1. Dia 29/09/2012
MCITP-EA Active Directory
Aula 8
RODC
Site Sub Rede
Matriz 192.168.X.0/24
Filial 172.168.X.0/24
Extremamente útil em duas situações:
•Locais onde pessoas não autorizadas e/ou qualificadas tenham acesso físico ao equipamento, e
essas poderiam manipular os registros;
•Economia de banda já que ele não replica a mesma quantidade de informação que um DC normal.
Caso o RODC perca comunicação com o DC principal, utilizando um RODC padrão não será
possível autenticar na rede, para esta contornando esse problema é necessário ativar a replicação de
senhas.
Diferenças na instalação do RODC
Não há a necessidade de ser um catálogo global, até porque se ele fosse um terminamos
muita informação sendo replicada (consumo de banda) e a ideia é justamente diminuir o volume de
replicação. E por final marcar a opção de RODC.
2. Configuração de usuário que terá poder equivalente a um usuário avançado no RODC para
poder realizar manutenção básica no equipamento, caso a equipe de suporte não tenha acesso ao
mesmo. Esse usuário não terá acesso nenhum a alterações ao domino.
3. Após configurar o RODC ingresse um cliente na rede da filial
O tipo de replicação do RODC é do tipo FRS e entre um RODC e um Controlador
convencional a replicação só acontece para o RODC, pois o RODC não faz nenhuma alteração.
Como dito anterior mente caso o link entre o RODC e o DC da sua empresa caia os usuários
não serão capazes de realizar o logon pois o RODC não possui senhas dos usuários.
1. Acrescentar os usuários, computadores, DC que fazem parte do Site onde tem o RODC
no grupo: Grupo de replicação de senha RODC Permitido
2. Nas propriedades do DC Server 2 é necessário seguir os passos abaixo:
4. 1. Aba Diretiva de Replicação de Senha > Avançado > Pré-popular Senhas...
2. Adicione os computadores e os usuários que necessitarão autenticar nesse site.
O passo 2 permite que as senhas sejam armazenadas antes de haver a replicação
propriamente dita.
GPO
Ordem de carregamento de GPO
1. Local
2. Site
3. Domínio
4. OU
1. RH
1. Computadores
1. Desktop
2. Notebook
3. …
1. …
1. …
1. …
1. …
Quando as Polices estão no mesmo nível prevalece a primeira a ser carregada
Police Responsável pelas senhas
Configuração do computador > Configurações do Windows > Configurações de segurança >
Configurações de senha > Diretivas de Conta > Diretivas de Senha
Responsável por bloquear a conta por tentativa invalidade de logon
Configuração do computador > Configurações do Windows > Configurações de segurança >
Configurações de senha > Diretivas de Conta > Diretiva de bloqueio de conta
Auditoria
Configuração do computador > Configurações do Windows > Configurações de segurança >
Diretivas locais > Diretiva de auditoria
Para finalizar é necessário seguir o seguinte passo:
Propriedades do compartilhamento > Guia segurança > Avançado > Guia auditoria >
Editar > Adicionar > Adicione Todos os usuários.
Confirme as alterações
Opções do CTRL+ALT+DEL
Configuração do usuário > Modelos Administrativos > Sistema > Opções de CTRL+ALT+DEL
Aba delegação
Funciona de forma similigar a guia segurança em diretórios, ou seja, é utilizado para determinar os
5. níveis de acessos dos usuários.
Backup de diretivas
Botão direito em > Objetos de diretiva de grupo > escolha um local e de uma descrição.
Restore de backup de diretivas
Botão direito em > gerenciar backups > selecionar a Police > restaurar
Diretiva de instalação de software
Passo-a-passo:
•Ter um pacote de instalação .msi
•Habilitar a Police abaixo para computadores e usuários
◦Configuração do usuário/computadores > Modelos Administrativos > Componentes do Windows
> Windows installer > habilitar a Police sempre instalar com alto privilégio
•Configuração de usuários > Diretivas > Configuração de software > instalação de software
◦Na área em brando:
▪Botão direito > novo > pacote > caminho UNC do pacote > escolha o tipo de instlação¹
¹
Pulicado – Realiza a instalação em segundo plano
Atribuído - realiza a instalação interativa
Gpresult /r – comando utilizado para verificação das gpo que foram aplicadas para o usuário
Rsop – console que exibe as polices que estão carregadas no momento.
Script de logon
Caminho padrão: c:Windowssysvolsysvolfqdn_do_dominioscripts
Também pode ser configurado pela seguinte Police:Configurações do usuário > Diretivas >
Configurações do Windows > scripts > fazer logon
Grupos
Escopo do grupo
Os grupos são caracterizados por um escopo que identifica até que ponto o grupo é aplicado à
árvore de domínio ou floresta. Há três escopos de grupo: domínio local, global e universal.
Grupos de domínio local
Os membros de grupos de domínio local podem incluir outros grupos e contas dos domínios
Windows NT, Windows 2000, Windows Server 2003, Windows Server 2008 e Windows Server
2008R2. Os membros desses grupos somente podem receber permissões em um domínio.
