Instalando e Gerenciando o Active Directory

Introduo

Pgina 2

Requisitos

Pgina 4

Instalao do Active Directory

Pgina 4

Instalando o DNS

Pgina 12

Active Directory

Pgina 15

100 Usurios

Pgina 21

Configurando os usurios atravs de comandos

Pgina 25

Final

Pgina 28

1|P g in a

Introduo O Active Directory um servio implantado primeiramente no Windows 2000 Server e tem como finalidade manter e permitir o gerenciamento de dados como contas de usurios, grupos, computadores, impressoras, servidores, etc. Como o AD composto por objetos, os itens citados anteriormente so tratados como tal. Atravs do AD trabalhamos com o conceito de Domnio ao invs de Grupo de Trabalho(Workgroup). Trabalhando em domnio, o controle da rede mais simples e prtico do que em um grupo de trabalho. Como j existe MUITO material sobre o AD disponvel gratuitamente na internet, farei apenas uma breve explicao antes de comearmos a prtica. O conceito bsico j foi dito nos pargrafos acima, mas interessante voc visualizar para que entenda melhor o funcionamento e a diferena entre um grupo de trabalho e uma rede com um domnio. O AD segue a seguinte estrutura: Floresta rvore Domnio Iremos trabalhar apenas com um domnio e por este motivo no ser possvel na prtica entender o funcionamento e relao entre florestas, rvores e domnios distintos. A base do AD a floresta, ela pode conter um ou mais domnios. Um domnio em uma hierarquia com um ou mais de um domnio faz parte de uma rvore:

2|P g in a

Como dito anteriormente, em um AD os dados so armazenados em forma de objeto:

Para tornar mais prtico o gerenciamento destes objetos, os mesmos podem ser armazenados em Unidades Organizacionais conhecidas tambm como UO ou OU (Organizational Unit):

Para que consiga compreender de uma forma mais simples, pense nos objetos como arquivos e as unidades organizacionais como pastas. 3|P g in a

Requisitos Alguns destes requisitos j foram vistos no documento anterior: Partio NTFS. Placa de rede com um endereo de IP fixo. Conexo de rede ativa. Servio DNS disponvel*. *Caso no exista um servio de DNS disponvel, durante a instalao do AD possvel efetuar a instalao. Instalao do Active Directory Para iniciar a instalao do AD, clique em Iniciar, Executar, digite dcpromo e tecle ENTER:

Como criaremos um novo domnio, escolha a primeira opo e avance:

4|P g in a

Como o nosso primeiro domnio, consequentemente a nossa primeira floresta, ento selecione a primeira opo. 1 Opo - Um novo domnio em uma nova floresta. Caso este seja o primeiro domnio da sua organizao ou se quer um novo domnio completamente independente de uma floresta que voc j tenha atualmente.

2 Opo - Um novo domnio filho em uma rvore de domnio existente. Caso queira que este domnio seja filho de um domnio existente. Por exemplo, se o domnio pai chama-se wesk.info, o domnio filho chamaria-se filho.wesk.info.

3 Opo - Uma nova rvore de domnio em uma floresta existente. Caso queira uma nova rvore com um novo domnio independente do que voc j tem atualmente.

5|P g in a

Lembrando: Primeira opo.

Na prxima tela voc escolher o FQDN (Fully Qualifield Domain Name) que uma forma nica de identificao de um domnio, um subdomnio ou um computador em um domnio. Exemplo: Se o nome do seu domnio abc.local qualquer computador que esteja neste domnio se chamar nome.abc.local. Ou em caso de um subdomnio a mesma coisa, filho.abc.local e um computador neste subdomnio se chamaria nome.filho.abc.local. Escolha o FQDN e avance:

6|P g in a

Por questes de compatibilidade com verses antigas do Windows, escolha um nome NetBIOS para o domnio:

Nesta tela definido onde ficar armazenado o banco de dados e os logs do AD:

7|P g in a

Nesta tela definido onde ficar o SYSVOL(Volume de Sistema) que uma pasta compartilhada por padro que armazena algumas informaes importantes do AD e GPO.

