Articles

Active Directory Glossary – Termos e Conceitos Fundamentais

Posted on

Neste post, vou listar e explicar a terminologia mais comummente utilizada no Active Directory e tecnologias relacionadas.

Se é novo no Active Directory, este será um grande recurso para se familiarizar com as noções básicas e conceitos fundamentais do Active Directory.

Grupos de termos em diferentes secções para facilitar a sua compreensão e referência. Alguns tópicos podem ser muito técnicos, forneci terminologia curta e fácil de compreender. Depois forneço recursos adicionais no final de cada secção, se quiserem saber mais.

Tabela de conteúdos:

  • Bases do Active Directory – Comece Aqui
  • Active Directory Services
  • Active Directory DNS
  • Active Directory Replication
  • Active Directory Security (Autenticação, Protocolos de Segurança, Permissões)
  • Active Directory Management Consoles
  • DHCP
  • Group Policy

Active Directory Basics

Estes são termos básicos com que deve estar familiarizado ao lidar com o Active Directory.

Active Directory

Active Directory é um serviço de directório que centraliza a gestão de utilizadores, computadores e outros objectos dentro de uma rede. A sua função principal é autenticar e autorizar utilizadores e computadores num domínio Windows. Por exemplo, quando um utilizador acede a um computador no domínio, verifica o nome de utilizador e palavra-passe que foi submetido para verificar a conta. Se for um nome de utilizador e palavra-passe válidos, o utilizador é autenticado e ligado ao computador.

Não se confunda com os três termos seguintes, todos eles se referem ao Active Directory.

  • AD – Esta é apenas uma abreviatura para Active Directory
  • AD DS – Este é um servidor que está a executar a Função de Serviços de Domínio do Active Directory
  • Controlador de Domínio – Este é também um servidor que está a executar a Função de Serviços de Domínio do Active Directory. É recomendado ter vários controladores de domínio por razões de failover.

Active Directory Web Services (ADWS)

Este serviço foi introduzido no Windows Server 2008 R2. É instalado automaticamente com a função ADDS ou ADLDS e é configurado para correr automaticamente. Este serviço fornece gestão remota de qualquer serviço de directório local.

Domínio

O domínio é uma estrutura lógica de contentores e objectos dentro do Active Directory. Um domínio contém os seguintes componentes:

  • Uma estrutura hierárquica para utilizadores, grupos, computadores e outros objectos
  • Serviços de segurança que fornecem autenticação e autorização a recursos no domínio e outros domínios
  • Políticas que são aplicadas a utilizadores e computadores
  • Um nome DNS para identificar o domínio. Ao iniciar sessão num computador que faz parte de um domínio, está a iniciar sessão no nome de domínio DNS. O meu domínio DNS é ad.activedirectorypro.com, é assim que o meu domínio é identificado.

Árvore do domínio

Quando adiciona um domínio filho a um domínio pai, cria o que se chama uma árvore de domínios. Uma árvore de domínios é apenas uma série de domínios ligados entre si de forma hierárquica, todos utilizando o mesmo espaço de nomes DNS. Se activedirectorypro.com fosse para adicionar um domínio chamado training, ou vídeos, seria nomeado training.activedirectorypro.com e videos.activedirectorypro.com. Estes domínios fazem parte da mesma árvore de domínios e é criada automaticamente uma confiança entre os domínios pai e filho.

Níveis funcionais

Níveis funcionais determinam que capacidades estão disponíveis no domínio. Níveis funcionais superiores permitem-lhe utilizar as mais recentes e maiores tecnologias no seu domínio Active Directory. Quando possível, utilize os níveis funcionais mais elevados para os controladores do seu domínio.

Forest

Uma floresta é uma colecção de árvores de domínio. A árvore de domínio partilha um esquema e um contentor de configuração comuns. A árvore de domínio está ligada entre si através de uma confiança transitória. Ao instalar o Active Directory pela primeira vez e criar um domínio, está também a criar uma floresta.

