1. Dia 11/08/2012
MCITP-EA Active Directory
Aula 2
Administração do Active Directory por linha de comando
dsadd comando utilizado para criar objetos no active directory
Criação de OU's
dsadd OU OU=RH,DC=dom9,DC=local
Onde:
OU
É o tipo de objeto que será criado.
OU=RH,
Nome da OU que será criada, no exemplo será a OU RH
DC=dom9,
Domínio onde o objeto será criado
DC=local
Sufixo do domínio onde o objeto será criado
As vírgulas utilizadas fazem parte da sintaxe do comando, para separar os objetos!
Para criar uma OU dentro de outra OU devemos utilizar uma linha similar à abaixo:
dsadd OU OU=USUARIOS,OU=RH,DC=dom9,DC=local
Onde a nova OU USUARIOS esta diretamente abaixo da OU RH.
Caso seja necessário um nível hierárquico maior, basta acrescentar no inicio da linha a nova
OU. Segue exemplo de utilização:
dsadd OU OU=ANDAR3,OU=USUARIOS,OU=RH,DC=dom9,DC=local
Na linha de comando anterior foi criada uma sub OU para os usuários do 3º andar do RH
Criação de usuários
dsadd USER CN=USER1,CN=USERS,DC=dom9,DC=local -SAMID USER1 -UPN
user1@dom9.local -PWD 123qwe. -DISABLED NO
Onde:
USER
Tipo de objeto a ser criado
CN=USER1,
nome do usuário a ser criado
CN=USERS,
Nome da OU em que o usuário será criado
DC=dom9,
Domínio onde o objeto será criado
DC=local
Sufixo do domínio onde o objeto será criado
2. -SAMID USER1
Identificação dos usuários
-UPN user1@dom9.local
Nome de logon do usuário
-PWD 123qwe.
Senha do usuário
-DISABLED NO
Informa que o usuário não esta desabilitado
Criação de grupos
dsadd GROUP CN=RH,OU=USUARIOS,OU=RH,DC=dom9,DC=local -secgrp yes -scope G
Onde:
GROUP
Tipo de objeto a ser criado
CN=RH,
nome do grupo a ser criado
OU=USUARIOS,
Nome da OU em que o usuário será criado
OU=RH,
Nome da OU em que o usuário será criado
DC=dom9,
Domínio onde o objeto será criado
DC=local
Sufixo do domínio onde o objeto será criado
-secgrp yes
Define o tipo de grupo, quando o parâmetro YES ele será criado como grupo de segurança,
caso seja criado com NO ele será criado como grupo de segurança
-scope G
Defino o escopo do grupo:
G = Global
L = Local
U = Universal
Remoção de objetos
É utilizado o caminho absoluto do objeto
Remoção de OU
dsrm OU=teste,DC=DOM9,DC=local
Para remover subárvores basta utilizar o comando -subtree
Remoção de usuários
dsrm CN=USER1,CN=USERS,DC=DOM9,DC=local
Movimentando objetos
DSMOVE CN=USER1,CN=USERS,DC=DOM9,DC=local -NEWPARENT
OU=usuarios,OU=RH,DC=DOM9,DC=local
3. Onde:
CN=USER1,CN=USERS,DC=DOM9,DC=local
Caminho de origem do objeto
-NEWPARENT
Parâmetro para inserir o caminho de destino
OU=usuarios,OU=RH,DC=DOM9,DC=local
Caminho de destino
Modificar as propriedades do objeto
dsmod group CN=RH,OU=usuarios,OU=RH,DC=DOM9,DC=local -ADDMBR
CN=USER1,OU=usuarios,OU=RH,DC=DOM9,DC=local
Onde:
group
Tipo de objeto que se deseja modificar
CN=RH,OU=usuarios,OU=RH,DC=DOM9,DC=local
Objeto que desejamos modificar
-ADDMBR
Tipo de modificação, no exemplo é adição de um novo usuário
CN=USER1,OU=usuarios,OU=RH,DC=DOM9,DC=local
Usuário que verá estar no grupo
Verificar as propriedades do objeto
dsget group CN=RH,OU=usuarios,OU=RH,DC=DOM9,DC=local -members
Onde:
group
Tipo de objeto que se deseja saber as propriedades
CN=RH,OU=usuarios,OU=RH,DC=DOM9,DC=local
Caminho do objeto
-members
Tipo de propriedade que se deseja visualizar.
