Winsec Online Day 2010 Active Directory no Windows Server 2008 R2

Juliano Sathler

jsathler@live.com

http://jsathler.wordpress.com MCSA+M+S/MCSE+M+S/MCTS/MCITP/MCT

Palestrantes

José Anderson Albuquerque Santiago

joseanderson.a.s@hotmail.com MCP/MCDST/MCSA/MCTS

Agenda

Fine-Grained Password Policies

Read-Only Domain Controllers

SYSVOL replication using DFS Replication

Restartable Active Directory Domain Services

Active Directory Recycle Bin

Active Directory Best Practices Analyzer

Managed Service Accounts

Migração de uma floresta Windows 2003

Fine-Grained Password Policies

• O que é – Permite a criação de diferentes politicas de senha e bloqueio de conta em um dominio;

• Requisitos – Floresta no modo funcional Windows Server 2008

• Todos os dc’s em todos os dominios precisam executar o Windows Server 2008 ou Windows Server 2008 R2;

• Se aplica a grupos e não a uma OU;

• Gerenciado pelo powershell (*-ADFineGrainedPasswordPolicy);

• Na prática – Você pode definir uma politica padrão para todo o dominio e criar uma politica

diferenciada para os membros do grupo “Domain Admins”;

– Você pode utilizar ferramentas gráficas (free) de terceiros (www.specops.com, blogs.chrisse.se);

Read-Only Domain Controllers (RODC)

• O que é? – É um novo tipo de Domain Controller, que mantem uma cópia de leitura do Active

Directory;

– Permite controlar quais credenciais são replicadas para um RODC;

– Não pode ser utilizado como DC para um Exchange Server;

• Requisitos? – PDCE do dominio precisa executar o Windows Server 2008;

– Floresta no modo funcional Windows Server 2003;

– Preparar a floresta com o adprep.exe /rodcprep

• Na prática – Minimiza a complexidade em cenários de “filiais”;

– Aumenta a segurança lógica do ambiente para localidades sem segurança física;

– Permite delegar permissão administrativa no servidor, sem a a necessidade de permissão no Active Directory;

SYSVOL replication using DFS Replication

• O que é – Utiliza o “DFS-R” para replicação do sysvol e não mais o FRS;

– Permite migrar um ambiente FRS para DFS;

• Requisitos – Floresta no modo funcional Windows Server 2008

• Na prática – Se beneficia das novas funcionalidades do DFS-R ( “Remote Differential Compression -

RDC”, “self-healing”, etc);

– Não utiliza mais as flags D2/D4 para restore (basta utilizar o parametro –authsysvol no wbadmin);

Restartable Active Directory Domain Services

• O que é – Permite realizar manutenções na base do Active Directory sem a necessidade de iniciar o

DC em modo de reparação;

• Requisitos – DC precisa executar o Windows Server 2008 ou Windows Server 2008 R2;

• Na prática – Permite realizar um defrag off-line da base do AD;

– Permite realizar um “authoritative restore” de objetos;

– Não permite realizar o restore do System State;

– Não indisponibiliza outros serviços no servidor;

Active Directory Recycle Bin

• O que é – Permite a recuperação de objetos excluidos sem a necessidade de realizar um restore do

System State;

• Requisitos – Floresta no modo funcional Windows Server 2008 R2;

– Desativado por padrão, sua ativação é irreversível;

– Gerenciado pelo powershell (Enable-ADOptionalFeature, *-ADObject);

• Na prática – Diferente do processo de “reanimation” de um objeto no 2003/2008, os atributos “linked”

tambem são restaurados;

– Você pode utilizar ferramentas gráficas (free) de terceiros (www.overall.ca, www.powergui.org);

Active Directory Best Practices Analyzer

• O que é – Faz uma verificação do Active Directory e aponta o que esta for a das melhores práticas;

– Funciona em dominios com diversas versões do Windows Server;

• Requisitos

– Ao menos um DC executando o Windows Server 2008 R2;

• Na prática – Ajuda a identificar potenciais problemas de DNS, FSMO, Replicação, Windows Time,

Backup, etc;

Managed Service Accounts - MSA

• O que é – Prove facilidades no gerenciamento de contas de serviços;

• Requisitos – Servidor de aplicação precisa executar o Windows Server 2008 R2 (ou Windows 7);

– Uma MSA para cada aplicação (não pode ser compartilhada entre computadores);

– Floresta no modo funcional Windows Server 2003;

• Caso a floresta não esteja no nível funcional 2008 R2, alguns procedimentos adicionais são necessários;

– Gerenciado pelo powershell (*- ADServiceAccount)

• Na prática – Voce pode definir serviços executando em servidores Windows Server 2008 R2 para

utilizarem uma conta de dominio sem a preocupação de controlar a senha desta conta;

Migração de uma floresta Windows 2003

• Requisitos e recomendações – Backup do ambiente;

– Validar o status atual do Active Directory (dcdiag, repadmin, sonar/ultrasound, adst, etc);

– Floresta no modo funcional Windows Server 2000

• Todos os dc’s em todos os dominios precisam executar o Windows Server 2000 SP4, 2003 SP1 ou superior;

– Preparar a floresta

• adprep.exe /forestprep no servidor que detem a regra Schema Master (uma vez por floresta);

• adprep.exe /domainprep /gpprep no servidor que detem a regra Infrastructure Master (uma vez por dominio)

• adprep.exe /rodcprep no servidor que detem a regra PDCE (uma vez por floresta). Executar este passo apenas se for utilizar um RODC ou se quiser deixar o Active Directory preparado para tal;

– Instalar os novos Servidores e iniciar o dcpromo;

Migração de uma floresta Windows 2003

• Atividades pós migração: – Realizar um novo backup;

– Validar o novo status do Active Directory (dcdiag, repadmin, sonar/ultrasound, adst, etc);

– Ajustar configuração de DNS nos hosts da rede;

– Validar se existem referencias aos antigos DC’s

– Remover os antigos DC’s;

– Considerar elevação do nível funcional dos dominios e florestas;

• Habilitar Recycle Bin;

• Migrar replicação Sysvol para DFS-R;

Dúvidas?

Próximas apresentações

• Gestão da segurança da informação (15:15 – 16:15)

• Encerramento (16:15 – 16:30)

http://www.winsec.org

Juliano Sathler

jsathler@live.com

http://jsathler.wordpress.com

MCSA+M+S/MCSE+M+S/MCTS/MCITP/MCT

José Anderson Albuquerque Santiago

joseanderson.a.s@hotmail.com

MCP/MCDST/MCSA/MCTS

Contatos