Active Directory

Windows Server 2012 – Remover permissão para usuários ingressar máquinas no domínio

 

 

Qualquer usuário do Active Directory tem a permissão de inserir até dez máquinas no domínio, isso é um comportamento padrão. Porém para a maioria das organizações esse comportamento não é recomendável.
Temos a opção de remover essas permissões, fazendo com que apenas usuários com as devidas permissões (concedidas pelo administrador) consigam inserir máquinas no domínio.
Existe um atributo no Active Directory que faz com que qualquer usuário consiga inserir até dez máquinas no domínio, esse atributo é o "ms-DS-MachineAccountQuota" ele é definido a nível de domínio,  ele é definido com o valor "10", ou seja, qualquer usuário do domínio consegue inserir até dez máquinas no domínio por padrão. Para removermos essa permissão, basta zerar esse valor, para isso devemos abrir a ferramenta "Usuários e computadores do Active Directory", após devemos habilitar os recursos avançados:

 

Para ver o artigo completo acesse:

 

http://social.technet.microsoft.com/wiki/pt-br/contents/articles/15190.windows-server-2012-remover-permissao-para-usuarios-ingressar-maquinas-no-dominio.aspx

 

Abraços

 

Diogo Molina

Share

Post to Twitter

Windows Server 2012 – Ativação automatizada do Windows baseada no Active Directory

Quando precisamos gerenciar a ativação de varias máquinas no nosso ambiente, fica inviável e de difícil administração fazer essa ativação de forma manual, ou seja, fazer a ativação de máquina por máquina. Temos a opção de fazer esse gerenciamento e ativação de forma automatizada.
No Windows Server temos uma função "Serviço de ativação de volumes", onde iremos inserir a chave de múltipla ativação, ou seja, uma chave que pode ativer varias máquinas.
Quando instalamos a função de Serviço de ativação de volumes, temos a opção de ativação baseada no Active Directory, com essa opção conseguimos ativar as máquinas que fazem parte do domínio automaticamente, sem a intervenção manual.  Quando utilizamos essa opção são criados objetos de ativação no Active Directory, e esses computadores ficaram ativados pelo período em que fizerem parte do domínio do Active Diretcory. Quando uma máquina que não está ativada ingressa no domínio, a máquina irá consultar esses objetos  de ativação no Active Directory e irá ativar a máquina automaticamente.

 

Para ler o artigo completo acesse:

http://social.technet.microsoft.com/wiki/pt-br/contents/articles/15114.windows-server-2012-ativacao-automatizada-do-windows-baseada-no-active-directory.aspx

 

Abraços

Diogo Molina

Share

Post to Twitter

RODC Filtered Attribut Set

 

Sabemos que o RODC possui uma copia somente leitura do banco de dados do DC gravavel, porém somente alguns atributos são replicados para o RODC. Temos uma opção chamada de RODC filtered Attribut Set onde podemos filtrar (não permitir) de forma dinamica que certos atributos seja replicado para o RODC.

Abaixo segue uma lista com os atributos que são configurados no RODC Filtered Attribut Set por padrão:

ms-PKI-DPAPIMasterKeys
ms-PKI-AccountCredentials
ms-PKI-RoamingTimeStamp
ms-FVE-KeyPackage
ms-FVE-RecoveryPassword
ms-TPM-OwnerInformation

Esses atributos que são configurados por padrão no RODC Fileterd Attribut Set, está relacioanado a credenciais de usuários.

Vamos então a um seguinte cenario:

Temos uma aplicação em nosso ambiente que armazena alguns dados no banco de dados do AD, e não queremos que os atributos com informações dessa aplicação seja replicado para os RODCs do nosso ambiente, o que temos que fazer?

Existem duas forma de se fazer isso no nosso ambiente, segue abaixo as duas formas:

1º Podemos inserir esses atributos no RODC Filtered Attribut Set (irei mostrar mais adiante o processo para inserir os atributos no RODC Filtered Attribut Set), com isso os atributos não serão replicados.

2º Marcar o atributo como confidencial (irei mostrar mais adiante o processo para marcar o atributo como confidencial), isso faz com que o grupo Authenticated Users não tenha a permissão de ler os atributos incluidos no RODC, ou seja, se o Servidor RODC for comprometido a conta do RODC não terá permissão sobre os atributos que são marcados como confidencial. Só como observação, no ambiente do AD padrão o grupo Authenticated Users possui permissão de leitura em todos os atributos.

