P. 1
70-640 - Active Directory -Resumão

70-640 - Active Directory -Resumão

|Views: 4|Likes:
Published by Vitor Batagin

More info:

Published by: Vitor Batagin on Feb 15, 2013
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

02/15/2013

pdf

text

original

Resumão – Exame 70-640

TS: Windows Server 2008 Active Directory, Configuring

Sobre o exame 70-640

O exame 70-640 lhe dá créditos para as seguintes certificações:
Serviços de Diretório Active Directory Certificate Services (AD CS) oferece solução para emissão e administração de certificados usados em sistemas de segurança que utilizam a tecnologia de chave públicas e privadas. Active Directory Domain Services (ADDS) O AD DS permite um gerenciamento centralizado e seguro de toda uma rede. Armazena as informações sobre objetos na rede e gerencia a comunicação entre os usuários e os domínios, incluindo processos de logon do usuário, autenticação e pesquisas de diretório. O Active Directory Domain Services era anteriormente chamado de Active Directory Active Directory Federation Services (ADFS) permite estabelecer confiança entre diferentes entidades organizacionais dando aos usuários finais um logon único (SSO) entre empresas Active Directory Lightweight Directory Services (ADLDS) é um serviço de diretório LDAP. O ADLDS era anteriormente chamado de Active Directory Application Mode (ADAM) Active Directory Rights Management Services (ADRMS) permite proteger e controlar o acesso a informações confidenciais — como em documentos e e-mails. Instalação do ADDS Para instalar o Active Directory Directory Services (ADDS) você deve ser membro do grupo Administradores do servidor que irá instalar o ADDS. O Active Directory pode ser instalado de 3 maneiras:

O que são domínios ? Os domínios, principais unidades funcionais da estrutura lógica do Active Directory. Os domínios têm três principais funções: 1. Fornecer um limite administrativo para objetos 2. Permitir um gerenciamento seguro aos recursos 3. Proporcionar uma unidade de replicação para objetos

Objetos do domínio.

Usuários

Grupos

Computadores

Impressoras

Pastas Compartilhadas

Unidades Organizacionais

Banco de dados do Active Directory No banco de dados do AD ficam armazenados objetos do domínio. O computador que possui o banco de dados do Active Directory é o Controlador de Domínio. O nome do banco de dados do Active Directory é NTDS.DIT e ficam armazenado por padrão na pasta %SYSTEMROOT%\NTDS

Arquivos do banco de dados do AD
NTDS.DIT – Arquivo de banco de dados físico que guarda o conteúdo do Active Directory. EDB.CHK – Arquivo de ponto de verificação que rastreia até onde as transações no arquivo de log foram confirmadas. EDB.LOG – Arquivo de log primário TMP.EDB – Banco de dados temporário para as transações.

1 - Administrative Tools > ServerManager > Roles > Add Roles > Selecione o Active Directory Domain Services.(em seguida execute o comando DCPROMO) 2 - Através do comando Servermanagercmd.exe –I ADDS-Domain-Controller. (em seguida execute o comando DCPROMO).
3 - Através do comando: DCPROMO. (uma única vez)

Um MMC (Microsoft Management Console) usado para gerenciar e publicar informações no Active Directory. grupos. Floresta.sites e a replicação de dados do diretório. Password Replication Policy (PRP) permite definir quais usuários terão sua senha armazenada em cache. LDP – Permite a conexão com o banco de dados do AD ou uma instancia LDS a fim de consultar. Active Directory Users and Computers . contas de computadores. Uma floresta é uma instância completa do Active Directory Domain Services. Você Pode escolher qualquer usuário do domínio para anexar (attach) um RODC no domínio. Somente servidores em WorkGroup podem ser précriados para ser um RODC. Os domínios são agrupados em estruturas hierárquicas são chamados árvores de domínios. acrescentar computadores a um domínio. que consiste em uma ou mais árvores. editar ou pesquisas dados do diretório. . Read Only Domain Controller Read Only Domain Controller (RODC) é um Controlador de domínio adicional somente leitura. Floresta Árvore Níveis funcionais Operações em níveis funcionais são irreversíveis. ADSI Edit – (Active Directory Service Interfaces Editor) Um editor LDAP (Lightweight Directory Access Protocol ) que permite gerenciar objetos e atributos no Active Directory. O usuário que você escolheu deve usar o comando dcpromo /useexistingaccount:attach . Por padrão o RODC não armazena senhas de contas de usuário. Existem 3 níveis funcionais de domínio: Windows 2000 native Windows Server 2003 Windows Server 2008 E 3 níveis funcionais de floresta Windows 2000 Windows Server 2003 Windows Server 2008 Aumentar nível funcional do domínio: Active Directory Users And Computers Aumentar nível funcional da floresta Active Directory Domains and trusts Nível funcional Windows Server 2003 aceita DC com Windows Server 2003 ou superior e assim por diante. Configuring A estrutura lógica do Active Directory Árvore de domínios. Você pode gerenciar contas de usuário. Para instalar um RODC é necessário o nível funcional da floresta Windows Server 2003 ou superior. Ferramentas de Gerenciamento Active Directory Domains and Trusts .Usado para gerenciar relações de confiança de florestas e domínios. acrescentar sufixos ao nome principal do usuário e alterar os níveis funcionais de florestas e domínios Active Directory Sites and Services – Utilizado para criar e gerenciar os serviços .Resumão – Exame 70-640 TS: Windows Server 2008 Active Directory. Read Only Domain Controller Prepare (stage) um RODC criando uma conta de computador no Active Directory Users and Computers Em Domain Controllers usando o assistente: Pre-Create Read-only Domain Controller Account wizard. Você deve popular a cache manualmente.

