force todos
os usuários do
domínio a
usar senhas
de alta
segurança.
Para evitar o
acesso não
autorizado à
organização.
Senhas de alta segurança
Habilite a
diretiva de
auditoria.
Para receber
notificação de
ações que
podem
configurar um
risco de
segurança.
Diretiva de Auditoria
Aplique
bloqueios de
conta em
contas de
usuários.
Para reduzir a
possibilidade
de um invasor
comprometer
seu domínio
depois de
repetidas
tentativas de
Contas de usuário e de computador
Configurando Controladores de Domínio
logon.
Aplique o
histórico de
senha em
contas de
usuários.
Para reduzir a
possibilidade
de um invasor
comprometer
seu domínio.
Aplicar histórico de senhas
Aplique
duração de
senha máxima
e mínima em
contas de
usuários.
Para reduzir a
possibilidade
de um invasor
comprometer
seu domínio.
Duração mínima da senha; Duração máxima da
senha.
Implemente a
Filtragem SID.
Para impedir
ataques de
usuários
maliciosos que
podem tentar
conceder
direitos de
usuário
elevados a
outra conta de
computador.
Tópico sobre como usar a filtragem SID para
impedir o aumento de ataques de privilégio no
site da Microsoft
em http://go.microsoft.com/fwlink/?LinkID=7582
(a página pode estar em inglês).
Implemente
cartões
inteligentes
Para fornecer
autenticação
de usuário e
segurança de
resistente ao
uso.
Visão geral sobre cartões inteligentes
Restrinja
acesso do
usuário, grupo
e computador
aos recursos
compartilhado
s e filtrar as
configurações
de Diretiva de
Grupo.
Proteja os
recursos.
Tipos de grupos
Configurando Controladores de Domínio
Atribua
direitos de
usuário a
novos grupos
de segurança.
Para definir
especificament
e a função
administrativa
dos membros
do domínio.
Tipos de grupos
Criando um controlador de domínio para uma nova árvore de domínio
Crie um controlador de domínio para uma nova árvore de domínio quando quiser criar um
domínio que possua um espaço para nome DNS sem relação com os outros domínios da
floresta. Isso significa que o nome do domínio raiz da árvore (e todos os seus filhos) não
precisa conter o nome completo do domínio pai. Uma floresta pode conter uma ou mais
árvores de domínio. Por exemplo, conforme ilustrado abaixo, msn.com é uma nova árvore
de domínio da floresta microsoft.com.
Este tópico explica o procedimento básico para configurar um controlador de domínio para
uma nova árvore de domínio em sua organização.
Este processo envolve o uso do Assistente para Configurar o Servidor e do Assistente para
Instalação do Active Directory para instalar o Active Directory no servidor. Quando terminar
de configurar o controlador de domínio, você pode concluir as tarefas de configuração
adicionais.
Este tópico aborda o seguinte:
Antes de começar
Configurando o controlador de domínio
Próximas etapas: Concluindo tarefas adicionais
Antes de começar
Antes de configurar o servidor como um controlador de domínio, verifique se:
Configurando Controladores de Domínio
As configurações de TCP/IP do servidor estão corretas, principalmente as usadas
para a resolução de nomes DNS. Para obter mais informações, consulte Configurar o
TCP/IP para usar DNS.
Todos os volumes de disco existentes usam o sistema de arquivos NTFS. O Active
Directory requer pelo menos um volume NTFS para armazenar a pasta SYSVOL e
seu conteúdo. Volumes FAT32 não são protegidos e não oferecem suporte à
compactação de arquivos e pastas, a cotas de disco, à criptografia de arquivos ou a
permissões de arquivo individuais.
O Firewall do Windows está habilitado. Para obter mais informações, consulte Ajuda:
Ativar Firewall do Windows sem exceções.
O Assistente de Configuração de Segurança está instalado e habilitado. Para obter
informações sobre o Assistente de Configuração de Segurança, consulte Visão geral
sobre o Assistente de Configuração de Segurança.
A tabela a seguir lista as informações que você precisa saber antes de adicionar o
controlador de domínio.
Antes de adicionar uma
função de controlador
de domínio
Comentários
Verifique se a velocidade
da rede é adequada ao
instalar o Active
Directory.
