10140A_05 [Modo de Compatibilidade]
-
Upload
tiago-henrique-ribeiro-ferreira -
Category
Documents
-
view
223 -
download
0
Transcript of 10140A_05 [Modo de Compatibilidade]
![Page 1: 10140A_05 [Modo de Compatibilidade]](https://reader031.fdocuments.co/reader031/viewer/2022021123/577ce69d1a28abf103933552/html5/thumbnails/1.jpg)
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 1/25
Módulo 5Configuração de
relações de confiança e
objetos do Active Directory
![Page 2: 10140A_05 [Modo de Compatibilidade]](https://reader031.fdocuments.co/reader031/viewer/2022021123/577ce69d1a28abf103933552/html5/thumbnails/2.jpg)
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 2/25
Visão geral do módulo
• Delegação de acesso administrativo aos objetos do ActiveDirectory®
• Configuração das relações de confiança do Active Directory
![Page 3: 10140A_05 [Modo de Compatibilidade]](https://reader031.fdocuments.co/reader031/viewer/2022021123/577ce69d1a28abf103933552/html5/thumbnails/3.jpg)
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 3/25
Lição 1: Delegação de acesso administrativo aosobjetos do Active Directory
• Permissões de objeto do Active Directory
• O que são permissões efetivas?
• O que é delegação de controle?
• Assistente para delegação de controle
• Discussão: Cenários de delegação de controle
![Page 4: 10140A_05 [Modo de Compatibilidade]](https://reader031.fdocuments.co/reader031/viewer/2022021123/577ce69d1a28abf103933552/html5/thumbnails/4.jpg)
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 4/25
Permissões de objeto do Active Directory
• Podem ser definidas no nível do objeto ou herdadas deseu objeto pai.
• Podem ser permitidas e implicitamente ou explicitamentenegadas.
Incluem permissões padrão e especiais
• As permissões padrão são aquelasatribuídas com mais freqüência
• As permissões especiais fornecem um grau mais preciso
de controle para atribuição de acesso a objetos
![Page 5: 10140A_05 [Modo de Compatibilidade]](https://reader031.fdocuments.co/reader031/viewer/2022021123/577ce69d1a28abf103933552/html5/thumbnails/5.jpg)
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 5/25
Demonstração: Herança da permissão de objetodos Serviços de Domínio Active Directory
Nesta demonstração, você verá como:
• As permissões são herdadas dos objetos do AD DS
• Exibir permissões efetivas de um objeto
![Page 6: 10140A_05 [Modo de Compatibilidade]](https://reader031.fdocuments.co/reader031/viewer/2022021123/577ce69d1a28abf103933552/html5/thumbnails/6.jpg)
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 6/25
O que são permissões efetivas?
As permissões efetivas são aquelas realmente concedidas aousuário ou ao grupo especificado
• As permissões são cumulativas, incluindo as permissõesatribuídas à conta do usuário e à conta do grupo
• As permissões 'negar' explícitas substituem as permissões'permitir' herdadas
• As permissões 'permitir' explícitas substituem as permissões' '
Use a ferramenta Permissões Efetivas para exibir aspermissões efetivas
• As identidades especiais não são usadas quando a guiaPermissões Especiais é usada para exibir as permissõesespeciais
• A ferramenta de Permissões Efetivas não considera aspermissões de compartilhamento
![Page 7: 10140A_05 [Modo de Compatibilidade]](https://reader031.fdocuments.co/reader031/viewer/2022021123/577ce69d1a28abf103933552/html5/thumbnails/7.jpg)
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 7/25
• Administração delegada:
Facilita a administraçãodistribuindo tarefasadministrativas de rotina
O que é delegação de controle?
Atribui a responsabilidade de gerenciar objetos do ActiveDirectory para outro usuário ou grupo
Fornece a usuários ougrupos mais controlesobre recursos de redelocais
Elimina a necessidade decriar várias contasadministrativas
Domínio
UO1
UO2
Admin2
Admin1
Admin3
UO3
![Page 8: 10140A_05 [Modo de Compatibilidade]](https://reader031.fdocuments.co/reader031/viewer/2022021123/577ce69d1a28abf103933552/html5/thumbnails/8.jpg)
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 8/25
Assistente para delegação de controle
Use o Assistente para delegação de controle para:
• Atribuir automaticamente permissões adequadas a usuários egrupos
• Especificar o usuário ou o grupo ao qual você deseja delegarcontrole• Especificar as UOs e os objetos que o usuário ou o grupo deve ter
permissão para controlar
Modificação do Assistente para delegação de controle:
• A lista de tarefas comuns do assistente é controlada por modeloscontidos no arquivo delegwiz.inf
• É possível alterar a lista de tarefas comuns modificando o arquivodelegwiz.inf para incluir outros modelos
![Page 9: 10140A_05 [Modo de Compatibilidade]](https://reader031.fdocuments.co/reader031/viewer/2022021123/577ce69d1a28abf103933552/html5/thumbnails/9.jpg)
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 9/25
Discussão: Cenários de delegação de controle
• Quais são os benefícios da delegação de permissõesadministrativas?
