À medida que a complexidade dos recursos de rede aumenta, os serviços de diretório se tornam cada vez mais importantes para o gerenciamento da infraestrutura de TI. Não há serviço de diretório com um nome maior que Diretório ativo. O serviço de diretório da Microsoft foi estabelecido como uma ferramenta básica entre os administradores de rede. Neste tutorial do Active Directory, veremos o que é o Active Directory, como usá-lo e ferramentas do Active Directory, como o SolarWinds Access Rights Manager. Os tópicos incluem:
- O que é o Active Directory?
- O que o Active Directory faz?
- Como configurar o Active Directory
- Como usar o Active Directory: Configurando um controlador de domínio, criando usuários do diretório
- Eventos do Active Directory a serem monitorados
- Relações de Confiança (e Tipos de Confiança)
- Uma visão geral das florestas e árvores do Active Directory
- Relatórios do Active Directory (com SolarWinds Access Rights Manager)
Contents
- 1 O que é o Active Directory?
- 2 O que o Active Directory faz?
- 3 Como configurar o Active Directory (com RSAT)
- 4 Como usar o Active Directory: Como configurar um controlador de domínio, criando usuários do diretório
- 5 Eventos do Active Directory a serem monitorados
- 6 Uma visão geral das florestas e árvores do Active Directory
- 7 Relações de Confiança (e Tipos de Confiança)
- 8 Relatórios do Active Directory com o SolarWinds Access Rights Manager (TESTE GRATUITO)
- 9 Tutorial do Active Directory: Noções básicas
O que é o Active Directory?
O Active Directory é um serviço de diretório ou contêiner que armazena objetos de dados em seu ambiente de rede local. O serviço registra dados em Comercial, dispositivos, formulários, grupos, e dispositivos em uma estrutura hierárquica.
A estrutura dos dados permite encontrar os detalhes dos recursos conectados à rede a partir de um local. Em essência, o Active Directory funciona como uma lista telefônica para sua rede, para que você possa procurar e gerenciar dispositivos facilmente.
O que o Active Directory faz?
Há muitas razões pelas quais as empresas usam serviços de diretório como o Active Directory. A principal razão é a conveniência. O Active Directory permite que os usuários façam logon e gerenciem uma variedade de recursos em um local. As credenciais de logon são unificadas para facilitar o gerenciamento de vários dispositivos sem a necessidade de inserir os detalhes da conta para acessar cada máquina individual.
Como configurar o Active Directory (com RSAT)
Para começar, você precisará primeiro verificar se possui Profissional do Windows ou Windows Enterprise instalado, caso contrário você não poderá instalar Ferramentas de administração de servidor remoto. Em seguida, faça o seguinte:
Para Windows 10 versão 1809:
- Clique com o botão direito do mouse no Começar botão e vá para Configurações > Apps > Gerenciar recursos opcionais > Adicionar recurso.
- Agora selecione RSAT: Serviços de Domínio Active Directory e Ferramentas de Diretório Leve.
- Por fim, selecione Instalar então vá para Começar > Ferramentas administrativas do Windows acessar o Active Directory quando a instalação estiver concluída.
Para Windows 8 (e Windows 10 versão 1803)
- Baixe e instale a versão correta das Ferramentas do Administrador do Servidor para o seu dispositivo: Windows 8, Windows 10.
- Em seguida, clique com o botão direito do mouse no Começar botão e selecione Painel de controle > Programas > Programas e características > Liga ou desliga características das janelas.
- Deslize para baixo e clique no Ferramentas de administração de servidor remoto opção.
- Agora clique em Ferramentas de administração de funções.
- Clique em Ferramentas AD DS e AD LDS e verifique Ferramentas do AD DS foi verificado.
- pressione Está bem.
- Vamos para Começar > Ferramentas administrativas no Começar menu para acessar o Active Directory.