O servidor no qual você deseja instalar o Active Directory
deve ter acesso à rede através de uma conexão de alta
velocidade.
Determine se você
deseja que o novo
controlador de domínio
hospede um catálogo
global.
Um catálogo global armazena uma cópia dos objetos do
Active Directory em uma floresta em um controlador de
domínio. O catálogo global armazena uma cópia completa
de todos os objetos no diretório para seu domínio host e
uma cópia parcial de todos os objetos para todos os
outros domínios na floresta. Para otimizar o desempenho
da rede em um ambiente de vários sites, considere
adicionar catálogos globais para selecionar sites. Em um
ambiente de um único site, um único catálogo global
normalmente é suficiente para cobrir consultas comuns do
Active Directory. No entanto, em um ambiente de vários
sites, é recomendável que você use catálogos globais em
cada site. Para obter mais informações sobre quando
adicionar catálogos globais em um ambiente de vários
sites, consulteCatálogos globais e locais.
Obtenha as credenciais
administrativas
necessárias para
Para criar uma nova árvore de domínio, você deve ser
membro do grupo Admins. do Domínio (no domínio raiz
da floresta) ou do grupo Administradores da empresa no
Configurando Controladores de Domínio
adicionar uma nova
árvore de domínio.
Active Directory ou deve ter recebido a autoridade
apropriada por delegação.
Configurando o controlador de domínio
Para configurar um controlador de domínio, inicie o Assistente para Configurar o Servidor
seguindo um destes procedimentos:
Em Gerenciar o Servidor, clique em Adicionar ou remover uma função. Por
padrão, Gerenciar o Servidor é iniciado automaticamente quando você faz logon.
Para abrir Gerenciar o Servidor, clique em Iniciar e em Painel de Controle, clique
duas vezes em Ferramentas Administrativas e, em seguida, clique duas vezes
em Gerenciar o Servidor.
Para abrir o Assistente para Configurar o Servidor, clique em Iniciar, em Painel de
Controle, clique duas vezes em Ferramentas Administrativas e, em seguida,
em Assistente para Configurar o Servidor.
Na página Função do Servidor, clique em Controlador de Domínio (Active Directory) e,
em seguida, clique em Avançar.
Esta seção descreve cada uma das etapas deste processo e indica as opções e decisões
necessárias que você fará quando configurar o controlador de domínio. As seções a seguir
abordam estas etapas da configuração:
Resumo das Seleções,
Usando o Assistente para Instalação do Active Directory
Concluindo o Assistente para Configurar o Servidor
Removendo a função do controlador de domínio
Resumo das Seleções,
Na página Resumo das Seleções do Assistente para Configurar o Servidor, você pode exibir
e confirmar as opções selecionadas. Se você selecionou Controlador de domínio (Active
Directory) na página anterior, aparecerá o seguinte:
Execute o Assistente para Instalação do Active Directory para configurar este
servidor como um controlador de domínio
Para aplicar as seleções mostradas na página Resumo das Seleções, clique em Avançar.
Usando o Assistente para Instalação do Active Directory
Depois que você clica em Avançar, o Assistente para Instalação do Active Directory é
iniciado automaticamente. Se esta é a primeira vez que você instala o Active Directory em
um servidor, na página de boas-vindas do Assistente para Instalação do Active Directory,
clique em Ajuda do Active Directorypara obter mais informações sobre o Active Directory.
Depois de ler as informações sobre o Active Directory, clique em Avançar. Você pode
retornar a esta página a partir de qualquer local do assistente até clicar no
botão Concluir na última página. Na página Compatibilidade de Sistema Operacional,
leia as informações e, em seguida, clique em Avançar. Se esta for a primeira vez que você
instala o Active Directory em um servidor que executa o Windows Server 2003, clique
em Ajuda sobre Compatibilidade para obter mais informações.
Esta seção descreve as seguintes etapas do Assistente para Instalação do Active Directory:
Tipo de Controlador de Domínio
Criar Novo Domínio
Configurando Controladores de Domínio
Credenciais de Rede
Nova Árvore de Domínio
Nome de Domínio NetBIOS
Pastas do Banco de Dados e do Log
Volume de Sistemas Compartilhados
Diagnósticos de Registro do DNS
Permissões
Senha do Administrador do Modo de Restauração dos Serviços de Diretório
Resumo
Tipo de Controlador de Domínio
Na página Tipo de Controlador de Domínio, clique em Controlador de domínio para um
novo domínio.