DC=com Ferramentas de linha de comando Dsadd – Adiciona objetos no Diretório Exemplo adicionar conta de usuário: Dsadd cn=Donda.CSV (Separado por virgula) Exemplo para importar: csvde –i –f usuarios. como uma rede local (LAN). O ADDS deve estar iniciado para executar esta operação. Dsget – Exibe informações sobre objetos no Diretório Exemplo: Trazer nome de todos usuários da ou=TI dsquery "ou=TI.ldf Exemplo para exportar computadores ldifde –f usuarios.dc=mcpbrasil.dc=com -scope base attr * Nome principal do usuário (UPN) O nome principal de usuário (UPN) identifica o usuário de determinado domínio: donda@mcpbrasil. Sub-rede IP Sub-rede IP Site SP Site RJ No AD DS. CN=Felipe Donda.ou=TI.dc=com“ –f usuarios. dc=com Dsmod – Modifica objetos no Diretório Exemplo definir uma senha: dsmod user cn=Donda. dc=com -newparent “ou=Suporte. um objeto de site representa os aspectos do site físico a fim de gerenciar a replicação dos dados do diretório entre os controladores de domínio Replicação consiste no processo de atualizar informações no Active Directory de um controlador de domínio para outros controladores de domínio em uma rede Os objetos de sites e os objetos associados a eles são replicados em todos os controladores de domínio na floresta. A utilização de IFM reduz a quantidade de dados replicados. dc=com" Dsquery – Busca objetos no Diretório Exemplo: Ler toda informação de um objeto na ou=test dsquery * ou=test. dc=mcpbrasil. É possível gerenciar os objetos utilizando a ferramenta Active Directory Sites and Services.dc=com" | get user -fn Ferramentas de Importação e exportação CSVDE – Importa e Exporta objetos do diretório utilizando arquivos .dc=mcpbrasil.ldf -r (objectclass=computer)" .csv Exemplo para exportar usuários da ou TI csvde -d "ou=TI.DC=mcpbrasil.OU=Diretoria.LDF Exemplo para importar: ldifde –i –f usuarios. Configuring Nomes distintos Nomes distintos identificam o domínio de um objeto e o caminho para encontrá-lo.Resumão – Exame 70-640 TS: Windows Server 2008 Active Directory. ou=Suporte.DC=mcpbrasil. um site representa um conjunto de computadores conectados por uma rede de alta velocidade. dc=mcpbrasil.dc=com" DSrm – Remove objetos do Diretório Exemplo: excluir conta de usuário dsrm "cn=Donda. dc=mcpbrasil.com Sites (Estrutura Física) Em sua rede física. ou=TI. ou=TI. IFM (Install from Media) O recurso IFM permite instalar um controlador de domínio adicional a partir da media de backup.csv -r objectClass=user LDIFDE . dc=mcpbrasil .dc=com" Dsmove – Move objetos no Diretório Exemplo mover para outra OU dsmove cn=Donda.dc=mcpbrasil.Importa e Exporta objetos do diretório utilizando arquivos . KCC (knowledge consistency checker) O KCC knowledge consistency checker é um processo interno executado em cada controlador de domínio que gera a topologia de replicação para todas as partições de diretório contidas no controlador de domínio.

