Aula 3 - Active Directory GPO
Aula 3 - Active Directory GPO
Aula 3 - Active Directory GPO
A maioria das funes do domnio podem ser distribudas por diversas mquinas. Alis isso mesmo desejavel Existem contudo algumas funes que devem ser efectuadas por um nico controlador de domnio, num determinado instante. Essas funes so:
RID (Relative ID) Master Atribuio de IDs nicos para os objectos pertencentes a um determinado domnio PDC emulator Master Para emulao de Primary Domain Controller para maquinas preWindows 2000 Este servidor permite autenticao NTLM e Kerberos V5 Infrastruture Master Funo responsvel por verificar a consistncia da informao entre domnios
@
2
Schema master Controla todas as alteraes efetuadas ao schema usado na floresta Deve existir um nico schema para uma floresta Pode ser alterado atravs da consola de gesto do schema necessrio registar a consola atravs do comando
regsvr32 \WINDOWS\system32\schmmgmt.dll
Domain Naming Master Controlador de domnio responsvel por efetuar a gesto das criaes e remoes de domnios da floresta Garante que os nomes so nicos Pode ser alterado atravs da consola de gesto de domnios e relaes de confiana
O Assistente para instalao do Active Directory (Dcpromo.exe) atribui todas estas 5 funes ao primeiro controlador de domnio no domnio raiz da floresta. Transferir o OM de um controlador de domnio para outro pode ser feito como uma regular manuteno ou de disater recovery. Isso pode ser feito com o utilitrio Ntdsuti.
@
3
Clique em em Start->Run, e escreva ntdsutil. Escreva roles Escreva connections e pressione ENTER. Escreva connect to server nome_do_servidor e pressione ENTER, onde nome_do_servidor o nome do controlador de domnio para o qual deseja atribuir a funo OM. No prompt server connections , escreva q e pressione ENTER. Escreva transfer funo, onde funo a funo que quer transferir. Para obter uma lista de funes que podem ser transferidas, escreva ? no prompt fsmo maintenance e pressione ENTER. Por exemplo, para transferir a funo mestre RID digite transfer rid master. A nica exceo para a funo emulador PDC do qual a sintaxe transfer pdc e no transfer pdc emulator. No prompt fsmo maintenance escreva q e pressione ENTER para obter acesso ao prompt ntdsutil. Escreva q e pressione ENTER para fechar o utilitrio Ntdsutil.
Servios de Rede II (2012/13)
@
4
@
5
o repositrio central de informao sobre os objectos de uma rvore ou de uma floresta Por omisso, criado no primeiro controlador de domnio instalado
Um controlador de domnio que possua uma cpia do Global Catalog ser tambm conhecido por Global Catalog Server Cada um destes controladores possui uma rplica completa da informao respeitante aos objectos do domnio a que pertence (read/write) uma rplica parcial dos objectos dos restantes domnios (read only)
@
6
Permite a um utilizador o acesso a objectos, independentemente do domnio a que pertence e do domnio em que fez logon Em sites de uma empresa, onde no se justifique um Global Catalog, poder-se- activar a funcionalidade Universal Group Membership Caching
Esta funcionalidade permitir manter em cache os objectos usados mais recentemente Por omisso, efectuado um refrescamento de 8 em 8 horas
@
7
@
8
Uma query um pedido especfico efectuado sobre o global catalog de modo a encontrar, modificar ou eliminar dados da AD Passos (ver figura):
1 e 2 queries ao DNS para saber quem Global Catalog Server 3 e 4 queries ao Global Catalog Server
@
9
Pesquisa de objectos
Find Nos menus de contexto da AD DSQuery Comando de linha No Windows Server possvel criar/guardar Saved Queries Alguns exemplo: Lista as contas com Password Never expires: (&(objectCategory=person)(objectClass=user)(userAccountControl:1.2. 840.113556.1.4.803:=65536)) Lista as contas de utilizadores ativas: (&(&(objectCategory=person)(objectClass=user)(!userAccountControl:1 .2.840.113556.1.4.803:=2)))
@
10
@
11
@
12
O controle de acesso administrado ao nvel do objeto por meio da configurao de diversos nveis de acesso, ou permisses, aos objetos, como Controle Total, Gravao, Leitura ou Sem Acesso. Os elementos que definem as permisses de controle de acesso sobre os objetos no Active Directory incluem descritores de segurana, herana de objetos e autenticao.
