Nesta segunda parte da série Ajuste Fino do Active Directory, vou falar um pouco sobre contas. Mais precisamente, sobre as Contas de Computador...
Normalmente, quando um novo funcionário é contratado por uma empresa, é procedimento padrão, criar sua Conta de Usuário para que o mesmo possa utilizar a rede. Mas, e quando um novo computador é comprado pela empresa, esse mesmo procedimento de "pré-criar" a sua conta é realizado? Na maioria dos casos a resposta é NÃO!
Geralmente, o cadastro da conta do novo computador é feita durante a etapa de instalação do sistema operacional, quando chegamos na janela onde selecionamos "Grupo de Trabalho" ou "Domínio". Essa prática pode deixar brechas na segurança da empresa, dependendo de como o Active Directory estiver estruturado. Calma lá... deixa eu explicar isso:
Na maioria das empresas, são criadas uma ou mais Unidades Organizacionais (OUs) e as Contas de Computadores são distribuídas ou organizadas entre elas. A essas OUs, são aplicadas Políticas de Grupo (GPOs) para restringir o que o usuário pode ou não fazer no computador. Quando a Conta do Computador é criada durante a instalação do sistema operacional, por padrão, ela é criada dentro do Contâiner Computadores (Computers), ou seja, FORA do escopo da GPO. Cabe então a alguém, responsável pela manutenção do Active Directory, mover a Conta do Computador para a respectiva OU e reiniciar o novo computador para que a GPO possa ser aplicada. Mas se levarmos em conta que o cara não vai ficar lá o dia inteiro no Contâiner Computadores apertando F5 na esperança de que surja um novo computador para ser movido, pode levar um tempo (horas ou dias) até que o novo computador receba a GPO. E esse tempinho é suficiente para os famosos "usuários espertos" detonarem a máquina que acabou de ser instalada. Para a alegria da Equipe de TI que adora formatar um computador... ¬¬
Mas então, como resolver esse impasse? Bom... existe mais de uma forma de resolver isso. Depende de como a empresa trabalha. Vou apresentar algumas alternativas:
- Ao invés de "linkar" a GPO na OU personalizada, "linke-a" na raiz do Domínio. Isso fará com que o escopo da GPO alcance todos os computadores do Domínio e não só aqueles dentro da OU. Empresas que possuem poucas GPOs podem utilizar essa alternativa, pois é a que gera menos trabalho. É igual Baterias Tudor: Você instala e esquece! (Piadinha tosca)
- Já empresas que possuem muitas GPOs podem ter um certo "desconforto" tendo inúmeras delas "linkadas" na raiz do Domínio, pois dá um pouco mais de trabalho à administração do Active Directory, como utilização de Filtragem de Segurança (Security Filtering) e a questão da Precedência das GPOs (mas isso é assunto para outro post). Nesses casos, o mais interessante seria mover (ou "redirecionar") o local padrão de armazenamento das Contas de Computador (Contâiner Computadores) para a OU personalizada. Ahm?! Tem como?! Claro que tem!!! Mas antes, um pequeno aviso: É preciso que o Nível Funcional do Domínio (Domain Functional Level) seja, pelo menos, Windows Server 2003 (creio que isso não seja um problema nos dias de hoje... ou é?! 0.o). Para fazer o redirecionamento, precisamos acessar o Prompt de Comando em modo elevado e utilizar o comando redircmp.exe. A sintaxe é bem simples:
redircmp <DN da OU personalizada>
Não entendeu? Deixa eu colocar mais açúcar no mamão então: Digamos que o domínio da sua empresa seja ABC.NET e que a OU personalizada seja "MeusComputadores". O comando ficaria assim:
redircmp ou=MeusComputadores,dc=ABC,dc=NET
Pronto! As novas Contas de Computador criadas durante a etapa de instalação do sistema operacional serão criadas automaticamente dentro dessa OU.
