Aula 2 active diretory - 11082012

Dia 11/08/2012
MCITP-EA Active Directory
Aula 2

Administração do Active Directory por linha de comando
dsadd comando utilizado para criar objetos no active directory

Criação de OU's
dsadd OU OU=RH,DC=dom9,DC=local

Onde:
 OU
 É o tipo de objeto que será criado.
 OU=RH,
 Nome da OU que será criada, no exemplo será a OU RH
 DC=dom9,
 Domínio onde o objeto será criado
 DC=local
 Sufixo do domínio onde o objeto será criado

As vírgulas utilizadas fazem parte da sintaxe do comando, para separar os objetos!

Para criar uma OU dentro de outra OU devemos utilizar uma linha similar à abaixo:

dsadd OU OU=USUARIOS,OU=RH,DC=dom9,DC=local

 Onde a nova OU USUARIOS esta diretamente abaixo da OU RH.
 Caso seja necessário um nível hierárquico maior, basta acrescentar no inicio da linha a nova
OU. Segue exemplo de utilização:

dsadd OU OU=ANDAR3,OU=USUARIOS,OU=RH,DC=dom9,DC=local

 Na linha de comando anterior foi criada uma sub OU para os usuários do 3º andar do RH

Criação de usuários

dsadd USER CN=USER1,CN=USERS,DC=dom9,DC=local -SAMID USER1 -UPN
user1@dom9.local -PWD 123qwe. -DISABLED NO

Onde:
 USER
 Tipo de objeto a ser criado
 CN=USER1,
 nome do usuário a ser criado
 CN=USERS,
 Nome da OU em que o usuário será criado
 DC=dom9,
 DC=local

 -SAMID USER1
 Identificação dos usuários
 -UPN user1@dom9.local
 Nome de logon do usuário
 -PWD 123qwe.
 Senha do usuário
 -DISABLED NO
 Informa que o usuário não esta desabilitado

Criação de grupos

dsadd GROUP CN=RH,OU=USUARIOS,OU=RH,DC=dom9,DC=local -secgrp yes -scope G

Onde:

 GROUP
 Tipo de objeto a ser criado
 CN=RH,
 nome do grupo a ser criado
 OU=USUARIOS,
 OU=RH,
 DC=dom9,
 DC=local
 -secgrp yes
 Define o tipo de grupo, quando o parâmetro YES ele será criado como grupo de segurança,
caso seja criado com NO ele será criado como grupo de segurança
 -scope G
 Defino o escopo do grupo:
 G = Global
 L = Local
 U = Universal

Remoção de objetos

É utilizado o caminho absoluto do objeto

Remoção de OU
dsrm OU=teste,DC=DOM9,DC=local

Para remover subárvores basta utilizar o comando -subtree

Remoção de usuários
dsrm CN=USER1,CN=USERS,DC=DOM9,DC=local

Movimentando objetos
DSMOVE CN=USER1,CN=USERS,DC=DOM9,DC=local -NEWPARENT
OU=usuarios,OU=RH,DC=DOM9,DC=local

Onde:
 CN=USER1,CN=USERS,DC=DOM9,DC=local
 Caminho de origem do objeto
 -NEWPARENT
 Parâmetro para inserir o caminho de destino
 OU=usuarios,OU=RH,DC=DOM9,DC=local
 Caminho de destino

Modificar as propriedades do objeto

dsmod group CN=RH,OU=usuarios,OU=RH,DC=DOM9,DC=local -ADDMBR
CN=USER1,OU=usuarios,OU=RH,DC=DOM9,DC=local

Onde:
 group
 Tipo de objeto que se deseja modificar
 CN=RH,OU=usuarios,OU=RH,DC=DOM9,DC=local
 Objeto que desejamos modificar
 -ADDMBR
 Tipo de modificação, no exemplo é adição de um novo usuário
 CN=USER1,OU=usuarios,OU=RH,DC=DOM9,DC=local
 Usuário que verá estar no grupo

Verificar as propriedades do objeto

dsget group CN=RH,OU=usuarios,OU=RH,DC=DOM9,DC=local -members

Onde:
 group
 Tipo de objeto que se deseja saber as propriedades
 CN=RH,OU=usuarios,OU=RH,DC=DOM9,DC=local
 Caminho do objeto
 -members
 Tipo de propriedade que se deseja visualizar.