Servios de Rede II (2012/13)
@
13
Uma das novidades do windows 2008 server a implementao de um recycle bin de objetos da AD. Para isso tem de ativar esta funo. Click em Start->All Programs > Administrative Tools Clique com o boto do lado direito do rato em PowerShell e clique em Run as Admnistrator
Escreva:
Enable-ADOptionalFeature Identity CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,D C=com Scope ForestOrConfigurationSet Target empresaabc.com
@
14
@
15
PowerShell
Click em Start->All Programs -> Administrative Tools Clique com o boto do lado direito do rato em PowerShell e clique em Run as Admnistrator Escreva a seguinte linha de comando: Get-ADObject -Filter {String} -IncludeDeletedObjects | RestoreADObject Por exemplo se deseja recuperar um objecto de chamdo utilizador 1 escreva: Get-ADObject -Filter {displayName -eq utilizador1"} IncludeDeletedObjects | Restore-ADObject
@
16
No Windows 2008 server R2 pode parar e arrancar o servio da AD sem necessitar de desligar o servidor que serve de domain controler. Deve fazer:
Start->All Programs Administrative Tools Services Escolha o servio Active Directory Domain Services e faa stop para o parar ou start para o arrancar.
@
17
@
18
Uma relao de confiana (trust relationship) uma ligao entre dois domnios a partir da qual permitido a um domnio autenticar-se no outro. Se nenhuma relao de confiana for criada, o domnio o limite para aceder a recursos de uma organizao.
@
19
Caractersticas
Mtodo de criao Manual ou explcito Automtico ou implcito
Transitividade
Se A confia em B e B confia em C ento A confia em C Pode ser restringido
Direco
Num sentido Em ambos os sentidos
@
20
@
21
possvel criar uma relao de confiana externa para formar uma relao de confiana intransitiva, unidirecional ou bidirecional, com domnios que esto fora da sua floresta. As relaes de confiana externas, s vezes, so necessrias quando os utilizadores necessitam de aceder a recursos de um domnio do Windows NT 4.0 ou de um domnio localizado em uma floresta diferente, que no seja associada por uma relao de confiana da floresta
@
22
Abra Domnios e Relaes de Confiana do Active Directory. Na rvore da console, clique com o boto direito do rato no n para o domnio com o qual deseja estabelecer uma relao de confiana e, em seguida, clique em Propriedades. Na guia Relaes de Confiana, clique em Nova Relao de Confiana e em Avanar. Na pgina Nome da Relao de Confiana, escreva o nome DNS (ou NetBIOS) do domnio em clique em Avanar. Na pgina Tipo de Relao de Confiana, clique em Relao de confiana externa e em Avanar. Na pgina Direo da Relao de Confiana, execute um destes procedimentos:
Para criar uma relao de confiana externa bidirecional, clique em Bidirecional.
Os utilizadores nesse domnio e no domnio especificado podero aceder aos recursos em qualquer um deles.
@
23
possvel estabelecer uma relao de confiana de realm entre qualquer sistema a correr Kerberos verso 5 (V5) no Windows e um domnio do Windows Server 2008 ou do Windows Server 2008 R2. Esta relao de confiana permite a interoperabilidade entre plataformas diferentes com servios de segurana baseados em outras verses do protocolo Kerberos V5, por exemplo, implementaes do UNIX.