Como usar o Active Directory: Como configurar um controlador de domínio, criando usuários do diretório
Como configurar um controlador de domínio
Uma das primeiras coisas que você precisa fazer ao usar o Active Directory é configurar um controlador de domínio. Um controlador de domínio é um computador central que responde a solicitações de autenticação e autentica outros computadores na rede. O controlador de domínio armazena as credenciais de login de todos os outros computadores e impressoras.
Todos os outros computadores se conectam ao controlador de domínio para que o usuário possa autenticar todos os dispositivos de um local. A vantagem disso é que o administrador não precisará gerenciar dezenas de credenciais de login.
O processo de configuração de um controlador de domínio é relativamente simples. Atribua um endereço IP estático ao seu controlador de domínio e instalar serviços de domínio do Active Directory ou ADDS. Agora siga estas instruções:
- Aberto Gerenciador do Servidor e clique Resumo das Funções > Adicionar funções e recursos.
- Clique Próximo.
- Selecione Serviços de trabalho remoto instalação se você estiver implantando um controlador de domínio em uma máquina virtual ou selecione instalação baseada em função ou recurso.
- Selecione um servidor no pool de servidores.
- Selecione Serviço de Domínio Active Directorys da lista e clique em Próximo.
- Deixe os Recursos marcados por padrão e pressione Próximo.
- Clique Reinicie o servidor de destino automaticamente, se necessário e clique Instalar. Feche a janela quando a instalação estiver concluída.
- Após a instalação da função ADDS, uma notificação será exibida ao lado do Gerir cardápio. pressione Promova este servidor em um controlador de domínio.
- Agora clique Adicionar uma nova floresta e insira um Nome de domínio raiz. pressione Próximo.
- Selecione os Nível funcional do domínio você deseja e insira uma senha no Digite o Modo de restauração dos serviços de diretório (senha DSRM) seção. Clique Próximo.
- Quando a página Opções de DNS for exibida, clique em Próximo novamente.
- Digite um domínio no Nome de domínio NetBios caixa (de preferência o mesmo que o nome do domínio raiz). pressione Próximo.
- Selecione uma pasta para armazenar seu banco de dados e arquivos de log. Clique Próximo.
- pressione Instalar terminar. Seu sistema agora será reiniciado.
Criando usuários do Active Directory
Comercial e computadores são os dois objetos mais básicos que você precisará gerenciar ao usar o Active Directory. Nesta seção, veremos como criar novas contas de usuário. O processo é relativamente simples, e a maneira mais fácil de gerenciar usuários é através do Usuários e computador do Active Directory ou ferramenta ADUC que acompanha o Ferramentas de administração de servidor remoto ou RSAT pacote. Você pode instalar o ADUC seguindo as instruções listadas abaixo:
Instale o ADUC no Windows 10 versão 1809 e superior:
- Clique com o botão direito do mouse no Começar botão e clique Configurações > Apps, então clique Gerenciar recursos opcionais > Adicionar recurso.
- Selecione RSAT: Serviços de Domínio Active Directory e Ferramentas de Diretório Leve.
- Selecione Instalar e aguarde a instalação ser concluída.
- Vamos para Começar > Ferramentas administrativas do Windows para acessar o recurso.
Instale o ADUC no Windows 8 e Windows 10 versão 1803 ou inferior:
- Baixe e instale as Ferramentas do Administrador do Servidor Remoto para sua versão do Windows. Você pode fazer isso em um destes links aqui:
Ferramentas de administrador de servidor remoto para Windows 10, ferramentas de administrador de servidor remoto para Windows 8 ou ferramentas de administrador de servidor remoto para Windows 8.1.
- Clique com o botão direito do mouse em Começar > Painel de controle > Programas > Programas e características > Liga ou desliga características das janelas.
- Role para baixo e selecione Ferramentas de administração de servidor remoto.
- Expandir Ferramentas de administrador de funções > Ferramentas AD DS e AD LDS.
- Verifica Ferramentas do AD DS e pressione Está bem.
- Vamos para Começar > Ferramentas administrativas e selecione Usuários e computadores do Active Directory.