FQDN – Fully Qualified Domain Name

Fully Qualified Domain name é o hostname + o domínio, por exemplo, o meu domínio é ad.activedirectorypro.com, um computador no domínio com hostname PC1 pelo que o FQDN seria pc1.ad.activedirectorypro.com

FSMO

Um controlador de domínio tem múltiplas funções que são referidas como as funções FSMO. Estas funções estão todas instaladas no primeiro controlador de domínio numa nova floresta, é possível mover funções através de múltiplos DCs para ajudar no desempenho e failover.

  • div> Schema Master – O schema master é uma função em toda a floresta que trata de todas as alterações ao esquema do Active Directory.
  • div> Domain Naming Master – Este é um papel em toda a floresta que é o mestre dos nomes de domínio. Trata do namespace e da adição de nomes de domínio.
  • div> PDC Emulator – Esta função trata de alterações de palavra-passe, bloqueio de utilizadores, política de grupo e é o servidor de tempo para os clientes.
  • div> RID Master – Esta função é responsável pelo processamento de pedidos de pool RID de todos os DCs dentro do domínio. Quando são criados objectos tais como utilizadores e computadores é-lhes atribuído um SID único e um ID relativo (RID). A função RID master garante que os objectos não recebem a mesma SID e RIDs.
  • div> Infra-estrutura mestre – Esta é uma função de domínio amplo utilizada para referenciar objectos em outros domínios. Se os utilizadores do Domínio A forem membros de um grupo de segurança no Domínio B, a função de mestre de infra-estruturas é utilizada para referenciar as contas no domínio correcto.

    • Objectos

    Ao trabalhar com Active Directory, estará a trabalhar principalmente com objectos. Os objectos são definidos como um grupo de atributos que representam um recurso no domínio. A estes objectos é atribuído um identificador de segurança único (SID) que é utilizado para conceder ou negar o acesso do objecto a recursos no domínio. Os tipos de objectos padrão criados num novo domínio no Active Directory são:

    • Unidade Organizacional (OU) – Uma OU é um objecto contentor que pode conter diferentes objectos do mesmo domínio. Irá utilizar OU para armazenar e organizar, contas de utilizador, contactos, computadores e grupos. Irá também ligar objectos de política de grupo a uma OU.
    • Utilizadores – As contas de utilizador são atribuídas principalmente aos utilizadores para obter acesso aos recursos do domínio. Podem também ser usadas para executar programas ou serviços de sistema.
    • Computador – Este é simplesmente um computador que está ligado ao domínio.
    • Grupos – Existem dois tipos de objectos, um grupo de Segurança, e um grupo de distribuição. Um grupo de segurança é um agrupamento de contas de utilizadores que pode ser utilizado para fornecer acesso a recursos. Os grupos de distribuição são utilizados para listas de distribuição de correio electrónico.
    • Contactos – Um contacto é utilizado para fins de correio electrónico. Não é possível entrar no domínio como contacto e este não pode ser utilizado para obter permissões.
    • Pasta Partilhada – Quando se publica uma pasta partilhada no Active Directory, cria-se um objecto. A publicação de pastas partilhadas no AD facilita aos utilizadores a procura de ficheiros e pastas partilhadas dentro do domínio.
    • Share Printer – Tal como as pastas partilhadas, pode publicar impressoras para o Active Directory. Isto também torna mais fácil para os utilizadores encontrar e utilizar impressoras no domínio.

    LDAP (Lightweight Directory Access Protocol)

    LDAP é um protocolo de plataforma aberta utilizado para aceder a serviços de directório. O LDAP fornece o mecanismo de comunicação para aplicações e outros sistemas a utilizar para interagir com servidores de directórios. Em termos simples, o LDAP é uma forma de ligação e comunicação com o Active Directory.

    Global Catalog (GC)

    O servidor de catálogo global contém uma réplica completa de todos os objectos e é utilizado para efectuar pesquisas em toda a floresta. Por defeito, o primeiro controlador de domínio num domínio é designado como servidor de GC, recomenda-se ter pelo menos um servidor de GC para cada sítio para melhorar o desempenho.

    Jet Database Engine

    A base de dados Active Directory é baseada no motor Jet Blue da Microsoft e utiliza o Extensible Storage Engine (ESE) para trabalhar com os dados. A base de dados é um único ficheiro chamado ntds.dit, por defeito é armazenado na pasta %SYSTEMROOT%\NTDS e em cada controlador de domínio.

