Microsoft MCSA – 70-410 – Administrar o Active Directory – parte3

0 Flares 0 Flares ×

Este post faz parte da série de estudos para o exame 70-410 da certificação Microsoft MCSA do Windows Server 2012 R2.

Hoje continuamos vendo mais detalhes sobre o Active Directory, esse é o terceiro post deste tópico.

Se quer acessar o primeiro post clique aqui.

Neste post veremos os objetos do AD.

No próximo post veremos as propriedades dos objetos dentro do Active Directory.

Então vamos ao conteúdo…

 

 

Criar e Gerenciar Objetos do Active Directory

Agora que você está familiarizado com a tarefa de criar OUs, você deverá achar a criação e gerenciamento de outros objetos do Active Directory bem simples. As próximas sessões examinam os detalhes.

 

Visão Geral dos Objetos do Active Directory

Quando você instala e configura um controlador de domínio, o Active Directory configura uma estrutura organizacional para você, e você pode criar e gerenciar diversos tipos de objetos.

 

Organização do Active Directory

Quando você olha para a sua estrutura do Active Directory, você vê objetos que parecem pastas no Explorador de Arquivos. Estes objetos são containers ou Unidades Organizacionais (OUs). A diferença é que uma OU é um container no qual você pode vincular uma GPO. Contêineres normais não podem ter GPOs vinculadas a eles. É isso que torna uma OU um container especial.

Por padrão, após instalar e configurar um controlador de domínio, você verá as seguintes seções organizacionais dentro da ferramenta Usuários e Computadores do Active Directory (elas parecem pastas):

Built-In  O container Built-In inclui todos os grupos padrão que são instalados por padrão quando você promove um controlador de domínio. Você pode usar esses grupos para administrar os servidores no seu ambiente. Exemplos incluem os grupos Administradores, Operadores de Backup e Operadores de Impressão.

Computadores  Por padrão, o container Computadores contém uma lista das estações de trabalho no seu domínio. A partir daqui, você pode gerenciar todos os computadores no seu domínio.

Controladores de Domínio  A OU Controladores de Domínio  inclui uma lista de todos os controladores de domínio do seu domínio.

Entidades de Segurança Externas  Os containers Entidades de Segurança Externas  (Foreign Security Principals) são quaisquer objetos nos quais podem ser atribuídos segurança e que não fazem parte do mesmo domínio. Entidades de Segurança são objetos do Active Directory aos quais permissões podem ser aplicadas e eles podem ser usados para gerenciar permissões no Active Directory.

Contas de Serviços Gerenciados  O container Contas de Serviços Gerenciados  (Managed Service Accounts) é um container novo no Windows Server 2012 R2. Contas de Serviço são contas criadas para executar serviços específicos como o Exchange e o SQL Server. Ter um container Contas de Serviços Gerenciados te permite controlar melhor as contas de serviços e portanto permite uma maior segurança nas contas de serviço.

Usuários  O contêiner Usuários contém todas as contas de segurança que fazem parte do domínio. Quando você instala o controlador de domínio pela 1ª vez, haverão diversos grupos neste container.
Por exemplo, o grupo Administradores do Domínio e a conta Administrador são criadas neste container.

Você deve querer proteger a conta Administrador. Você deve renomear essa conta e assegurar que a senha é complexa. Contas de administrador protegidas podem tornar sua rede mais segura. Todo hacker sabe que existe uma conta Administrador por padrão no servidor. Torne sua rede mais segura protegendo a conta Administrador.

 

 

Objetos do Active Directory

Você pode criar e gerenciar diversos tipos diferentes de objetos do Active Directory. Segue abaixo uma lista com os tipos de objetos existentes.

Computador  Objetos Computador representam estações de trabalho que fazem parte do domínio do Active Directory. Todos os computadores dentro de um domínio compartilham o mesmo banco de dados de segurança, incluindo informação de usuário e de grupo. Objetos Computador são úteis para gerenciar permissões de segurança e impor restrições de Política de Grupo.

Contato  Objetos Contato normalmente são usados dentro de OUs para especificar o contato administrativo principal. Contatos não são entidades de segurança como usuários. Eles são usados para especificar informação sobre indivíduos fora da organização.