Temos uma outra situação em que um usuário malicioso pode tentar forçar a replicação dos atributos que estão no RODC Filtered Attribut Set, nesse caso se o RODC tentar replicar esses atributos a partir de um DC com Windows Server 2008, esse replicação será negada. Porém se esse replicação for a partir de um DC com Windows Server 2003, a replicação poderá acontecer. Por esse motivo a Microsoft recomenda para que quando utilizar o RODC Filtered Attribut Set, que o nivel funcional da floresta esteja selecionado para Windows Server 2008. Só lembrando que se o nivel funcional da floresta for alterado para Windows Server 2008, não será possivel termos DC com Windows Server 2003.

Sabemos também que quando temos um RODC no ambiente, por padrão ele irá tentar fazer a replicação atraves de um DC com Windows Server 2008, porém um usuário malicioso pode forçar o RODC replicar atraves de um DC com Windows Server 2003, por essa razão é recomendavel que o nivel da floresta seja no minimo Windows Server 2008. Uma outra observação, para utilizarmos o RODC temos que ter pelo menos um DC com Windows Server 2008. Abaixo segue link que explica como essa replicação pode ser feita atravez de um DC com Windows Server 2003:

http://technet.microsoft.com/pt-br/library/cc755310(WS.10).aspx

Existem alguns atributos que não podem ser adicionados no RODC FAS, são os atributos critio de sistema que são fundamentais para o funcionamento do ambiente de AD, um exemplo de atributos criticos estão relacionados com: LSA, SAM, Kerberos, etc.

Agora vamos aprender como inserimos atributos no RODC FAS (utilizaremos um atributo ficticio chamado “Contoso-App-Password”:

1 – A primeira coisa a fazer é determinar o atual valor do atributo searchFlags, para isso vá em Start > Prompt de Comando > e digite o seguinte comando “ldifde –d CN=Contoso-App-Password,CN=Schema,CN=Configuration,DC=<domain> –f en_ldif –l searchflags

2 – O resultado desse comando devera ser o seguinte:

dn: CN=Contoso-App-Password,CN=Schema,CN=Configuration,DC=<domain>

changetype: add

searchFlags: 0

3 – Copie o resultado do comando para um novo arquivo de nome “en-fas.ldif”.

4 – Modifique o novo arquivo “en-fas.ldif” com os seguintes valores, e após salve o arquivo:

dn: CN=Contoso-App-Password,CN=Schema,CN=Configuration,DC=<domain>

changetype: modify

add: schemaUpdateNow

schemaUpdateNow: 1

replace: searchFlags

searchFlags: 640

5 – Digite o seguinte comando para importar o arquivo “en-fas.ldif” que foi modificado:

ldifde –i -f en-fas.ldif

Agora vamos verificar se o o atributo foi adicionado ao RODC FAS corretamento:

1 – Vá em Start > Administrative tolls > ADSI Edit.

2 – No ADSI Edit clique em connect to.

3 – Slecione Schema e clique ok.

4 – Na arvore de console clique em Schema e clique em CN=Schema,CN=Configuration,DC=<domain> container.

5 – No painel de detalhe procure o atributo CN=Contoso-App-Password e clique em propriedades.

6 – Na lista verifique se que as flag RODC_Filtered esteja selecionada. Para colocar o atributo como confidencial, basta selecionar a flag Confidential.

 

Segue abaixo link de referencia:

 

http://technet.microsoft.com/pt-br/library/cc754794(WS.10).aspx

Share

Post to Twitter

Fazer backup da GPO

Introdução
Nesse procedimento iremos mostrar como se faz um backup em uma GPO.

Fazendo Backup na GPO

Antes de começar crie uma pasta na unidade c:\ chamada bkp_gpo.

1.inicie o GPMC do grupo de programa Administrative Tools

2.Expanda Forest\Domains\msitpro.com.br\Group Policy Objects

3.Clique com botão direito do mouse em Group Policy Objects e Selecione Backup All

4.Digite a localização com C:\bkp_gpo ou utilize o browse para localizar a pasta.

5.Digite uma descrição, nesse caso, backup GPO, clique em backup Up.
A ferramenta de backup GPO mostrará o processo do backup

6.Clique em Ok, depois de o backup ser concluído.

7.Faça backup da para bkp_gpo.

Nota:Você pode contar com essa pasta para copiar as GPOs de um dominio para o outro se quiser.Realize essa operação pelo menos uma vez por semana.