Quando terminar, clique em Avançar.
Criar Novo Domínio
Na página Criar Novo Domínio, clique em Árvore de domínio em uma floresta existente.
Quando terminar, clique em Avançar.
Credenciais de Rede
Na página Credenciais de Rede, digite o nome de usuário, a senha e o domínio da conta
de usuário que deseja utilizar.
Opção Comentários
Nome de
usuário
Digite o nome de uma conta de usuário que possui as credenciais
administrativas necessárias. A conta de usuário deve ser membro do
grupo Admins. do Domínio (no domínio raiz da floresta), ou membro do
grupo Administração de empresa, ou ter recebido delegação da
autoridade adequada.
Senha Digite a senha da conta de usuário. A senha deve ser de alta segurança.
Para obter mais informações, consulte Senhas de alta segurança.
Domínio Digite o nome DNS completo do domínio no qual este nome de usuário e
senha são válidos.
Nova Árvore de Domínio
Na página Novo nome de domínio, digite o nome DNS completo da nova árvore de
domínio. Forneça um nome DNS completo para a nova árvore de domínio que você deseja
criar. Os domínios do Active Directory são chamados por nomes DNS e seguem a mesma
estrutura hierárquica do DNS.
Seguindo os padrões do DNS, os nomes de domínio são nomes totalmente qualificados
(FQDN), que consistem no nome do domínio anexado aos nomes dos domínios pai e
domínios raiz usando o formato de caracteres ponto (.). Não é recomendável usar um único
nome DNS de rótulo para um nome de domínio do Active Directory. Um único nome DNS de
rótulo é um nome sem um nome de domínio pai ou de raiz.
Quando terminar, clique em Avançar.
Nome de Domínio NetBIOS
Configurando Controladores de Domínio
Na página Nome de Domínio NetBIOS, verifique o nome NetBIOS. Embora os domínios do
Active Directory sejam nomeados de acordo com padrões de nomeação do DNS, ainda será
necessário definir um nome NetBIOS ao criar domínios do Active Directory. Sempre que
possível, os nomes NetBIOS devem corresponder à primeira label do nome de domínio
DNS. Quando o domínio do Active Directory possui um nome DNS de primeira label
diferente do seu nome NetBIOS, o FQDN é criado usando o nome de domínio DNS, e não o
nome NetBIOS. Por exemplo, se a primeira label do nome de domínio DNS for "child"
(child.microsoft.com é o nome FQDN) e o nome de domínio NetBIOS for "vendas", o nome
FQDN permanecerá "child.microsoft.com".
Quando terminar, clique em Avançar.
Pastas do Banco de Dados e do Log
Na página Pastas do banco de dados e log, digite o local no qual você deseja instalar as
pastas do banco de dados ou do log, ou clique em Procurar para escolher um local. Para
evitar problemas ao instalar ou remover o Active Directory, é importante confirmar se você
possui espaço suficiente em disco para hospedar o banco de dados e os arquivos de log do
diretório. O Assistente para Instalação do Active Directory requer 250 MB de espaço em
disco para o banco de dados e 50 MB para os arquivos de log. É recomendável que você
armazene esses arquivos em uma partição NTFS.
Quando terminar, clique em Avançar.
Volume de Sistemas Compartilhados
Na página Volume de sistema compartilhado, digite o local no qual você deseja instalar a
pasta Sysvol ou clique em Procurar para escolher um local. A pasta Sysvol deve ser
armazenada em um volume NTFS, pois contém arquivos que são duplicados entre
controladores de domínio de um domínio ou floresta. Esses arquivos incluem scripts,
diretivas de sistema do Windows NT 4.0 e de versões anteriores, os compartilhamentos
NETLOGON e SYSVOL e configurações da Diretiva de Grupo.
Quando terminar, clique em Avançar.
Diagnósticos de Registro do DNS
Na página Diagnóstico de registro de DNS, verifique se as configurações do DNS estão
corretas.