    Cesto de reciclagem

    O cesto de reciclagem Active Directory permite aos administradores recuperar facilmente itens apagados, isto não é activado por defeito. Como activar o guia passo a passo da Lixeira.

    Read-Only Domain Controller (RODC)

    ServidoresRODC possuem uma cópia apenas de leitura da base de dados do Active Directory e não permitem alterações ao AD. O seu objectivo principal é para sucursais e locais com pouca segurança física.

    Schema

    O esquema Active Directory define todas as classes de objectos que podem ser criadas e utilizadas numa floresta de Active Directory. Também define todos os atributos que podem existir num objecto. Por outras palavras, é um esquema de como os dados podem ser armazenados no Active Directory. Por exemplo, uma conta de utilizador é uma instância da classe de utilizador, utiliza atributos para armazenar e fornecer informação sobre esse objecto. Uma conta de computador é outra instância de uma classe que também é definida pelos seus atributos.

    Existem muitas classes e atributos, a menos que a sua programação ou resolução de algum problema avançado não seja necessário saber tudo sobre o esquema.

    SYSVOL

    O sysvol é uma pasta muito importante que é partilhada em cada controlador de domínio. A localização padrão é %SYSTEMROOT%\SYSVOL\sysvol e é composta do seguinte:

    • Objectos de política de grupo
    • Pastas
    • Scripts
    • Pontos de função

    Tombstone

    Tombstone é um objecto eliminado da AD que não foi removido da base de dados, o objecto permanece tecnicamente na base de dados durante um período de tempo. Durante este período de tempo, o objecto pode ser restaurado.

    Object Name Attributes

    Os seguintes são alguns atributos importantes com os quais se deve estar familiarizado ao trabalhar com o Active Directory.

    • userPrincipalName (UPN) – Este é um nome de logon comum que se encontra no formato de um endereço de correio electrónico. Uma UPN tem este aspecto, [email protected], uma UPN pode ser utilizada para iniciar sessão num domínio Windows.
    • objectGUID – Este atributo é utilizado para identificar de forma única uma conta de utilizador. Mesmo que a conta seja renomeada ou movida, o objectGUID nunca muda.
    • sAmAccountName – Este atributo é utilizador para logons de conta num domínio. Era o principal meio de acesso a um domínio para versões mais antigas do Windows, ainda pode ser utilizado em versões modernas do Windows.
    • objectSID – Este atributo é o identificador de segurança (SID) do utilizador. O SID é utilizado pelo servidor para identificar um utilizador e o seu grupo de membros para autorizar o acesso dos utilizadores aos recursos do domínio.
    • sIDHistory – Este atributo contém SIDs anteriores para o objecto do utilizador. Isto só é necessário se um utilizador tiver mudado para outro domínio.
    • Nome Distinto Relativo (RDN) – O RDN é o primeiro componente do nome distinto. É o nome do objecto no Active Directory relativamente à sua localização na estrutura hierárquica de AD
    • Nome Distinguido (DN) – O atributo DN localiza objectos no directório. Este atributo é normalmente utilizado por serviços e aplicações para localizar objectos no Active Directory. um DN é composto pelos seguintes componentes:
      • CN – nome comum
      • OU – unidade organizacional
      • DC – componente de domínio

    Grupos

    Grupos são utilizados para recolher contas de utilizadores, computadores e objectos de contacto em unidades de gestão. A criação de grupos facilita o controlo das permissões dos recursos e a atribuição de recursos tais como impressoras e pastas. Existem dois tipos de grupos

    • Distribuição – Os grupos de distribuição são utilizados por aplicações de correio electrónico para enviar facilmente um correio electrónico a um grupo de utilizadores.
    • Segurança – Os grupos de segurança são um grupo de contas que pode ser utilizado para facilmente atribuir a um recurso ou solicitar permissões. Por exemplo, se eu quisesse bloquear uma pasta para o departamento de RH poderia simplesmente colocar todos os funcionários num grupo de segurança e aplicar o grupo à pasta em vez de cada conta individual.

