Aprenda o Active Directory do Zero 100% Curso Gratuito

>> O link será enviado via Whatsapp, Para receber o link do curso preencha o campo ao lado.

Active Directory Leonardo Duarte

Novidades do Active Directory

Introdução

active directory

Tudo o que você precisa saber sobre a administração do Active Directory permanece o mesmo das suas versões anteriores seja no Windows 2000 ou Windows Server 2003. Mas como toda tecnologia é necessário que ao longo do tempo sofra mudanças e melhorias e assim o Active Directory agora conta com vários novos e atraentes recursos que permitem que o administrador possa aplicar novos itens de segurança e controle.

Controladores de Domínio Somente Leitura – Read Only Domain Controllers (RODC)

Uma das melhorias do Active Directory junto ao Windows Server 2008 é a opção de pode instalar um controlador de domínio somente leitura também chamado de RODC. Essa melhoria faz parte dos novos itens de segurança pois por padrão um controlador de domínio armazena todos os dados críticos de um ambiente Microsoft, incluindo senhas e tokens de acesso. Um controlador de domínio que tem a função de RODC, suas partições do Active Directory ficam somente em modo leitura. Em outras palavras sua base de atualização necessita ser alterada por outro controlador de domínio.

Quando usar um RODC?

Você deve utilizar um RODC em cenários onde a segurança física não pode ser aplicada ou uma parte dela está comprometida, ou seja, um RODC é adequado para sites do Active Directory que não tem um usuário que é membro do grupo de administradores do domínio.

O RODC facilita que as empresas ou organizações implementem de forma fácil e transparente um servidor de controlador de domínio somente leitura em cenários onde o armazenamento de senhas dos usuários é considerado crítico.

Com exceção das senhas do usuários, um servidor RODC possui a maioria dos objetos e dos atributos do Active Directory.

Aviso

As alterações não podem ser feitas ao banco de dados que é armazenado no RODC. As alterações devem ser feitas em um controlador de domínio com permissão de escrita nas suas partições e depois replicadas de volta no RODC.

Como funciona a replicação dos atributos no RODC?

Somente alguns atributos são replicados para o RODC. Você pode especificar de forma dinâmica quais atributos NÃO serão replicados, isto é chamado de RODC filtered attribute set.

Os atributos que você definiu no RODC filtered atribute set não estão autorizados a replicar para qualquer RODC da floresta.

Se o RODC insistir em replicar esses atributos de um controlador de domínio que esteja executando o Windows Server 2008 a solicitação de replicação será negada.

Uma boa prática de segurança em ambientes do Active Directory é garantir que a floresta seja configurada no mínimo no nível funcional do Windows Server 2008.

Replicação UniDirecional

Como nenhuma alteração é gravada diretamente no RODC, nenhuma alteração se origina no RODC. Somente os controladores de domínios que possuem suas partições com permissão de escrita e leitura (write) podem iniciar alterações. Assim caso algum RODC seja comprometido ou sofra qualquer tipo de alteração indevida esta informação não será replicada na floresta.

Cache de Credenciais

O cache de credenciais é o armazenamento de credenciais de usuário ou computador, incluindo a senha do usuário, expressa em número de valores hash. Por padrão, um RODC não armazena credenciais de usuário ou computador. As exceções são a conta de computador do RODC e uma conta especial krbtgt que cada RODC tem.

Você pode alterar o comportamento do cache de credenciais no RODC, alterando a diretiva de replicação em um controlador de domínio. Você pode eleger um RODC de uma determinada filial para armazenar em cache as credenciais de todos os usuários. Desta maneira todos os usuários da filial serão capazes de fazer logon mesmo se houver uma indisponibilidade de acesso aos controladores de domínios de escrita caso o link WAN esteja fora.

Aviso

Para o primeiro logon dos usuários o acesso ao controlador de domínio de escrita deve estar disponível para que as credenciais possam ser armazenadas pelo RODC.

Delegação Administrativa

Dependendo do tipo de cenário, existe algumas situações que você pode por exemplo delegar permissões locais em um RODC para um determinado usuário e este usuário pode logar em RODC e instalar por exemplo as atualizações de segurança.

Como funciona o DNS no RODC?

Você pode instalar normalmente o DNS em um RODC e até é recomendável que você faça isso pois como você deve saber o RODC ele replica todas as partições de diretório do Active Directory incluindo ForestDNSZones e DomainDNSZones. Outro fator importante é caso o DNS seja instalado junto o RODC isso vai permitir que os computadores clientes consultem o servidor para poder resolver nomes DNS para por exemplo acessar a Internet.