Como criar novos usuários com o ADUC
- Abra o Gerenciador do Servidor, vou ao Ferramentas menu e selecione Usuários e computadores do Active Directory.
- Expanda o domínio e clique em Comercial.
- Clique com o botão direito do mouse no painel direito e pressione Novo > Do utilizador.
- Quando a caixa Novo usuário do objeto for exibida, digite um Primeiro nome, Último nome, Nome de logon do usuário e clique Próximo.
- Digite uma senha e pressione Próximo.
- Clique Terminar.
- A nova conta de usuário pode ser encontrada no diretório Comercial seção do ADUC.
Eventos do Active Directory a serem monitorados
Como todas as formas de infraestrutura, o Active Directory precisa ser monitorado para permanecer protegido. O monitoramento do serviço de diretório é essencial para impedir ataques cibernéticos e oferecer a melhor experiência para o usuário final..
Abaixo, listaremos alguns dos eventos de rede mais importantes que você deve observar. Se você vir algum desses eventos, deverá investigar o mais rápido possível para garantir que seu serviço não foi comprometido..
| 4618 | N / D | Um padrão de evento de segurança foi reconhecido. |
| 4649 | N / D | Um ataque de repetição foi detectado (potencialmente falso positivo). |
| 4719 | 612 | Uma política de auditoria do sistema foi alterada. |
| 4765 | N / D | Histórico do SID adicionado a uma conta. |
| 4766 | N / D | A tentativa falhou ao adicionar o histórico do SID à conta. |
| 4794 | N / D | Tentativa de iniciar o modo de restauração dos serviços de diretório. |
| 4897 | 801 | Separação de função ativada. |
| 4964 | N / D | Grupos especiais receberam um novo logon. |
| 5124 | N / D | Segurança atualizada no serviço de resposta do OCSP. |
| N / D | 550 | Potencial ataque de DoS. |
| 1102 | 517 | O log de auditoria foi limpo. |
Uma visão geral das florestas e árvores do Active Directory
Floresta e árvores são dois termos que você ouvirá bastante ao se aprofundar no Active Directory. Esses termos se referem à estrutura lógica do Active Directory. Resumidamente, um tree é uma entidade com um único domínio ou grupo de objetos que é seguido por domínios filho. Uma floresta é um grupo de domínios coloque junto. Quando várias árvores são agrupadas, elas se tornam uma floresta.
As árvores da floresta se conectam através de um relação de confiança, que permite que diferentes domínios compartilhem informações. Todos domínios confiarão um no outro automaticamente para que você possa acessá-los com as mesmas informações da conta que você usou no domínio raiz.
Cada floresta usa um banco de dados unificado. Logicamente, a floresta fica no nível mais alto da hierarquia e a árvore está localizada na parte inferior. Um dos desafios que os administradores de rede enfrentam ao trabalhar com o Active Directory é gerenciar florestas e manter o diretório seguro.
Por exemplo, um administrador de rede será encarregado de escolher entre um projeto florestal único ou design multi-floresta. O design de floresta única é simples, de baixo custo e fácil de gerenciar, com apenas uma floresta abrangendo toda a rede. Por outro lado, um design de várias florestas divide a rede em florestas diferentes, o que é bom para a segurança, mas torna a administração mais complicada.
Relações de Confiança (e Tipos de Confiança)
Como mencionado acima, relações de confiança são usadas para facilitar a comunicação entre domínios. As relações de confiança permitem autenticação e acesso a recursos entre duas entidades. As relações de confiança podem ter natureza unidirecional ou bidirecional. Dentro de uma relação de confiança, os dois domínios são divididos em um domínio confiável e um domínio confiável.
Em uma confiança unidirecional, o domínio confiável acessa os detalhes de autenticação do domínio confiável para que o usuário possa acessar recursos do outro domínio. Em uma relação de confiança bidirecional, os dois domínios aceitarão os detalhes de autenticação do outro. Todos domínios dentro de uma floresta confiam um no outro automaticamente, mas você também pode configurar relações de confiança entre domínios em diferentes florestas para transferir informações.