    Escopo do grupo

    Escopo do grupo identifica se o grupo pode ser aplicado no domínio ou na floresta. Aqui estão os três âmbitos de grupo:

    • Universal – Pode conter objectos de outros grupos universais e qualquer domínio na árvore ou na floresta.
    • Global – Pode conter objectos do domínio e ser utilizado em qualquer árvore ou floresta de domínio.
    • Domínio Local – Pode conter objectos de qualquer domínio mas só pode ser aplicado ao domínio em que foi criado.

    Recursos:

    Tombstone, Active Directory, and How to Protect it

    Active Directory Schema

    Forest and Domain Functional Levels

    Active Directory: Conceitos Parte 1

    Active Directory Services

    Active Directory inclui vários outros serviços que se enquadram no Active Directory Domain Services, estes serviços incluem

    Active Directory Certificate Services (AD CS)

    Esta é uma função de servidor que lhe permite construir uma infra-estrutura de chave pública (PKI) e fornecer certificados digitais para a sua organização. Os certificados podem ser usados para encriptar o tráfego de rede, tráfego de aplicações, e usados para autenticar utilizadores e computadores. Quando vê https num endereço de browser, isso significa que está a utilizar um certificado para encriptar a comunicação do cliente para o servidor.

    Active Directory Domain Services (AD DS)

    See Active Directory description

    Active Directory Federation Services (AD FS)

    O serviço de federação permite a entrada de um único sinal em sistemas externos como sites e aplicações web. O Office 365 é uma utilização comum para os serviços da federação. Ao entrar no Office 365, o nome de utilizador e a palavra-chave são redireccionados através do servidor da federação e as credenciais são verificadas em relação ao seu Active Directory no local. Assim, isto permite-lhe fornecer autenticação a sistemas externos utilizando o seu Active Directory local para autenticar o nome de utilizador e a palavra-passe.

    Active Directory Lightweight Directory Services (AD LDS)

    Este serviço fornece serviços de directório utilizando o protocolo LDAP sem a necessidade de instalar controladores de domínio. Este é utilizado principalmente para fornecer serviços de directório funcionalmente para aplicações habilitadas para directórios. Isto não substitui AD DS.

    Active Directory Rights Management Services (AD RMS)

    Este serviço fornece métodos para proteger a informação sobre conteúdos digitais. Protege documentos, definindo quem pode abrir, modificar, imprimir, encaminhar ou tomar outras acções sobre documentos. Também pode utilizar certificados para encriptar documentos para uma melhor segurança.

    Active Directory DNS

    Domain Name System é um serviço que fornece resolução de nomes, mais comummente hostname para resolução de endereços IP. Nesta secção, aprenderá sobre alguns dos componentes importantes do DNS.

    Registos de recursos

    Um registo de recursos é uma entrada no sistema DNS que ajuda a localizar recursos com base em IP ou num nome de domínio. Existem muitos tipos de registos de recursos, abaixo encontra-se uma lista de tipos de registos comuns:

    • A – mapeia um nome de anfitrião para um endereço IPv4
    • AAAA – mapeia um nome de anfitrião para um endereço IPv6
    • CNAME – mapeia um pseudónimo para um nome de anfitrião
    • MX – utilizado para localizar um servidor de correio
    • NS – específico um servidor de nomes para um domínio
    • PTR – mapeia um endereço IPv4 para um nome de anfitrião. O reverso de um registo A.
    • SOA – Contém informação administrativa
    • SRV – Utilizado para localizar servidores que hospedam serviços específicos
    • TXT – Pode conter vários dados. Utilizado frequentemente para verificação de domínios e razões de segurança.

    DNSDinâmico (DDNS)

    DNS Dinâmico é um método para os clientes registarem e actualizarem dinamicamente os seus registos de recursos com um servidor DNS. Isto permite aos clientes que utilizam DHCP actualizar automaticamente os seus registos DNS quando o seu endereço IP muda.

    Host Name

    Este é na maioria das vezes o registo DNS A, o nome DNS de um dispositivo que pode ser comunicado com. Por exemplo, um servidor com o nome de DC1. Se DC1 fosse registado no DNS, referir-se-ia a isso como o nome do anfitrião.

