Administração de Sistema Operacional de Rede Windows Server-2003 TECNOLÓGICOS Ricardo de Oliveira Joaquim Introdução ao Active Directory O Active Directory armazena informações sobre recursos em toda a rede e torna aos usuários mais fácil localizar, gerenciar e utilizar estes recursos. O Active Directory é constituído de múltiplos componentes. Você deve entender os componentes e como utilizá-los para administrar o Active Directory. O que é o Active Directory Serviço de Diretório Funcionamento n apenas uma vez para AD n Efetua Single logon point of administration n n Organiza Organize n n Gerencia Manage n n Controla Control Gerenciamento Centralizado Recursos Resources n a partir n Gerenciamento Full user accessdireto to directory de um localby central resources a single logon O que é o Active Directory O Active Directory surgiu da necessidade de se ter um único diretório, ou seja, ao invés do usuário ter uma senha para acessar o sistema principal da empresa, uma senha para ler seus e-mails, uma senha para se logar no computador, e varias outras senhas, com a utilização do AD, os usuários poderão ter apenas uma senha para acessar todos os recursos disponíveis na rede. Podemos definir um diretório como sendo um banco de dados que armazena as informações dos usuários. Introdução O Active Directory surgiu com Windows 2000 Server. Objetos como usuários, grupos, membros dos grupos, senhas, contas de computadores, relações de confiança, informações sobre domínio, unidades organizacionais, etc., ficam armazenados no banco de dados do AD. Para que os usuários possam acessar os recursos da rede, estes deverão efetuar o logon. Quando o usuário faz o logon o AD verifica se as informações fornecidas pelos usuários são validas e faz a autenticação. Gerenciamento Centralizado Um servidor executando o Windows 2003 armazena a configuração do sistema, os perfis de usuário e a informação no Active Directory. Permite que usuários efetuem o logon apenas uma vez para obterem acesso a recursos através do Active Directory. Elementos do Active Directory: Domínio A unidade central da estrutura lógica no Active Directory é o domínio. Um domínio é uma coleção de computadores, definidos por um administrador, que compartilham um banco de dados de diretório comum. Um domínio tem um nome exclusivo e fornece acesso a contas de usuário centralizadas e contas de grupo mantidas pelo administrador do domínio. Elementos do Active Directory: Workgroup A inclusão de uma máquina em um grupo de trabalho local ou Workgroup determina que ela possa ser utilizada por um grupo de usuários, que deve requisitar uma autorização local (na próxima máquina) para ter acesso ao sistema operacional. No Windows 2003 Server com Active Directory, os grupos de trabalho são definidos como grupos de usuários, agrupados conforme um critério à escolha do administrador. Elementos do Active Directory: Árvore (tree) O domínio inicial do Active Directory, que gerencia toda a estrutura de serviços, e denominado, na organização lógica do Active Directory, como tree root domain. Dependendo das necessidades organizacionais, maid domínios podem ser adicionados a essa estrutura, criando uma árvore formada por servidores de domínios. Uma árvore de domínios consiste de uma organização de domínios W2K3 que compartilham um nome e relações de confiança bidirecionais, e que não precisam ser necessariamente fixas. Uma vez criado o domínio com função de tree root domain, é possível adicionar, à estrutura de serviços, child domains (domínios-filhos). Nessa ocasião, automaticamente são criados relações de confiança entre domínios-filhos e o parent domain, envolvendo o acesso a informação sobre contas de usuários, serviços e grupos de trabalho. Elementos do Active Directory: Floresta (forest) O termo forest (floresta) designa o conjunto de uma ou mais árvores. O primeiro domínio da estrutura lógica de domínios Windows Server cria uma árvore e uma floresta. Esta última pode ser acrescida de outros domínios, assim como novas árvores. Entre o domínio de topo da árvore e o domínio de topo da floresta, cria-se uma relação de confiança bidirecional e transitiva, de modo que todos os domínios de uma floresta confiem uns nos outros. Objetos do Active Directory Objetos do Active Directory Os objetos do Active Directory representam recursos de rede, como usuários, grupos, computadores e impressoras. Além disto, todos os servidores, domínios e sites na rede também são representados como objetos. Pelo fato do Active Directory representar todos os recursos de rede como objetos em um banco de dados distribuído, um único administrador pode gerenciar e administrar centralmente estes recursos. Quando você cria um objeto, as propriedades, ou atributos deste objeto armazenam as informações que descrevem o objeto. Esquema do Active Directory O esquema do