Grupo  Objetos Grupos são coleções lógicas de usuários primariamente para atribuir permissões de segurança em recursos. Quando gerenciar usuários, você deve colocá-los em grupos e então atribuir as permissões para o grupo. Isso permite um gerenciamento flexível sem a necessidade de configurar permissões para usuários individuais.

InetOrgPerson  Esse é um objeto do Active Directory que define atributos de usuários em diretórios do tipo X.500 e LDAP (Lightweight Directory Access Protocol)

MSIMagins-PSPs  Esse é um container para todos os objetos Scan Post Scan Process de toda a empresa.

MSMQ Queue Alias  Esse é um objeto para o tipo de classe MSMQ-Custom-Recipient. O objeto Microsoft Message Queuing (MSMQ) Queue Alias (apelido de fila) associa um caminho do Active Directory e um apelido definido por usuário com um formato de nome de elemento único público, privado ou direto. Isso permite que um apelido de fila seja usado para referenciar uma fila que pode não estar listada no AD DS.

Unidade Organizacional  Um objeto OU é criado para construir uma hierarquia dentro do domínio do Active Directory. É a menor unidade que pode ser usada para criar grupamentos administrativos, e pode ser usada para aplicar políticas de grupo. Em geral,  a estrutura de OU dentro de um domínio reflete a organização de negócios de uma empresa.

Impressora  Esses objetos mapeiam dispositivos de impressão.

Pasta Compartilhada  Esses objetos mapeiam compartilhamentos de servidor. São usados  para organizar os vários recursos de arquivos que podem estar disponíveis em servidores de arquivos e de impressão. Frequentemente, objetos Pasta Compartilhada são usados para dar nomes lógicos a coleções de arquivos específicas. Por exemplo, administradores de sistemas podem criar pastas compartilhadas separadas para aplicações comuns, dados de usuários, e arquivos públicos compartilhados.

Usuário  Um objeto Usuário é a entidade de segurança fundamental na qual o Active Directory é baseado. Contas de usuários contêm informações sobre indivíduos assim como senha e outras informações de permissão.

 

Criar Objetos usando a ferramenta Usuários e Computadores do Active Directory

No exercício abaixo, vemos os passos necessários para criar diversos objetos dentro de um domínio do Active Directory. Neste exercício criamos alguns objetos básicos do Active Directory. Para completar este exercício, você deve ter acesso a pelo menos um controlador de domínio do Active Directory, e você deve ter completado os exercícios anteriores deste tópico.

Criar Objetos do Active Directory

  1. Abra o console do Usuários e Computadores do Active Directory.
  2. Expanda o domínio atual para mostrar os objetos contidos dentro dele. Para este exercício iremos usar as OUs de segundo e terceiro nível dentro da OU América do Norte.
  3. Clique com o botão direito na OU Escritório Central e clique em Novo > Usuário. Preencha as seguintes informações:
    • Primeiro Nome: Maria
    • Inicial: D
    • Último Nome: Santos
    • Nome Completo: deixe como está
    • Nome de logon do usuário: mdsantos (deixe o domínio padrão)
    • Clique em Próximo para continuar
  4. Informe uma senha e confirme.
  5. Finalize a criação do usuário.
  6. Clique no container P&D e crie outro usuário com as seguintes informações:
    • Primeiro Nome: João
    • Inicial: Q
    • Último Nome: Silva
    • Nome Completo: deixe como está
    • Nome de logon do usuário: jqsilva (deixe o domínio padrão)
    • Clique em Próximo para continuar
  7. Informe uma senha e confirme.
  8. Finalize a criação do usuário
  9. Clique com o botão direito na OU P&D  e clique em Novo > Contato. Preencha as seguintes informações:
    • Primeiro Nome: Jane
    • Inicial: R
    • Último Nome: Admin
    • Nome para exibição: jradmin
    • Clique em OK para criar o novo objeto Contato
  10. Clique com o botão direito na OU P&D e clique em Novo > Pasta Compartilhada. Digite o nome Software e no caminho de rede digite \\server1\sistemas ( também conhecido como caminho UNC – Universal Naming Convention – Convenção Universal de Nomenclatura). Note que você pode criar o objeto mesmo que esse recurso (o servidor) não exista. Clique em OK para criar o objeto Pasta Compartilhada.
  11. Clique com o botão direito na OU RH e clique em Novo > Grupo. Digite Todos os usuários como nome do grupo. Configure o tipo do grupo como Segurança e o Escopo como Global. Clique em OK para criar o grupo.
  12. Clique com o botão direito na OU Vendas e clique em Novo > Computador. Informe o nome PC1. Note que o nome pré-Windows2000 é preenchido por padrão e  que os membros do grupo Administradores do Domínio são os únicos que conseguem por padrão adicionar este computador no domínio. Clique no item Atribuir esta conta de computador como um computador pré-Windows 2000.
  13. Feche o console Usuários e Computadores do Active Directory.