    Zonas

    Uma zona é utilizada para alojar os registos DNS de um determinado domínio. O tipo de zona mais importante e mais comummente utilizado é o Active Directory zonas integradas. Existem várias outras zonas com as quais deve estar familiarizado, eu cubro as outras zonas no meu artigo, Windows DNZones Zones Explained.

    DNS Envelhecimento e Limpeza

    Esta é uma característica que pode ser activada para ajudar a automatizar a limpeza de registos DNS obsoletos. Criei um post separado que explica mais e fornece instruções passo a passo para configurar o Envelhecimento e a Limpeza DNS.

    SRV Records Used by Active Directory

    Num domínio Windows, os registos SRV são utilizados pelos clientes para localizar controladores de domínio para Active Directory. Quando se instala o serviço AD DS o processo cria automaticamente os registos SRV para Active Directory.

      li>Active Directory cria os seus registos SRV nas seguintes pastas, onde Domain_Name é o nome do seu domínio:

      • Forward Lookup Zones/Domain_Name/_msdcs/dc/_sites/Default-First-Site-Name/_tcp Forward Lookup Zones/Domain_Name/_msdcs/dc/_tcp

    p> Aqui está uma captura de ecrã do meu DNS:

    p>

    Forwarders

    DNS forwarders são servidores que resolvem nomes de hosts que o seu servidor DNS interno não pode resolver, principalmente domínios externos como a navegação na Internet. Pode configurar-se para encaminhar pedidos DNS para qualquer servidor à sua escolha, muitas vezes quando um ISP é utilizado.

    Dicas de Raízes

    Servidor de Dicas de Raízes é outro método para resolver nomes de hosts que o seu servidor interno não pode resolver. A diferença é que estes servidores servem como zona DNS raiz para a Internet. São geridos por vários grandes organizados para segurança e redundância. Pode utilizar tanto as dicas de raiz como os forwards para resolver nomes externos.

    Recursos:

    Lista completa de tipos de registos de recursos DNS

    Como verificar que os registos DNS SRV foram criados para um controlador de domínio

    Dicas de raiz vs Encaminhadores

    Belas práticas de DNS

    Replicação activa de directório

    Replicação é o processo que assegura que as alterações feitas a um controlador de domínio são replicadas a outros controladores de domínio no domínio.

    Conexão de objectos

    Os objectos específicos de conexão que os controladores de domínio replicam uns com os outros, a frequência e os seus contextos de nomenclatura.

    KCC

    O verificador de consistência do conhecimento (KCC) é um processo que corre em todos os controladores de domínio e gera uma topologia de replicação baseada nos sítios, sub-redes e objectos de ligação a sítios.

    Subredes

    Uma subrede é uma porção lógica de uma rede IP. As sub-redes são utilizadas para agrupar dispositivos numa rede específica, muitas vezes por localização, edifício ou piso. Se tiver um ambiente multisite, o Active Directory precisa de conhecer as suas sub-redes para que possa identificar correctamente os recursos mais eficientes. Se esta informação não for fornecida, os clientes podem autenticar e utilizar o controlador de domínio errado.

    Site

    Um sítio é uma colecção de sub-redes. Os sítios do Active Directory ajudam a definir o fluxo de replicação e a localização de recursos para clientes tais como um controlador de domínio.

    Ligação de site

    Ligações de site permitem configurar que sites estão ligados entre si.

    Ponte de ligação de site

    Uma ponte de ligação de site é uma ligação lógica entre sites. É um método para representar logicamente a conectividade transitiva entre sítios.

    Topologia do sítio

    A topologia do sítio é um mapa que define a conectividade de rede para replicação e localização de recursos na floresta do Active Directory. A topologia do sítio é consistente de vários componentes, incluindo sítios, sub-redes, ligações de sítios, pontes de ligação de sítios, e objectos de ligação.

    Replicação do sítio

    Esta é a replicação que ocorre entre controladores de domínio no mesmo sítio.

    Replicação entre sítios

    Num ambiente com vários sítios, uma mudança num sítio precisa de ser replicada para o outro sítio. A isto chama-se Replicação entre Sítios.