Se aparecer um erro de diagnóstico em Resultados de diagnóstico, clique em Ajuda para
obter mais informações sobre como solucioná-lo
Quando terminar, clique em Avançar.
Permissões
Na página Permissões, clique no nível de compatibilidade de aplicativo desejado para os
sistemas operacionais Windows 2000, Windows Server 2003 ou anteriores ao
Windows 2000.
Em servidores que executam o Windows NT 4.0 e versões anteriores, o acesso de leitura
das informações de usuários e grupos é atribuído a usuários anônimos de forma que os
aplicativos existentes, incluindo o Microsoft BackOffice, o SQL Server e alguns aplicativos
que não são da Microsoft, funcionem corretamente. No Windows 2000 e na família Windows
Server 2003, os membros do grupo Logon Anônimo têm acesso de leitura a essas
informações somente quando o grupo é adicionado ao grupo Acesso Compatível com
Versões Anteriores ao Windows 2000.
Configurando Controladores de Domínio
Opção Comentários
Permissões compatíveis com
versões de sistemas operacionais
de servidor anteriores ao
Windows 2000
Clique nesta opção se desejar que o grupo
Logon Anônimo e os grupos de segurança
Todos sejam adicionados ao grupo Acesso
Compatível com Versões Anteriores ao
Windows 2000.
Permissões compatíveis somente
com os sistemas operacionais de
servidor Windows 2000 ou
Windows Server 2003
Clique nesta opção para impedir que membros
do grupo Logon Anônimo tenham acesso de
leitura às informações de usuários e de grupos.
Após selecionar uma dessas opções, você pode alternar manualmente entre as
configurações compatíveis com versões anteriores e as configurações de alta segurança
nos objetos do Active Directory. Para isso, abra Usuários e Computadores do Active
Directory e adicione o grupo de segurança Logon Anônimo ao grupo de segurança Acesso
Compatível com Versões Anteriores ao Windows 2000.
Senha do Administrador do Modo de Restauração dos Serviços de Diretório
Na página Senha do administrador do modo de restauração dos serviços de diretório,
digite e confirme a senha que você deseja atribuir à conta do Administrador do modo de
restauração para o servidor. Use senhas de alta segurança no modo de restauração de
diretório. Para obter mais informações, consulte Senhas de alta segurança.
Importante
É necessário conhecer essa senha para restaurar uma cópia de backup do Estado
do Sistema deste controlador de domínio.
Use esta senha quando o controlador de domínio for iniciado no Modo Restauração dos
Serviços de Diretório. Se esta for a primeira vez que você instala o Active Directory em um
servidor, clique em Ajuda do Active Directory para obter mais informações sobre a senha
do modo de restauração.
Quando terminar, clique em Avançar.
Resumo
Examine a página Resumo e clique em Avançar para iniciar a instalação.
Ao concluir a instalação, clique em Concluir. Para reiniciar o computador e implementar as
alterações, clique em Reiniciar agora.
Concluindo o Assistente para Configurar o Servidor
Após a reinicialização do servidor, o Assistente para configurar o servidor exibe a
página Este servidor agora é um controlador de domínio. Para revisar todas as
alterações feitas no servidor pelo Assistente para Configurar o Servidor ou para se certificar
de que uma nova função foi instalada com sucesso, clique em Log de Configuração do
Servidor. O log do Assistente para Configurar o Servidor localiza-se em
systemroot\Debug\Configure Your Server.log. Para fechar o Assistente para Configurar o
Servidor, clique em Concluir.
Configurando Controladores de Domínio
Depois que você concluir o Assistente para Configurar o Servidor, não deixe de acessar o
Windows Update para baixar quaisquer atualizações adicionais que estejam disponíveis.
Para obter mais informações, consulte Windows Update.
Além disso, você também deve executar o Assistente de Configuração de Segurança para
proteger ainda mais seu controlador de domínio. É possível executar o Firewall do Windows
em um controlador de domínio, mas apenas se você executar o Assistente de Configuração
de Segurança para instalá-lo e configurá-lo. Para obter mais informações,
consulte Assistente de Configuração de Segurança.