Aviso

Um servidor DNS junto ao RODC não pode oferecer ao cliente a opção de atualizar dinamicamente seu registro no DNS uma vez que o RODC não tem permissões de escrever ou gravar dados na partição do Active Directory ele vai informar ao cliente qual o servidor NS responsável e então o registro é atualizado e depois replicado para o RODC.

Active Directory Auditoria

Um dos pontos críticos que foram melhorados desde a versão do Windows 2000 e Windows 2003 do Active Directory foi a questão de auditoria. Antigamente não havia uma política de auditoria, exemplo auditoria de acesso ao serviço de diretório. Já com o Windows Server 2008 o Active Directory ganhou alguns recursos adicionais de auditoria do serviço de diretório. Agora ele conta com as seguintes categorias:

  • Acesso ao Serviço de Diretório (Directory Service Access)
  • Alterações no Serviço de Diretório (Directory Service Changes)
  • Replicação do Serviço de Diretório (Directory Service Replication)
  • Detalhes da Replicação do Serviço de Directory (Detailed Directory Service Replication)

A política de auditoria global por padrão é ativado no Windows Server 2008. A categoria de Alterações no Serviço de Diretório (Directory Service Changes) também é ativada por padrão apenas para eventos registrado com êxito.

Quando ocorre uma modificação ou alteração bem sucedida o Active Directory registra os valores anteriores e atuais do atributo. Se um novo objeto é criado por exemplo um usuário os valores de atributos são gravados no momento da criação.

Quando ocorre por exemplo uma alteração onde um determinado objetivo é movido dentro de um domínio, os registros de localização anterior e nova localização são gravados.

Política de Senha Granular – Fine-Grained Passoword Policies

voceSabia

 

Um comportamento padrão no Windows Server 2000 e no Windows Server 2003 do Active Directory é que as configurações de bloqueio de diretiva de senha e conta para todos os usuários no domínio são controladas pela Diretiva de Domínio Padrão. Caso você precisasse por exemplo que uma determina política de senhas se aplicasse ao um grupo especifico de usuários isso não era possível. Já no Windows Server 2008 o Active Directory conta um recurso chamado fine-grained password policies onde estão disponíveis opções de especificar várias diretivas de senha dentro de um único domínio. Agora os Administradores do domínio podem criar definições de políticas de senhas separadas para diferentes tipos de usuários do domínio.

Aviso

O Fine-grained password policies no Active Directory junto ao Windows Server 2008 pode ser aplicado aos objetos de usuário ou para os grupos de segurança globais. Você não pode aplicar a política de senha refinadas diretamente para uma unidade organizacional (OU).

Políticas de senha refinadas no Windows Server 2008 pode ser aplicado a objetos de usuário ou para grupos de segurança global. Você não pode aplicar a política de senha refinadas diretamente para uma unidade organizacional (OU).

Como utilizar a Política de Senha Granular?

Para criar uma política de senha diferente para os usuários de uma OU, você deve aplicar a política de senha para um grupo de segurança global em OU onde haverá poucas modificações, em outras palavras uma OU onde este grupo não será movido.

Restart do Serviço de Diretório do Active Directory – ADDS

Agora com o Windows Server 2008 o Active Directory permite que o administrador execute diversas funções off-line sem ter que reiniciar o servidor de controlador de domínio. Nas versões com o Windows Server 2000 e Windows Server 2003 funções como desfragmentar o bando de dados do Active Directory, era necessário reinicializar o controlador de domínio e entrar no modo de restauração dos serviços de diretório pressionando a teclado F8 durante o boot. Já com o Windows Server 2008, você pode parar o ADDS e realizar as atualizações necessárias, enquanto outros serviços ainda executam no servidor por exemplo DHCP, serviços de impressão, etc.

Aviso

Tenha em mente que os serviços dependentes, como DNS e KDC não funciona sem AD DS; serviços dependentes serão interrompidos quando o AD DS está parado.

Novidades do Active Directory no Windows Server 2008 R2

Agora com o Windows Server 2008 R2 o Active Directory teve as seguintes melhorias:

Lixeira do Active Directory ou Active Directory Recycle Bin

As vezes durante a administração do Active Directory pode ocorrer casos onde de forma acidental ou proposital objetos são deletados e diante disso com o Windows Server 2008 R2 você pode restaurar estes objetos rapidamente sem ter a necessidade de entrar no modo de manutenção do Active Directory como era feito no Windows Server 2000, Windows Server 2003 e Windows Server 2008.

A lixeira do Active Directory funciona para o AD DS e o AD LDS. Para utilizar este recurso o nível funcional da floresta precisa estar no Windows Server 2008 R2.

Módulo do Active Directory para Windows PowerShell

Agora com o Windows Server 2008 R2 o Active Directory possui um módulo dentro do Windows PowerShell, em outras palavras você tem acesso a linha de comando com script de administração, configuração e tarefas de diagnósticos utilizando toda estrutura e sintaxe do Windows PowerShell.