Fornece a autenticação do nome principal do usuário. Partições do AD O banco de dados do Active Directory é dividido logicamente em partições. Cada partição é uma unidade de replicação e cada uma delas tem sua própria topologia de replicação. Configuring IFM (Install from Media) Para criar uma media para criação de um domain controller adicional escolha entre as opções: create full %s – Cria uma mídia IFM completa para o ADDC ou AD/LDS. Os controladores de domínio usam o catálogo global para validar as referências a objetos de outros domínios na floresta.dll e ser pelo menos do grupo schema admins Iniciar -> executar -> Regsvr32 schmmgmt. execute o DCPROMO /ADV e na janela Install from Media aponte para os arquivos recém criados. Um servidor de catálogo global resolve o nome principal do usuário (UPN) quando o controlador de domínio da autenticação desconhece a conta de usuário. As classes de objetos são modelos ou plantas dos objetos que podem ser criados no Active Directory.Uma solicitação de pesquisa será encaminhada à porta 3268 do catálogo global . Catalogo Global Localiza objetos .dll Use o Snap-In “Active Directory Schema” para editar o schema. Fornece informações sobre a associação ao grupo universal em um ambiente de vários domínios. create Sysvol RODC %s – Cria uma mídia IFM com o SYSVOL para um RODC. create rodc %s – Cria uma mídia IFM para um ReadOnly DC create Sysvol full %s – Cria uma mídia IFM com o SYSVOL para um ADDC. O controlador de domínio também pode descobrir associações de um usuário ao grupo local do domínio e ao grupo global e a associação a esses grupos não será replicada no catálogo global. Exemplo: No prompt de comando digite: Partições do AD Para editar o schema é necessário registrar a dll schmmgmt. mesmo quando um servidor de catálogo global não estiver disponível. Valida as referências de objeto em uma floresta. Atributos definem os possíveis valores a serem associados a uma classe de objeto.Resumão – Exame 70-640 TS: Windows Server 2008 Active Directory. Schema Esquema (Schema). o computador cliente do usuário poderá usar as credenciais armazenadas em cache para fazer logon . O administrador do domínio (conta Administradores internos) pode sempre efetuar logon no domínio. Se um servidor de catálogo global não estiver disponível quando um usuário efetuar logon em um domínio em que os grupos universais estão disponíveis. ntdsutil Activate Instance NTDS IFM create full e:\mediaifm Após criar a media no Windows Server 2008 R2 no qual deseja promover a Domain Controller adicional. Possui dois tipos de definições: classes e atributos de objetos. .

Os objetos de sites são localizados no contêiner de sites. Tipos de relações de confiança: Forest trust – Permite Autenticação seletiva ou domain Wide Shortcut trusts – Acelera o processo de autenticação. A B Transitivas ou não-transitivas. Esse objeto identifica o Intersite Topology Generator (ISTG). há um objeto de Configurações de Site NTDS. Conflitos de GPO. C confia em A . Configuring Objetos de Sites Sites . o serviço Master Browse.Resumão – Exame 70-640 TS: Windows Server 2008 Active Directory. Representa a conexão física de longa distância (WAN) entre dois ou mais sites Transportes IP e SMTP entre sites . FSMO (Flexible Single Masters Operations) Existem 5 funções masters: Duas únicas na floresta. Infrastructure – rastreia participação em grupos de outros domínios. Também é possível Habilitar ou desabilitar o catálogo global em um servidor através do NTDS Settings. Links de sites . • Schema Master • Domain Naming Masters Três únicas em um domínio.Os objetos de servidor são criados automaticamente quando você adiciona a função de servidor Active Directory Domain Services Configurações NTDS . PDC Emulator – Controla o tempo. Transitiva = Se a Confia em B e B confia em C então: A C B Use o MMC para transferir roles e use NTDSUtil para apoderar-se (seize) de um função. A replicação ocorre em uma direção.Todo objeto de servidor contém um objeto de Configurações NTDS. Conexões . • PDC Emulator • RID Master • Infrastructure Master Schema Master – Necessário para updates do Schema. Realm trust – Não é para rede Windows. Trusts Domínios filhos possuem uma relação de confiança automática transitiva e bidirecional com o domínio pai.Os parceiros da replicação dos servidores de um site são identificados pelos objetos de conexão. Domain Naming Masters – Necessários para inclusão/ Alteração e Exclusão de novos domínios RID Master – Emite uma lista de tickets com SID + GUID para criação de objetos de segurança. Em todos os sites.Os objetos da sub-rede identificam os intervalos dos endereços IP em um site. Servidores . que representa o controlador de domínio no sistema de replicação.A replicação usa a chamada de procedimento remoto (RPC) no transporte IP ou SMTP Trusts Relações de confiança podem ser unidirecionais ou bidirecionais. External trust – Não transitivo Forest Trust Na autenticação seletiva é necessário definir a permissão “Allowed to Authenticate” ao grupo ou ao usuário confiável para o mesmo possa ser autenticado no domínio confiante.Os links de site representam o fluxo da replicação entre os sites. Sub-redes .