@
24
possvel criar uma relao de confiana entre duas diferentes florestas . Todos os controladores de domnio dentro da mesma floresta mantm uma relao de confiana transitive two-way com os outros controladores de domnio da mesma floresta. A criao dessa relao entre duas florestas fornece uma relao de confiana transitiva, unidirecional ou bidirecional, entre cada domnio que reside dentro de cada floresta. As relaes de confiana de floresta so teis para fornecedores de aplicaes, organizaes sob processo de fuso ou aquisio, extranets comerciais colaborativas e organizaes em busca de uma soluo para a autonomia administrativa.
Servios de Rede II (2012/13)
@
25
essencialmente uma explicita relao de confiana entre dois domnios da estrutura. utilizado para otimizar a performance quando precisamos de aceder a recursos entre domnios distintos ligados atravs de confianas transitivas
@
26
Na rvore da console, clique com o boto direito do rato no domnio que contem a relao de confiana que deseja verificar e, em seguida, clique em Propriedades. Na guia Relaes de Confiana, em Domnios em que este domnio confia (relaes de confiana de sada) ou Domnios que confiam neste domnio (relaes de confiana de entrada), clique na relao de confiana a ser verificada e em Propriedades. Clique em Validar. Siga um destes procedimentos e clique em OK:
Clique em No validar a relao de confiana de entrada. Clique em Sim, validar a relao de confiana de entrada.
@
27
Na rvore da console, clique com o boto direito do rato no domnio que tem a relao de confiana que quer remover e, em seguida, clique em Propriedades. Na guia Relaes de Confiana, em Domnios em que este domnio confia (relaes de confiana de sada) ou Domnios que confiam neste domnio (relaes de confiana de entrada), clique na relao de confiana a ser removida e em Remover. Siga um destes procedimentos e clique em OK:
Clique em No, remover apenas a relao de confiana do domnio local. Clique em Sim, remover a relao de confiana do domnio local e do outro domnio.
@
28
A topologia dos sites da AD foram alterados para refletirem aos ambiente de rede existentes. Podemos considerar os trs seguintes casos:
RING Temos a replicao dos arquivos sendo feita de servidor a servidor de forma circular e bidirecional Mesmo que algum servidor fique fora, o acesso ao cliente continua sendo possvel e a replicao no sentido contrrio FULL MESH Todos os servidores replicam com todos. HUB and SPOKE Temos um servidor central que recebe as atualizaes de todos os outros
@
29
@
30
A empresa A uma produtora de vidro e tem uma fabrica e os escritrios central localizados na cidade de Leuven na Belgica. Tem ainda mais quatro mais pequenas fabricas em Marselha, Bruxelas, Amesterdo e Krakow. A empresa decidiu instalar o ws 2008 em todas as localizaes e considerar cada um deles como um DC.
Bruxelas
512
512
Amesterdo
Leuven
256
Marselha
128
Servios de Rede II (2012/13)
Krakow
@
31
Bruxelas
Amesterdo
256
Leuven
128
Marselha
Krakow
@
32
O RODC um Domain Controller como qualquer outro do ambiente do domnio, porm o mesmo permite apenas a leitura dos objetos do Active Directory, no efetuando aes de escrita de objetos (criao / excluso / alterao).
@
33
@
34
@
35
@
36
@
37
Conjunto de configuraes que podem ser aplicadas a computadores, sites, domnios e unidades de organizao para especificar
comportamentos permitidos para os utilizadores restries na utilizao de recursos aces a serem realizadas automaticamente
@
38
Podem existir vrias polticas a actuarem sobre um mesmo objecto Ordem de aplicao das GPO:
Computador local Site - O mais alto nvel. Todas as configuraes feitas sero aplicadas a todos os utilizadores/computadores/domnios nesse site. Domnio - o segundo nvel. Configuraes feitas aqui afetaro todos os utilizadores/computadores dentro do domnio. Unidade de Organizao s afeta os recursos que fazem parte dela
@
39
GPO1 Acesso ao Painel de Controlo Disabled GPO2 Acesso ao Painel de Controlo Enabled GPO3 Acesso ao Painel de Controlo Disabled GPO4 Acesso ao Painel de Controlo Enabled A ultima GPO aplicada foi a GPO4 por isso ela tem preferncia ou como alguns gostam de falar A GPO4 Ganha e o utilizador fica assim com acesso ao painel de controlo.