 

Configurar o Nome Principal de Usuário

Quando você faz logon em um domínio, o seu nome de logon parece com um endereço de email (por exemplo thiago@wise1.com). Isso é chamado de nome principal de usuário (user principal name – UPN). O UPN é o nome seguido de @ e do nome do domínio. Na hora em que o usuário é criado, o sufixo UPN é gerado por padrão. O UPN é criado como nomeusuario@nomedomínio, mas um administrador pode alterar o UPN. Se sua floresta possui vários domínios e você precise alterar o UPN para um outro domínio, você pode fazê-lo. Para mudar o sufixo UPN, no Usuários e Computadores do Active Directory, escolha um usuário e abra suas propriedades. Escolha a aba Editor de Atributos. Role a tela para baixo até o atributo userPrincipalName e faça suas mudanças. Essas mudanças então são replicadas para o Catálogo Global.

 

Se sua organização possui múltiplas florestas configuradas com relações de confiança. Você não pode mudar o UPN para um domínio em outras florestas. Catálogos Globais são usados para fazer o logon de usuários. Como UPNs são replicados apenas para os Catálogos Globais da própria floresta, você não pode fazer logon em outras florestas usando o UPN.

 

Usando Modelos

Modelos de usuário permitem que um administrador do Active Directory crie uma conta padrão (por exemplo, modelo_TI) e use essa conta como base para criar todas as outras contas que correspondem com ela (toda a equipe de TI).

Se você está criando várias contas, isso pode te economizar muito tempo e recursos. Por exemplo, se você precisa adicionar 20 novas pessoas na equipe de TI, você cria um modelo para a TI e usa uma cópia deste modelo para todas as outras novas contas. Isso te tira do problema de preencher os mesmos campos repetidas vezes. Quando você copia um modelo, algumas das informações não são copiadas. Isso acontece com as informações específicas de cada usuário. Aqui estão alguns dos campos que não são preenchidos.

  • Nome
  • Nome de Logon
  • Senha
  • Email
  • Telefones
  • Descrição
  • Escritório
  • Página da Web

Muitos dos campos importantes como Membro de (os grupos a que o usuário pertence), Caminho de perfil, Departamento e Empresa são todos copiados. Existe uma coisa importante a ser feita quando usamos modelos: a conta de modelo deve ser desabilitada após sua criação. Você não quer ninguém usando essa conta para acessar sua rede. Abaixo criamos um modelo para usar no seu departamento de Vendas.

 

Criando um Modelo de Usuário

  1. Abra o Usuários e Computadores do Active Directory
  2. Expanda o domínio atual e navegue até a OU Vendas, clique com o botão direito sobre ela e selecione Novo > Usuário.
  3. Preencha os dados abaixo:
    • Primeiro Nome: Vendas
    • Último Nome: Modelo
    • Nome de usuário: modelo_vendas
    • Senha: Senh@123!
  4. Clique em Próximo e depois em Finalizar.
  5. Abra as propriedades do usuário Modelo Vendas.
  6. Na aba Geral preencha os itens abaixo:
    • Descrição: Conta de Modelo
    • Escritório: Escritório Central
    • Telefone: 99-9999-9999
    • Email: vendas@w1.com
    • Web: www.wise1.com.br
  7. Clique na aba Perfil. No campo Caminho de Perfil digite \\Servidor1\%username%.
  8. Na aba Membro de, clique no botão Adicionar. Na caixa de diálogo digite Administrador ou Administrator dependendo do idioma do seu Windows e clique no botão Checar Nomes. Clique em OK.
  9. Clique na aba Conta. Marque a caixa de seleção A conta está desabilitada.
  10. Feche a janela de propriedades.
  11. Clique com o botão direito na conta Modelo Vendas e selecione Copiar.
  12. Informe os dados abaixo:
    • Primeiro Nome: Marta
    • Último Nome: Vendas
    • Nome de usuário: mvendas
    • Senha: você escolhe
    • Desmarque o item “A conta está desabilitada”
  13. Abra as propriedades da conta de usuário mvendas.
  14. Veja as abas Geral, Membro de e Perfil, e perceba que alguns campos já estão preenchidos.
  15. Feche todas as janelas abertas.