Realizando uma busca por um objeto

dsquery user OU=usuarios,OU=RH,DC=DOM9,DC=local

 Outra maneira de se modificar as propriedades de um é redirecionando a saída de um
comando para a entrada de outro utilizando o pipe (|)

dsquery user OU=usuarios,OU=RH,DC=DOM9,DC=local | dsmod group
CN=RH,OU=usuarios,OU=RH,DC=DOM9,DC=local -ADDMBR

No exemplo acima estamos adicionando usuários da OU RH ao grupo RH.

Administrando a base de dados do Active Directory

Para completo funcionamento dos comandos abaixo é necessário para o serviço do NTDS

Para realizar a manutenção será utilizado o utilitário NTDSUTIL

activate instance ntds – comando utilizado para ativar a instancia do NTDS
files – comando utilizado para associar o banco, para ser possível a edição dos arquivos
info – comando utilizado para exibir informações sobre o banco de dados do ad e seus diretórios
integrity – checa a integridade do banco de dados do AD

Análise semântica – verifica se todos os apontamentos estão corretos
semanatic databse analysis
GO – realizar a analise semântica sem realizar ajustes.
GO fixup – realizar a analise semântica realizando ajustes

Desfragmentando o banco de dados do AD
Antes de realizar o procedimento a baixo é recomendável realizar um backup do NTDS.DIT que
fica localizado em %windir%ntds
activate instance ntds
files
compact c:AD

Será criado um arquivo na unidade c:AD

Movimentação do banco de dados de log e do NTDS

ntdsutil
files

Dentro de files existem dois comandos que são:
move db to caminho_de_destino
move logs to caminho_de_destino

Backup
Server2
Iniciar um segundo servidor de domínio (adicionar a um domínio existente)

Na configuração de DNS utilizar da seguinte forma:

DNS Primário – endereço IP do próprio servidor
DNS Secundário – endereço IP do primeiro DC

Server 1
Instalar no server 1 os Recursos de Backup do Windows Server (todas as opções)

Para realizar um backup do system state

wbadmin start systemstatebackup -backuptarger:e:

Onde:
 wbadmin
 Inicia o aplicativo de backup
 start
 Inicia o backup
 systemstatebackup
 tipo de backup que será utilizado
 -backuptarger:e:
 destino do backup, atentar a letra da unidade

Para testar o backup apague duas das OU's criadas anteriormente

Para restaurar o backup

Entrar no modo de restauração do active directory

wbadmin get versions – para saber quais são as versões de backup que temos disponíveis e o
identificador da versão

Restauração não autoritativa
wbadmin start systemstaterecovery -version:IDENTIFICADORDAVERSAO

Restauração autoritativa

wbadmin start systemstaterecovery -version:IDENTIFICADORDAVERSAO
ntdsutil
authoritative restore
restore subtree OU=RH,DC=dom9,DC=local
restore subtree OU=DP,DC=dom9,DC=local

No término reinicie o computador (ele irá apresentar uma série de erros mais é normal)

Restauração autoritativo x não autoritativo

Quando um backup é restaurado de forma autoritativa, as modificações realizadas no AD na
versão do backup também são restauradas, oque não acontece quando a restauração do backup é
feita de forma não autoritativa.

Lab1
AD DS/DNS
Nível: 2008 R2
Senha DSRM: 123asd.

Criar a seguinte estrutura por linha de comando:

• RH
◦ USUARIOS
▪ Grupo RH
• USER1
• USER2
◦ USER1
◦ USER2
◦ COMPUTADORES
• DP
◦ USUARIOS
▪ Grupo DP
• USER3
• USER4
◦ USER3
◦ USER4
◦ COMPUTADORES
• COMERCIAL
◦ USUARIOS
▪ Grupo Comercial
• USER5
• USER6
◦ USER5
◦ USER6
◦ COMPUTADORES
• RECEPCAO
◦ USUARIOS
▪ Grupo Recepcao
• USER7
• USER8
▪ USER7
▪ USER8
◦ COMPUTADORES

Atalhos:

domain.msc – abre a console do gerenciado de domínios e relações de confiança;
dssite.msc
Hints

CN x OU x DC, CN é o nome utilizado para qualquer objeto exceto as OU's eu os DC's
Para acelerar o processo de replicação, basta acessar a console de sites e serviços do Active
Directory > Sites > Default-First-Site-Name > Servers > Serverx > NTDS Settings > e
escolha a partir de qual servidor você quer replicar > Botão direto Replicar Agora.

Bat para construção do ambiente, nessa bat eu exclui os comandos para o ntdsutil.