Realizando uma busca por um objeto
dsquery user OU=usuarios,OU=RH,DC=DOM9,DC=local
Outra maneira de se modificar as propriedades de um é redirecionando a saída de um
comando para a entrada de outro utilizando o pipe (|)
dsquery user OU=usuarios,OU=RH,DC=DOM9,DC=local | dsmod group
CN=RH,OU=usuarios,OU=RH,DC=DOM9,DC=local -ADDMBR
No exemplo acima estamos adicionando usuários da OU RH ao grupo RH.
Administrando a base de dados do Active Directory
4. Para completo funcionamento dos comandos abaixo é necessário para o serviço do NTDS
Para realizar a manutenção será utilizado o utilitário NTDSUTIL
activate instance ntds – comando utilizado para ativar a instancia do NTDS
files – comando utilizado para associar o banco, para ser possível a edição dos arquivos
info – comando utilizado para exibir informações sobre o banco de dados do ad e seus diretórios
integrity – checa a integridade do banco de dados do AD
Análise semântica – verifica se todos os apontamentos estão corretos
semanatic databse analysis
GO – realizar a analise semântica sem realizar ajustes.
GO fixup – realizar a analise semântica realizando ajustes
Desfragmentando o banco de dados do AD
Antes de realizar o procedimento a baixo é recomendável realizar um backup do NTDS.DIT que
fica localizado em %windir%ntds
activate instance ntds
files
compact c:AD
Será criado um arquivo na unidade c:AD
Movimentação do banco de dados de log e do NTDS
ntdsutil
activate instance ntds
files
Dentro de files existem dois comandos que são:
move db to caminho_de_destino
move logs to caminho_de_destino
Backup
Server2
Iniciar um segundo servidor de domínio (adicionar a um domínio existente)
Na configuração de DNS utilizar da seguinte forma:
DNS Primário – endereço IP do próprio servidor
DNS Secundário – endereço IP do primeiro DC
Server 1
Instalar no server 1 os Recursos de Backup do Windows Server (todas as opções)
5. Para realizar um backup do system state
wbadmin start systemstatebackup -backuptarger:e:
Onde:
wbadmin
Inicia o aplicativo de backup
start
Inicia o backup
systemstatebackup
tipo de backup que será utilizado
-backuptarger:e:
destino do backup, atentar a letra da unidade
Para testar o backup apague duas das OU's criadas anteriormente
Para restaurar o backup
Entrar no modo de restauração do active directory
wbadmin get versions – para saber quais são as versões de backup que temos disponíveis e o
identificador da versão
Restauração não autoritativa
wbadmin start systemstaterecovery -version:IDENTIFICADORDAVERSAO
Restauração autoritativa
wbadmin start systemstaterecovery -version:IDENTIFICADORDAVERSAO
ntdsutil
activate instance ntds
authoritative restore
restore subtree OU=RH,DC=dom9,DC=local
restore subtree OU=DP,DC=dom9,DC=local
No término reinicie o computador (ele irá apresentar uma série de erros mais é normal)
Restauração autoritativo x não autoritativo
Quando um backup é restaurado de forma autoritativa, as modificações realizadas no AD na
versão do backup também são restauradas, oque não acontece quando a restauração do backup é
feita de forma não autoritativa.
6. Lab1
AD DS/DNS
Nível: 2008 R2
Senha DSRM: 123asd.