Active Directory contém as definições de todos os objetos, como computadores, usuários e impressoras que estão armazenados no Active Directory. Os dois tipos de definições no esquema são classes de objetos e atributos. Classes de objetos descrevem os objetos de diretório possíveis de serem criados. Cada classe de objeto é uma coleção de atributos. Atributos são definidos separadamente a partir de classes de objetos. Cada atributo é definido apenas uma vez e pode ser utilizado em múltiplas classes de objetos. Por exemplo, o atributo Descrição é utilizado em muitas classes de objetos, mas é definido apenas uma vez no esquema para garantir a consistência. Esquema do Active Directory Esquema do Active Directory O Bco Dados do AD, armazena o esquema. Armazenar o esquema em um banco de dados significa que o esquema: • Está dinamicamente disponível aos aplicativos de usuário, o que significa que outros aplicativos de usuário podem ler o esquema para descobrir que objetos e propriedades estão disponíveis para utilização. • É dinamicamente atualizável, o que permite que um aplicativo estenda o esquema com novos atributos e classes de objetos e então utilize estas extensões de esquema imediatamente. Instalação : Windows Server-2003 Instalação do Ad e criação do domínio O primeiro passo vá ate o menu iniciar>executar, na linha a seguir digite dcpromo e clique em ok. . Instalação do Ad e criação do domínio A janela do “Assistente para instalação do Active Directory” irá aparecer. Clique no botão “Avançar”. Instalação do Ad e criação do domínio Na janela de “Compatibilidade de sistema operacional” leia os requisitos mínimos dos clientes do AD. A seguir, clique no botão “Avançar”. Instalação do Ad e criação do domínio Na janela de “Tipo de controlador de domínio”, selecione a opção “Controlador de domínio para um novo domínio” e clique no botão “Avançar”. Instalação do Ad e criação do domínio Na janela de “Criar novo domínio”, selecione a opção “Domínio em uma nova floresta” e clique no botão “Avançar”. Instalação do Ad e criação do domínio A janela de “Novo nome de domínio” é a opção mais importante na criação do AD. Como todo o sistema do AD é baseado no DNS, a criação do nome de domínio irá afetar toda a operação da rede. Instalação do Ad e criação do domínio Entre com o nome DNS completo do domínio, por exemplo: contoso.com.br Clique no botão “Avançar”. Instalação do Ad e criação do domínio Este parte poderá demorar alguns minutos, pois o sistema irá procurar pelo servidor DNS e verificar se o nome já existe. Na janela de “Nome do domínio NetBIOS”, aceite a opção padrão (que é o primeiro nome do domínio DNS) e clique no botão “Avançar”. Instalação do Ad e criação do domínio Na janela de “Pastas do banco de dados e log”, lembre-se que a partição deverá ser NTFS e você somente deverá alterar os caminhos padrões por motivos de desempenho. O caminho “\Windows\NTDS” é o local onde serão armazenados os dados do AD. Aceite as opções padrões e clique no botão “Avançar”. Instalação do Ad e criação do domínio Na janela de “Volume de sistema compartilhado”, a partição também deverá ser NTFS e somente deverá ser alterado caso haja problemas de desempenho. O caminho “\Windows\SYSVOL” é o local onde serão armazenados as GPOs e scripts do AD e esta pasta é replicada para todos os outros DC. Aceite a opção padrão e clique no botão “Avançar”. Instalação do Ad e criação do domínio Se o servidor DNS não estiver ativo ou configurado corretamente, você verá o seguinte aviso: Instalação do Ad e criação do domínio Em geral, o primeiro DC do AD também é o servidor DNS (que é o caso do nosso artigo). Lembre-se que o servidor DNS requerido pelo AD deve aceitar registro SRVs e atualizações dinâmicas. Portanto, o mais recomendável é utilizar o servidor DNS do Windows Server 2003 e deixar que o assistente faça a instalação e configuração do mesmo. Selecione a opção “Instalar e configurar o servidor DNS neste computador e definir este computador para usar o servidor DNS como seu servidor DNS preferencial” e clique no botão “Avançar”. Instalação do Ad e criação do domínio Na janela de “Permissões”, selecione a opção “Permissões compatíveis somente com os sistemas operacionais de servidor W2K ou W2K3” e clique no botão “Avançar”. Esta opção somente deverá ser alterada caso você tenha DCs rodando em plataforma Windows NT, o que não é o caso do nosso artigo. Instalação do Ad e criação do domínio Na janela de senha, digite e confirme a senha de administrador do modo de restauração; clique no botão “Avançar”. Esta senha é importante, pois ela não é a mesma senha do administrador do DC e deve ser usada quando houver problemas no DC ou quando o DC for removido do computador. Instalação do Ad e criação do domínio Na janela de “Resumo”, verifique as opções selecionadas. Caso as opções estejam corretas, clique