certificacao ms70-640
DESCRIPTION
certificacao ms70-640TRANSCRIPT
![Page 1: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/1.jpg)
Certificacao MS 70-640
Active directory
![Page 2: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/2.jpg)
O que são domínios ?
• Os domínios, principais unidades funcionais da • estrutura lógica do Active Directory.• Os domínios têm três principais funções:• 1. Fornecer um limite administrativo para objetos• 2. Permitir um gerenciamento seguro aos recursos • 3. Proporcionar uma unidade de replicação para • objetos
![Page 3: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/3.jpg)
Objetos do domínio.
• Usuários • Grupos• Computadores • Impressoras• Pastas Compartilhadas • Unidades Organizacionais
![Page 4: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/4.jpg)
Banco de dados do Active Directory
• No banco de dados do AD ficam armazenados objetos
• do domínio. O computador que possui o banco de • dados do Active Directory é o Controlador de
Domínio.• O nome do banco de dados do Active Directory é • NTDS.DIT e ficam armazenado por padrão • na pasta %SYSTEMROOT%\NTDS
![Page 5: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/5.jpg)
Arquivos do banco de dados do AD
• NTDS.DIT – Arquivo de banco de dados físico que • guarda o conteúdo do Active Directory.• EDB.CHK – Arquivo de ponto de verificação que • rastreia até onde as transações no arquivo de log • foram confirmadas.• EDB.LOG – Arquivo de log primário• TMP.EDB – Banco de dados temporário para as • transações.
![Page 6: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/6.jpg)
Serviços de Diretório
• Active Directory Certificate Services (AD CS) • Active Directory Domain Services (ADDS)• Active Directory Federation Services (ADFS) • Active Directory Lightweight Directory
Services (ADLDS)• Active Directory Rights Management Services • (ADRMS)
![Page 7: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/7.jpg)
Active Directory Certificate Services (AD CS)
• oferece solução para emissão e administração de
• certificados usados em sistemas de segurança que
• utilizam a tecnologia de chave públicas e privadas.
![Page 8: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/8.jpg)
Active Directory Domain Services (ADDS)
• O AD DS permite um gerenciamento centralizado e • seguro de toda uma rede. Armazena as informações • sobre objetos na rede e gerencia a comunicação entre • os usuários e os domínios, incluindo processos de • logon do usuário, autenticação e pesquisas de • diretório.• O Active Directory Domain Services era anteriormente • chamado de Active Directory
![Page 9: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/9.jpg)
Active Directory Rights Management Services
• (ADRMS) permite proteger e controlar o acesso a
• informações confidenciais — como em documentos e
• e-mails.
![Page 10: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/10.jpg)
Active Directory Federation Services (ADFS)
• permite estabelecer confiança entre diferentes • entidades organizacionais dando aos usuários
finais • um logon único (SSO) entre empresas• Active Directory Lightweight Directory Services • (ADLDS) é um serviço de diretório LDAP.• O ADLDS era anteriormente chamado de Active • Directory Application Mode (ADAM)
![Page 11: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/11.jpg)
Instalação do ADDS
• Para instalar o Active Directory Directory Services • (ADDS) você deve ser membro do grupo Administradores do
servidor que irá instalar o ADDS.• O Active Directory pode ser instalado de 3 maneiras:• 1 - Administrative Tools > ServerManager > Roles > • Add Roles > Selecione o Active Directory Domain • Services.(em seguida execute o comando DCPROMO)• 2 - Através do comando Servermanagercmd.exe –I • ADDS-Domain-Controller. (em seguida execute o • comando DCPROMO).• 3 - Através do comando: DCPROMO. (uma única vez)
![Page 12: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/12.jpg)
A estrutura lógica do Active Directory
• Árvore de domínios. Os domínios são agrupados em estruturas hierárquicas são chamados árvores de domínios.
• Floresta. Uma floresta é uma instância completa do Active Directory Domain Services, que consiste em uma ou mais árvores.
![Page 13: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/13.jpg)
Níveis funcionais
• Operações em níveis funcionais são irreversíveis.• Existem 3 níveis funcionais de domínio:• Windows 2000 native• Windows Server 2003• Windows Server 2008• E 3 níveis funcionais de floresta• Windows 2000• Windows Server 2003• Windows Server 2008
![Page 14: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/14.jpg)
Níveis funcionais
• Aumentar nível funcional do domínio:• Active Directory Users And Computers• Aumentar nível funcional da floresta• Active Directory Domains and trusts• Nível funcional Windows Server 2003 aceita
DC com • Windows Server 2003 ou superior e assim por
diante.
![Page 15: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/15.jpg)
Read Only Domain Controller
• Read Only Domain Controller (RODC) é um • Controlador de domínio adicional somente leitura.• Para instalar um RODC é necessário o nível funcional • da floresta Windows Server 2003 ou superior.• Por padrão o RODC não armazena senhas de contas de • usuário. Você deve popular a cache manualmente.• Password Replication Policy (PRP) permite definir • quais usuários terão sua senha armazenada em cache.