    Recursos:

    Como funciona a Replicação Active Directory

    Conceitos de Replicação Active Directory

    Segurança Active Directory (Autenticação, Protocolos de Segurança, Permissões)

    Kerberos

    Kerberos é um protocolo de segurança que permite aos utilizadores provar com segurança a sua identidade para obter acesso aos recursos do domínio.

    Key Distribution Center (KDC)

    KDC é um serviço que funciona com controladores de domínio e fornece bilhetes de sessão utilizados no protocolo de autenticação Kerberos.

    Service Nomes Principais de Serviços (SPN)

    SPN é um identificador único de uma instância de serviço.

    NTLM

    NTLM é uma colecção de protocolos de segurança utilizados para autenticar, fornecer integridade e confidencialidade aos utilizadores. Kerberos é o protocolo de autenticação preferido e é utilizado nas versões modernas do Windows, NTLM ainda está disponível para clientes e sistemas mais antigos num grupo de trabalho.

    NTFS Permissões

    permissõesNTFS permitem definir quem está autorizado a aceder a um ficheiro ou pasta. Abaixo está uma lista das permissões básicas que pode definir:

    • Full Control – Isto dá aos utilizadores os direitos de adicionar, modificar, mover e apagar ficheiros e pastas.
    • Modificar – Dá aos utilizadores a visualização e direitos para modificar
    • Ler & Executar – Dá aos utilizadores a visualização e execução de direitos
    • Ler – apenas pronto direitos
    • Escrever – direito a um ficheiro e adicionar novas pastas

    Permissões de Partilha

    Permissões de Partilha definem o nível de acesso a recursos partilhados, tais como uma pasta. Existem três permissões partilhadas básicas:

    • Ler – Dá aos utilizadores direitos de visualização da pasta e subpastas
    • Alterar – Dá aos utilizadores direitos de leitura e modificação
    • Controlo total – Dá aos utilizadores direitos de modificação, modificação e leitura.

    Lista de controlo de acesso discricionário (DACL)

    Um DACL identifica qual a conta que permite ou nega o acesso a um objecto, tal como um ficheiro ou pasta.

    Entradas de Controlo de Acesso (ACE)

    DACL contém ACEs, o ACE define que conta e que nível de acesso deve ser concedido ao recurso. Se nenhum ACE estiver presente, o sistema nega todo o acesso ao objecto.

    Lista de Controlo de Acesso ao Sistema (SACL)

    O SACL permite aos administradores registar tentativas de acesso a um objecto de segurança.

    Política de Senha de Grão Fino

    Uma funcionalidade no Windows 2008 e superior que permite definir diferentes políticas de senha e bloqueio de conta para diferentes contas. Geralmente, todas as contas devem ter a mesma política mas poderá ter uma conta de serviço ou uma conta muito específica que necessite de uma política diferente. Por exemplo, a nossa conta wifi para convidados continuava a ser bloqueada devido a más tentativas de palavra-passe. Utilizei uma política de palavra-passe com uma multa concedida para definir um bloqueio de conta superior ao resto do domínio.

    Recursos:

    Kerberos for the Busy Admin

    Síntese Técnica da Autenticação do Windows

    Diferenças entre Permissões de Partilha e NTFS

    Listas de Controlo de Acesso

    Consolas de Gestão de Directório Activo

    Esta secção inclui as consolas de gestão que terá de utilizar para gerir as várias tecnologias de Directório Activo. Terá de instalar as Ferramentas de Administração do Servidor Remoto (RSAT) para aceder a estas consolas de gestão.

    Active Directory Users and Computers (ADUC)

    Esta é a consola mais frequentemente utilizada para gerir utilizadores, computadores, grupos e contactos.

    Shortcut: dsa.msc

    Active Directory Administrative Center (ADAC)

    Starting with Server 2008 R2 A Microsoft introduz o ADAC para gerir os seus objectos de serviço de directório. Esta consola pode ser utilizada para criar e gerir contas de utilizador, contas de computador, grupos, e unidades organizacionais. Fornece a mesma funcionalidade que a ferramenta Active Directory Users and Computers. Devido à interface complicada, prefiro o ADUC a esta consola.