Removendo a função do controlador de domínio
Se for necessário reconfigurar seu servidor para uma outra função, você poderá remover
funções existentes do servidor. Removendo a função do controlador de domínio, você
desinstalará o Active Directory desse servidor. Após a desinstalação do Active Directory,
esse servidor não participará mais da duplicação de objetos de diretório e das solicitações
de autenticação de usuário com base no domínio.
Para remover a função de controlador de domínio, reinicie o Assistente para Configurar o
Servidor seguindo um destes procedimentos:
Em Gerenciar o Servidor, clique em Adicionar ou remover uma função. Por
padrão, Gerenciar o Servidor é iniciado automaticamente quando você faz logon.
Para abrir Gerenciar o Servidor, clique em Iniciar e em Painel de Controle, clique
duas vezes em Ferramentas Administrativas e, em seguida, clique duas vezes
em Gerenciar o Servidor.
Para abrir o Assistente para Configurar o Servidor, clique em Iniciar, em Painel de
Controle, clique duas vezes em Ferramentas Administrativas e, em seguida,
em Assistente para Configurar o Servidor.
Na página Função do Servidor, clique em Controlador de Domínio (Active Directory) e,
em seguida, clique em Avançar. Na página Confirmação de remoção de função, reveja
os itens listados em Resumo, marque a caixaRemover a função de controlador de
domínio e clique em Avançar. Depois, siga o procedimento do Assistente para Instalação
do Active Directory.
Próximas etapas: Concluindo tarefas adicionais
Depois que você concluir o Assistente para instalação do Active Directory, o servidor é
configurado como um controlador de domínio. Você pode usá-lo para armazenar dados,
gerenciar objetos e fornecer informações aos usuários, computadores e aplicativos. Até este
ponto, você criou um novo domínio ou um controlador de domínio adicional de um domínio
existente.
A tabela a seguir lista algumas tarefas adicionais que você pode executar no controlador de
domínio.
Tarefa Objetivo da
tarefa Referência
Proteja o novo
controlador de
Para assegurar
que ninguém
Controladores de domínio; Protegendo o Active
Directory
Configurando Controladores de Domínio
domínio em
uma sala
trancada.
acesse
fisicamente o
controlador de
domínio.
Use técnicas
de criptografia
de alta
segurança.
Para proteger
as informações
sobre senhas
de contas
armazenadas
no novo
controlador de
domínio.
O utilitário de chave do sistema
Force todos
os usuários do
domínio a
usar senhas
de alta
segurança.
Para evitar o
acesso não
autorizado à
organização.
Senhas de alta segurança
Habilite a
diretiva de
auditoria.
Para receber
notificação de
ações que
podem
configurar um
risco de
segurança.
Diretiva de Auditoria
Aplique
bloqueios de
conta em
contas de
usuários.
Para reduzir a
possibilidade
de um invasor
comprometer
seu domínio
depois de
repetidas
tentativas de
logon.
Contas de usuário e de computador
Aplique o
histórico de
senha em
contas de
usuários.
Para reduzir a
possibilidade
de um invasor
comprometer
seu domínio.
Aplicar histórico de senhas
Aplique Para reduzir a Duração mínima da senha; Duração máxima da
Configurando Controladores de Domínio
duração de
senha máxima
e mínima em
contas de
usuários.
possibilidade
de um invasor
comprometer
seu domínio.
senha.
Implemente a
Filtragem SID.
Para impedir
ataques de
usuários
maliciosos que
podem tentar
conceder
direitos de
usuário
elevados a
outra conta de
computador.
Tópico sobre como usar a filtragem SID para
impedir o aumento de ataques de privilégio no
site da Microsoft
em http://go.microsoft.com/fwlink/?LinkID=7582
(a página pode estar em inglês).
Implemente
cartões
inteligentes
Para fornecer
autenticação
de usuário e
segurança de
resistente ao
uso.
Visão geral sobre cartões inteligentes
Restrinja
acesso do
usuário, grupo
e computador
aos recursos
compartilhado
s e filtrar as
configurações
de Diretiva de
Grupo.
Proteja os
recursos.
Tipos de grupos
Atribua
direitos de
usuário a
novos grupos
de segurança.
Para definir
especificament
e a função
administrativa
dos membros
do domínio.
Tipos de grupos