quarta-feira, 21 de abril de 2010
70-640: 1.1 Factos acerca das OUs
Uma OU pode conter outras OUs, ou qualquer tipo de object type, tal como users, Computers, e Printers.
OUs podem ser alinhadas de forma a organizar logicamente os recursos da rede:
- Parent OUs, que contêm outras OUs.
- Child OUs, são OUs dentro de outras OUs.
Tipicamente as OUs são organizadas pelas seguintes formas:
- Localização física.
- Estrutura organizacional, tal como HR, Sales, e departamentos de IT.
- Object type, tal como user accounts ou computers.
- Hybrid of location, estrutura organizacional, e object type.
Atenção às seguintes considerações para gerir OUs:
Group Policy
Uma das maiores razões para se utilizarem as OUs, é a possibilidade de aplicação de Group Policy.
Criar OUs para cada group of objects que precisem de ter diferentes definições Group Policy.
Group Policy Objects (GPOs) podem ser ligados às OUs. Policy settings aplicam-se a todos os objects dentro da OU.
Através de inheritance, as definições aplicadas ao domain ou OUs parent, passam também para todas as child OUs e objects dentro dessas OUS.
Nota: Um Generic Container não é uma OU e não pode ter group policy objects assignados a si. Uma boa práctica é retirar objects dos generic containers e passa-los para as OUs. Por exemplo, mover os computadores dos Computers containers e passar para uma OU, onde as group olicy possam ser aplicadas.
Preventing accidental deletion
Os objects na Active Direcory podem ser acidenlmete eliminados através de Users e Computers e outras ferrametas de gestão. São mais frequentes os seguintes tipos de eliminadção:
- Leaf-node deletion é quando um user elimina um leaf object.
- Organizational Unit (OU) deletion, é quando um user selecciona e elimina uma OU que tem objects suburdindos. Eliminar a OU, elimina todos os objects dentro da OU (inluindo qualque child OU e os seus ojects).
Para proteger objects de eliminação acidental:
- Na Active Directory Users and Computers, ou Active Directory Sites and Services, editar as propriendades e escolher uma das seguintes:
- No separador object, seleccionar na check box “Protect object from accidental deletion”. (Esta opção só estará disponível se tivermos activado previamente as “Advanced Features” no menu “view”.)
- No separador “security”, seleccionar “Deny delete all child objects”.
Quando se cria uma OU, deixar seleccionada a opção na checkbox “Protect continer from accidental deletion”. Esta é a opção por defeito. Outro tipo de objects não têm esta opção activada por defeito, tendo de ser configurada anualmente.
Para eliminar um oject protegido, primeiro retirar a opção “Protect continer from accidental deletion”, e depois elimina-se o object.
Delegating authority
Delegating authority é a atribuição de tarefas administrtivas, tais como, reset a passwords ou a criação de novos users, a users ou groups apropriados ao efeito. Deveremos estar cintes dos seguintes factos sobre a delegating control:
- Pode-se delegar o controlo de qualque parte de uma OU ou object em qualquer nível, através do Delegation of control wizard, ou através do Authorization Manager console.
- Um object-based design, permite delegar o controlo baseado nos types of objects em cada OU. Por exemplo, pode-se delegr o controlo sobre específicos object types, tais como user objects.
- Uma task-based design, permite delegar o controlo baseado em tipos de administrtive taks que necessitem de ser efectuadas. Alguns exemplos de administraive tasks são:
- User account managenten, tl como a criação e eliminação.
- Password management, tl como o reset e forçar alterações nas passwords.
- Group membership e permissions management.
segunda-feira, 8 de março de 2010
70-640: 0.4 Server Core
Server core é uma instalação mínima do Windows Server, oferecendo uma gestão mínima do Windows Server 2008. Atenção ao seguinte quando se utiliza o server core:
O interface do server core é muito limitado, a maior parte das tarefas têm de ser executadas pela linha de comandos.
Só se pode efectuar uma instalação limpa do server core; não é possível actualizar de, ou para server core.
Os Server core, só podem executar um limitado conjunto de server roles:
Active Directory
Active Directory Lightweight Directory Services (AD LDS)
Dynamic Host Configuration Protocol (DHCP) Server
DNS Server
File Server
Print Server
Media Services
Web Server (IIS)
Server core tem as seguintes limitações:
Não tem Shell de Windows
Não tem suporte para código de programação gerido (.NET framework). Todo código de programação tem de ser Nativo, Windows API code.