exe /p:arquivo. 2) Em preferences selecione o item desejado. Exemplo: ntdsutil Activate Instance NTDS Authoritative Restore Restore Object “cn=nomedouser. sites. aplicando as alterações feitas desde o momento da criação do backup.Resumão – Exame 70-640 TS: Windows Server 2008 Active Directory. Enforced .Reinicie no modo normal para propagar as alterações The Security Configuration Wizard O SCW. 1. dc=mcsesolution. Nesta ordem. Not). geralmente. (Mesmo quando a opção Block inheritance esteja marcada. domínios e unidades organizacionais. scwcmd. 3) Defina a política conforme sua necessidade. . gerenciar e aplicar politicas de segurança que são salvos no formato . 3. Depois de concluída a operação de restauração. Starter GPOs Starter GPOs são modelos de objetos de políticas de grupo que podem ser criados.xml /g: nomedagpo.Restaure o backup desejado que. Or. Block Inheritance – Opção que pode ser aplicado a um domínio ou OU e faz com que as políticas não sejam herdadas.Use Ntdsutil. Group Policy Object GPOs podem ser aplicados ao computador local. Ao criar uma nova política é possível tomar por base um modelo existente em Starter GPOs. Como utilizar o Item-Level targeting 1) Edite a política desejada. contêineres ou partições como autoritativos. instale o feature “Windows Server Backup” e regularmente efetue backup do “System State” utilizando a ferramenta gráfica ou digite a seguinte linha de comando: wbadmin start systemstatebackup –backuptarget:d: Restauração do AD Restauração não-autoritativa do AD DS Uma restauração não-autoritativa retorna o serviço de diretório ao estado que tinha no momento da criação do backup. Use o comando scwcmd.Opção que força a aplicação da política. tendo precedência a ultima a ser aplicada caso exista conflito. Além de muitos itens intuitivos de modo que a política só se aplica a usuários e computadores específicos. 4) Clique e Common e selecione Item-Level targeting para criar o seu filtro. a replicação do AD DS atualiza o controlador de domínio. (Bloqueio de herança). wbadmin start systemstaterecovery –versão –backuptarget:d: 2. Configuring Restartable AD DS É possível parar e iniciar o serviço do Active Directory tanto pela ferramenta services parando o serviço “Active Directory Domain Services” como pelo comando net. dc=lab” 4.xml .Inicie o controlador de domínio no DSRM (Directory Services Restore Mode). é o mais recente. armazenados e utilizados. Net stop NTDS Backup do AD DS Para fazer o Backup do Active Directory. Item-Level targeting É possível definir um alvo especifico utilizando mais de 29 combinações de coleções com lógica boolena (And. permite criar. Do contrario as políticas são acumulativas. Restauração autoritativa fornece um método de recuperação de objetos e contêineres que tenham sido excluídos do AD DS.exe para marcar os objetos desejados.exe para criar uma GPO.