- A última alternativa, e a melhor de todas, dentro das "Boas Práticas do Grande Administrator do Active Directory" seria.... tcham tcham tcham tchaaaaaammmmm.... Pré-criar a Conta do Computador antes mesmo de iniciar a instalação do sistema operacional! A segunda alternativa, apesar de interessante, pode deixar falhas se a empresa utilizar mais de uma OU para organizar suas Contas de Computador, pois ainda sim, a Conta de Computador precisará ser movida (mas isso dentro de uma estrutura mais organizada de OUs e GPOs). Então, já que em todo caso a Conta de Computador precisará ser movida, porque não já criá-la na OU em que deverá ficar? Pelo menos, assim, o computador já ingressa na rede recebendo as GPOs que deveria. É menos dor de cabeça para você e menos falação do seu Gerente de TI (sacanagem).
Bom... deixa eu ir ali porque apareceram novos computadores no Contâiner Computadores. ^^
segunda-feira, 25 de abril de 2011
sexta-feira, 15 de abril de 2011
Partição de Aplicação do Active Directory
Quando a Microsoft lançou o Windows 2000 Server e seu novo serviço de diretório, o Active Directory, uma das grandes novidades foi a possibilidade de integrar o serviço de DNS ao serviço do Active Directory. Essa integração ficou conhecida como Active Directory-Integrated Zone.
Essa foi uma grande sacada pois:
Em determinadas empresas, nem todo Controlador de Domínio é, também, um servidor DNS. Digamos, por exemplo, que uma empresa possui 5 Controladores de Domínio, mas apenas 2 são servidores DNS. O que será que vai acontecer???...
Todos os 5 Controladores de Domínio irão receber uma cópia das informações de DNS. Agora eu lhes pergunto, por quê? (Perguntinha de Certificação Microsoft ^^)
Como dito acima, o Active Directory-Integrated Zone era armazenado na partição de Domínio do Active Directory (Domain Naming Context). Por definição, o escopo de replicação desta partição é: para todos os Controladores de Domínio do domínio. Tem como alterar isso? Não! Os outros 3 Controladores de Domínio que não são servidores DNS recebem "lixo". É um tráfego desnecessário.
Vamos levar este mesmo exemplo para um ambiente maior: uma multinacional com 100 Controladores de Domínio espalhados pelo mundo inteiro, mas apenas 20 deles são servidores DNS. São 80 servidores trafegando "lixo" pelo mundo inteiro.
Com a vinda do Windows Server 2003, surgiu um novo tipo de partição para o Active Directory: a Partição de Aplicação (Application Partition). A grande vantagem dessa partição foi a possibilidade de se definir, justamente, o escopo da replicação. Com isso foi possível eliminar o "lixo" que trafegava na rede e a replicação de informações de DNS passou a ser feita apenas entre Controladores de Domínio com o serviço de DNS instalado.
Mas atenção!!! Se você migrou sua rede do 2000 para o 2003 e se enquadra no exemplo deste post. Terá que fazer a movimentação do DNS para a Partição de Aplicação manualmente. Se sua rede começou do 2003, seu DNS já está configurado na Partição de Aplicação.
'Til next time!
Essa foi uma grande sacada pois:
- As informações de Zonas que antes eram armazenadas em arquivos, passaram a ser armazenadas dentro do Active Directory (mais especificamente, na partição de Domínio), o que garantiu maior segurança, pois não haviam mais arquivos físicos .dns;
- Todo Controlador de Domínio passou a ter uma cópia da Zona, utilizando o recurso de replicação do Active Directory (multimaster replication), o que garantiu maior redundância das informações;
- A estrutura Master/Slave onde apenas um servidor DNS podia gravar e os demais apenas lerem deixou de existir, pois todo Controlador de Domínio que tinha o serviço de DNS instalado podia gravar dados na Zona, o que garantiu a alta disponibilidade do serviço.
Em determinadas empresas, nem todo Controlador de Domínio é, também, um servidor DNS. Digamos, por exemplo, que uma empresa possui 5 Controladores de Domínio, mas apenas 2 são servidores DNS. O que será que vai acontecer???...