Os grupos com escopo de domínio local ajudam você a definir e gerenciar o acesso aos
6. recursos em um único domínio. Esses grupos podem ter estes membros:
✔Contas de qualquer domínio
✔Grupos globais de qualquer domínio
✔Grupos universais de qualquer domínio
✔Grupos de domínio local, mas somente do mesmo domínio que o grupo de domínio local pai
✔Uma combinação dos itens acima
Por exemplo:
Para fornecer a cinco usuários o acesso a uma determinada impressora, você pode adicionar
todas às cinco contas de usuário à lista de permissões da impressora. No entanto, se mais tarde você
quiser dar a esses cinco usuários acesso a uma nova impressora, novamente será necessário
especificar todas as cinco contas na lista de permissões da nova impressora.
Com um pouco de planejamento, você poderá simplificar essa tarefa administrativa de rotina
criando um grupo com escopo de domínio local e atribuindo permissão para o acesso à impressora.
Coloque as cinco contas de usuário em um grupo com escopo global e adicione-o ao grupo que tem
o escopo de domínio local. Quando quiser atribuir acesso à nova impressora aos cinco usuários, dê
ao grupo com escopo de domínio local permissão para acessar a nova impressora. Todos os
membros do grupo com escopo global recebem automaticamente o acesso à nova impressora.
Grupos de domínio local
Os membros de grupos de domínio local podem incluir outros grupos e contas dos domínios
Windows NT, Windows 2000, Windows Server 2003, Windows Server 2008 e Windows Server
2008R2. Os membros desses grupos somente podem receber permissões em um domínio.
Os grupos com escopo de domínio local ajudam você a definir e gerenciar o acesso aos recursos em
um único domínio. Esses grupos podem ter estes membros:
✔Contas de qualquer domínio
✔Grupos globais de qualquer domínio
✔Grupos universais de qualquer domínio
✔Grupos de domínio local, mas somente do mesmo domínio que o grupo de domínio local pai
✔Uma combinação dos itens acima
Por exemplo:
Para fornecer a cinco usuários o acesso a uma determinada impressora, você pode adicionar
todas às cinco contas de usuário à lista de permissões da impressora. No entanto, se mais tarde você
quiser dar a esses cinco usuários acesso a uma nova impressora, novamente será necessário
especificar todas as cinco contas na lista de permissões da nova impressora.
Com um pouco de planejamento, você poderá simplificar essa tarefa administrativa de rotina
criando um grupo com escopo de domínio local e atribuindo permissão para o acesso à impressora.
Coloque as cinco contas de usuário em um grupo com escopo global e adicione-o ao grupo que tem
o escopo de domínio local. Quando quiser atribuir acesso à nova impressora aos cinco usuários, dê
ao grupo com escopo de domínio local permissão para acessar a nova impressora. Todos os
membros do grupo com escopo global recebem automaticamente o acesso à nova impressora.
Grupos universais
Os membros de grupos universais podem ter os seguintes itens como membros:
✔Contas de qualquer domínio na floresta em que o Grupo Universal reside
✔Grupos globais de qualquer domínio na floresta em que o Grupo Universal reside
7. ✔Grupos universais de qualquer domínio na floresta em que o Grupo Universal reside
Os membros desses grupos podem receber permissões em qualquer domínio na árvore de
domínio ou floresta. Use grupos com escopo universal para consolidar grupos que abrangem
domínios. Para isso, adicione as contas aos grupos com escopo global e aninhe esses grupos em que
tenham escopo universal. Quando você usar essa estratégia, as alterações de associação nos grupos
que têm escopo global não afetarão os grupos com escopo universal.
Por exemplo, em uma rede com dois domínios, Europa e EstadosUnidos, e um grupo com
escopo global denominado ContabilidadeGL em cada um, crie um grupo com escopo universal
denominado ContabilidadeUA que tenha como seus membros os dois grupos ContabilidadeGL,
EstadosUnidosContabilidadeGL e EuropaContabilidadeGL. Você pode usar o grupo
ContabilidadeUA em qualquer lugar da empresa. As alterações na associação dos grupos
ContabilidadeGL individuais não causarão a replicação do grupo ContabilidadeUA.
Importante
É altamente recomendável usar grupos globais ou universais, em vez de grupos de domínio
local quando você especifica permissões nos objetos de diretório de domínio replicados para o
catálogo global.
Tipos de grupo
Há dois tipos de grupo no AD DS: grupos de distribuição e grupos de segurança. Você pode
usar grupos de distribuição para criar listas de distribuição por e-mail. Use os grupos de segurança
para atribuir permissões aos recursos compartilhados.
Somente use grupos de distribuição com aplicativos de e-mail (como o Microsoft
Exchange Server 2007) para enviar e-mails a grupos de usuários. Os grupos de distribuição não são
habilitados para segurança, o que significa que eles não podem fazer parte de listas de controle de
acesso discricionário (DACLs). Se for necessário um grupo para controlar o acesso aos recursos
compartilhados, crie um grupo de segurança.