No nosso caso no temos nenhum servio DNS instalado ainda e por este motivo a tela abaixo exibida. Mantenha a opo destacada e siga adiante:

8|P g in a

No teremos nenhum servidor anterior a verso 2000 e tambm por questes de segurana, para que nenhum acesso annimo seja permitido em nosso servidor escolha a opo destacada abaixo e prossiga:.

Escolha uma senha para ser utilizada caso seja necessrio inicializar o sistema no Modo de Restaurao do Servio de Diretrio:

Anote esta senha ou escolha uma senha fcil de lembrar.

9|P g in a

Leia o resumo de todas as configuraes efetuadas e caso esteja tudo correto, prossiga:

Aguarde at alguns minutos e aps o trmino da instalao do Active Directory, reinicie o computador:

10 | P g i n a

11 | P g i n a

Agora a instalao finalizou, a tela de logon aps ter transformado o computador em um DC(Controlador de domnio) a seguinte:

Instalando o DNS Em nosso exemplo o DNS no estava instalado e foi instalado durante a implantao do AD. Veremos aqui como feito essa instalao manualmente. Abra o Painel de Controle e em seguida v em Adicionar e remover programas, clique em Adicionar/remover componentes do Windows, selecione Networking Services e clique em Details:

12 | P g i n a

Selecione o servio DNS, clique em OK e prossiga com a instalao:

Ao trmino da instalao v em Administrative Tools e em seguida abra o gerenciamento do DNS ou ento digite dnsmgmt.msc no Executar e tecle ENTER:

Neste caso, no h nenhuma zona criada. Caso deixarmos para instalar o DNS junto com a instalao do AD, a zona direta(Forward) criada, restando criar apenas a zona reversa. Como instalamos o DNS manualmente, vamos criar ambas as zonas de consulta. 13 | P g i n a

Para criar a zona direta clique com o boto direito em Forward Lookup Zones e v em New Zone e siga as instrues: Selecione a primeira opo: Primary Zone. Escolha o nome da zona: wesk.intranet. Mantenha padro o nome do arquivo. Mude a opo para Allow both nonsecure and secure dynamic updates. Pronto! Para criar a zona reversa clique com o boto direito em Reverse Lookup Zones e v em New Zone e siga as instrues: Selecione a primeira opo: Primary Zone. Coloque a faixa de IP da sua rede. Mantenha padro o nome do arquivo. Mude a opo para Allow both nonsecure and secure dynamic updates. Pronto! Agora as zonas de pesquisa esto criadas. Veja se os registros relacionados ao seu servidor esto criados em ambas zonas. No meu caso, o nome do meu servidor WESK-DC:
Zona de pesquisa direta:

Zona de pesquisa inversa:

14 | P g i n a

Caso estes registros no estejam criados, basta cria-los manualmente clicando com o boto direito em cima da zona criada e em seguida em New Host (A):

Digite o nome do computador e o IP para qual deseja associar o registro:

importante marcar a opo destacada acima para que automaticamente seja criado o registro equivalente na zona de pesquisa inversa (Reverse Lookup Zones). Se tudo correr da forma correta voc recebera uma mensagem semelhante a esta:

O que costumo fazer aps finalizar estes passos verificar o Log de eventos para identificar se tudo est funcionando normalmente. Caso no tenha nenhum erro grotesto com que me deva preocupar, eu limpo o log de eventos e reinicio o computador para depois verificar novamente se todos os servios iniciaram sem problemas. Para iniciar o Log de eventos (Event View) basta localiz-lo em Administrative Tools ou digitar eventvwr.msc no Executar. Active Directory Para iniciar o AD basta abrir o item Active Directory Users and Computers ou digitar dsa.msc no Executar. Agora veremos pela primeira vez a cara do AD e poderemos visualizar na prtica os seus objetos. 15 | P g i n a

