Home
Uma abordagem prática para os Serviços de Domínio Active Directory, Parte 3: Explore o AD com contas de usuário e computador

Uma abordagem prática para os Serviços de Domínio Active Directory, Parte 3: Explore o AD com contas de usuário e computador

ManageEngine 6 de maio de 2022

Como você começa a trabalhar com os Serviços de Domínio Active Directory (AD DS)? Se você leu as partes anteriores desta série de blogs, saberá que o Active Directory (AD) é um assunto vasto. Nesta série, escolhemos tópicos para ajudá-lo a se familiarizar com os conceitos teóricos do AD e equipá-lo para trabalhar com o AD. Este blog oferece exercícios práticos de AD para ajudá-lo a começar.

É necessário entender o ciclo de vida de todos os objetos do AD, desde a criação e modificação até a exclusão. Você também precisa saber como solucionar problemas de atividades de conta e dominar o gerenciamento de Diretiva de Grupo para otimizar a administração do AD.

Vamos abordar seguintes tópicos:

  • Pré-requisitos para praticar e experimentar AD
  • Contas de usuário: trabalhando com os objetos AD mais dinâmicos
  • Contas de computador: entendendo sua função em ambientes AD

Pré-requisitos para praticar e experimentar AD

 Antes de começar a trabalhar no AD, você precisa garantir algumas coisas: 

  • Etapa 1: configure duas máquinas virtuais (VMs) em seu computador para que você possa testar os vários exercícios do AD.

➤  Uma das VMs deve ser promovida ao controlador de domínio (DC) com o AD DS instalado nela. Essa VM deve executar o Windows Server 2012 e superior.

➤  A outra VM será usada como um computador cliente que pode ser associado ao domínio do DC. Pode ser qualquer estação de trabalho cliente com qualquer sistema operacional instalado, como uma estação de trabalho Windows 10.

Observe que o sistema operacional configurado na VM, especialmente o do servidor DC, determina os níveis funcionais de floresta e domínio do ambiente AD. Essas são as definições de configuração abordadas nas etapas detalhadas abaixo. Vale a pena observar neste estágio que o nível funcional do domínio deve ser maior ou igual ao nível funcional da floresta definido no DC.

Por exemplo, se a VM na qual o DC está sendo executado tiver o Windows 2012 instalado, você poderá definir o nível funcional da floresta para Windows 2012 e o nível funcional do domínio para Windows 2012 e superior durante o processo de promoção dessa VM do servidor para um DC. Em um ambiente AD de teste de laboratório, você pode adicionar DCs adicionais, se necessário, a este domínio AD, cada um com Windows 2012 e superior, de acordo com o nível funcional do domínio definido. Isso garantiria a compatibilidade de todos os DCs no ambiente do AD com os recursos do AD mais recentes.

 Em um nível organizacional, os administradores do AD precisam garantir que os níveis funcionais de floresta e domínio de todos os DCs nos domínios do AD estejam configurados adequadamente. 

  • Etapa 2: configurar um domínio AD de amostra e configurar um limite administrativo para gerenciar e testar centralmente os recursos do AD. Essa configuração de um domínio do AD na VM do servidor imitará como os administradores trabalham com o AD em um ambiente real.

 No nosso caso, para praticar, vamos configurar um novo domínio chamado ad.practice.com. Para isso, certifique-se do seguinte:

➤  Configure um endereço IP estático no servidor navegando até as configurações de Ethernet na VM que deve ser promovida para o DC.

➤  O DNS desta VM deve estar apontando para o IP do servidor configurado na etapa anterior para garantir a descoberta confiável da máquina no domínio.

➤ Este servidor virtual agora está pronto para a instalação de funções adicionais, que no nosso caso é a instalação do AD DS junto com a função de servidor DNS. Para entender melhor a integração AD-DNS, consulte a Parte 2 desta série.

  • Etapa 3: promova o servidor a um DC para concluir a instalação do AD DS iniciada na etapa 2. Essa promoção garante que o status do servidor seja alterado para um DC com recursos de autenticação e autorização.