no botão “Avançar”. Instalação do Ad e criação do domínio Você irá acompanhar o assistente executando as tarefas solicitadas. Instalação do Ad e criação do domínio Instalação do Ad e criação do domínio Nunca clique no botão “Cancelar”, pois você irá estragar todo o computador! Caso tenha cometido algum erro, aguarde o assistente finalizar e depois o execute novamente para desfazer as alterações. Caso as tarefas tenham sido realizadas com sucesso, você obterá a seguinte tela: Instalação do Ad e criação do domínio Clique no botão “Concluir”. Você precisará reiniciar o computador para iniciar o AD. Clique no botão “Reiniciar agora”. Conferindo se existe o Active Directory Clique no menu Iniciar, Todos os programas, Ferramentas administrativas. Como mostra a figura ao lado Criar uma conta de usuário de domínio Criar uma conta de usuário de domínio. Lembramos que essa tarefa deve ser executada em um Controlador de Domínio ou em um cliente W2K3 conectado ao domínio, e com o Adminpak.msi instalado. Ferramentas Administrativas Instalar as Ferramentas Adm. no W2K3. • Insira o CD de instalação do W2K3 Server no drive de CD; • Vá até a pasta \I386 do CD; • Localize o arquivo Adminpak.msi e dê dois cliques nele; • Aguarde alguns instantes e clique em Next (Avançar); • Aguarde até que o utilitário seja instalado e clique em Finish (Concluir). Ferramentas Administrativas Instalação do AdminPak.msi Criar uma conta de usuário de domínio Criar uma conta de usuário de domínio. • Abra o console Usuários e computadores do AD; • Clique em Usuários; • Clique no menu Ação, Novo e Usuário; • Digite o primeiro nome do usuário, as iniciais, o último nome e o nome completo; Criar uma conta de usuário de domínio Criar uma conta de usuário de domínio. • Digite o nome de logon do usuário e escolha o domínio; • Clique em Avançar; • Defina e confirme a senha; • Defina se o usuário deverá alterar a senha no próximo logon; • Defina se o usuário não pode alterar a senha; Criar uma conta de usuário de domínio Criar uma conta de usuário de domínio. • Defina se a senha nunca expira; • Defina se a conta está desativada; • Clique em Avançar; • Clique em Concluir. Criar uma conta de usuário de domínio Criação de usuário de domínio Configurações Avançadas Após criarmos uma conta de usuário de domínio, poderemos fazer algumas configurações avançadas: • Geral : informações pessoais do usuário. • Endereço : endereço do usuário. • Conta : nome da conta de usuário, opções da conta e data de expiração da conta. • Perfil : atribui o caminho do perfil e a pasta base do usuário. • Telefone : telefones do usuário. Configurações Avançadas • Organização : informações sobre a empresa. • Participante de : grupos do qual o usuário pertence. • Discagem : define as permissões de acesso remoto, opções de retorno de chamada (Callback) e rotas e endereços IP estáticos. • Ambiente : especifica um ou mais aplicativos a serem iniciados e os dispositivos aos quais conectar durante o logon de um usuário do Terminal Services. • Sessões : especifica algumas configurações do Terminal Services, como finalizar uma sessão, tempo limite da sessão, tempo de inatividade até que uma sessão seja encerrada, entre outras. Configurações Avançadas • Controle remoto : especifica algumas configurações de controle remoto do Terminal Services. • Gerenciador de serviços de terminal : define o perfil do usuário no Terminal Services. Propriedades das contas de usuários de domínio Configurar propriedades Configurar as propriedades de uma conta de usuário de domínio. • Abra o console Usuários e computadores do AD; • Clique em Usuários; • Clique com o botão direito do mouse sobre o usuário desejado e clique em Propriedades; • Faça todas as configurações desejadas e clique em OK. Podemos ainda copiar contas de usuário de domínio. Com isso simplificamos a tarefa de criação de contas. Serão copiadas algumas configurações da conta. Permissões e direitos atribuídos a uma conta não serão copiados. Um detalhe importante, é que só podemos copiar contas de usuário de domínio em um Controlador de Domínio. Cópia de conta Copiar uma conta de usuário de domínio. • Abra o console Usuários e computadores do AD; • Clique em Usuários; • Clique com o botão direito sobre uma conta de usuário e escolha copiar; • Digite o primeiro nome do usuário, as iniciais, o último nome e o nome completo; • Digite o nome de logon do usuário e escolha o domínio; Cópia de conta • Clique em Avançar; • Defina e confirme a senha; • Defina se o usuário deverá alterar a senha no próximo logon; • Defina se o usuário não pode alterar a senha; • Defina se a senha nunca expira; • Defina se a conta está desativada; • Clique em Avançar; • Clique em Concluir. AVALIAÇÃO Administração de Sistema Operacional de Rede WINDOWS Server-2003 Ricardo de Oliveira Joaquim [email protected] Voltar