• Como você usaria a delegação de controle na suaorganização?
![Page 10: 10140A_05 [Modo de Compatibilidade]](https://reader031.fdocuments.co/reader031/viewer/2022021123/577ce69d1a28abf103933552/html5/thumbnails/10.jpg)
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 10/25
Demonstração: Configuração da delegação decontrole
Nesta demonstração, você verá como:
• Configurar a delegação com o Assistente para delegaçãode controle
• Configurar a delegação usando um script do WindowsPowerShell
![Page 11: 10140A_05 [Modo de Compatibilidade]](https://reader031.fdocuments.co/reader031/viewer/2022021123/577ce69d1a28abf103933552/html5/thumbnails/11.jpg)
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 11/25
Laboratório A: Configuração da delegação doActive Directory
• Exercício 1: Delegação do controle dos objetos do AD DS
Informações de logon
-
Nome de usuário Administrador
Senha Pa$$w0rd
Tempo estimado: 30 minutos
![Page 12: 10140A_05 [Modo de Compatibilidade]](https://reader031.fdocuments.co/reader031/viewer/2022021123/577ce69d1a28abf103933552/html5/thumbnails/12.jpg)
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 12/25
Cenário do laboratório
O Woodgrove Bank também estabeleceu uma parceria comoutra organização. Alguns usuários de cada organizaçãoprecisam acessar recursos da outra organização. Noentanto, o acesso entre organizações deve ser limitado ao
mínimo de usuários possível.
![Page 13: 10140A_05 [Modo de Compatibilidade]](https://reader031.fdocuments.co/reader031/viewer/2022021123/577ce69d1a28abf103933552/html5/thumbnails/13.jpg)
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 13/25
Lição 2: Configuração das relações de confiançado Active Directory
• O que são as relações de confiança do AD DS?
• Opções de relações de confiança do AD DS
• Como relações de confiança funcionam em uma floresta
• Como relações de confiança funcionam entre florestas
• O que são UPNs?
• O que são configurações de autenticação seletiva?
![Page 14: 10140A_05 [Modo de Compatibilidade]](https://reader031.fdocuments.co/reader031/viewer/2022021123/577ce69d1a28abf103933552/html5/thumbnails/14.jpg)
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 14/25
O que são as relações de confiança do AD DS?
Fornecem um mecanismo para que os usuários obtenham acessoaos recursos de outro domínio
Características da relação de confiança:
• Transitiva: a relação de confiança se estende para além da relaçãoentre dois domínios a fim de incluir outros domínios confiáveis
•
define o domínio da conta e o domínio do recurso• Protocolo de autenticação: protocolo usado para estabelecer
e manter a relação de confiança
![Page 15: 10140A_05 [Modo de Compatibilidade]](https://reader031.fdocuments.co/reader031/viewer/2022021123/577ce69d1a28abf103933552/html5/thumbnails/15.jpg)
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 15/25
Opções de relação de confiança do AD DS
Relação deconfiança entre árvore e raiz
Relação deconfiançade florestaRelação de
confiança
entrepai e filho
Atalho de confiança Relação deconfiança
externa
Relação deconfiança
de território
![Page 16: 10140A_05 [Modo de Compatibilidade]](https://reader031.fdocuments.co/reader031/viewer/2022021123/577ce69d1a28abf103933552/html5/thumbnails/16.jpg)
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 16/25
Como as relações de confiança funcionam emuma floresta
Árvore um
Domínio 1
Domínio raizda árvore
Domínio raizda floresta
Árvore dois
Domínio 2
Domínio C
Domínio A
Domínio B
![Page 17: 10140A_05 [Modo de Compatibilidade]](https://reader031.fdocuments.co/reader031/viewer/2022021123/577ce69d1a28abf103933552/html5/thumbnails/17.jpg)
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 17/25
Como relações de confiança funcionam entre florestas
WoodgroveBank.com
contoso.com
Relação deconfiança de
floresta
Catálogoglobal
Catálogoglobal
6
Seattle
EMEA.WoodgroveBank.com NA.Contoso.com
Vancouver
2 4
1
35
7
89
![Page 18: 10140A_05 [Modo de Compatibilidade]](https://reader031.fdocuments.co/reader031/viewer/2022021123/577ce69d1a28abf103933552/html5/thumbnails/18.jpg)
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 18/25
Demonstração: Exame de relações de confiança
Nesta demonstração, você verá como:
• Examinar o MMC de domínios e relações de confiança doActive Directory
![Page 19: 10140A_05 [Modo de Compatibilidade]](https://reader031.fdocuments.co/reader031/viewer/2022021123/577ce69d1a28abf103933552/html5/thumbnails/19.jpg)
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 19/25
O que são UPNs?