Servios de Rede II (2012/13)
@
40
Pode bloquear a herana entre GPO, marcando a opo Block Inheritance sobre a Unidade Organizacional onde no se deseja aplicar diretivas herdadas.
Pode tambm forar a aplicao de uma diretiva, de modo que ela ter precedncia sobre todas as outras. Para isso marque a opo Enforce sobre a GPO.
@
41
a domnios
Todos os objectos do domnio
A unidades de organizao
Todos os objectos presentes na OU
@
42
Configuraes
Computador Configuraes que afectam os computadores independentemente de quem se autentica Utilizador Configuraes que afectam os utilizadores independentemente do computador em que se autenticam
@
43
A ferramenta para trabalhar a gesto da politica de grupo (GPO) o Snap-in Group Policy Management.
@
44
No Group Policy Management clique com o lado direito em Group Policy Object e selecione New
Pode criar as GPOs no n Group Policy Objects e depois vincula-las ou pode criar uma GPO j vinculando a uma OU ou domnio.
@
45
Aps vincular uma GPO pode criar filtros de utilizadores ou grupos implicando assim que as regras definidas somente sero aplicadas aos objetos de rede que deseja. Por defeito recebem as politicas os utilizadores de domnio.
@
46
O WMI disponibiliza informaes sobre o computador destino. Essas informaes podem ser dados de hardware e software, configuraes e informaes de configurao
@
47
Depois de criar e vincular uma GPO necessrio trabalhar na sua configurao. Para isso selecionar Edit para escolher quais politicas a serem definidas.
@
48
Computer Configuration
Policies Software Settings > Usado para instalao de software Windows Settings > Configurao de Scripts, Segurana (senhas, auditoria), firewall, NAP, restrio de aplicaes. Administrative Templates > So definies de configurao de registro. Nas verses anteriores ao vista a extenso era ADM, hoje ADMX (bem menor tambm). Pode obter modelos administrativos no Microsoft Download Center, por exemplo, para configurar o Office. Preferences > Recurso novo no Windows Server 2008. Windows Settings Control Panel Settings
@
49
User Configuration
Policies Software Settings > Usado para instalao de software Windows Settings > Configurao de Scripts de logon/Logoff, restrio de aplicaess. Redirecionamento de pastas, Configurao do IE. Administrative Templates > Assim como para computador so definies de configurao de registro. Preferences > Recurso novo no Windows Server 2008. Windows Settings Control Panel Settings
@
50
@
51
Aqui pode fazer o download das diferentes diretivas existentes: http://www.microsoft.com/enus/download/details.aspx?id=25250 Pode por exemplo:
Bloquear as portas USB Esconder o disco c: No permitir ao utilizador que aceda ao Painel de Controlo No permitir que o utilizador faa instalao de software Etc
@
52
@
53
O Windows Server 2008 (R2) tem uma nova pasta chamada Starter GPO dentro do Group Policy Management Console (gpmc.msc). Aqui podemos criar e guardar modelos de Group Policies que podem ser usadas como base para novas GPOs.
@
54
Pode-se usar a entrada Software Installation das GPO definidas para disponibilizar packages de software a ser instalado em computadores ou para determinados utilizadores A instalao fica disponvel no Control Panel + Add or Remove Programs Mtodos
Published No obrigatrio Assigned Obrigatrio Advanced
@
55
@
56
Windows server 2008 R2 Unleashed, Randy Morimoto et al, 2010 SAMS. http://technet.microsoft.com/pt http://technet.microsoft.com/ptbr/library/cc730798(v=ws.10).aspx http://www.projetoderedes.com.br/blog/downloads/ http://www.jorgebarata.eti.br/saiba-como-usar-o-starter-gpono-windows-server-2008-pt-br/ http://blogs.technet.com/b/grouppolicy/
@
57