Mdulo 5 Configurao de relaes de confiana e objetos do Active Directory

Viso geral do mdulo

Delegao de acesso administrativo aos objetos do Active

Directory
Configurao das relaes de confiana do Active Directory

Lio 1: Delegao de acesso administrativo aos objetos do Active Directory

Permisses de objeto do Active Directory O que so permisses efetivas? O que delegao de controle? Assistente para delegao de controle Discusso: Cenrios de delegao de controle

Permisses de objeto do Active Directory

Podem ser permitidas e implicitamente ou explicitamente negadas. Podem ser definidas no nvel do objeto ou herdadas de seu objeto pai.

Incluem permisses padro e especiais As permisses padro so aquelas atribudas com mais freqncia As permisses especiais fornecem um grau mais preciso de controle para atribuio de acesso a objetos

Demonstrao: Herana da permisso de objeto dos Servios de Domnio Active Directory

Nesta demonstrao, voc ver como:
As permisses so herdadas dos objetos do AD DS Exibir permisses efetivas de um objeto

O que so permisses efetivas?

As permisses efetivas so aquelas realmente concedidas ao usurio ou ao grupo especificado As permisses so cumulativas, incluindo as permisses atribudas conta do usurio e conta do grupo As permisses 'negar' explcitas substituem as permisses 'permitir' herdadas As permisses 'permitir' explcitas substituem as permisses 'negar' herdadas

Use a ferramenta Permisses Efetivas para exibir as permisses efetivas As identidades especiais no so usadas quando a guia Permisses Especiais usada para exibir as permisses especiais A ferramenta de Permisses Efetivas no considera as permisses de compartilhamento

O que delegao de controle?

Atribui a responsabilidade de gerenciar objetos do Active Directory para outro usurio ou grupo Administrao delegada:

Facilita a administrao distribuindo tarefas administrativas de rotina Fornece a usurios ou grupos mais controle sobre recursos de rede locais Elimina a necessidade de criar vrias contas administrativas
Admin2

UO1

Admin1

UO2

UO3

Domnio

Admin3

Assistente para delegao de controle

Use o Assistente para delegao de controle para: Atribuir automaticamente permisses adequadas a usurios e grupos Especificar o usurio ou o grupo ao qual voc deseja delegar controle Especificar as UOs e os objetos que o usurio ou o grupo deve ter permisso para controlar Especificar as tarefas que o usurio ou o grupo precisa executar

Modificao do Assistente para delegao de controle: A lista de tarefas comuns do assistente controlada por modelos contidos no arquivo delegwiz.inf possvel alterar a lista de tarefas comuns modificando o arquivo delegwiz.inf para incluir outros modelos

Discusso: Cenrios de delegao de controle

Quais so os benefcios da delegao de permisses

administrativas?
Como voc usaria a delegao de controle na sua

organizao?

Demonstrao: Configurao da delegao de controle

Nesta demonstrao, voc ver como:
Configurar a delegao com o Assistente para delegao

de controle
Configurar a delegao usando um script do Windows

PowerShell

Laboratrio A: Configurao da delegao do Active Directory

Exerccio 1: Delegao do controle dos objetos do AD DS

Informaes de logon

Mquinas virtuais Nome de usurio Senha

NYC-DC1 Administrador Pa$$w0rd

Tempo estimado: 30 minutos

Cenrio do laboratrio
O Woodgrove Bank tambm estabeleceu uma parceria com outra organizao. Alguns usurios de cada organizao precisam acessar recursos da outra organizao. No entanto, o acesso entre organizaes deve ser limitado ao mnimo de usurios possvel.

Lio 2: Configurao das relaes de confiana do Active Directory

O que so as relaes de confiana do AD DS? Opes de relaes de confiana do AD DS Como relaes de confiana funcionam em uma floresta Como relaes de confiana funcionam entre florestas O que so UPNs? O que so configuraes de autenticao seletiva?

O que so as relaes de confiana do AD DS?

