Winsec Online Day 2010

Active Directory no Windows Server

2008 R2
Palestrantes

Juliano Sathler
jsathler@live.com
http://jsathler.wordpress.com
MCSA+M+S/MCSE+M+S/MCTS/MCITP/MCT

José Anderson Albuquerque Santiago

joseanderson.a.s@hotmail.com
MCP/MCDST/MCSA/MCTS
Agenda
 Fine-Grained Password Policies
 Read-Only Domain Controllers
 SYSVOL replication using DFS Replication
 Restartable Active Directory Domain Services
 Active Directory Recycle Bin
 Active Directory Best Practices Analyzer
 Managed Service Accounts
 Migração de uma floresta Windows 2003
 Fine-Grained Password Policies
• O que é
– Permite a criação de diferentes politicas de senha e bloqueio de conta em um dominio;

• Requisitos
– Floresta no modo funcional Windows Server 2008
• Todos os dc’s em todos os dominios precisam executar o Windows Server 2008 ou
Windows Server 2008 R2;
• Se aplica a grupos e não a uma OU;
• Gerenciado pelo powershell (*-ADFineGrainedPasswordPolicy);

• Na prática
– Você pode definir uma politica padrão para todo o dominio e criar uma politica
diferenciada para os membros do grupo “Domain Admins”;
– Você pode utilizar ferramentas gráficas (free) de terceiros (www.specops.com,
blogs.chrisse.se);
 Read-Only Domain Controllers (RODC)
• O que é?
– É um novo tipo de Domain Controller, que mantem uma cópia de leitura do Active
Directory;
– Permite controlar quais credenciais são replicadas para um RODC;
– Não pode ser utilizado como DC para um Exchange Server;

• Requisitos?
– PDCE do dominio precisa executar o Windows Server 2008;
– Floresta no modo funcional Windows Server 2003;
– Preparar a floresta com o adprep.exe /rodcprep

• Na prática
– Minimiza a complexidade em cenários de “filiais”;
– Aumenta a segurança lógica do ambiente para localidades sem segurança física;
– Permite delegar permissão administrativa no servidor, sem a a necessidade de
permissão no Active Directory;
 SYSVOL replication using DFS Replication
• O que é
– Utiliza o “DFS-R” para replicação do sysvol e não mais o FRS;
– Permite migrar um ambiente FRS para DFS;

• Requisitos
– Floresta no modo funcional Windows Server 2008

• Na prática
– Se beneficia das novas funcionalidades do DFS-R ( “Remote Differential Compression -
RDC”, “self-healing”, etc);
– Não utiliza mais as flags D2/D4 para restore (basta utilizar o parametro –authsysvol no
wbadmin);
 Restartable Active Directory Domain
Services
• O que é
– Permite realizar manutenções na base do Active Directory sem a necessidade de iniciar o
DC em modo de reparação;

• Requisitos
– DC precisa executar o Windows Server 2008 ou Windows Server 2008 R2;

• Na prática
– Permite realizar um defrag off-line da base do AD;
– Permite realizar um “authoritative restore” de objetos;
– Não permite realizar o restore do System State;
– Não indisponibiliza outros serviços no servidor;
 Active Directory Recycle Bin
• O que é
– Permite a recuperação de objetos excluidos sem a necessidade de realizar um restore do
System State;

• Requisitos
– Floresta no modo funcional Windows Server 2008 R2;
– Desativado por padrão, sua ativação é irreversível;
– Gerenciado pelo powershell (Enable-ADOptionalFeature, *-ADObject);

• Na prática
– Diferente do processo de “reanimation” de um objeto no 2003/2008, os atributos “linked”
tambem são restaurados;
– Você pode utilizar ferramentas gráficas (free) de terceiros (www.overall.ca,
www.powergui.org);
 Active Directory Best Practices
Analyzer
• O que é
– Faz uma verificação do Active Directory e aponta o que esta for a das melhores práticas;
– Funciona em dominios com diversas versões do Windows Server;

• Requisitos
– Ao menos um DC executando o Windows Server 2008 R2;

• Na prática
– Ajuda a identificar potenciais problemas de DNS, FSMO, Replicação, Windows Time,
Backup, etc;
 Managed Service Accounts - MSA
• O que é
– Prove facilidades no gerenciamento de contas de serviços;

• Requisitos
– Servidor de aplicação precisa executar o Windows Server 2008 R2 (ou Windows 7);
– Uma MSA para cada aplicação (não pode ser compartilhada entre computadores);
– Floresta no modo funcional Windows Server 2003;
• Caso a floresta não esteja no nível funcional 2008 R2, alguns procedimentos
adicionais são necessários;
– Gerenciado pelo powershell (*- ADServiceAccount)

• Na prática
– Voce pode definir serviços executando em servidores Windows Server 2008 R2 para
utilizarem uma conta de dominio sem a preocupação de controlar a senha desta conta;
 Migração de uma floresta Windows
2003
• Requisitos e recomendações
– Backup do ambiente;
– Validar o status atual do Active Directory (dcdiag, repadmin, sonar/ultrasound, adst, etc);
– Floresta no modo funcional Windows Server 2000
• Todos os dc’s em todos os dominios precisam executar o Windows Server 2000 SP4,
2003 SP1 ou superior;
– Preparar a floresta
• adprep.exe /forestprep no servidor que detem a regra Schema Master (uma vez por
floresta);
• adprep.exe /domainprep /gpprep no servidor que detem a regra Infrastructure
Master (uma vez por dominio)
• adprep.exe /rodcprep no servidor que detem a regra PDCE (uma vez por floresta).
Executar este passo apenas se for utilizar um RODC ou se quiser deixar o Active
Directory preparado para tal;
– Instalar os novos Servidores e iniciar o dcpromo;
 Migração de uma floresta Windows
2003
• Atividades pós migração:
– Realizar um novo backup;
– Validar o novo status do Active Directory (dcdiag, repadmin, sonar/ultrasound, adst, etc);
– Ajustar configuração de DNS nos hosts da rede;
– Validar se existem referencias aos antigos DC’s
– Remover os antigos DC’s;
– Considerar elevação do nível funcional dos dominios e florestas;
• Habilitar Recycle Bin;
• Migrar replicação Sysvol para DFS-R;
Dúvidas?
 Próximas apresentações
• Gestão da segurança da informação (15:15 – 16:15)
• Encerramento (16:15 – 16:30)

http://www.winsec.org
Contatos

Juliano Sathler
jsathler@live.com
http://jsathler.wordpress.com
MCSA+M+S/MCSE+M+S/MCTS/MCITP/MCT

José Anderson Albuquerque Santiago

joseanderson.a.s@hotmail.com
MCP/MCDST/MCSA/MCTS