Vemos que dentro do domnio temos os seguintes itens: Builtin Grupos padres (Administradores, Convidados, Operadores de conta, etc). Computers Todos os computadores que so ingressados no domnio. Domain Controllers Todos os controladores de domnio deste domnio. ForeignSecurityPrincipals Armazena informaes sobre relaes de confiana entre domnios externos. Users Usurios padres (Administrador, Usurios do domnio, etc). Todos os itens listados acima so chamados de containers, exceto o Domain Controllers que tratado como uma OU (Unidade Organizacional).
Nvel funcional do domnio

Quando instalamos o AD o mesmo configurado para que seja compatvel com o Windows 2000/NT 4.0 e por este motivo ele trabalha em modo misto, o que consequentemente reduz os recursos devido a incompatibilidade. Para melhor compreenso, recomendo a leitura: Funcionalidade de domnio e de floresta Aumentando os nveis funcionais do domnio e da floresta J que no temos nenhum computador com o Windows 2000/NT 4.0 instalado, elevaremos o nvel funcional do domnio clicando com o boto direito em cima do continer raiz e em seguida escolha a opo Raise Domain Functional Level:

16 | P g i n a

Marque a opo Windows Server 2003 e clique em Raise: Antes de efetuar essa alterao, saiba que ela irreversvel.

Logo em seguida ser exibido a mensagem abaixo:

Para criarmos OUs e os seus respectivos objetos, vamos simular que temos os seguintes departamentos e usurios: Dep. Pessoal Pedro Silva Roberta Simes Jlio Csar Camila Soares Financeiro Renata Oliveira Jaqueline Souza Paula Abreu Felipe Soares Rafaela Gonalves Renato Martins Comercial Flvia Aguiar Juliana Alves Samuel Barbosa Paulo Almeida TI Ramires Santos Diretoria Gustavo Peanha Daniel Gomes

Antes que criar as OUs relacionadas aos departamentos, costumo criar uma OU com o nome da empresa e dentro dela crio as demais. Prefiro desta forma pois axo que fica melhor a visualizao. comum criar tambm um grupo para cada departamento, em nosso caso um para cada OU. Estes grupos sero utilizados quando for necessrio configurar permisses de acesso caso formos compartilhar arquivos atravs deste servidor. 17 | P g i n a

Vamos a prtica:

Resultado:

Para criar os usurios, basta clicar em cima da OU com o boto direito, ir em New e em seguida User e preencha os campos requisitados. Em User logon name o nome utilizado para o usuro logar na rede. No recomendvel o uso de acentuao. Ao utilizar o nome da pessoa comum colocarmos o nome e o sobrenome para que no haja conflitos caso tenha outra pessoa com o mesmo primeiro nome. Tente criar o usurio com as opes padro. Provavelmente voc recebeu a mensagem abaixo por ter tentando criar o usurio com uma senha considerada simples/insegura:

18 | P g i n a

Cancele a criao do usurio e vamos ajustar a poltica de segurana do domnio para adequar-se ao nosso gosto. Abra Domain Security Policy dentro de Administrative Tools e siga at o item Password Policy:

Vamos ver a descrio dos itens(em portugus): Aplicar histrico de senhas - Essa configurao de segurana determina o nmero de senhas novas e exclusivas que precisam ser associadas a uma conta de usurio antes que uma senha antiga possa ser reutilizada. O valor deve estar entre 0 e 24 senhas. Durao mxima da senha - Essa configurao de segurana determina o perodo de tempo (em dias) pelo qual uma senha pode ser utilizada antes de o sistema solicitar ao usurio a sua alterao. possvel configurar senhas para expirar aps um intervalo entre 1 e 999 dias, ou especificar que as senhas nunca expiraro definindo o nmero de dias igual a 0. Se a durao mxima da senha estiver entre 1 e 999 dias, Durao mnima da senha deve ser menor que a durao mxima da senha. Se a durao mxima da senha for igual a 0, sua durao mnima pode ser qualquer valor entre 0 e 998 dias. Durao mnima da senha - Essa configurao de segurana determina o perodo de tempo (em dias) pelo qual uma senha deve ser utilizada antes que o usurio possa alter-la. Voc pode definir um valor entre 1 e 998 dias, ou pode permitir alteraes imediatas definindo o nmero de dias como 0. A durao mnima da senha deve ser menor que a Durao mxima da senha, a menos que a segunda seja configurada como 0, indicando que as senhas nunca expiram. Se a durao mxima da senha for igual a 0, sua durao mnima pode ser qualquer valor entre 0 e 998. Configure a durao mnima da senha para ser superior a 0 se voc desejar que Aplicar histrico de senhas seja efetivo. Sem uma durao mnima da senha, os usurios podem percorrer as senhas repetidas vezes at chegarem a uma antiga de sua preferncia. A configurao padro no segue essa recomendao de modo que um administrador possa especificar uma senha para um usurio e depois exigir que este altere a senha definida pelo administrador quando fizer logon. Se o histrico de senhas for definido como 0, o usurio no precisar escolher uma nova senha. Por esse motivo, Aplicar histrico de senhas definido por padro como 1. Comprimento mnimo da senha - Essa configurao de segurana determina o menor nmero de caracteres que a senha de uma conta de usurio pode conter. Voc pode definir um valor entre 1 e 14 caracteres, ou pode estabelecer que no necessrio senha definindo o nmero de caracteres como 0. A senha deve satisfazer a requisitos de complexidade - Essa configurao de segurana determina se as senhas devem satisfazer a requisitos de complexidade.

19 | P g i n a

Se esta diretiva estiver ativada, as senhas precisaro atender aos seguintes requisitos mnimos: No conter partes significativas do nome da conta do usurio ou o nome todo Ter pelo menos seis caracteres de comprimento Conter caracteres de trs das quatro categorias a seguir: Caracteres maisculos do ingls (A-Z) Caracteres minsculos do ingls (a-z) 10 dgitos bsicos (0-9) Caracteres no-alfabticos (por exemplo, !, $, #, %) Os requisitos de complexidade so impostos quando as senhas so criadas ou alteradas. Armazenar senhas usando criptografia reversvel - Essa configurao de segurana determina se o sistema operacional armazena senhas usando criptografia reversvel. Esta diretiva oferece suporte a aplicativos que usam protocolos que exigem o conhecimento da senha do usurio para fins de autenticao. Armazenar senhas usando criptografia reversvel basicamente o mesmo que armazenar verses das senhas em texto sem formatao. Por esse motivo, a diretiva jamais deve ser ativada, a menos que os requisitos de aplicativo sejam mais importantes que a necessidade de proteger as informaes sobre senha. Essa diretiva necessria no uso da autenticao protocolo de autenticao de handshake de desafio (CHAP) atravs de acesso remoto ou de servios de autenticao de Internet (IAS). Ela tambm necessria quando a autenticao Digest usada em IIS (servios de informaes da Internet). Leia mais em Diretivas de Senha. Agora que vimos quais so as opes, eu j escolhi a minha:

Aqui estamos fazendo apenas testes e aprendendo a trabalhar com essas polticas, porm extremamente importante saber que esses pequenos detalhes fazem parte de uma mudana cultural de qualquer empresa e algo que tem que ser bem transparente e tratado com cuidado. de responsabilidade do cliente deve decidir quais opes escolher, mas de nossa responsabilidade explicar estas opes e apontar o melhor caminho de acordo com o que o mesmo deseja. Com a configurao efetuada, normalmente necessrio executar o comando gpupdate /force no Executar e aguardar alguns minutos ou em alguns casos pode ser necessrio a reinicializao do servidor. Pronto. Comece a criao dos nossos 17 usurios.