DC=la b changetype: add objectClass: msDSPasswordSettings msDS-MaximumPasswordAge:1728000000000 msDS-MinimumPasswordAge:864000000000 msDS-MinimumPasswordLength:8 msDS-PasswordHistoryLength:24 msDSPasswordComplexityEnabled:TRUE msDSPasswordReversibleEncryptionEnabled:FALSE msDS-LockoutObservationWindow:-18000000000 msDS-LockoutDuration:-18000000000 msDS-LockoutThreshold:0 msDS-PasswordSettingsPrecedence:20 msDS-PSOAppliesTo:CN=user1. Defina as opções: msDS-PasswordSettingsPrecedence Prioridade ( maior que 0) msDS-PasswordReversibleEncryptionEnabled Criptografia reversível (True/False) msDS-PasswordHistoryLength Histórico de senhas (0 até 1024) msDS-PasswordComplexityEnabled Complexidade da senha (True/False) msDS-MinimumPasswordLength Tamanho minimo da senha (0 até 255) msDS-MinimumPasswordAge Idade mínima da senha (00:00:00:00 até idade maxima) msDS-MaximumPasswordAge Idade máxima da senha (Never até 00:00:00:00) msDS-LockoutThreshold Bloqueio da conta (0 até 65535) msDS-LockoutObservationWindow De 00:00:00:01 até msDS-LockoutDuration msDS-LockoutDuration Duração do bloqueio (never até msDSLockoutObservationWindow ) msDS-PSOAppliesTo Usuários/Grupos a que se aplica esta política.DC=dc1.CN=System. Você não ode mudar o nome do servidor após instalar o AD CS. Para implementar o Fine-Grained Password é necessário que nível funcional do domínio esteja definido como Windows 2008. CN=Password Settings Container.exe Fine-Grained Passwords Fine-Grained Passwords é um recurso que permite estabelecer uma política de senha para grupos distintos. PSO Utilizando o LDFIDE: dn: CN=PSO1.DC=dc1. A migração é feita com o comando dfsrmig. DC=mcsesolution.DC=lab Para importar ldifde –i -f arquivo. 3) Clique em CN=Password Settings Container 4) Crie um novo objeto msDS-PasswordSettings.DC=mcsesolution. CA Enterprise fornece serviços para uma rede interna. Stand Alone Servers. Pode ser instalado em DCs. Você pode utilizar o ADSI Edit ou o LDIFDE para criar Password Settings objects (PSOs): .Resumão – Exame 70-640 TS: Windows Server 2008 Active Directory.CN=Users.ldf AD CS Active Directory Certificate Services: CA (Certificate Authority) é um servidor que emite e gerencia serviços de certificados digitais. Pode ser instalado em DCs. Configuring Active Directory replication Se o nível funcional do domínio estiver Windows 2008 é possível alterar a replicação de FRS (File Replication Service) para DFS-R (Distributed File System Replication) para replicação do SYSVOL. CA Stand Alone geralmente fornece serviços para Internet. . Servidores Membros Depois de instalado não é possível alterar de StandAlone para Enterprise e vice-versa. O AD CS suporta tanto CA Enterprise como Stand Alone. Utilizando o ADSI 1) Expanda DC=<domain_name> 2) Expanda CN=System. Servidores Membros.

Network Device Enrollment Services (NDES) podem emitir certificados para os switches de rede e roteadores Microsoft Simple Certification Enrollment Protocol (MSCEP) é usado para permitir que os roteadores e outros dispositivos de rede para obter certificados de uma CA Certificate Templates -Version 3 somente vista e Server 2008 -Version 2 Server 2003. e Vista. DNS Forward Lookup Zone . Pode ser usado o AutoEnroll (inscrição automatica) de certificados via GPO .Encaminha solicitações para servidores DNS baseado no nome de DNS consultado. Configuring AD CS Root CA – A primeira autoridade certificadora da infraestrutura de chave Publica (PKI) Subordinate CA – Obtém os certificados de uma autoridade de nível superior (por exemplo Root CA). Server 2008. Zona de pesquisa .com reúne e disponibiliza o conteúdo de certificação Microsoft. Service Location (SRV) DNS usa a porta 53 UDP e 53 TCP Primary Zone – Pode ser integrada com o AD DS.Resumão – Exame 70-640 TS: Windows Server 2008 Active Directory. Em criptografia de chave Publica e Privada são usadas chaves diferentes mas complementares no processo de criptografia e descriptografia. Cadastre-se www.Mapeamento de nome para IP Reverse Lookup Zone . Atualizações dinâmicas é o processo de gravação automática de registros de recursos em uma zona.com . • Chave publica = Criptografia. Conteúdo técnico: Helio Panissa Junior Daniel Donda O Clube MCP Brasil.Mapeamento de IP para nome. Secondary Zone – Réplicas de dados de um servidor primário não aceita atualizações dinâmicas pois é somente leitura Stub Zones replica um número mínimo de registros para permitir que os servidores DNS possam enviar os pedidos diretamente aos servidores de nome de domínios sem a necessidade de resolver o nome de domínio usando os servidores raiz da internet. • Chave privada = Descriptografia DNS Registros de recursos: Host(A). XP. Service Location (SRV) – Indica a localização de um determinado serviço TCP / IP RODC DNS Zone é uma zona primaria somente leitura Para configurar as atualizações dinâmicas seguras use a zona integrada ao AD (AD-integrated). Alias (CNAME). Conditional Forwarders . Eles permitem leitura e gravação exceto quando for um RODC Zona Integrada ao AD replica junto com o AD. Para emitir certificados via web o caminho é :http://[servername]/certsrv A lista de Trusted Root CA pode ser atualizada via GPO.mcpbrasil. O comando certreq solicita certificados.Armazena Registros de recursos da zona (nome de domínio). Host(AAAA). O comando certutil automatiza as tarefas de gerenciamento do ADCS.

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->