Criar a seguinte estrutura por linha de comando:
• RH
◦ USUARIOS
▪ Grupo RH
• USER1
• USER2
◦ USER1
◦ USER2
◦ COMPUTADORES
• DP
◦ USUARIOS
▪ Grupo DP
• USER3
• USER4
◦ USER3
◦ USER4
◦ COMPUTADORES
• COMERCIAL
◦ USUARIOS
▪ Grupo Comercial
• USER5
• USER6
◦ USER5
◦ USER6
◦ COMPUTADORES
• RECEPCAO
◦ USUARIOS
▪ Grupo Recepcao
• USER7
• USER8
▪ USER7
▪ USER8
◦ COMPUTADORES
7. Atalhos:
domain.msc – abre a console do gerenciado de domínios e relações de confiança;
dssite.msc
Hints
CN x OU x DC, CN é o nome utilizado para qualquer objeto exceto as OU's eu os DC's
Para acelerar o processo de replicação, basta acessar a console de sites e serviços do Active
Directory > Sites > Default-First-Site-Name > Servers > Serverx > NTDS Settings > e
escolha a partir de qual servidor você quer replicar > Botão direto Replicar Agora.
Bat para construção do ambiente, nessa bat eu exclui os comandos para o ntdsutil.
@echo off
REM "Criado por Rafael Dantas e Thiago Inacio 11/08/2012"
REM "Criação de OU"
dsadd OU OU=RH,DC=DOM7,DC=local
dsadd OU OU=USUARIOS,OU=RH,DC=DOM7,DC=local
dsadd OU OU=COMPUTADORES,OU=RH,DC=DOM7,DC=local
dsadd OU OU=DP,DC=DOM7,DC=local
dsadd OU OU=USUARIOS,OU=DP,DC=DOM7,DC=local
dsadd OU OU=COMPUTADORES,OU=DP,DC=DOM7,DC=local
dsadd OU OU=COMERCIAL,DC=DOM7,DC=local
dsadd OU OU=USUARIOS,OU=COMERCIAL,DC=DOM7,DC=local
dsadd OU OU=COMPUTADORES,OU=COMERCIAL,DC=DOM7,DC=local
dsadd OU OU=RECEPCAO,DC=DOM7,DC=local
dsadd OU OU=USUARIOS,OU=RECEPCAO,DC=DOM7,DC=local
dsadd OU OU=COMPUTADORES,OU=RECEPCAO,DC=DOM7,DC=local
REM "Criação de Grupo"
dsadd group CN=RH,OU=usuarios,OU=RH,DC=dom7,DC=local -secgrp yes -scope G
dsadd group CN=DP,OU=usuarios,OU=DP,DC=dom7,DC=local -secgrp yes -scope G
dsadd group CN=COMERCIAL,OU=usuarios,OU=COMERCIAL,DC=dom7,DC=local -secgrp yes
-scope G
dsadd group CN=RECEPCAO,OU=usuarios,OU=RECEPCAO,DC=dom7,DC=local -secgrp yes
-scope G
REM "Criação de Usuário"
dsadd USER CN=USER1,CN=USERS,DC=DOM7,DC=local -SAMID USER1 -UPN
user1@DOM7.local -PWD 123qwe. -DISABLED NO
dsadd USER CN=USER2,CN=USERS,DC=DOM7,DC=local -SAMID USER2 -UPN
user2@DOM7.local -PWD 123qwe. -DISABLED NO
dsadd USER CN=USER3,CN=USERS,DC=DOM7,DC=local -SAMID USER3 -UPN
user3@DOM7.local -PWD 123qwe. -DISABLED NO
dsadd USER CN=USER4,CN=USERS,DC=DOM7,DC=local -SAMID USER4 -UPN
8. user4@DOM7.local -PWD 123qwe. -DISABLED NO