20 | P g i n a

100 usurios Antes de comearmos este tpico, aviso que necessrio um conhecimento mnimo de LDAP e seus atributos e tambm de Excel para que entendam e saibam como efetuar essa importao. Para aqueles que querem entender um pouco sobre LDAP: http://support.microsoft.com/kb/196455/pt-br http://pt.wikipedia.org/wiki/LDAP http://www.computerperformance.co.uk/Logon/LDAP_attributes_active_directory.htm Voc j imaginou o trabalho que teria caso precisasse criar 100 contas de usurios com os nomes completos, nome de usurio e as respectivas senhas? Existe uma maneira de facilitar este trabalho e irei demonstrar aqui como iremos fazer! Para realizar essa tarefa utilizaremos um programa chamado CSVDE. Ele um programa nativo no Windows Server 2003 que nos permite importar/exportar objetos do AD para um arquivo em formato de texto. Descrio da sigla: Comma (Vrgula) Delimita os dados com uma vrgula. CSV um formato ideal para o Excel. Separated (Separado) Divide uma string de dados de modo que cada propriedade se encaixe em uma coluna LDAP. Value (Valor) Focamos nos valores ao invs das propriedades. Data (Dados) Mais uma vez se concentre nas informaes e no se preocupe com os objetos. Exchange (Troca) Move os dados da planilha para o AD e vice-versa. A descrio acima foi retirada do site Computer Performance e pode ser lida atravs deste link: http://www.computerperformance.co.uk/Logon/Logon_CSVDE.htm#What_CSVDE_means_ Toda traduo foi feita livremente sem seguir fielmente o que estava escrito. Todo o contedo sobre CSVDE foi absolvido do site citado acima com adaptaes e modificaes minha. Caso voc tenha uma boa leitura em ingls, recomendo ler diretamente do site tambm. Traduzindo a sigla CSVDE, ficaria algo como: Troca de dados atravs de valores separados por vrgula. Atravs dos atributos do LDAP iremos determinar quais campos queremos preencher (Primeiro Nome, Segundo Nome, Descrio, etc). Utilizaremos os seguintes atributos:

21 | P g i n a

O arquivo CSV ter o seguinte formato:

Copie, salve com qualquer nome .csv:

objectClass,givenName,cn,description,displayName,sAMAccountName,DN user,Usurio 1,Usurio 1 Sobrenome,Comercial,Usurio 1 Sobrenome,usuario1,"CN=Usurio 1 Sobrenome,OU=Comercial,OU=WESK,DC=WESK,DC=INTRANET"

Vamos abrir este arquivo no Excel:

Ao abrir a janela, siga os passos: Escolha a opo Delimitado e avance. Deixe apenas as opes Vrgula e Considerar delimitadores consecutivos como um s: " marcadas e conclua.

O resultado ser esse:

Um macete para que voc no precise digitar toda vez o atributo DN o seguinte: Apague a clula G2 onde estar o valor CN=Usurio 1 So... Copie o contedo abaixo: = "CN=" & C2 & ",OU=" & D2 & ",OU=WESK,DC=WESK,DC=INTRANET" Na clula G2, pressione F2, cole o contedo e pressione ENTER. Lembre-se que DN a identificao nica do objeto. Veja como ficou: CN=Usurio 1 Sobrenome,OU=Comercial,OU=WESK,DC=WESK,DC=INTRANET Nome do objeto + Caminho + Dominio.

22 | P g i n a

Com todos os usurios criados (At o Usurio 100):

Vamos salvar o arquivo para import-lo no servidor. Aps salvar o arquivo, perceba que o Excel salva com ; ao invs da vrgula e ele remove as aspas tambm. Utilizando o prprio Word ou ento o Notepad++ como eu costumo fazer, eu simplesmente substituo o ; pela , e adiciono as aspas em seu devido lugar:

23 | P g i n a

O resultado ser este:

Podemos apenas selecionar tudo e copiar o contedo e em seguida criar um arquivo j no servidor e colar as informaes. Com o arquivo salvo, vamos import-lo:

Lembrem-se que eu j havia criado as OUs: WESK o Comercial o Dep. Pessoal o Diretoria o Financeiro o TI Para criar as OUs atravs do arquivo CSV, simplesmente crie o arquivo com o contedo abaixo e importe-o da mesma forma que fizemos com os usurios:
DN,objectClass "OU=WESK,DC=WESK,DC=INTRANET",organizationalUnit "OU=Comercial,OU=WESK,DC=WESK,DC=INTRANET",organizationalUnit "OU=Dep. Pessoal,OU=WESK,DC=WESK,DC=INTRANET",organizationalUnit "OU=Diretoria,OU=WESK,DC=WESK,DC=INTRANET",organizationalUnit "OU=Financeiro,OU=WESK,DC=WESK,DC=INTRANET",organizationalUnit "OU=TI,OU=WESK,DC=WESK,DC=INTRANET",organizationalUnit