@echo off

REM "Criado por Rafael Dantas e Thiago Inacio 11/08/2012"
REM "Criação de OU"

dsadd OU OU=RH,DC=DOM7,DC=local
dsadd OU OU=USUARIOS,OU=RH,DC=DOM7,DC=local
dsadd OU OU=COMPUTADORES,OU=RH,DC=DOM7,DC=local

dsadd OU OU=DP,DC=DOM7,DC=local
dsadd OU OU=USUARIOS,OU=DP,DC=DOM7,DC=local
dsadd OU OU=COMPUTADORES,OU=DP,DC=DOM7,DC=local

dsadd OU OU=COMERCIAL,DC=DOM7,DC=local
dsadd OU OU=USUARIOS,OU=COMERCIAL,DC=DOM7,DC=local
dsadd OU OU=COMPUTADORES,OU=COMERCIAL,DC=DOM7,DC=local

dsadd OU OU=RECEPCAO,DC=DOM7,DC=local
dsadd OU OU=USUARIOS,OU=RECEPCAO,DC=DOM7,DC=local
dsadd OU OU=COMPUTADORES,OU=RECEPCAO,DC=DOM7,DC=local

REM "Criação de Grupo"

dsadd group CN=RH,OU=usuarios,OU=RH,DC=dom7,DC=local -secgrp yes -scope G
dsadd group CN=DP,OU=usuarios,OU=DP,DC=dom7,DC=local -secgrp yes -scope G
dsadd group CN=COMERCIAL,OU=usuarios,OU=COMERCIAL,DC=dom7,DC=local -secgrp yes
-scope G
dsadd group CN=RECEPCAO,OU=usuarios,OU=RECEPCAO,DC=dom7,DC=local -secgrp yes
-scope G

REM "Criação de Usuário"

dsadd USER CN=USER1,CN=USERS,DC=DOM7,DC=local -SAMID USER1 -UPN
user1@DOM7.local -PWD 123qwe. -DISABLED NO


REM "Remoção de objetos"

REM "Remoção de OU"
dsrm OU=COMERCIAL,DC=DOM7,DC=local
REM "Remoção de Grupo"
dsrm CN=RH,OU=usuarios,OU=RH,DC=dom7,DC=local
REM "Remoção de Usuário"
dsrm CN=TESTE,CN=USERS,DC=DOM7,DC=local

REM "Mover objetos"

dsmove CN=USER1,CN=USERS,DC=DOM7,DC=local -newparent
OU=USUARIOS,OU=RH,DC=DOM7,DC=local
OU=USUARIOS,OU=RH,DC=DOM7,DC=local
OU=USUARIOS,OU=DP,DC=DOM7,DC=local
OU=USUARIOS,OU=DP,DC=DOM7,DC=local
OU=USUARIOS,OU=COMERCIAL,DC=DOM7,DC=local
OU=USUARIOS,OU=COMERCIAL,DC=DOM7,DC=local
OU=USUARIOS,OU=RECEPCAO,DC=DOM7,DC=local
OU=USUARIOS,OU=RECEPCAO,DC=DOM7,DC=local

REM "Modificar objetos"

REM "Modificar Grupos"
dsmod group CN=RH,OU=usuarios,OU=RH,DC=dom7,DC=local -addmbr
CN=user1,OU=usuarios,OU=RH,DC=dom7,dc=local

REM "Verificar propriedades de objetos"
REM "Verificar propriedades de grupos"
dsget group CN=rh,OU=usuarios,OU=RH,DC=dom7,DC=local -members

REM "Localizar objetos"

dsquery user OU=usuarios,OU=DP,DC=dom7,dc=local

REM "Concatenar comandos"
REM "Adicionar usuários em grupo"
dsquery user OU=usuarios,OU=DP,DC=dom7,dc=local | dsmod group
CN=DP,OU=usuarios,OU=DP,DC=dom7,DC=local -addmbr
dsquery user OU=usuarios,OU=RH,DC=dom7,dc=local | dsmod group
CN=RH,OU=usuarios,OU=RH,DC=dom7,DC=local -addmbr
dsquery user OU=usuarios,OU=COMERCIAL,DC=dom7,dc=local | dsmod group
CN=COMERCIAL,OU=usuarios,OU=COMERCIAL,DC=dom7,DC=local -addmbr
dsquery user OU=usuarios,OU=RECEPCAO,DC=dom7,dc=local | dsmod group
CN=RECEPCAO,OU=usuarios,OU=RECEPCAO,DC=dom7,DC=local -addmbr

Aula 2 active diretory - 11082012

Recomendados

Recomendados

Mais conteúdo relacionado

Mais de Thiago Inacio de Matos

Mais de Thiago Inacio de Matos (19)

Aula 2 active diretory - 11082012