➤  Para instalar o AD DS no servidor virtual, use o console de gerenciamento chamado Server Manager. A guia Gerenciar no Gerenciador do Servidor permite localizar e adicionar a função AD DS e seus recursos associados.

➤  O assistente o guiará pelo processo de instalação dessa função no servidor.

➤  Após a instalação bem-sucedida, esse servidor deverá ser promovido a um DC, conforme indicado por um sinalizador de notificação.

➤  Ao promover o servidor a um DC, as definições de configuração de implantação permitem que uma nova floresta seja criada. O nome da nova floresta geralmente é o nome do primeiro domínio (domínio raiz) criado na floresta. Em nosso exemplo, chama-se ad.practice.com (Fig. 1).

Figura 1. Esta captura de tela mostra o painel do Gerenciador do Servidor com a guia Gerenciar no canto superior direito.

  • Etapa 4: Conclua outras configurações do DC para criar um ambiente de teste funcional para o AD.

➤  Outras configurações, como os níveis funcionais de domínio e floresta e os recursos do DC (incluindo a configuração do DNS e do catálogo global), podem ser adicionadas e definidas para as opções padrão apresentadas.

➤  O nome NetBIOS, que é um nome de logon facilmente identificável, e o local do Ntds.dit ou dos arquivos de banco de dados AD são algumas das outras configurações que podem ser finalizadas neste estágio.

Assim que a promoção deste servidor para um DC for concluída, você terá o servidor central de autenticação e autorização pronto para uso.

A outra VM que atua como computador cliente precisará ingressar no domínio criado nas etapas acima. Mais sobre isso é abordado em uma seção posterior deste blog chamada “Contas de computador: entendendo sua função em ambientes AD”.

 Ferramentas de gerenciamento de AD para se concentrar

 Para começar seus exercícios do AD para criar e gerenciar os dois tipos de objetos do AD abordados neste blog (usuários e computadores), você pode usar duas ferramentas principais por meio do painel do Gerenciador do Servidor:

1. Centro Administrativo do Active Directory (ADAC)

2. Usuários e Computadores do Active Directory (ADUC)

Essas duas ferramentas têm recursos semelhantes e ajudam você a gerenciar e administrar domínios e objetos do AD.

Contas de usuário: trabalhando com os objetos AD mais dinâmicos

Os usuários são objetos do AD que precisam de autenticação para ingressar nos domínios do AD. Uma vez autenticados, os usuários podem receber várias permissões e privilégios para serem autorizados a acessar recursos no ambiente AD. Tanto os usuários humanos quanto os aplicativos que requerem acesso para trabalhar na rede conectada são identificados como contas de usuário.

 Os usuários geralmente são agrupados em outros objetos do AD chamados grupos. Mas primeiro, vamos entender como criar, modificar e gerenciar contas de usuários individuais.

 Criação de objetos de usuário do AD

 Para criar um usuário com ADAC, siga os passos abaixo:

  1. No ADAC, crie um novo usuário no contêiner Usuários visível no painel esquerdo.
  2. Preencha todos os campos obrigatórios nas janelas emergentes. Isso inclui fornecer detalhes como o nome completo e SamAccountName (o nome de logon do usuário ou o ID de logon exclusivo criado no formato nome de domínio\nome).
  3. Defina as senhas e permissões associadas.

 Para criar um usuário de amostra chamado “Test AD3 User” usando ADAC, consulte os detalhes na Figura 2.

Figura 2. Esta captura de tela mostra como criar um usuário de teste com o ADAC.

Para criar um usuário com ADUC, siga os passos abaixo:

  1. No ADUC, escolha qualquer container padrão para criar um novo usuário.
  2. No contêiner Usuários, clique com o botão direito do mouse para criar uma nova conta.
  3. Na janela New Object – User creation que se abre, preencha os mesmos detalhes, incluindo o nome de logon e SamAccountName.
  4. Clique em Avançar e defina a senha.
  5. Habilite ou desabilite os usuários conforme julgar necessário.