![Page 16: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/16.jpg)
Read Only Domain Controller
• Prepare (stage) um RODC criando uma conta de • computador no Active Directory Users and Computers• Em Domain Controllers usando o assistente:• Pre-Create Read-only Domain Controller Account• wizard.• Você Pode escolher qualquer usuário do domínio para • anexar (attach) um RODC no domínio. • Somente servidores em WorkGroup podem ser pré-• criados para ser um RODC. • O usuário que você escolheu deve usar o comando • dcpromo /useexistingaccount:attach .
![Page 17: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/17.jpg)
Ferramentas de Gerenciamento
• Active Directory Domains and Trusts
• Active Directory Sites and Services
• Active Directory Users and Computers
• ADSI Edit – (Active Directory Service Interfaces • Editor)
• LDP
![Page 18: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/18.jpg)
Active Directory Domains and Trusts
• - Usado para gerenciar relações de confiança de florestas e domínios, acrescentar sufixos ao nome principal do usuário e alterar os níveis funcionais de florestas e domínios
![Page 19: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/19.jpg)
Active Directory Sites and Services
• – Utilizado para criar e gerenciar os serviços ,sites e a replicação de dados do diretório.
![Page 20: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/20.jpg)
Active Directory Users and Computers
• - Um MMC (Microsoft Management Console) usado para gerenciar e publicar informações no Active Directory.
• Você pode gerenciar contas de usuário, grupos, contas de computadores, acrescentar computadores a um domínio.
![Page 21: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/21.jpg)
ADSI Edit – (Active Directory Service Interfaces)
• Editor) Um editor LDAP (Lightweight Directory Access Protocol ) que permite gerenciar objetos e atributos no Active Directory.
![Page 22: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/22.jpg)
LDP
• – Permite a conexão com o banco de dados do • AD ou uma instancia LDS a fim de consultar,
editar ou pesquisas dados do diretório.
![Page 23: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/23.jpg)
Nomes distintos
• Nomes distintos identificam o domínio de um objeto e o caminho para encontrá-lo.
• CN=Felipe Donda,• OU=Diretoria,• DC=mcpbrasil,• DC=com
![Page 24: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/24.jpg)
Ferramentas de linha de comando
• Dsadd• Dsmod• Dsmove• DSrm• Dsquery• Dsget
![Page 25: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/25.jpg)
• Dsadd – Adiciona objetos no Diretório • Exemplo adicionar conta de usuário:• Dsadd cn=Donda, ou=TI, dc=mcpbrasil,
dc=com
![Page 26: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/26.jpg)
• Dsmod – Modifica objetos no Diretório• Exemplo definir uma senha:• dsmod user
cn=Donda,ou=TI,dc=mcpbrasil,dc=com"
![Page 27: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/27.jpg)
• Dsmove – Move objetos no Diretório• Exemplo mover para outra OU• dsmove cn=Donda, ou=TI, dc=mcpbrasil,
dc=com • -newparent “ou=Suporte,
dc=mcpbrasil ,dc=com"
![Page 28: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/28.jpg)
• DSrm – Remove objetos do Diretório• Exemplo: excluir conta de usuário• dsrm "cn=Donda, ou=Suporte, dc=mcpbrasil,
dc=com
![Page 29: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/29.jpg)
• Dsquery – Busca objetos no Diretório• Exemplo: Ler toda informação de um objeto
na • ou=test• dsquery * ou=test,dc=mcpbrasil,dc=com -
scope base• attr *
![Page 30: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/30.jpg)
• Dsget – Exibe informações sobre objetos no Diretório
• Exemplo: Trazer nome de todos usuários da ou=TI
• dsquery "ou=TI,dc=mcpbrasil,dc=com" | get user -fn
![Page 31: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/31.jpg)
Ferramentas de Importação e exportação
• CSVDE – Importa e Exporta objetos do diretório
• utilizando arquivos .CSV (Separado por virgula)• Exemplo para importar:• csvde –i –f usuarios.csv• Exemplo para exportar usuários da ou TI• csvde -d "ou=TI,DC=mcpbrasil,dc=com“ –f • usuarios.csv -r objectClass=user
![Page 32: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/32.jpg)
Ferramentas de Importação e exportação
• LDIFDE - Importa e Exporta objetos do diretório
• utilizando arquivos .LDF • Exemplo para importar:• ldifde –i –f usuarios.ldf• Exemplo para exportar computadores• ldifde –f usuarios.ldf -r
(objectclass=computer)"
![Page 33: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/33.jpg)
Nome principal do usuário (UPN)
• O nome principal de usuário (UPN) identifica o usu
• de determinado domínio: [email protected]
![Page 34: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/34.jpg)
Sites (Estrutura Física)• Em sua rede física, um site representa um conjunto de
computadores conectados por uma rede de alta velocidade, como uma rede local (LAN).
• No AD DS, um objeto de site representa os aspectos site físico a fim de gerenciar a replicação dos dados de diretório entre os controladores de domínio
• Replicação consiste no processo de atualizar informações no Active Directory de um controlador d domínio para outros controladores de domínio em uma rede
• Os objetos de sites e os objetos associados a eles são replicados em todos os controladores de domínio na floresta. É possível gerenciar os objetos utilizando a
• ferramenta Active Directory Sites and Services.