dsadd USER CN=USER5,CN=USERS,DC=DOM7,DC=local -SAMID USER5 -UPN
user5@DOM7.local -PWD 123qwe. -DISABLED NO
dsadd USER CN=USER6,CN=USERS,DC=DOM7,DC=local -SAMID USER6 -UPN
user6@DOM7.local -PWD 123qwe. -DISABLED NO
dsadd USER CN=USER7,CN=USERS,DC=DOM7,DC=local -SAMID USER7 -UPN
user7@DOM7.local -PWD 123qwe. -DISABLED NO
dsadd USER CN=USER8,CN=USERS,DC=DOM7,DC=local -SAMID USER8 -UPN
user8@DOM7.local -PWD 123qwe. -DISABLED NO
REM "Remoção de objetos"
REM "Remoção de OU"
dsrm OU=COMERCIAL,DC=DOM7,DC=local
REM "Remoção de Grupo"
dsrm CN=RH,OU=usuarios,OU=RH,DC=dom7,DC=local
REM "Remoção de Usuário"
dsrm CN=TESTE,CN=USERS,DC=DOM7,DC=local
REM "Mover objetos"
dsmove CN=USER1,CN=USERS,DC=DOM7,DC=local -newparent
OU=USUARIOS,OU=RH,DC=DOM7,DC=local
dsmove CN=USER2,CN=USERS,DC=DOM7,DC=local -newparent
OU=USUARIOS,OU=RH,DC=DOM7,DC=local
dsmove CN=USER3,CN=USERS,DC=DOM7,DC=local -newparent
OU=USUARIOS,OU=DP,DC=DOM7,DC=local
dsmove CN=USER4,CN=USERS,DC=DOM7,DC=local -newparent
OU=USUARIOS,OU=DP,DC=DOM7,DC=local
dsmove CN=USER5,CN=USERS,DC=DOM7,DC=local -newparent
OU=USUARIOS,OU=COMERCIAL,DC=DOM7,DC=local
dsmove CN=USER6,CN=USERS,DC=DOM7,DC=local -newparent
OU=USUARIOS,OU=COMERCIAL,DC=DOM7,DC=local
dsmove CN=USER7,CN=USERS,DC=DOM7,DC=local -newparent
OU=USUARIOS,OU=RECEPCAO,DC=DOM7,DC=local
dsmove CN=USER8,CN=USERS,DC=DOM7,DC=local -newparent
OU=USUARIOS,OU=RECEPCAO,DC=DOM7,DC=local
REM "Modificar objetos"
REM "Modificar Grupos"
dsmod group CN=RH,OU=usuarios,OU=RH,DC=dom7,DC=local -addmbr
CN=user1,OU=usuarios,OU=RH,DC=dom7,dc=local
REM "Verificar propriedades de objetos"
REM "Verificar propriedades de grupos"
dsget group CN=rh,OU=usuarios,OU=RH,DC=dom7,DC=local -members
REM "Localizar objetos"
dsquery user OU=usuarios,OU=DP,DC=dom7,dc=local
9. REM "Concatenar comandos"
REM "Adicionar usuários em grupo"
dsquery user OU=usuarios,OU=DP,DC=dom7,dc=local | dsmod group
CN=DP,OU=usuarios,OU=DP,DC=dom7,DC=local -addmbr
dsquery user OU=usuarios,OU=RH,DC=dom7,dc=local | dsmod group
CN=RH,OU=usuarios,OU=RH,DC=dom7,DC=local -addmbr
dsquery user OU=usuarios,OU=COMERCIAL,DC=dom7,dc=local | dsmod group
CN=COMERCIAL,OU=usuarios,OU=COMERCIAL,DC=dom7,DC=local -addmbr
dsquery user OU=usuarios,OU=RECEPCAO,DC=dom7,dc=local | dsmod group
CN=RECEPCAO,OU=usuarios,OU=RECEPCAO,DC=dom7,DC=local -addmbr