 Para criar um usuário de amostra chamado “Test AD3 User” usando ADUC, consulte os detalhes na Figura 3.

Figura 3. Esta captura de tela mostra como criar um usuário de teste com ADUC.

Ao final, faça uma revisão final de todos os detalhes antes de concluir o processo de criação da nova conta de usuário (Fig. 4).

Figura 4. Esta é a revisão final dos detalhes do usuário para a criação de novos objetos no ADUC.

À medida que a complexidade dos dados associados a cada conta de usuário aumenta, as informações a serem fornecidas no processo de criação do usuário aumentam. Para minimizar a chance de erros, mantenha um modelo para criar novos usuários ou até mesmo use a funcionalidade de cópia no ADAC e no ADUC para fazer alterações mínimas nas janelas de criação de contas de usuário já existentes e padronizadas.

Os administradores terão que criar usuários em massa na maioria dos cenários. Para isso, os cmdlets do PowerShell podem ser usados ​​para automatizar esse processo em vez de trabalhar com ADAC ou ADUC.

Gerenciamento de usuários AD

Você pode modificar e gerenciar as propriedades da conta do usuário usando a opção de visualizar e editar as propriedades dos usuários (Fig. 5).

  1. Tanto no ADAC quanto no ADUC, clique com o botão direito do mouse na conta de usuário desejada para abrir uma janela onde você pode fazer todas as modificações nas propriedades desejadas.
  2. Desative uma conta de usuário para incluir um ícone de seta apontando para baixo na tela dos usuários. Desabilitar usuários até que sejam necessários é uma boa prática.Figura 5. Esta é uma janela de amostra usada para modificar as propriedades da conta do usuário com o ADUC.

Figura 5. Esta é uma janela de amostra usada para modificar as propriedades da conta do usuário com o ADUC.

Exclusão de usuários

Nos casos em que os usuários não fazem mais parte do ambiente necessário e precisam ser excluídos, clique com o botão direito do mouse no respectivo usuário e selecione a opção excluir.

Solucionando problemas de contas de usuário do AD

A solução de problemas de contas de usuário é outro aspecto crítico para dominar o gerenciamento de ambientes AD.

Isso geralmente envolve: 

  • Confirmando que a conta não está desativada.
  • Verificando o status de expiração da conta do usuário.
  • Verificando o status de expiração da senha.
  • Trabalhando com vários cenários de redefinição de senha.

A criação, modificação e exclusão de contas de usuário é realizada pelos administradores de acordo com as demandas e políticas exclusivas de sua organização para gerenciar novas contratações, mudanças de departamento, rotatividade de funcionários e muito mais. 

Gerenciar contas de usuário em um ambiente AD pode parecer um processo complexo, mas, na realidade, os serviços AD sempre imitam uma configuração de negócios do mundo real e ajudam no gerenciamento eficaz de todos os recursos de uma organização.

Contas de computador: entendendo sua função em ambientes AD

Assim como todos os usuários, aplicativos e serviços que precisam de uma conta de usuário para fazer logon nos domínios do AD, as contas de computador são criadas para cada estação de trabalho que precisa acessar a rede do AD conectada. 

A criação, gerenciamento e exclusão de contas de computador é semelhante ao ciclo de vida das contas de usuário. Para gerenciar contas de computador com eficiência, os computadores também podem ser organizados em grupos e contêineres do AD aos quais as políticas de grupo podem ser atribuídas. 

As contas de computador podem ser criadas de duas maneiras:

  1. Criando-os primeiro e, em seguida, juntando-os ao respectivo domínio do AD.
  2. Criando-os no AD à medida que novos computadores são ingressados ​​no domínio controlado pelo AD.