    Active Directory Domains and Trusts

    Esta consola é utilizada para elevar o modo de domínio ou o nível funcional de um domínio ou floresta. É também utilizada para gerir as relações de confiança.

    Atalho: domínio.msc

    Active Directory Sites and Services

    Esta é a consola principal para gerir a replicação. Esta consola é utilizada para gerir objectos de topologia de sítios, objectos de ligação, programação de replicação, forçar manualmente a replicação, activar o catálogo global, e activar o cache de grupo universal.

    Atalho: dssite.msc

    ADSI Edit

    Active Directory Service Interfaces Editor é uma ferramenta GUI que pode ser utilizada para gerir objectos objecto no Active Directory. Esta ferramenta fornece acesso a dados de objectos que não estão disponíveis no Active Directory Users and Computers.

    Atalho: adsiedit.msc

    Gestão DFS

    Esta consola é utilizada para gerir espaços de nomes DFS e replicação DFS.

    Atalho: dfsmgmt.msc

    DHCP

    Esta consola é utilizada para criar escopos DCHP, ver informação de aluguer e todas as coisas DHCP.

    Atalho: dhcpmgmt.msc

    DNS

    Esta consola é utilizada para criar zonas DNS, registos de recursos e gerir todas as coisas DNS.

    Atalho: dnsmgmt.msc

    Gestão de políticas de grupo

    Atalho: gpmc.msc

    PowerShell

    Embora não seja uma consola de gestão, é a ferramenta mais poderosa para automatizar tarefas administrativas. PowerShell pode acelerar muitas tarefas de rotina que as ferramentas de gestão de GUI não podem fazer.

    Recursos:

    Dynamic Host Control Protocol (DHCP)

    Dynamic Host configuration protocol is a service that provides centralized control of IP address. Quando o seu computador se liga a uma rede com ou sem fios, um servidor DHCP é contactado para encontrar e atribuir-lhe um endereço IP disponível.

    Escopo

    Um escopo DHCP é um conjunto de definições de endereço IP que são configuradas para dispositivos tais como um computador a utilizar. Pode criar vários âmbitos para diferentes tipos de dispositivos e sub-redes. Por exemplo, tenho um escopo para computadores e diferentes escopos para telefones IP. Ao configurar um escopo, terá de configurar o seguinte:
    • Nome do escopo – Este é o nome do escopo. Dê-lhe um nome descritivo para que seja fácil identificar para que dispositivos se destina.
    • Gama de endereços IP – Esta é a gama de IP que pretende que os dispositivos utilizem. Por exemplo 10.2.2.0/24
    • exclusões de endereço IP – Pode especificar para excluir o endereço IP do âmbito de aplicação. Isto é útil se tiver dispositivos na sub-rede que precisem de um IP estático como um router ou servidor.
    • Duração do aluguer – O aluguer especifica por quanto tempo um cliente tem um endereço IP antes de o devolver ao pool.
    • Opções DHCP – Há várias opções diferentes que pode incluir quando DHCP atribui um endereço IP. Mais sobre isto abaixo

    DHCP opções

    Existem muitas opções DCHP, abaixo estão as opções mais comummente utilizadas num domínio Windows.

    • 003 router – O gateway padrão da sub-rede
    • 005 servidor DNS – O endereço IP dos clientes do servidor DNS deve ser utilizado para a resolução de nomes.
    • 015 DNS Domain Name – O sufixo DNS que o cliente deve utilizar, muitas vezes o mesmo que o nome de domínio.

    Filtragem DHCP

    Filtragem DHCP pode ser utilizada para negar ou permitir dispositivos baseados no seu endereço MAC. Por exemplo, utilizo-a para bloquear a ligação de dispositivos móveis à nossa rede wifi segura.

    Supercópios

    Um superscópio é uma colecção de escopos individuais de DHCP. Este pode ser utilizado quando se pretende unir a âmbitos de aplicação. Sinceramente, nunca usei isto.

    Split Scopes

    Este é um método de fornecer tolerância a falhas para um escopo de DHCP. A utilização de DHCP failover não é o método preferido para a tolerância a falhas.