Até a próxima,

Flavio Honda

http:\\flaviohonda.wordpress.com

Share

Post to Twitter

Configurar auditoria dos eventos de logon de conta

Objetivo:Iremos utilizar as diretivas de grupo (GPO) para habilitar a auditoria das atividades de logon dos usuarios do dominio msitpro.com.br

1. Abra o console Group Policy Management
2. Expanda Forest\Domains\Msitpro.com.br\Domain Controllers
3. CLique com o botão direito do mouse em Default Domain Controllers Policy e selecione Edit.
4.Expanda Computer Configuration\Policies\Windows em Settings\Security Settings\local policies e então selecione Audit Policy.
5.Clique duas vezes em Audit Account Logon Events.
6.Marque a caixa de seleção Define these Policy Settings.
7.Marque ambas as  caixas de seleção Success e Failure.Clique em Ok.  Neste caso estaremos fazendo auditoria dos logons bem sucedidos e os que falharem também.
8.Clique em Audit logon Events.
9.Marque a caixa de seleção Define these Policy Settings;
10.Marque ambas as  caixas de seleção Success e Failure.Clique em Ok.
11. Feche o console Group Policy Management Editor.
12.Clique em Start e clique em command Prompt.
13.Digite gpupdate.exe /forceAssim depois desse comando o servidor irá atualizar todas as diretivas, e nesse momento as novas configurações de auditoria entram em vigor.

Nota: Para verificar se auditoria está funcionando corretamente, faça logoff e após faça um logon, verifique no Event Viewer\windows Logs\Security e identifique que o evento de logon de conta estará registrado.

Até a próxima

Flavio Honda

http://flaviohonda.wordpress.com
Share

Post to Twitter

Criar objeto de configuração de senha PSO

Introdução

Para quem não sabe o que é o PSO se trata de um novo recurso do windows server 2008, mais conhecido como diretiva refinada de senha. Nas versões anteriores do windows server, só poderia aplicar uma diretiva única ao domínio, caso você precisa-se aplicar a um grupo especifico uma diretiva de senha, você não podia, o novo recurso PSO agora você pode aplicar essa diretiva segua abaixo a diretiva no grupo msitpro. Lembrando que o nível funcional do domínio tem que ser no mínimo Windows Server 2008
Objetivo: Iremos criar um PSO que aplica uma diretiva de senha refinada a um grupo de usuarios chamado msitpro.1- Abra o ADSI Edit
2- Clique com o botão direito do mouse em ADSI edit e escolha connect To
3- Na caixa name digite o nome do dominio no nosso caso msitpro.com.br.Clique em Ok.
4-Expanda msitpro.com.br e selecione DC=msitpro,DC=com,DC=br.
5-Expanda DC=msitpro,DC=com,DC=br e selecione CN=System.
6-Expanda CN=System e selecione CN= Password Settings Container
7-Clique com o botão direito do mouse no PSC, escolha new e então seçecione Object.
Ele irá solicitar o tipo do objeto a ser criado só apenas uma opção msDS-PasswordSettings
8-Clique em Next
Vocé é solicitado a informar o valor dos atributos de um PSO.
9-Configure cada atributo com indicado com seug a lista:
-nome comum: MSITPRO PSO. Nome amigavel da PSO
-msDs-PasswordSettingsPrecedence:1 Esse PSO tem precedência mais alta possivel.
-msDs-PasswordReversibleEncryptionEnabled:False A senha não é armazenada
-msDs-PasswordHistoryLength:30 O usuario não pode reutilizar nenhuma das 30 ultimas senhas
-msDs-PasswordComplexityEnabled:True Regras de complexidade de senhas são impostas
-msDs-MinimumPasswordLength:15.As senhas devem ter um tamanho mínimo de 15 caracteres
-msDs-MinimumPasswordAge:1:00:00:00. Um usuario só pode alterar a senha depois de um dia a partir da ultima modificação.
-MaximumPasswordAge:45:00:00:00. A senha deve ser alterada a cada 45 dias
-msDs-LockoutThreshold:5. Cinco logon invalidos dentro do intervalo de tempo, especificado por XXX resultarão no bloqueio da conta
-msDs-LockoutObservationWindow: 0:01:00:00. cinco logon invalidos especificado pelo bloqueio anterior, no periodo de tempo de 1 hora resultarão no bloqueio da conta
-msDs-LockoutDuration: 1:00:00:00. uma conta, se bloqueada permanecerá bloqueada por um dia ou até que ela seja desbloqueada manualmente. Um valor zero fará com que a conta permaneça bloqueada até que um administrador a desbloquei.