 Active Directory Administrative Center

O Active Directory Administrative Center é um interface desenvolvida no Windows PowerShell que permite a administração de tarefas de manutenção, como backup; tarefas orientadas a eventos, como adicionar um usuário; ou tarefas de diagnóstico que você executa para corrigir falhas do sistema.

Active Directory Best Practices Analyzer

O Active Directory Best Practices Analyzer (BPA) te ajuda a identificar desvios das melhores práticas nas implantações do Active Directory. Ele também conta com cmdlets do Windows PowerShell para coletar dados em tempo real. O BPA analisa as configurações do Active Directory que podem causar um comportamento inesperado. Em seguida, ele faz recomendações de configuração do Active Directory no contexto de sua implantação.

Active Directory Web Services

O Active Directory Web Services fornece uma interface de serviço Web para domínios Active Directory e instâncias do AD LDS, incluindo snapshots, que estão sendo executados no mesmo servidor Windows Server 2008 R2 como ADWS.

Offline domain join

O Offline domain join permite que os computadores sejam ingressados ao domínios mesmo que não estejam conectados diretamente na rede. Assim você pode preparar imagens de computadores reduzindo o tempo necessário para implantar computadores dentro de um domínio.

Managed Service Accounts

O Managed Service Accounts fornece a opção de gerenciamento simples de contas de serviço. Este recurso pode ajudar os administradores reduzindo interrupções de serviço por exemplo quando uma conta muda de senha. Em outras palavras com este recurso as contas tem suas senhas alteradas automaticamente quando a diretivas de senha por exemplo expirar.

Bridgehead Server Selection

O Bridgehead Server Selection permite que os controladores de domínio utilizem o equilíbrio de carga conexões de entrada. Desta forma existe uma seleção uniforme da carga de trabalho entre servidores BridgeHead.

Novidades do Active Directory no Windows Server 2012

Virtualização

Com o Windows Server 2012 agora é possível clonar um controlador de domínio utilizando as novas melhorias dos recursos de virtualização presentes no Windows Server 2012.

Implementação simplificada

O processo de atualização e preparação conhecidos como dcpromo e adprep foram substituídos pelo assistente de promoção de controlador que já é nativamente integrado ao Server Manager

Os processos de atualização e preparação (dcpromo e adprep) foram substituídos por um novo assistente de promoção do controlador de domínio de forma mais simples que é integrado com o Gerenciador do Servidor e construído sobre o Windows PowerShell.  Também é possível instalar o Active Directory com este assistente em um servidor remoto.

Gerenciamento simplificado

Você pode por exemplo executar tarefas gráficas que geram automaticamente os comandos equivalentes do Windows PowerShell. Os comando podem ser facilmente copiados e colados e um script para simplificar as automações de tarefas administrativas repetitivas.

O Active Directory é um dos principais serviços em uma infraestrutura de TI Microsoft e a maioria dos seus recursos iniciais foram pensados para serem utilizados em um ambiente local. Com o advento da Virtualização e da nuvem (cloud computing) haverá situações onde um ambiente terá instalações hibridas do Active Directory e você pode alcançar este objetivo de forma satisfatório utilizando tanto o Windows Server 2012 e o Windows Server 2012 R2.

Como aprender mais sobre este assunto?

Você pode aprender mais sobre o Active Directory adquirindo nosso curso avançado basta clicar na imagem abaixo:

  • Neste curso você vai aprender como planejar, instalar, configurar e administrar o Active Directory mesmo que você não saiba nada.
  • Você vai poder fazer o download de todas as vídeos-aulas incluindo todos os scripts utilizados no curso.
  • Você vai ter acesso aos seguintes bônus: Simulados para Certificação MCSA Windows 8 e MCSA Windows 2012 e Junto com o Ebook Sobre o Active Directory.
  • Grupo Exclusivo no Facebook sobre o Curso Active Directory
  • Acesso direto ao Instrutor Leonardo Duarte – Via Skype para esclarecer dúvidas.

capa-ad

Sobre o autor | Website

Meu nome é Leonardo Duarte sou profissional de TI com mais de 18 anos de experiência em produtos da Microsoft. Possuo diversas certificações: MCP/MCT/MCTS/MCSA/MCSE

Que tal um Curso Microsoft Gratuito com Certificado Internacional? Não fiquede fora junte-se aos 1100 alunos já inscritos.

Aprenda o Active Directory do Zero - Curso 100% Gratuito Para receber o link do curso preencha o campo abaixo.

Por gentileza, se deseja alterar o arquivo do rodapé,
entre em contato com o suporte.