Suporte MSI limitado, apenas modo autónomo.
Para efectuar manutenção a um sistema server core:
Log on e utilizar a linha de comandos.
Log on através de Remote Desktop para obter acesso à linha de comandos.
Utilizar uma Windows Remote Shell (winrm).
Executar o Server Manager ou outra ferramenta noutro computador e ligar ao server core. Este método, permite utilizar uma interface GUI para gerir o sistema server core.
Executar oclist para ver a lista de roles, role services, e features que podem ser instaladas no server core.
Executar start /w ocsetup para adicionar server roles ao sistema server core. Alterações às role ou services, têm de ser escritas exactamente como surgem listadas, os nomes das roles são case-sensitive.
70-640: 0.3.2 Active Directory Server Roles
Uma Active Directory server role, é um agrupamento lógico de features e serviços necessários para executar uma função especifica no ambiente da Active Directory. Antes do Windows server 2008, algumas Active Directory server roles, não vinham incorporadas na Active Directory, em vez disso, estavam disponíveis nos downloads da Microsoft. Features e serviços, são adicionados ao server adicionando e este as seguintes funcionalidades:
Uma role é um conjunto de features de software que desempenham uma função especifica. Exemplos de roles incluem DNS server, DHCP server, File Server, e Print Server.
Roles services, são programas especificos que desempenham funções de role. Algumas roles, como DNS, têm apenas um role service. Outras roles, como Print Server, têm multiplos roles services tal como LPD Service para Unix printing e internet printing. Pode-se pensar numa role como um grupo de programas, com cada role service sendo um sub-componente de role.
Uma feature é um programa de software que não está directamente relacionado com uma server role, mas que adiciona funcionalidades a todo um server. Features, incluem ferramentas de gestão, protocol communication ou clients, e clustering support.
Roles:
Active Directory Domain Services (AD DS)
AD DS é uma dase de dados distribuida que armazena e gere informação acerca dos recursos da rede, tal como users, computers, e printers. A AD DS role:
Ajuda Administrators a gerir em segurança a informação.
Facilita recursos partilhados e a colaboração entre os users.
Ponto da situação...
Quero desde já informar, que tenho mais algum material para colocar aqui no blogue, assim que tiver tempo.. Gostava de ter algum feedback da vossa parte pelo facto de estar a colocar estes resumos em português.. Acontece que ao traduzir de alguns documentos que vou encontrando, ajuda a estudar e fixar, bem como a compreensão também é mais fácil. Pode é existir alguma confusão, pois os termos técnicos não estou a traduzir...
Recentemente coloquei um contador de visitas, e o resultado ainda não é muito incentivador.. Espero vir a melhorar :)
sexta-feira, 26 de fevereiro de 2010
70-640: 0.2 Features Active Directory
sexta-feira, 19 de fevereiro de 2010
70-640: 0.1 Active Directory
Apresento o meu primeiro resumo que traduz de forma simples a constituição da AD. Quaisquer correções serão bem vindas.
Active Directory, é uma base de dados centralizada, que contém contas de utilizadores e informações de segurança. Num Workgroup, a segurança e a gestão, encontram-se nos próprios computadores, cada um, armazena a informação sobre os seus utilizadores e recursos. Com a Active Directory, todos os computadores partilham a mesma base de dados centralizada.
A estrutura da Active Directory, é baseada em hierarquias, composta pelos seguintes componentes:
Domain:
O Domain é uma colecção de recursos de rede, definidos administrativamente que partilham um directório de base de dados e políticas de segurança comuns. O domain é a unidade básica administrativa, da estrutura de uma Active Directory.
A Informação da base de dados é replicada (copiada ou partilhada) dentro do domain.
Definições de segurança não são partilhadas entre domains.
Cada domain mantém o seu próprio conjunto de relacionamentos com outros domains.
Os domains são identificados por nomes de DNS. O nome comum é o próprio nome do domain. O nome distinto inclui o contexto de DNS ou parcelas adicionais do nome.
Dependendo da estrutura e requisitos da rede, toda a rede pode ser representada como um único domain com milhões de objects, ou a rede pode requerer multiplos domains.
Objects:
Dentro da Active Directory, cada recurso é identificado por object. Objects comuns incluem:
Users
Groups
Computers
Shared folders
Deve-se saber o seguinte acerca dos objects:
Cada object contém attributes (ex. informação de um object, tal como o nome de um utilizador, número de telefone, e endereço de email), que são utilizados para localização e garantir recursos.