Os atributos listados são os requeridos . Depois de clicar em Next na pagina do atributo -msDs-LockoutDuration, você será capaz de configurar o atributo opcional.
10.Clique bi bitão Mire Attributes.
11. Na caixa Edit Attibutes, digite CN=msitpro,CN=Users, DC=msitpro,DC=com,DC=br  e clique em ok.
Clique em concluir.

Nota: A diretiva de senha foi aplica somente ao grupo especifico msitpro não afetando as diretivas do domínio.

Flavio Honda

http://flaviohonda.wordpress.com

Share

Post to Twitter

Limites do Active Directory

Número máximo de objetos

Cada controlador de domínio em uma floresta AD pode criar um pouco menos de 2,15 bilhões de objetos durante sua vida.
Cada controlador de domínio AD tem um identificador único que é específico a esse controlador de domínio particular. Esses identificadores, que são chamados "Tags Distinguished Name (DNTS), não são replicados ou visível a outros DC. O intervalo de valores para DNTS é de 0 a 2147483393 (2 31 menos 255). Para cada objeto criado no DC, um único valor é usado. A DNT não é reutilizado quando um objeto é comparado, de modo que DC têm a limitação de criação de aprox. 2000 milhões de objetos (incluindo objetos que foram criados através de replicação). Este limite aplica-se à soma de todos os objetos de todas as partições (Domain NC, esquema de configuração, e qualquer outra partição de diretório de aplicativos.
Quando você chegar ao limite de DNT ao nível do banco de dados, ocorre o seguinte erro:
"Erro: Add: Erro de Operações. <1> Erro de servidor: 000020EF: SvcErr: DSID-0208044C,
problema 5012 (DIR_ERROR), os dados -1076 ".

Número máximo de identificadores de segurança

Há um limite de aprox. 1000000000 identificadores de segurança (SIDs) para a vida de um
domínio. Este limite é devido ao tamanho do conjunto de identificação relativa Global (RID) de 30 bits para criar cada SID (esta é atribuída a contas de usuários, computadores e grupos) em um único domínio. O limite atual é de 2 30 ou 1073741824 RIDs.

Participações no grupo de entidades de segurança

Os objetos de segurança (contas de usuário, grupos e computadores) podem ser membros de no máximo 1015 grupos. Esta limitação é devido ao limite de tamanho para o token de acesso que é criado para cada entidade de segurança.

Limitações comprimento – FQDN

O nome de domínio totalmente qualificado (nomes de domínio totalmente qualificado – FQDNs)
no AD não pode exceder 64 caracteres de comprimento, incluindo traços (-) e ponto (.). Por
exemplo, o nome do host que se segue é 65 caracteres, portanto, não válido em AD:
server10.branch-15.southaz.westernregion.northamerica.contoso.com

Limitações comprimento – Unidades Organizacionais

O comprimento máximo do nome para uma unidade organizacional (OU) é de 64 caracteres. Essa limitação impede que um nome de OU passe o limite de 260 caracteres no sistema de arquivos na construção de rotas UNC (Universal Naming Convention) para a Diretiva de Grupo.

Número máximo de aplicação do GPO

Limite de GPO que se aplicam a uma conta de usuário ou computador é de 999. Isso não significa que o número total de GPO no sistema é de 999, isso significa que uma única conta de usuário ou computador não consegue processar mais de 999 GPO. Este limite existe por razões de desempenho.

Número máximo de contas de operações LDAP

Quando você escreve scripts ou aplicações que executam transações LDAP, é aconselhável não mais de 5.000 operações por transação LDAP (como adicionar, modificar e apagar). Se mais de 5.000 operações em uma única transação LDAP, está em risco de ficar sem recursos e da ocorrência de um timeout, se isso acontecer, haverá um retrocesso de toda a operação
(alterações, acréscimos e modificações) de que a transação.

Número máximo recomendado de domínios em uma floresta
Para o Windows Server 2000, o valor recomendado é de 800 domínios.
Para o Windows Server 2003, o valor recomendado quando o nível funcional do Windows Server 2003 é 1200 domínios.

Número máximo de controladores de domínio em um domínio

Devido o FRS (File Replication Service) ser usado para replicar SYSVOL em um domínio Windows Server 2003, é recomendado um limite de 1200 controladores de domínio por domínio para garantir a recuperação constante do SYSVOL.