Trabalhando na prática com a VM do computador

  1. No escopo deste blog, temos uma VM configurada como um computador cliente que precisa ser ingressado no domínio do DC. Use a segunda abordagem listada acima para essa finalidade.  Essa abordagem permite que você crie uma nova conta de computador no AD para esse computador cliente depois que ele tiver ingressado no domínio de prática criado acima (ou seja, ad.practice.com).
  2. Direcione qualquer computador que você deseja ingressar em um domínio do AD para um mínimo de um servidor DNS mantido no ambiente do AD. Defina o endereço IP do DC como o servidor DNS preferencial neste computador cliente.
  3. Usando as configurações avançadas do sistema no computador cliente, forneça os detalhes do domínio junto com o nome de usuário e a senha de uma conta de usuário que tenha permissão para adicionar este computador ao domínio.
  4. Adicione este computador como um objeto de computador no AD usando as ferramentas de gerenciamento do AD.
  5. Reinicie o computador. Depois, ele será visto como parte do domínio necessário e ficará visível como parte do contêiner do computador padrão no AD. A autenticação do computador acontece em segundo plano.

Criação de objetos de computador no AD

Para criar um computador usando o ADAC, siga as etapas abaixo: 

  1. No ADAC, crie computadores no contêiner Computadores no painel esquerdo.
  2. Especifique o nome do computador.
  3. Forneça informações sobre quaisquer usuários ou grupos de usuários autorizados que possam autenticar computadores recém-criados para adicionar ao domínio do AD.

Consulte a Figura 6 abaixo para criar um computador de teste chamado “TestAD3Computer” usando o ADAC.

Figura 6. Esta captura de tela mostra como criar um computador de teste com ADAC.

Para criar um computador usando ADUC, siga os passos abaixo: 

  1. No ADUC, você pode escolher qualquer unidade organizacional (OU) ou contêiner adequado para criar computadores. Aqui, para praticar, escolha o contêiner Computadores no painel esquerdo como padrão para criar uma nova conta de computador.
  2. Clique com o botão direito do mouse em Computadores e clique em Novo.
  3. Na janela que se abre, digite o nome do computador e selecione outras configurações.

Consulte a Figura 7 abaixo para criar um computador de teste chamado “TestAD3User” usando ADUC.

Figura 7. Esta captura de tela mostra como criar um computador de teste com ADUC.

Você pode usar comandos do PowerShell para criar contas de computador em massa, localizar contas de computador específicas, localizar sistemas operacionais específicos e até mesmo localizar contas inativas ou expiradas.

Exclusão de computadores

Para excluir contas de computador por meio de ADAC ou ADUC, clique com o botão direito do mouse no computador desejado e selecione a opção de exclusão. 

Então você foi apresentado a dois dos objetos AD mais críticos e seu gerenciamento por meio de ADUC e ADAC, as duas ferramentas administrativas mais populares do AD.

Conheça na prática e na realidade de sua empresa o que as soluções ACSoftware | ManageEngine podem fazer por você. Contamos com um portfólio extenso para gerenciamento de TI. Com soluções para segurança de TI, IAM – Gerenciamento de Acesso e Identidade, gerenciamento de endpoints, ITSM – Gerenciamento de Serviços de TI, ITOM – Gerenciamento de Operações de TI (monitoramento de redes, servidores, aplicações, sites banda e análise de tráfego, gerenciamento de endereços IP e portas de switch), análise avançada de dados e muito mais.

Portfolio Completo ManageEngine

ACSoftware revenda e distribuidora ManageEngine no Brasil. – Fone / WhatsApp (11) 4063 9639.

Uma abordagem prática aos Serviços de Domínio do Active Directory – parte 1 https://blogac.me/abordagem-pratica-dos-servicos-de-dominio-active-directory-parte-1-um-guia-para-iniciantes-no-ad/

Uma abordagem prática aos Serviços de Domínio do Active Directory – parte 2 https://blogac.me/uma-abordagem-pratica-aos-servicos-de-dominio-do-active-directory-parte-2-ad-e-o-sistema-de-nomes-de-dominio/

PodCafé da TI – Podcast, Tecnologia e Cafeína.

SpotifyApple PodcastsGoogle PodcastsDeezerYouTube
Join @acsoftware on Telegram

Relacionado

, , , ,

Deixe um comentário

Blog ACSoftware - ManageEngine