24 | P g i n a

O resultado da importao dos usurios ser este:

Configurando os usurios atravs de comandos Lembre-se que no prprio arquivo eu j havia configurado para onde os usurios iriam. Desta forma ficou dividido entre as OUs criadas anteriormente. Se voc observar a imagem, perceber um X nos usurios. Este X indica que o usurio est desativado. Talvez voc esteja se perguntando: Mas pera... Eu tive esse trabalho para poupar tempo de criar os usurios manualmente, mas pelo visto terei que ativar todos os 100 usurios manualmente?! A resposta ... NO! Da mesma forma que temos um jeito mais prtico de criar grandes quantidades de usurios, tambm temos formas mais prticas de ativar os usurios, configurar uma senha para eles, entre outras personalizaes. No prompt de comando vamos utilizar dois programas, o DSQuery que utilizado para efetuar pesquisas no AD de acordo com critrios que especificarmos. Tambm utilizaremos o DSMod para efetuarmos as devidas configuraes nos objetos do AD. Utilizem o comando abaixo: DSQuery user "OU=WESK,DC=WESK,DC=INTRANET" -name * -Limit 0 Entendendo os parmetros:
user "OU=WESK,DC=WESK,DC=INTRANET" -name * -Limit 0 Tipo de Caminho Retorna Retorna objeto. do(s) objeto(s). o (s)objeto(s) independente do nome. o resultado independente da quantidade.

25 | P g i n a

O resultado dever ser este:

Agora vamos efetuar a pesquisa novamente e j adicionar o comando DSMod para que o resultado, no caso os usurios, sejam alterados:
DSQuery user "OU=WESK,DC=WESK,DC=INTRANET" -name * -Limit 0 | DSMod user -disabled no

O comando DSMod utilizado, faz com que o parmetro disabled do objeto seja alterado para no ou seja, o objeto passa a ter o status de ativado: DSMod user disabled no O resultado dever ser este:

26 | P g i n a

Agora, v no AD, clique em alguma OU e pressione o F5 para ver que os usurios foram ativados com sucesso! Utilize o comando DSMod user /? para ter as mais diversas opes de configurao dos usurios. Como por exemplo: Password never expires / Senha nunca expira:
DSQuery user "OU=WESK,DC=WESK,DC=INTRANET" -name * -Limit 0 | DSMod user -pwdneverexpires yes

A senha dos usurios configurada para Wesk@2011:

DSQuery user "OU=WESK,DC=WESK,DC=INTRANET" -name * -Limit 0 | DSMod user -pwd Wesk@2011

27 | P g i n a

Final Encerramos por aqui. No WESK.INFO voc encontrar outros textos relacionados ao Windows Server. Espero que tenha conseguido passar um pouco de conhecimento para quem leu! Qualquer comentrio sobre este documento pode ser enviado atravs do e-mail wesk@hotmail.com.br ou whit3sh4rk@gmail.com ou ainda pelo prprio tpico no site. No pude revisar o documento da forma que queria, ento caso encontre algum erro grotesco peo que me informe para tomar as devidas providncias. No posso deixar de recomendar alguns links que me ajudaram e ajudaro vocs nos estudos: http://jordanomazzoni.com.br/ http://douglasfilipe.wordpress.com/ http://www.atillaarruda.com.br/ http://blogs.technet.com/b/brzad/ http://blogs.technet.com/b/robsonsilva/ http://www.windowsnetworking.com/ http://www.computerperformance.co.uk/ http://www.itcentral.com.br/

Existem dezenas de sites interessantes sobre o assunto, basta dar uma googlada por a.
Abraos. Bruno Carvalho (whit3_sh4rk / wesk)

Esta obra est licenciada sob uma Licena Creative Commons. http://creativecommons.org/licenses/by-nc-sa/3.0/deed.pt_BR

28 | P g i n a