Mais informações:
Máxima do Active Directory Limites

 

Artigo Original:
http://geeks.ms/blogs/eliasmereb/archive/2008/05/11/limites-m-225-ximos-de-active-directory.aspx

Share

Post to Twitter

Exportando/Importando unicode no csvde

 

Em certo momento, você tentará exportar informações de um domínio do Active Directory utilizando o csvde, e irá enfrentar o seguinte erro:

image

 

O erro ocorre quando existem caracteres unicode, na importação ou na exportação. A solução é utilizar o parâmetro –u, como no exemplo abaixo. O mesmo vale para importação.

csvde –d “ou=USUARIOS,dc=domain,dc=local” –r “(objectclass=user)” –f c:\out.csv –u

 

Smiley piscando

Share

Post to Twitter

Criando contas de usuários com o Windows PowerShell no Windows Server 2008

Objetivo: Automatizar a criação de contas de usuários no Windows Server 2008 pelo Windows PowerShell

1. Vá em iniciar e abra o Windows PowerShell

2. Conecte-se a OU CPD(Coloque a OU que você preferir no meu caso estou trabalhando com a ou CPD) e digite o comando:
$objOU=[ADSI]“LDAP://OU=CPD,DC=microsoft,DC=com”

3. Crie um usuário na OU digitando o comando:
$objUser=$objOU.Create(“user”,”CN=Flavio Honda”)

4. Informe o atributo obrigatório, o  nome de logon pré-Windows 2000 do usuário, digitando o comando:
$objUser.Put(“sAMAccountName”,”flavio.honda”)

5. Confirme as modificações no Active Directory digitando o comando:
$objUser.SetInfo()

6. Confirme se o objeto foi criado digitando o comando:
$objUser.distinguishedName

O nome Distinto do usuário deve ser retornado.

7. Examine os atributos do usuário que o o Active Directory configurou automaticamente digitando o comando:
$objUser | get-member

Esse comando conecta o objeto que representa o usuário ao cmdlet Get-Member, que enumera os atributos preenchidos.

Até a proxima,

Flavio Honda

http://flaviohonda.wordpress.com

Share

Post to Twitter

Importando usuários com o CSVDE

Objetivo: Utilizar a ferramenta de linha de comando CSVDE para fazer a importação dos objetos usuários do Active Directory 

CSVDE é uma ferramenta de linha comando que importa e exporta objetos do Active Directory de ou para um arquivo de texto delimitado por vírgula (também conhecido como arquivos de texto com valores separados por virgula, ou arquivo .csv). Os arquivos dilimitados por vírgula podem ser criados, modificados e abertos com ferramentas familiares como o Notepad e o Microsoft Office Excel. Se houver informações sobre usuários nos bando de dados Excel ou Microsoft Office Access existentes, você descobrirá que o CSVDE é uma maneira poderosa de tirar proveito dessas informações para automatizar a criação de contas de usuários.

A sintaxe básica do comando CSVDE é:

csvde [-i] [-f Filename] [-k]

O parâmetro i especifica o modo de importação: sem ele, o modo padrão do csvde é de exportação. O parâmetro -f identifica o nome do arquivo a importar ou exportar. O parâmetro -k é útil durante as operações de importação porque ele instrui o csvde a ignorar erros que incluem Object Already Exists,Constraint Violation e Attribute Already Exists.

O próprio arquivo de importação é um arquivo de texto delimitado po virgula (.csv ou .txt ) no qual a primeira linha define os atributos importados pelos nomes e atributos do LDAP. Cada objeto que vem em seguida, um por linha, deve conter exatamente os atributos listados na primeira linha. Eis o arquivo de exemplo:

DN,objectClass,sAMAccountName,givenName,sn,userPrincipalName
“cn=Flavio Honda, ou=CPD,dc=microsoft,dc=com”, user,flavio.honda,
Flavio,Honda,flavio.honda@microsoft.com

Esse arquivo quando importado pelo comando CSVDE, criará um objeto usuário para Flavio Honda na OU CPD.Os nomes de logon do usuário,primeiro nome e sobrenome, são configurados pelo arquivo.Você não pode utilizar o CSVDE para importar senhas,e, sem uma senha a conta do usuário permanecerá desabilitada inicialmente. Depois de redefinir a senha, você pode habilitar o objeto.

Até a próxima,

Flávio Honda

http://flaviohonda.wordpress.com

Share

Post to Twitter