Todos os 5 Controladores de Domínio irão receber uma cópia das informações de DNS. Agora eu lhes pergunto, por quê? (Perguntinha de Certificação Microsoft ^^)
Como dito acima, o Active Directory-Integrated Zone era armazenado na partição de Domínio do Active Directory (Domain Naming Context). Por definição, o escopo de replicação desta partição é: para todos os Controladores de Domínio do domínio. Tem como alterar isso? Não! Os outros 3 Controladores de Domínio que não são servidores DNS recebem "lixo". É um tráfego desnecessário.
Vamos levar este mesmo exemplo para um ambiente maior: uma multinacional com 100 Controladores de Domínio espalhados pelo mundo inteiro, mas apenas 20 deles são servidores DNS. São 80 servidores trafegando "lixo" pelo mundo inteiro.
Com a vinda do Windows Server 2003, surgiu um novo tipo de partição para o Active Directory: a Partição de Aplicação (Application Partition). A grande vantagem dessa partição foi a possibilidade de se definir, justamente, o escopo da replicação. Com isso foi possível eliminar o "lixo" que trafegava na rede e a replicação de informações de DNS passou a ser feita apenas entre Controladores de Domínio com o serviço de DNS instalado.
Mas atenção!!! Se você migrou sua rede do 2000 para o 2003 e se enquadra no exemplo deste post. Terá que fazer a movimentação do DNS para a Partição de Aplicação manualmente. Se sua rede começou do 2003, seu DNS já está configurado na Partição de Aplicação.
'Til next time!
quinta-feira, 14 de abril de 2011
Ajuste Fino do Active Directory - Parte 1
Back from the ashes para uma série de posts contendo dicas para ajustar algumas configurações do Active Directory e tapar alguns buracos negros. E para abrir com chave de ouro vamos começar tapando um buraco negro chamado ms-DS-MachineAccountQuota.
Vocês sabiam que, POR PADRÃO, o Active Directory permite que QUALQUER usuário ingresse até 10 computadores em um domínio? Pode arregalar mesmo os olhos e se perguntar: "Pra que isso?". Onde fica a segurança da empresa quando um usuário, que não é da área de TI, consegue ingressar o seu notebook na rede da empresa sem prévia notificação ou autorização? Ah... e isso existe desde o Windows 2000 Server.
Agora você, meu amigo Administrador de Rede, sabia disso? Não, então vamos tapar o buraco!
Precisaremos do ADSI Edit para realizar a alteração.
Para quem ainda utiliza o Windows Server 2003, o ADSI Edit está nas Ferramentas de Suporte (Support Tools) no CD de instalação do Windows Server 2003. Após a instalação, abra o menu Iniciar->Executar e digite adsiedit.msc. No Windows Server 2008, o ADSI Edit se encontra nas Ferramentas Administrativas.
Vocês sabiam que, POR PADRÃO, o Active Directory permite que QUALQUER usuário ingresse até 10 computadores em um domínio? Pode arregalar mesmo os olhos e se perguntar: "Pra que isso?". Onde fica a segurança da empresa quando um usuário, que não é da área de TI, consegue ingressar o seu notebook na rede da empresa sem prévia notificação ou autorização? Ah... e isso existe desde o Windows 2000 Server.
Agora você, meu amigo Administrador de Rede, sabia disso? Não, então vamos tapar o buraco!
Precisaremos do ADSI Edit para realizar a alteração.
Para quem ainda utiliza o Windows Server 2003, o ADSI Edit está nas Ferramentas de Suporte (Support Tools) no CD de instalação do Windows Server 2003. Após a instalação, abra o menu Iniciar->Executar e digite adsiedit.msc. No Windows Server 2008, o ADSI Edit se encontra nas Ferramentas Administrativas.
- Conecte-se na partição do domínio (well known Naming Context -> Domain).
- Expanda a partição e selecione a pasta "dc=seudominio,dc=com".
- Clique com o botão direito e vá nas Propriedades da pasta.
- Na guia Editor de Atributos (Attribute Editor) localize a opção ms-DS-MachineAccountQuota e mude o valor de 10 para 0.
- Confirme as alterações e tcharam!!!... buraco tapado.
Assinar:
Postagens (Atom)