Você pode criar relações de confiança através do Assistente de Novas Confianças. o Assistente de Nova Confiança é um assistente de configuração que permite criar novos relacionamentos de confiança. Aqui você pode ver o Nome do domínio, Tipo de Confiança, e Transitivo status de relações de confiança existentes e selecione o tipo de confiança que você deseja criar.
Tipos de Confiança
Há uma variedade de tipos de confiança no Active Directory. Listamos isso na tabela abaixo:
| Pai e filho | Transitivo | Bidirecional | sim | Uma confiança pai e filho é estabelecida quando um domínio filho é adicionado a uma árvore de domínio. |
| Raiz de árvore | Transitivo | Bidirecional | sim | Uma confiança na raiz da árvore é estabelecida no momento em que uma árvore de domínio é criada dentro de uma floresta. |
| Externo | Não transitivo | Unidirecional ou bidirecional | Não | Fornece acesso a recursos em um domínio do Windows NT 4.0 ou em uma floresta diferente que não é suportada por uma confiança de floresta. |
| Reino | Transitivo ou não transitivo | Unidirecional ou bidirecional | Não | Forma uma relação de confiança entre uma região que não seja Windows Kerberos e um domínio do Windows Server 2003. |
| Floresta | Transitivo | Unidirecional ou bidirecional | Não | Compartilha recursos entre florestas. |
| Atalho | Transitivo | Unidirecional ou bidirecional | Não | Reduz o tempo de logon do usuário entre dois domínios em uma floresta do Windows Server 2003. |
Relatórios do Active Directory com o SolarWinds Access Rights Manager (TESTE GRATUITO)
A geração de relatórios no Active Directory é essencial para otimizar o desempenho e permanecer em conformidade com a conformidade regulamentar. Uma das melhores ferramentas de relatório do Active Directory é Gerenciador de Direitos de Acesso SolarWinds (ARM). A ferramenta foi criada para aumentar a visibilidade de como as credenciais de diretório são usadas e gerenciadas. Por exemplo, você pode visualizar contas com configurações inseguras e abuso de credenciais que podem indicar um ataque cibernético.
Usando uma ferramenta de terceiros como Gerenciador de direitos de acesso SolarWinds é benéfico porque fornece informações e recursos que seriam muito mais difíceis ou impossíveis de acessar diretamente pelo Active Directory.
Além de gerar relatórios, você pode excluir automaticamente contas inativas ou expiradas que os cibercriminosos têm como alvo. Gerenciador de direitos de acesso SolarWinds começa em US $ 3.444 (£ 2.829). Há também um Avaliação gratuita de 30 dias versão que você pode baixar.
SolarWinds Access Rights ManagerDownload de 30 dias de teste GRATUITO
Tutorial do Active Directory: Noções básicas
O Active Directory é uma das melhores ferramentas para gerenciar recursos na sua rede. Neste artigo, apenas arranhamos a superfície do potencial dessa ferramenta. Se você estiver usando o Active Directory, lembre-se de que é um ponto de entrada potencial para invasores cibernéticos. Tomar nota dos principais eventos do diretório e usar um monitor de diretório ajudará bastante a minimizar o risco de um ataque malicioso e a proteger a disponibilidade do seu serviço.
omo usar o Active Directory é uma habilidade importante para administradores de rede. Configurar um controlador de domínio e criar usuários do diretório são tarefas essenciais para gerenciar a infraestrutura de TI. O tutorial do Active Directory apresenta esses tópicos e muitos outros, incluindo relações de confiança, eventos do Active Directory a serem monitorados e relatórios com o SolarWinds Access Rights Manager. O Active Directory é um serviço de diretório hierárquico que armazena objetos de dados em sua rede local, permitindo que você gerencie dispositivos e recursos facilmente. A instalação das Ferramentas de administração de servidor remoto é necessária para configurar o Active Directory. Com o tutorial do Active Directory, você pode aprender a usar essa ferramenta poderosa para gerenciar sua infraestrutura de TI de forma eficiente.