Fornecem um mecanismo para que os usurios obtenham acesso aos recursos de outro domnio

Caractersticas da relao de confiana: Transitiva: a relao de confiana se estende para alm da relao entre dois domnios a fim de incluir outros domnios confiveis Direo da relao de confiana: a direo da relao de confiana define o domnio da conta e o domnio do recurso Protocolo de autenticao: protocolo usado para estabelecer e manter a relao de confiana

Opes de relao de confiana do AD DS

Relao de confiana entre rvore e raiz

Relao de confiana entrepai e filho

Relao de confiana de floresta

Atalho de confiana

Relao de confiana de territrio

Relao de confiana externa

Como as relaes de confiana funcionam em uma floresta

Domnio raiz da floresta

rvore um Domnio raiz da rvore Domnio 1

Domnio A Domnio 2 rvore dois

Domnio B

Domnio C

Como relaes de confiana funcionam entre florestas

Relao de confiana de floresta
Catlogo global
WoodgroveBank. com

6
contoso.com

Catlogo global

2 3 1
Vancouver
EMEA.WoodgroveBank.com

4 5 7 8 9
NA.Contoso.com Seattle

Demonstrao: Exame de relaes de confiana

Nesta demonstrao, voc ver como:
Examinar o MMC de domnios e relaes de confiana do

Active Directory

O que so UPNs?
O UPN um nome de logon que inclui o nome de logon do usurio e um sufixo de domnio O sufixo de domnio pode ser o domnio primrio do usurio, qualquer outro domnio da floresta ou um nome de domnio personalizado Sufixos de domnio UPN adicionais podem ser adicionados Os UPNs devem ser exclusivos na floresta
Os sufixos UPN podem ser usados para rotear as solicitaes de autenticao entre florestas confiveis:

O roteamento do sufixo UPN ser desabilitado automaticamente se o mesmo sufixo UPN for usado nas duas florestas possvel habilitar ou desabilitar manualmente o roteamento do nome do sufixo entre relaes de confiana

O que so configuraes de autenticao seletiva?

Autenticao seletiva:
Limita quais computadores podem ser acessados pelos usurios de um domnio confivel e quais usurios do domnio confivel podem acessar o computador Configurada no descritor de segurana do objeto do computador localizado no AD DS

Para configurar a autenticao seletiva:

Configure a relao de confiana de floresta ou externa para usar a autenticao seletiva em vez da autenticao em todo domnio Configure as contas do computador para autenticao seletiva

Laboratrio B: Configurao das relaes de confiana do Active Directory

Exerccio 1: Configurao das relaes de confiana do AD DS

Informaes de logon

Mquinas virtuais Nome de usurio Senha

NYC-DC1, NYC-DC2, NYC-CL1, VAN-DC1 Administrador Pa$$w0rd

Tempo estimado: 30 minutos

Cenrio do laboratrio
O Woodgrove Bank tem diversas exigncias de gerenciamento dos objetos AD DS. A organizao normalmente contrata estagirios que devem ter permisses limitadas e cujas contas devem ser definidas para expirar automaticamente quando o estgio terminar. As contas de usurio tambm devem ser definidas com uma configurao padro. Alm disso, a organizao precisa de grupos do AD DS, que sero usados para atribuir permisses a vrios recursos de rede. Ela pretende automatizar as tarefas de gerenciamento de usurio e de grupo e delegar algumas tarefas administrativas a administradores principiantes.

Reviso do laboratrio
Aps as relaes de confiana terem sido configuradas

conforme descrito no laboratrio, a quais recursos os usurios do Woodgrovebank tero acesso no domnio Fabrikam.com?
Como voc configuraria uma relao de confiana de

floresta com outra organizao se a organizao no fornecesse as credenciais do administrador?

Reviso do mdulo e informaes

Perguntas de reviso Consideraes sobre o gerenciamento de relaes de

confiana e objetos do Active Directory

Pgina de anotaes - Slide excedente. No imprima o slide. Consulte o painel de anotaes.