• O sufixo de domínio pode ser o domínio primário do usuário,
qualquer outro domínio da floresta ou um nome de domíniopersonalizado
• Sufixos de domínio UPN adicionais podem ser adicionados
• O UPN é um nome de logon que inclui o nome de logon do usuárioe um sufixo de domínio
• O UPN é um nome de logon que inclui o nome de logon do usuárioe um sufixo de domínio
• O UPN é um nome de logon que inclui o nome de logon do usuárioe um sufixo de domínio
• Os UPNs devem ser exclusivos na floresta
Os sufixos UPN podem ser usados para rotear as solicitações deautenticação entre florestas confiáveis:
• O roteamento do sufixo UPN será desabilitado automaticamente seo mesmo sufixo UPN for usado nas duas florestas
• É possível habilitar ou desabilitar manualmente o roteamento donome do sufixo entre relações de confiança
![Page 20: 10140A_05 [Modo de Compatibilidade]](https://reader031.fdocuments.co/reader031/viewer/2022021123/577ce69d1a28abf103933552/html5/thumbnails/20.jpg)
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 20/25
O que são configurações de autenticação seletiva?
Autenticação seletiva:
• Limita quais computadores podem ser acessados pelosusuários de um domínio confiável e quais usuários
do domínio confiável podem acessar o computador• Configurada no descritor de segurança do objeto do
computador localizado no AD DS
Para configurar a autenticação seletiva:
• Configure a relação de confiança de floresta ou externapara usar a autenticação seletiva em vez da autenticação
em todo domínio• Configure as contas do computador para autenticação
seletiva
![Page 21: 10140A_05 [Modo de Compatibilidade]](https://reader031.fdocuments.co/reader031/viewer/2022021123/577ce69d1a28abf103933552/html5/thumbnails/21.jpg)
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 21/25
Laboratório B: Configuração das relações de confiançado Active Directory
• Exercício 1: Configuração das relações de confiança do AD DS
Informações de logon
- -M quinas virtuais , ,
NYC-CL1, VAN-DC1Nome de usuário Administrador
Senha Pa$$w0rd
Tempo estimado: 30 minutos
![Page 22: 10140A_05 [Modo de Compatibilidade]](https://reader031.fdocuments.co/reader031/viewer/2022021123/577ce69d1a28abf103933552/html5/thumbnails/22.jpg)
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 22/25
Cenário do laboratório
O Woodgrove Bank tem diversas exigências degerenciamento dos objetos AD DS. A organizaçãonormalmente contrata estagiários que devem ter permissõeslimitadas e cujas contas devem ser definidas para expirarautomaticamente quando o estágio terminar. As contas deusuário também devem ser definidas com uma configuraçãopadrão. Além disso, a organização precisa de grupos do ADDS, que serão usados para atribuir permissões a váriosrecursos de rede. Ela retende automatizar as tarefas de
gerenciamento de usuário e de grupo e delegar algumastarefas administrativas a administradores principiantes.
![Page 23: 10140A_05 [Modo de Compatibilidade]](https://reader031.fdocuments.co/reader031/viewer/2022021123/577ce69d1a28abf103933552/html5/thumbnails/23.jpg)
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 23/25
Revisão do laboratório
• Após as relações de confiança terem sido configuradasconforme descrito no laboratório, a quais recursos osusuários do Woodgrovebank terão acesso no domínioFabrikam.com?
• Como você configuraria uma relação de confiança defloresta com outra organização se a organização nãofornecesse as credenciais do administrador?
![Page 24: 10140A_05 [Modo de Compatibilidade]](https://reader031.fdocuments.co/reader031/viewer/2022021123/577ce69d1a28abf103933552/html5/thumbnails/24.jpg)
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 24/25
Revisão do módulo e informações
• Perguntas de revisão
• Considerações sobre o gerenciamento de relações deconfiança e objetos do Active Directory
á d õ l d d ã
![Page 25: 10140A_05 [Modo de Compatibilidade]](https://reader031.fdocuments.co/reader031/viewer/2022021123/577ce69d1a28abf103933552/html5/thumbnails/25.jpg)
7/31/2019 10140A_05 [Modo de Compatibilidade]
http://slidepdf.com/reader/full/10140a05-modo-de-compatibilidade 25/25
Página de anotações - Slide excedente. Nãoimprima o slide. Consulte o painel de anotações.