 

Importar Objetos de Arquivo

No exercício anterior você criou uma conta usando a ferramenta Usuários e Contas do Active Directory. Mas e se você precisar importar contas em lotes? Existem dois aplicativos principais para importar contas em grandes números: os utilitários ldifde.exe e csvde.exe. Ambos os utilitários importar contas a partir de arquivos.

O utilitário ldifde.exe importa a partir de arquivos delimitados por linhas. Este utilitário permite que um administrador importe e exporte dados, possibilitando que operações como Adicionar, Modificar e Deletar sejam efetuadas no Active Directory. O Windows Server 2012 R2 inclui o ldifde.exe para auxiliar no suporte de operações em lote.

O utilitário csvde.exe realiza as mesmas funções de exportação que o ldifde.exe, mas o csvde.exe usa o formato de arquivo separado por vírgula. O utilitário csvde.exe não permite modificar ou apagar objetos. Somente suporta adicionar objetos no Active Directory.

 

Ferramenta de Migração do Active Directory

Outra ferramenta que administradores usaram no passado é a Ferramenta de Migração do Active Directory (Active Directory Migration Tool – ADMT). O ADMT permite que administradores migrem usuários, grupos e computadores de uma versão anterior do servidor para a versão atual do servidor.

Administradores também usavam o ADMT para migrar usuários, grupos e computadores entre domínios do Active Directory localizados em florestas diferentes (migração interfloresta) e entre domínios dentro da mesma floresta (migração intrafloresta).

Até o inicio de 2015 a Microsoft não tinha lançado uma versão do ADMT que fosse suportada no Windows Server 2012 R2. A razão de eu mencionar isso é que pode ser lançada uma nova versão no futuro próximo e é bom que você saiba o que ela pode fazer.

 

Adicionar um Computador Offline em um Domínio

Administradores possuem a capacidade de pré-provisionar contas de computador no domínio para preparar sistemas operacionais para serem implantados. Na inicialização, os computadores podem então ser adicionados no domínio sem precisar contatar um controlador de domínio. Isso ajuda a reduzir o tempo que leva para implantar computadores em um datacenter.

Vamos dizer que o seu datacenter precisa que você implante várias máquinas virtuais. Neste caso este recurso pode ser útil. Na primeira inicialização após a instalação do sistema operacional, as máquinas virtuais podem ser adicionadas no domínio automaticamente. Nenhum passo adicional é necessário.

Seguem abaixo algumas vantagens de usar o recurso de adicionar computadores offline em um domínio:

  • Não existe tráfego de rede adicional para mudanças de estado do Active Directory.
  • Não existe tráfego de rede adicional para mudanças de estado do computador sendo enviadas ao controlador de domínio.
  • Mudanças no estado do computador e do Active Directory podem ser completadas em tempos diferentes.

 

Por hoje paramos por aqui…

Caso ainda não saiba aqui no blog tem um ebook com dicas para quem está se preparando para certificações Microsoft.

E tem um simulado completo para o exame 70-410.

Caso queira um livro completo (PDF) que contempla todos os objetivos do exame 70-410 acesse esse link.

Para ver todos os posts aqui do site clique no link “Blog” no menu principal na parte superior, você também pode usar a pesquisa aqui do lado direito, ou ainda clicar nas Tags ali para ver os posts por assunto.

 

Qualquer coisa me avise aqui pelos comentários ou lá pelo Facebook ou me mande email.

Sucesso!

Thiago Haise
Microsoft Certified Solutions Associate

 

Para ver todos os materiais disponíveis para serem adquiridos aqui na WiseOne acesse essa página.

Links ->  Fanpage, Grupo, Linkedn

0 Flares Twitter 0 Facebook 0 Google+ 0 LinkedIn 0 0 Flares ×


Faça parte da nossa lista de emails e saiba tudo sobre os conteúdos disponíveis!  😎