O schema, identifica as classes do object (tipo dos objectos) que existem na tree e os attributes (propriedades) do object.
Active Directory utiliza DNS para localizar e nomear os objects.
Container objects, podem armazenar outros groups de objects, e até outros container objects.
Organizational Unit (OU):
Uma organizational unit é tipo uma pasta que subdivide e organiza recursos da rede dentro do domain. Uma organizational unit:
É um container object.
Pode ser utilizada para organizar de forma lógica, os recursos da rede.
Simplifica a administração de segurança.
Deve-se saber o seguinte acerca das OUs:
O first-level das OUs podem ser chamados de parents.
O second-level OUs podem ser chamados de children.
OUs podem conter outras OUs ou qualquer outro tipo de leaf object (ex. users, computers e printers).
Generic Containers:
Tal como as OUs, generic containers são utilizados para organizar os Active Directory objects. Generic container objects:
São criados por default.
Não podem ser criados, movidos, renomeados ou eliminados.
Têm pouquíssimas propriedades editáveis.
Trees e Forests:
Múltiplos domains são agrupados através do seguinte relacionamento:
Uma tree, é um grupo de domains relacionados, que compartilham o mesmo espaço de nome DNS contíguo.
Uma forest, é a colecção de domain trees relacionadas. A forest, estabelece a relação entre trees que têm diferentes nomes de espaço DNS.
Trees e forest têm as seguintes características:
O forest root domain, é o domain de nível superior na tree de cima. É o primeiro domain criado na forest do Active Directory.
O tree root domain, é o domain mais acima na tree.
Cada domain na tree que está ligado ao tree root domain, é chamado de child domain.
Domain tree, é um conjunto de domains baseados no mesmo espaço de nome. Domains numa tree:
Estão ligados bidireccionalmente, através de uma ligação de confiança.
Partilham um schema comum.
Têm global catalogs comuns.
Domain Controller:
Um domain controller, é um server que contém uma cópia da base de dados Active Directory, que pode ser escrita. Replication é o processo de cópia das alterações efectuadas à Active Directory entre os domain controllers.
Sites e Subnets:
Active Directory utiliza os dois objects seguintes para representar a estrutura física da rede:
Uma subnet, representa um segmento da rede física. Cada subnet possui o seu próprio espaço de endereço exclusivo da rede.
Um site, representa um grupo de redes well-connected (redes que estão ligadas por links de alta velocidade).
Deve saber o seguinte acerca dos sites e subnets:
Sites e subnets, são utilizados para gerir a replication entre locations.
Todos os Active Directory sites contém servers e sites links (Ligação entre dois sites permitindo que a replication ocorra).
Site links, são utilizados pela Active Directory de forma a desenvolver a topologia de replication mais eficiente.
O site difere do domain, uma vez que representa a estrutura física da rede, ao passo que o domain representa a estrutura lógica da nossa organização.
Os clients são assignados aos sites dinamicamente, de acordo com o seu endereço de Internet Protocol (IP) e subnet mask associados.
Domain controllers são assignados aos sites de acordo com o seu server object na Active Directory.
A base de dados do Active Directory, tem um ficheiro chamado NTDS.dit. É o ficheiro físico da base de dados, onde toda a informação dos directórios é armazenada. Este ficheiro é composto de três tabelas internas:
A data table, contém toda a informação armazenada da Active Directory: users, groups, dados específicos de vários aplicativos, e quaisquer outros dados que são armazenados na Active Directory após a sua instalação.
A link table, contém informação que representa atributos associados, referindo-se a outros objects na Active Directory.
O security descriptor (SD) table, contém informação que representa a inherited de segurança para cada object.
quinta-feira, 11 de fevereiro de 2010
O nascimento do Blog
Tenho já alguns conhecimentos nesta área, mas nada de por aí além, e o que pretendo é, estudando por mim mesmo, ir realizando os exames.
A criação do blog, irá ajudar a mim e a outras pessoas que estejam também a trabalhar para o mesmo objectivo. Espero que venha a ser um blog onde os mais experientes possam ajudar quem precisa até chegarem aos seus objectivos. Tenho intenções de começar, na semana depois do Carnaval, e colocarei alguns resumos dos tópicos que vou estudando, bem como informações que ache importantes e interessantes neste percurso.