![Page 35: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/35.jpg)
KCC (knowledge consistency checker)
• O KCC knowledge consistency checker é um processo interno executado em cada controlador de domínio que gera a topologia de replicação para todas as partições de diretório contidas no controlador de
• domínio.
![Page 36: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/36.jpg)
IFM (Install from Media)
• O recurso IFM permite instalar um controlador de
• domínio adicional a partir da media de backup.• A utilização de IFM reduz a quantidade de
dados • replicados. O ADDS deve estar iniciado para
executar • esta operação.
![Page 37: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/37.jpg)
IFM (Install from Media)
• Para criar uma media para criação de um domain• controller adicional escolha entre as opções:• create full %s – Cria uma mídia IFM completa para o • ADDC ou AD/LDS.• create rodc %s – Cria uma mídia IFM para um Read-• Only DC• create Sysvol full %s – Cria uma mídia IFM com o • SYSVOL para um ADDC.• create Sysvol RODC %s – Cria uma mídia IFM com o • SYSVOL para um RODC.
![Page 38: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/38.jpg)
IFM (Install from Media)
• Exemplo:• No prompt de comando digite:• ntdsutil• Activate Instance NTDS • IFM• create full e:\mediaifm• Após criar a media no Windows Server 2008 R2 no • qual deseja promover a Domain Controller adicional, • execute o DCPROMO /ADV e na janela Install from• Media aponte para os arquivos recém criados.
![Page 39: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/39.jpg)
Partições do AD
• O banco de dados do Active Directory é dividido logicamente em partições. Cada partição é uma unidade de replicação e cada uma delas tem sua própria topologia de replicação.
![Page 40: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/40.jpg)
Partições do AD
![Page 41: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/41.jpg)
schema
• Esquema (Schema). Possui dois tipos de definições: • classes e atributos de objetos.• As classes de objetos são modelos ou plantas dos • objetos que podem ser criados no Active Directory.• Atributos definem os possíveis valores a serem • associados a uma classe de objeto.• Schema
![Page 42: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/42.jpg)
Partições do AD
• Para editar o schema é necessário registrar a dll• schmmgmt.dll e ser pelo menos do grupo
schema• admins• Iniciar -> executar -> Regsvr32 schmmgmt.dll• Use o Snap-In “Active Directory Schema” para
editar o• schema.
![Page 43: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/43.jpg)
Catalogo Global
• Localiza objetos - Uma solicitação de pesquisa será • encaminhada à porta 3268 do catálogo global .• Fornece a autenticação do nome principal do • usuário.• Um servidor de catálogo global resolve o nome • principal do usuário (UPN) quando o controlador de • domínio da autenticação desconhece a conta de • usuário. • Valida as referências de objeto em uma floresta.• Os controladores de domínio usam o catálogo global • para validar as referências a objetos de outros • domínios na floresta.
![Page 44: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/44.jpg)
Catalogo Global
• Fornece informações sobre a associação ao grupo • universal em um ambiente de vários domínios.• O controlador de domínio também pode descobrir • associações de um usuário ao grupo local do domínio e • ao grupo global e a associação a esses grupos não será • replicada no catálogo global.• Se um servidor de catálogo global não estiver • disponível quando um usuário efetuar logon em um • domínio em que os grupos universais estão • disponíveis, o computador cliente do usuário poderá • usar as credenciais armazenadas em cache para fazer • logon .• O administrador do domínio (conta • Administradores internos) pode sempre efetuar logon• no domínio, mesmo quando um servidor de catálogo • global não estiver disponível.
![Page 45: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/45.jpg)
Objetos de Sites
• Sites - Os objetos de sites são localizados no contêiner• de sites. Em todos os sites, há um objeto de • Configurações de Site NTDS. Esse objeto identifica o • ntersite Topology Generator (ISTG). • Sub-redes - Os objetos da sub-rede identificam os • ntervalos dos endereços IP em um site.• Servidores - Os objetos de servidor são criados • automaticamente quando você adiciona a função de • servidor Active Directory Domain Services
![Page 46: certificacao ms70-640](https://reader034.vdocuments.site/reader034/viewer/2022052304/557202ba4979599169a3fe6f/html5/thumbnails/46.jpg)
Objetos de Sites• Configurações NTDS - Todo objeto de servidor contém• um objeto de Configurações NTDS, que representa o • controlador de domínio no sistema de replicação. • Também é possível Habilitar ou desabilitar o catálogo • global em um servidor através do NTDS Settings.• Conexões - Os parceiros da replicação dos servidores • de um site são identificados pelos objetos de conexão. • A replicação ocorre em uma direção.• Links de sites - Os links de site representam o fluxo da • replicação entre os sites. Representa a conexão física • de longa distância (WAN) entre dois ou mais sites• Transportes IP e SMTP entre sites - A replicação usa a • chamada de procedimento remoto (RPC) no • ransporte IP ou SMTP