    DHCP Failover

    DCHP failover foi uma nova funcionalidade que começou na versão de servidor 2012. Permite que dois servidores DHCP partilhem informação de leasing, fornecendo alta disponibilidade para serviços DCHP. Se um servidor ficar indisponível, o outro servidor assume o controlo.

    Recursos:

    Parâmetros de DHCP

    Política de grupo

    Política de grupo permite gerir centralmente as configurações do utilizador e do computador. Pode utilizar a política de grupo para definir políticas de senhas, políticas de auditoria, ecrã de bloqueio, unidades de mapa, implementar software, uma unidade, configurações do Office 365 e muito mais.

    Objectos de política de grupo (GPO)

    GPO’s são uma colecção de definições de políticas que utiliza para aplicar a computadores ou utilizadores.

    Frequência de actualização da política de grupo

    Estações de trabalho de clientes e servidores membros actualizam as suas políticas de 90 em 90 minutos. Para evitar sobrecarregar os controladores de domínio, é adicionado um intervalo aleatório de offset a cada máquina. Isto evita que todas as máquinas solicitem actualizações da política de grupo a partir do CD ao mesmo tempo e, potencialmente, a sua avaria.

    Processamento de políticas

    A política de grupo aplica-se na seguinte ordem

    • Local
    • Site
    • Domínio
    • Unidade Organizacional (OU)

    Bloquear herança

    Por defeito, os objectos de política de grupo são herdados. Para alterar este comportamento, pode usar a opção de herança em bloco a nível da UO.

    No Override

    Se quiser aplicar políticas e evitar que estas sejam bloqueadas, utilize a opção no override.

    Configurações do utilizador

    Num GPO existem configurações do utilizador e do computador. As definições de utilizador só se aplicam a objectos de utilizador. Se configurar as definições de utilizador no GPO, o GPO deve ser aplicado a objectos de utilizador.

    Configurações do computador

    As definições do computador numa GPO são definições que podem ser aplicadas a um computador. Se configurar as definições do computador, a GPO deve ser aplicada a objectos de computador.

    Conjunto de Política Resultante (RsoP)

    Conjunto de Política Resultante é uma ferramenta da Microsoft que está integrada no Windows 7 e versões posteriores. Fornece aos administradores um relatório sobre que configurações de política de grupo estão a ser aplicadas a utilizadores e computadores. Também pode ser usado para simular definições para fins de planeamento.

    Tenho um tutorial completo no meu artigo Como usar o RSoP para verificar e solucionar problemas de definições de políticas de grupo.

    Preferências de política de grupo

    Preferências de política de grupo são usadas principalmente para configurar definições que podem ser posteriormente alteradas ao nível do cliente. As preferências também têm a opção de fazer algumas direcções avançadas, como a aplicação a uma determinada OU, versão Windows, utilizadores num grupo e assim por diante. As preferências são normalmente utilizadas para configurar o seguinte:

    • Mapatilhos de drives
    • Configurações de registo
    • Instalar impressoras
    • Tarefas de programação
    • Configuração de ficheiros e pastas
    • Configuração de alimentação

    Templates

    Pode instalar modelos adicionais de política de grupo para estender os GPO padrão fornecidos pela Microsoft. Alguns modelos comuns utilizados são Office 365, Chrome, Firefox e os fornecidos por aplicações de terceiros. Os templates são ficheiros baseados em xml geralmente em formato ADM ou extensão de ficheiro ADMX.

    Recursos:

    Arquitectura de Políticas de Grupo

    Visão Geral de Políticas de Grupo

    Evitei alguma coisa? Tem alguma coisa para partilhar? Deixe-me saber nos comentários abaixo.

    Ferramenta Recomendada: SolarWinds Server & Application Monitor

    p> Este utilitário foi concebido para monitorizar Active Directory e outros serviços críticos como DNS & DHCP. Rapidamente detectará problemas de controlador de domínio, evitará falhas de replicação, rastreará tentativas de logon falhadas e muito mais.

    O que eu mais gosto no SAM é que é fácil de usar o painel de controlo e as funcionalidades de alerta. Também tem a capacidade de monitorizar máquinas virtuais e armazenamento.

    Download Your Free Trial Here

    Deixe uma resposta

    O seu endereço de email não será publicado. Campos obrigatórios marcados com *